網(wǎng)站安全檢測(cè)服務(wù)標(biāo)準(zhǔn)化流程研究與實(shí)踐

◆趙少飛 王 楠 巨騰飛

?

網(wǎng)站安全檢測(cè)服務(wù)標(biāo)準(zhǔn)化流程研究與實(shí)踐

◆趙少飛 王 楠 巨騰飛

(陜西省網(wǎng)絡(luò)與信息安全測(cè)評(píng)中心 陜西 710065)

網(wǎng)站安全檢測(cè)作為保障網(wǎng)站安全的重要手段之一，對(duì)發(fā)現(xiàn)網(wǎng)站安全隱患及安全事件起到重要作用，建立一套標(biāo)準(zhǔn)化的服務(wù)流程能夠保障網(wǎng)站安全檢測(cè)工作高效進(jìn)行，及時(shí)為用戶提供服務(wù)，確保網(wǎng)站安全事件及隱患及時(shí)得到解決，保障網(wǎng)站的安全運(yùn)行。本文以陜西省網(wǎng)絡(luò)信息安全測(cè)評(píng)中心（以下簡稱“測(cè)評(píng)中心”）建立的網(wǎng)站檢測(cè)標(biāo)準(zhǔn)化流程為例進(jìn)行闡述。

網(wǎng)站安全檢測(cè)；標(biāo)準(zhǔn)化；流程

0 引言

伴隨著信息技術(shù)的不斷發(fā)展，網(wǎng)站作為人們獲取咨詢及享受服務(wù)的載體，受到各種攻擊者的青睞，網(wǎng)站安全隱患也成為一個(gè)普遍性的問題，網(wǎng)站安全事件層出不窮，引起社會(huì)各界的廣泛關(guān)注。2014年年底，鐵道部官方網(wǎng)站（http://12306.cn）13萬用戶信息泄露，包括身份證、登錄口令等；2015年8月，在線票務(wù)銷售平臺(tái)大麥網(wǎng)600余萬用戶賬戶密碼泄露并在黑產(chǎn)論壇公開售賣；2016年5月，一名俄國黑客成功盜取2.723億電子郵箱信息，包括4000萬個(gè)雅虎郵箱、3300萬微軟郵箱以及2400萬個(gè)谷歌郵箱；2017年4月，外國媒體hackread報(bào)道，1007萬條優(yōu)酷賬戶信息數(shù)據(jù)庫在暗網(wǎng)售賣；越來越多的網(wǎng)站受到直接或間接的網(wǎng)絡(luò)攻擊，網(wǎng)站安全面臨重大挑戰(zhàn)，加強(qiáng)網(wǎng)站安全檢測(cè)防護(hù)能力成為共識(shí)，網(wǎng)站安全檢測(cè)作為網(wǎng)站安全防護(hù)的一種必要手段，可以檢測(cè)出網(wǎng)站存在的一些安全隱患，進(jìn)而對(duì)網(wǎng)站進(jìn)行安全加固，確保網(wǎng)站的安全運(yùn)行。對(duì)于如何高效對(duì)網(wǎng)站進(jìn)行安全檢測(cè)，我們需要建立一套標(biāo)準(zhǔn)化的規(guī)范流程，確保網(wǎng)站安全檢測(cè)工作高效、有序進(jìn)行。

1 標(biāo)準(zhǔn)化流程的提出

1.1 何為網(wǎng)站安全檢測(cè)

網(wǎng)站安全檢測(cè)，也稱網(wǎng)站安全評(píng)估、網(wǎng)站漏洞測(cè)試、Web安全檢測(cè)等，它是通過技術(shù)手段對(duì)網(wǎng)站進(jìn)行漏洞掃描，檢測(cè)網(wǎng)頁是否存在漏洞、網(wǎng)頁是否掛馬、網(wǎng)頁有沒有被篡改、是否有欺詐網(wǎng)站等，提醒網(wǎng)站管理員及時(shí)修復(fù)和加固，保障Web網(wǎng)站的安全運(yùn)行。

1.2 什么是標(biāo)準(zhǔn)化

標(biāo)準(zhǔn)化是指在經(jīng)濟(jì)、技術(shù)、科學(xué)和管理等社會(huì)實(shí)踐中，對(duì)重復(fù)性的事物和概念，通過制訂、發(fā)布和實(shí)施標(biāo)準(zhǔn)達(dá)到統(tǒng)一，以獲得最佳秩序和社會(huì)效益。

