网站群安全治理的核心能力解析

　　据《第37次中国互联网络发展状况统计报告》统计，2015年中国网站总数为423万个，较2014年增长了88万，年增长率达到26.3%。

　　中国网页数量首次突破2000亿。但脆弱的Web安全防护能力却与之形成极大的反差，“有人建，没人管；有人用，没人防”成为我国网站的普遍现象。

　　网站安全隐患问题突出

　　自2013年到2015年，公安部、国家网信办先后对全国政府网站（gov.cn域名）以及大量央企、省级门户网站、高校网站进行监测排查，55%左右政府网站存在安全隐患，过半高校网站存在安全漏洞。

　　为了应对网站数量的快速增长导致的一系列安全、管理的问题，四部委在2015年9月联合发文，首次提及“网站群”建设。

　　从技术角度来看，网站群是指具有统一规划，统一标准，并建立在统一技术构架基础之上，分级管理，分级维护，耦合程度高，信息可以实现基于特定权限共享呈送的网站集合。但从管理以及实际情况上来定义，广义上的“网站群”是指按照一定的隶属关系组织在一起，在同一网络内部的，既可以统一管理，也可以独立管理自成体系的网站(包含业务系统)集合。例如一般高校，网站群中网站数量大致在100-200之间；而一个市级教委，网站数量可达到2000个左右。

　　第二个问题，对于“网站群治理”，根据四部委2562号文件的要求，主要要做到对于下设网站的统一管理、统一监测、统一防护。从而改变过去的网站安全工作的重点一般都放在单个网站的相关安全工作上的问题。

　　核心能力解析

　　■资产自动发现

　　摸清网络内网站及业务系统的数量是管理的第一步。WebRAY网站群治理平台通过在网络出口旁路部署，自动发现网络内对外提供访问的网站及业务系统。对于内网业务系统的发现，可以通过在各安全域部署探针，发现内部基于Web访问的业务系统，并将内容汇总到网站群治理平台。

　　■网站安全准入能力

　　根据2562号文件要求，政府部门开办的网站要进行备案。备案也是网站管理的一个必备步骤。WebRAY网站群治理平台具有备案审核机制并将安全检查融合在备案过程中。网站的安全准入实现逻辑如下：

　　每个网站的状态分为四种：待审核、已审核、已驳回、未申请。管理人员可通过平台实现对网站及业务系统的审核工作。在备案过程中，还要能够对网站的安全情况进行检测。

　　■网站安全监控与检查

　　WebRAY网站群治理平台利用安全检查引擎对下设重点网站与业务系统进行安全监控，其中安全监控模块包括基本配置功能以及可选功能两大部分。基本功能包含以下三项：

　　1.内容监控：包括篡改监控、敏感词监控、以及暗链监控。其中篡改检测采用自主知识产权的页面矢量比较算法，能够识别页面正常更新和篡改。

　　2.漏洞检测：漏洞检测包含Web漏洞、系统漏洞、数据库漏洞、中间件漏洞。目前该系统支持OWASP定义的Web威胁和及其相关的漏洞扫描监控服务。

　　通过远程的Web应用业务漏洞扫描服务，由安全专家定期进行Web应用业务结构分析、漏洞分析，即时获得Web应用业务的漏洞情况，以及修补建议。

　　3.后门检测：WebRAY网站群治理平台不同于传统网站后门检测，不需要在服务器上安装检测插件，而是通过对流量的分析，以及自有后门传输特征库，实现对Webshell的检测。

　　可选增强功能包含：网络钓鱼检测、网站木马检测、网站可用性检测。1.网络钓鱼监测：通过构建可信URL数据库、IP信誉和自动化的扫描辅助以人工确认等综合手段，从而构建高效、准确的反钓鱼监控系统。2.网站木马监测：采用业内领先的一体化挂马检测技术，高效、准确的识别网站页面中的恶意代码，从而使的网站管理员能够第一时间感知网站的安全状态，及时清除网页木马，避免给用户带来安全威胁，继而影响网站信誉。3.可用性监测：Web应用业务可用性、Web应用业务从不同线路来访问得速度情况、Web应用业务响应时间，从而判断是否能达到最优、最安全的服务质量。

　　■告警能力

　　WebRAY网站群治理平台提供了多种告警方式，发布网站遭受篡改、暗链等攻击的及时信息，以便应急响应，发布最新的安全漏洞以及相关新闻。告警方式包括短信、邮件、syslog、SNMP等多种告警方式。

　　■旁路阻断能力

　　WebRAY网站群治理平台为了在不影响客户网络拓扑的情况下，又能具备对不合规、不安全的网站进行阻断的目的，在平台内增加了旁路阻断能力。通过分析网络流量，可以阻断访问者对于不合规、不安全站点的访问请求，并进行告警，提醒修复。

　　通过阻断能力可以有效降低风险，并及时阻断被篡改网站，将攻击危害降到最低。