4.29看点 | 行业携手共治，中小网站安全防护的春天到来

导读：4.29首都网络安全日期间，网络事件预警与防控技术国家工程实验室联合阿里云和安恒信息，推出了“中小网站安全防护系统”，为广大中小网站提供免费安全防护；安恒信息高级副总裁黄进就中小网站安全防护管理中的难点与痛点发表主题演讲。

4.29会场外景

“网站被挂马、暗链和恶意篡改已经成为危害网站安全的突出问题，给网民上网带来安全风险和隐患威胁。一些‘染’毒网站还成为网上诈骗、淫秽色情、赌博等违法信息，以及黑客攻击和侵犯公民个人信息等网络犯罪活动的重要载体和渠道。治理‘染’毒网站，需要打防结合、综合治理。当前，重要的措施是迅速行动，清理‘染’毒网站，提升网站安全防护能力。” 这是笔者从今年4.29首都网络安全日的“治理‘染’毒网站 保障上网安全”主题论坛上听到的声音。

公安部十一局副局长钟忠、北京市公安局网络安全保卫总队党委委员、副总队长刘尚奇和公安部第三研究所所长胡传平在论坛上发表致辞。钟忠副局长在致辞中指出，部分网站感染病毒，或者被植入了木马、暗链，已成为网民上网安全的重大威胁，治理染毒网站任务艰巨、刻不容缓，需要全社会高度重视、共同参与，通过举办此次论坛，对于提高社会各界对网络安全的认识、提升网络空间安全具有重要意义。此外，钟忠副局长还特别提到，针对目前网上频发的Web网络攻击、网站挂马、插入暗链和恶意篡改等行为，从普适性、公益性角度出发，本次论坛上将由网络事件预警与防控技术国家工程实验室联合阿里云、安恒信息，共同为全国中小网站提供免费的网站安全公益服务——中小网站安全防护系统（WAF.ISLAB.CN），通过为中小网站部署免费的网络应用防火墙，帮助降低安全隐患。这是政企联合帮助中小企业解决棘手的安全问题的实际行动。

公安部十一局副局长钟忠发表致辞

北京市公安局网络安全保卫总队副队长刘尚奇发表致辞

公安部第三所所长胡传平发表致辞

看点1：中小网站安全防护系统发布，免费

‍

在由公安部十一局指导、公安部第三研究所主办、安恒信息等多家单位联合承办的“治理‘染’毒网站 保障上网安全”主题论坛上，举行了网站免费安全防护服务发布仪式。目前全球网络攻击事件呈高发态势，针对互联网应用服务安全漏洞实施的恶性网络攻击事件日益频繁发生，对我国网络空间安全构成空前威胁、压力和挑战。为此，网络事件预警与防控技术国家工程实验室联合阿里云和安恒信息，推出了“中小网站安全防护系统”，为互联网应用服务厂商免费提供应用级的安全防护能力，并支持网络安全管理部门对互联网服务的安全态势进行监测和管理，全面提升我国网络空间的安全防护能力。发布仪式上，公安部十一局副局长钟忠、公安部第三所所长助理金波、阿里云首席安全研究员吴翰清、安恒信息高级副总裁黄进共同发布了“中小网站安全防护系统”。

中小网站安全防护系统发布

看点2： 安恒信息安全专家解读中小网站安全防护管理中的难点与痛点

除了发布仪式，各方参会嘉宾还从我国网站安全的现状出发，就网站安全事件和威胁、网站安全技术动态、网站安全的政策和管理要求等热点话题展开了热烈的讨论。安恒信息高级副总裁黄进受邀发表了题为“网站全过程安全防护管理”的主题演讲。

安恒信息高级副总裁黄进发表主题演讲

黄进展示了目前我国网站的“染”毒现状：根据安恒风暴中心对全国40余万政务网站的监测结果，2016年度共确认验证并通报安全事件32868件。其中，暗链（含博彩、色情内容）为网站被入侵后发生比例最高的安全事件，占约85.58%。

2016年度共确认验证并通报安全事件32868件

实际上被“染”毒的网站并非没有采取防护措施，防火墙、WAF、堡垒机等各路设备的“重兵把守”下，网站依然被攻破，这个问题不能不引起反思。就此，黄进分析了传统网站防护方案的一些弊端，例如，一些非法行为是通过合法端口执行的，这就可能绕过防火墙的防护；WAF、堡垒机由于设计不当自身也可能存在漏洞，安全设备成了埋在内部的“定时炸弹”。总体而言，传统安全设备存在固有的短板，且各设备之间“各自为战”，缺少必要的协同与联合，已不适用当前日益严峻的安全环境。

为此，黄进提出了“构建网站安全生命周期管理闭环”的整体解决方案，具体包括事前、事中、事后三个方面：

事前：增强对网站全面体检与测试

• 利用白盒测试、黑盒测试、灰盒测试工具，按照测试方案和流程对网站进行功能和性能测试，检查网站是否满足、符合实际的需求及性能，摸清实际与理想设计的差别。
• 模拟黑客入侵的方式对服务目标系统进行模拟入侵渗透测试。
• 应用代码审查，直接在代码源头解决问题。
• 对安全配置进行全面安全检查和分析。

事中：建立全维度（远程+本地+重点）实时监测防护

• 远程：云端的远程监控和远程防护。安恒风暴中心基于大数据与云的态势感知，遍及全国的32个数据节点，以每天数亿条数据的速度不断充实加强其安全情报储备，随时应对可能发生的大规模网络攻击。
• 本地：7*24实时安全监测，包括可用性监测、篡改监测、关键字检测、挂马检测、漏洞检测、事件监测、系统指纹分析等。
• 重点：针对重要网站布点监测，包括业务系统的访问行为分析、Web攻击行为分析、Web性能分析等。

事后：快速响应、追踪溯源、形成规范处置

• 多方部门协同配合，多条工作流交叉。
• 利用移动应用建立严密完整的秒级安全态势预警体系，威胁和事件第一时间发布预警并快速响应。
• 以网络安全事件监测为主线,对网络空间安全相关信息(资产、漏洞、木马、流量等)进行汇聚融合分析与溯源。
• 形成网站生命健康档案，webshell检查常态化。使用网页后门专用检查服务，扫描网站后门木马等，快速判断目标网站的健康程度。
• 0day风险实时感知预警，极速秒级预警。依托于安恒安全研究院的雄厚实力，安恒信息有能力实时针对各类0Day漏洞进行挖掘、发现、分析、深度检测。近期爆发的Struts2 S2-045漏洞、NSA黑客工具包泄露事件的快速处置都验证了安恒信息的极速响应能力。

作为网站免费安全防护服务的主要发起单位和技术支持单位，未来，安恒信息将在公安部和工程实验室的指导下，与公安机关和业界同行通力协作，将安恒的安全能力输出给广大中小网站，共同治理“染”毒网站，以实际行动践行企业的社会责任。

- END -