侯俊東

內(nèi)蒙古新聞出版廣電局監(jiān)管中心 內(nèi)蒙古 呼和浩特市 010050

近年來(lái)，隨著Web應(yīng)用的普及，企業(yè)和政府機(jī)構(gòu)都相繼部署了Web應(yīng)用系統(tǒng)作為信息發(fā)布的窗口，同時(shí)更多的對(duì)外業(yè)務(wù)也越來(lái)越多地轉(zhuǎn)到Web平臺(tái)上。Web應(yīng)用的日益廣泛及其中蘊(yùn)藏價(jià)值的不斷提升，引發(fā)了黑客的攻擊熱潮，如頁(yè)面篡改、網(wǎng)站掛馬、注入類(lèi)攻擊、DDoS攻擊等，極大地困擾著網(wǎng)站提供者，給企業(yè)形象、政府形象、信息網(wǎng)絡(luò)甚至核心業(yè)務(wù)造成嚴(yán)重的破壞。防火墻、IPS等相關(guān)防御類(lèi)產(chǎn)品在攻擊發(fā)生時(shí)會(huì)產(chǎn)生一定的防御效果，但是無(wú)法更早的發(fā)現(xiàn)風(fēng)險(xiǎn)隱患，網(wǎng)站信息安全形勢(shì)不容樂(lè)觀。

1 安全風(fēng)險(xiǎn)分析

1.1 web應(yīng)用漏洞風(fēng)險(xiǎn)

黑客利用網(wǎng)站漏洞，尤其是WEB應(yīng)用程序漏洞，如SQL注入等，能夠得到Web服務(wù)器的控制權(quán)限，隨意篡改網(wǎng)頁(yè)內(nèi)容或竊取重要內(nèi)部數(shù)據(jù)，更為嚴(yán)重的則是在網(wǎng)頁(yè)中植入惡意代碼，既“網(wǎng)頁(yè)掛馬”。通過(guò)這一行為，黑客可以控制網(wǎng)站的訪問(wèn)者甚至包括網(wǎng)站本單位工作人員的計(jì)算機(jī)，從而實(shí)現(xiàn)盜取銀行帳號(hào)、內(nèi)部機(jī)密信息等各種不可告人的目的。由于網(wǎng)頁(yè)掛馬制作的簡(jiǎn)單性和網(wǎng)絡(luò)漏洞存在的必然性，通過(guò)網(wǎng)站漏洞進(jìn)行網(wǎng)頁(yè)掛馬已經(jīng)成為當(dāng)前最流行的網(wǎng)站攻擊方法和最受黑客青睞的木馬散播方式。

1.2 網(wǎng)頁(yè)掛馬風(fēng)險(xiǎn)

網(wǎng)站是否存在WEB應(yīng)用程序漏洞，往往是被入侵后才能察覺(jué)，而網(wǎng)站是否已經(jīng)被掛馬，通常是在被訪問(wèn)者投訴或被監(jiān)管部門(mén)查處才能察覺(jué)，但這個(gè)時(shí)候損失已經(jīng)發(fā)生。如何在攻擊發(fā)動(dòng)之前主動(dòng)發(fā)現(xiàn)WEB應(yīng)用程序漏洞以及網(wǎng)站在掛馬發(fā)生之后迅速獲悉，已成為構(gòu)筑Web安全的上上策。目前解決這一問(wèn)題的通常方式就是網(wǎng)站的運(yùn)維管理人員購(gòu)買(mǎi)專(zhuān)業(yè)的Web掃描工具，同時(shí)學(xué)習(xí)專(zhuān)業(yè)的安全知識(shí)，并對(duì)網(wǎng)站進(jìn)行常規(guī)掃描、高頻度檢測(cè)，但專(zhuān)業(yè)的掃描工具往往不能解決木馬問(wèn)題，并且開(kāi)銷(xiāo)巨大，同時(shí)面對(duì)Web網(wǎng)站復(fù)雜的安全需求，也有自身的一些局限性。

