SOC网站安全监控系统解决方案

湖北省教育系统门户网站平安管理体系

2013年1月名目现状描述随着互联网应用的普及，互联网平安问题也日益严重。我国互联网平安面临最严重的问题是网站被篡改和被挂马，2009年中国大陆就有4.2万个网站被黑客篡改和挂马。信息系统平安漏洞仍是互联网使用单位和一般用户面临的主要平安威胁，利用未知漏洞的攻击也越来越频繁。目前常常被挂马的网站也主要集中在政府、高校网站和其他一些相对比较知名的网站。教育行业网站平安现状在教育部2010年针对教育门户网站平安情况调查报告中，在已报送调查问卷的58个单位中，其中共有54个单位发生过不同类型的网站平安大事，占93%；仅有4个单位未发生过网络平安大事，占7%。网站平安大事类型发生单位数发生比例病毒感染、网络蠕虫、木马程序、恶意代码等2546%网页被篡改1324%垃圾邮件1935%遭到端口扫描、网络攻击、未授权访问（使用）网络等2546%拒绝服务攻击1426%网络欺诈、盗窃、网络钓鱼47%内部人员破坏或滥用网络资源24%注入攻击1833%跨站脚本攻击24%主要的网站平安威胁随着教育门户网站Web应用的日益广泛普及，其中隐藏价值的不断提升，引发了黑客的攻击热潮，如页面篡改、网站挂马、网络钓鱼、注入类攻击、DDoS攻击等，极大地困扰着教育门户网站管理者，给教育管理部门、高校形象带来负面影响，对信息网络甚至核心业务造成严重的破坏。运行层面，网站响应速度慢、网页被篡改、网站被挂马、网页的反动和色情内容、网络钓鱼等问题，已经成为影响网站的主管、运营和使用单位的正常业务运行、对外形象，甚至社会安定的重要问题。风险层面，黑客通过Web攻击入侵网站系统，从而篡改网站网页或数据库的内容，甚至植入各种各样的下载病毒代码。从而对网站的主管、运营和使用单位造成信息泄漏和财产损失。面对网站威胁的措施虽然可以通过部署入侵保护系统、网站防火墙等相关防御类产品来起到肯定的防御效果，然而，用户难以更早的发现风险隐患，预防这些平安大事。上海三零卫士信息平安有限公司协助教育管理信息中心，推出30SOC网站监控平台，供应7×24小时远程网站监测服务，通过不间断的远程专家值守，为宽阔教育系统用户的门户网站供应远程平安监测、平安检查、实时响应和人工分析服务，是宽阔教育系统门户网站构建完善的网站平安体系的最好补充。名目二、项目目标建设高校门户网站统一监控平台

三零卫士通过供应技术与人力，利用三零公司现有网站监控系统（30SOC），在教育信息中心机房为湖北省各高校建立统一的监控平台。集中管理监控各高校门户网站的可用性、平安性。三零卫士技术人员协助教育信息中心定期管理维护平台，并利用平台资源数据进行分析统计，为教育信息中心供应最新的各高校门户网站综合评估报告，便于教育信息中心定期的网站平安公告的发布。解决了之前“通过各高校自行上报网站平安报告，信息中心统一人工汇总分析”的各种弊端，实现了信息平安状态统计的准时性、精准性。

各高校在处理敏感信息泄露或处理信息平安大事时，难免会涉及国家信息平安政策，很难找到一个比较合适的服务外包单位供应专业化服务，导致宽阔教育系统用户在选择信息平安服务商时参差不齐，缺乏针对性，现在各高校可以通过门户网站统一监控平台为之设置的账户，对自己网站的平安情况也简略掌握。

总的来说通过统一的监控平台，实现了全省高校门户网站建设工作上有监控管制，下有自行整改优化的良性局面。项目目标建立高校网站平安应急预警体系

防患于事前是信息平安工作的最有效的措施，三零卫士是华东地区唯一一家互联网应急处理服务试点单位，多年始终从事信息平安系统建设与运维工作。三零卫士协助教育信息中心建立一套网站平安应急预警体系，定制完善的监控策略与制度、平安大事上报流程、平安大事处理流程、平安大事应急响应预案等。

三零卫士依据预警体系要求，通过监控数据对比分析，准时发现网站性能下降或被破坏的行为，通过信息中心定期的给各高校供应平安隐患分析报告，使各高校有计划、有针对性的优化整改。

