前言

“2562號(hào)文件的執(zhí)行期限延遲了”這一消息讓廣大政府部門(mén)和企事業(yè)單位的網(wǎng)絡(luò)管理者稍稍緩了一口氣，按照原來(lái)的要求，2016年6月是完成2562號(hào)文件有關(guān)要求的最后期限，但是從實(shí)際的執(zhí)行情況看，這一工作的難度比想象中的要大，雖然各級(jí)領(lǐng)導(dǎo)都給予了足夠的重視，但是想要最終達(dá)到文件有關(guān)要求，恐怕還要延遲一段時(shí)間。

那么2562號(hào)文件的核心要求究竟是什么，工作難點(diǎn)在哪里，有沒(méi)有針對(duì)性強(qiáng)的解決方案?盛邦安全(WebRAY)作為成功為眾多政府及企事業(yè)單位提供網(wǎng)站群治理綜合服務(wù)的安全服務(wù)供應(yīng)商，愿意和您分享一下我們的經(jīng)驗(yàn)。

怎么看

網(wǎng)站安全歷來(lái)是政府部門(mén)安全工作的重中之重，網(wǎng)信辦成立后發(fā)的第一份文件就是《關(guān)于加強(qiáng)黨政機(jī)關(guān)網(wǎng)站安全管理的通知》也就是業(yè)內(nèi)俗稱的“一號(hào)文”，奠定了網(wǎng)站安全的重要地位，在此后全國(guó)開(kāi)展了若干次圍繞網(wǎng)站安全的大檢查工作，發(fā)現(xiàn)了很多問(wèn)題。隨著近年來(lái)安全事件頻度的增加和危害性的日益嚴(yán)峻，網(wǎng)站安全得到有關(guān)部門(mén)的進(jìn)一步重視，2562號(hào)文件就是在這樣的大背景下出臺(tái)的。我們可以認(rèn)為，在未來(lái)幾年的網(wǎng)站安全管理工作中，2562號(hào)文件都扮演著指導(dǎo)性文件的重要作用，因此有必要對(duì)這份文件進(jìn)行認(rèn)真分析和深入解讀。

2562號(hào)文件是個(gè)什么文件

2562號(hào)文件，全稱為《黨政機(jī)關(guān)、事業(yè)單位和國(guó)有企業(yè)互聯(lián)網(wǎng)網(wǎng)站安全專項(xiàng)整治行動(dòng)方案》，發(fā)文單位為“公安部，網(wǎng)信辦，中編辦，工信部”。

具體的執(zhí)行期為2015年五月底到2016年6月底。

背景分析

正如文件中指出，“網(wǎng)站已經(jīng)成為各級(jí)政府及其所屬單位履行職能、面向社會(huì)提供服務(wù)的重要手段和渠道，在提高行政效能、提升公信力等方面發(fā)揮著重要作用”

然而，文件中同時(shí)也非常明確的指出了一個(gè)非常嚴(yán)重的問(wèn)題，“基層黨政機(jī)關(guān)、事業(yè)單位和國(guó)有企業(yè)網(wǎng)站眾多，網(wǎng)站規(guī)模小且分散，安全管理和防護(hù)能力差”。這個(gè)問(wèn)題的提出應(yīng)該說(shuō)非常地有洞察力，過(guò)去的網(wǎng)站安全工作的重點(diǎn)一般都放在單個(gè)網(wǎng)站的相關(guān)安全工作上，2562號(hào)文件首次引入了“網(wǎng)站群”的概念，將安全工作的視角和要求都拔高了許多，問(wèn)題提出的非常有針對(duì)，也確實(shí)是當(dāng)前網(wǎng)站工作的癥結(jié)所在。

什么是網(wǎng)站

什么是網(wǎng)站?這是一個(gè)貌似很明確但其實(shí)不太容易回答的問(wèn)題。在不同語(yǔ)境下，可能答案是不一樣的。那么從安全的角度看，或者說(shuō)從2562號(hào)文件的角度看，什么是網(wǎng)站呢?主要可以分為兩類(lèi)，一類(lèi)是傳統(tǒng)意義上的各級(jí)門(mén)戶網(wǎng)站，主要作用是信息展示。還有一類(lèi)是各種業(yè)務(wù)系統(tǒng)，比如在線的郵件系統(tǒng)，文件系統(tǒng)等等。從技術(shù)角度看，這兩種系統(tǒng)都是通過(guò)WEB瀏覽器進(jìn)行訪問(wèn)，都通過(guò)HTTP協(xié)議進(jìn)行通信，都有相同的技術(shù)架構(gòu)，面臨相同的威脅和挑戰(zhàn)，因此都應(yīng)被納入網(wǎng)站群防護(hù)體系之中。

