互联网系统在线安全监测技术方案

互联网系统在线安全监测技术方案

1.1在线安全监测1.1.1网站安全监测背景互联网在中国的政治、经济、文化和社会生活中扮演着越来越重要的角色。作为国家关键基础设施和新的生产、生活工具，互联网的发展极大地促进了信息流通和共享，提高了社会生产效率和人民生活水平，促进了经济社会的发展。然而，网络安全形势日益严峻，针对我国互联网基础设施和金融、证券、交通、能源、海关、税务、工业、科技等重点行业的联网信息系统的探测、渗透和攻击逐渐增多。虽然基础网络防护能力有所提升，但安全隐患仍然不容忽视。政府网站篡改类安全事件影响巨大，用户信息泄露等与网民利益密切相关的事件引起了公众对网络安全的广泛关注。境外的网络攻击持续增多，网上银行面临的钓鱼威胁也越来越严重。工业控制系统安全事件呈现增长态势，手机恶意程序现多发态势，木马和僵尸网络活动越发猖獗，应用软件漏洞呈现迅猛增长趋势。DDoS攻击仍然呈现频率高、规模大和转嫁攻击的特点。1.1.2网站安全监测服务介绍基本信息安全分析网站安全监测服务对网站基本信息进行扫描评估，如网站使用的WEB发布系统版本，使用的BBS、CMS版本；检测网站是否备案等备案信息；另外判断目标网站使用的应用系统是否存在已公开的安全漏洞，是否有调试信息泄露等安全隐患等。网站可用性及平稳度监测拒绝服务、域名劫持等是网站可用性面临的重要威胁。远程监测的方式对拒绝服务的检测，可用性指通过PING、HTTP等判断网站的响应速度，然后经分析用以进一步判断网站是否被拒绝服务攻击等。域名安全方面，可以判断域名解析速度检测，即DNS请求解析目标网站域名成功解析IP的速度。网站挂马监测功能挂马攻击是指攻击者在已经获得控制权的网站的网页中嵌入恶意代码（通常是通过IFrame、XXX引用来实现），当用户访问该网页时，嵌入的恶意代码利用浏览器本身的漏洞、第三方ActiveX漏洞或者其它插件（如Flash、PDF插件等）漏洞，在用户不知情的情况下下载并执行恶意木马。网站安全监测服务提供网站挂马监测功能，可以及时发现网站是否被挂马攻击，保护网站和用户安全。针对XSS跨站漏洞的特殊性和检测环境的复杂性，我们储备了大量的XSS检测代码，以保证漏洞检出的成功率，并避免误报率过高。除此之外，我们还能够检测其他WEB应用常见漏洞，如CSRF漏洞检测、CGI漏洞检测、表单绕过漏洞等。我们的主机脆弱性扫描采用渐进式的扫描方法，能够利用已经发现的资产信息进行针对性扫描，以发现主机上不同应用对象（操作系统和应用软件）的弱点和漏洞，同时保证扫描过程的快速和结果的准确。目前，我们已经能够检测的漏洞数量超过3000种，涵盖了各种常见的网络主机、操作系统、应用系统和数据库系统的安全漏洞。我们的任务管理和策略管理功能，可以使用户的扫描操作变得更加方便和灵活。用户可以使用默认扫描策略或者自定义扫描策略，创建特定或者自动计划任务，调整扫描参数以提高扫描效率，甚至可以在同一个任务中对不同的对象采用不同的策略进行扫描，从而方便的实现更具针对性的脆弱性扫描。在扫描任务执行的过程中，我们能够将扫描的过程信息、阶段性的扫描结果实时显示出来，并且可以生成在线报表。在扫描任务结束后，使用报表管理功能可以对扫描结果进行细致全面的分析，生成面向不同安全管理角色诸如主管领导、管理人员、技术人员的客户化报表。报表可以分漏洞扫描、资产统计和弱点评估3大类20多种，以统计、比较、交叉、评估、详述等多种方法对扫描结果进行分析，支持以XML、HTML、WORD、Excel、PDF、RTF等多种常用格式导出，方便用户使用。我们对漏洞、主机和网络的脆弱性风险进行评估和定性，采用最新的CVSSv2标准来对所有漏洞进行统一评级，客观的展现其危险级别。在此基础上，利用漏洞的CVSS评分，综合被扫描资产的保护等级和资产价值，采用参考国家标准制定的风险评估算法，能够对主机、网络的脆弱性风险做出定量和定性的综合评价，帮助用户明确主机和网络的脆弱性风险等级，制定出合理的脆弱性风险管理策略。我们的漏洞信息的描述中包含CVSS评分，主机和网络的脆弱性风险评估结论会在弱点评估报表中直接体现，并且对风险控制措施做出建议。最后，我们通过CVSS评分，能够直接给修复工作提供优先级的指导，以确保最危险的漏洞被先修复。我们的CVSS评分和修复工作优先级的关系如下表所示，并给出推荐的修复工作时限：CVSS分值修复工作优先级推荐修复工作时限1高24小时内1～4中7天内4～7低30天内安全检测是确保网站安全的重要一环。其中，内容泄露检测是必不可少的一项工作。我们需要检测网站是否存在内网IP地址信息泄露、数据库信息泄露、网站调试信息泄露、网站目录浏览、Web服务器路径信息泄露、电子邮件地址信息泄露、不安全的Flash参数配置等情况。此外，文件泄露检测也是必要的，我们需要检测网站是否存在网站敏感目录泄露、网站备份文件泄露、数据库备份文件泄露、svn信息泄露、文件信息泄露、服务器探针文件信息泄露、webshell检测、编辑器临时文件信息泄露、Shell历史文件信息泄漏等问题。暗链检测也是安全检测的一项重要内容。我们需要检测网站是否被嵌入暗链地址，一般为在浏览器中隐藏不可见的广告链接，如网游、博彩、色情等广告链接。在Web应用探测方面，我们需要检测网站的响应速度，包括Ping目标网站得到响应的速度和HTTP请求目标网站得到响应的速度。此外，我们还需要支持Web应用及版本的识别，涵盖包括国内外最常见的CMS、BBS、Blog、eShop、web框架等类型的Web应用。我们还需要精准识别目标网站的操作系统类型、Web类型、服务端语言及相关的版本信息。在安全检测中，我们还需要检测网站服务器的端口开放情况，比如数据库端口、额外的Web服务端口、FTP服务端口等。此外，我们还需要检测网站是否备案，检测网站域名的whois信息，域名是否到期等。最后，在安全检测中，我们需要检测常见操作系统如XXXWindows、SunSolaris、HPUnix、XXXAIX、Linux、BSD等存在的系统漏洞，检测主流的WEB服务器如IIS、Apache、NginX等，主要的中间件如Tomcat、Websphere、Weblogic等的系统漏洞，检测常见数据库如SQLServer、X