行业与区域监管部门网站检查技术支撑平台的需求与实践

平台与网站越来越多,问题更多

互联网服务平台及门户网站已经成为互联网时代政府机关企事业单位的形象代言,是政企单位展示自身形象的一个重要渠道。从国务院办公厅组织开展的第一次全国政府网站普查情况获悉,截至2015年11月,各地区、各部门共开设政府网站84094个。随着政务工作从信息公开向综合服务不断提升,以“互联网+”为理念,将会打造更多的政务信息数据服务平台和便民服务平台。

与此同时,Web页面被篡改,甚至出现违法信息,被挂暗链,SQL注入,XSS攻击等Web安全问题层出不穷,网站被黑事件屡见不鲜,对网站组织者的声誉和公信力造成巨大负面影响,不乏众多事实案例证明,Web门户页面是黑客入侵和攻击利用的重要突破口。

根据《中国互联网站发展状况及其安全报告(2016)》,2015年网页篡改、网站后门等攻击事件层出不穷,党政机关、科研机构、重要行业单位网站依然是黑客组织攻击特别是APT攻击的重点目标。2015年被植入后门的中国网站数量为75028个,较2014年增长86.7%,其中政府网站为3514个,较2014年增长130%。政府网站因公信力高、影响力大,容易成为黑客攻击目标,特别是地方政府网站成为“重灾区”。

网站安全检查渐成常态

近年来,国家相关部门针对网站尤其是政府网站推出了一系列政策文件,并组织了多次安全检查。国家对于网站安全的重视力度凸显,在短时间内高密度地发布各类通知及文件。

2011年5月国务院办公厅发布了《关于进一步加强政府网站管理工作的通知》(国办函〔2011〕40号),通知要求“各地区、各部门要对政府网站管理工作开展经常性的督促检查,并使之制度化、常态化,及时发现并妥善解决存在的问题。”

2014年5月网信办发布了《关于加强党政机关网站安全管理的通知》(中网办发文〔2014〕1号),通知提出“加大党政机关网站、电子邮件系统的安全检查力度,中央和国家机关各部门网站和省市两级党政机关门户网站、电子邮件系统等每半年进行一次全面的安全检查和风险评估。”

2014年底,公安部、国家发改委和财政部联合印发通知,明确要求对国家级重要信息系统/重点网站所在单位每年开展一次网络安全执法检查。

2015年3月国务院办公厅发布《关于开展第一次全国政府网站普查的通知》。同年9月四部委联合出台了《党政机关、事业单位和国有企业互联网网站安全专项整治行动方案》,要求各级政府网站主管部门要做好安全防范工作,要“加强网站安全监测、测评和检查,查找网站安全隐患并及时整改,落实网站防攻击、防篡改、防挂马等关键技术防范措施,组织开展应急演练,提高网站抵御攻击破坏的能力”。

重大事件必有网络安保

以上是针对日常安全隐患检查,在攻击发生前对网站安全隐患扫描及整改,通过检查手段尽量减少漏洞的方式,减少攻击发生。另外,针对“两会”、“重大体育赛事”、“重大会议”等重大国家重要活动,在做好各种安全防范措施的同时,必须要做好安全预案,及时防止入侵、避免攻击等安全事件的发生,一旦发生攻击事件了,我们应该第一时间发现并告警,应该通知哪些人,如何响应等等。

盛邦安全屡次承担重大事件网络保障工作,安保期间,Web站点都是网络攻击的焦点。过去,安全事件响应的时间往往是在攻击已经发生后较长时间,通过外部扩散造成负面影响后,才得到修复,造成的影响已无法挽回。通过盛邦安全威胁预警与态势感知平台,实时对网站的运行情况进行全方位监控,对于攻击做到近似于实时的发现,并通过预设的预警通报机制将相关信息第一时间通告给负责人以便快速采取补救措施。

我们通常认为,攻击不存在会不会发生的问题,只存在何时发生,如何发生的问题。针对攻击事件,通过技术平台,尽早发现攻击,减少攻击造成的损失。才会使我们在面对攻击时能够做到工作有条不紊,及时有效应对。

普遍部署安全设备的政府网站为什么还需要检查和监控?

