【51CTO.com綜合報道】由于Web應用的發展，所承載的信息內容越來越多，安全威脅來源開始從傳統的網絡和系統層，轉向以惡意代碼、頁面篡改為代表的應用層。目前，攻擊者已經形成了明顯的“地下產業鏈”，從個人、小團隊的攻擊行為轉向了經濟利益驅動、有組織的攻擊行為。攻擊者利用站點的安全漏洞獲取重要信息，從而進行欺詐甚至直接獲取信用卡賬號等敏感數據，例如近期索尼BMG網站、本田汽車美國官網方遭到黑客攻擊，導致大量用戶數據泄露。另一方面由于黑客對站點管理者的不滿或者出于技術炫耀的目的，導致大量重要站點進行篡改。據CNCERT/CC的統計數據，2010年全年，中國大陸每月被篡改網站數量平均為2904個。其中境內政府網站被篡改數量為4635個，與2009年的2765個相比增加67.6%[1]。還有一類危害范圍非常大的攻擊行為是攻擊者通過對目標站點植入惡意代碼，當計算機用戶瀏覽植入惡意代碼的站點而導致被感染病毒、木馬，從而被攻擊者控制。這類攻擊是目前互聯網黑色地下產業中進行最為猖獗的、對互聯網安全危害較為嚴重的非法活動。在微軟2009年7月至12月的安全統計報告中，以.cn（中國）結尾的掛馬站點比例將近1%，遠遠超過由Bing 跟蹤的平均0.24%的網站包含一個惡意頁面的比例[2]。

針對網站頻發的安全事件如網站掛馬、注入類攻擊、篡改攻擊等，極大地困擾著網站提供者，給企業形象、信息網絡甚至核心業務造成嚴重的破壞，導致了機構門戶的形象受損和公信力的下降。

傳統的網站安全監管手段的不足

傳統的網站安全監管方式通常是采用Web應用安全掃描工具周期性的對網站進行安全掃描與評估，然后根據評估結果進行安全加固和風險管理。這種安全檢查工作是一種靜態的檢查工作，能夠反映站點被檢查那一時期站點的安全問題，但是缺少風險的持續監測性。例如，通常情況下一個網站一周甚至一個月做一次安全檢查，而對于網站掛馬、網站篡改等事件通常都是突發性事件，持續時間短，通過每周或者每月一次的安全檢查并不能夠第一時間發現這些已經產生的嚴重風險事件并做出相應的處理工作。另一方面通常監管者面臨著上百個站點的安全檢查，傳統安全評估工作中所采用Web應用漏洞掃描工具在掃描規模、頁面爬取和分析能力、檢測結果關聯分析等方面存在局限性，并且無法做到高頻率的風險監測、及時發現風險。

對于承擔網站監管與安全治理責任的機構來說，針對類型復雜、數量眾多的網站群如何進行安全監管，如何第一時間發現某個站點的安全事件，如何有效地對大量的站點群進行監測數據的匯總分析和統計，如何反映所有被監測站點風險分布的總體狀況，成為新的難題。

變“檢測”為“監測”的Web安全監管手段

若能夠主動的發現網站的風險隱患，并及時采取修補措施，則可以降低風險、減少損失。記者了解到，綠盟科技針對該需求，已經推出了綠盟網站安全監測系統（簡稱：NSFOCUS WSM），旨在根據網站系統監管要求，通過對目標站點進行頁面爬取和分析，為用戶提供透明模式的遠程集中化安全監測、風險檢查和安全事件的實時告警，并為客戶提供全局視圖的風險度量報告，最終幫助客戶構建完善的網站安全體系。

NSFOCUS WSM系統采用智能頁面爬取技術，透明遠程的對站點進行監測，通過對頁面進行爬取和分析，從而為用戶提供對網站群的監測能力，而無需在站點服務器端部署任何代理設備，無需改變現有網絡結構。該系統能夠從站點的脆弱性、完整性、可用性三方面全方位的對站點的安全能力要求進行監管。并且可為一個大型的站點群同時提供安全監測的能力。用戶可對每一個網站創建不同的監測策略，同時可根據網站的關注度，對同一網站下的不同關鍵頁面配置不同的監測策略，實現對網站不同粒度、全面的風險監測。

圖 1.1 NSFOCUS WSM監測能力視圖

NSFOCUS WSM系統整個系統物理架構分為控制中心和監測引擎兩種設備。

控制中心：負責對整個監測系統進行統一的管理，監測策略管理，監測引擎的任務分發、調度，數據收集和報表呈現。

監測引擎：負責對被監測站點進行頁面的爬取、頁面解析、漏洞掃描、滲透測試和輔助邏輯分析。下圖說明了NSFOCUS WSM在進行Web應用安全隱患監測的部署視圖。

圖 1.2 NSFOCUS WSM監控部署視圖

與傳統采用Web掃描器用以進行安全評估的方式相比，綠盟網站安全監測系統具有更為鮮明的特點：

一是變“檢測”為“監測”，可提供持續風險監測能力。眾所周知，網站掛馬、頁面篡改都是實時性很強的安全事件，而不定期的評估檢查并不能幫助用戶實時發現這些安全事件。而采用持續的對站點頁面進行爬取，進一步檢測，能夠為客戶提供不間斷的風險監測能力，及時發現風險并通知用戶，降低或避免用戶損失。

二是集中化安全監測，系統采用節點樹的形式管理網站群，形成了多站點的集中化安全監測，同時可實現簡潔的分類管理，相比各個站點的獨立管理，能夠大幅降低管理成本和檢測時間，提升風險監測能力和水平。

三是透明化系統采用智能頁面爬取技術遠程對站點進行頁面爬取和分析，從而為用戶提供對網站群的監測能力，而無需在站點服務器端部署任何代理設備，無需改變現有網絡結構。

四是可擴展的架構設計，系統采用靈活可擴展的彈性架構設計，可通過擴充監測引擎的數量來擴展整個系統的監測規模，從而輕松應對被監測網絡業務規模擴展的需求，實現“零斷網監測”。

目前，全球網絡用戶已近20億，用戶利用互聯網進行購物、銀行轉賬支付和各種軟件下載，企業用戶更是依賴于網絡構建他們的核心業務，對此，Web安全性已經提高一個空前的高度。而黑客們也將注意力從以往對網絡服務器的攻擊逐步轉移到了對Web應用的攻擊上，他們針對Web站點和應用的攻擊愈演愈烈，頻頻得手，頁面篡改、網站掛馬、注入類攻擊、DDoS攻擊等，極大地困擾著網站提供者，給企業形象、信息網絡甚至核心業務造成嚴重的破壞。

綠盟科技網站監測系統旨在幫助需要多個站點進行安全監測與管理的機構。根據站點管理者的監管要求，在事前階段，NSFOCUS WSM系統能夠監測該站點的安全風險漏洞，以及早提出風險解決辦法。在事中階段，一旦發現監測到風險事件后，如監測站點發生掛馬事件、篡改時間，系統能夠第一時間進行安全報警，盡可能早的啟動應急方案，以減少安全事件所照成的影響。在周期性的監測過程中，產品能夠提供完善的風險監測視圖，對風險趨勢、危害、各站點安全風險值進行統計分析，直觀、清晰的從總體上反映了所有被監測站點的風險分布情況，以提供決策支持。通過對目標站點進行不間斷的頁面爬取、分析、匹配，為客戶的互聯網網站提供遠程安全監測、安全檢查、實時告警，是構建完善的網站安全體系的最好補充。