防微杜渐 保障央企网站安全

　　文 /   金山网络企业安全事业部 张 帅

　　目前，我国已进入信息化建设高速发展阶段，各种信息系统正在中央企业、政府与科研机构内扮演着重要角色。作为企业形象的展示窗口，企业网站因其扮演了企业与外界沟通交流的桥梁，在企业信息安全体系建设中备受瞩目。除了门面的展示，如今的企业网站业已成为分支机构及移动办公客户端与企业总部开展数字化办公的重要平台。因此，央企企业网站是否健康稳定运营不仅关系到企业的服务质量，更关系到企业的公众形象。

　　然而，近年来企业网站所面临的WEB安全挑战愈发严重，据国家计算机网络应急技术处理协调中心(简称CNCERT)监测显示，2010年中国大陆有近3.5万个网站被黑客篡改，数量较2009年下降21.5%，但其中被篡改的政府网站高达4 635个，同比2009年上升67.6%。政府与央企网站因其承载着关乎国计民生的重要信息，很可能成为攻击者发起APT(Advanced Persistent Threat)或定向攻击的跳板，一旦网站被利用，很可能会对企业或政府关键信息系统与核心业务造成严重破坏。

　　从央企自身出发，越来越多的企业在国家多个重要行业承担着振兴国民经济的重任，部分行业领军企业甚至成为国际市场激烈竞争的主力军，企业需要通过企业网站实现与政府主管机构、全球客户和大众进行互动交流。然而，国内企业网站安全防御能力参差不齐，不少企业存在头疼医头的现象，缺乏基础的安全策略，缺少安全主线和合理规划，导致企业解决了局部问题，却无法从整体满足安全需求，从而降低了企业IT运营效率，致使安全孤岛出现。网站一旦遭到恶意篡改或被植入木马后门等恶意软件，企业形象将遭受致命的打击，甚至可能造成严重的政治影响。因此，企业网站尤其是央企网站的安全正常运营，首先是确保企业形象与服务的重要手段，在某种情况下更是至关重要的政治问题。

　　解析网站安全建设

　　作为我国经济建设的支柱，实施信息化改造后的中央企业在办公效率与政策执行力等方面均显著提升，然而，央企网站普遍存在业务数据机密性高、业务连续性要求强、网络结构相对封闭、信息系统架构形式多样等特点，稍有疏忽便可能影响企业创新和协作能力。

　　同时，不同的业务功能模块和不同目标用户所需安全需求各不相同。如：对外服务与信息发布窗口，受众往往是产业信息或公司产品服务信息的需求者，用户对网站数据的可用性和完整性要求往往大于其保密性的要求，而网站上独立运行的业务信息系统具有相对封闭性的结构特点，用户通常为内部用户，对数据的完整性和保密性要求往往大于可用性要求。

　　因此，企业网站安全风险管理需要贯穿前端WEB访问、后端数据处理和反馈整个过程，且需要考虑不同信息需求者的身份背景及用途。对于普通用户，应注重信息中面临的服务中断、黑客攻击、非法接入、系统安全漏洞等安全风险，而对于内网用户除必要的安全风险控制外，还需要加强关键信息系统的合规性与监管审计。

　　合规性需求

　　2004年，自公安部、保密局、国密办以及国信办联合发布公通字[2004]66号文件(《关于信息安全等级保护工作的实施意见》)以来，等级保护便成为国家信息安全的基本制度，是国内政府、企业进行信息安全建设的基本依据。落实和实施企业信息安全水平，中央企业需要严格按照等级保护要求，使其相关信息系统能够达到相应等级的基本保护和防护能力。

　　按照《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)《国家信息化领导小组关于加强信息安全保障工作意见》(中办发[2003]27号)《信息安全等级保护管理办法》(公通字[2007]43号)等文件要求，参考《计算机信息系统安全等级保护等级划分准则》 (GB17859-1999)《信息系统安全等级保护基本要求》(GB/T22239-2008)等等级保护相关标准，央企网站安全建设理应成为等级保护测评与检查重点，实现央企企业网站的合规性需求。

