趙鑫, 朱東來(lái), 楊宏, 汪昊, 唐景蓮

（中國(guó)移動(dòng)通信集團(tuán)北京有限公司，北京 100053）

一種高效的移動(dòng)互聯(lián)網(wǎng)網(wǎng)站安全監(jiān)測(cè)方法研究與實(shí)現(xiàn)

趙鑫, 朱東來(lái), 楊宏, 汪昊, 唐景蓮

（中國(guó)移動(dòng)通信集團(tuán)北京有限公司，北京 100053）

本文對(duì)一種高效的移動(dòng)互聯(lián)網(wǎng)網(wǎng)站安全監(jiān)測(cè)方法進(jìn)行了研究，提出了一種高效率的網(wǎng)站安全綜合監(jiān)測(cè)技術(shù)方案，并進(jìn)行了實(shí)現(xiàn)，能夠集中、統(tǒng)一對(duì)網(wǎng)站系統(tǒng)的實(shí)時(shí)安全狀態(tài)進(jìn)行監(jiān)測(cè)，可為網(wǎng)站安全管理及監(jiān)測(cè)工作提供匯總的統(tǒng)計(jì)數(shù)據(jù)，量化工作取得的成績(jī)?？蓪?shí)現(xiàn)對(duì)移動(dòng)互聯(lián)網(wǎng)網(wǎng)站安全情況進(jìn)行實(shí)時(shí)統(tǒng)一監(jiān)測(cè)，準(zhǔn)確、及時(shí)發(fā)現(xiàn)各網(wǎng)站存在的安全漏洞等隱患。

移動(dòng)互聯(lián)網(wǎng)；網(wǎng)站安全；安全監(jiān)測(cè)；網(wǎng)站漏洞掃描

目前移動(dòng)互聯(lián)網(wǎng)網(wǎng)站日益增多，承載了大量的數(shù)據(jù)及信息業(yè)務(wù)，作為企業(yè)對(duì)外提供服務(wù)及展示的窗口，肩負(fù)著包括業(yè)務(wù)辦理、客戶(hù)信息數(shù)據(jù)處理、電子商務(wù)等多種職能。隨著網(wǎng)絡(luò)環(huán)境的復(fù)雜及移動(dòng)互聯(lián)網(wǎng)網(wǎng)站用戶(hù)的持續(xù)快速增長(zhǎng)，巨大的政治影響和商業(yè)利益將會(huì)帶來(lái)越來(lái)越多入侵者的注意，被攻擊的可能性大大增加。一旦發(fā)生信息安全事件，后果將不堪設(shè)想，對(duì)于網(wǎng)站所屬企業(yè)的整體形象、品牌形象、信譽(yù)等都有著極其惡劣的影響。因此，在如此嚴(yán)峻的形勢(shì)下，建立一種高效的移動(dòng)互聯(lián)網(wǎng)網(wǎng)站安全監(jiān)測(cè)系統(tǒng)就顯得尤為迫切和重要。

1 現(xiàn)狀介紹

隨著互聯(lián)網(wǎng)技術(shù)的迅猛發(fā)展，移動(dòng)互聯(lián)網(wǎng)活動(dòng)越來(lái)越多地依賴(lài)于Web應(yīng)用，在向客戶(hù)提供通過(guò)瀏覽器訪問(wèn)Web功能的同時(shí)，業(yè)務(wù)承載企業(yè)所面臨的風(fēng)險(xiǎn)在不斷增加。主要表現(xiàn)在兩個(gè)層面。

一是隨著Web應(yīng)用程序的增多，這些Web應(yīng)用程序所帶來(lái)的安全漏洞越來(lái)越多，由于這些漏洞導(dǎo)致的安全風(fēng)險(xiǎn)越來(lái)越高。

二是隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，被用來(lái)進(jìn)行攻擊的黑客工具越來(lái)越多、黑客活動(dòng)越來(lái)越猖獗，組織性和經(jīng)濟(jì)利益驅(qū)動(dòng)非常明顯。

然而，與之形成鮮明對(duì)比的卻是：現(xiàn)階段的安全解決方案無(wú)一例外的把重點(diǎn)放在網(wǎng)絡(luò)安全層面，致使面臨應(yīng)用層攻擊（如針對(duì)Web應(yīng)用的SQL注入攻擊、跨站腳本攻擊等）發(fā)生時(shí)，傳統(tǒng)的網(wǎng)絡(luò)防火墻、IDS/IPS 等安全產(chǎn)品對(duì)網(wǎng)站攻擊幾乎不起作用。

