建议投诉 | 联系我们 | 关注微信 安全虎 - 专注于互联网信息安全的科技新媒体!
你的位置:首页 > 技术前沿 » 正文

盛邦安全的四步Web安全治理思路

来源:2017-05-09 | 人围观 | 评论:暂无评论

近日,盛邦安全产品经理李春鹏参加了由51CTO举办的WOTA峰会,他表示,随着互联网的发展,越来越多的业务依托于Web系统。虽然很多的企业都非常注重Web安全,但是大多把注意力放到了防护上,而忽视Web系统的安全管理。目前,使用权与管理权的分离导致了Web系统的治理问题尤为突出,例如:私搭乱建、网站无法及时退运、缺乏审核手段等都可能给黑客攻击以可乘之机。

李春鹏强调说:“安全是动态改变的,Web安全在朝两个方向发展,一个是安全防护之前的风险控制,在攻击到来之前尽可能降低系统受到攻击的可能性。另一个是安全防护之后的感知,通过检测及时发现网络受到的攻击,及时告警和溯源,形成完善的安全体系。三分技术,七分管理。在做好安全防护的同时,也要做好管理。”

因此,Web安全不能仅做针对外部的防护,也应注重内部的治理,Web安全=治理+防护。

盛邦安全产品经理李春鹏

目前,企业通用的方式是通过IP,或者DNS解析来控制网站能否对外提供服务。但是以IP形式进行网站控制,安全管理人员无法统计到这个IP上运行着多少网站,开通了多少服务。此外,很多网站管理者在解析服务器上配置的是泛解析,这样导致通过二级或者三级域名建立的网站无法统计到。这就最终导致了企业无法“摸清家底”,留下了安全隐患。

针对Web安全治理问题,虽然运维人员很重视,但是往往缺少一种有效的手段。安全管理人员要想全面的了解公司系统安全情况,实现对Web系统的可知、可感、可查和可控,需要对整个Web系统的全生命周期进行管理,建立新一代Web安全治理体系。

依托于多年在Web安全领域所积累的丰富经验,盛邦安全总结出了以下Web安全治理思路:

第一步,自动学习所有在运站点。这是Web安全治理第一步,要“摸清家底”。通过技术手段分析镜像流量进行Web资产自学习,识别包括IP、域名、端口、网站名称等信息。从而及时了解网络中有哪些网站及业务系统在提供服务,自动识别疑似不合规Web系统。

第二步,建立在线得网站安全准入机制,对所有Web系统备案、评估后再允许对外服务。备案管理:提供公安备案管理以及组织自用备案管理系统,明确各Web系统的所有人、用途等各类信息。并提供备案申请、备案审核等流程。

第三步,建立网站运营日常监控机制,对运营系统持续进行安全巡检,包括流量被动检测。对网站进行安全检测的主要内容包含:网站篡改监控,暗链/黑链检测,敏感词的监控,Web漏洞检测、系统漏洞检测、后门扫描、网络钓鱼检测、网站木马和弱口令检测等。

第四步,一键断网+安全设备联动,实行有效地应急和处理机制,对发现的不合规或不安全的Web站点进行阻断。并可配合微信进行智能阻断。

最终,结合流量分析、指纹分析、报表功能和漏洞管理等其他安全能力,从网站诞生到结束形成一个闭环,实现Web系统的全生命安全周期管理。

基于以上Web安全治理思路,盛邦安全研发了RayGateWeb安全治理平台。

“RayGate具有对内部网站的自学习能力,免去人工添加的烦恼,并可有效发现私建网站及僵尸网站。其采用旁路部署,而且上线简单,不影响网络拓扑,可实现三级部署及管理。而且,每四个月,我们就会对RayGate进行快速的迭代升级。从而保证该产品满足用户的需求,并最大化的帮助他们提升工作效率。”

 

标签:WEB
Top