侯俊東

內(nèi)蒙古新聞出版廣電局監(jiān)管中心 內(nèi)蒙古 呼和浩特市 010050

近年來，隨著Web應用的普及，企業(yè)和政府機構都相繼部署了Web應用系統(tǒng)作為信息發(fā)布的窗口，同時更多的對外業(yè)務也越來越多地轉(zhuǎn)到Web平臺上。Web應用的日益廣泛及其中蘊藏價值的不斷提升，引發(fā)了黑客的攻擊熱潮，如頁面篡改、網(wǎng)站掛馬、注入類攻擊、DDoS攻擊等，極大地困擾著網(wǎng)站提供者，給企業(yè)形象、政府形象、信息網(wǎng)絡甚至核心業(yè)務造成嚴重的破壞。防火墻、IPS等相關防御類產(chǎn)品在攻擊發(fā)生時會產(chǎn)生一定的防御效果，但是無法更早的發(fā)現(xiàn)風險隱患，網(wǎng)站信息安全形勢不容樂觀。

1 安全風險分析

1.1 web應用漏洞風險

黑客利用網(wǎng)站漏洞，尤其是WEB應用程序漏洞，如SQL注入等，能夠得到Web服務器的控制權限，隨意篡改網(wǎng)頁內(nèi)容或竊取重要內(nèi)部數(shù)據(jù)，更為嚴重的則是在網(wǎng)頁中植入惡意代碼，既“網(wǎng)頁掛馬”。通過這一行為，黑客可以控制網(wǎng)站的訪問者甚至包括網(wǎng)站本單位工作人員的計算機，從而實現(xiàn)盜取銀行帳號、內(nèi)部機密信息等各種不可告人的目的。由于網(wǎng)頁掛馬制作的簡單性和網(wǎng)絡漏洞存在的必然性，通過網(wǎng)站漏洞進行網(wǎng)頁掛馬已經(jīng)成為當前最流行的網(wǎng)站攻擊方法和最受黑客青睞的木馬散播方式。

1.2 網(wǎng)頁掛馬風險

網(wǎng)站是否存在WEB應用程序漏洞，往往是被入侵后才能察覺，而網(wǎng)站是否已經(jīng)被掛馬，通常是在被訪問者投訴或被監(jiān)管部門查處才能察覺，但這個時候損失已經(jīng)發(fā)生。如何在攻擊發(fā)動之前主動發(fā)現(xiàn)WEB應用程序漏洞以及網(wǎng)站在掛馬發(fā)生之后迅速獲悉，已成為構筑Web安全的上上策。目前解決這一問題的通常方式就是網(wǎng)站的運維管理人員購買專業(yè)的Web掃描工具，同時學習專業(yè)的安全知識，并對網(wǎng)站進行常規(guī)掃描、高頻度檢測，但專業(yè)的掃描工具往往不能解決木馬問題，并且開銷巨大，同時面對Web網(wǎng)站復雜的安全需求，也有自身的一些局限性。

1.3 網(wǎng)頁篡改風險

網(wǎng)頁篡改，即通過一定攻擊手段對網(wǎng)頁內(nèi)容進行非法修改。網(wǎng)頁篡改本質(zhì)上是破壞了網(wǎng)頁數(shù)據(jù)的完整性，一旦攻擊得逞，一方面會影響正常業(yè)務的開展，另一方面會造成政治、經(jīng)濟方面的較大影響。

1.4 釣魚網(wǎng)站風險

“釣魚”是指在互聯(lián)網(wǎng)領域，通過電子郵件欺騙、假冒網(wǎng)站、間諜軟件等技術手段，騙取用戶的帳號密碼（如：銀行帳號、證券交易帳號、網(wǎng)上繳費帳號等），從而達到盜竊用戶資金目的的行為。“反釣魚”是指企業(yè)、客戶或相關主管部門采取的專門防范“釣魚”行為的措施、手段與方法。隨著電子商務的發(fā)展，“釣魚”現(xiàn)象呈逐年上升之勢，因“釣魚”給商家和客戶造成的損失越來越大，“反釣魚”解決方案越來越成為商家開展電子商務所必備的保障設施。