目前，傳統(tǒng)的網(wǎng)站安全監(jiān)測(cè)手段目前主要有Web防火墻、Web防篡改系統(tǒng)、Web應(yīng)用層漏洞掃描器等手段。這些手段主要存在如下不足。

監(jiān)測(cè)效率不高，一般針對(duì)網(wǎng)站做全網(wǎng)站監(jiān)測(cè)，以整個(gè)站點(diǎn)作為監(jiān)測(cè)對(duì)象，面對(duì)大型網(wǎng)站全面掃描一次時(shí)間過(guò)長(zhǎng)，無(wú)法做到實(shí)時(shí)監(jiān)測(cè)。

資源消耗量大，面對(duì)大規(guī)模網(wǎng)站監(jiān)測(cè)的情況，需要配備大容量和高計(jì)算力的硬件資源，使得網(wǎng)站安全檢測(cè)工作的成本較高。

根據(jù)上述傳統(tǒng)移動(dòng)互聯(lián)網(wǎng)網(wǎng)站安全監(jiān)測(cè)手段的不足，我們進(jìn)行了高效的移動(dòng)互聯(lián)網(wǎng)網(wǎng)站安全監(jiān)測(cè)方法研究，并形成了技術(shù)方案進(jìn)行了實(shí)現(xiàn)。

2 解決的問(wèn)題

高效的移動(dòng)互聯(lián)網(wǎng)網(wǎng)站安全監(jiān)測(cè)方法與系統(tǒng)，與傳統(tǒng)網(wǎng)站安全監(jiān)測(cè)手段相比，主要解決了如下問(wèn)題。

形成移動(dòng)互聯(lián)網(wǎng)網(wǎng)站初始安全數(shù)據(jù)，即安全狀況快照，用于后期對(duì)網(wǎng)站安全狀況變化情況進(jìn)行比對(duì)和參考。通過(guò)一次初始安全狀況掃描可以得到移動(dòng)互聯(lián)網(wǎng)網(wǎng)站的初始安全數(shù)據(jù)。

后期根據(jù)移動(dòng)互聯(lián)網(wǎng)網(wǎng)站變化情況，進(jìn)行增量安全數(shù)據(jù)掃描，即只針對(duì)新增頁(yè)面和內(nèi)容進(jìn)行安全監(jiān)測(cè)，可以有效縮短問(wèn)題發(fā)現(xiàn)時(shí)間，提高安全監(jiān)測(cè)效率。

對(duì)高效的移動(dòng)互聯(lián)網(wǎng)網(wǎng)站安全監(jiān)測(cè)方法進(jìn)行專(zhuān)項(xiàng)研究，形成網(wǎng)站安全綜合監(jiān)測(cè)管理平臺(tái)技術(shù)方案，能夠集中、統(tǒng)一對(duì)各個(gè)網(wǎng)站系統(tǒng)的實(shí)時(shí)安全狀態(tài)進(jìn)行監(jiān)測(cè)，并匯總歷史安全數(shù)據(jù)進(jìn)行關(guān)聯(lián)統(tǒng)計(jì)分析，建立針對(duì)每個(gè)網(wǎng)站系統(tǒng)的安全“簡(jiǎn)歷”，從空間及時(shí)間上完整覆蓋網(wǎng)站安全管理工作，可為網(wǎng)站安全管理及監(jiān)測(cè)工作提供匯總的統(tǒng)計(jì)數(shù)據(jù)，量化工作取得的成績(jī)。實(shí)現(xiàn)對(duì)網(wǎng)站安全情況進(jìn)行實(shí)時(shí)統(tǒng)一監(jiān)測(cè)，準(zhǔn)確、及時(shí)發(fā)現(xiàn)各網(wǎng)站存在的安全漏洞、檢測(cè)網(wǎng)頁(yè)掛馬、網(wǎng)頁(yè)篡改等安全隱患，對(duì)重大安全事件實(shí)時(shí)報(bào)警并獲取證據(jù)，分析顯示重點(diǎn)網(wǎng)站安全趨勢(shì)，為確保移動(dòng)互聯(lián)網(wǎng)網(wǎng)站的安全運(yùn)行、掌握移動(dòng)互聯(lián)網(wǎng)網(wǎng)站安全狀況提供有力保障。