通过剖析盛邦安全完成的重大安保任务和分析应急保障写过的应急报告,了解到,很多政企单位在通过常规检查,并且按要求部署了传统安全防御设备后,仍然还会爆出Web攻击事件发生。究其原因,有设备的部署和配置不当、新的漏洞曝光但发现不及时、更新补丁不及时、新的攻击在进化、传统技术更新跟不上攻击变化的脚步,等很多原因。所以现阶段看来,单单通过防御的方式来抵御现有的威胁是远不够的。

目前网络安全工作正在从过去的“防护”为核心向两个方向转移,一个方向是向前,强调对于攻击事件发生之前,进行风险管理和威胁预警,尽量降低网站被攻击的可能性。一个方向是向后,强调对于攻击事件发生后的及时发现和快速响应能力,尽量降低攻击造成的影响。

行业与区域监管部门网站检查技术支撑平台的需求与实践

安全大检查正是找出风险,降低被攻击可能的一个过程。重大事件安全保障,正是及时处理攻击,减少攻击影响的一个过程。这都是现阶段解决政府网站安全问题的有效手段。

网站检查与持续监控的操作方式

通常,针对网站检查与持续监控的传统操作方式有:自主上报,定期巡查,人工检查,现场排查,事件曝光后的应急处理等。然而,随着政务工作从信息公开向综合服务不断提升,以“互联网+”为理念,将会打造更多的政务信息数据服务平台和便民服务平台。面对网站数量众多,Web攻击形式复杂变化快等安全问题,仅通过人工方式日常检查或现场排查应急保障等方式,不仅耗费大量的人力和时间,而且监测结果还不够准确,难以实现实时、有效、快速、全面的检查与监测。

另外,网站安全保障工作渐有常态化趋势。一方面是因为网络安全的形式日益严峻,网站所面临的攻击越来越多,而且重大事件也越来越多,网站是网络攻击的焦点,与其每逢重大事件做事件性处置,不如引入常态机制更加有效。另一方面是攻击往往不是发生在一个时点,而是一个长期的复杂行为,很多时候攻击所利用的后门都是较长时间以前就植入在服务器里的,所以安全检查工作要常抓不懈,持续监控。

因此,非常有必要建立一套常态化的监测工具,实现实时扫描监测,及时发现系统风险,并在攻击事件发生后第一时间快速告警,减少攻击造成的危害。

盛邦安全网站威胁预警与态势感知平台建设的经验分享

盛邦安全(WebRAY)多次受政府部门和企事业单位委托,完成网站安全保障工作。作为国家网络与信息安全信息通报机制支撑单位,盛邦安全有着丰富的重大活动网站安保工作经验,是抗战胜利70周年阅兵和北京世锦赛安保工作支撑单位,也是13届冬运会和每年全国两会的支撑单位,烽火台多次成为国家网络安保的核心平台之一,可谓身经百战。

我们帮助很多主管部门建设了网站监控预警平台,并且收到了良好的效果。我们愿意把我们的工作经验和大家分享,希望能够帮助到您的工作。

服务目标:

监控预警服务,一般而言主要聚焦在资产发现、漏洞扫描、攻击监控、态势分析等目标。

资产发现:针对行业内或区域内的大批量门户网站、互联网服务平台、重要信息系统、违规网站等资产信息进行发现与识别,并持续深入学习。

漏洞扫描:针对发现的资产或需要重点保障网站,定期评估Web系统漏洞,核查基线标准配置策略,在管理界面实现安全风险的可视化。

攻击监控:针对重点保障网站或互联网服务平台,时时检测内容篡改,敏感词监控,持续进行暗链/黑链检测、网络钓鱼检测、网页木马检测、WebShell检测、弱口令检测。

态势分析:针对大范围,大数量的网站群或互联网服务平台,进行量化分析,可视化呈现威胁状态,并提供定制化报表。

部署方式:

本平台部署在监管部门数据中心,通过远程扫描和监控的形式,对行业或区域内网站及互联网服务平台进行安全保障服务。

行业与区域监管部门网站检查技术支撑平台的需求与实践

服务能力:

提供7×24小时不间断监控服务,分布式引擎部署,单引擎支持数百站点,单平台支持4096引擎,多平台支持集群扩展,此方案可支持超大数量站点。

提供周期检查与时时监测,通过资产深度学习技术,针对Web业务平台可定期进行远程Web漏洞风险评估,针对OWASP TOP10分类详细,将利用已知漏洞攻击的可能性降到最低;针对重点保障网站,进行时时检测,一旦发生攻击事件将负面影响降到最低,可主动发现内容篡改,敏感词报警,暗链/黑链、网络钓鱼、网页木马、WebShell等恶意行为,响应时间30分钟以内,监测实时攻击并第一时间告警,提供包括短信、邮件、syslog、SNMP等多种告警方式,为用户提供应急响应技术支撑。

“烽火台”威胁预警与态势感知平台保证了监控的持续性的同时具备突发攻击事件及时响应与处理能力。除此之外,针对大范围的网站利用自动化的手段进行监控,并提供三种类型(检测报告、详细报表、审计报表)四种格式(word、excel、html、pdf)报表,有效的减低了人工成本。

成功案例:

某市公安网站威胁预警与态势感知平台建设

行业与区域监管部门网站检查技术支撑平台的需求与实践

该市为国家直辖市,国家中心城市,超大城市,经济繁荣,承担国家重要活动重大事件多,影响大,市级重点网站数量2000+。日前,各类网站被攻击趋于频繁,攻击手段也是越来越恶劣,为了应对日趋严峻的网络信息安全形势,该市公安委托盛邦安全建立威胁预警与态势感知平台,对该市重点网站进行安全管理,将政府各门户网站和金融、能源、交通、教育及卫生等网站站点和互联网服务平台纳入综合管理,对网站和重要信息系统实现漏洞监测和报警。

行业与区域监管部门网站检查技术支撑平台的需求与实践

盛邦安全威胁预警与态势感知平台由总部管控中心和探测引擎两大部分架构组成。部署四台服务Server,总部一台为总部管控中心,下属分局三台为分散引擎,整个系统以分布式部署,集中管控的方式搭建。其中管控中心负责扫描任务的配置、调度、统计、展示等管理功能,扫描引擎接受来自于管理中心的任务,将扫描监控结果发送到管理中心。

行业与区域监管部门网站检查技术支撑平台的需求与实践

盛邦安全威胁预警与态势感知平台,提供常规Web漏洞扫描监控服务、Web应用业务可用性监测、网页挂马及暗链检测、WebShell检测、页面篡改和敏感内容监控、针对常规攻击检测并提供多种告警方式,包括短信、邮件、syslog、SNMP等多种告警方式。

通过盛邦安全威胁预警与态势感知平台,对该市的重大事件安全保障能力,提供了有效的技术支撑。

结束语

目前网络安全工作正在从过去的“防护”为核心向两个方向转移,一个方向是向前,强调对于攻击事件发生之前,进行风险管理和威胁预警,尽量降低网站被攻击的可能性。一个方向是向后,强调对于攻击事件发生后的及时发现和快速响应能力,尽量降低攻击造成的影响。

网站大检查常态化趋势,监管部门监测任务日趋繁琐。一方面是因为网络安全的形式日益严峻,网站所面临的攻击越来越多,而且互联网服务平台也越来越多,互联网网站是网络攻击的焦点,与其仅靠人工方式日常检查或应急保障现场排查等方式,不如引入常态机制更加有效;另一方面就是攻击往往不是发生在一个时点,而是一个长期的复杂行为,很多时候攻击所利用的后门都是较长时间以前就植入在服务器里的,所以日常监测工作要常抓不懈。

综上,针对互联网服务平台及门户网站检查工作,行业与地方监管部门,建立一套常态化的利用自动化手段的检查与监测技术支撑平台,迫在眉睫。

转载请注明:安全主题

转载请注明:安全主题 » 行业与区域监管部门网站检查技术支撑平台的需求与实践

赞 (0)

评论 0

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址