2562號(hào)文件核心要點(diǎn)解讀

(一)落實(shí)網(wǎng)站開(kāi)辦審核工作

套用一句歌詞，“網(wǎng)站不是你想開(kāi)，想開(kāi)就能開(kāi)”。各級(jí)單位必須做到對(duì)自己?jiǎn)挝惑w系內(nèi)的網(wǎng)站做到心中有數(shù)，“有哪些網(wǎng)站，管理者是誰(shuí)，安全管理情況如何”，堅(jiān)決杜絕未經(jīng)審核的網(wǎng)站上線。

(二)開(kāi)展網(wǎng)站統(tǒng)一標(biāo)識(shí)工作

這個(gè)統(tǒng)一標(biāo)識(shí)工作，在中編辦2014年69號(hào)文中就明確的提出過(guò)，在本文件中又再次強(qiáng)調(diào)了這項(xiàng)工作的重要性。可以把“統(tǒng)一標(biāo)識(shí)”看作政府及國(guó)有企事業(yè)單位網(wǎng)站的“身份證”，這個(gè)身份證由中編辦統(tǒng)一管理和發(fā)放，原則上沒(méi)有這個(gè)標(biāo)識(shí)的網(wǎng)站不允許上線運(yùn)營(yíng)。

(三)開(kāi)展網(wǎng)站群建設(shè)工作

網(wǎng)站群建設(shè)的核心工作目標(biāo)就是“統(tǒng)一管理，統(tǒng)一防護(hù)，統(tǒng)一監(jiān)測(cè)”，將分散的小網(wǎng)站統(tǒng)一規(guī)整為網(wǎng)站群，垂直行業(yè)將各級(jí)網(wǎng)站上收到總部，地方政府將各單位有關(guān)網(wǎng)站統(tǒng)一歸并，徹底解決“有人建、沒(méi)人管、有人用、沒(méi)人防”的被動(dòng)局面。

(四)全面加強(qiáng)黨政機(jī)關(guān)、事業(yè)單位和國(guó)有企業(yè)網(wǎng)站安全保護(hù)工作

這一條基本延續(xù)了過(guò)去的工作要求，不做進(jìn)一步解釋了

(五)全面加強(qiáng)黨政機(jī)關(guān)、事業(yè)單位和國(guó)有企業(yè)網(wǎng)站安全監(jiān)測(cè)、應(yīng)急處置和責(zé)任追究

這一條從技術(shù)層面著重強(qiáng)調(diào)了“安全監(jiān)測(cè)和應(yīng)急處置”能力的建設(shè)。可以看出，主管部門(mén)的技術(shù)理念還是非常與時(shí)俱進(jìn)的。目前安全工作正在從過(guò)去的“防護(hù)”為核心向兩個(gè)方向轉(zhuǎn)移，一個(gè)方向是向前，強(qiáng)調(diào)風(fēng)險(xiǎn)管理和威脅預(yù)警，盡量降低網(wǎng)站被攻擊的可能性。一個(gè)方向是向后，及強(qiáng)調(diào)對(duì)于攻擊事件的及時(shí)發(fā)現(xiàn)和快速響應(yīng)能力，盡量降低攻擊造成的影響。

怎么辦

如何將2562號(hào)文件落到實(shí)處?作為國(guó)內(nèi)領(lǐng)先的網(wǎng)站安全服務(wù)供應(yīng)商，盛邦安全先后接到很多來(lái)自政府部門(mén)、事業(yè)單位和國(guó)有企業(yè)的相關(guān)咨詢。事實(shí)上，自從去年2562號(hào)文件發(fā)布后，公安部就組織了包括盛邦安全在內(nèi)國(guó)家級(jí)技術(shù)支撐單位進(jìn)行了統(tǒng)一學(xué)習(xí)和工作部署。會(huì)議結(jié)束后，盛邦安全進(jìn)行了積極的努力，并于今年年初推出了國(guó)內(nèi)首個(gè)(目前也可能是唯一的)2562號(hào)文件專項(xiàng)產(chǎn)品——網(wǎng)站群治理平臺(tái)，并成功為眾多用戶進(jìn)行了服務(wù)，下面，我們將我們的工作成果和大家分享一下，希望能對(duì)您有所幫助。

能力要求分析

通過(guò)對(duì)2562號(hào)文件的認(rèn)真學(xué)習(xí)，我們認(rèn)為，從安全管理能力的角度講，網(wǎng)站群需要具備如下的能力才能達(dá)到文件所提出的相關(guān)管理目標(biāo)。

①　及時(shí)了解中心內(nèi)有哪些網(wǎng)站在提供服務(wù)

②　網(wǎng)站上線前必須經(jīng)過(guò)審核、備案(確認(rèn)所有人、符合安全策略)