　　作为中央企业形象的展示平台和对外服务的窗口，央企网站上的内容需要确保其可用性、完整性和权威性要求，既要满足等级保护的合规性要求，也需要实现企业内部IT管理的可管可控，在完善和建立应急安全处理机制的同时，实现企业网站运营的运行监测、基础安全状态检测、实时内容检测、安全事件定位及处置、事件审计等等。

　　央企网站所面临的风险

　　近年由SQL注入、网络钓鱼、跨站脚本等恶意攻击行为带来的严重后果不断被媒体披露，IT管理者不仅要担忧企业网站自身的安危，通过入侵WEB Server实施的定向攻击更是具有无法预估的破坏力。仅2009年我国被境外控制的计算机IP地址就多达100余万，被篡改的网站累计超过4.2万。

　　根据Gartner的数据分析显示，80%基于的WEB应用都存在安全风险，网络中常见的攻击行为也正由利用系统漏洞逐步发展演变为对应用系统的攻击。对于央企网站安全建设而言，WEB应用安全已成为企业网站安全运营的又一大风险。当前，中央企业网站所面临的重要安全威胁主要有：

　　企业网站安全建设思路

　　从网站建设和运维角度

　　根据国家“谁主管谁负责，谁运营谁负责”的精神，中央企业网站设计、建设、运维者是网站安全保障体系建设的主要力量，在贯穿网站全生命周期的信息安全建设过程中，可从事前安全检测、事中安全防御、事后响应三个方面对央企网站信息安全体系进行设计和建设。

　　安全检测

　　各种系统及应用漏洞是攻击者入侵企业网站最喜欢利用的途径。目前，国内企业IT管理员安全运维能力存在参差不齐的情况，对网站存在的新漏洞、网页挂马等情况未能及时察觉。调查显示，国内很多管理员将WEB安全防护的全部希望寄托于已经安装运行的各类安全防护设备，往往疏忽了对网站安全实时监测、网站灾备等额外的安全措施。由于缺乏有效的事前检测环节，IT管理员往往在事件发生后才后知后觉，根本无法确保网站的安全稳定运营。

　　在安全检测方面，建议采用网络托管或者自动化的WEB安全检测服务与工具，实时或不定期的对网站安全状态进行检测与评估，采用托管式的服务模式可以更及时发现潜在的各类安全风险，也可以降低企业网站管理维护的人力成本。对于有安全运维能力的企业来说，针对企业WEB应用制定完善的威胁预警机制同样具有重要的作用，预警的目的在于利用现有的一切安全技术与工具，及时准确地发现IT系统环境中存在的各种风险，实时发现、定位、评估、备案，注重防患于未然。

　　安全防御

　　由于如今网站系统建设往往会引入第三方应用程序，无形之中为攻击者留下了发起攻击的秘密途径，因此，除了采用传统防护技术对央企网站基础设施进行必要的防护外，还必须针对 WEB应用攻击采用专门的检测、防护机制。从安全角度考虑，针对目前常见的 SQL 注入、XSS/SCRF、DDoS攻击等，对来自客户端的各类请求进行内容检测和验证，可以较好地应对这些常见的WEB攻击行为，进而确保企业网站的安全稳定运营。

　　安全修复

　　假使所有的防护手段仍然没有确保网站的安全，即企业网站被攻击者入侵，那么必须在最短时间内恢复网站的正常运行。因此，企业网站安全运营的另一个重点是建立完善的事后安全响应机制。根据公安部第82号令《互联网安全保护技术措施规定》中第九条第三款明确规定：开办门户网站、新闻网站、电子商务网站的，能够防范网站、网页被篡改，被篡改后能够自动恢复。

　　实时的网站监控与自动修复技术确保了网站在遭到破坏后可以快速地进行自我修复，通过对网页内容的一致性进行检查，给网站的文件目录加上了一层安全外衣。一旦有恶意篡改网页或修改网站目录行为产生，系统将使用备份进行自动恢复并及时报警。

　　从制度管理角度

　　2010年以来，国家各级政府对等级保护建设工作格外重视，政府及中央企业重要信息系统的合规性需求愈发迫切。随着等级保护定级、备案工作的基本完成，针对信息系统的整改工作已成为国资委等中央企业检查、监督、指导单位迫切需要推动的政治任务。具体工作安排需要注意以下几个方面：

