防微杜漸 保障央企網站安全

目前，我國已進入信息化建設高速發展階段，各種信息系統正在中央企業、政府與科研機構內扮演著重要角色。作為企業形象的展示窗口，企業網站因其扮演了企業與外界溝通交流的橋梁，在企業信息安全體系建設中備受矚目。除了門面的展示，如今的企業網站業已成為分支機構及移動辦公客戶端與企業總部開展數字化辦公的重要平臺。因此，央企企業網站是否健康穩定運營不僅關系到企業的服務質量，更關系到企業的公眾形象。

然而，近年來企業網站所面臨的WEB安全挑戰愈發嚴重，據國家計算機網絡應急技術處理協調中心（簡稱CNCERT）監測顯示，2010年中國大陸有近3.5萬個網站被黑客篡改，數量較2009年下降21.5%，但其中被篡改的政府網站高達4 635個，同比2009年上升67.6%。政府與央企網站因其承載著關乎國計民生的重要信息，很可能成為攻擊者發起APT（Advanced Persistent Threat）或定向攻擊的跳板，一旦網站被利用，很可能會對企業或政府關鍵信息系統與核心業務造成嚴重破壞。

從央企自身出發，越來越多的企業在國家多個重要行業承擔著振興國民經濟的重任，部分行業領軍企業甚至成為國際市場激烈競爭的主力軍，企業需要通過企業網站實現與政府主管機構、全球客戶和大眾進行互動交流。然而，國內企業網站安全防御能力參差不齊，不少企業存在頭疼醫頭的現象，缺乏基礎的安全策略，缺少安全主線和合理規劃，導致企業解決了局部問題，卻無法從整體滿足安全需求，從而降低了企業IT運營效率，致使安全孤島出現。網站一旦遭到惡意篡改或被植入木馬后門等惡意軟件，企業形象將遭受致命的打擊，甚至可能造成嚴重的政治影響。因此，企業網站尤其是央企網站的安全正常運營，首先是確保企業形象與服務的重要手段，在某種情況下更是至關重要的政治問題。

解析網站安全建設

作為我國經濟建設的支柱，實施信息化改造后的中央企業在辦公效率與政策執行力等方面均顯著提升，然而，央企網站普遍存在業務數據機密性高、業務連續性要求強、網絡結構相對封閉、信息系統架構形式多樣等特點，稍有疏忽便可能影響企業創新和協作能力。

同時，不同的業務功能模塊和不同目標用戶所需安全需求各不相同。如：對外服務與信息發布窗口，受眾往往是產業信息或公司產品服務信息的需求者，用戶對網站數據的可用性和完整性要求往往大于其保密性的要求，而網站上獨立運行的業務信息系統具有相對封閉性的結構特點，用戶通常為內部用戶，對數據的完整性和保密性要求往往大于可用性要求。

因此，企業網站安全風險管理需要貫穿前端WEB訪問、后端數據處理和反饋整個過程，且需要考慮不同信息需求者的身份背景及用途。對于普通用戶，應注重信息中面臨的服務中斷、黑客攻擊、非法接入、系統安全漏洞等安全風險，而對于內網用戶除必要的安全風險控制外，還需要加強關鍵信息系統的合規性與監管審計。

合規性需求

2004年，自公安部、保密局、國密辦以及國信辦聯合發布公通字[2004]66號文件（《關于信息安全等級保護工作的實施意見》）以來，等級保護便成為國家信息安全的基本制度，是國內政府、企業進行信息安全建設的基本依據。落實和實施企業信息安全水平，中央企業需要嚴格按照等級保護要求，使其相關信息系統能夠達到相應等級的基本保護和防護能力。

按照《中華人民共和國計算機信息系統安全保護條例》（國務院147號令）《國家信息化領導小組關于加強信息安全保障工作意見》（中辦發[2003]27號）《信息安全等級保護管理辦法》（公通字[2007]43號）等文件要求，參考《計算機信息系統安全等級保護等級劃分準則》 （GB17859-1999）《信息系統安全等級保護基本要求》（GB/T22239-2008）等等級保護相關標準，央企網站安全建設理應成為等級保護測評與檢查重點，實現央企企業網站的合規性需求。