1.3 網(wǎng)頁(yè)篡改風(fēng)險(xiǎn)

網(wǎng)頁(yè)篡改，即通過(guò)一定攻擊手段對(duì)網(wǎng)頁(yè)內(nèi)容進(jìn)行非法修改。網(wǎng)頁(yè)篡改本質(zhì)上是破壞了網(wǎng)頁(yè)數(shù)據(jù)的完整性，一旦攻擊得逞，一方面會(huì)影響正常業(yè)務(wù)的開(kāi)展，另一方面會(huì)造成政治、經(jīng)濟(jì)方面的較大影響。

1.4 釣魚(yú)網(wǎng)站風(fēng)險(xiǎn)

“釣魚(yú)”是指在互聯(lián)網(wǎng)領(lǐng)域，通過(guò)電子郵件欺騙、假冒網(wǎng)站、間諜軟件等技術(shù)手段，騙取用戶的帳號(hào)密碼（如：銀行帳號(hào)、證券交易帳號(hào)、網(wǎng)上繳費(fèi)帳號(hào)等），從而達(dá)到盜竊用戶資金目的的行為?！胺瘁烎~(yú)”是指企業(yè)、客戶或相關(guān)主管部門(mén)采取的專(zhuān)門(mén)防范“釣魚(yú)”行為的措施、手段與方法。隨著電子商務(wù)的發(fā)展，“釣魚(yú)”現(xiàn)象呈逐年上升之勢(shì)，因“釣魚(yú)”給商家和客戶造成的損失越來(lái)越大，“反釣魚(yú)”解決方案越來(lái)越成為商家開(kāi)展電子商務(wù)所必備的保障設(shè)施。

1.5 DNS解析異常風(fēng)險(xiǎn)

DNS是域名系統(tǒng)（Domain Name System） 的縮寫(xiě)，是互聯(lián)網(wǎng)的一項(xiàng)核心服務(wù)，它作為可以將域名和IP地址相互映射的一個(gè)分布式數(shù)據(jù)庫(kù)，能夠使人更方便的訪問(wèn)互聯(lián)網(wǎng)，而不用去記住能夠被機(jī)器直接讀取的IP數(shù)串。DNS服務(wù)器一旦解析異常，輕則影響用戶解析域名；重則大量的DNS查詢報(bào)文會(huì)造成網(wǎng)絡(luò)風(fēng)暴、癱瘓網(wǎng)絡(luò)；更有甚者利用DNS協(xié)議的缺陷，偽造DNS查詢報(bào)文可以把域名指向非正常的IP地址，造成重大的安全事件。

1.6 敏感內(nèi)容發(fā)布風(fēng)險(xiǎn)

隨著互聯(lián)網(wǎng)的影響力、話語(yǔ)權(quán)日益強(qiáng)大，我國(guó)對(duì)互聯(lián)網(wǎng)的監(jiān)管機(jī)制、法律法規(guī)、技術(shù)手段日漸成熟，監(jiān)管機(jī)構(gòu)對(duì)網(wǎng)站所有者提出了很高的內(nèi)容監(jiān)管要求。與此同時(shí)，互聯(lián)網(wǎng)的許多應(yīng)用，如博客、論壇等，具有自媒體的特征，用戶通過(guò)博客和論壇發(fā)表大量?jī)?nèi)容，網(wǎng)站所有者難以一一監(jiān)管這些內(nèi)容。而一旦用戶發(fā)表敏感信息、傳播非法言論，將會(huì)造成惡劣的政治、社會(huì)影響。所以，急需要相關(guān)技術(shù)手段來(lái)實(shí)時(shí)監(jiān)控網(wǎng)站敏感信息，協(xié)助網(wǎng)站管理者解決這一棘手難題。

1.7 網(wǎng)站可用性檢測(cè)

