绿盟网站安全解决方案白皮书

近些年来,随着互联网技术的发展以及电子商务和电子政务的普及,各党政机关、企事业单位面临的网站安全问题也随之凸显出来。为了继续发挥互联网经济产生效益和优势,需要我们必须积极应对网站安全问题。

一. 问题与挑战

1.1 企业和机构网站面临的安全问题

目前,国内安全形势非常严峻,网站面临的安全问题大量涌现。首先,网站系统需要应对和处置的安全隐患与漏洞越来越多,需要企业和机构进一步加强对网站漏洞及安全隐患的管理和控制。据CNCERT发布的《2016年中国互联网网络安全报告》显示,2016年CNVD共收录了安全漏洞10822个,该数字较2015年增长29.8%。其次,针对网站的攻击行为越来越多。仅2016年G20峰会期间,绿盟科技在杭州地区捕获和拦截的各类Web攻击超过200万次。最后,国内网站安全事故频发,已对我国社会和互联网经济造成一定影响。据CNCERT发布的《2016年中国互联网网络安全报告》显示,2016年CNCERT/CC监测发现,我国境内约 1.7 万个网站被篡改,平均每天有将近50个网站被篡改,另外我国境内8万余个网站被植入木马,平均每天有200余个网站被植入木马。另外,根据媒体报道,仅2016年12月发生的一次网站安全事故就造成数千万人个人隐私泄露。

近年来,国家越来越重视网站安全风险、安全事故相关的问题,并不断加大网站安全的监管力度。中央网络安全和信息化领导小组成立后,发布的第一个文件就是《关于加强党政机关网站安全管理的通知》,该文就各级党政机关及企事业单位开展网站安全管理提出若干条指导意见。此外,《网络安全法》于2017年6月1日正式执行,该法令中第三十九条明确指出“国家主管机构应当对关键基础设施的安全风险进行抽查检验,提出改进措施,同时需定期组织关键信息基础设施的运营者进行网络安全应急演练,提高应对网络安全事件的水平和协同配合能力”,与此同时,该法令中第三十八条也明确指出“关键基础设施的运营者应当自行或者委托网络安全服务机构对其网络安全性和可能存在的风险每年至少进行一次检测和评估”。最后,国家各级监管部门加大检查力度,近几年多次开展重要保障活动及安全专项检查工作,并且每次重要保障任务和专项检查工作的重点都包括对互联网网站检测和治理。

1.2 企业和机构面临的挑战

按照网站安全管理的职能划分,企业和机构可以分为两类,一类是具有网站安全监管职能的企业和机构,另外一类是没有监管职能的企业和机构。具有监管职能的企业和机构需要对本部的网站系统进行安全管理,还需要对下级单位或监管对象的数量众多的网站进行定期检查并敦促整改,这对具有监管职能的企业和机构带来了技术上和管理上的挑战。对于普通企业和机构,为了能确保网站符合国家法律和行业规范的要求,在网站安全管理上需要从安全事故管理上向安全风险管理转变,在安全管理目标和内容上,需要从之前偏重于网站安全事故的发现和处理,逐步向减少网站安全隐患,预防安全事故发生转变。这需要企业和机构在原有网站安全管理基础上整合已有资源和第三方资源,一方面通过定期检查和消除网站存在的漏洞和隐患,另外一方面加强对安全事故监测,及时发现并处置篡改、挂马、黑链、敏感内容、数据泄密等多类网站安全事故,将安全事故带来的损失和影响降低到最低。

二. 绿盟网站安全解决方案介绍

绿盟科技网站安全解决方案针对不同企业与机构的不同需求提供五种不同解决方案,分别是“面向监管方的网站安全监测平台”、“面向监管方的网站安全监测服务”、“面向普通政企机构的网站安全监测与防护系统”、“面向普通政企机构的网站安全重要时期保障服务”、“面向重保会议的网站安全管理平台”。其中“面向监管方的网站安全监测平台”、“面向监管方的网站安全监测服务”两个方案主要针对具有监管职能的企业和机构。而“面向普通政企机构的网站安全监测与防护系统”、“面向普通政企机构的网站安全重要时期保障服务”、“面向重保会议的网站安全管理平台”三个方案主要针对普通企业与机构。

