什么是網站群?網站群治理又指什么?據統計中國網站總數為423萬個，較2014年增長了88萬，年增長率達到26.3%。中國網頁數量首次突破2000億。——《第37次中國互聯網絡發展狀況統計報告》。但脆弱的Web安全防護能力卻與之形成極大的反差，“有人建，沒人管;有人用，沒人防“成為我國網站的普遍現象。自2013年到2015年，公安部、網信辦先后對全國政府網站(gov.cn域名)以及大量央企、省級門戶網站、高校網站進行監測排查，55%左右政府網站存在安全隱患,過半高校網站存在安全漏洞。

圖1 中國網站數量-《第37次中國互聯網絡發展狀況統計報告》

為了應對網站數量的快速增長導致的一系列安全、管理的問題，四部委在2015年9月聯合發文，首次提及“網站群”建設。從技術角度來看，網站群是指具有統一規劃，統一標準，并建立在統一技術構架基礎之上，分級管理，分級維護，耦合程度高，信息可以實現基于特定權限共享呈送的網站集合。但從管理以及實際情況上來定義，廣義上的“網站群”是指按照一定的隸屬關系組織在一起，在同一網絡內部的，既可以統一管理，也可以獨立管理自成體系的網站(包含業務系統)集合。例如一般高校，網站群中網站數量大致100-200之間;而一個市級教委，網站數量可以達到2000個左右。

第二個問題，對于“網站群治理”，其跟據四部委2562號文件的要求，主要要做到對于下設網站的統一管理、統一監測、統一防護。從而改變過去的網站安全工作的重點一般都放在單個網站的相關安全工作上的問題。

網站群治理面臨的問題通過對政府、高校、大型企業等用戶的網站及業務系統的安全現狀的研究，網站群的治理主要面臨以下四個方面問題：

管理難度大 l 網站數量眾多，小且分散;雖然開展了站群建設，但仍有外部網站，管理成本高。

沒有明確的備案管理系統，工作主要依靠人工，責任劃分不明確。

私搭亂建現象嚴重，不易檢測。

退運的網站，缺乏有效管理手段，常常成為孤島網站。

缺少風險發現能力 l 網站以及內部業務系統存在弱口令，存在較大風險。

85%以上的攻擊是利用安全漏洞發起，但由于缺乏檢測機制，無法發現下設網站也業務系統存在的漏洞風險。

網站被植入后門，導致黑客可以長期越過防護設備控制服務器。

缺少安全監控機制 l 對篡改、暗鏈、敏感詞等網站內容缺乏監控手段，出現問題無法第一時間響應。

監控網站，防止網站掛馬而導致的用損失。

對已上線網站缺少定期漏洞檢測，對突發事件無法對下設網站整體進行檢測。

缺少安全防護手段 l 網站防攻擊、防篡改、防掛馬。

傳統防火墻無法防御針對Web的攻擊。

缺少統一管理、統一監測、統一防護平臺。

對于安全攻擊不能及時響應、溯源。

“摸清家底，認清風險，找出漏洞，通報結果，督促整改” 針對網站管理者日常運維中遇到的問題，以及國家相應要求，WebRAY總結出網站群治理的9大核心能力。

①　及時了解網絡內有哪些網站在提供服務。

②　網站上線前必須經過審核、備案及安全檢查。

③　 實時監控每個網站的安全情況。

④　能夠確保發布內容的合法合規。

⑤　對于不合格網站(私建、不安全、無標識)具有自動退運機制。

⑥　發生攻擊要快速發現，快速響應，并能溯源。

⑦　對于典型攻擊要有防御能力。

⑧　對于篡改攻擊要有復原能力。

⑨　網站運行情況建立基線數據。

核心能力解析：

資產自動發現摸清網絡內網站及業務系統的數量是管理的第一步。WebRAY網站群治理平臺通過在網絡出口旁路部署，自動發現網絡內對外提供訪問的網站及業務系統。對于內網業務系統的發現，可以通過在各安全域部署探針，發現內部基于Web訪問的業務系統，并將內容匯總到網站群治理平臺。

網站安全準入能力根據2562號文件要求，政府部門開辦的網站要進行備案。備案也是網站管理的一個必備步驟。WebRAY網站群治理平臺具有備案審核機制并將安全檢查融合在備案過程中。網站的安全準入實現邏輯如下：