作為中央企業形象的展示平臺和對外服務的窗口，央企網站上的內容需要確保其可用性、完整性和權威性要求，既要滿足等級保護的合規性要求，也需要實現企業內部IT管理的可管可控，在完善和建立應急安全處理機制的同時，實現企業網站運營的運行監測、基礎安全狀態檢測、實時內容檢測、安全事件定位及處置、事件審計等等。

央企網站所面臨的風險

近年由SQL注入、網絡釣魚、跨站腳本等惡意攻擊行為帶來的嚴重后果不斷被媒體披露，IT管理者不僅要擔憂企業網站自身的安危，通過入侵WEB Server實施的定向攻擊更是具有無法預估的破壞力。僅2009年我國被境外控制的計算機IP地址就多達100余萬，被篡改的網站累計超過4.2萬。

根據Gartner的數據分析顯示，80%基于的WEB應用都存在安全風險，網絡中常見的攻擊行為也正由利用系統漏洞逐步發展演變為對應用系統的攻擊。對于央企網站安全建設而言，WEB應用安全已成為企業網站安全運營的又一大風險。當前，中央企業網站所面臨的重要安全威脅主要有：

企業網站安全建設思路

從網站建設和運維角度

根據國家“誰主管誰負責，誰運營誰負責”的精神，中央企業網站設計、建設、運維者是網站安全保障體系建設的主要力量，在貫穿網站全生命周期的信息安全建設過程中，可從事前安全檢測、事中安全防御、事后響應三個方面對央企網站信息安全體系進行設計和建設。

安全檢測

各種系統及應用漏洞是攻擊者入侵企業網站最喜歡利用的途徑。目前，國內企業IT管理員安全運維能力存在參差不齊的情況，對網站存在的新漏洞、網頁掛馬等情況未能及時察覺。調查顯示，國內很多管理員將WEB安全防護的全部希望寄托于已經安裝運行的各類安全防護設備，往往疏忽了對網站安全實時監測、網站災備等額外的安全措施。由于缺乏有效的事前檢測環節，IT管理員往往在事件發生后才后知后覺，根本無法確保網站的安全穩定運營。

在安全檢測方面，建議采用網絡托管或者自動化的WEB安全檢測服務與工具，實時或不定期的對網站安全狀態進行檢測與評估，采用托管式的服務模式可以更及時發現潛在的各類安全風險，也可以降低企業網站管理維護的人力成本。對于有安全運維能力的企業來說，針對企業WEB應用制定完善的威脅預警機制同樣具有重要的作用，預警的目的在于利用現有的一切安全技術與工具，及時準確地發現IT系統環境中存在的各種風險，實時發現、定位、評估、備案，注重防患于未然。

安全防御

由于如今網站系統建設往往會引入第三方應用程序，無形之中為攻擊者留下了發起攻擊的秘密途徑，因此，除了采用傳統防護技術對央企網站基礎設施進行必要的防護外，還必須針對 WEB應用攻擊采用專門的檢測、防護機制。從安全角度考慮，針對目前常見的 SQL 注入、XSS/SCRF、DDoS攻擊等，對來自客戶端的各類請求進行內容檢測和驗證，可以較好地應對這些常見的WEB攻擊行為，進而確保企業網站的安全穩定運營。

安全修復

假使所有的防護手段仍然沒有確保網站的安全，即企業網站被攻擊者入侵，那么必須在最短時間內恢復網站的正常運行。因此，企業網站安全運營的另一個重點是建立完善的事后安全響應機制。根據公安部第82號令《互聯網安全保護技術措施規定》中第九條第三款明確規定：開辦門戶網站、新聞網站、電子商務網站的，能夠防范網站、網頁被篡改，被篡改后能夠自動恢復。

實時的網站監控與自動修復技術確保了網站在遭到破壞后可以快速地進行自我修復，通過對網頁內容的一致性進行檢查，給網站的文件目錄加上了一層安全外衣。一旦有惡意篡改網頁或修改網站目錄行為產生，系統將使用備份進行自動恢復并及時報警。

從制度管理角度

2010年以來，國家各級政府對等級保護建設工作格外重視，政府及中央企業重要信息系統的合規性需求愈發迫切。隨著等級保護定級、備案工作的基本完成，針對信息系統的整改工作已成為國資委等中央企業檢查、監督、指導單位迫切需要推動的政治任務。具體工作安排需要注意以下幾個方面：

