2562號文件(四部委強推網站群治理)——怎么看,怎么辦
責編:mhshi |2016-05-24 15:35:47前言
“2562號文件的執行期限延遲了”這一消息讓廣大政府部門和企事業單位的網絡管理者稍稍緩了一口氣,按照原來的要求,2016年6月是完成2562號文件有關要求的最后期限,但是從實際的執行情況看,這一工作的難度比想象中的要大,雖然各級領導都給予了足夠的重視,但是想要最終達到文件有關要求,恐怕還要延遲一段時間。
那么2562號文件的核心要求究竟是什么,工作難點在哪里,有沒有針對性強的解決方案?盛邦安全(WebRAY)作為成功為眾多政府及企事業單位提供網站群治理綜合服務的安全服務供應商,愿意和您分享一下我們的經驗。
怎么看
網站安全歷來是政府部門安全工作的重中之重,網信辦成立后發的第一份文件就是《關于加強黨政機關網站安全管理的通知》也就是業內俗稱的“一號文”,奠定了網站安全的重要地位,在此后全國開展了若干次圍繞網站安全的大檢查工作,發現了很多問題。隨著近年來安全事件頻度的增加和危害性的日益嚴峻,網站安全得到有關部門的進一步重視,2562號文件就是在這樣的大背景下出臺的。我們可以認為,在未來幾年的網站安全管理工作中,2562號文件都扮演著指導性文件的重要作用,因此有必要對這份文件進行認真分析和深入解讀。
2562號文件是個什么文件
2562號文件,全稱為《黨政機關、事業單位和國有企業互聯網網站安全專項整治行動方案》,發文單位為“公安部,網信辦,中編辦,工信部”。
具體的執行期為2015年五月底到2016年6月底。
背景分析
正如文件中指出,“網站已經成為各級政府及其所屬單位履行職能、面向社會提供服務的重要手段和渠道,在提高行政效能、提升公信力等方面發揮著重要作用”
然而,文件中同時也非常明確的指出了一個非常嚴重的問題,“基層黨政機關、事業單位和國有企業網站眾多,網站規模小且分散,安全管理和防護能力差”。這個問題的提出應該說非常地有洞察力,過去的網站安全工作的重點一般都放在單個網站的相關安全工作上,2562號文件首次引入了“網站群”的概念,將安全工作的視角和要求都拔高了許多,問題提出的非常有針對,也確實是當前網站工作的癥結所在。
什么是網站
什么是網站?這是一個貌似很明確但其實不太容易回答的問題。在不同語境下,可能答案是不一樣的。那么從安全的角度看,或者說從2562號文件的角度看,什么是網站呢?主要可以分為兩類,一類是傳統意義上的各級門戶網站,主要作用是信息展示。還有一類是各種業務系統,比如在線的郵件系統,文件系統等等。從技術角度看,這兩種系統都是通過WEB瀏覽器進行訪問,都通過HTTP協議進行通信,都有相同的技術架構,面臨相同的威脅和挑戰,因此都應被納入網站群防護體系之中。
2562號文件核心要點解讀
落實網站開辦審核工作
套用一句歌詞,“網站不是你想開,想開就能開”。各級單位必須做到對自己單位體系內的網站做到心中有數,“有哪些網站,管理者是誰,安全管理情況如何”,堅決杜絕未經審核的網站上線。
開展網站統一標識工作
這個統一標識工作,在中編辦2014年69號文中就明確的提出過,在本文件中又再次強調了這項工作的重要性。可以把“統一標識”看作政府及國有企事業單位網站的“身份證”,這個身份證由中編辦統一管理和發放,原則上沒有這個標識的網站不允許上線運營。
開展網站群建設工作
網站群建設的核心工作目標就是“統一管理,統一防護,統一監測”,將分散的小網站統一規整為網站群,垂直行業將各級網站上收到總部,地方政府將各單位有關網站統一歸并,徹底解決“有人建、沒人管、有人用、沒人防”的被動局面。
