前言
“2562号文件的执行期限延迟了”这一消息让广大政府部门和企事业单位的网络管理者稍稍缓了一口气,按照原来的要求,2016年6月是完成2562号文件有关要求的最后期限,但是从实际的执行情况看,这一工作的难度比想象中的要大,虽然各级领导都给予了足够的重视,但是想要最终达到文件有关要求,恐怕还要延迟一段时间。
那么2562号文件的核心要求究竟是什么,工作难点在哪里,有没有针对性强的解决方案?盛邦安全(WebRAY)作为成功为众多政府及企事业单位提供网站群治理综合服务的安全服务供应商,愿意和您分享一下我们的经验。
怎么看
网站安全历来是政府部门安全工作的重中之重,网信办成立后发的第一份文件就是《关于加强党政机关网站安全管理的通知》也就是业内俗称的“一号文”,奠定了网站安全的重要地位,在此后全国开展了若干次围绕网站安全的大检查工作,发现了很多问题。随着近年来安全事件频度的增加和危害性的日益严峻,网站安全得到有关部门的进一步重视,2562号文件就是在这样的大背景下出台的。我们可以认为,在未来几年的网站安全管理工作中,2562号文件都扮演着指导性文件的重要作用,因此有必要对这份文件进行认真分析和深入解读。
2562号文件是个什么文件
2562号文件,全称为《党政机关、事业单位和国有企业互联网网站安全专项整治行动方案》,发文单位为“公安部,网信办,中编办,工信部”。
具体的执行期为2015年五月底到2016年6月底。
背景分析
正如文件中指出,“网站已经成为各级政府及其所属单位履行职能、面向社会提供服务的重要手段和渠道,在提高行政效能、提升公信力等方面发挥着重要作用”
然而,文件中同时也非常明确的指出了一个非常严重的问题,“基层党政机关、事业单位和国有企业网站众多,网站规模小且分散,安全管理和防护能力差”。这个问题的提出应该说非常地有洞察力,过去的网站安全工作的重点一般都放在单个网站的相关安全工作上,2562号文件首次引入了“网站群”的概念,将安全工作的视角和要求都拔高了许多,问题提出的非常有针对,也确实是当前网站工作的症结所在。
什么是网站
什么是网站?这是一个貌似很明确但其实不太容易回答的问题。在不同语境下,可能答案是不一样的。那么从安全的角度看,或者说从2562号文件的角度看,什么是网站呢?主要可以分为两类,一类是传统意义上的各级门户网站,主要作用是信息展示。还有一类是各种业务系统,比如在线的邮件系统,文件系统等等。从技术角度看,这两种系统都是通过WEB浏览器进行访问,都通过HTTP协议进行通信,都有相同的技术架构,面临相同的威胁和挑战,因此都应被纳入网站群防护体系之中。
2562号文件核心要点解读
(一)落实网站开办审核工作
套用一句歌词,“网站不是你想开,想开就能开”。各级单位必须做到对自己单位体系内的网站做到心中有数,“有哪些网站,管理者是谁,安全管理情况如何”,坚决杜绝未经审核的网站上线。
(二)开展网站统一标识工作
这个统一标识工作,在中编办2014年69号文中就明确的提出过,在本文件中又再次强调了这项工作的重要性。可以把“统一标识”看作政府及国有企事业单位网站的“身份证”,这个身份证由中编办统一管理和发放,原则上没有这个标识的网站不允许上线运营。
(三)开展网站群建设工作
网站群建设的核心工作目标就是“统一管理,统一防护,统一监测”,将分散的小网站统一规整为网站群,垂直行业将各级网站上收到总部,地方政府将各单位有关网站统一归并,彻底解决“有人建、没人管、有人用、没人防”的被动局面。
(四)全面加强党政机关、事业单位和国有企业网站安全保护工作
