每個人都有自己的夢想，這個夢想或大或小，這個夢想或虛幻或真實?，F(xiàn)實生活中，我們總會有想要改變現(xiàn)狀的小夢想。要么是去風(fēng)景秀麗的地方旅游，要么是期待自己能夠加薪，要么是讓自己的工作更加的順心如意，要么……

      拿就職于某大型企業(yè)的安全管理員小張來說，他就一直有個非常實際的夢想。公司曾被攻擊者多次針對Web發(fā)起攻擊，尤其是網(wǎng)站被篡改多次而不曾及時發(fā)現(xiàn)。公司網(wǎng)站多且分散，無法管理。作為公司的安全管理員，小張夢想著能夠：

◆我的地盤我做主;

◆什么系統(tǒng)上線我說了算;

◆系統(tǒng)在哪里我都知道;

◆系統(tǒng)干了什么我都了解;

◆系統(tǒng)有什么弱點我都清楚;

◆出了任何問題立刻定位;

◆找得到人，斷得了網(wǎng)。

然而，現(xiàn)實卻是這樣的：

◆都說是我的地盤，可我做不了主

◆線上有哪些系統(tǒng)真是不知道

◆系統(tǒng)在哪里，歸誰管我也不清楚

◆這系統(tǒng)有什么漏洞，都干了什么我更不清楚

◆出了事了，都來找我，可我該找誰?

◆斷網(wǎng)?連系統(tǒng)在哪都不知道，怎么斷網(wǎng)?

小張只想說：“這夢想與現(xiàn)實的差距太大了，誰能救救我?”

如何才能讓他夢想成真?

      近日，盛邦安全在WOTA峰會現(xiàn)場接受51CTO記者采訪時表示，像小張遇到的這種情況很普遍，并非個例。隨著互聯(lián)網(wǎng)的發(fā)展，越來越多的業(yè)務(wù)依托于Web系統(tǒng)。雖然很多的企業(yè)都非常注重Web安全，但是大多把注意力放到了防護上，而忽視Web系統(tǒng)的安全管理。目前，使用權(quán)與管理權(quán)的分離導(dǎo)致了Web系統(tǒng)的治理問題尤為突出，例如：私搭亂建、網(wǎng)站無法及時退運、缺乏審核手段等都可能給黑客攻擊以可乘之機。

      盛邦安全強調(diào)說：“安全是動態(tài)改變的，Web安全在朝兩個方向發(fā)展，一個是安全防護之前的風(fēng)險控制，在攻擊到來之前盡可能降低系統(tǒng)受到攻擊的可能性。另一個是安全防護之后的感知，通過檢測及時發(fā)現(xiàn)網(wǎng)絡(luò)受到的攻擊，及時告警和溯源，形成完善的安全體系。三分技術(shù)，七分管理。在做好安全防護的同時，也要做好管理。”因此，Web安全不能僅做針對外部的防護，也應(yīng)注重內(nèi)部的治理，Web安全=治理+防護。

      目前，企業(yè)通用的方式是通過IP，或者DNS解析來控制網(wǎng)站能否對外提供服務(wù)。但是以IP形式進行網(wǎng)站控制，安全管理人員無法統(tǒng)計到這個IP上運行著多少網(wǎng)站，開通了多少服務(wù)。此外，很多網(wǎng)站管理者在解析服務(wù)器上配置的是泛解析，這樣導(dǎo)致通過二級或者三級域名建立的網(wǎng)站無法統(tǒng)計到。這就最終導(dǎo)致了企業(yè)無法“摸清家底”，留下了安全隱患。

      針對Web安全治理問題，雖然運維人員很重視，但是往往缺少一種有效的手段。安全管理人員要想全面的了解公司系統(tǒng)安全情況，實現(xiàn)對Web系統(tǒng)的可知、可感、可查和可控，需要對整個Web系統(tǒng)的全生命周期進行管理，建立新一代Web安全治理體系。依托于多年在Web安全領(lǐng)域所積累的豐富經(jīng)驗，盛邦安全總結(jié)出了以下Web安全治理思路：

      第一步，自動學(xué)習(xí)所有在運站點。這是Web安全治理第一步，要“摸清家底”。通過技術(shù)手段分析鏡像流量進行Web資產(chǎn)自學(xué)習(xí)，識別包括IP、域名、端口、網(wǎng)站名稱等信息。從而及時了解網(wǎng)絡(luò)中有哪些網(wǎng)站及業(yè)務(wù)系統(tǒng)在提供服務(wù)，自動識別疑似不合規(guī)Web系統(tǒng)。

      第二步，建立在線的網(wǎng)站安全準(zhǔn)入機制，對所有Web系統(tǒng)備案、評估后再允許對外服務(wù)。備案管理提供公安備案管理以及組織自用備案管理系統(tǒng)，明確各Web系統(tǒng)的所有人、用途等各類信息，并提供備案申請、備案審核等流程。

      第三步，建立網(wǎng)站運營日常監(jiān)控機制，對運營系統(tǒng)持續(xù)進行安全巡檢，包括流量被動檢測。對網(wǎng)站進行安全檢測的主要內(nèi)容包含：網(wǎng)站篡改監(jiān)控，暗鏈/黑鏈檢測，敏感詞的監(jiān)控，Web漏洞檢測、系統(tǒng)漏洞檢測、后門掃描、網(wǎng)絡(luò)釣魚檢測、網(wǎng)站木馬和弱口令檢測等。

      第四步，一鍵斷網(wǎng)+安全設(shè)備聯(lián)動，實行有效地應(yīng)急和處理機制，對發(fā)現(xiàn)的不合規(guī)或不安全的Web站點進行阻斷。并可配合微信進行智能阻斷。

      最終，結(jié)合流量分析、指紋分析、報表功能和漏洞管理等其他安全功能，從網(wǎng)站誕生到結(jié)束形成一個閉環(huán)，實現(xiàn)Web系統(tǒng)的全生命安全周期管理。

      基于以上Web安全治理思路，盛邦安全研發(fā)了RayGateWeb安全治理平臺。該平臺是以符合四部委聯(lián)合發(fā)布的《黨政機關(guān)、事業(yè)單位和國有企業(yè)互聯(lián)網(wǎng)網(wǎng)站安全專項整治行動方案》(簡稱2562號文件)為出發(fā)點，針對園區(qū)網(wǎng)、云計算中心、行業(yè)垂直網(wǎng)絡(luò)及政府橫向網(wǎng)絡(luò)等場景，解決網(wǎng)站及業(yè)務(wù)系統(tǒng)使用權(quán)和管理權(quán)分離導(dǎo)致運維過程中問題而精心研發(fā)的一款治理型平臺類產(chǎn)品。

  “RayGate具有對內(nèi)部網(wǎng)站的自學(xué)習(xí)能力，免去人工添加的煩惱，并可有效發(fā)現(xiàn)私建網(wǎng)站及僵尸網(wǎng)站。其采用旁路部署，而且上線簡單，不影響網(wǎng)絡(luò)拓?fù)?，可實現(xiàn)三級部署及管理。而且，每四個月，我們就會對RayGate進行快速的迭代升級。從而保證該產(chǎn)品滿足用戶的需求，并幫助他們提升工作效率。”李春鵬說。