3 技術(shù)方案

3.1 技術(shù)原理

當(dāng)某個(gè)網(wǎng)站頁(yè)面發(fā)生變更時(shí)，包括新頁(yè)面上線、頁(yè)面下線、頁(yè)面內(nèi)容變化等，可以實(shí)時(shí)發(fā)現(xiàn)變化頁(yè)面。將發(fā)生變化的網(wǎng)站頁(yè)面進(jìn)行記錄，定時(shí)進(jìn)行安全掃描，確保頁(yè)面的監(jiān)測(cè)和安全問(wèn)題及時(shí)發(fā)現(xiàn)。頻率：實(shí)時(shí)進(jìn)行。

利用網(wǎng)絡(luò)接口向漏洞發(fā)現(xiàn)功能模塊發(fā)送掃描指令，對(duì)發(fā)生變更的頁(yè)面使用安全監(jiān)測(cè)掃描器設(shè)備進(jìn)行安全監(jiān)測(cè)掃描。

通過(guò)安全監(jiān)測(cè)管理平臺(tái)進(jìn)行任務(wù)調(diào)度、報(bào)表展示、日志記錄、賬戶(hù)管理等功能。

3.2 實(shí)現(xiàn)功能和部署方案

移動(dòng)互聯(lián)網(wǎng)網(wǎng)站安全監(jiān)測(cè)系統(tǒng)是一款實(shí)時(shí)監(jiān)測(cè)網(wǎng)站頁(yè)面變化，包括新頁(yè)面上線、頁(yè)面下線、頁(yè)面內(nèi)容變化等，并對(duì)發(fā)生變化的頁(yè)面開(kāi)展安全漏洞掃描，確保快速發(fā)現(xiàn)安全問(wèn)題的應(yīng)用軟件。

此系統(tǒng)分為3個(gè)部分：網(wǎng)站監(jiān)測(cè)模塊、集中控制模塊、漏洞發(fā)現(xiàn)模塊。

（1）網(wǎng)站監(jiān)測(cè)模塊：實(shí)時(shí)對(duì)移動(dòng)互聯(lián)網(wǎng)部各網(wǎng)站進(jìn)行實(shí)時(shí)集中監(jiān)測(cè)，當(dāng)某個(gè)網(wǎng)站頁(yè)面發(fā)生變更時(shí)，包括新頁(yè)面上線、頁(yè)面下線、頁(yè)面內(nèi)容變化等，可以實(shí)時(shí)發(fā)現(xiàn)變化頁(yè)面。將發(fā)生變化的網(wǎng)站頁(yè)面進(jìn)行記錄，發(fā)送給集中控制模塊處理。

（2）集中控制模塊：接收網(wǎng)站爬蟲(chóng)模塊發(fā)送的結(jié)果，將結(jié)果中的網(wǎng)頁(yè)URL發(fā)送給掃描器進(jìn)行安全掃描。通過(guò)網(wǎng)絡(luò)指令驅(qū)動(dòng)漏洞掃描器進(jìn)行網(wǎng)頁(yè)掃描。

（3）漏洞發(fā)現(xiàn)模塊：此模塊接收集中控制模塊發(fā)來(lái)的指令，完成對(duì)頁(yè)面的掃描工作，并將結(jié)果通過(guò)郵件發(fā)送給系統(tǒng)管理員和安全管理員。

系統(tǒng)輸入：移動(dòng)互聯(lián)網(wǎng)部各網(wǎng)站網(wǎng)址。

系統(tǒng)輸出：發(fā)生頁(yè)面變化的頁(yè)面的安全報(bào)告。頻率：每天一份。

系統(tǒng)部署結(jié)構(gòu)如圖1所示。

3.3 技術(shù)特點(diǎn)

（1）網(wǎng)站實(shí)時(shí)集中監(jiān)測(cè)：實(shí)時(shí)監(jiān)測(cè)移動(dòng)互聯(lián)網(wǎng)部各網(wǎng)站，當(dāng)某個(gè)網(wǎng)站頁(yè)面發(fā)生變更時(shí)，包括新頁(yè)面上線、頁(yè)面下線、頁(yè)面內(nèi)容變化等，可以實(shí)時(shí)發(fā)現(xiàn)變化頁(yè)面。將發(fā)生變化的網(wǎng)站頁(yè)面進(jìn)行記錄，定時(shí)進(jìn)行安全掃描，確保頁(yè)面的監(jiān)測(cè)和安全問(wèn)題及時(shí)發(fā)現(xiàn)。頻率：實(shí)時(shí)進(jìn)行。

