方案-11-明鉴网站安全监测平台-建设方全监测平台-建设方案62

XXXX政府网站安全监测平台建设方案杭州安恒信息技术有限公司DATE\@"EEEE年O月"二〇二一年六月目录一.网站安全的概述 4**政府行业的安全现状 4**页面被篡改 4**网页挂马 5**跨站攻击 5**建设网站安全检测平台的意义 5**主动发现网站的安全隐患，防范于未然 5**及时发现出现的安全事件，及时响应和处理 5**全省统一部署，掌控全局、节省投资 6**便于开展大范围的安全检查和绩效评估 6**有利于监管型向服务型职能的转变 6二.项目设计依据 6三.项目建设目标 8**方便实现7*24实时监测批量网站 8**各类安全状况“一览无余” 8**为网站安全情况通报提供基础数据 8**促进问题网站安全整改 8**可自查自纠消除隐患 9四.建设方案 9**整体设计 9**功能设计 10**安全监测功能 10**安全展现功能 11**安全告警与报告分发功能 13**安全绩效考核功能 14**自查自纠功能 15**关键技术 16**基于分布式扫描引擎 16**取证式漏洞跟踪 16**复合式网马识别 16**浏览式网站爬取 16**慢攻击方式检测 17**性能设计 17**监测性能指标 17**监测容量与引擎选配 18五.方案优势 19**有效解决安全设备防抗扫描的问题 19**取证式扫描解决误报与漏报的问题 19**结合政策及多个省份安全绩效考核指标评分系统 20**自助式安全检查便于网站自查自纠 21六.建设所需设备清单 21

网站安全的概述以Internet为代表的全球性信息化浪潮日益发展，信息网络技术的应用正日益普及，其应用层次正逐渐深入，应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展，典型的如行政部门业务系统、金融业务系统、企业商务系统等。伴随网络的广泛普及，安全成为影响网络效能的重要问题，而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时，对安全提出了更高的要求。如何使信息网络系统不受黑客和工业间谍的入侵，已成为政府机构、单位信息化健康发展所要考虑的重要事情之一。政府行业的安全现状如今的政府网站在传统的安全防护方法中，通常会采用网络防火墙、入侵检测(IDS)、防病毒等系统，防火墙用来过滤部分网络层以及端口类攻击探测，入侵检测可以监测到网站的外部安全实时威胁，防病毒可以防止一些恶意代码及病毒攻击。但从目前常见的攻击手法研究来看，以上防护方法基本上无能为力，从大量被黑站点的统计分析来看，70%以上被攻击站点都已经部署了防火墙，或者托管IDC已经进行了相关部署，25%以上部署了IDS系统，80%都部署了防病毒系统。而目前针对网站主流攻击方法主要包括拒绝服务攻击、注入攻击、跨站脚本攻击、挂马攻击等等，经检测，我国85%以上大中型网站均遭受过以上攻击，而且有些网站即使修复后还是反复遭到以上几类攻击。页面被篡改网站门户作为政府工作的窗口，是国家、政府、各部门的标志之一，代表了政府的形象，因此也就成为不法分子的重点攻击对象。其中一种最主要的攻击手段就是对网站页面进行篡改，网站一旦被篡改(加入一些敏感的显性内容或者虚假信息)，常常会引发较大的影响，严重时甚至会造成政治事件（对于政府网站的恶意篡改）。网页挂马网页内容表面上没有任何异常，却可能被偷偷的挂上了木马程序。网页挂马未必会给网站带来直接损害，但却会给浏览网站的用户带来损失。更重要的是，网站一旦被挂马，其权威性和公信力将会受到打击，最终给业务的普及带来重大影响。越来越多的应用被转移到了互联网上，通过Web对外提供在线服务。