互聯(lián)網(wǎng)經(jīng)濟(jì)對(duì)網(wǎng)站的可用性要求較高，只有這樣，才能保證業(yè)務(wù)的平穩(wěn)運(yùn)行，才能真正體現(xiàn)互聯(lián)網(wǎng)的便利性。網(wǎng)站可用性檢測(cè)中，可用率和響應(yīng)時(shí)間是兩個(gè)重要指標(biāo)，可用率是指被監(jiān)控站點(diǎn)可以正常訪問(wèn)的次數(shù)占總檢查次數(shù)的百分比；而響應(yīng)時(shí)間則來(lái)自于多個(gè)分布式監(jiān)測(cè)點(diǎn)，網(wǎng)站可用性檢測(cè)會(huì)記錄來(lái)自不同分布式監(jiān)測(cè)點(diǎn)到網(wǎng)站站點(diǎn)的響應(yīng)時(shí)間。

2 網(wǎng)站安全監(jiān)測(cè)解決方案分析

2.1 網(wǎng)站安全服務(wù)流程

用戶選擇需要的監(jiān)測(cè)服務(wù)內(nèi)容，并提供網(wǎng)站域名等基本信息，當(dāng)網(wǎng)站遇到問(wèn)題時(shí)，網(wǎng)站安全監(jiān)測(cè)系統(tǒng)會(huì)及時(shí)進(jìn)行通知，以便用戶可以盡快處理。同時(shí)系統(tǒng)會(huì)定期提供安全監(jiān)測(cè)報(bào)告和安全建議，讓風(fēng)險(xiǎn)盡在掌握。

2.2 網(wǎng)站安全監(jiān)測(cè)內(nèi)容

網(wǎng)站安全監(jiān)測(cè)主要包括以下幾方面的內(nèi)容：

2.2.1 網(wǎng)站漏洞掃描服務(wù)

通過(guò)遠(yuǎn)程方式，對(duì)網(wǎng)站定期進(jìn)行安全檢查，由安全專(zhuān)家進(jìn)行專(zhuān)業(yè)分析，發(fā)現(xiàn)網(wǎng)站存在的隱患和漏洞，提供安全建議，幫助網(wǎng)站頁(yè)面及時(shí)修復(fù)。

2.2.2 網(wǎng)站掛馬監(jiān)測(cè)服務(wù)

系統(tǒng)對(duì)目標(biāo)網(wǎng)站進(jìn)行7×24小時(shí)不間斷監(jiān)控，采用靜態(tài)特征匹配和動(dòng)態(tài)檢測(cè)技術(shù)對(duì)網(wǎng)站掛馬進(jìn)行監(jiān)測(cè)，發(fā)現(xiàn)網(wǎng)站被掛馬后及時(shí)通知網(wǎng)站主體，減少風(fēng)險(xiǎn)。

2.2.3 網(wǎng)站可用性監(jiān)測(cè)服務(wù)

圖1 網(wǎng)絡(luò)安全服務(wù)流程

圖2 網(wǎng)絡(luò)安全監(jiān)測(cè)內(nèi)容

通過(guò)PING、GET等方式對(duì)網(wǎng)站訪問(wèn)速度，響應(yīng)時(shí)間，返回狀態(tài)碼進(jìn)行監(jiān)測(cè)，及時(shí)發(fā)現(xiàn)網(wǎng)站可用性問(wèn)題并告警。

2.2.4 頁(yè)面篡改監(jiān)測(cè)服務(wù)

實(shí)時(shí)監(jiān)測(cè)目標(biāo)站點(diǎn)的頁(yè)面狀況，當(dāng)網(wǎng)頁(yè)篡改發(fā)生時(shí)，第一時(shí)間通知網(wǎng)站主體，減少響應(yīng)時(shí)間，降低篡改事件帶來(lái)的政治、法律、經(jīng)濟(jì)等方面的影響，協(xié)助網(wǎng)站主體保障網(wǎng)站的完整性。

圖3 網(wǎng)站掛馬監(jiān)測(cè)流程

2.2.5 網(wǎng)站域名解析監(jiān)測(cè)服務(wù)