圖1 系統(tǒng)部署結(jié)構(gòu)圖

（2）網(wǎng)站頁(yè)面漏洞掃描：根據(jù)網(wǎng)站頁(yè)面實(shí)時(shí)監(jiān)測(cè)結(jié)果，對(duì)發(fā)生變化的頁(yè)面進(jìn)行安全漏洞掃描，發(fā)現(xiàn)頁(yè)面變化可能存在的安全問(wèn)題，確保頁(yè)面的監(jiān)測(cè)和安全問(wèn)題及時(shí)發(fā)現(xiàn)。頻率：實(shí)時(shí)。

（3）網(wǎng)絡(luò)下達(dá)指令驅(qū)動(dòng)掃描器：利用現(xiàn)有的漏洞掃描器設(shè)備的掃描功能，通過(guò)網(wǎng)絡(luò)向掃描器下達(dá)指令，驅(qū)動(dòng)掃描器進(jìn)行掃描。

（4）任務(wù)管理功能：每天定時(shí)將監(jiān)測(cè)得出的結(jié)果輸出給掃描器進(jìn)行掃描，每個(gè)發(fā)生變化的頁(yè)面建立一個(gè)掃描任務(wù)進(jìn)行掃描。具有任務(wù)管理功能，能夠查詢(xún)、修改、刪除、暫停正在掃描的任務(wù)，能夠?qū)θ蝿?wù)進(jìn)行實(shí)時(shí)管理。

（5）掃描結(jié)果統(tǒng)計(jì)分析：掃描結(jié)果為每個(gè)網(wǎng)站頁(yè)面出一份掃描報(bào)告，可以對(duì)掃描結(jié)果進(jìn)行統(tǒng)計(jì)分析。

（6）掃描結(jié)果郵件發(fā)送：掃描結(jié)果為每個(gè)網(wǎng)站頁(yè)面出一份掃描報(bào)告，可以將掃描結(jié)果郵件發(fā)送給系統(tǒng)管理員和安全管理員。

（7）提高工作效率：此工具采用實(shí)時(shí)監(jiān)測(cè)網(wǎng)站變化的方式進(jìn)行安全監(jiān)測(cè)，并每天對(duì)變化的網(wǎng)頁(yè)進(jìn)行安全掃描，可加強(qiáng)對(duì)網(wǎng)站的實(shí)時(shí)監(jiān)測(cè)能力，極大提高網(wǎng)站類(lèi)系統(tǒng)頁(yè)面安全的工作效率。

4 功能模塊

4.1 監(jiān)測(cè)掃描功能

監(jiān)測(cè)掃描功能可以根據(jù)設(shè)定的網(wǎng)站列表對(duì)移動(dòng)互聯(lián)網(wǎng)網(wǎng)站系統(tǒng)進(jìn)行實(shí)時(shí)監(jiān)測(cè)和掃描，對(duì)全部網(wǎng)站進(jìn)行集中監(jiān)測(cè)管理。當(dāng)有任何網(wǎng)站發(fā)生變化時(shí)，如新網(wǎng)頁(yè)上線、網(wǎng)頁(yè)下線、網(wǎng)頁(yè)非法變化等情況，可以實(shí)時(shí)發(fā)現(xiàn)。對(duì)于網(wǎng)站頁(yè)面可能存在的漏洞，可以通過(guò)掃描功能實(shí)時(shí)集中發(fā)現(xiàn)。

4.2 參數(shù)配置功能

參數(shù)配置功能可以對(duì)網(wǎng)站實(shí)時(shí)集中監(jiān)測(cè)系統(tǒng)進(jìn)行多種參數(shù)配置，包括URL文件路徑、日志文件路徑、URL文件分隔符、IP地址、用戶(hù)名、密碼、掃描任務(wù)頻率、掃描開(kāi)始時(shí)間、掃描方式、任務(wù)數(shù)、報(bào)告發(fā)送郵件等。

