400-626-7377【專家視點】淺論網(wǎng)站群治理面臨的問題
網(wǎng)站群治理面臨的問題通過對政府、高校、大型企業(yè)等用戶的網(wǎng)站及業(yè)務(wù)系統(tǒng)的安全現(xiàn)狀的研究,網(wǎng)站群的治理主要面臨以下四個方面問題:
管理難度大
網(wǎng)站數(shù)量眾多,小且分散;雖然開展了站群建設(shè),但仍有外部網(wǎng)站,管理成本高
沒有明確的備案管理系統(tǒng),工作主要依靠人工,責任劃分不明確
私搭亂建現(xiàn)象嚴重,不易檢測
退運的網(wǎng)站,缺乏有效管理手段,常常成為孤島網(wǎng)站
缺少風險發(fā)現(xiàn)能力
網(wǎng)站以及內(nèi)部業(yè)務(wù)系統(tǒng)存在弱口令,存在較大風險
85%以上的攻擊是利用安全漏洞發(fā)起,但由于缺乏檢測機制,無法發(fā)現(xiàn)下設(shè)網(wǎng)站業(yè)務(wù)系統(tǒng)存在的漏洞風險
網(wǎng)站被植入后門,導致黑客可以長期越過防護設(shè)備控制服務(wù)器
缺少安全監(jiān)控機制
對篡改、暗鏈、敏感詞等網(wǎng)站內(nèi)容缺乏監(jiān)控手段,出現(xiàn)問題無法第一時間響應(yīng)
監(jiān)控網(wǎng)站,防止網(wǎng)站掛馬而導致的用損失
對已上線網(wǎng)站缺少定期漏洞檢測,對突發(fā)事件無法對下設(shè)網(wǎng)站整體進行檢測
缺少安全防護手段
網(wǎng)站防攻擊、防篡改、防掛馬
傳統(tǒng)防火墻無法防御針對Web的攻擊
缺少統(tǒng)一管理、統(tǒng)一監(jiān)測、統(tǒng)一防護平臺
對于安全攻擊不能及時響應(yīng)、溯源
“摸清家底,認清風險,找出漏洞,通報結(jié)果,督促整改” 針對網(wǎng)站管理者日常運維中遇到的問題,以及國家相應(yīng)要求,WebRAY總結(jié)出網(wǎng)站群治理的大核心能力。
① 及時了解網(wǎng)絡(luò)內(nèi)有哪些網(wǎng)站在提供服務(wù)
② 網(wǎng)站上線前必須經(jīng)過審核、備案及安全檢查
③ 實時監(jiān)控每個網(wǎng)站的安全情況
④ 能夠確保發(fā)布內(nèi)容的合法合規(guī)
⑤ 對于不合格網(wǎng)站(私建、不安全、無標識)具有自動退運機制
⑥ 發(fā)生攻擊要快速發(fā)現(xiàn),快速響應(yīng),并能溯源
⑦ 對于典型攻擊要有防御能力
⑧ 對于篡改攻擊要有復原能力
⑨ 網(wǎng)站運行情況建立基線數(shù)據(jù)
核心能力解析:
資產(chǎn)自動發(fā)現(xiàn)摸清網(wǎng)絡(luò)內(nèi)網(wǎng)站及業(yè)務(wù)系統(tǒng)的數(shù)量是管理的第一步。WebRAY網(wǎng)站群治理平臺通過在網(wǎng)絡(luò)出口旁路部署,自動發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)對外提供訪問的網(wǎng)站及業(yè)務(wù)系統(tǒng)。對于內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)的發(fā)現(xiàn),可以通過在各安全域部署探針,發(fā)現(xiàn)內(nèi)部基于Web訪問的業(yè)務(wù)系統(tǒng),并將內(nèi)容匯總到網(wǎng)站群治理平臺。
網(wǎng)站安全準入能力根據(jù)2562號文件要求,政府部門開辦的網(wǎng)站要進行備案。備案也是網(wǎng)站管理的一個必備步驟。WebRAY網(wǎng)站群治理平臺具有備案審核機制并將安全檢查融合在備案過程中。網(wǎng)站的安全準入實現(xiàn)邏輯如下:
每個網(wǎng)站的狀態(tài)分為四種待審核、已審核、已駁回、未申請。管理人員可通過平臺實現(xiàn)對網(wǎng)站及業(yè)務(wù)系統(tǒng)的審核工作。在備案過程中,還要能夠?qū)W(wǎng)站的安全情況進行檢測,實現(xiàn)網(wǎng)站安全準入。
網(wǎng)站安全監(jiān)控與檢查 WebRAY網(wǎng)站群治理平臺利用安全檢查引擎對下設(shè)重點網(wǎng)站與業(yè)務(wù)系統(tǒng)進行安全監(jiān)控,其中安全監(jiān)控模塊包括基本配置功能以及可選功能兩大部分。基本功能包含以下三項:
1、內(nèi)容監(jiān)控:
