隨著信息化的發(fā)展，政府以及大型企業(yè)的對外宣傳及服務、對內辦公逐漸向Web上遷移，從而出現(xiàn)了眾多的門戶網站以及業(yè)務系統(tǒng)。隨著這些網站及業(yè)務系統(tǒng)與政府、企業(yè)的形象及業(yè)務的不斷融合，其重要程度也不斷提升，尤其是在垂直行業(yè)中更為重要。因此，網站和業(yè)務系統(tǒng)也成為黑客的主要攻擊目標。本文既是圍繞垂直行業(yè)的門戶網站及業(yè)務系統(tǒng)的安全建設展開。為了表達上的簡潔，后文所提到的網站無特殊說明均是指廣義上的網站——以http/https協(xié)議進行通信并使用瀏覽器進行訪問的系統(tǒng)，既包含門戶網站及業(yè)務系統(tǒng)。

垂直行業(yè)的網站有哪些問題?

1、篡改問題：篡改主要集中在門戶網站以及對外提供服務的業(yè)務系統(tǒng)，而且一旦發(fā)生篡改，影響范圍較廣，是管理人員普遍關心的問題。

2、數據泄露：數據泄露從途徑可以分為兩大類，一種為通過外部攻擊者通過攻擊對外提供服務的網站非法獲取數據，此類途徑泄露的數據往往涉及用戶個人信息;第二種則是內部業(yè)務系統(tǒng)的數據泄露，而此類數據泄露同樣也會引起嚴重問題。例如某大型公司就出現(xiàn)過此類問題，剛剛上線的新HR系統(tǒng)，第二天全員的工資情況及股權分配情況則被公布，引起公司“大地震”……

3、其他問題：除了篡改、數據泄露外，網站還面臨許多問題，比如釣魚、掛馬、暗鏈、敏感詞等等。而這些攻擊往往也具備某些行業(yè)特征，例如釣魚就可能在金融類行業(yè)比較嚴重;又例如在每年的7月份，招生類網站的釣魚情況會大幅升高。政府網站的暗鏈情況較其他行業(yè)更為嚴重等。

造成這些問題的原因有哪些?

1、配置不當

對于在垂直行業(yè)內有多年運維經驗的管理人員來說，配置核查的重要性不言而喻。而配置核查的目的就是為了達到安全基線。簡單來說所謂安全基線規(guī)范，是為了確保通信網絡上的相關設備達到最基本的防護能力要求而制定的一系列達標基準，是一套統(tǒng)一的安全設置指標。類比于木桶原理，安全基線就相當于木桶的最短板，是最基本的安全要求。而這最基本的要求在實現(xiàn)上卻問題重重。

2、漏洞缺乏管理

從計算機誕生開始漏洞就一直是安全的天敵，絕大多數的網絡攻擊是利用漏洞發(fā)起的。而漏洞缺乏管理是一個統(tǒng)稱，其包含兩大方面：漏洞數量眾多且頻發(fā)更新，管理人員很難及時發(fā)現(xiàn);由于技術或安全意識不足，導致發(fā)現(xiàn)后未能及時修復

3、弱口令

弱口令往往是管理員的一個噩夢，有些是管理員自身的疏忽，比如圖例中某省的人口流動管理系統(tǒng)，可利用用戶名：ldrk，密碼：ldrk，登錄查看多市的流動人口情況。而更多的則是垂直行業(yè)內部用戶的弱口令，123456、000000等均是常用口令。其他的并不一一列舉。

4、安全“外剛內柔”

據統(tǒng)計80%的網絡攻擊來源自內部，這種“內部”攻擊分為兩種情況，一種是內部人員由于操作不當，個人電腦被黑客控制，從而被動地成為黑客攻擊的跳板。第二種則是內部人員的有意為之，垂直行業(yè)內部用戶眾多，此類情況更容易發(fā)生。而實際上，大量的防御設備均部署在邊界，內部疏于防范。從而導致一旦邊界失守，或內部發(fā)起攻擊，服務器往往輕易淪陷。