4.3 監(jiān)測(cè)掃描功能

網(wǎng)站頁(yè)面掃描器是一款功能較強(qiáng)的網(wǎng)站頁(yè)面安全漏洞掃描器，可以發(fā)現(xiàn)頁(yè)面中存在的多種應(yīng)用層漏洞，如跨站漏洞、SQL注入漏洞、緩沖區(qū)溢出漏洞、開(kāi)放端口、網(wǎng)站結(jié)構(gòu)等，并針對(duì)發(fā)現(xiàn)的漏洞提供修補(bǔ)方法和解決方案?？梢杂行岣呔W(wǎng)站系統(tǒng)的安全防護(hù)水平，避免出現(xiàn)安全漏洞。

4.4 日志管理管理

具備完善的日志功能，系統(tǒng)能夠?qū)τ脩?hù)操作、文件操作和修改、安全日志以及策略配置事件進(jìn)行完整日志記錄。

5 實(shí)施效果

系統(tǒng)部署后對(duì)于原有系統(tǒng)的資源耗用非常小，客戶(hù)訪問(wèn)以及壓力測(cè)試與部署產(chǎn)品前未顯露明顯區(qū)別。原有各業(yè)務(wù)系統(tǒng)功能正常，未產(chǎn)生異常報(bào)錯(cuò)，服務(wù)器硬件及操作系統(tǒng)運(yùn)行情況良好，未見(jiàn)任何異常。

移動(dòng)互聯(lián)網(wǎng)網(wǎng)站系統(tǒng)原有的維護(hù)與監(jiān)測(cè)方式未產(chǎn)生變化。

降低了移動(dòng)互聯(lián)網(wǎng)系統(tǒng)管理人員發(fā)現(xiàn)安全漏洞的時(shí)間，一定程度上降低了系統(tǒng)安全監(jiān)測(cè)和運(yùn)維成本。

6 小結(jié)

移動(dòng)互聯(lián)網(wǎng)網(wǎng)站安全監(jiān)測(cè)方法能夠?qū)σ苿?dòng)互聯(lián)網(wǎng)系統(tǒng)安全漏洞實(shí)時(shí)發(fā)現(xiàn)，并進(jìn)行有效的保護(hù)，維護(hù)了公司品牌效應(yīng)和公司形象，提高了客戶(hù)滿意度和忠誠(chéng)度，社會(huì)效益十分顯著。顯著保障了系統(tǒng)的服務(wù)質(zhì)量。

另一方面，它實(shí)現(xiàn)了移動(dòng)互聯(lián)網(wǎng)網(wǎng)站安全監(jiān)測(cè)和安全運(yùn)維的集中管理，只需要少量的專(zhuān)業(yè)管理人員，就可監(jiān)測(cè)所有系統(tǒng)的安全性，增加了系統(tǒng)的可運(yùn)營(yíng)性和可維護(hù)性，一定程度上降低了移動(dòng)互聯(lián)網(wǎng)系統(tǒng)安全運(yùn)維成本，具有隱性經(jīng)濟(jì)效益。

[1] 王志虎. SQL注入攻擊及其預(yù)防方法研究[J]. 煤炭技術(shù), 2011,1.

[2] 陳建青，張玉清. Web跨站腳本漏洞檢測(cè)工具的設(shè)計(jì)與實(shí)現(xiàn)[J]. 計(jì)算機(jī)工程，2010.36(6).

[3] 江魁著. 網(wǎng)絡(luò)安全體系結(jié)構(gòu)[M]，北京：人民郵電出版社，2005.

[4] 胡麗琴，郭紅俊. WEB服務(wù)器的網(wǎng)頁(yè)防篡改設(shè)計(jì)[J]. 北京城市學(xué)院學(xué)報(bào)，2005.

[5] 趙亭，陸余良，劉金紅，孫宏綱，施凡. 基于爬蟲(chóng)的Web漏洞探測(cè)[J]. 計(jì)算機(jī)工程，2008(9).

Research and implementation of an efficient method for internet website security monitoring

ZHAO Xin, ZHU Dong-lai, YANG Hong, WANG Hao, TANG Jing-lian
(China Mobile Group Beijing Co., Ltd., Beijing 100053, China)

In this paper we studied an efficient mobile internet site security monitoring method, and we proposed a highly eff i cient technology solution for integrated website security monitoring. We made a system as the solution suggested which can monitor internet website security status for real time and it provides summary statistics to quantify the achievements. The system can scan internet web sites security situation on real-time for accurate result and detect virious vulnerabilities and other hazards exist on websites.

mobile internet; website security; website monitoring; web vulnerability scan

TN918

A

1008-5599（2013）12-0028-04

2013-11-22