随着“政务公开”、“互联网+政务服务”等改革措施的不断提出及深化,网站逐渐成为承担改革任务的重要角色,其安全问题也受到了国家的关注。近年来国家相关部门针对网站尤其是政府网站组织了多次安全检查,并推出了一系列政策文件。而今年的政府网站安全检查也将于近日展开。
作为多次为“两会”、“9.3阅兵”、“冬运会”等国家重要活动提供网络安保支撑、应急工作、以及多次支持国家网站安全检查活动的盛邦安全,根据自身经验,与大家分享一些对于网站安全检查的看法,希望能与各位共同探讨。
为什么政府网站需要安全检查?
从管理上来看:近5年我国的政府网站数量呈现快速增长趋势,虽然有些地区已经开展网站收口工作,但全国整体进展较慢。与网站数量的快速增长相反,政府部门的安全管理人员及制度严重缺失,网站往往是“有人建,无人管;有人用,无人防“的状态。另外,政府内部的网站也存在”私搭乱建”的情况,退运网站也缺少有效的管理。而日常的行政文件式管理,可能存在部分人员不及时处理的情况。
从技术上来看:除了安全人员以及制度严重缺失外,其网站的安全防护更是量小力微。提到安全,大家往往想到的是防火墙、终端杀毒等产品,但防火墙对于应用层攻击,尤其是Sql注入、跨站等针对网站的攻击无能为力。 而且现阶段让所有的政府部门均配备专业的网站安全设备很难实现。
另外,目前解决网络安全问题的思路正从传统的以防护为核心逐渐朝两个方向发展。一个是向前,即风险的管理,目的是降低系统被攻击的可能性;一个是向后,即态势感知,目的是第一时间发现攻击,将损失降到最低。而安全检查正是找出风险,并降低风险的一个过程,也是现阶段解决政府网站安全问题的一个有效手段。
安全检查该检查些什么?
“摸清家底,认清风险,找出漏洞,通报结果,督促整改。”习大大在“419”会议上通过5个词语明确的指出了网络安全检查的整个流程及目的。网站的安全检查也是如此,首先我们要摸清一个区域内到底有多少政府网站,并要检查好网站的运行状态以及备案情况。然后深入检查这些网站所存在的风险,其中包含管理以及技术方面,管理方面包括是否有完善的安全管理制度、负责人员是否明确等;而技术方面包含配置合理性、口令的安全性,而其中重要的一项就是要能够发现网站的漏洞。因为根据统计,85%的网络攻击都是因为漏洞引起的。而全面的漏洞检测应该能够覆盖TCP/IP四层——包含系统、数据库、中间件、Web层漏洞。但除了漏洞以外,还应该包含网站木马、暗链以及后门的检测。
根据盛邦安全对于反共黑客的研究,其发现网站漏洞后,往往会先向网站植入Webshell工具,并将漏洞修补(这样防止其他黑客控制)。然后定期进行探测是否仍然可控,最后每逢国内重大活动时,其就会对网站进行篡改。所以单纯的漏洞检测对于事先植入的木马、暗链、后门等束手无策。
在“认清风险”及“找出漏洞”以后,就要进行结果的汇总及上报,并对有问题的网站进行督促整改。
盛邦安全的一些建议
网站安全检查通常由各地的主管部门负责,主管部门通过投入人员以及利用相应技术手段对其负责区域的政府网站进行检查。对于主管部门,安全检查也存在以下几个难点:1、工作量大,区域内往往有大量网站需要检查;2、呈现不直观,分散检查需要集中汇报,上级部门在统计和结果呈现都有很大问题;3、检查的完整性及准确性。
因此在选择技术时应该尽可能解决以上几个问题。盛邦安全建议使用远程网站安全检测系统,通过批量添加需检查的域名或IP地址实现远程检测。检测范围应包括Web漏洞、系统漏洞以及中间件、数据库漏洞,暗链,木马,后门以及弱口令。
为应对大规模的网站检查,远程网站安全检测系统要考虑可拓展性以及高性能问题。
第三就是要有基于主管部门需求的界面展现以及检测内容的展现。
同时,在选择检查方式时,不应简单的选择产品,而是应该更注重配套的安全服务能力。这样才能更好的发挥产品能力以及得到网站安全更全面的分析。
盛邦安全烽火台-网站安全检测系统通过沙箱技术、威胁情报、漏洞扫描等技术以云SaaS形态为主管部门提供完整的网站安全检查。检查内容包含网站可用性,暗链,Web层、系统层、中间件、数据库漏洞,网站木马、弱口令、后门以及网络钓鱼。该系统适用于大规模的网站检测,并根据盛邦安全丰富的实践经验,为相关部门提供专业的人员支持以及符合需求的可定制统计、呈现界面及报告。