互聯(lián)網(wǎng)系統(tǒng)在線安全監(jiān)測技術(shù)方案(標(biāo)書)

在線安全監(jiān)測網(wǎng)站安全監(jiān)測背景當(dāng)前，互聯(lián)網(wǎng)在我國政治、經(jīng)濟(jì)、文化以及社會(huì)生活中發(fā)揮著愈來愈重要的作用，作為國家關(guān)鍵基礎(chǔ)設(shè)施和新的生產(chǎn)、生活工具，互聯(lián)網(wǎng)的發(fā)展極大地促進(jìn)了信息流通和共享，提高了社會(huì)生產(chǎn)效率和人民生活水平，促進(jìn)了經(jīng)濟(jì)社會(huì)的發(fā)展。網(wǎng)絡(luò)安全形勢日益嚴(yán)峻，針對(duì)我國互聯(lián)網(wǎng)基礎(chǔ)設(shè)施和金融、證券、交通、能源、海關(guān)、稅務(wù)、工業(yè)、科技等重點(diǎn)行業(yè)的聯(lián)網(wǎng)信息系統(tǒng)的探測、滲透和攻擊逐漸增多。基礎(chǔ)網(wǎng)絡(luò)防護(hù)能力提升，但安全隱患不容忽視；政府網(wǎng)站篡改類安全事件影響巨大；以用戶信息泄露為代表的與網(wǎng)民利益密切相關(guān)的事件，引起了公眾對(duì)網(wǎng)絡(luò)安全的廣泛關(guān)注；遭受境外的網(wǎng)絡(luò)攻擊持續(xù)增多；網(wǎng)上銀行面臨的釣魚威脅愈演愈烈；工業(yè)控制系統(tǒng)安全事件呈現(xiàn)增長態(tài)勢；手機(jī)惡意程序現(xiàn)多發(fā)態(tài)勢；木馬和僵尸網(wǎng)絡(luò)活動(dòng)越發(fā)猖獗；應(yīng)用軟件漏洞呈現(xiàn)迅猛增長趨勢；DDoS攻擊仍然呈現(xiàn)頻率高、規(guī)模大和轉(zhuǎn)嫁攻擊的特點(diǎn)。網(wǎng)站安全監(jiān)測服務(wù)介紹基本信息安全分析對(duì)網(wǎng)站基本信息進(jìn)行掃描評(píng)估，如網(wǎng)站使用的WEB發(fā)布系統(tǒng)版本，使用的BBS、CMS版本；檢測網(wǎng)站是否備案等備案信息；另外判斷目標(biāo)網(wǎng)站使用的應(yīng)用系統(tǒng)是否存在已公開的安全漏洞，是否有調(diào)試信息泄露等安全隱患等。網(wǎng)站可用性及平穩(wěn)度監(jiān)測拒絕服務(wù)、域名劫持等是網(wǎng)站可用性面臨的重要威脅；遠(yuǎn)程監(jiān)測的方式對(duì)拒絕服務(wù)的檢測，可用性指通過PING、HTTP等判斷網(wǎng)站的響應(yīng)速度，然后經(jīng)分析用以進(jìn)一步判斷網(wǎng)站是否被拒絕服務(wù)攻擊等。域名安全方面，可以判斷域名解析速度檢測，即DNS請(qǐng)求解析目標(biāo)網(wǎng)站域名成功解析IP的速度。網(wǎng)站掛馬監(jiān)測功能掛馬攻擊是指攻擊者在已經(jīng)獲得控制權(quán)的網(wǎng)站的網(wǎng)頁中嵌入惡意代碼（通常是通過IFrame、Script引用來實(shí)現(xiàn)），當(dāng)用戶訪問該網(wǎng)頁時(shí)，嵌入的惡意代碼利用瀏覽器本身的漏洞、第三方ActiveX漏洞或者其它插件（如Flash、PDF插件等）漏洞，在用戶不知情的情況下下載并執(zhí)行惡意木馬。網(wǎng)站被掛馬不僅嚴(yán)重影響到了網(wǎng)站的公眾信譽(yù)度，還可能對(duì)訪問該網(wǎng)站的用戶計(jì)算機(jī)造成很大的破壞。一般情況下，攻擊者掛馬的目的只有一個(gè)：利益。如果用戶訪問被掛網(wǎng)站時(shí)，用戶計(jì)算機(jī)就有可能被植入病毒，這些病毒會(huì)偷盜各類賬號(hào)密碼，如網(wǎng)銀賬戶、游戲賬號(hào)、郵箱賬號(hào)、QQ及MSN賬號(hào)等。植入的病毒還可能破壞用戶的本地?cái)?shù)據(jù)，從而給用戶帶來巨大的損失，甚至讓用戶計(jì)算機(jī)淪為僵尸網(wǎng)絡(luò)中的一員。