隨著“政務(wù)公開”、“互聯(lián)網(wǎng)+政務(wù)服務(wù)”等改革措施的不斷提出及深化,網(wǎng)站逐漸成為承擔(dān)改革任務(wù)的重要角色,其安全問題也受到了國(guó)家的關(guān)注。近年來國(guó)家相關(guān)部門針對(duì)網(wǎng)站尤其是政府網(wǎng)站組織了多次安全檢查,并推出了一系列政策文件。而今年的政府網(wǎng)站安全檢查也將于近日展開。
作為多次為“兩會(huì)”、“9.3閱兵”、“冬運(yùn)會(huì)”等國(guó)家重要活動(dòng)提供網(wǎng)絡(luò)安保支撐、應(yīng)急工作、以及多次支持國(guó)家網(wǎng)站安全檢查活動(dòng)的盛邦安全,根據(jù)自身經(jīng)驗(yàn),與大家分享一些對(duì)于網(wǎng)站安全檢查的看法,希望能與各位共同探討。
為什么政府網(wǎng)站需要安全檢查?
從管理上來看:近5年我國(guó)的政府網(wǎng)站數(shù)量呈現(xiàn)快速增長(zhǎng)趨勢(shì),雖然有些地區(qū)已經(jīng)開展網(wǎng)站收口工作,但全國(guó)整體進(jìn)展較慢。與網(wǎng)站數(shù)量的快速增長(zhǎng)相反,政府部門的安全管理人員及制度嚴(yán)重缺失,網(wǎng)站往往是“有人建,無人管;有人用,無人防“的狀態(tài)。另外,政府內(nèi)部的網(wǎng)站也存在”私搭亂建”的情況,退運(yùn)網(wǎng)站也缺少有效的管理。而日常的行政文件式管理,可能存在部分人員不及時(shí)處理的情況。
從技術(shù)上來看:除了安全人員以及制度嚴(yán)重缺失外,其網(wǎng)站的安全防護(hù)更是量小力微。提到安全,大家往往想到的是防火墻、終端殺毒等產(chǎn)品,但防火墻對(duì)于應(yīng)用層攻擊,尤其是Sql注入、跨站等針對(duì)網(wǎng)站的攻擊無能為力。 而且現(xiàn)階段讓所有的政府部門均配備專業(yè)的網(wǎng)站安全設(shè)備很難實(shí)現(xiàn)。
另外,目前解決網(wǎng)絡(luò)安全問題的思路正從傳統(tǒng)的以防護(hù)為核心逐漸朝兩個(gè)方向發(fā)展。一個(gè)是向前,即風(fēng)險(xiǎn)的管理,目的是降低系統(tǒng)被攻擊的可能性;一個(gè)是向后,即態(tài)勢(shì)感知,目的是第一時(shí)間發(fā)現(xiàn)攻擊,將損失降到最低。而安全檢查正是找出風(fēng)險(xiǎn),并降低風(fēng)險(xiǎn)的一個(gè)過程,也是現(xiàn)階段解決政府網(wǎng)站安全問題的一個(gè)有效手段。
安全檢查該檢查些什么?