設置網站安全基線，針對系統及應用進行全面的風險檢測與分析，統一修補系統存在的漏洞，統一下發安全運維指導建議；

制定完整的網站備份與恢復機制，確保網站內容的完整性、真實性和可用性；

制定安全巡檢制度，安全巡檢人員定期對企業及分支機構網站進行安全狀況檢查，及時發現風險并提供整改建議；

建立統一的網站安全運維監控平臺，對各分支機構網站進行統一管理，實時分析網站系統運行狀況，統一策略控制。

從解決方案的角度

事前檢測

所謂知己知彼，百戰不殆。針對目前企業網站安全運維參差不齊的現狀，及時準確地發現目標網站存在的各類安全威脅尤為重要。通常WEB漏洞掃描器可以幫助企業網站管理者快速定位各種已知威脅，為企業WEB信息系統安全整改提供詳盡的指導建議。選用WEB漏洞掃描器，需要注意以下幾點：

模擬點擊操作

模擬真實操作行為，對網頁上的鏈接進行點擊，發現隱藏在超鏈接背后的安全隱患；

完善的腳本分析引擎

支持JS、VBS等多種腳本；

漏洞與代碼分析能力

是否具有完善的漏洞庫，是否可以快速定位網頁中存在的SQL注入、XSS、網站掛馬等漏洞與惡意代碼；

事中防御

傳統的IPS、抗DDoS設備以及硬件防火墻，局限于自身產品定位和防護深度，無法提供完善的WEB應用安全防護能力，WEB應用防火墻的出現可有效地幫助用戶監管WEB應用流量。通過對事前、事中、事后威脅的防御及響應，確保企業網站滿足實時內容清洗、網頁防篡改、網頁掛馬防護、敏感信息泄露、應用加速、合規等多種安全需求。

WEB應用防火墻選購建議：

多維度防護體系

縱向提供縱深防御：通過建立協議層次、信息流向等縱向結構層次，構筑多種有效防御措施。

橫向：協助滿足合規要求；緩解各層安全威脅（包括網絡層、WEB基礎架構及WEB應用層）；降低服務響應時間，顯著改善終端用戶體驗，優化業務資源和提高應用系統敏捷性。

雙向在線流量清洗

避免WEB服務器直接暴露于互聯網上，監控HTTP/HTTPS雙向流量，對其中的惡意內容進行在線清洗。

WEB應用交付

提供SSL加速及卸載、WEB caching及壓縮等功能。

人性化的報表系統

提供了豐富的監控功能以及多維度、多粒度的統計報表，確保安全運維工作安全有效。

事后響應

為幫助央企IT主管部門主動發現網站風險隱患，及時補救，企業應制定7×24小時的網站安全監測機制，及時發現、報警、分析并處理安全威脅。目前，不少安全廠商已經推出在線網站安全檢測服務，可顯著改善企業網站安全運維效率。

網站安全建設目標

信息發布不被篡改

央企企業網站是最權威的企業信息發布渠道，對信息的真實性、完整性有著非常高的要求。針對可能造成信息篡改的各種安全風險，企業網站在做好數據備份、恢復的被動準備之外，更應建立主動的自檢查機制和良好的入侵防御措施，在事前做到防患于未然，在事中做到嚴密防御，事后做到快速響應。

在線服務不受攻擊

企業網站承載了大量為客戶和企業服務的業務系統，針對業務系統發起的攻擊行為，一旦成功將會給企業形象造成嚴重損壞，甚至可能給企業帶來其他更為嚴重的破壞。為此，央企企業網站必須制定完備的業務連續性保障計劃，不僅要考慮企業網站自身存在的各種安全隱患，還需要應對各種類型的DDoS攻擊行為，確保企業網站不會因為外在因素造成業務系統中斷。

以上僅是針對企業網站安全建設提出的一些思考與建議，如今央企已經成為我國經濟快速發展的一面旗幟，企業信息系統的安全直接影響企業的創新與效率。面對諸多前車之鑒，我們理應正視企業所存在的各種安全隱患，防微杜漸，為企業與用戶的信息安全提供更加安全的防護措施，確保企業WEB應用系統健康穩定運營。（責任編輯：陳海峰）