網站安全檢查漸成常態，盛邦安全帶來深度解讀

隨著”政務公開”、”網際網路+政務服務”等改革措施的不斷提出及深化，網站逐漸成為承擔改革任務的重要角色，其安全問題也受到了國家的關注。近年來國家相關部門針對網站尤其是政府網站組織了多次安全檢查，並推出了一系列政策檔案。而今年的政府網站安全檢查也將於近日展開。

作為多次為”兩會”、”9.3閱兵”、”冬運會”等國家重要活動提供網路安保支撐、應急工作、以及多次支援國家網站安全檢查活動的盛邦安全，將根據自身經驗，與大家分享一些對於網站安全檢查的看法，希望能與各位共同探討。

為什麼政府網站需要安全檢查？

從管理上來看：近5年我國的政府網站數量呈現快速增長趨勢，雖然有些地區已經開展網站收口工作，但全國整體進展較慢。與網站數量的快速增長相反，政府部門的安全管理人員及制度嚴重缺失，網站往往是”有人建，無人管；有人用，無人防”的狀態。另外，政府內部的網站也存在”私搭亂建”的情況，退運網站也缺少有效的管理。而日常的行政檔案式管理，可能存在部分人員不及時處理的情況。

從技術上來看：除了安全人員以及制度嚴重缺失外，其網站的安全防護更是量小力微。提到安全，大家往往想到的是防火牆、終端防毒等產品，但防火牆對於應用層攻擊，尤其是Sql注入、跨站等針對網站的攻擊無能為力。而且現階段讓所有的政府部門均配備專業的網站安全裝置很難實現。

另外，目前解決網路安全問題的思路正從傳統的以防護為核心逐漸朝兩個方向發展。一個是向前，即風險的管理，目的是降低系統被攻擊的可能性；一個是向後，即態勢感知，目的是第一時間發現攻擊，將損失降到最低。而安全檢查正是找出風險，並降低風險的一個過程，也是現階段解決政府網站安全問題的一個有效手段。

安全檢查該檢查些什麼？

“摸清家底，認清風險，找出漏洞，通報結果，督促整改。”習大大在”419″會議上通過5個詞語明確的指出了網路安全檢查的整個流程及目的。網站的安全檢查也是如此，首先我們要摸清一個區域內到底有多少政府網站，並要檢查好網站的執行狀態以及備案情況。然後深入檢查這些網站所存在的風險，其中包含管理以及技術方面，管理方面包括是否有完善的安全管理制度、負責人員是否明確等；而技術方面包含配置合理性、口令的安全性，而其中重要的一項就是要能夠發現網站的漏洞。因為根據統計，85%的網路攻擊都是因為漏洞引起的。而全面的漏洞檢測應該能夠覆蓋TCP/IP四層–包含系統、資料庫、中介軟體、Web層漏洞。但除了漏洞以外，還應該包含網站木馬、暗鏈以及後門的檢測。

根據盛邦安全對於反共黑客的研究，其發現網站漏洞後，往往會先向網站植入Webshell工具，並將漏洞修補（這樣防止其他黑客控制）。然後定期進行探測是否仍然可控，最後每逢國內重大活動時，其就會對網站進行篡改。所以單純的漏洞檢測對於事先植入的木馬、暗鏈、後門等束手無策。

在”認清風險”及”找出漏洞”以後，就要進行結果的彙總及上報，並對有問題的網站進行督促整改。

盛邦安全的一些建議

網站安全檢查通常由各地的主管部門負責，主管部門通過投入人員以及利用相應技術手段對其負責區域的政府網站進行檢查。對於主管部門，安全檢查也存在以下幾個難點：1、工作量大，區域內往往有大量網站需要檢查；2、呈現不直觀，分散檢查需要集中彙報，上級部門在統計和結果呈現都有很大問題；3、檢查的完整性及準確性。

因此在選擇技術時應該儘可能解決以上幾個問題。盛邦安全建議使用遠端網站安全檢測系統，通過批量新增需檢查的域名或IP地址實現遠端檢測。檢測範圍應包括Web漏洞、系統漏洞以及中介軟體、資料庫漏洞，暗鏈，木馬，後門以及弱口令。

為應對大規模的網站檢查，遠端網站安全檢測系統要考慮可擴充性以及高效能問題。

第三就是要有基於主管部門需求的介面展現以及檢測內容的展現。

同時，在選擇檢查方式時，不應簡單的選擇產品，而是應該更注重配套的安全服務能力。這樣才能更好的發揮產品能力以及得到網站安全更全面的分析。

盛邦安全烽火臺-網站安全檢測系統通過沙箱技術、威脅情報、漏洞掃描等技術以雲SaaS形態為主管部門提供完整的網站安全檢查。檢查內容包含網站可用性，暗鏈，Web層、系統層、中介軟體、資料庫漏洞，網站木馬、弱口令、後門以及網路釣魚。該系統適用於大規模的網站檢測，並根據盛邦安全豐富的實踐經驗，為相關部門提供專業的人員支援以及符合需求的可定製統計、呈現介面及報告。

本文出處：暢享網

本文來自雲棲社群合作伙伴暢享網，瞭解相關資訊可以關注vsharing.com網站。