侯俊东

内蒙古新闻出版广电局监管中心 内蒙古 呼和浩特市 010050

近年来，随着Web应用的普及，企业和政府机构都相继部署了Web应用系统作为信息发布的窗口，同时更多的对外业务也越来越多地转到Web平台上。Web应用的日益广泛及其中蕴藏价值的不断提升，引发了黑客的攻击热潮，如页面篡改、网站挂马、注入类攻击、DDoS攻击等，极大地困扰着网站提供者，给企业形象、政府形象、信息网络甚至核心业务造成严重的破坏。防火墙、IPS等相关防御类产品在攻击发生时会产生一定的防御效果，但是无法更早的发现风险隐患，网站信息安全形势不容乐观。

1 安全风险分析

1.1 web应用漏洞风险

黑客利用网站漏洞，尤其是WEB应用程序漏洞，如SQL注入等，能够得到Web服务器的控制权限，随意篡改网页内容或窃取重要内部数据，更为严重的则是在网页中植入恶意代码，既“网页挂马”。通过这一行为，黑客可以控制网站的访问者甚至包括网站本单位工作人员的计算机，从而实现盗取银行帐号、内部机密信息等各种不可告人的目的。由于网页挂马制作的简单性和网络漏洞存在的必然性，通过网站漏洞进行网页挂马已经成为当前最流行的网站攻击方法和最受黑客青睐的木马散播方式。

1.2 网页挂马风险

网站是否存在WEB应用程序漏洞，往往是被入侵后才能察觉，而网站是否已经被挂马，通常是在被访问者投诉或被监管部门查处才能察觉，但这个时候损失已经发生。如何在攻击发动之前主动发现WEB应用程序漏洞以及网站在挂马发生之后迅速获悉，已成为构筑Web安全的上上策。目前解决这一问题的通常方式就是网站的运维管理人员购买专业的Web扫描工具，同时学习专业的安全知识，并对网站进行常规扫描、高频度检测，但专业的扫描工具往往不能解决木马问题，并且开销巨大，同时面对Web网站复杂的安全需求，也有自身的一些局限性。

1.3 网页篡改风险

网页篡改，即通过一定攻击手段对网页内容进行非法修改。网页篡改本质上是破坏了网页数据的完整性，一旦攻击得逞，一方面会影响正常业务的开展，另一方面会造成政治、经济方面的较大影响。

1.4 钓鱼网站风险

“钓鱼”是指在互联网领域，通过电子邮件欺骗、假冒网站、间谍软件等技术手段，骗取用户的帐号密码（如：银行帐号、证券交易帐号、网上缴费帐号等），从而达到盗窃用户资金目的的行为。“反钓鱼”是指企业、客户或相关主管部门采取的专门防范“钓鱼”行为的措施、手段与方法。随着电子商务的发展，“钓鱼”现象呈逐年上升之势，因“钓鱼”给商家和客户造成的损失越来越大，“反钓鱼”解决方案越来越成为商家开展电子商务所必备的保障设施。

1.5 DNS解析异常风险

DNS是域名系统（Domain Name System） 的缩写，是互联网的一项核心服务，它作为可以将域名和IP地址相互映射的一个分布式数据库，能够使人更方便的访问互联网，而不用去记住能够被机器直接读取的IP数串。DNS服务器一旦解析异常，轻则影响用户解析域名；重则大量的DNS查询报文会造成网络风暴、瘫痪网络；更有甚者利用DNS协议的缺陷，伪造DNS查询报文可以把域名指向非正常的IP地址，造成重大的安全事件。

1.6 敏感内容发布风险

随着互联网的影响力、话语权日益强大，我国对互联网的监管机制、法律法规、技术手段日渐成熟，监管机构对网站所有者提出了很高的内容监管要求。与此同时，互联网的许多应用，如博客、论坛等，具有自媒体的特征，用户通过博客和论坛发表大量内容，网站所有者难以一一监管这些内容。而一旦用户发表敏感信息、传播非法言论，将会造成恶劣的政治、社会影响。所以，急需要相关技术手段来实时监控网站敏感信息，协助网站管理者解决这一棘手难题。