这些服务一旦受到拒绝服务攻击而瘫痪、终止，对业务的正常运转必然造成极大的影响，可能会造成经济损失，严重时甚至会影响社会稳定。跨站攻击在政府公众的门户网站或是业务系统中，涉及到公众敏感信息、利益的数据，很可能就被不法分子觊觎，用跨站攻击获取获取操作系统管理员权限，攻击者就可以在目标网站服务器上为所欲为，例如查看网站重要数据、修改网站页面、在网站上嵌入不健康网站链接等等，从而给用户带来极为严重的损害。建设网站安全检测平台的意义主动发现网站的安全隐患，防范于未然网站监测平台同时具备WEB应用层的脆弱性检查，能够主动发现网站存在的漏洞和脆弱点，并提供专业的修补建议，降低安全风险，防范于未然。及时发现出现的安全事件，及时响应和处理通过构建一个网站安全监测平台，对政府网站单位提供7*24小时远程网站监测服务，为互联网网站提供远程安全监测、实时响应和远程安全专家咨询，不仅可以及时发现各类安全事件，及时进行响应和处理，也是是构建完善的网站安全体系的重要环节。全省统一部署，掌控全局、节省投资省级平台可以对全省政务网站的风险、安全事件了然于胸，为各项安全决策、工作部署提供科学的依据。同时，各政府站点无需投入大量的人力和物力，大幅度消减政府的投资与管理成本。便于开展大范围的安全检查和绩效评估统一平台的建设，利用自动化的技术手段实现网站安全的例行检查，通过量化的指标客观评价各单位在网站安全方面的工作，降低了以往安全检查工作中存在的工作量大、标准不统一、检查不具体、无法量化等问题。后续还可以作为安全工作绩效评估的关键指标。有利于监管型向服务型职能的转变网站安全监测平台适用于主管安全工作的领导单位，在统筹规划、工作部署的同时，通过网站监测平台的建设，辅助以专业的安全团队技术支撑，可以更好地为各单位提供服务，提升领导单位的公信力和影响力，也符合服务型职能转变的发展趋势。项目设计依据网站安全监测平台的设计参照了《国务院办公厅关于进一步加强

政府网站管理工作的通知

国办函〔2011〕40号

》文件，认真学习了其中对政府网站管理工作的要求。在该文件中第二项通知为“全面检查，切实解决政府网站管理中的突出问题”，要求各地区、各部门要对本地区、本部门政府网站进行全面检查，重点检查。以下是文件中具体要求的内容与相应的实现技术：文件要求内容监测方向具体实现技术第一条要求检查“网站页面能否正常访问”可用性监测平台提供7X24小时不间断监测服务，为网站的安全提供更为周全的保障。第二条要求检查“信息发布审核和保密审查机制是否健全”关键字监测平台提供的关键字监测功能对网站进行敏感关键字监测，实现精确的敏感字识别，确保网站内容符合互联网相关规定，避免出现敏感信息以及被监管部门封杀。第三条要求检查“网站提供的各项服务和互动功能是否正常”可用性监测平台提供三个级别的网站可用性监测功能，分别从域名可用性、网站服务可用性再深入到网站程序可用性的监测；第五条要求检查“是否采取了防攻击、防篡改、防病毒等安全防护措施，并制订了应急处置预案”网马监测、防篡改监测、漏洞监测平台的篡改监测功能，可监测页面中的内容是否被篡改，平台的漏洞扫描、网页木马等功能可以及时监测网站是否受攻击，为管理人员应急处置提供依据。项目设计依了文件要求的内容，从《文件》要求网站可用性、关键字监测、网马监测、篡改监测、漏洞监测五方面，不仅能满足日常监管之用，更考虑了提供高性能的服务，在各项监测功能中均用到了更为精准的关键技术，使监管功能发挥到极致；并且考虑了政府工作人员的用户体验，使平台的操作更为人性化，管理的权限分配更到位。我公司的网站安全监测平台不仅能满足上诉文件需求，更在性能上表现优越，能帮助相关负责人有效解决网站安全的相关问题。