③　網(wǎng)站標(biāo)識(shí)核查

④　 實(shí)時(shí)監(jiān)控每個(gè)網(wǎng)站的安全情況

⑤　能夠確保發(fā)布內(nèi)容的合法合規(guī)

⑥　對(duì)于不合格網(wǎng)站(私建、不安全、無(wú)標(biāo)識(shí))具有自動(dòng)封堵機(jī)制

⑦　發(fā)生攻擊要快速發(fā)現(xiàn)，快速響應(yīng)，并能溯源

⑧　對(duì)于典型攻擊要有防御能力

⑨　對(duì)于篡改攻擊要有復(fù)原能力

⑩　網(wǎng)站運(yùn)行情況建立基線數(shù)據(jù)

關(guān)鍵技術(shù)分析

那么要實(shí)現(xiàn)這些能力，需要哪些關(guān)鍵技術(shù)呢?我們認(rèn)為核心技術(shù)需求如下：

(一)網(wǎng)址自學(xué)習(xí)技術(shù)

這項(xiàng)技術(shù)是整個(gè)網(wǎng)站群治理的核心技術(shù)，必須有辦法發(fā)現(xiàn)在一個(gè)系統(tǒng)內(nèi)究竟有哪些網(wǎng)站在對(duì)外提供服務(wù)。根據(jù)我們的經(jīng)驗(yàn)，絕大多數(shù)的政府及企事業(yè)單位對(duì)于本系統(tǒng)內(nèi)究竟存在多少網(wǎng)站心里都是沒(méi)底的，過(guò)去雖然也在做相關(guān)的工作，但是都是通過(guò)行政命令的手段在完成，這顯然無(wú)法給予管理者足夠的信心。而我們通過(guò)自學(xué)習(xí)的方式，則可以從根本上幫管理者解決這個(gè)問(wèn)題，以我們?cè)谀辰涛墓ぷ鳛槔ㄟ^(guò)一個(gè)星期左右的自學(xué)習(xí)，我們幫助該教委發(fā)現(xiàn)了2000多個(gè)在線的網(wǎng)站，這一數(shù)目遠(yuǎn)超該教委的預(yù)估。

(二)在線開(kāi)辦和備案管理技術(shù)

對(duì)于學(xué)習(xí)到的網(wǎng)站，我們需要進(jìn)行一輪統(tǒng)一的梳理，及對(duì)這些網(wǎng)站進(jìn)行備案管理。這個(gè)工作要在網(wǎng)站群管理平臺(tái)上完成，而不是通過(guò)帶外的手段來(lái)完成，這樣才能把網(wǎng)址學(xué)習(xí)，監(jiān)控預(yù)警，分線管理，封堵告警等工作有機(jī)的組合在一起。

(三)黑白名單封堵技術(shù)

對(duì)于沒(méi)有備案，無(wú)法識(shí)別標(biāo)識(shí)，或者出現(xiàn)嚴(yán)重安全或違規(guī)風(fēng)險(xiǎn)的網(wǎng)站進(jìn)行封堵，使得這些網(wǎng)站無(wú)法進(jìn)行訪問(wèn)。

(四)網(wǎng)站安全監(jiān)控技術(shù)

對(duì)于篡改，掛馬等攻擊進(jìn)行監(jiān)控，在發(fā)現(xiàn)攻擊情況時(shí)通過(guò)多種手段進(jìn)行告警。

(五)風(fēng)險(xiǎn)管理與內(nèi)容檢查技術(shù)

對(duì)于備案過(guò)的網(wǎng)站進(jìn)行定期的安全巡檢，包括漏洞掃描和內(nèi)容審查，以降低網(wǎng)站存在的各種風(fēng)險(xiǎn)。

解決方案簡(jiǎn)述

盛邦安全網(wǎng)站群治理解決方案的技術(shù)框架如下：

具體的解決方案分為園區(qū)網(wǎng)和行業(yè)網(wǎng)兩種情況。園區(qū)網(wǎng)相對(duì)來(lái)講比較簡(jiǎn)單，只需要在出口旁路我們的網(wǎng)站群治理產(chǎn)品就能實(shí)現(xiàn)相關(guān)能力。

對(duì)于行業(yè)專網(wǎng)而言，問(wèn)題有點(diǎn)復(fù)雜。如果該行業(yè)專網(wǎng)是通過(guò)統(tǒng)一出口進(jìn)行互聯(lián)網(wǎng)接入的，那么這種情況和園區(qū)網(wǎng)一樣，都是通過(guò)在出口部署設(shè)備就能解決。如果該行業(yè)專網(wǎng)的每一個(gè)節(jié)點(diǎn)都有自己的互聯(lián)網(wǎng)出口，那么問(wèn)題就比較復(fù)雜了，我們需要引入探針設(shè)備來(lái)進(jìn)行部署。

希望我們的介紹能夠?qū)δ墓ぷ饔兴鶐椭?/p>