1.7 网站可用性检测

互联网经济对网站的可用性要求较高，只有这样，才能保证业务的平稳运行，才能真正体现互联网的便利性。网站可用性检测中，可用率和响应时间是两个重要指标，可用率是指被监控站点可以正常访问的次数占总检查次数的百分比；而响应时间则来自于多个分布式监测点，网站可用性检测会记录来自不同分布式监测点到网站站点的响应时间。

2 网站安全监测解决方案分析

2.1 网站安全服务流程

用户选择需要的监测服务内容，并提供网站域名等基本信息，当网站遇到问题时，网站安全监测系统会及时进行通知，以便用户可以尽快处理。同时系统会定期提供安全监测报告和安全建议，让风险尽在掌握。

2.2 网站安全监测内容

网站安全监测主要包括以下几方面的内容：

2.2.1 网站漏洞扫描服务

通过远程方式，对网站定期进行安全检查，由安全专家进行专业分析，发现网站存在的隐患和漏洞，提供安全建议，帮助网站页面及时修复。

2.2.2 网站挂马监测服务

系统对目标网站进行7×24小时不间断监控，采用静态特征匹配和动态检测技术对网站挂马进行监测，发现网站被挂马后及时通知网站主体，减少风险。

2.2.3 网站可用性监测服务

图1 网络安全服务流程

图2 网络安全监测内容

通过PING、GET等方式对网站访问速度，响应时间，返回状态码进行监测，及时发现网站可用性问题并告警。

2.2.4 页面篡改监测服务

实时监测目标站点的页面状况，当网页篡改发生时，第一时间通知网站主体，减少响应时间，降低篡改事件带来的政治、法律、经济等方面的影响，协助网站主体保障网站的完整性。

图3 网站挂马监测流程

2.2.5 网站域名解析监测服务

对被监控域名在各省主要运营商DNS服务器及授权域名服务器的域名解析情况进行监控，如发现域名解析异常及时报警并通知客户。监控范围包括：A记录、MX记录、NS记录、CNAME记录等。

2.2.6 敏感内容监测服务

对网页中出现的敏感内容进行监测，如发现敏感内容及时通知网站进行处理。

2.2.7 钓鱼网站监测服务

通过对被监测域名相似域名的检查，通过关键词对各主要搜索引擎搜索结果进行检查等方式对钓鱼网站进行监测，发现钓鱼网站后及时通知网站处理，避免造成经济损失。

2.2.8 安全通告服务

收集和整理最新的安全漏洞、安全事件、安全资讯，信息安全事件等信息，使网站管理员掌握当前互联网风险趋势，及时采取应对措施，降低风险，减少损失。

图4 网站域名解析监测流程

3 网络安全监测的好处

3.1 确保网站正常运行

网站一旦出现挂马、漏洞、篡改等安全问题，将会影响网站的正常运行，而且存在着被相关监管部门责令关停、整改的风险；另外，如果网站平稳度出现问题（如不能打开页面、访问速度慢等），也将影响用户的正常使用。

3.2 规避政治、经济风险

网站一旦被挂马、或因为WEB漏洞而被攻击，尤其是被不法势力入侵并利用网站散播反动言论，将严重影响网站主体形象，而且会带来较为严重的政治风险。

黑客利用网站缴费链接网页，获取用户交易信息，转移资金。甚至通过网上银行挂马，来窃取帐户信息，直接划转资金。通过网页挂马、网站漏洞来达到经济犯罪的方式、方法多种多样，给用户带来的是直接经济风险。

网站安全监测服务可以帮助用户对这类威胁做到早发现、早处置，让客户尽早规避风险。

3.3 提高效率、降低成本

减轻网站管理员日常网站安全运维工作负担，提高效率，帮助网站管理者将精力集中在核心业务上。同时，节省用户软件、设备和人员投入。