参考的相关文件规则要求如下：国办函〔2011〕40号《国务院办公厅关于进一步加强政府网站管理工作的通知》工信部第11号令《通信网络安全防护管理办法》工信部《木马和僵尸网络监测和处置管理办法（试行）》国信办《关于印发<信息安全风险评估指南>的通知》（国信办﹝2006﹞9号）《关于印发政府信息系统安全检查办法的通知》（国办发﹝2009﹞28号）项目建设目标方便实现7*24实时监测批量网站平台提供7*24小时不间断监测服务，来满足网站可用性要求的监测，如政府要求每5分钟检测一次网站是否能正常访问，若人工值守则需要非常大的工作量来保障网站的可用性。并且平台能对指定批量网站重点监测，以此满足管理员对重要批量网站的实时监测的需求，帮助管理员能在尽短时间内得知网站风险，在该风险引起危害，损坏用户体验与公众认识之前，采取措施应急处理。各类安全状况“一览无余”该平台在进行网站安全状况展示时，可单独展示某一系统，也可以展示某一类信息系统整体情况，网站安全监测平台的信息系统安全状况展示分为：网站、电子邮箱、办公系统、业务系统，展示出来的信息系统安全状况图文并茂。平台也可以将被监测网站根据省直、某个地市、某个风险等级、安全事件已处理情况等类别进行展示，以不同的单元展示方式，用户可以方便地掌握各类统计分析后的安全状况。为网站安全情况通报提供基础数据在对本管辖区域的网站批量扫描后，可对所有网站提供详尽的基础数据，如网站持续开通时间、网站不可访问时间、网站漏洞、木马、关键字发现个数等，为网站安全情况通报提供基础数据。促进问题网站安全整改监测平台可以实现对所管辖网站群的批量安全检测和安全分析，快速定位安全不达标的网站列表。通过此管理功能可以跟踪网站存在的问题是否得以修复，修复状态如何，直至风险解除，此方式可有效促进负责人整改问题网站，缩短网站异常处理时间，保证政务工作快速恢复正常。可自查自纠消除隐患本项目能提供用户自查自纠相应管辖范围的网站，自助加入希望监测的网站，则平台即可进行相应任务类型的扫描，并提供完整的网站安全报告，若产生风险，通过短信、邮件等方式及时通知负责人，此功能将极大增强管理员的主观能动性与网站监管能力，令相应负责人面对未知或已发生的攻击不再“巧妇难为无米之炊”。建设方案整体设计明鉴®网站安全监测平台是一套软硬件一体化监测平台，采用远程监测技术对WEB应用提供7*24小时实时安全监测服务。通过对网站的不间断监测服务，实行网站漏洞监测、网页木马监测、篡改检测、可用性监测与关键字监测，提供详尽的数据与分析报告，从而全面掌握网站的安全态势，可有助于提升网站的安全防护能力和网站服务质量，并通过安全监测平台的事件跟踪功能建立起一种长效的安全保障机制，令动态且变化不定的网站安全态势尽在把控。平台采用集群式架构，整个平台由监测控制台和监测引擎两部分组成。监测控制台一般由一台工业计算机或两台工业计算机组成，用于实现人机交互以及对监测引擎的控制。监测引擎由多台硬件设备组成，引擎的数量取决于需要监测网站的数据及每个网站的规模，默认情况下单个监测平台可配置多达64个引擎进行网站安全监测。图1平台架构功能设计安全监测功能序号技术功能功能价值1网页木马监测采用特征分析和沙箱行为分析技术对网站进行木马监测，监测精度高达99%，从而实现快速、准确的发现和定位网页木马，确保用户在第一时间发现感染的木马并及时消除。2网页篡改监测通过远程定时监测技术，可以有效的监测网页篡改行为，特别是一些越权篡改、暗链篡改等情形。并针对篡改方式提供篡改截图取证功能，极大的提升了事件处理效率。3网站可用性监测基于远程监测技术可以有效的监测到域名劫持、DNS中毒、ISP线路等原因导致的网站可用性问题。提供多线路监测技术，使用户对网站的可用性获得更为全面详细的数据，如业务中断、访问延时、不同ISP服务质量等。4网页关键字监测采用中文关键词以及语义分析技术对网站进行敏感关键字监测，实现精确的敏感字识别，确保网站内容符合互联网相关规定，避免出现敏感信息以及被监管部门封杀。