1.3 安全檢測(cè)標(biāo)準(zhǔn)化的必要性

網(wǎng)站安全檢測(cè)作為網(wǎng)站安全防護(hù)中的重要手段之一，長期以來，是測(cè)評(píng)中心對(duì)外提供的重要服務(wù)，但在現(xiàn)實(shí)工作中卻一直存在諸多不規(guī)范之處，如對(duì)客戶提供的安全事件說明材料格式不一，安全事件或漏洞通知不及時(shí)，報(bào)告模板多樣化、數(shù)據(jù)資料分散化等等。安全檢測(cè)服務(wù)工作中的諸多問題導(dǎo)致工作出現(xiàn)反復(fù)、效率低下、質(zhì)量不高等，直接影響安全檢測(cè)服務(wù)進(jìn)一步發(fā)展和單位經(jīng)濟(jì)效益。

為進(jìn)一步規(guī)范網(wǎng)站安全檢測(cè)服務(wù)工作，使安全檢測(cè)在檢測(cè)、分析、審核等各個(gè)階段流程進(jìn)一步規(guī)范化、標(biāo)準(zhǔn)化，工作人員通過研究建立了一套較為完善的網(wǎng)站安全檢測(cè)服務(wù)標(biāo)準(zhǔn)化流程，并在實(shí)際業(yè)務(wù)中投入應(yīng)用，取得了良好的效果。

2 網(wǎng)站安全檢測(cè)標(biāo)準(zhǔn)化流程

2.1 工作流程概述

測(cè)評(píng)中心建立的網(wǎng)站安全檢測(cè)標(biāo)準(zhǔn)化流程主要分為8個(gè)步驟，分別為工作單確認(rèn)、域名驗(yàn)證、安全策略配置、檢測(cè)過程、安全事件/漏洞驗(yàn)證、安全事件/漏洞上報(bào)、數(shù)據(jù)統(tǒng)計(jì)與分析、報(bào)告編制與輸出，如圖1。

圖1 網(wǎng)站安全檢測(cè)標(biāo)準(zhǔn)化流程

2.2 工作單確認(rèn)

根據(jù)網(wǎng)站安全檢測(cè)服務(wù)合同，部門負(fù)責(zé)人發(fā)起網(wǎng)站安全檢測(cè)工作單，網(wǎng)站安全檢測(cè)工作人員負(fù)責(zé)接受工作單，明確安全檢測(cè)需求及所需的技術(shù)支持。

2.3 域名驗(yàn)證

網(wǎng)站安全檢測(cè)工作人員根據(jù)工作單內(nèi)容，對(duì)工作單中所涉及的網(wǎng)站域名進(jìn)行驗(yàn)證，確保域名可用性正常，并對(duì)域名驗(yàn)證情況進(jìn)行記錄，編制網(wǎng)站安全檢測(cè)域名驗(yàn)證表。

2.4 策略配置

網(wǎng)站安全檢測(cè)工作人員根據(jù)網(wǎng)站安全檢測(cè)域名驗(yàn)證表內(nèi)容，在安全檢測(cè)平臺(tái)上配置任務(wù)類型、任務(wù)名稱、標(biāo)簽、檢測(cè)時(shí)間及網(wǎng)站安全檢測(cè)策略，安全檢測(cè)策略包括網(wǎng)站可用性、安全事件、漏洞等。

可用性配置策略包括：檢測(cè)周期、優(yōu)先級(jí)、域名解析速度、域名劫持檢測(cè)、PING探測(cè)、HTTP探測(cè)、GET請(qǐng)求完整讀取時(shí)間及云端可用性等。

安全事件配置策略包括：檢測(cè)周期、優(yōu)先級(jí)、檢測(cè)深度、最大頁數(shù)、暗鏈檢測(cè)、掛馬檢測(cè)、關(guān)鍵詞檢測(cè)、變更檢測(cè)。

安全漏洞配置策略包括：檢測(cè)周期、優(yōu)先級(jí)、檢測(cè)深度、最大頁數(shù)、漏洞類型檢測(cè)配置。

2.5 檢測(cè)過程

網(wǎng)站安全檢測(cè)工作人員定期登錄安全檢測(cè)平臺(tái)查看網(wǎng)站安全檢測(cè)結(jié)果，填寫安全檢測(cè)記錄表，描述網(wǎng)站安全檢測(cè)情況。

可用性：查看網(wǎng)站響應(yīng)異常累計(jì)、最近檢測(cè)時(shí)間以及最近狀態(tài)，人工訪問網(wǎng)站，查看網(wǎng)站響應(yīng)是否異常。