1.5 DNS解析異常風險

DNS是域名系統(tǒng)（Domain Name System） 的縮寫，是互聯(lián)網(wǎng)的一項核心服務，它作為可以將域名和IP地址相互映射的一個分布式數(shù)據(jù)庫，能夠使人更方便的訪問互聯(lián)網(wǎng)，而不用去記住能夠被機器直接讀取的IP數(shù)串。DNS服務器一旦解析異常，輕則影響用戶解析域名；重則大量的DNS查詢報文會造成網(wǎng)絡風暴、癱瘓網(wǎng)絡；更有甚者利用DNS協(xié)議的缺陷，偽造DNS查詢報文可以把域名指向非正常的IP地址，造成重大的安全事件。

1.6 敏感內(nèi)容發(fā)布風險

隨著互聯(lián)網(wǎng)的影響力、話語權日益強大，我國對互聯(lián)網(wǎng)的監(jiān)管機制、法律法規(guī)、技術手段日漸成熟，監(jiān)管機構對網(wǎng)站所有者提出了很高的內(nèi)容監(jiān)管要求。與此同時，互聯(lián)網(wǎng)的許多應用，如博客、論壇等，具有自媒體的特征，用戶通過博客和論壇發(fā)表大量內(nèi)容，網(wǎng)站所有者難以一一監(jiān)管這些內(nèi)容。而一旦用戶發(fā)表敏感信息、傳播非法言論，將會造成惡劣的政治、社會影響。所以，急需要相關技術手段來實時監(jiān)控網(wǎng)站敏感信息，協(xié)助網(wǎng)站管理者解決這一棘手難題。

1.7 網(wǎng)站可用性檢測

互聯(lián)網(wǎng)經(jīng)濟對網(wǎng)站的可用性要求較高，只有這樣，才能保證業(yè)務的平穩(wěn)運行，才能真正體現(xiàn)互聯(lián)網(wǎng)的便利性。網(wǎng)站可用性檢測中，可用率和響應時間是兩個重要指標，可用率是指被監(jiān)控站點可以正常訪問的次數(shù)占總檢查次數(shù)的百分比；而響應時間則來自于多個分布式監(jiān)測點，網(wǎng)站可用性檢測會記錄來自不同分布式監(jiān)測點到網(wǎng)站站點的響應時間。

2 網(wǎng)站安全監(jiān)測解決方案分析

2.1 網(wǎng)站安全服務流程

用戶選擇需要的監(jiān)測服務內(nèi)容，并提供網(wǎng)站域名等基本信息，當網(wǎng)站遇到問題時，網(wǎng)站安全監(jiān)測系統(tǒng)會及時進行通知，以便用戶可以盡快處理。同時系統(tǒng)會定期提供安全監(jiān)測報告和安全建議，讓風險盡在掌握。

2.2 網(wǎng)站安全監(jiān)測內(nèi)容

網(wǎng)站安全監(jiān)測主要包括以下幾方面的內(nèi)容：

2.2.1 網(wǎng)站漏洞掃描服務

通過遠程方式，對網(wǎng)站定期進行安全檢查，由安全專家進行專業(yè)分析，發(fā)現(xiàn)網(wǎng)站存在的隱患和漏洞，提供安全建議，幫助網(wǎng)站頁面及時修復。

2.2.2 網(wǎng)站掛馬監(jiān)測服務

系統(tǒng)對目標網(wǎng)站進行7×24小時不間斷監(jiān)控，采用靜態(tài)特征匹配和動態(tài)檢測技術對網(wǎng)站掛馬進行監(jiān)測，發(fā)現(xiàn)網(wǎng)站被掛馬后及時通知網(wǎng)站主體，減少風險。

