新一代Web安全治理體系讓“我的地盤我做主”不再只是夢
每個人都有自己的夢想,這個夢想或大或小,這個夢想或虛幻或真實。現實生活中,我們總會有想要改變現狀的小夢想。要麼是去風景秀麗的地方旅遊,要麼是期待自己能夠加薪,要麼是讓自己的工作更加的順心如意,要麼……
拿就職於某大型企業的安全管理員小張來說,他就一直有個非常實際的夢想。公司曾被攻擊者多次針對WEB發起攻擊,尤其是網站被篡改多次而不曾及時發現。公司網站多且分散,無法管理。作為公司的安全管理員,小張夢想著能夠:
◆我的地盤我做主;
◆什麼系統上線我說了算;
◆系統在哪裡我都知道;
◆系統幹了什麼我都瞭解;
◆系統有什麼弱點我都清楚;
◆出了任何問題立刻定位;
◆找得到人,斷得了網。
然而,現實卻是這樣的:
◆都說是我的地盤,可我做不了主
◆線上有哪些系統真是不知道
◆系統在哪裡,歸誰管我也不清楚
◆這系統有什麼漏洞,都幹了什麼我更不清楚
◆出了事了,都來找我,可我該找誰?
◆斷網?連繫統在哪都不知道,怎麼斷網?
小張只想說:“這夢想與現實的差距太大了,誰能救救我?”
如何才能讓他夢想成真?
近日,盛邦安全產品經理李春鵬參加了由51CTO舉辦的WOTA峰會,他表示,像小張遇到的這種情況很普遍,並非個例。隨著網際網路的發展,越來越多的業務依託於Web系統。雖然很多的企業都非常注重Web安全,但是大多把注意力放到了防護上,而忽視Web系統的安全管理。目前,使用權與管理權的分離導致了Web系統的治理問題尤為突出,例如:私搭亂建、網站無法及時退運、缺乏稽核手段等都可能給黑客攻擊以可乘之機。
李春鵬強調說:“安全是動態改變的,Web安全在朝兩個方向發展,一個是安全防護之前的風險控制,在攻擊到來之前儘可能降低系統受到攻擊的可能性。另一個是安全防護之後的感知,通過檢測及時發現網路受到的攻擊,及時告警和溯源,形成完善的安全體系。三分技術,七分管理。在做好安全防護的同時,也要做好管理。”
因此,Web安全不能僅做針對外部的防護,也應注重內部的治理,Web安全=治理+防護。
盛邦安全產品經理李春鵬
目前,企業通用的方式是通過IP,或者DNS解析來控制網站能否對外提供服務。但是以IP形式進行網站控制,安全管理人員無法統計到這個IP上執行著多少網站,開通了多少服務。此外,很多網站管理者在解析伺服器上配置的是泛解析,這樣導致通過二級或者三級域名建立的網站無法統計到。這就最終導致了企業無法“摸清家底”,留下了安全隱患。
針對Web安全治理問題,雖然運維人員很重視,但是往往缺少一種有效的手段。安全管理人員要想全面的瞭解公司系統安全情況,實現對Web系統的可知、可感、可查和可控,需要對整個Web系統的全生命週期進行管理,建立新一代Web安全治理體系。依託於多年在Web安全領域所積累的豐富經驗,盛邦安全總結出了以下Web安全治理思路:
第一步,自動學習所有在運站點。這是Web安全治理第一步,要“摸清家底”。通過技術手段分析映象流量進行Web資產自學習,識別包括IP、域名、埠、網站名稱等資訊。從而及時瞭解網路中有哪些網站及業務系統在提供服務,自動識別疑似不合規Web系統。
第二步,建立線上得網站安全准入機制,對所有Web系統備案、評估後再允許對外服務。備案管理:提供公安備案管理以及組織自用備案管理系統,明確各Web系統的所有人、用途等各類資訊。並提供備案申請、備案稽核等流程。
第三步,建立網站運營日常監控機制,對運營系統持續進行安全巡檢,包括流量被動檢測。對網站進行安全檢測的主要內容包含:網站篡改監控,暗鏈/黑鏈檢測,敏感詞的監控,Web漏洞檢測、系統漏洞檢測、後門掃描、網路釣魚檢測、網站木馬和弱口令檢測等。