“面向监管方的网站安全监测平台”、“面向监管方的网站安全监测服务”都是专门为具有监管职能的企业提供的解决方案,其中“面向监管方的网站安全监测平台”是一个为监管方提供长期持续安全监测的方案,它可以帮助企业和机构在现有人员编织大幅提升对网站安全监测的数量和效率,从而帮助具有监管职能的企业机构对其下级单位或监管对象的众多网站进行持续监测和督促整改。而“面向监管方的网站安全监测服务”是一种一站式的技术支撑服务,通过云端技术实现远程的检查和监测,帮助具有监管职能的企业和机构提供完整的技术支撑。

“面向普通政企机构的网站安全监测与防护系统”、“面向普通政企机构的网站安全重要时期保障服务”、“面向重保会议的网站安全管理平台”都是专门为普通企业提供的解决方案,其中“面向普通政企机构的网站安全监测与防护系统”是一个为普通企业提供自检与防护的方案,可以帮助普通企业与机构在日常阶段,周期性对自身网站安全问题进行检查与防护,从而减少网站安全隐患在互联网上的暴露范围并且降低网站安全事故发生的机率。该系统结合云计算技术和大数据分析技术,可以以自动化方式帮助企业定期发现问题并提出相应的解决方案和整改措施,在保障效果的同时大幅降低企业在网站安全管理方面的人力成本和投入。而“面向普通政企机构的网站安全重要时期保障服务”是一个为普通企业在重保时期内提供自检与持续监测的方案,可以帮助普通企业与机构在重保前深层次的发现潜藏在自身网站的安全隐患并及时进行相应的安全防护,同时在重保过程中能够持续监测各类网站安全事故,一旦发生安全事故可以配合本地应急响应做好事故的隔离与抑制,最大程度的减少由安全事故带来的形象受损问题。另外“面向重保会议的网站安全管理平台”是一个在特定重保时期内提供的现场监测与管理平台解决方案,可以帮助普通企业与机构在特定重保场合起到加强网站安全监测的效果。

绿盟科技针对不同类型的企业和机构的不同需求提供了五种不同解决方案,协助企业和机构进行网站安全的管理,能够满足绝大多数企业和机构的需求。

方案名称 方案价值
面向监管方的网站安全监测平台 帮助对具有监管职能的企业和机构构建监测平台,对其所辖党政机关、企事业单位进行长期的检查与监测。
面向监管方的网站安全监测服务 帮助具有监管职能的企业与机构在现阶段以服务形态快速支撑检查以及重要时期安全保障工作。
面向普通政企机构的网站安全监测与防护系统 帮助普通企业与机构构建监测与防护系统,对其自身网站安全问题进行自查与防护。
面向普通政企机构的网站安全重要时期保障服务 帮助普通企业与机构提供重保过程中监测与应急服务,降低安全事故的发生与影响。
面向重保会议的网站安全管理平台 帮助普通企业与机构在重要安保展会期间搭建平台,加强网站安全监测的效果。

2.1 面向监管方的网站安全监测平台

面向监管方的网站安全监测平台方案,能够帮助主管机构从长期角度对下辖单位进行周期性检查工作,尽量减少网站安全公众事件的影响。本方案主要优势为帮助监管机构、企业单位集团建立及网站脆弱性、完整性、可用性和漏洞威胁情报为一体的自主可控、可运营的实时安全风险管理平台。根据网站变化快、规模大、结构复杂等特性,结合绿盟威胁情报中心多年的安全数据积累和研究,为企业针对性的建立高性能、易扩容、强冗余和可自运营管理的分布式威胁和漏洞安全管理平台。通过绿盟威胁和漏洞安全管理平台创新性的方法实践,形成“资产收集”——“风险采集及闭环”——“漏洞情报预警”——“事件应急”——“统计管控”分级的安全业务管理,达到网站安全风险可视、可管、自主可控的效果。该方案主要由四部分构成,包括网站安全监测类引擎、绿盟威胁和漏洞安全管理平台、绿盟威胁情报中心和本地安全驻场团队。

