浅谈网站为什么还需要检查和监控?

Posted 2020-08-17

我们通常认为，攻击不存在会不会发生的问题，只存在何时发生，如何发生的问题。针对攻击事件，通过技术平台，尽早发现攻击，减少攻击造成的损失。才会使我们在面对攻击时能够做到工作有条不紊，及时有效应对。过去，安全事件响应的时间往往是在攻击已经发生后较长时间，通过外部扩散造成负面影响后，才得到修复，造成的影响已无法挽回。

一，部署安全设备的政府网站为什么还需要检查

因为网站大检查常态化趋势，监管部门监测任务日趋繁琐。一方面是因为网络安全的形式日益严峻，网站所面临的攻击越来越多，而且互联网服务平台也越来越多，互联网网站是网络攻击的焦点，与其仅靠人工方式日常检查或应急保障现场排查等方式，不如引入常态机制更加有效;另一方面就是攻击往往不是发生在一个时点，而是一个长期的复杂行为，很多时候攻击所利用的后门都是较长时间以前就植入在服务器里的，所以日常监测工作要常抓不懈。通过剖析盛邦安全完成的重大安保任务和分析应急保障写过的应急报告，了解到，很多政企单位在通过常规检查，并且按要求部署了传统安全防御设备后，仍然还会爆出Web攻击事件发生。究其原因，有设备的部署和配置不当、新的漏洞曝光但发现不及时、更新补丁不及时、新的攻击在进化、传统技术更新跟不上攻击变化的脚步，等很多原因。所以现阶段看来，单单通过防御的方式来抵御现有的威胁是远不够的。

1，服务目标：监控预警服务，一般而言主要聚焦在资产发现、漏洞扫描、攻击监控、态势分析等目标。

2，资产发现：针对行业内或区域内的大批量门户网站、互联网服务平台、重要信息系统、违规网站等资产信息进行发现与识别，并持续深入学习。

3，漏洞扫描：针对发现的资产或需要重点保障网站，定期评估Web系统漏洞，核查基线标准配置策略，在管理界面实现安全风险的可视化。

4，攻击监控：针对重点保障网站或互联网服务平台，时时检测内容篡改，敏感词监控，持续进行暗链/黑链检测、网络钓鱼检测、网页木马检测、WebShell检测、弱口令检测。

5，态势分析：针对大范围，大数量的网站群或互联网服务平台，进行量化分析，可视化呈现威胁状态，并提供定制化报表。

,目前网络安全工作正在从过去的“防护”为核心向两个方向转移，一个方向是向前，强调对于攻击事件发生之前，进行风险管理和威胁预警，尽量降低网站被攻击的可能性。一个方向是向后，强调对于攻击事件发生后的及时发现和快速响应能力，尽量降低攻击造成的影响。

安全大检查正是找出风险，降低被攻击可能的一个过程。重大事件安全保障，正是及时处理攻击，减少攻击影响的一个过程。这都是现阶段解决政府网站安全问题的有效手段。