2.2.3 網(wǎng)站可用性監(jiān)測服務

圖1 網(wǎng)絡安全服務流程

圖2 網(wǎng)絡安全監(jiān)測內(nèi)容

通過PING、GET等方式對網(wǎng)站訪問速度，響應時間，返回狀態(tài)碼進行監(jiān)測，及時發(fā)現(xiàn)網(wǎng)站可用性問題并告警。

2.2.4 頁面篡改監(jiān)測服務

實時監(jiān)測目標站點的頁面狀況，當網(wǎng)頁篡改發(fā)生時，第一時間通知網(wǎng)站主體，減少響應時間，降低篡改事件帶來的政治、法律、經(jīng)濟等方面的影響，協(xié)助網(wǎng)站主體保障網(wǎng)站的完整性。

圖3 網(wǎng)站掛馬監(jiān)測流程

2.2.5 網(wǎng)站域名解析監(jiān)測服務

對被監(jiān)控域名在各省主要運營商DNS服務器及授權域名服務器的域名解析情況進行監(jiān)控，如發(fā)現(xiàn)域名解析異常及時報警并通知客戶。監(jiān)控范圍包括：A記錄、MX記錄、NS記錄、CNAME記錄等。

2.2.6 敏感內(nèi)容監(jiān)測服務

對網(wǎng)頁中出現(xiàn)的敏感內(nèi)容進行監(jiān)測，如發(fā)現(xiàn)敏感內(nèi)容及時通知網(wǎng)站進行處理。

2.2.7 釣魚網(wǎng)站監(jiān)測服務

通過對被監(jiān)測域名相似域名的檢查，通過關鍵詞對各主要搜索引擎搜索結果進行檢查等方式對釣魚網(wǎng)站進行監(jiān)測，發(fā)現(xiàn)釣魚網(wǎng)站后及時通知網(wǎng)站處理，避免造成經(jīng)濟損失。

2.2.8 安全通告服務

收集和整理最新的安全漏洞、安全事件、安全資訊，信息安全事件等信息，使網(wǎng)站管理員掌握當前互聯(lián)網(wǎng)風險趨勢，及時采取應對措施，降低風險，減少損失。

圖4 網(wǎng)站域名解析監(jiān)測流程

3 網(wǎng)絡安全監(jiān)測的好處

3.1 確保網(wǎng)站正常運行

網(wǎng)站一旦出現(xiàn)掛馬、漏洞、篡改等安全問題，將會影響網(wǎng)站的正常運行，而且存在著被相關監(jiān)管部門責令關停、整改的風險；另外，如果網(wǎng)站平穩(wěn)度出現(xiàn)問題（如不能打開頁面、訪問速度慢等），也將影響用戶的正常使用。

3.2 規(guī)避政治、經(jīng)濟風險

網(wǎng)站一旦被掛馬、或因為WEB漏洞而被攻擊，尤其是被不法勢力入侵并利用網(wǎng)站散播反動言論，將嚴重影響網(wǎng)站主體形象，而且會帶來較為嚴重的政治風險。

黑客利用網(wǎng)站繳費鏈接網(wǎng)頁，獲取用戶交易信息，轉(zhuǎn)移資金。甚至通過網(wǎng)上銀行掛馬，來竊取帳戶信息，直接劃轉(zhuǎn)資金。通過網(wǎng)頁掛馬、網(wǎng)站漏洞來達到經(jīng)濟犯罪的方式、方法多種多樣，給用戶帶來的是直接經(jīng)濟風險。

網(wǎng)站安全監(jiān)測服務可以幫助用戶對這類威脅做到早發(fā)現(xiàn)、早處置，讓客戶盡早規(guī)避風險。

3.3 提高效率、降低成本

減輕網(wǎng)站管理員日常網(wǎng)站安全運維工作負擔，提高效率，幫助網(wǎng)站管理者將精力集中在核心業(yè)務上。同時，節(jié)省用戶軟件、設備和人員投入。