网站平安应急预警体系可以有助于教育信息中心指导各高校面对网站平安事情的应急工作，提高教育信息中心在推动高校网站业务连续性保障工作和等级保护工作中的领导作用。名目三、项目简略内容30SOC产品介绍网站平安监控系统（30SOC），简称网站监控系统，是一款软件产品（可依据依据需求定制服务器），基于B/S架构。无需安装任何软件，无需转变目前网络部署状况。产品实现周期性全自动监测。可以负责对大批量网站的内容平安性（敏感字、挂马）和脆弱性（如SQL注入、跨站脚本、WEB后门）问题进行监测，并供应简略的监测报告展现和图形化网站平安状态显示，让用户对所监测的网站的平安状况一目了然。监控的内容介绍一、网站性能监测对网站性能和首页面响应速度进行轮巡监测，绘制网站运行状态和趋势曲线图。对于网站性能和首页面响应速度消灭的特别状态准时报警。报警触发条件可依据用户网站实际情况和需要进行定制。监控的内容介绍二、网页疑似篡改监测对网页进行篡改监测。可依据用户网站实际情况和需要进行定制，以区分正常网站内容更新和特别网页篡改，确保报警信息精准牢靠。发现页面篡改时准时报警，供用户比对确认。监控的简略内容介绍三、敏感内容监测基于先进的中文分词和语义识别技术，精确的检测网页内容中是否包含反动信息、敏感关键字、色情内容等。发现页面存在非法内容准时报警。敏感字库可依据用户网站实际情况和需要进行敏感关键字定制。监控的简略内容介绍四、网站挂马监测基于“云特征”的网站挂马监测，协作基于虚拟机沙箱行为检测功能的高级挂马行为监测，可捕获未知漏洞（0day）。发现网站被挂马时准时报警。挂马识别监测能力精准率>99.99%。监控的简略内容介绍五、网络钓鱼监测针对网络钓鱼常用的技术手段“域名劫持”等攻击进行监测。发现用户网站被网络钓鱼攻击时准时报警。监控的简略内容介绍六、网页漏洞监测网页的平安漏洞是网站被攻击的根源，通过远程的网站应用层漏洞扫描，由平安专家定期对网站进行结构分析、漏洞分析，用户无需选购任何Web应用扫描产品，即可获得网站的漏洞情况，以及修补建议。包含Web应用（SQL注入漏洞、跨站脚本漏洞、CGI漏洞）等应用漏洞。监控的简略内容介绍七、主机漏洞监测远程扫描网站主机的平安漏洞，可以精确检测出网站主机的简略信息和平安漏洞，包括：操作系统版本，开启的服务信息，系统用户信息，端口信息，全漏洞等。监控的简略内容介绍八、网页漏洞深度挖掘针对“网页漏洞监测”中发现的SQL注入等漏洞，进行渗透测试和漏洞挖掘。对网页进行用户名猎取、表数据猎取、执行指定SQL语句、文件读取及文件上传等测试。此项服务需要与网站代码开发商协作。三零的特色化服务一、服务专业化、报告人性化

拥有最全面的Web内容监测技术、网站性能监测技术和漏洞挖掘技术，采纳最先进“云特征”技术及“虚拟机沙箱行为检测”技术，对监测站点进行实时监测，用户可轻松获得网站的平安状态。结合专业Web平安顾问团队阅历和技术，对监测结果进行人工确认、分析、审核，出具专业监测报告，让您以最低的投资获得高质量的平安专家的专业指导和服务支撑，确保监测信息精准无误。每次依据用户需求深度挖掘，以专家报告形式向用户提交发现的漏洞信息并供应全面的平安修补的建议及网站整改方案。三零的特色化服务二、领先的Web应用漏洞检测

网站平安监测平台具有内领先的Web应用漏洞检测能力，能够为Web应用系统供应最为全面的漏洞检测范围，包含Web应用（SQL注入漏洞、跨站脚本漏洞、CGI漏洞等应用漏洞以及网页挂马检测）。以及针对Web服务中发现的SQL注入等漏洞，进行渗透测试和漏洞挖掘等多层次全方位的平安漏洞扫描。三零的特色化服务三、独特的远程主机漏洞检测能力网站平安监测平台的远程扫描网站主机的平安漏洞，可以精确检测出网站主机的简略信息和平安漏洞，包括操作系统版本，开启的服务信息，系统用户信息，端口信息，平安漏洞等。准时发现网站所隐含的风险漏洞，为用户供应精准的检测结果及最高效的检测效率。三零的特色化服务四、全时监测准时报警响应