　　设置网站安全基线，针对系统及应用进行全面的风险检测与分析，统一修补系统存在的漏洞，统一下发安全运维指导建议；

　　制定完整的网站备份与恢复机制，确保网站内容的完整性、真实性和可用性；

　　制定安全巡检制度，安全巡检人员定期对企业及分支机构网站进行安全状况检查，及时发现风险并提供整改建议；

　　建立统一的网站安全运维监控平台，对各分支机构网站进行统一管理，实时分析网站系统运行状况，统一策略控制。

　　从解决方案的角度

　　事前检测

　　所谓知己知彼，百战不殆。针对目前企业网站安全运维参差不齐的现状，及时准确地发现目标网站存在的各类安全威胁尤为重要。通常WEB漏洞扫描器可以帮助企业网站管理者快速定位各种已知威胁，为企业WEB信息系统安全整改提供详尽的指导建议。选用WEB漏洞扫描器，需要注意以下几点：

　　模拟点击操作

　　模拟真实操作行为，对网页上的链接进行点击，发现隐藏在超链接背后的安全隐患；

　　完善的脚本分析引擎

　　支持JS、VBS等多种脚本；

　　漏洞与代码分析能力

　　是否具有完善的漏洞库，是否可以快速定位网页中存在的SQL注入、XSS、网站挂马等漏洞与恶意代码；

　　事中防御

　　传统的IPS、抗DDoS设备以及硬件防火墙，局限于自身产品定位和防护深度，无法提供完善的WEB应用安全防护能力，WEB应用防火墙的出现可有效地帮助用户监管WEB应用流量。通过对事前、事中、事后威胁的防御及响应，确保企业网站满足实时内容清洗、网页防篡改、网页挂马防护、敏感信息泄露、应用加速、合规等多种安全需求。

　　WEB应用防火墙选购建议：

　　多维度防护体系

　　纵向提供纵深防御：通过建立协议层次、信息流向等纵向结构层次，构筑多种有效防御措施。

　　横向：协助满足合规要求；缓解各层安全威胁(包括网络层、WEB基础架构及WEB应用层)；降低服务响应时间，显著改善终端用户体验，优化业务资源和提高应用系统敏捷性。

　　双向在线流量清洗

　　避免WEB服务器直接暴露于互联网上，监控HTTP/HTTPS双向流量，对其中的恶意内容进行在线清洗。

　　WEB应用交付

　　提供SSL加速及卸载、WEB caching及压缩等功能。

　　人性化的报表系统

　　提供了丰富的监控功能以及多维度、多粒度的统计报表，确保安全运维工作安全有效。

　　事后响应

　　为帮助央企IT主管部门主动发现网站风险隐患，及时补救，企业应制定7×24小时的网站安全监测机制，及时发现、报警、分析并处理安全威胁。目前，不少安全厂商已经推出在线网站安全检测服务，可显著改善企业网站安全运维效率。

　　网站安全建设目标

　　信息发布不被篡改

　　央企企业网站是最权威的企业信息发布渠道，对信息的真实性、完整性有着非常高的要求。针对可能造成信息篡改的各种安全风险，企业网站在做好数据备份、恢复的被动准备之外，更应建立主动的自检查机制和良好的入侵防御措施，在事前做到防患于未然，在事中做到严密防御，事后做到快速响应。

　　在线服务不受攻击

　　企业网站承载了大量为客户和企业服务的业务系统，针对业务系统发起的攻击行为，一旦成功将会给企业形象造成严重损坏，甚至可能给企业带来其他更为严重的破坏。为此，央企企业网站必须制定完备的业务连续性保障计划，不仅要考虑企业网站自身存在的各种安全隐患，还需要应对各种类型的DDoS攻击行为，确保企业网站不会因为外在因素造成业务系统中断。

　　以上仅是针对企业网站安全建设提出的一些思考与建议，如今央企已经成为我国经济快速发展的一面旗帜，企业信息系统的安全直接影响企业的创新与效率。面对诸多前车之鉴，我们理应正视企业所存在的各种安全隐患，防微杜渐，为企业与用户的信息安全提供更加安全的防护措施，确保企业WEB应用系统健康稳定运营。