隨著信息化的發(fā)展，政府以及大型企業(yè)的對(duì)外宣傳及服務(wù)、對(duì)內(nèi)辦公逐漸向Web上遷移，從而出現(xiàn)了眾多的門戶網(wǎng)站以及業(yè)務(wù)系統(tǒng)。隨著這些網(wǎng)站及業(yè)務(wù)系統(tǒng)與政府、企業(yè)的形象及業(yè)務(wù)的不斷融合，其重要程度也不斷提升，尤其是在垂直行業(yè)中更為重要。因此，網(wǎng)站和業(yè)務(wù)系統(tǒng)也成為黑客的主要攻擊目標(biāo)。本文既是圍繞垂直行業(yè)的門戶網(wǎng)站及業(yè)務(wù)系統(tǒng)的安全建設(shè)展開。為了表達(dá)上的簡潔，后文所提到的網(wǎng)站無特殊說明均是指廣義上的網(wǎng)站——以http/https協(xié)議進(jìn)行通信并使用瀏覽器進(jìn)行訪問的系統(tǒng)，既包含門戶網(wǎng)站及業(yè)務(wù)系統(tǒng)。

垂直行業(yè)的網(wǎng)站有哪些問題？

　　1、篡改問題：篡改主要集中在門戶網(wǎng)站以及對(duì)外提供服務(wù)的業(yè)務(wù)系統(tǒng)，而且一旦發(fā)生篡改，影響范圍較廣，是管理人員普遍關(guān)心的問題。

2、數(shù)據(jù)泄露：數(shù)據(jù)泄露從途徑可以分為兩大類，一種為通過外部攻擊者通過攻擊對(duì)外提供服務(wù)的網(wǎng)站非法獲取數(shù)據(jù)，此類途徑泄露的數(shù)據(jù)往往涉及用戶個(gè)人信息；第二種則是內(nèi)部業(yè)務(wù)系統(tǒng)的數(shù)據(jù)泄露，而此類數(shù)據(jù)泄露同樣也會(huì)引起嚴(yán)重問題。例如某大型公司就出現(xiàn)過此類問題，剛剛上線的新HR系統(tǒng)，第二天全員的工資情況及股權(quán)分配情況則被公布，引起公司“大地震”……

3、其他問題：除了篡改、數(shù)據(jù)泄露外，網(wǎng)站還面臨許多問題，比如釣魚、掛馬、暗鏈、敏感詞等等。而這些攻擊往往也具備某些行業(yè)特征，例如釣魚就可能在金融類行業(yè)比較嚴(yán)重；又例如在每年的7月份，招生類網(wǎng)站的釣魚情況會(huì)大幅升高。政府網(wǎng)站的暗鏈情況較其他行業(yè)更為嚴(yán)重等。

造成這些問題的原因有哪些？

1、配置不當(dāng)

對(duì)于在垂直行業(yè)內(nèi)有多年運(yùn)維經(jīng)驗(yàn)的管理人員來說，配置核查的重要性不言而喻。而配置核查的目的就是為了達(dá)到安全基線。簡單來說所謂安全基線規(guī)范，是為了確保通信網(wǎng)絡(luò)上的相關(guān)設(shè)備達(dá)到基本的防護(hù)能力要求而制定的一系列達(dá)標(biāo)基準(zhǔn)，是一套統(tǒng)一的安全設(shè)置指標(biāo)。類比于木桶原理，安全基線就相當(dāng)于木桶短板，是基本的安全要求。而這基本的要求在實(shí)現(xiàn)上卻問題重重。

2、漏洞缺乏管理

從計(jì)算機(jī)誕生開始漏洞就一直是安全的天敵，絕大多數(shù)的網(wǎng)絡(luò)攻擊是利用漏洞發(fā)起的。而漏洞缺乏管理是一個(gè)統(tǒng)稱，其包含兩大方面：漏洞數(shù)量眾多且頻發(fā)更新，管理人員很難及時(shí)發(fā)現(xiàn)；由于技術(shù)或安全意識(shí)不足，導(dǎo)致發(fā)現(xiàn)后未能及時(shí)修復(fù)

3、弱口令

弱口令往往是管理員的一個(gè)噩夢，有些是管理員自身的疏忽，比如圖例中某省的人口流動(dòng)管理系統(tǒng)，可利用用戶名：ldrk，密碼：ldrk，登錄查看多市的流動(dòng)人口情況。而更多的則是垂直行業(yè)內(nèi)部用戶的弱口令，123456、000000等均是常用口令。其他的并不一一列舉。

4、安全“外剛內(nèi)柔”

據(jù)統(tǒng)計(jì)80%的網(wǎng)絡(luò)攻擊來源自內(nèi)部，這種“內(nèi)部”攻擊分為兩種情況，一種是內(nèi)部人員由于操作不當(dāng)，個(gè)人電腦被黑客控制，從而被動(dòng)的成為黑客攻擊的跳板。第二種則是內(nèi)部人員的有意為之，垂直行業(yè)內(nèi)部用戶眾多，此類情況更容易發(fā)生。而實(shí)際上，大量的防御設(shè)備均部署在邊界，內(nèi)部疏于防范。從而導(dǎo)致一旦邊界失守，或內(nèi)部發(fā)起攻擊，服務(wù)器往往輕易淪陷。

對(duì)于垂直行業(yè)網(wǎng)站國家的政策要求

　　國家對(duì)網(wǎng)站安全提出過多個(gè)文件，其中應(yīng)該關(guān)注的應(yīng)該是去年9月30日四部委聯(lián)合發(fā)布的“網(wǎng)站安全專項(xiàng)政治行動(dòng)方案”，該方案除了對(duì)“黨政機(jī)關(guān)、事業(yè)單位和國有企業(yè)”提出了行動(dòng)要求外，其實(shí)還包括了很多具體的安全建議。核心內(nèi)容如下：