安全事件：查看網(wǎng)站是否存在暗鏈、掛馬及惡意變更等情況，根據(jù)變更情況檢測(cè)結(jié)果，人工驗(yàn)證網(wǎng)站是否存在惡意變更，當(dāng)網(wǎng)站發(fā)生安全事件時(shí)，及時(shí)進(jìn)行人工驗(yàn)證并通報(bào)用戶。

安全漏洞：查看網(wǎng)站是否存在漏洞，當(dāng)發(fā)現(xiàn)網(wǎng)站存在漏洞時(shí)，人工進(jìn)行驗(yàn)證，并通過電話、書面說明等方式通報(bào)用戶。

2.6 安全事件/漏洞驗(yàn)證

對(duì)檢測(cè)出的安全事件/漏洞進(jìn)行及時(shí)驗(yàn)證，編制安全事件/漏洞驗(yàn)證報(bào)告，驗(yàn)證報(bào)告需明確涉及單位名稱、安全事件/漏洞類型等信息，將識(shí)別為誤報(bào)的安全事件/漏洞統(tǒng)一統(tǒng)計(jì)。

安全事件驗(yàn)證具體要求：驗(yàn)證截圖要求將正常界面以及源代碼界面分別截圖，截圖須包括驗(yàn)證內(nèi)容、驗(yàn)證時(shí)間、目標(biāo)網(wǎng)站域名信息，具體內(nèi)容清晰明了。

安全漏洞驗(yàn)證的具體要求：驗(yàn)證報(bào)告須注明涉及單位名稱、漏洞數(shù)量、問題URL、漏洞類型、參數(shù)及測(cè)試數(shù)據(jù)，對(duì)于不同類型的漏洞分類驗(yàn)證，并截圖取證，驗(yàn)證截圖要求將正常頁面與驗(yàn)證后頁面區(qū)分，截圖須包括驗(yàn)證內(nèi)容、驗(yàn)證時(shí)間、目標(biāo)網(wǎng)站域名信息，具體內(nèi)容清晰明了。

2.7 安全事件/漏洞上報(bào)

網(wǎng)站發(fā)現(xiàn)安全事件/漏洞后，應(yīng)及時(shí)人工驗(yàn)證、取證，電話通知部門負(fù)責(zé)人或用戶。

編寫網(wǎng)站安全檢測(cè)情況說明，說明中明確相關(guān)網(wǎng)站名稱、事件類型、事件發(fā)生時(shí)間、以及驗(yàn)證截圖，截圖要求包括驗(yàn)證內(nèi)容、驗(yàn)證時(shí)間、目標(biāo)網(wǎng)站域名信息，具體內(nèi)容清晰明了。

以郵件形式將檢測(cè)情況說明發(fā)送給外部門負(fù)責(zé)人或用戶，并填寫事件記錄跟蹤表，做好版本控制。

2.8 數(shù)據(jù)統(tǒng)計(jì)/分析

對(duì)檢測(cè)過程中發(fā)現(xiàn)的網(wǎng)站可用性異常、安全事件、漏洞問題進(jìn)行統(tǒng)計(jì)，編制網(wǎng)站安全檢測(cè)數(shù)據(jù)統(tǒng)計(jì)表。

根據(jù)網(wǎng)站安全檢測(cè)數(shù)據(jù)統(tǒng)計(jì)情況對(duì)網(wǎng)站安全檢測(cè)數(shù)據(jù)進(jìn)行分析。

可用性方面，分析在檢測(cè)周期內(nèi)出現(xiàn)響應(yīng)異常情況網(wǎng)站個(gè)數(shù)、響應(yīng)異常次數(shù)、與上個(gè)檢測(cè)周期對(duì)比情況、開放有風(fēng)險(xiǎn)對(duì)外開放服務(wù)情況以及域名劫持情況。

安全事件方面，分析在檢測(cè)周期內(nèi)存在暗鏈的網(wǎng)站個(gè)數(shù)及暗鏈總數(shù)情況、網(wǎng)站被掛馬情況，比較當(dāng)次檢測(cè)周期內(nèi)安全事件與上次檢測(cè)周期安全事件變化情況，對(duì)安全事件總數(shù)、個(gè)體網(wǎng)站安全事件數(shù)量變化情況進(jìn)行分析，分析安全事件變化原因。

