随着互联网的发展,越来越多的业务依托于Web系统。虽然很多的企业都非常注重Web安全,但是大多把注意力放到了防护上,而忽视Web系统的安全管理。目前,使用权与管理权的分离导致了Web系统的治理问题尤为突出,例如:私搭乱建、网站无法及时退运、缺乏审核手段等都可能给黑客攻击以可乘之机。
安全是动态改变的,Web安全在朝两个方向发展,一个是安全防护之前的风险控制,在攻击到来之前尽可能降低系统受到攻击的可能性。另一个是安全防护之后的感知,通过检测及时发现网络受到的攻击,及时告警和溯源,形成完善的安全体系。三分技术,七分管理。在做好安全防护的同时,也要做好管理。 因此,Web安全不能仅做针对外部的防护,也应注重内部的治理,Web安全=治理+防护。 目前,企业通用的方式是通过IP,或者DNS解析来控制网站能否对外提供服务。但是以IP形式进行网站控制,安全管理人员无法统计到这个IP上运行着多少网站,开通了多少服务。此外,很多网站管理者在解析服务器上配置的是泛解析,这样导致通过二级或者三级域名建立的网站无法统计到。这就最终导致了企业无法“摸清家底”,留下了安全隐患。 针对Web安全治理问题,虽然运维人员很重视,但是往往缺少一种有效的手段。安全管理人员要想全面的了解公司系统安全情况,实现对Web系统的可知、可感、可查和可控,需要对整个Web系统的全生命周期进行管理,建立新一代Web安全治理体系。依托于多年在Web安全领域所积累的丰富经验,盛邦安全总结出了以下Web安全治理思路: 第一步,自动学习所有在运站点。这是Web安全治理第一步,要“摸清家底”。通过技术手段分析镜像流量进行Web资产自学习,识别包括IP、域名、端口、网站名称等信息。从而及时了解网络中有哪些网站及业务系统在提供服务,自动识别疑似不合规Web系统。 第二步,建立在线的网站安全准入机制,对所有Web系统备案、评估后再允许对外服务。备案管理提供公安备案管理以及组织自用备案管理系统,明确各Web系统的所有人、用途等各类信息,并提供备案申请、备案审核等流程。 第三步,建立网站运营日常监控机制,对运营系统持续进行安全巡检,包括流量被动检测。对网站进行安全检测的主要内容包含:网站篡改监控,暗链/黑链检测,敏感词的监控,Web漏洞检测、系统漏洞检测、后门扫描、网络钓鱼检测、网站木马和弱口令检测等。 第四步,一键断网+安全设备联动,实行有效地应急和处理机制,对发现的不合规或不安全的Web站点进行阻断。并可配合微信进行智能阻断。 最终,结合流量分析、指纹分析、报表功能和漏洞管理等其他安全功能,从网站诞生到结束形成一个闭环,实现Web系统的全生命安全周期管理。
|