對(duì)被監(jiān)控域名在各省主要運(yùn)營(yíng)商DNS服務(wù)器及授權(quán)域名服務(wù)器的域名解析情況進(jìn)行監(jiān)控，如發(fā)現(xiàn)域名解析異常及時(shí)報(bào)警并通知客戶。監(jiān)控范圍包括：A記錄、MX記錄、NS記錄、CNAME記錄等。

2.2.6 敏感內(nèi)容監(jiān)測(cè)服務(wù)

對(duì)網(wǎng)頁(yè)中出現(xiàn)的敏感內(nèi)容進(jìn)行監(jiān)測(cè)，如發(fā)現(xiàn)敏感內(nèi)容及時(shí)通知網(wǎng)站進(jìn)行處理。

2.2.7 釣魚(yú)網(wǎng)站監(jiān)測(cè)服務(wù)

通過(guò)對(duì)被監(jiān)測(cè)域名相似域名的檢查，通過(guò)關(guān)鍵詞對(duì)各主要搜索引擎搜索結(jié)果進(jìn)行檢查等方式對(duì)釣魚(yú)網(wǎng)站進(jìn)行監(jiān)測(cè)，發(fā)現(xiàn)釣魚(yú)網(wǎng)站后及時(shí)通知網(wǎng)站處理，避免造成經(jīng)濟(jì)損失。

2.2.8 安全通告服務(wù)

收集和整理最新的安全漏洞、安全事件、安全資訊，信息安全事件等信息，使網(wǎng)站管理員掌握當(dāng)前互聯(lián)網(wǎng)風(fēng)險(xiǎn)趨勢(shì)，及時(shí)采取應(yīng)對(duì)措施，降低風(fēng)險(xiǎn)，減少損失。

圖4 網(wǎng)站域名解析監(jiān)測(cè)流程

3 網(wǎng)絡(luò)安全監(jiān)測(cè)的好處

3.1 確保網(wǎng)站正常運(yùn)行

網(wǎng)站一旦出現(xiàn)掛馬、漏洞、篡改等安全問(wèn)題，將會(huì)影響網(wǎng)站的正常運(yùn)行，而且存在著被相關(guān)監(jiān)管部門(mén)責(zé)令關(guān)停、整改的風(fēng)險(xiǎn)；另外，如果網(wǎng)站平穩(wěn)度出現(xiàn)問(wèn)題（如不能打開(kāi)頁(yè)面、訪問(wèn)速度慢等），也將影響用戶的正常使用。

3.2 規(guī)避政治、經(jīng)濟(jì)風(fēng)險(xiǎn)

網(wǎng)站一旦被掛馬、或因?yàn)閃EB漏洞而被攻擊，尤其是被不法勢(shì)力入侵并利用網(wǎng)站散播反動(dòng)言論，將嚴(yán)重影響網(wǎng)站主體形象，而且會(huì)帶來(lái)較為嚴(yán)重的政治風(fēng)險(xiǎn)。

黑客利用網(wǎng)站繳費(fèi)鏈接網(wǎng)頁(yè)，獲取用戶交易信息，轉(zhuǎn)移資金。甚至通過(guò)網(wǎng)上銀行掛馬，來(lái)竊取帳戶信息，直接劃轉(zhuǎn)資金。通過(guò)網(wǎng)頁(yè)掛馬、網(wǎng)站漏洞來(lái)達(dá)到經(jīng)濟(jì)犯罪的方式、方法多種多樣，給用戶帶來(lái)的是直接經(jīng)濟(jì)風(fēng)險(xiǎn)。

網(wǎng)站安全監(jiān)測(cè)服務(wù)可以幫助用戶對(duì)這類(lèi)威脅做到早發(fā)現(xiàn)、早處置，讓客戶盡早規(guī)避風(fēng)險(xiǎn)。

3.3 提高效率、降低成本

減輕網(wǎng)站管理員日常網(wǎng)站安全運(yùn)維工作負(fù)擔(dān)，提高效率，幫助網(wǎng)站管理者將精力集中在核心業(yè)務(wù)上。同時(shí)，節(jié)省用戶軟件、設(shè)備和人員投入。