网站平安监测平台供应全年无间断，7X24小时监测服务，无节假日和休息日，以保证用户网站能够持续、平安、高效、稳定地运行。对网站供应周期性检查，一旦发现目标站点风险状况后，由平安监测服务中心的值守专家人工进行确认，并在第一时间通告用户。通过智能平台与专家审核相结合，最大限度的提高对目标站点的监测频率以及保障监测结果的精准性，以帮助用户将所受到的风险影响降到最低。三零的特色化服务五、增值服务

依据用户委托，结合网站监测系统监测出来的问题汇总，通过信息平安专家的会诊分析，供应全方位的信息平安体系模型设计及平安建设项目规划设计服务。可依据用户申请结合国家信息平安等级保护的要求，供应等级测评、差距分析和风险评估服务，以明确平安需求，为网站的平安建设整改供应依据。服务流程各高校用户只需供应网站域名、网站IP地址、管理员邮箱信息到教育信息中心，中心即可通过统一监控平台进入监测环节。监测全过程完全托管，完全透明，在教育信息中心驻场的三零卫士技术人员发现紧急告警后立即通过中心通报给用户，并在每日和每周生成平安监测日报和周报供用户查询。报告简略描述网站平安状态、平安建议和运行性能，并供应网站平安监测免费电话询问服务。漏洞深度挖掘服务需要依据用户委托，结合网站监测系统监测出来的问题汇总，通过信息平安专家的会诊分析，形成有具针对性的网站平安状态评估报告及专业的平安整改建议供高校用户参考。前期投入序号内容价格说明1网站监控系统10万监控软件、硬件2监控展现平台5万用于监控展现屏幕，掌握台3人力成本15万3个工程师7*24小时监控、分析合计：30万全部前期投入由公司担当名目四、项目意义1、通过在教育厅信息中心实施高校门户网站统一监控平台与建设高校网站平安应急预警体系，可以有效的加强教育厅信息化平安管理部门对下属各

高等院校网站平安的管控能力。同时推动提高各高等院校网站信息平安的建设步伐。杜绝“信息孤岛”现象的发生。SOC平台各高校网站各高校网站各高校网站各高校网站项目的意义2、通过监控平台与预警体系的建立，便于教育厅开展对各高校网站平安评估工作。通过监控平台对各高校网站信息平安的分析报告，可以成为各高校网站综合评比中的重要参考依据。良性促进全省的各高校对网站信息平安的重视程度。项目的意义3、在统一监控平台的运行过程中，可将各高校门户网站的实时平安的状态站通过可视化监控大屏幕的形式，在教育厅网站平安监控中心展现出来。协作三零卫士供应的技术人7×24小时专人值守服务。真正意义上体现对高校门户网信息平安状态统计监控的准时性、精准性。附件：三零卫士公司简介

上海三零卫士信息平安有限公司（以下简称公司）从信息平安产品到信息平安集成再到信息平安服务，经过十年的探究和实践，始终坚持：信息化＝（建设＋运维）×平安，通过平安的服务来保障服务的平安。

公司于2001年7月成立，依托国内实力最为雄厚的信息平安权威机构——中国电子科技集团公司电子第三十讨论所，以其40多年信息平安和通信保密工程的技术积累和阅历为基础，乐观投身于我国的信息平安事业。作为国家首批计算机网络平安服务A类试点单位，担当了多项信息平安示范工程建设。

公司是华东地区唯一一家互联网应急处理服务试点单位，拥有涉密信息系统集成资质和计算机信息系统集成三级资质，是上海市企业信用管理试点单位并顺利通过ISO9000质量认证和ISO27001体系认证，是上海市重点扶持的“小巨人”企业等，讨论成果获得市“科技进步三等奖”。

目前公司注册资金达到2013万，累计产值达到5亿，公司下设6家子公司（注册在广州、武汉、杭州、北京、成都、南京）等分支机构。已拥有员工600余名，其中拥有数十名博士、硕士，包括多名海外学成归国人员、众多的CCIE、CISSP和高级项目经理，都已经融入三零文化体系，成为公司技术和管理体系的骨干力气。三零优势服务模式：公司已建立一套基于ITIL和ISO20000的完整的服务体系、项目实施风险掌握体系，并形成可复制推广的标准化、流程化的服务模式。该运维模式和公司自有知识产权的IT服务平台产品为客户供应了“成功实施，快速交付”的保证，并是区分于其他服务商的核心竞争力。管理方面：公司遵循ITIL最佳实践和