安全漏洞方面，分析在檢測(cè)周期內(nèi)存在漏洞網(wǎng)站個(gè)數(shù)、漏洞總數(shù)、漏洞類型、各個(gè)漏洞類型網(wǎng)站個(gè)數(shù)、各類型漏洞數(shù)量，分析網(wǎng)站安全漏洞總數(shù)變化情況、類型分布情況、以及個(gè)體網(wǎng)站安全漏洞數(shù)量變化情況，分析變化原因。

2.9 報(bào)告編制/輸出

按用戶要求編寫網(wǎng)站安全檢測(cè)結(jié)果報(bào)告，報(bào)告編寫完成后，交由小組負(fù)責(zé)人初審，對(duì)數(shù)據(jù)完整性、正確性進(jìn)行審核校驗(yàn)；再由質(zhì)量負(fù)責(zé)人對(duì)報(bào)告進(jìn)行二審，對(duì)報(bào)告的文字?jǐn)⑹?、格式進(jìn)行審核校驗(yàn)；最后由技術(shù)負(fù)責(zé)人做最終審核，主要審核內(nèi)容為報(bào)告的整體結(jié)構(gòu)及內(nèi)容合理性。

報(bào)告審核、打印蓋章后提交給相關(guān)用戶。

3 安全原則與工作要求

3.1 安全原則

整體性原則：在進(jìn)行網(wǎng)站安全檢測(cè)服務(wù)過程中將嚴(yán)格按照確定的范圍和內(nèi)容進(jìn)行實(shí)施，從廣度和深度上滿足用戶的要求，安全檢測(cè)服務(wù)包括安全涉及的各個(gè)層面，以避免由于遺漏造成未來的安全隱患。

最小影響原則：從管理和技術(shù)應(yīng)用的層面，將安全檢測(cè)服務(wù)的實(shí)施對(duì)系統(tǒng)和網(wǎng)絡(luò)的正常運(yùn)行所帶來的影響可能性降到最低程度，不對(duì)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行和業(yè)務(wù)應(yīng)用的正常提供產(chǎn)生顯著影響。

保密性原則：參與成員對(duì)工作過程數(shù)據(jù)和結(jié)果數(shù)據(jù)嚴(yán)格保密，未經(jīng)授權(quán)不得泄露給任何單位和個(gè)人。

3.2 工作要求

過程可控：網(wǎng)站安全檢測(cè)服務(wù)依據(jù)服務(wù)規(guī)范進(jìn)行管理，服務(wù)過程中形成操作記錄文檔，對(duì)域名、安全策略、可用性異常、安全事件、漏洞等信息進(jìn)行記錄，達(dá)到服務(wù)過程的可控性。

工具可控：網(wǎng)站安全檢測(cè)服務(wù)所使用的平臺(tái)、工具將事先通告用戶，確保應(yīng)在雙方認(rèn)可的范圍之內(nèi)，且服務(wù)過程中采用的安全技術(shù)手段確定為已經(jīng)經(jīng)過實(shí)際應(yīng)用的安全技術(shù)和產(chǎn)品。

4 結(jié)束語

本文從工作流程、安全原則、工作要求三點(diǎn)對(duì)測(cè)評(píng)中心的網(wǎng)站安全檢測(cè)服務(wù)標(biāo)準(zhǔn)化流程進(jìn)行闡述，通過標(biāo)準(zhǔn)化流程的建立一方面降低企業(yè)用人風(fēng)險(xiǎn)，把崗位要做的事情步驟化地用文字記錄下來，這樣員工離職后可以直接培訓(xùn)新員工，新員工也能很快的上手，減少崗位空缺成本和防止員工以辭職要挾企業(yè)；另一方面把企業(yè)內(nèi)的成員所積累的技術(shù)、經(jīng)驗(yàn)，通過文件的方式來加以保存，而不會(huì)因?yàn)槿藛T的流動(dòng)，使整個(gè)技術(shù)、經(jīng)驗(yàn)跟著流失。

在網(wǎng)站安全檢測(cè)過程中逐步建立一套標(biāo)準(zhǔn)化流程，能夠不斷對(duì)網(wǎng)站安全檢測(cè)過程進(jìn)行改進(jìn)，從而形成一種優(yōu)化過程，逐步達(dá)到安全、準(zhǔn)確、高效、省力的效果。

[1]盧睿，米佳.互聯(lián)網(wǎng)公安情報(bào)工作標(biāo)準(zhǔn)化流程研究[J].中國人民公安大學(xué)學(xué)報(bào)，2012.

[2]唐雨，孟壇魁，梁藝軍.IT服務(wù)流程設(shè)計(jì)和執(zhí)行[J].中國教育網(wǎng)絡(luò)，2011.