第四步,一鍵斷網+安全裝置聯動,實行有效地應急和處理機制,對發現的不合規或不安全的Web站點進行阻斷。並可配合微信進行智慧阻斷。
最終,結合流量分析、指紋分析、報表功能和漏洞管理等其他安全能力,從網站誕生到結束形成一個閉環,實現Web系統的全生命安全週期管理。
基於以上Web安全治理思路,盛邦安全研發了RayGateWeb安全治理平臺。該平臺是以符合四部委聯合釋出的《黨政機關、事業單位和國有企業網際網路網站安全專項整治行動方案》(簡稱2562號檔案)為出發點,針對園區網、雲端計算中心、行業垂直網路及政府橫向網路等場景,解決網站及業務系統使用權和管理權分離導致運維過程之中的問題而精心研發的一款治理型平臺類產品。
“RayGate具有對內部網站的自學習能力,免去人工新增的煩惱,並可有效發現私建網站及殭屍網站。其採用旁路部署,而且上線簡單,不影響網路拓撲,可實現三級部署及管理。而且,每四個月,我們就會對RayGate進行快速的迭代升級。從而保證該產品滿足使用者的需求,並最大化的幫助他們提升工作效率。” 李春鵬說。
本文出處:暢享網
本文來自雲棲社群合作伙伴暢享網,瞭解相關資訊可以關注vsharing.com網站。
相關文章
- Restcloud ETL 我的演算法我做主RESTCloud演算法
- 【Flutter高階玩法- Flow 】我的位置我做主Flutter
- 課時19:函式:我的地盤聽我的函式
- android--相機開發----我的相機我做主Android
- 【網路心情】讓我們的微笑不再那麼虛偽
- 老闆讓我重構專案,我想首先應該服務治理---eureka服務治理深入淺出
- 因為你是我的夢——聽華為主題曲《我的夢》
- 我不是個內向的程式設計師 我只是很忙程式設計師
- 我不是個內向的程式設計師,我只是很忙程式設計師
- “我不想讓我的女兒知道我被騙錢了”|說說身邊的網路安全故事
- iOS 14將隱私分享權還給使用者,我的資料我做主?iOS
- 我的好書我做主:曬出原創《Go語言程式設計 》的大致目錄Go程式設計
- 我的知識地圖地圖
- Meta遊戲:我們的人生只是上帝的遊戲遊戲
- 我只是想用JavaScript寫一個方法...JavaScript
- 再見,我的技術夢想
- 讓我們的Linux安全的10招必殺技Linux
- 公司讓我去做開發,我咋搞
- dart系列之:你的地盤你做主,使用Extension對類進行擴充套件Dart套件
- 我為什麼不再推薦RxJavaRxJava
- 【React】為什麼我不再使用setState?React
- 為什麼我不再用 .NET 框架框架
- 為什麼我不再使用MVC框架?MVC框架
- 我不討厭JS,只是更愛CSSJSCSS
- 馬雲:我淡出阿里 只是時間問題阿里
- JNPF讓軟體系統的增、刪、改、查不再困難
- 結對程式設計,我的噩夢程式設計
- 我的WINDOWS系統常用的軟體Windows
- 我的島嶼我做主,沙盒經營建造遊戲《島與工廠》將於4月19日推出遊戲
- 我的web寫作宣言Web
- 【java web】我眼中的JqueryJavaWebjQuery
- 我的BERT!改改字典,讓BERT安全提速不掉分(已開源)
- Dapr 不是服務網格,只是我長的和他很像
- MineCraft創始人:我不是CEO的料 我只是一個屌絲程式設計師Raft程式設計師
- 為什麼我不再做.NET開發
- 亮劍:PHP,我的未來不是夢(12)PHP
- 亮劍:PHP,我的未來不是夢(10)PHP
- 亮劍:PHP,我的未來不是夢(5)PHP