什么是网站群?网站群治理又指什么?据统计中国网站总数为423万个,较2014年增长了88万,年增长率达到26.3%。中国网页数量首次突破2000亿。——《第37次中国互联网络发展状况统计报告》。但脆弱的Web安全防护能力却与之形成极大的反差,“有人建,没人管;有人用,没人防“成为我国网站的普遍现象。自2013年到2015年,公安部、网信办先后对全国政府网站(gov.cn域名)以及大量央企、省级门户网站、高校网站进行监测排查,55%左右政府网站存在安全隐患,过半高校网站存在安全漏洞。
图1 中国网站数量-《第37次中国互联网络发展状况统计报告》
为了应对网站数量的快速增长导致的一系列安全、管理的问题,四部委在2015年9月联合发文,首次提及“网站群”建设。从技术角度来看,网站群是指具有统一规划,统一标准,并建立在统一技术构架基础之上,分级管理,分级维护,耦合程度高,信息可以实现基于特定权限共享呈送的网站集合。但从管理以及实际情况上来定义,广义上的“网站群”是指按照一定的隶属关系组织在一起,在同一网络内部的,既可以统一管理,也可以独立管理自成体系的网站(包含业务系统)集合。例如一般高校,网站群中网站数量大致100-200之间;而一个市级教委,网站数量可以达到2000个左右。
网站群治理面临的问题通过对政府、高校、大型企业等用户的网站及业务系统的安全现状的研究,网站群的治理主要面临以下四个方面问题:
管理难度大 l 网站数量众多,小且分散;虽然开展了站群建设,但仍有外部网站,管理成本高。
没有明确的备案管理系统,工作主要依靠人工,责任划分不明确。
私搭乱建现象严重,不易检测。
退运的网站,缺乏有效管理手段,常常成为孤岛网站。
缺少风险发现能力 l 网站以及内部业务系统存在弱口令,存在较大风险。
85%以上的攻击是利用安全漏洞发起,但由于缺乏检测机制,无法发现下设网站也业务系统存在的漏洞风险。
网站被植入后门,导致黑客可以长期越过防护设备控制服务器。
缺少安全监控机制 l 对篡改、暗链、敏感词等网站内容缺乏监控手段,出现问题无法第一时间响应。
监控网站,防止网站挂马而导致的用损失。
对已上线网站缺少定期漏洞检测,对突发事件无法对下设网站整体进行检测。
缺少安全防护手段 l 网站防攻击、防篡改、防挂马。
传统防火墙无法防御针对Web的攻击。
缺少统一管理、统一监测、统一防护平台。
对于安全攻击不能及时响应、溯源。
“摸清家底,认清风险,找出漏洞,通报结果,督促整改” 针对网站管理者日常运维中遇到的问题,以及国家相应要求,WebRAY总结出网站群治理的9大核心能力。
① 及时了解网络内有哪些网站在提供服务。
② 网站上线前必须经过审核、备案及安全检查。
③ 实时监控每个网站的安全情况。
④ 能够确保发布内容的合法合规。
⑤ 对于不合格网站(私建、不安全、无标识)具有自动退运机制。
⑥ 发生攻击要快速发现,快速响应,并能溯源。
⑦ 对于典型攻击要有防御能力。
⑧ 对于篡改攻击要有复原能力。
⑨ 网站运行情况建立基线数据。
核心能力解析:
资产自动发现摸清网络内网站及业务系统的数量是管理的第一步。WebRAY网站群治理平台通过在网络出口旁路部署,自动发现网络内对外提供访问的网站及业务系统。对于内网业务系统的发现,可以通过在各安全域部署探针,发现内部基于Web访问的业务系统,并将内容汇总到网站群治理平台。
1、内容监控:
包括篡改监控、敏感词监控、以及暗链监控。其中篡改检测采用自主知识产权的页面矢量比较算法,能够识别页面正常更新和篡改。暗恋检测采用动态沙箱技术检测js动态生成的暗链,css暗链等。敏感词检测采用语义分析技术针对政治、色情、犯罪等敏感信息进行检测。发现不合规内容及时告警,并可以通过配置对高危问题自动进行阻断,WebRAY治理平台同时提供专业的处理意见。
2、漏洞检测:
漏洞检测包含Web漏洞、系统漏洞、数据库漏洞、中间件漏洞。目前该系统支持OWASP定义的Web威胁和及其相关的漏洞扫描监控服务。通过远程的Web应用业务漏洞扫描服务,由安全专家定期进行Web应用业务结构分析、漏洞分析,即时获得Web应用业务的漏洞情况,以及修补建议。
3、后门检测:
WebRAY网站群治理平台不同于传统的网站后门检测,不需要在服务器上安装检测插件,而是通过对流量的分析,以及自有的后门传输特征库,实现对Webshell的检测。
1、网络钓鱼监测
通过构建可信URL数据库、IP信誉和自动化的扫描辅助以人工确认等综合手段,从而构建高效、准确的反钓鱼监控系统。
2、网站木马监测
采用业内领先的一体化挂马检测技术,高效、准确的识别网站页面中的恶意代码,从而使的网站管理员能够第一时间感知网站的安全状态,及时清除网页木马,避免给用户带来安全威胁,继而影响网站信誉。
3、可用性监测
Web应用业务可用性、Web应用业务从不同线路来访问得速度情况、Web应用业务响应时间,从而判断是否能达到最优、最安全的服务质量。一旦发现网站无法访问,第一时间通知用户。
告警能力 WebRAY网站群治理平台提供了多种告警方式,发布网站遭受篡改、暗链等攻击的及时信息,以便应急响应,发布最新的安全漏洞以及相关新闻。
告警方式包括短信、邮件、syslog、SNMP等多种告警方式。
旁路阻断能力 WebRAY 网站群治理平台为了在不影响客户网络拓扑的情况下,又能具备对不合规、不安全的网站进行阻断的目的,在平台内增加了旁路阻断能力。通过分析网络流量,可以阻断访问者对于不合规、不安全站点的访问请求,并进行告警,提醒修复。
通过阻断能力可以有效降低风险,并及时阻断被篡改网站,将攻击危害降到最低。
网站攻击防御与溯源能力(可选) 1)Web安全防护
WebRAY网站群治理平台可通过扩展,实现与防御设备的联动。根据监测到的威胁,自动制定防护策略,并启动平台具有的SQL注入/XSS防护、Web常规攻击防护、扫描防护、Cookie安全防护、URL ACL、CSRF防护、HTTP协议防护、ARP欺骗防护、信息过滤防护、非法下载防护、非法上传防护、Web内容安全防护、页面盗链、爬虫防护、流量攻击防护等防护模块进行防护。
2)篡改防护
平台提供内核级防护,保护页面不会被非法篡改。Windows防篡改支持32位和64位系统,Linux防篡改支持32位和64位系统。
3)Webshell防护
WebRAY治理平台能够实时检测过滤WebShell发起的各种攻击命令,阻断利用WebShell 发起的挂马、文件下载、端口扫描、内容篡改等各种攻击和非法操作。
“有人建,有人管;有人用,有人防” WebRAY治理平台通过9大核心能力来解决网站群治理中四大主要问题,从而协助网络管理者进行网站群治理,并符合国家2562号文件规定,最终使辖区内的所有网站实现“有人建、有人管;有人用,有人防”。