隨著“政務公開”、“互聯網+政務服務”等改革措施的不斷提出及深化，網站逐漸成為承擔改革任務的重要角色，其安全問題也受到了國家的關注。近年來國家相關部門針對網站尤其是政府網站組織了多次安全檢查，并推出了一系列政策文件。而今年的政府網站安全檢查也將于近日展開。

作為多次為“兩會”、“9.3閱兵”、“冬運會”等國家重要活動提供網絡安保支撐、應急工作、以及多次支持國家網站安全檢查活動的盛邦安全，根據自身經驗，與大家分享一些對于網站安全檢查的看法，希望能與各位共同探討。

為什么政府網站需要安全檢查?

從管理上來看：近5年我國的政府網站數量呈現快速增長趨勢，雖然有些地區已經開展網站收口工作，但全國整體進展較慢。與網站數量的快速增長相反，政府部門的安全管理人員及制度嚴重缺失，網站往往是“有人建，無人管;有人用，無人防“的狀態。另外，政府內部的網站也存在”私搭亂建”的情況，退運網站也缺少有效的管理。而日常的行政文件式管理，可能存在部分人員不及時處理的情況。

從技術上來看：除了安全人員以及制度嚴重缺失外，其網站的安全防護更是量小力微。提到安全，大家往往想到的是防火墻、終端殺毒等產品，但防火墻對于應用層攻擊，尤其是Sql注入、跨站等針對網站的攻擊無能為力。 而且現階段讓所有的政府部門均配備專業的網站安全設備很難實現。

另外，目前解決網絡安全問題的思路正從傳統的以防護為核心逐漸朝兩個方向發展。一個是向前，即風險的管理，目的是降低系統被攻擊的可能性;一個是向后，即態勢感知，目的是第一時間發現攻擊，將損失降到最低。而安全檢查正是找出風險，并降低風險的一個過程，也是現階段解決政府網站安全問題的一個有效手段。

　　安全檢查該檢查些什么?

“摸清家底，認清風險，找出漏洞，通報結果，督促整改。”習大大在“419”會議上通過5個詞語明確的指出了網絡安全檢查的整個流程及目的。網站的安全檢查也是如此，首先我們要摸清一個區域內到底有多少政府網站，并要檢查好網站的運行狀態以及備案情況。然后深入檢查這些網站所存在的風險，其中包含管理以及技術方面，管理方面包括是否有完善的安全管理制度、負責人員是否明確等;而技術方面包含配置合理性、口令的安全性，而其中重要的一項就是要能夠發現網站的漏洞。因為根據統計，85%的網絡攻擊都是因為漏洞引起的。而全面的漏洞檢測應該能夠覆蓋TCP/IP四層——包含系統、數據庫、中間件、Web層漏洞。但除了漏洞以外，還應該包含網站木馬、暗鏈以及后門的檢測。

根據盛邦安全對于反共黑客的研究，其發現網站漏洞后，往往會先向網站植入Webshell工具，并將漏洞修補(這樣防止其他黑客控制)。然后定期進行探測是否仍然可控，最后每逢國內重大活動時，其就會對網站進行篡改。所以單純的漏洞檢測對于事先植入的木馬、暗鏈、后門等束手無策。

在“認清風險”及“找出漏洞”以后，就要進行結果的匯總及上報，并對有問題的網站進行督促整改。

盛邦安全的一些建議

網站安全檢查通常由各地的主管部門負責，主管部門通過投入人員以及利用相應技術手段對其負責區域的政府網站進行檢查。對于主管部門，安全檢查也存在以下幾個難點：1、工作量大，區域內往往有大量網站需要檢查;2、呈現不直觀，分散檢查需要集中匯報，上級部門在統計和結果呈現都有很大問題;3、檢查的完整性及準確性。

因此在選擇技術時應該盡可能解決以上幾個問題。盛邦安全建議使用遠程網站安全檢測系統，通過批量添加需檢查的域名或IP地址實現遠程檢測。檢測范圍應包括Web漏洞、系統漏洞以及中間件、數據庫漏洞，暗鏈，木馬，后門以及弱口令。

為應對大規模的網站檢查，遠程網站安全檢測系統要考慮可拓展性以及高性能問題。

第三就是要有基于主管部門需求的界面展現以及檢測內容的展現。

同時，在選擇檢查方式時，不應簡單的選擇產品，而是應該更注重配套的安全服務能力。這樣才能更好的發揮產品能力以及得到網站安全更全面的分析。

盛邦安全烽火臺-網站安全檢測系統通過沙箱技術、威脅情報、漏洞掃描等技術以云SaaS形態為主管部門提供完整的網站安全檢查。檢查內容包含網站可用性，暗鏈，Web層、系統層、中間件、數據庫漏洞，網站木馬、弱口令、后門以及網絡釣魚。該系統適用于大規模的網站檢測，并根據盛邦安全豐富的實踐經驗，為相關部門提供專業的人員支持以及符合需求的可定制統計、呈現界面及報告。