  • 绿盟威胁和漏洞安全管理平台(TVM)负责监测类引擎设备的集中策略管理,并通过实时持续的收集监测引擎类设备数据,运用大数据处理机制进行数据关联分析处理,帮助监管机构和企业集团等单位机构实现完整漏洞全生命周期管理和网站安全事件闭环管理工作,并通过提供多维度的可视化统计分析数据,供用户直观了解管辖安全范围的统计类数据,用于后续量化考评和自评。
  • 监测类引擎可选择绿盟WEB应用漏洞扫描系统(WVSS)、绿盟远程安全评估系统(RSAS)和绿盟网站安全监测系统(WSM-H),为平台提供漏洞评估和安全事件监测能力及数据。
  • 绿盟威胁情报中心通过在线或离线的方式为绿盟威胁和漏洞安全管理平台提供漏洞情报相关的威胁数据,供绿盟威胁和漏洞安全管理平台评估提供整体风险脆弱性关联数据,在发现外部0day和1day风险威胁时,快速形成内部风险预警,便于用户感知内外部风险威胁情况做出应急响应处置决策。
  • 本地安全驻场团队主要负责了绿盟威胁和漏洞安全管理平台的运营处置和应急响应等工作,全面保障网站的正常运行。

面向监管方的网站安全监测平台逻辑架构

2.2 面向监管方的网站安全监测服务

面向监管方的网站安全监测服务,能为监管单位对下级单位提供技术支撑,协助监管方快速完成对普通政企机构的检查和整改。

面向监管方的网站安全监测服务方案,最大优势在于“便捷”与“高效”,无需要求任何安全设备部署到监管现场,只需要将待检查单位资产清单提交给绿盟科技,绿盟科技通过远程方式对各级政企单位进行网站安全监测工作,同时绿盟科技提供训练有素的安全专家和工程师,协助监管方完成扫描配置和漏洞核查,最后,绿盟科技提供了绿盟Portal,让监管方更直观的看到漏洞的报送情况以及安全事故的发生场景。

面向监管方的网站安全监测服务方案,主要由两项核心安全能力构成,一项是网站漏洞扫描及高中危漏洞自动验证能力,能帮助监管方发现各政企机构真实的漏洞隐患。另一项是提供7*24小时篡改监测能力,能帮助监管方发现各政企机构的网页恶意篡改问题。

面向监管方的网站安全监测服务

2.3 面向普通政企机构的网站安全监测与防护系统

面向普通政企机构的网站安全监测与防护系统方案能够通过事前漏洞分析与预防、事中威胁监测与防护、事后安全事件监测与响应,帮助普通政企用户完成自检和整改、迎接国家合规检查、抵御外部威胁、降低安全风险。


面向普通政企机构的网站安全监测与防护系统方案

面向普通政企机构的网站安全监测与防护系统方案,主要由网站安全监测引擎、网站安全防护引擎以及网站安全管理系统构成。网站安全监测引擎可以帮助用户监测网站变更的情况、网站存在安全漏洞以及发生的安全事故。网站安全防护引擎采用绿盟Web应用防火墙产品,部署在用户侧,用于各类web应用攻击的检测和阻断。网站安全管理系统能够为用户提供在线的、可视化的管理工具,帮助用户查看和处置网站安全相关的资产事件、漏洞事件、威胁事件和安全事故。

面向普通政企机构的网站安全监测与防护系统方案能够很好的帮助用户完成网站的资产管理、漏洞管理、威胁管理以及事件管理。

在资产管理方面,该方案主要通过防护引擎的访问日志分析发现新上线的网站及变更的网站系统,并及时向用户通告。在用户确认资产变更内容后,更新现有资产列表并将变更的资产纳入到安全监测与防护体系中,以便及时发现漏洞、威胁及事故。

在漏洞管理方面,主要通过网站安全监测引擎进行定期漏洞扫描,对暴露在公网上的所有网站进行Web漏洞及系统漏洞扫描工作。此后,由自动化验证系统对于扫描发现的高中危漏洞进行漏洞验证,将具有危害性的高中危漏洞信息通过网站安全管理系统和漏洞扫描报告直接推送用户,用户可以根据各类交付物中所罗列的漏洞详情以及解决方案进行漏洞的整改加固。如果Web漏洞修复周期较长,用户还可以通过网站安全管理系统委托绿盟进行漏洞预防工作。对于修复的漏洞,用户可以通过网站安全管理系统委托完成漏洞复验的工作,从而完成整个漏洞生命周期的闭环管理。

