【51cto.com原創稿件】每個人都有自己的夢想,這個夢想或大或小,這個夢想或虛幻或真實。現實生活中,我們總會有想要改變現狀的小夢想。要麼是去風景秀麗的地方旅遊,要麼是期待自己能夠加薪,要麼是讓自己的工作更加的順心如意,要麼……
拿就職于某大型企業的安全管理者小張來說,他就一直有個非常實際的夢想。公司曾被攻擊者多次針對web發起攻擊,尤其是網站被篡改多次而不曾及時發現。公司網站多且分散,無法管理。作為公司的安全管理者,小張夢想着能夠:
◆我的地盤我做主;
◆什麼系統上線我說了算;
◆系統在哪裡我都知道;
◆系統幹了什麼我都了解;
◆系統有什麼弱點我都清楚;
◆出了任何問題立刻定位;
◆找得到人,斷得了網。
然而,現實卻是這樣的:
◆都說是我的地盤,可我做不了主
◆線上有哪些系統真是不知道
◆系統在哪裡,歸誰管我也不清楚
◆這系統有什麼漏洞,都幹了什麼我更不清楚
◆出了事了,都來找我,可我該找誰?
◆斷網?連系統在哪都不知道,怎麼斷網?
小張隻想說:“這夢想與現實的差距太大了,誰能救救我?”
如何才能讓他夢想成真?
近日,盛邦安全産品經理李春鵬在wota峰會現場接受51cto記者采訪時表示,像小張遇到的這種情況很普遍,并非個例。随着網際網路的發展,越來越多的業務依托于web系統。雖然很多的企業都非常注重web安全,但是大多把注意力放到了防護上,而忽視web系統的安全管理。目前,使用權與管理權的分離導緻了web系統的治理問題尤為突出,例如:私搭亂建、網站無法及時退運、缺乏稽核手段等都可能給黑客攻擊以可乘之機。
李春鵬強調說:“安全是動态改變的,web安全在朝兩個方向發展,一個是安全防護之前的風險控制,在攻擊到來之前盡可能降低系統受到攻擊的可能性。另一個是安全防護之後的感覺,通過檢測及時發現網絡受到的攻擊,及時告警和溯源,形成完善的安全體系。三分技術,七分管理。在做好安全防護的同時,也要做好管理。”
是以,web安全不能僅做針對外部的防護,也應注重内部的治理,web安全=治理+防護。
盛邦安全産品經理李春鵬
目前,企業通用的方式是通過ip,或者dns解析來控制網站能否對外提供服務。但是以ip形式進行網站控制,安全管理人員無法統計到這個ip上運作着多少網站,開通了多少服務。此外,很多網站管理者在解析伺服器上配置的是泛解析,這樣導緻通過二級或者三級域名建立的網站無法統計到。這就最終導緻了企業無法“摸清家底”,留下了安全隐患。
針對web安全治理問題,雖然運維人員很重視,但是往往缺少一種有效的手段。安全管理人員要想全面的了解公司系統安全情況,實作對web系統的可知、可感、可查和可控,需要對整個web系統的全生命周期進行管理,建立新一代web安全治理體系。依托于多年在web安全領域所積累的豐富經驗,盛邦安全總結出了以下web安全治理思路:
第一步,自動學習所有在運站點。這是web安全治理第一步,要“摸清家底”。通過技術手段分析鏡像流量進行web資産自學習,識别包括ip、域名、端口、網站名稱等資訊。進而及時了解網絡中有哪些網站及業務系統在提供服務,自動識别疑似不合規web系統。
第二步,建立線上的網站安全準入機制,對所有web系統備案、評估後再允許對外服務。備案管理提供公安備案管理以及組織自用備案管理系統,明确各web系統的所有人、用途等各類資訊,并提供備案申請、備案稽核等流程。
第三步,建立網站營運日常監控機制,對營運系統持續進行安全巡檢,包括流量被動檢測。對網站進行安全檢測的主要内容包含:網站篡改監控,暗鍊/黑鍊檢測,敏感詞的監控,web漏洞檢測、系統漏洞檢測、後門掃描、網絡釣魚檢測、網站木馬和弱密碼檢測等。
第四步,一鍵斷網+安全裝置關聯,實行有效地應急和處理機制,對發現的不合規或不安全的web站點進行阻斷。并可配合微信進行智能阻斷。
最終,結合流量分析、指紋分析、報表功能和漏洞管理等其他安全功能,從網站誕生到結束形成一個閉環,實作web系統的全生命安全周期管理。
基于以上web安全治理思路,盛邦安全研發了raygateweb安全治理平台。該平台是以符合四部委聯合釋出的《黨政機關、事業機關和國有企業網際網路網站安全專項整治行動方案》(簡稱2562号檔案)為出發點,針對園區網、雲計算中心、行業垂直網絡及政府橫向網絡等場景,解決網站及業務系統使用權和管理權分離導緻運維過程中問題而精心研發的一款治理型平台類産品。
“raygate具有對内部網站的自學習能力,免去人工添加的煩惱,并可有效發現私建網站及僵屍網站。其采用旁路部署,而且上線簡單,不影響網絡拓撲,可實作三級部署及管理。而且,每四個月,我們就會對raygate進行快速的疊代更新。進而保證該産品滿足使用者的需求,并最大化的幫助他們提升工作效率。”李春鵬說。
作者:杜美潔
來源:51cto