對于垂直行業(yè)網站國家的政策要求

國家對網站安全提出過多個文件，其中最應該關注的應該是去年9月30日四部委聯(lián)合發(fā)布的“網站安全專項政治行動方案”，該方案除了對“黨政機關、事業(yè)單位和國有企業(yè)”提出了行動要求外，其實還包括了很多具體的安全建議。核心內容如下：

其中的“網站統(tǒng)一管理、統(tǒng)一防護、統(tǒng)一監(jiān)測”，”查找網站安全隱患并及時整改”等內容，都體現(xiàn)了國家相關安全部門對于網站安全的思考。

講過了垂直行業(yè)網站安全目前的問題、造成問題的原因以及國家的相應政策，下面將要來講一講在垂直行業(yè)被廣泛接受的監(jiān)控預警與態(tài)勢感知平臺的應用。但需要明確的是，沒有絕對的安全，安全的本質還是(至少目前還是)增加攻擊的成本。本文也是在一定限度上，并利用一些安全圈比較熱門的技術理念來解決垂直行業(yè)的網站在運行時遇到的某幾類問題。

監(jiān)控預警與態(tài)勢感知平臺的應用

基于這個理論，也引出了題目中所提出的垂直行業(yè)網站的監(jiān)控預警與態(tài)勢感知方案的架構及能力。

典型的拓撲如下：

在安全管理區(qū)部署監(jiān)控預警與態(tài)勢感知總控中心，作為大數據匯總分析、統(tǒng)一呈現(xiàn)以及策略下發(fā)平臺;并在各含有服務器的安全域以分布式方式部署探針，作為檢測引擎進行數據采集;在服務器區(qū)前部署Web防護設備以及邊界部署抗D等設備，進行攻擊防御的同時將攻擊情況發(fā)送給總控中心。

各分支機構通常只承擔建設各自門戶網站，對于分支機構的網站有兩種監(jiān)控方式：1.總部增加引擎數量，批量導入分支域名或IP，實現(xiàn)無感知遠程監(jiān)測。2.各分支部署探針，在監(jiān)測的同時進行防御。

方案核心能力

本方案包含四大核心能力，分別為資產發(fā)現(xiàn)及管理能力、監(jiān)控能力、安全基線配置核查能力、攻擊防護能力。

資產發(fā)現(xiàn)通過在網絡總出口或各安全域旁路部署的探針，通過流量學習自動發(fā)現(xiàn)內部網站，并能進行被動的Webshell檢測。從而發(fā)現(xiàn)內部私搭濫建網站以及網站后門。

日常的監(jiān)控包括三大類——合規(guī)性檢查、風險控制、以及態(tài)勢感知。其中態(tài)勢感知中的攻擊監(jiān)測需要與防御設備聯(lián)動。通過監(jiān)控能力，及時發(fā)現(xiàn)篡改、弱口令、釣魚、木馬、后門、可用性等網站常見問題。

安全基線核查部分通過各安全域部署的探針引擎或者單獨的可移動檢測設備均可實現(xiàn)。安全基線方面，主要以合作方OWASP的各類安全基線為主，同時支持定制本行業(yè)的安全基線。

攻擊防護主要以各安全域及邊界部署的防御設備與管控中心聯(lián)動，實現(xiàn)以管控中心為大腦來控制手和腳(防御設備)的統(tǒng)一協(xié)作能力。實現(xiàn)對于外部以及內部攻擊的防御。

實施效果展示

通過該方案的建設，來幫助垂直行業(yè)的信息中心建立起一套針對其網站的監(jiān)控預警與態(tài)勢感知系統(tǒng)。從而實現(xiàn)2562號文件中所提及的“網站統(tǒng)一管理、統(tǒng)一防護、統(tǒng)一檢測”、“滿足等保要求”、“安全事件通報”。并解決基線核查、內部攻擊、篡改、數據泄露等問題。

后期我們將從實際案例出發(fā)，來講解監(jiān)控預警與態(tài)勢感知系統(tǒng)的建設與應用。該部委是典型的全國性垂直網絡，其含有眾多門戶網站以及關系民生的重要業(yè)務系統(tǒng)。敬請期待。