【51CTO.com原創(chuàng)稿件】每個(gè)人都有自己的夢(mèng)想，這個(gè)夢(mèng)想或大或小，這個(gè)夢(mèng)想或虛幻或真實(shí)?，F(xiàn)實(shí)生活中，我們總會(huì)有想要改變現(xiàn)狀的小夢(mèng)想。要么是去風(fēng)景秀麗的地方旅游，要么是期待自己能夠加薪，要么是讓自己的工作更加的順心如意，要么……

拿就職于某大型企業(yè)的安全管理員小張來(lái)說(shuō)，他就一直有個(gè)非常實(shí)際的夢(mèng)想。公司曾被攻擊者多次針對(duì)Web發(fā)起攻擊，尤其是網(wǎng)站被篡改多次而不曾及時(shí)發(fā)現(xiàn)。公司網(wǎng)站多且分散，無(wú)法管理。作為公司的安全管理員，小張夢(mèng)想著能夠：

◆我的地盤我做主;

◆什么系統(tǒng)上線我說(shuō)了算;

◆系統(tǒng)在哪里我都知道;

◆系統(tǒng)干了什么我都了解;

◆系統(tǒng)有什么弱點(diǎn)我都清楚;

◆出了任何問(wèn)題立刻定位;

◆找得到人，斷得了網(wǎng)。

然而，現(xiàn)實(shí)卻是這樣的：

◆都說(shuō)是我的地盤，可我做不了主

◆線上有哪些系統(tǒng)真是不知道

◆系統(tǒng)在哪里，歸誰(shuí)管我也不清楚

◆這系統(tǒng)有什么漏洞，都干了什么我更不清楚

◆出了事了，都來(lái)找我，可我該找誰(shuí)?

◆斷網(wǎng)?連系統(tǒng)在哪都不知道，怎么斷網(wǎng)?

小張只想說(shuō)：“這夢(mèng)想與現(xiàn)實(shí)的差距太大了，誰(shuí)能救救我?”

如何才能讓他夢(mèng)想成真?

近日，盛邦安全產(chǎn)品經(jīng)理李春鵬在WOTA峰會(huì)現(xiàn)場(chǎng)接受51CTO記者采訪時(shí)表示，像小張遇到的這種情況很普遍，并非個(gè)例。隨著互聯(lián)網(wǎng)的發(fā)展，越來(lái)越多的業(yè)務(wù)依托于Web系統(tǒng)。雖然很多的企業(yè)都非常注重Web安全，但是大多把注意力放到了防護(hù)上，而忽視Web系統(tǒng)的安全管理。目前，使用權(quán)與管理權(quán)的分離導(dǎo)致了Web系統(tǒng)的治理問(wèn)題尤為突出，例如：私搭亂建、網(wǎng)站無(wú)法及時(shí)退運(yùn)、缺乏審核手段等都可能給黑客攻擊以可乘之機(jī)。

李春鵬強(qiáng)調(diào)說(shuō)：“安全是動(dòng)態(tài)改變的，Web安全在朝兩個(gè)方向發(fā)展，一個(gè)是安全防護(hù)之前的風(fēng)險(xiǎn)控制，在攻擊到來(lái)之前盡可能降低系統(tǒng)受到攻擊的可能性。另一個(gè)是安全防護(hù)之后的感知，通過(guò)檢測(cè)及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)受到的攻擊，及時(shí)告警和溯源，形成完善的安全體系。三分技術(shù)，七分管理。在做好安全防護(hù)的同時(shí)，也要做好管理。”

因此，Web安全不能僅做針對(duì)外部的防護(hù)，也應(yīng)注重內(nèi)部的治理，Web安全=治理+防護(hù)。

[[188758]]

盛邦安全產(chǎn)品經(jīng)理李春鵬

目前，企業(yè)通用的方式是通過(guò)IP，或者DNS解析來(lái)控制網(wǎng)站能否對(duì)外提供服務(wù)。但是以IP形式進(jìn)行網(wǎng)站控制，安全管理人員無(wú)法統(tǒng)計(jì)到這個(gè)IP上運(yùn)行著多少網(wǎng)站，開(kāi)通了多少服務(wù)。此外，很多網(wǎng)站管理者在解析服務(wù)器上配置的是泛解析，這樣導(dǎo)致通過(guò)二級(jí)或者三級(jí)域名建立的網(wǎng)站無(wú)法統(tǒng)計(jì)到。這就最終導(dǎo)致了企業(yè)無(wú)法“摸清家底”，留下了安全隱患。