每個網站的狀態分為四種:待審核、已審核、已駁回、未申請。管理人員可通過平臺實現對網站及業務系統的審核工作。在備案過程中，還要能夠對網站的安全情況進行檢測，實現網站安全準入。

網站安全監控與檢查 WebRAY網站群治理平臺利用安全檢查引擎對下設重點網站與業務系統進行安全監控，其中安全監控模塊包括基本配置功能以及可選功能兩大部分。基本功能包含以下三項：

1、內容監控：

包括篡改監控、敏感詞監控、以及暗鏈監控。其中篡改檢測采用自主知識產權的頁面矢量比較算法，能夠識別頁面正常更新和篡改。暗戀檢測采用動態沙箱技術檢測js動態生成的暗鏈，css暗鏈等。敏感詞檢測采用語義分析技術針對政治、色情、犯罪等敏感信息進行檢測。發現不合規內容及時告警，并可以通過配置對高危問題自動進行阻斷，WebRAY治理平臺同時提供專業的處理意見。

2、漏洞檢測：

漏洞檢測包含Web漏洞、系統漏洞、數據庫漏洞、中間件漏洞。目前該系統支持OWASP定義的Web威脅和及其相關的漏洞掃描監控服務。通過遠程的Web應用業務漏洞掃描服務，由安全專家定期進行Web應用業務結構分析、漏洞分析，即時獲得Web應用業務的漏洞情況，以及修補建議。

3、后門檢測：

WebRAY網站群治理平臺不同于傳統的網站后門檢測，不需要在服務器上安裝檢測插件，而是通過對流量的分析，以及自有的后門傳輸特征庫，實現對Webshell的檢測。

可選增強功能包含：網絡釣魚檢測、網站木馬檢測、網站可用性檢測。

1、網絡釣魚監測

通過構建可信URL數據庫、IP信譽和自動化的掃描輔助以人工確認等綜合手段，從而構建高效、準確的反釣魚監控系統。

2、網站木馬監測

采用業內領先的一體化掛馬檢測技術，高效、準確的識別網站頁面中的惡意代碼，從而使的網站管理員能夠第一時間感知網站的安全狀態，及時清除網頁木馬，避免給用戶帶來安全威脅，繼而影響網站信譽。

3、可用性監測

Web應用業務可用性、Web應用業務從不同線路來訪問得速度情況、Web應用業務響應時間，從而判斷是否能達到最優、最安全的服務質量。一旦發現網站無法訪問，第一時間通知用戶。

告警能力 WebRAY網站群治理平臺提供了多種告警方式，發布網站遭受篡改、暗鏈等攻擊的及時信息，以便應急響應，發布最新的安全漏洞以及相關新聞。

告警方式包括短信、郵件、syslog、SNMP等多種告警方式。

旁路阻斷能力 WebRAY 網站群治理平臺為了在不影響客戶網絡拓撲的情況下，又能具備對不合規、不安全的網站進行阻斷的目的，在平臺內增加了旁路阻斷能力。通過分析網絡流量，可以阻斷訪問者對于不合規、不安全站點的訪問請求，并進行告警，提醒修復。

通過阻斷能力可以有效降低風險，并及時阻斷被篡改網站，將攻擊危害降到最低。

網站攻擊防御與溯源能力(可選) 1)Web安全防護

WebRAY網站群治理平臺可通過擴展，實現與防御設備的聯動。根據監測到的威脅，自動制定防護策略，并啟動平臺具有的SQL注入/XSS防護、Web常規攻擊防護、掃描防護、Cookie安全防護、URL ACL、CSRF防護、HTTP協議防護、ARP欺騙防護、信息過濾防護、非法下載防護、非法上傳防護、Web內容安全防護、頁面盜鏈、爬蟲防護、流量攻擊防護等防護模塊進行防護。

2)篡改防護

平臺提供內核級防護，保護頁面不會被非法篡改。Windows防篡改支持32位和64位系統，Linux防篡改支持32位和64位系統。

圖1防篡改配置界面

3)Webshell防護

WebRAY治理平臺能夠實時檢測過濾WebShell發起的各種攻擊命令，阻斷利用WebShell 發起的掛馬、文件下載、端口掃描、內容篡改等各種攻擊和非法操作。

“有人建，有人管;有人用，有人防” WebRAY治理平臺通過9大核心能力來解決網站群治理中四大主要問題，從而協助網絡管理者進行網站群治理，并符合國家2562號文件規定，最終使轄區內的所有網站實現“有人建、有人管;有人用，有人防”。