“摸清家底,認(rèn)清風(fēng)險(xiǎn),找出漏洞,通報(bào)結(jié)果,督促整改。”習(xí)大大在“419”會(huì)議上通過5個(gè)詞語明確的指出了網(wǎng)絡(luò)安全檢查的整個(gè)流程及目的。網(wǎng)站的安全檢查也是如此,首先我們要摸清一個(gè)區(qū)域內(nèi)到底有多少政府網(wǎng)站,并要檢查好網(wǎng)站的運(yùn)行狀態(tài)以及備案情況。然后深入檢查這些網(wǎng)站所存在的風(fēng)險(xiǎn),其中包含管理以及技術(shù)方面,管理方面包括是否有完善的安全管理制度、負(fù)責(zé)人員是否明確等;而技術(shù)方面包含配置合理性、口令的安全性,而其中重要的一項(xiàng)就是要能夠發(fā)現(xiàn)網(wǎng)站的漏洞。因?yàn)楦鶕?jù)統(tǒng)計(jì),85%的網(wǎng)絡(luò)攻擊都是因?yàn)槁┒匆鸬摹6娴穆┒礄z測(cè)應(yīng)該能夠覆蓋TCP/IP四層——包含系統(tǒng)、數(shù)據(jù)庫、中間件、Web層漏洞。但除了漏洞以外,還應(yīng)該包含網(wǎng)站木馬、暗鏈以及后門的檢測(cè)。
根據(jù)盛邦安全對(duì)于反共黑客的研究,其發(fā)現(xiàn)網(wǎng)站漏洞后,往往會(huì)先向網(wǎng)站植入Webshell工具,并將漏洞修補(bǔ)(這樣防止其他黑客控制)。然后定期進(jìn)行探測(cè)是否仍然可控,最后每逢國(guó)內(nèi)重大活動(dòng)時(shí),其就會(huì)對(duì)網(wǎng)站進(jìn)行篡改。所以單純的漏洞檢測(cè)對(duì)于事先植入的木馬、暗鏈、后門等束手無策。
在“認(rèn)清風(fēng)險(xiǎn)”及“找出漏洞”以后,就要進(jìn)行結(jié)果的匯總及上報(bào),并對(duì)有問題的網(wǎng)站進(jìn)行督促整改。
盛邦安全的一些建議
網(wǎng)站安全檢查通常由各地的主管部門負(fù)責(zé),主管部門通過投入人員以及利用相應(yīng)技術(shù)手段對(duì)其負(fù)責(zé)區(qū)域的政府網(wǎng)站進(jìn)行檢查。對(duì)于主管部門,安全檢查也存在以下幾個(gè)難點(diǎn):1、工作量大,區(qū)域內(nèi)往往有大量網(wǎng)站需要檢查;2、呈現(xiàn)不直觀,分散檢查需要集中匯報(bào),上級(jí)部門在統(tǒng)計(jì)和結(jié)果呈現(xiàn)都有很大問題;3、檢查的完整性及準(zhǔn)確性。
因此在選擇技術(shù)時(shí)應(yīng)該盡可能解決以上幾個(gè)問題。盛邦安全建議使用遠(yuǎn)程網(wǎng)站安全檢測(cè)系統(tǒng),通過批量添加需檢查的域名或IP地址實(shí)現(xiàn)遠(yuǎn)程檢測(cè)。檢測(cè)范圍應(yīng)包括Web漏洞、系統(tǒng)漏洞以及中間件、數(shù)據(jù)庫漏洞,暗鏈,木馬,后門以及弱口令。
為應(yīng)對(duì)大規(guī)模的網(wǎng)站檢查,遠(yuǎn)程網(wǎng)站安全檢測(cè)系統(tǒng)要考慮可拓展性以及高性能問題。
第三就是要有基于主管部門需求的界面展現(xiàn)以及檢測(cè)內(nèi)容的展現(xiàn)。
同時(shí),在選擇檢查方式時(shí),不應(yīng)簡(jiǎn)單的選擇產(chǎn)品,而是應(yīng)該更注重配套的安全服務(wù)能力。這樣才能更好的發(fā)揮產(chǎn)品能力以及得到網(wǎng)站安全更全面的分析。
盛邦安全烽火臺(tái)-網(wǎng)站安全檢測(cè)系統(tǒng)通過沙箱技術(shù)、威脅情報(bào)、漏洞掃描等技術(shù)以云SaaS形態(tài)為主管部門提供完整的網(wǎng)站安全檢查。檢查內(nèi)容包含網(wǎng)站可用性,暗鏈,Web層、系統(tǒng)層、中間件、數(shù)據(jù)庫漏洞,網(wǎng)站木馬、弱口令、后門以及網(wǎng)絡(luò)釣魚。該系統(tǒng)適用于大規(guī)模的網(wǎng)站檢測(cè),并根據(jù)盛邦安全豐富的實(shí)踐經(jīng)驗(yàn),為相關(guān)部門提供專業(yè)的人員支持以及符合需求的可定制統(tǒng)計(jì)、呈現(xiàn)界面及報(bào)告。