5WEB漏洞监测定期自动监测网站的漏洞，并跟踪漏洞的修复情况从而使网站的漏洞得以快速修复，降低网站被入侵的风险。安全展现功能监测报告的输出针对网站定期检测后会形成一份安全监测报表，展现不同时间段存在的安全问题，并有一个综合安全评分，该份报告可展现单个网站最详尽的安全问题。主要内容分为加入监测任务的风险综合评分，监测任务如漏洞扫描、木马检测等发现的详细信息，可以列表、饼状视图、柱状视图展现。图2安全监测报告信息中心展现安全总体态势在平台的信息中心，可以查看所扫描网站的安全总体态势，有助于对安全大局的把控与决策。图3信息中心实时告警展现各网站实时安全问题实时告警模块可以展现当前所扫描网站的实时状况，并可查看其中更详细的内容，提供网站查询，报表导出。图4实时告警基础数据的统计分析在平台的模块，能直观地展现各个问题的网站安全态势，可根据漏洞、木马、篡改、敏感词、可用性几方面统计不同时段的安全报表。图5统计分析安全告警与报告分发功能平台可以提供安全告警的功能，可以选择相应告警的下发通知方式，以便负责人及时处理险情。告警方式有邮件、短信、syslog，发送的内容可以是日报、周报、月报。图7告警方式安全绩效考核功能平台增加了对相应网站负责人的的安全绩效考核功能，记分考核方式采用加权扣分制，各子项确定相应的分值，满分100分，分值越低安全级别越差，这样既便于绩效考核，也便于网站管理员能对网站安全有清楚的风险认识并能及时整改。详细考核体制见附件《政府网站安全绩效考核指标体系--供参考》。图8考核表自查自纠功能网站安全问题特别是网站的漏洞、网马、敏感信息等通常涉及网页URL和参数的细节信息。如果仅仅依据监测平台下发的报告是很难达到完全的修复效果的。因此一般是建议在下发安全报告的同时也为用户提供一个自我检查的功能，用户通过报告发现问题进行修复后，可登陆平台自行再次检查。图9监控任务关键技术基于分布式扫描引擎明鉴网站安全监测平台的核心引擎采用了最为先进的分布式扫描技术，通过该技术可实现网页的分布式检测。监测平台核心的引擎即网页爬虫引擎，该引擎的灵活性、性能直接决定了平台的性能和灵活性。如监测平台需要实现200个网站的漏洞扫描任务，使用传统的技术的情况下只能对这个200个网站排队，轮循扫描，且不同的引擎同一时间只能扫描同一个网站。而分布式网页扫描则有着明显的优势，引擎在获取任务后会调动所有的爬虫去解析200个任务的所有网页列表，然后同时对这些网站的网页扫描，即平台所有的引擎可能在同一时间扫描同一个网站，因此效率有了明显的提升。取证式漏洞跟踪平台中的扫描技术提供了独一无二的取证式漏洞跟踪，利用强大的自动渗透测试功能，通过所发现的应用漏洞，自动模拟黑客使用的漏洞攻击手段，对目标应用进行深入安全分析，利用沙盒（sandboxie）技术实施无害攻击，取得系统安全威胁的直接证据，“沙盒”技术的实践运用流程是：对疑似漏洞的应用进行模拟攻击，同时记录下每一步攻击过程，在攻击成功并获取到相应证据后，“沙盒”就会执行“回滚”机制：将攻击的痕迹和动作抹去，恢复系统到正常状态。复合式网马识别网页木马检测使用了静态恶意代码分析技术与网页行为分析相结合的方式，恶意代码检测技术效率高，可检测出大量的shellcode特征等网页木马，而网页行为分析技术主要采用沙箱技术，尽可能的模拟浏览器对网页的代码进行解析，监测是否有异常可更为精确的捕获到网页木马。通过上述两种主要的算法使网页木马检测功能实现了误报率低、漏报率底、能发现部分未知网页木马的效果。从测试情况来看可实现对传统杀毒厂商提供的木马样本95%以上的识别率。浏览式网站爬取目前网站抗扫描技术主要是依据扫描器的行为特征和字符特征进行识别，然后采取封锁扫描器，甚至封锁IP地址的办法来限制扫描行为。