做真正适合自己的网站安全监测平台

G20杭州峰会圆满闭幕。众所周知,治国的根基在于安邦,我国近年来对于国家安全的重视程度达到了前所未有的高度,2015年1月党中央审议通过了《国家安全战略纲要》,2015年7月将《中华人民共和国国家安全法》正式纳入国家宪法体系中,特别是加强网络信息安全建设,增强网站安全监测,维护国家网络空间主权也作为关键一环在战略纲要以及国家安全法中被重点提及。

其实国家从2014年伊始已经开始深度布局网络安全,2014年年初中央网络信息化领导小组正式成立,为了保障和促进党政机关、企事业单位网站安全建设,中网办、国务院办公厅先后发布1号文及15号文,此后公安部在2015年发布公信安21号令,并在2015年底,公安部联合网信办、工信部、中央编办,四部委共同发布公信安2562号令,意在督促各政企单位建立各行业内的网络安全预警监测系统,健全并完善重大安全事件的报告、响应以及应急处置机制。

从主管机构面临的挑战谈起

“空谈误国,实干兴邦”,在国家安全顶层设计不断展开的过程中,各省市、各行业主管机构成为落地国家安全战略的中坚力量。

虽然现在从总体形势而言,各主管机构在落地顶层设计的过程中都很努力,很有势头,但本身就网站安全监测领域而言,大多数主管部门起步不算太早,因此在整个落地过程中出现了各式各样的问题与挑战,简单归纳有如下四点。

  • 首先,大多数省市级主管机构比较缺乏7*24小时安全保障人员,尤其特别缺乏安全服务专业人才。这样在整个通报整改、安全监测过程中略显被动。
  • 其次,在主管机构整个监管过程中缺乏高效的运营监管工具做支撑,需要自身独立维护各类安全监管过程数据。这样大大降低了运营管控效率。
  • 再次,很大一部分被监管者由于担心自己的安全绩效考核,经常会发生在特定检查时期内关闭网站,躲避检查的现象,甚至对于一些自身发现的安全事件也进行谎报、瞒报。
  • 最后,在整个监管过程中,威胁形势总是动态变化,尤其是在国家重点安全保障时期,国际黑客总是蠢蠢欲动,给主管机构的监管带来不少外部压力。

面对挑战如何迎难而上

面对以上提出的四种问题和挑战,我们逐一来看各个问题的解决逻辑。

首先,针对缺少7*24小时值守人员,缺乏安服专才的问题,可以考虑通过外包的方式,或者本地安服人员培养的方式来完成,甚至可以将这二者相结合,无论采取何种方式,都要把握一个总体方针,那就是人员知识储备以及安全能力的要求。

其次,针对缺乏高效运营监管工具的问题,可以考虑构建一个轻量级的安全管理平台,该平台承载的内容主要是漏洞风险管理以及事故灾害管理,可以说平台上的所有内容都围绕这两个管理流程展开。首先关注漏洞风险管理,他包含了漏洞发现、漏洞验证分析、漏洞预防、漏洞修复、漏洞复验及反复监视五个环节,这就要求平台上能够清晰展示每一条漏洞的所处的生命周期节点,即从曝出漏洞,到完成验证,再到完成修复,最后到漏洞复验、漏洞闭环都能够在平台上一目了然,让整个漏洞管理过程简单清晰。

关注事故灾害管理,同样包含五个环节,分别为事件发现、事件抑制、事件调查取证、事件根除以及事件总结。这就要求平台上能够清晰展示每一次事故灾害的所处的生命周期节点,这里尤为关键的是能够做到快速发现灾害事故,并结合事故的场景做到第一时间展示呈现,这样为该事故的后续应急止损争取到宝贵的时间。

再次,针对被监管者躲避检查的问题,最好的应对办法就是把单次安全检查落实成常态安全监测,在平台上进行定期通报,让问题无处遁形。而针对被监管者谎报、瞒报的问题,同样比较推荐的做法是主动出击,不单单依靠被监管者主动上报事故,还能够周期性发起事故灾害的探测,保证第一时间知道所辖政企机构的安全事故问题,并督促其尽快完成应急整改动作。

最后,针对国际黑客势力的攻击问题,一是要通过情报机构做好预警工作,二是要能够在此期间加大安全监测督导力度,将监测的页面范围在短期内拉的更广,将监测的频率在短期内做的更快,临时性提高安全服务保障。

浅析主流的网站安全监测平台建设逻辑

有了解决问题的思路,我们将通过何种技术框架来落地专业人员、管理平台、通报平台、监测引擎、以及重点保障这几个核心要素呢?