全面加強黨政機關、事業單位和國有企業網站安全保護工作
這一條基本延續了過去的工作要求,不做進一步解釋了
(五)全面加強黨政機關、事業單位和國有企業網站安全監測、應急處置和責任追究
這一條從技術層面著重強調了“安全監測和應急處置”能力的建設。可以看出,主管部門的技術理念還是非常與時俱進的。目前安全工作正在從過去的“防護”為核心向兩個方向轉移,一個方向是向前,強調風險管理和威脅預警,盡量降低網站被攻擊的可能性。一個方向是向后,及強調對于攻擊事件的及時發現和快速響應能力,盡量降低攻擊造成的影響。
怎么辦
如何將2562號文件落到實處?作為國內領先的網站安全服務供應商,盛邦安全先后接到很多來自政府部門、事業單位和國有企業的相關咨詢。事實上,自從去年2562號文件發布后,公安部就組織了包括盛邦安全在內國家級技術支撐單位進行了統一學習和工作部署。會議結束后,盛邦安全進行了積極的努力,并于今年年初推出了國內首個(目前也可能是唯一的)2562號文件專項產品——網站群治理平臺,并成功為眾多用戶進行了服務,下面,我們將我們的工作成果和大家分享一下,希望能對您有所幫助。
能力要求分析
通過對2562號文件的認真學習,我們認為,從安全管理能力的角度講,網站群需要具備如下的能力才能達到文件所提出的相關管理目標。
及時了解中心內有哪些網站在提供服務
網站上線前必須經過審核、備案(確認所有人、符合安全策略)
網站標識核查
實時監控每個網站的安全情況
能夠確保發布內容的合法合規
對于不合格網站(私建、不安全、無標識)具有自動封堵機制
發生攻擊要快速發現,快速響應,并能溯源
對于典型攻擊要有防御能力
對于篡改攻擊要有復原能力
網站運行情況建立基線數據
關鍵技術分析
那么要實現這些能力,需要哪些關鍵技術呢?我們認為核心技術需求如下:
網址自學習技術
這項技術是整個網站群治理的核心技術,必須有辦法發現在一個系統內究竟有哪些網站在對外提供服務。根據我們的經驗,絕大多數的政府及企事業單位對于本系統內究竟存在多少網站心里都是沒底的,過去雖然也在做相關的工作,但是都是通過行政命令的手段在完成,這顯然無法給予管理者足夠的信心。而我們通過自學習的方式,則可以從根本上幫管理者解決這個問題,以我們在某教委的工作為例,通過一個星期左右的自學習,我們幫助該教委發現了2000多個在線的網站,這一數目遠超該教委的預估。
在線開辦和備案管理技術
對于學習到的網站,我們需要進行一輪統一的梳理,及對這些網站進行備案管理。這個工作要在網站群管理平臺上完成,而不是通過帶外的手段來完成,這樣才能把網址學習,監控預警,分線管理,封堵告警等工作有機的組合在一起。
黑白名單封堵技術
對于沒有備案,無法識別標識,或者出現嚴重安全或違規風險的網站進行封堵,使得這些網站無法進行訪問。
網站安全監控技術
對于篡改,掛馬等攻擊進行監控,在發現攻擊情況時通過多種手段進行告警。
風險管理與內容檢查技術
對于備案過的網站進行定期的安全巡檢,包括漏洞掃描和內容審查,以降低網站存在的各種風險。
解決方案簡述
盛邦安全網站群治理解決方案的技術框架如下:
具體的解決方案分為園區網和行業網兩種情況。園區網相對來講比較簡單,只需要在出口旁路我們的網站群治理產品就能實現相關能力。
對于行業專網而言,問題有點復雜。如果該行業專網是通過統一出口進行互聯網接入的,那么這種情況和園區網一樣,都是通過在出口部署設備就能解決。如果該行業專網的每一個節點都有自己的互聯網出口,那么問題就比較復雜了,我們需要引入探針設備來進行部署。
希望我們的介紹能夠對您的工作有所幫助。