隨著信息化的發展，政府以及大型企業的對外宣傳及服務、對內辦公逐漸向Web上遷移，從而出現了眾多的門戶網站以及業務系統。隨著這些網站及業務系統與政府、企業的形象及業務的不斷融合，其重要程度也不斷提升，尤其是在垂直行業中更為重要。因此，網站和業務系統也成為黑客的主要攻擊目標。本文既是圍繞垂直行業的門戶網站及業務系統的安全建設展開。為了表達上的簡潔，后文所提到的網站無特殊說明均是指廣義上的網站——以http/https協議進行通信并使用瀏覽器進行訪問的系統，既包含門戶網站及業務系統。

垂直行業的網站有哪些問題?

1、篡改問題：篡改主要集中在門戶網站以及對外提供服務的業務系統，而且一旦發生篡改，影響范圍較廣，是管理人員普遍關心的問題。

2、數據泄露：數據泄露從途徑可以分為兩大類，一種為通過外部攻擊者通過攻擊對外提供服務的網站非法獲取數據，此類途徑泄露的數據往往涉及用戶個人信息;第二種則是內部業務系統的數據泄露，而此類數據泄露同樣也會引起嚴重問題。例如某大型公司就出現過此類問題，剛剛上線的新HR系統，第二天全員的工資情況及股權分配情況則被公布，引起公司“大地震”……

3、其他問題：除了篡改、數據泄露外，網站還面臨許多問題，比如釣魚、掛馬、暗鏈、敏感詞等等。而這些攻擊往往也具備某些行業特征，例如釣魚就可能在金融類行業比較嚴重;又例如在每年的7月份，招生類網站的釣魚情況會大幅升高。政府網站的暗鏈情況較其他行業更為嚴重等。

造成這些問題的原因有哪些?

1、配置不當

對于在垂直行業內有多年運維經驗的管理人員來說，配置核查的重要性不言而喻。而配置核查的目的就是為了達到安全基線。簡單來說所謂安全基線規范，是為了確保通信網絡上的相關設備達到最基本的防護能力要求而制定的一系列達標基準，是一套統一的安全設置指標。類比于木桶原理，安全基線就相當于木桶的最短板，是最基本的安全要求。而這最基本的要求在實現上卻問題重重。

??

2、漏洞缺乏管理

從計算機誕生開始漏洞就一直是安全的天敵，絕大多數的網絡攻擊是利用漏洞發起的。而漏洞缺乏管理是一個統稱，其包含兩大方面：漏洞數量眾多且頻發更新，管理人員很難及時發現;由于技術或安全意識不足，導致發現后未能及時修復

3、弱口令

弱口令往往是管理員的一個噩夢，有些是管理員自身的疏忽，比如圖例中某省的人口流動管理系統，可利用用戶名：ldrk，密碼：ldrk，登錄查看多市的流動人口情況。而更多的則是垂直行業內部用戶的弱口令，123456、000000等均是常用口令。其他的并不一一列舉。

4、安全“外剛內柔”

據統計80%的網絡攻擊來源自內部，這種“內部”攻擊分為兩種情況，一種是內部人員由于操作不當，個人電腦被黑客控制，從而被動的成為黑客攻擊的跳板。第二種則是內部人員的有意為之，垂直行業內部用戶眾多，此類情況更容易發生。而實際上，大量的防御設備均部署在邊界，內部疏于防范。從而導致一旦邊界失守，或內部發起攻擊，服務器往往輕易淪陷。

??

對于垂直行業網站國家的政策要求

國家對網站安全提出過多個文件，其中最應該關注的應該是去年9月30日四部委聯合發布的“網站安全專項政治行動方案”，該方案除了對“黨政機關、事業單位和國有企業”提出了行動要求外，其實還包括了很多具體的安全建議。核心內容如下：

??

其中的“網站統一管理、統一防護、統一監測”，”查找網站安全隱患并及時整改”等內容，都體現了國家相關安全部門對于網站安全的思考。

講過了垂直行業網站安全目前的問題、造成問題的原因以及國家的相應政策，下面將要來講一講在垂直行業被廣泛接受的監控預警與態勢感知平臺的應用。但需要明確的是，沒有絕對的安全，安全的本質還是(至少目前還是)增加攻擊的成本。本文也是在一定限度上，并利用一些安全圈比較熱門的技術理念來解決垂直行業的網站在運行時遇到的某幾類問題。

監控預警與態勢感知平臺的應用

??

基于這個理論，也引出了題目中所提出的垂直行業網站的監控預警與態勢感知方案的架構及能力。

??

典型的拓撲如下：

??

在安全管理區部署監控預警與態勢感知總控中心，作為大數據匯總分析、統一呈現以及策略下發平臺;并在各含有服務器的安全域以分布式方式部署探針，作為檢測引擎進行數據采集;在服務器區前部署Web防護設備以及邊界部署抗D等設備，進行攻擊防御的同時將攻擊情況發送給總控中心。

各分支機構通常只承擔建設各自門戶網站，對于分支機構的網站有兩種監控方式：1.總部增加引擎數量，批量導入分支域名或IP，實現無感知遠程監測。2.各分支部署探針，在監測的同時進行防御。

方案核心能力

本方案包含四大核心能力，分別為資產發現及管理能力、監控能力、安全基線配置核查能力、攻擊防護能力。

資產發現通過在網絡總出口或各安全域旁路部署的探針，通過流量學習自動發現內部網站，并能進行被動的Webshell檢測。從而發現內部私搭濫建網站以及網站后門。

??

日常的監控包括三大類——合規性檢查、風險控制、以及態勢感知。其中態勢感知中的攻擊監測需要與防御設備聯動。通過監控能力，及時發現篡改、弱口令、釣魚、木馬、后門、可用性等網站常見問題。

??

安全基線核查部分通過各安全域部署的探針引擎或者單獨的可移動檢測設備均可實現。安全基線方面，主要以合作方OWASP的各類安全基線為主，同時支持定制本行業的安全基線。

??

攻擊防護主要以各安全域及邊界部署的防御設備與管控中心聯動，實現以管控中心為大腦來控制手和腳(防御設備)的統一協作能力。實現對于外部以及內部攻擊的防御。

??

實施效果展示

通過該方案的建設，來幫助垂直行業的信息中心建立起一套針對其網站的監控預警與態勢感知系統。從而實現2562號文件中所提及的“網站統一管理、統一防護、統一檢測”、“滿足等保要求”、“安全事件通報”。并解決基線核查、內部攻擊、篡改、數據泄露等問題。

??

??

下一篇文章，我將以某部委的實際案例出發，來講解監控預警與態勢感知系統的建設與應用。該部委是典型的全國性垂直網絡，其含有眾多門戶網站以及關系民生的重要業務系統。敬請期待。