垂直行业WEB系统的监控预警与态势感知平台建设方案

随着信息化的发展，政府以及大型企业的对外宣传及服务、对内办公逐渐向Web上迁移，从而出现了众多的门户网站以及业务系统。随着这些网站及业务系统与政府、企业的形象及业务的不断融合，其重要程度也不断提升，尤其是在垂直行业中更为重要。因此，网站和业务系统也成为黑客的主要攻击目标。本文既是围绕垂直行业的门户网站及业务系统的安全建设展开。为了表达上的简洁，后文所提到的网站无特殊说明均是指广义上的网站——以http/https协议进行通信并使用浏览器进行访问的系统，既包含门户网站及业务系统。

垂直行业的网站有哪些问题?

1、篡改问题：篡改主要集中在门户网站以及对外提供服务的业务系统，而且一旦发生篡改，影响范围较广，是管理人员普遍关心的问题。

2、数据泄露：数据泄露从途径可以分为两大类，一种为通过外部攻击者通过攻击对外提供服务的网站非法获取数据，此类途径泄露的数据往往涉及用户个人信息;第二种则是内部业务系统的数据泄露，而此类数据泄露同样也会引起严重问题。例如某大型公司就出现过此类问题，刚刚上线的新HR系统，第二天全员的工资情况及股权分配情况则被公布，引起公司“大地震”……

3、其他问题：除了篡改、数据泄露外，网站还面临许多问题，比如钓鱼、挂马、暗链、敏感词等等。而这些攻击往往也具备某些行业特征，例如钓鱼就可能在金融类行业比较严重;又例如在每年的7月份，招生类网站的钓鱼情况会大幅升高。政府网站的暗链情况较其他行业更为严重等。

造成这些问题的原因有哪些?

1、配置不当

对于在垂直行业内有多年运维经验的管理人员来说，配置核查的重要性不言而喻。而配置核查的目的就是为了达到安全基线。简单来说所谓安全基线规范，是为了确保通信网络上的相关设备达到最基本的防护能力要求而制定的一系列达标基准，是一套统一的安全设置指标。类比于木桶原理，安全基线就相当于木桶的最短板，是最基本的安全要求。而这最基本的要求在实现上却问题重重。

​​

​​

2、漏洞缺乏管理

从计算机诞生开始漏洞就一直是安全的天敌，绝大多数的网络攻击是利用漏洞发起的。而漏洞缺乏管理是一个统称，其包含两大方面：漏洞数量众多且频发更新，管理人员很难及时发现;由于技术或安全意识不足，导致发现后未能及时修复

3、弱口令

弱口令往往是管理员的一个噩梦，有些是管理员自身的疏忽，比如图例中某省的人口流动管理系统，可利用用户名：ldrk，密码：ldrk，登录查看多市的流动人口情况。而更多的则是垂直行业内部用户的弱口令，123456、000000等均是常用口令。其他的并不一一列举。

4、安全“外刚内柔”

据统计80%的网络攻击来源自内部，这种“内部”攻击分为两种情况，一种是内部人员由于操作不当，个人电脑被黑客控制，从而被动的成为黑客攻击的跳板。第二种则是内部人员的有意为之，垂直行业内部用户众多，此类情况更容易发生。而实际上，大量的防御设备均部署在边界，内部疏于防范。从而导致一旦边界失守，或内部发起攻击，服务器往往轻易沦陷。

​​

​​

对于垂直行业网站国家的政策要求

国家对网站安全提出过多个文件，其中最应该关注的应该是去年9月30日四部委联合发布的“网站安全专项政治行动方案”，该方案除了对“党政机关、事业单位和国有企业”提出了行动要求外，其实还包括了很多具体的安全建议。核心内容如下：

​​

​​

其中的“网站统一管理、统一防护、统一监测”，”查找网站安全隐患并及时整改”等内容，都体现了国家相关安全部门对于网站安全的思考。

讲过了垂直行业网站安全目前的问题、造成问题的原因以及国家的相应政策，下面将要来讲一讲在垂直行业被广泛接受的监控预警与态势感知平台的应用。但需要明确的是，没有绝对的安全，安全的本质还是(至少目前还是)增加攻击的成本。本文也是在一定限度上，并利用一些安全圈比较热门的技术理念来解决垂直行业的网站在运行时遇到的某几类问题。

监控预警与态势感知平台的应用

​​

​​

基于这个理论，也引出了题目中所提出的垂直行业网站的监控预警与态势感知方案的架构及能力。

​​

​​

典型的拓扑如下：

​​

​​

在安全管理区部署监控预警与态势感知总控中心，作为大数据汇总分析、统一呈现以及策略下发平台;并在各含有服务器的安全域以分布式方式部署探针，作为检测引擎进行数据采集;在服务器区前部署Web防护设备以及边界部署抗D等设备，进行攻击防御的同时将攻击情况发送给总控中心。

各分支机构通常只承担建设各自门户网站，对于分支机构的网站有两种监控方式：1.总部增加引擎数量，批量导入分支域名或IP，实现无感知远程监测。2.各分支部署探针，在监测的同时进行防御。

方案核心能力

本方案包含四大核心能力，分别为资产发现及管理能力、监控能力、安全基线配置核查能力、攻击防护能力。

资产发现通过在网络总出口或各安全域旁路部署的探针，通过流量学习自动发现内部网站，并能进行被动的Webshell检测。从而发现内部私搭滥建网站以及网站后门。

​​

​​

日常的监控包括三大类——合规性检查、风险控制、以及态势感知。其中态势感知中的攻击监测需要与防御设备联动。通过监控能力，及时发现篡改、弱口令、钓鱼、木马、后门、可用性等网站常见问题。

​​

​​

安全基线核查部分通过各安全域部署的探针引擎或者单独的可移动检测设备均可实现。安全基线方面，主要以合作方OWASP的各类安全基线为主，同时支持定制本行业的安全基线。

​​

​​

攻击防护主要以各安全域及边界部署的防御设备与管控中心联动，实现以管控中心为大脑来控制手和脚(防御设备)的统一协作能力。实现对于外部以及内部攻击的防御。

​​

​​

实施效果展示

通过该方案的建设，来帮助垂直行业的信息中心建立起一套针对其网站的监控预警与态势感知系统。从而实现2562号文件中所提及的“网站统一管理、统一防护、统一检测”、“满足等保要求”、“安全事件通报”。并解决基线核查、内部攻击、篡改、数据泄露等问题。

​​

​​

​​

​​

下一篇文章，我将以某部委的实际案例出发，来讲解监控预警与态势感知系统的建设与应用。该部委是典型的全国性垂直网络，其含有众多门户网站以及关系民生的重要业务系统。敬请期待。