这一条基本延续了过去的工作要求,不做进一步解释了
(五)全面加强党政机关、事业单位和国有企业网站安全监测、应急处置和责任追究
这一条从技术层面着重强调了“安全监测和应急处置”能力的建设。可以看出,主管部门的技术理念还是非常与时俱进的。目前安全工作正在从过去的“防护”为核心向两个方向转移,一个方向是向前,强调风险管理和威胁预警,尽量降低网站被攻击的可能性。一个方向是向后,及强调对于攻击事件的及时发现和快速响应能力,尽量降低攻击造成的影响。
怎么办
如何将2562号文件落到实处?作为国内领先的网站安全服务供应商,盛邦安全先后接到很多来自政府部门、事业单位和国有企业的相关咨询。事实上,自从去年2562号文件发布后,公安部就组织了包括盛邦安全在内国家级技术支撑单位进行了统一学习和工作部署。会议结束后,盛邦安全进行了积极的努力,并于今年年初推出了国内首个(目前也可能是唯一的)2562号文件专项产品——网站群治理平台,并成功为众多用户进行了服务,下面,我们将我们的工作成果和大家分享一下,希望能对您有所帮助。
能力要求分析
通过对2562号文件的认真学习,我们认为,从安全管理能力的角度讲,网站群需要具备如下的能力才能达到文件所提出的相关管理目标。
① 及时了解中心内有哪些网站在提供服务
② 网站上线前必须经过审核、备案(确认所有人、符合安全策略)
③ 网站标识核查
④ 实时监控每个网站的安全情况
⑤ 能够确保发布内容的合法合规
⑥ 对于不合格网站(私建、不安全、无标识)具有自动封堵机制
⑦ 发生攻击要快速发现,快速响应,并能溯源
⑧ 对于典型攻击要有防御能力
⑨ 对于篡改攻击要有复原能力
⑩ 网站运行情况建立基线数据
关键技术分析
那么要实现这些能力,需要哪些关键技术呢?我们认为核心技术需求如下:
(一)网址自学习技术
这项技术是整个网站群治理的核心技术,必须有办法发现在一个系统内究竟有哪些网站在对外提供服务。根据我们的经验,绝大多数的政府及企事业单位对于本系统内究竟存在多少网站心里都是没底的,过去虽然也在做相关的工作,但是都是通过行政命令的手段在完成,这显然无法给予管理者足够的信心。而我们通过自学习的方式,则可以从根本上帮管理者解决这个问题,以我们在某教委的工作为例,通过一个星期左右的自学习,我们帮助该教委发现了2000多个在线的网站,这一数目远超该教委的预估。
(二)在线开办和备案管理技术
对于学习到的网站,我们需要进行一轮统一的梳理,及对这些网站进行备案管理。这个工作要在网站群管理平台上完成,而不是通过带外的手段来完成,这样才能把网址学习,监控预警,分线管理,封堵告警等工作有机的组合在一起。
(三)黑白名单封堵技术
对于没有备案,无法识别标识,或者出现严重安全或违规风险的网站进行封堵,使得这些网站无法进行访问。
(四)网站安全监控技术
对于篡改,挂马等攻击进行监控,在发现攻击情况时通过多种手段进行告警。
(五)风险管理与内容检查技术
对于备案过的网站进行定期的安全巡检,包括漏洞扫描和内容审查,以降低网站存在的各种风险。
解决方案简述
盛邦安全网站群治理解决方案的技术框架如下:
具体的解决方案分为园区网和行业网两种情况。园区网相对来讲比较简单,只需要在出口旁路我们的网站群治理产品就能实现相关能力。
对于行业专网而言,问题有点复杂。如果该行业专网是通过统一出口进行互联网接入的,那么这种情况和园区网一样,都是通过在出口部署设备就能解决。如果该行业专网的每一个节点都有自己的互联网出口,那么问题就比较复杂了,我们需要引入探针设备来进行部署。
希望我们的介绍能够对您的工作有所帮助。
作者:晓忆
来源:51CTO