包括篡改監(jiān)控、敏感詞監(jiān)控、以及暗鏈監(jiān)控。其中篡改檢測采用自主知識產(chǎn)權(quán)的頁面矢量比較算法,能夠識別頁面正常更新和篡改。暗戀檢測采用動態(tài)沙箱技術(shù)檢測js動態(tài)生成的暗鏈,css暗鏈等。敏感詞檢測采用語義分析技術(shù)針對政治、色情、犯罪等敏感信息進行檢測。發(fā)現(xiàn)不合規(guī)內(nèi)容及時告警,并可以通過配置對高危問題自動進行阻斷,WebRAY治理平臺同時提供專業(yè)的處理意見。
2、漏洞檢測:
漏洞檢測包含Web漏洞、系統(tǒng)漏洞、數(shù)據(jù)庫漏洞、中間件漏洞。目前該系統(tǒng)支持OWASP定義的Web威脅和及其相關(guān)的漏洞掃描監(jiān)控服務(wù)。通過遠程的Web應(yīng)用業(yè)務(wù)漏洞掃描服務(wù),由安全專家定期進行Web應(yīng)用業(yè)務(wù)結(jié)構(gòu)分析、漏洞分析,即時獲得Web應(yīng)用業(yè)務(wù)的漏洞情況,以及修補建議。
3、后門檢測:
WebRAY網(wǎng)站群治理平臺不同于傳統(tǒng)的網(wǎng)站后門檢測,不需要在服務(wù)器上安裝檢測插件,而是通過對流量的分析,以及自有的后門傳輸特征庫,實現(xiàn)對Webshell的檢測。
可選增強功能包含:網(wǎng)絡(luò)釣魚檢測、網(wǎng)站木馬檢測、網(wǎng)站可用性檢測。
1、網(wǎng)絡(luò)釣魚監(jiān)測
通過構(gòu)建可信URL數(shù)據(jù)庫、IP信譽和自動化的掃描輔助以人工確認等綜合手段,從而構(gòu)建高效、準確的反釣魚監(jiān)控系統(tǒng)。
2、網(wǎng)站木馬監(jiān)測
采用業(yè)內(nèi)領(lǐng)先的一體化掛馬檢測技術(shù),高效、準確的識別網(wǎng)站頁面中的惡意代碼,從而使的網(wǎng)站管理員能夠第一時間感知網(wǎng)站的安全狀態(tài),及時清除網(wǎng)頁木馬,避免給用戶帶來安全威脅,繼而影響網(wǎng)站信譽。
3、可用性監(jiān)測
Web應(yīng)用業(yè)務(wù)可用性、Web應(yīng)用業(yè)務(wù)從不同線路來訪問得速度情況、Web應(yīng)用業(yè)務(wù)響應(yīng)時間,從而判斷是否能達到最優(yōu)、最安全的服務(wù)質(zhì)量。一旦發(fā)現(xiàn)網(wǎng)站無法訪問,第一時間通知用戶。
告警能力 WebRAY網(wǎng)站群治理平臺提供了多種告警方式,發(fā)布網(wǎng)站遭受篡改、暗鏈等攻擊的及時信息,以便應(yīng)急響應(yīng),發(fā)布最新的安全漏洞以及相關(guān)新聞。告警方式包括短信、郵件、syslogSNMP等多種告警方式。
旁路阻斷能力 WebRAY 網(wǎng)站群治理平臺為了在不影響客戶網(wǎng)絡(luò)拓撲的情況下,又能具備對不合規(guī)、不安全的網(wǎng)站進行阻斷的目的,在平臺內(nèi)增加了旁路阻斷能力。通過分析網(wǎng)絡(luò)流量,可以阻斷訪問者對于不合規(guī)、不安全站點的訪問請求,并進行告警,提醒修復。
通過阻斷能力可以有效降低風險,并及時阻斷被篡改網(wǎng)站,將攻擊危害降到最低。
網(wǎng)站攻擊防御與溯源能力(可選)
Web安全防護
WebRAY網(wǎng)站群治理平臺可通過擴展,實現(xiàn)與防御設(shè)備的聯(lián)動。根據(jù)監(jiān)測到的威脅,自動制定防護策略,并啟動平臺具有的SQL注入/XSS防護、Web常規(guī)攻擊防護、掃描防護、Cookie安全防護、URL ACLCSRF防護、HTTP協(xié)議防護、ARP欺騙防護、信息過濾防護、非法下載防護、非法上傳防護、Web內(nèi)容安全防護、頁面盜鏈、爬蟲防護、流量攻擊防護等防護模塊進行防護。
2)篡改防護
平臺提供內(nèi)核級防護,保護頁面不會被非法篡改。Windows防篡改支持32位和64位系統(tǒng),Linux防篡改支持32位和64位系統(tǒng)。
3Webshell防護
WebRAY治理平臺能夠?qū)崟r檢測過濾WebShell發(fā)起的各種攻擊命令,阻斷利用WebShell 發(fā)起的掛馬、文件下載、端口掃描、內(nèi)容篡改等各種攻擊和非法操作。
“有人建,有人管;有人用,有人防” WebRAY治理平臺通過大核心能力來解決網(wǎng)站群治理中四大主要問題,從而協(xié)助網(wǎng)絡(luò)管理者進行網(wǎng)站群治理,并符合國家2562號文件規(guī)定,最終使轄區(qū)內(nèi)的所有網(wǎng)站實現(xiàn)“有人建、有人管;有人用,有人防”。