市场上大多数据扫描器均有着明显的字符特征串，如扫描器的发出的请求包头部含有扫描器申明信息、或者UserAgent用户代理标识位采用特定的字符标识位，因此可以很容易被抗扫描设备或程序识别出来。明鉴网站安全监测平台采用了浏览式网站爬取技术，该技术完全模拟浏览器的访问行为，然后再解析所需要的URL资源，逐级访问网站，整个过程完全伪装成一个正常的用户对网站进行访问。没有字符特征可提取，因此可以很好地解决绝大多数的网站安全设备及程序的抗扫描措施。该技术可以有效地解决市场主流的IPS、WAF以及网站程序的抗扫描措施。慢攻击方式检测抗扫描技术的另一种识别算法是采用最为先进的NBA（NetworkBehaviorAnalysis）网络行为分析技术，该技术是以网站访问建模为基础，对网站的访问进行统计分析，形成访问模式，提取出访问异常行为，针对访问异常的访问者IP尝试定时锁定措施。针对此类的抗扫描措施，明鉴网站安全监测平台可以调节爬取网站资源的频率、渗透测试的频率，并增加网络等待时间，可实现最大程度的网站扫描。性能设计监测性能指标监测平台涉及五项不同的服务类别，推荐采用下表的服务规格对监测用户提供服务。服务项目服务描述网站漏洞标准服务每1个月扫描一次，平台本身可实现不间断重复扫描。网页木马首页每30分钟进行一次检测，标准服务监测100个关键页面，提供每天2次检测服务。网页变更首页每30分钟进行一次检测，标准服务监测100个关键页面，提供每天2次检测服务。网页关键字首页每30分钟进行一次检测，标准服务监测100个关键页面，提供每天2次检测服务。网站可用性30秒一次检测，检测到网站故障及时通知用户。安全汇总每月提供一次安全汇总报告网站的漏洞扫描我们提供整个网站范围的扫描，默认提供1个月扫描一次，若用户需要增加扫描次数可实现每周扫描一次。扫描次数不宜过于频繁，一方面会增加监测平台的压力，另一方面频繁的扫描会影响网站的正常访问，如果网站部署了WEB应用防火墙还会导致WEB应用防火墙上面有大量的攻击日志产生，不便于正常维护。网页木马、防变更和关键字监测我们建议提供按页面数的监测服务，默认监测100个页面，这100个页面是指从网站首页链接进去的最前现的100个页面，若用户有要求也可以由用户提供URL清单，然后由我们进行监测。首页的监测频率较高，能达到实时监测的效果，其他的页面每天监测2次。网站可用性监测采用每30秒监测一次网站是否能正常访问，检测到不能访问时将会发出邮件进行告警。工作时间内将会由公司的专人进行电话跟踪，非工作时间类监测平台发邮件给网站负责人。监测容量与引擎选配监测平台的性能计算主要考虑需要监测的用户规模情况，另一方面需要考虑到特殊时间的监测要求。如两会之前要求对所有监测的政府网站在2天内完成安全检测，重大国家性事件前安全大检查等需要对网站监测平台有较高的性能要求。因此我们建议在设计监测平台性能时应规划所有的被监测网站能在48小时内完成一次漏洞扫描较为合适。单引擎规格硬件配置网口：4个千兆RJ45硬盘：500G高度：2U电源：1+1冗余性能指标漏洞扫描：10万页面/天监测性能：140万页面/天标准监测规格下可检测100个网站，漏扫每天约扫描30个网站。设备外观性能扩容方案当需要监测多个网站，且一台监测引擎性能无法满足需求时可采用引擎分布式部署。监测平台由管理前端和监测引擎两部分构成，可直接增加监测引擎即可实现监测性能的提升。监测容量一般采用两种方式计算，如下表所示：类型计算方式最低配置引擎数=监测站点数/100标准配置引擎数=监测站点数/30方案优势有效解决安全设备防抗扫描的问题网站安全检测过程中会发现一些网站为了应付检测，采取了网站抗扫描技术导致绝大多数据扫描器无法继续扫描网站，导致检测结果为该网站安全性良好。然而这些网页并非没有漏洞，仍然有被黑