其实没有一套技术框架能包治百病,建议根据用户当前所处的信息安全建设阶段合理选取技术框架。这里比较推荐的有三种模式:外包服务、协同运营、以及自运营服务。

首先外包服务比较适合在安全试运营阶段使用,这个阶段典型的特征是,“平台、人员都没有就位,一切都需要从头构建,但是业务上又必须要求在短期内就开展起来”。对于外包服务,说的直白一些,就是无论人员、平台还是监测引擎,都统统让厂商外包来做。具体技术框架如下图所示。

外包服务框架

外包服务框架

其次协同运营框架比较适合在安全运营正式开展的初期来使用,这个阶段典型的特征是,“安全运营的意识已经初步培养起来,而且整个部门里有2~3个专岗来做基础运营工作,对于漏洞的通告、事件的上传下达已经初步形成固有模式”。对于协同运营,简单说厂商要与用户一起协同工作,各司其职,厂商人员需要做的是7*24小时运营,漏洞风险以及灾害事故的分析验证,而用户可以让自己的几个专岗安全管理员配合厂商的安全专家团队在漏洞、事故通告平台上督促被监管者整改漏洞,处理安全事故。

最后自运营框架比较适合安全运营成熟度较高的阶段使用,该阶段典型特征是,“安全运营团队已经成型,而且能够胜任漏洞风险以及灾害事故的分析验证,并且固化了一整套安全运营流程,完全靠自己的团队就可将网站安全监测平台驾轻就熟“。对于自运营,简单说安全厂商的职能基本完全弱化,剩余的职责仅是版本、规则的更新,所有的监测、管理、以及通报工作都交由用户自己来运营,他的好处是无论平台还是数据都是私有化的,整个运营过程会更加安全可控。具体技术框架如下图所示。

自运营框架

自运营框架

绿盟在网站安全监测平台领域的探索

绿盟科技在网站安全监测平台的构建中同样遵循了上文所述的逻辑,为用户提供针对不同场景的服务方案。

多场景技术框架

多场景技术框架

而在整个服务中,值得一提的主要有三点,其一,我们的运营成熟度较高,从2010年运营至今已经有6年时间,为数千个大中型政企机构做过技术保障,仅2015年全年,平台接入等保二级以上网站数量高达12516个,共发现了13200次安全灾害事故,平均每小时发现真实灾害事故约有1.5个。其二,我们的安全专家团队经验丰富,除了在做日常安全监测外,曾参与了大量的国家级重点保障项目,例如2015年的抗战70周年重保工作、以及世界互联网大会的技术支撑,还有最近正在参与的G20峰会重点保障工作等。其三,我们在用户价值感知上持续进行改进,目前在信息发布平台上可以通过类似这样的态势地图把握整体风险情况。

风险态势地图

风险态势地图

同时可以通过手机APP随时随地对于所监管的每一个单位、每一个资产进行细粒度的漏洞生命周期管理工作。

手机APP安全监测服务界面

手机APP安全监测服务界面

写在最后的话

网站安全信息化建设不是一朝一夕间的事情,是需要长期坚持,并且能够随着自身业务目标的变化、业务逻辑的调整、业务成熟度的丰满而不断与时俱进的。在整个过程中需要把握一个核心的点,那就是所有的建设方案,技术框架都要本着解决问题的思路出发,并且要符合当前的实际业务情形,做到实事求是,只有这样才能将安全运营的效力更好的发挥出来。

如果您需要了解更多内容,可以
加入QQ群:570982169、486207500
直接询问:010-68438880-8669

Spread the word. Share this post!

Meet The Author

Leave Comment