其中的“網(wǎng)站統(tǒng)一管理、統(tǒng)一防護(hù)、統(tǒng)一監(jiān)測”，”查找網(wǎng)站安全隱患并及時(shí)整改”等內(nèi)容，都體現(xiàn)了國家相關(guān)安全部門對(duì)于網(wǎng)站安全的思考。

講過了垂直行業(yè)網(wǎng)站安全目前的問題、造成問題的原因以及國家的相應(yīng)政策，下面將要來講一講在垂直行業(yè)被廣泛接受的監(jiān)控預(yù)警與態(tài)勢感知平臺(tái)的應(yīng)用。但需要明確的是，沒有絕對(duì)的安全，安全的本質(zhì)還是（至少目前還是）增加攻擊的成本。本文也是在一定限度上，并利用一些安全圈比較熱門的技術(shù)理念來解決垂直行業(yè)的網(wǎng)站在運(yùn)行時(shí)遇到的某幾類問題。

監(jiān)控預(yù)警與態(tài)勢感知平臺(tái)的應(yīng)用

　　習(xí)主席在“網(wǎng)絡(luò)安全和信息化工作座談會(huì)”上說過：“維護(hù)網(wǎng)絡(luò)安全，首先要知道風(fēng)險(xiǎn)在哪里，是什么樣的風(fēng)險(xiǎn)，什么時(shí)候發(fā)生風(fēng)險(xiǎn)，正所謂‘聰者聽于無聲，明者見于未形’。感知網(wǎng)絡(luò)安全態(tài)勢是基本的工作”。習(xí)主席在“419”會(huì)議上提出的內(nèi)容，擁有豐富的理論基礎(chǔ)。即安全正從傳統(tǒng)的以防護(hù)為核心朝兩個(gè)方向發(fā)展——風(fēng)險(xiǎn)控制與態(tài)勢感知。

基于這個(gè)理論，也引出了題目中所提出的垂直行業(yè)網(wǎng)站的監(jiān)控預(yù)警與態(tài)勢感知方案的架構(gòu)及能力。

典型的拓?fù)淙缦拢?/p>

在安全管理區(qū)部署監(jiān)控預(yù)警與態(tài)勢感知總控中心，作為大數(shù)據(jù)匯總分析、統(tǒng)一呈現(xiàn)以及策略下發(fā)平臺(tái)；并在各含有服務(wù)器的安全域以分布式方式部署探針，作為檢測引擎進(jìn)行數(shù)據(jù)采集；在服務(wù)器區(qū)前部署Web防護(hù)設(shè)備以及邊界部署抗D等設(shè)備，進(jìn)行攻擊防御的同時(shí)將攻擊情況發(fā)送給總控中心。

　　各分支機(jī)構(gòu)通常只承擔(dān)建設(shè)各自門戶網(wǎng)站，對(duì)于分支機(jī)構(gòu)的網(wǎng)站有兩種監(jiān)控方式：1.總部增加引擎數(shù)量，批量導(dǎo)入分支域名或IP，實(shí)現(xiàn)無感知遠(yuǎn)程監(jiān)測。2.各分支部署探針，在監(jiān)測的同時(shí)進(jìn)行防御。

方案核心能力

　　本方案包含四大核心能力，分別為資產(chǎn)發(fā)現(xiàn)及管理能力、監(jiān)控能力、安全基線配置核查能力、攻擊防護(hù)能力。

資產(chǎn)發(fā)現(xiàn)通過在網(wǎng)絡(luò)總出口或各安全域旁路部署的探針，通過流量學(xué)習(xí)自動(dòng)發(fā)現(xiàn)內(nèi)部網(wǎng)站，并能進(jìn)行被動(dòng)的Webshell檢測。從而發(fā)現(xiàn)內(nèi)部私搭濫建網(wǎng)站以及網(wǎng)站后門。

日常的監(jiān)控包括三大類——合規(guī)性檢查、風(fēng)險(xiǎn)控制、以及態(tài)勢感知。其中態(tài)勢感知中的攻擊監(jiān)測需要與防御設(shè)備聯(lián)動(dòng)。通過監(jiān)控能力，及時(shí)發(fā)現(xiàn)篡改、弱口令、釣魚、木馬、后門、可用性等網(wǎng)站常見問題。

安全基線核查部分通過各安全域部署的探針引擎或者單獨(dú)的可移動(dòng)檢測設(shè)備均可實(shí)現(xiàn)。安全基線方面，主要以合作方OWASP的各類安全基線為主，同時(shí)支持定制本行業(yè)的安全基線。

攻擊防護(hù)主要以各安全域及邊界部署的防御設(shè)備與管控中心聯(lián)動(dòng)，實(shí)現(xiàn)以管控中心為大腦來控制手和腳（防御設(shè)備）的統(tǒng)一協(xié)作能力。實(shí)現(xiàn)對(duì)于外部以及內(nèi)部攻擊的防御。

實(shí)施效果展示

　　通過該方案的建設(shè)，來幫助垂直行業(yè)的信息中心建立起一套針對(duì)其網(wǎng)站的監(jiān)控預(yù)警與態(tài)勢感知系統(tǒng)。從而實(shí)現(xiàn)2562號(hào)文件中所提及的“網(wǎng)站統(tǒng)一管理、統(tǒng)一防護(hù)、統(tǒng)一檢測”、“滿足等保要求”、“安全事件通報(bào)”。并解決基線核查、內(nèi)部攻擊、篡改、數(shù)據(jù)泄露等問題。