針對(duì)Web安全治理問(wèn)題，雖然運(yùn)維人員很重視，但是往往缺少一種有效的手段。安全管理人員要想全面的了解公司系統(tǒng)安全情況，實(shí)現(xiàn)對(duì)Web系統(tǒng)的可知、可感、可查和可控，需要對(duì)整個(gè)Web系統(tǒng)的全生命周期進(jìn)行管理，建立新一代Web安全治理體系。依托于多年在Web安全領(lǐng)域所積累的豐富經(jīng)驗(yàn)，盛邦安全總結(jié)出了以下Web安全治理思路：

第一步，自動(dòng)學(xué)習(xí)所有在運(yùn)站點(diǎn)。這是Web安全治理第一步，要“摸清家底”。通過(guò)技術(shù)手段分析鏡像流量進(jìn)行Web資產(chǎn)自學(xué)習(xí)，識(shí)別包括IP、域名、端口、網(wǎng)站名稱等信息。從而及時(shí)了解網(wǎng)絡(luò)中有哪些網(wǎng)站及業(yè)務(wù)系統(tǒng)在提供服務(wù)，自動(dòng)識(shí)別疑似不合規(guī)Web系統(tǒng)。

第二步，建立在線的網(wǎng)站安全準(zhǔn)入機(jī)制，對(duì)所有Web系統(tǒng)備案、評(píng)估后再允許對(duì)外服務(wù)。備案管理提供公安備案管理以及組織自用備案管理系統(tǒng)，明確各Web系統(tǒng)的所有人、用途等各類信息，并提供備案申請(qǐng)、備案審核等流程。

第三步，建立網(wǎng)站運(yùn)營(yíng)日常監(jiān)控機(jī)制，對(duì)運(yùn)營(yíng)系統(tǒng)持續(xù)進(jìn)行安全巡檢，包括流量被動(dòng)檢測(cè)。對(duì)網(wǎng)站進(jìn)行安全檢測(cè)的主要內(nèi)容包含：網(wǎng)站篡改監(jiān)控，暗鏈/黑鏈檢測(cè)，敏感詞的監(jiān)控，Web漏洞檢測(cè)、系統(tǒng)漏洞檢測(cè)、后門掃描、網(wǎng)絡(luò)釣魚檢測(cè)、網(wǎng)站木馬和弱口令檢測(cè)等。

第四步，一鍵斷網(wǎng)+安全設(shè)備聯(lián)動(dòng)，實(shí)行有效地應(yīng)急和處理機(jī)制，對(duì)發(fā)現(xiàn)的不合規(guī)或不安全的Web站點(diǎn)進(jìn)行阻斷。并可配合微信進(jìn)行智能阻斷。

最終，結(jié)合流量分析、指紋分析、報(bào)表功能和漏洞管理等其他安全功能，從網(wǎng)站誕生到結(jié)束形成一個(gè)閉環(huán)，實(shí)現(xiàn)Web系統(tǒng)的全生命安全周期管理。

基于以上Web安全治理思路，盛邦安全研發(fā)了RayGateWeb安全治理平臺(tái)。該平臺(tái)是以符合四部委聯(lián)合發(fā)布的《黨政機(jī)關(guān)、事業(yè)單位和國(guó)有企業(yè)互聯(lián)網(wǎng)網(wǎng)站安全專項(xiàng)整治行動(dòng)方案》(簡(jiǎn)稱2562號(hào)文件)為出發(fā)點(diǎn)，針對(duì)園區(qū)網(wǎng)、云計(jì)算中心、行業(yè)垂直網(wǎng)絡(luò)及政府橫向網(wǎng)絡(luò)等場(chǎng)景，解決網(wǎng)站及業(yè)務(wù)系統(tǒng)使用權(quán)和管理權(quán)分離導(dǎo)致運(yùn)維過(guò)程中問(wèn)題而精心研發(fā)的一款治理型平臺(tái)類產(chǎn)品。

“RayGate具有對(duì)內(nèi)部網(wǎng)站的自學(xué)習(xí)能力，免去人工添加的煩惱，并可有效發(fā)現(xiàn)私建網(wǎng)站及僵尸網(wǎng)站。其采用旁路部署，而且上線簡(jiǎn)單，不影響網(wǎng)絡(luò)拓?fù)?，可?shí)現(xiàn)三級(jí)部署及管理。而且，每四個(gè)月，我們就會(huì)對(duì)RayGate進(jìn)行快速的迭代升級(jí)。從而保證該產(chǎn)品滿足用戶的需求，并最大化的幫助他們提升工作效率。”李春鵬說(shuō)。

【51CTO原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文作者和出處為51CTO.com】