在威胁管理方面,该方案通过安全防护引擎进行威胁防护。防护引擎通过与绿盟云的对接,可以定期对告警日志进行分析判断,并提供筛除误报的策略优化建议。另外,绿盟云也会提醒用户对防护引擎的知识库进行升级,以确保防护引擎可以对新型威胁进行防护。

在事件管理方面,通过网站安全监测引擎对目标网站进行安全事故的日常监测,确保能够在第一时间发现网站挂马、篡改、黑链、敏感内容、可用性通断等多方面问题。在发现事件后,通过短信、网站安全管理系统及手机APP等多种方式第一时间向用户告警。其后,绿盟本地应急响应工程师上门协助用户分析事件原因,找到导致事件发生的根源,并提供加固建议和支持,消除存在的安全隐患。

2.4 面向普通政企机构的网站安全重要保障服务

面向普通政企机构的网站安全重要时期保障服务方案,能够通过重保前的隐患与风险排查,重保中的7*24小时监测与防护,重保后的问题汇报与总结,帮助普通政企用户在重点保障时期大大降低安全事故的发生与影响。

面向普通政企机构的网站安全重要时期保障服务方案

面向普通政企机构的网站安全重要时期保障服务方案,实际由两部分构成,网站安全自检与整改服务、网站安全监测与应急响应服务。

网站安全自检与整改服务侧重在重保前的隐患与风险排查,这里主要包含了远程资产梳理、远程漏洞检查、远程网页内容检查,并由本地安全服务团队进行渗透测试与应急演练。首先通过资产梳理能够对于暴露在互联网的关键信息基础设施做到彻底发现,确保后续隐患与内容问题排查更彻底。其次远程漏洞检查能够将暴露在互联网资产进行完整风险排查,如果同时搭配使用绿盟WAF,可对部分高中危漏洞直接进行临时防护,确保重保期间黑客无法利用这些漏洞风险形成有威胁的攻击。再次通过远程网页内容检查工作,能够深层次排查目前网页上存在的挂马、黑链、敏感内容以及篡改内容,一旦发现这些内容即刻启动应急处置工作,保障在普通政企单位网站系统中没有残留后门。最后通过本地渗透测试以及应急演练最大限度的完成重保前的准备工作。

网站安全监测与应急响应服务,一方面通过网站安全监测服务对用户网站做到7*24监测保障,一旦发现挂马、篡改、敏感内容、黑链等事件第一时间通过邮件、电话、短信等方式进行通知,同时配合本地应急响应团队,最大限度降低安全事故造成的影响。而另一方面,通过绿盟WAF与安全运营中心的对接,可以对告警日志进行分析判断,并提供筛除误报的策略优化建议。在重保时期内确保防护引擎可以最大化的发挥威胁防护能力。

面向普通政企机构的网站安全重要时期保障服务方案

2.5 面向重保会议的网站安全管理平台

重要会议开展时,普通政企机构可以通过使用面向重保会议的网站安全管理平台方案,针对行业的重点网站系统进行安全保障,配合绿盟的安全专家应急响应服务,开展7*24小时的网站安全监控,发现异常事件,及时告警,及时妥善处理各种安全问题。该方案整个构成完全等同于方案一,面向监管方的网站安全监测平台方案,如下图所示:


面向重保会议的网站安全管理平台方案

三. 绿盟网站安全解决方案实践

  • 截至2016年底,已监测等保二级以上的网站数量累计达21516个,商业客户数量近1000余名,客户群覆盖国有银行、股份制银行、国内三大运营商、石油石化企业及电力行业。
  • 2015、2016、2017连续三年承担公安部网站安全专项检查工作,同时支撑并参与了抗战胜利70周年纪念活动安保工作、第二届世界互联网大会安保工作、2016年“两会”期间网络和信息安保工作以及2017年“一带一路”峰会安保工作。在每一次安保过程中都可以展示出绿盟科技发现问题解决问题的能力,单以2016年“G20”峰会安保为例,绿盟科技实时监控12728个站点,发现18436个安全漏洞,同时发现页面篡改、黑链植入等安全事故298起。此外绿盟科技防御针对G20官网攻击次数为133254次,其中成功拦截Web页面篡改行为15次,防御针对杭州区域内站点的Web攻击事件多达2075590次。

 

 

发表评论