网站安全检查渐成常态,盛邦安全带来深度解读
随着"政务公开"、"互联网+政务服务"等改革措施的不断提出及深化,网站逐渐成为承担改革任务的重要角色,其安全问题也受到了国家的关注。近年来国家相关部门针对网站尤其是政府网站组织了多次安全检查,并推出了一系列政策文件。而今年的政府网站安全检查也将于近日展开。
作为多次为"两会"、"9.3阅兵"、"冬运会"等国家重要活动提供网络安保支撑、应急工作、以及多次支持国家网站安全检查活动的盛邦安全,将根据自身经验,与大家分享一些对于网站安全检查的看法,希望能与各位共同探讨。
为什么政府网站需要安全检查?
从管理上来看:近5年我国的政府网站数量呈现快速增长趋势,虽然有些地区已经开展网站收口工作,但全国整体进展较慢。与网站数量的快速增长相反,政府部门的安全管理人员及制度严重缺失,网站往往是"有人建,无人管;有人用,无人防"的状态。另外,政府内部的网站也存在"私搭乱建"的情况,退运网站也缺少有效的管理。而日常的行政文件式管理,可能存在部分人员不及时处理的情况。
从技术上来看:除了安全人员以及制度严重缺失外,其网站的安全防护更是量小力微。提到安全,大家往往想到的是防火墙、终端杀毒等产品,但防火墙对于应用层攻击,尤其是Sql注入、跨站等针对网站的攻击无能为力。而且现阶段让所有的政府部门均配备专业的网站安全设备很难实现。
另外,目前解决网络安全问题的思路正从传统的以防护为核心逐渐朝两个方向发展。一个是向前,即风险的管理,目的是降低系统被攻击的可能性;一个是向后,即态势感知,目的是第一时间发现攻击,将损失降到最低。而安全检查正是找出风险,并降低风险的一个过程,也是现阶段解决政府网站安全问题的一个有效手段。
安全检查该检查些什么?
"摸清家底,认清风险,找出漏洞,通报结果,督促整改。"习大大在"419"会议上通过5个词语明确的指出了网络安全检查的整个流程及目的。网站的安全检查也是如此,首先我们要摸清一个区域内到底有多少政府网站,并要检查好网站的运行状态以及备案情况。然后深入检查这些网站所存在的风险,其中包含管理以及技术方面,管理方面包括是否有完善的安全管理制度、负责人员是否明确等;而技术方面包含配置合理性、口令的安全性,而其中重要的一项就是要能够发现网站的漏洞。因为根据统计,85%的网络攻击都是因为漏洞引起的。而全面的漏洞检测应该能够覆盖TCP/IP四层--包含系统、数据库、中间件、Web层漏洞。但除了漏洞以外,还应该包含网站木马、暗链以及后门的检测。
根据盛邦安全对于反共黑客的研究,其发现网站漏洞后,往往会先向网站植入Webshell工具,并将漏洞修补(这样防止其他黑客控制)。然后定期进行探测是否仍然可控,最后每逢国内重大活动时,其就会对网站进行篡改。所以单纯的漏洞检测对于事先植入的木马、暗链、后门等束手无策。
在"认清风险"及"找出漏洞"以后,就要进行结果的汇总及上报,并对有问题的网站进行督促整改。
盛邦安全的一些建议
网站安全检查通常由各地的主管部门负责,主管部门通过投入人员以及利用相应技术手段对其负责区域的政府网站进行检查。对于主管部门,安全检查也存在以下几个难点:1、工作量大,区域内往往有大量网站需要检查;2、呈现不直观,分散检查需要集中汇报,上级部门在统计和结果呈现都有很大问题;3、检查的完整性及准确性。
因此在选择技术时应该尽可能解决以上几个问题。盛邦安全建议使用远程网站安全检测系统,通过批量添加需检查的域名或IP地址实现远程检测。检测范围应包括Web漏洞、系统漏洞以及中间件、数据库漏洞,暗链,木马,后门以及弱口令。
为应对大规模的网站检查,远程网站安全检测系统要考虑可拓展性以及高性能问题。
第三就是要有基于主管部门需求的界面展现以及检测内容的展现。
同时,在选择检查方式时,不应简单的选择产品,而是应该更注重配套的安全服务能力。这样才能更好的发挥产品能力以及得到网站安全更全面的分析。
盛邦安全烽火台-网站安全检测系统通过沙箱技术、威胁情报、漏洞扫描等技术以云SaaS形态为主管部门提供完整的网站安全检查。检查内容包含网站可用性,暗链,Web层、系统层、中间件、数据库漏洞,网站木马、弱口令、后门以及网络钓鱼。该系统适用于大规模的网站检测,并根据盛邦安全丰富的实践经验,为相关部门提供专业的人员支持以及符合需求的可定制统计、呈现界面及报告。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
跨国企业如何实现一体化管理?
随着人力资源成本和土地成本的上升,更多的企业选择将工厂迁到成本更低的地区,在经济全球化的环境下,企业将工厂扩散到世界各地不仅仅是趋利避害,更是争夺全球市场的重要路径。换言之,未来将有越来越多的跨国公司涌现,在多元化的业务链之下,企业的组织架构也更复杂和多样化,这对企业的管理无疑提出了更大的挑战。 管理转型迫在眉睫 经过多年的市场培育,许多企业已经熟悉并习惯使用信息化的管理系统,利用其数据整合分析能力来管理市场运营、项目运作、办公协作等等,信息化的管理改变了传统管理模式的低效率和高人力成本消耗的局面,提供了一种更高效益的管理解决方式。然而,当企业因地区和部门的不同而使用不同的管理系统时,由于不同的系统架构,导致彼此间难以实现数据信息的共通共享,对部门间的业务协作和资源的统筹管理造成了阻碍。 当企业向多点扩散的跨国企业转型时,企业组织架构的变化带来管理需求的多样化,现有管理模式很难满足,企业的管理方式亟待升级。 企业在不同国家多个地区开展业务,可能面临多分公司,多业务线,多仓库,多行政区,多商店,多站点,多区域,多部门和多法律税制行政区的情况,单一的管理系统难以支撑多层次的管理架构,大数据...
- 下一篇
云用户生态发展论坛暨第三届中国云计算用户大会北京站盛大召开
中国IDC圈7月18日报道,现如今,云计算、大数据和人工智能已经成为企业IT的标配,未来云计算市场的规模有望达到1万亿美元,因而吸引了不少科技巨头的竞逐。云服务市场风起云涌,越来越多的云服务和产品问世。面对多样化的云服务市场,行业用户该如何选择适合自身业务的基础设施? 7月18日,本着加强技术交流,推动云端用户生态持续健康发展,由云计算发展与政策论坛用户委员会主办,中国IDC圈、云计算热点承办的“云用户生态发展论坛暨第三届中国云计算用户大会”在北京国家会议中心召开。 本次会议持续一天时间,共设置了1个主论坛和2个分论坛,分论坛包括“技术论坛“、”应用论坛“。会议得到了来自政府主管部门、研究机构、云服务商、行业用户、设备厂商等整个产业链各环节的高度关注。 >>>>主论坛 在7月18日主论坛上,来自中国信息通信研究院、绿盟科技、微软(中国)、云巢科技、亚马逊AWS的大咖们相继就云计算领域热门的技术、应用等发表了精彩演讲。 中国信息通信研究院通信标准所副所长、数据中心联盟常务副理事长 何宝宏 主论坛上,中国信息通信研究院通信标准所副所长、数据中心联盟常务副理事长何宝宏...
相关文章
文章评论
共有0条评论来说两句吧...