網(wǎng)站敏感內(nèi)容及防篡改監(jiān)測基于遠(yuǎn)程Hash技術(shù)，實(shí)時(shí)對(duì)重點(diǎn)網(wǎng)站的頁面真實(shí)度進(jìn)行監(jiān)測，判斷頁面是否存在敏感內(nèi)容或遭到篡改，并根據(jù)相應(yīng)規(guī)則進(jìn)行報(bào)警網(wǎng)站安全漏洞監(jiān)測Web時(shí)代的互聯(lián)網(wǎng)應(yīng)用不斷擴(kuò)展，在方便了互聯(lián)網(wǎng)用戶的同時(shí)也打開了罪惡之門。在地下產(chǎn)業(yè)巨大的經(jīng)濟(jì)利益驅(qū)動(dòng)之下，網(wǎng)站掛馬形勢越來越嚴(yán)峻。2008年全球知名反惡意軟件組織StopBadware的研究報(bào)告顯示，全球有10%的站點(diǎn)都存在惡意鏈接或被掛馬。一旦一個(gè)網(wǎng)站被掛馬，將會(huì)很快使得瀏覽該網(wǎng)站用戶計(jì)算機(jī)中毒，導(dǎo)致客戶敏感信息被竊取，反過來使得網(wǎng)站失去用戶的信任，從而喪失用戶；同時(shí)當(dāng)前主流安全工具、瀏覽器、搜索引擎等都開展了封殺掛馬網(wǎng)站行動(dòng)，一旦網(wǎng)站出現(xiàn)掛馬，將會(huì)失去90%以上用戶。網(wǎng)站掛馬的根本原因，絕大多數(shù)是由于網(wǎng)站存在SQL注入漏洞和跨站腳本漏洞導(dǎo)致。尤其是隨著自動(dòng)化掛馬工具的發(fā)展，這些工具會(huì)自動(dòng)大面積掃描互聯(lián)漏洞修復(fù)工作的優(yōu)先級(jí)別每個(gè)漏洞都有詳細(xì)的描述，包括漏洞的說明、影響的系統(tǒng)、平臺(tái)、危險(xiǎn)級(jí)別以及標(biāo)準(zhǔn)的CNCVE、CVE、BUGTRAQ等對(duì)應(yīng)關(guān)系以及鏈接信息，并提供修補(bǔ)方案，如系統(tǒng)加固建議、安全配置步驟、以及補(bǔ)丁下載鏈接等，這些信息可以幫助用戶建立對(duì)漏洞的全面認(rèn)識(shí)，正確完成弱點(diǎn)修復(fù)工作。結(jié)果分析服務(wù)遠(yuǎn)程網(wǎng)站安全檢查服務(wù)是針對(duì)互聯(lián)網(wǎng)網(wǎng)站安全需求，依托自動(dòng)化安全檢測平臺(tái)和專業(yè)網(wǎng)站防護(hù)專家團(tuán)隊(duì)，結(jié)合漏洞掃描在實(shí)際環(huán)境使用中存在的問題，推出定制化人工的網(wǎng)頁掛馬檢查服務(wù)和網(wǎng)頁漏洞檢查服務(wù)，通過與檢測軟件配合，最大化保證檢測的真實(shí)性，這樣能有效的輔助信息管理人員解決網(wǎng)絡(luò)中應(yīng)用存在的安全問題，便于公共安全工作的展開。準(zhǔn)確識(shí)別當(dāng)前流行的掛馬行為通過與遠(yuǎn)程網(wǎng)站安全檢查服務(wù)的結(jié)合，能夠覆蓋包括：Iframe框架掛馬、JS文件掛馬、JS變形加密等十余種目前流行的掛馬方式，通過在自動(dòng)化的安全檢查平臺(tái)沙箱虛擬環(huán)境中充分暴露其行為模式，準(zhǔn)確的定位網(wǎng)頁掛馬所在的位置。能輔助用戶一針見血發(fā)現(xiàn)問題，同時(shí)也能提供更細(xì)化的安全解決意見。識(shí)別常見的Web應(yīng)用漏洞通過與遠(yuǎn)程網(wǎng)站安全檢查服務(wù)基于先進(jìn)的自動(dòng)化安全檢查平臺(tái)，能夠更精確的識(shí)別目前流行的Web應(yīng)用漏洞，例如SQL注入、跨網(wǎng)站腳本攻擊以及緩存溢出等，并且定位Web應(yīng)用漏洞所在的位置，同時(shí)也能結(jié)合用戶實(shí)際環(huán)境，提供合理的解決建議。準(zhǔn)確的標(biāo)準(zhǔn)化檢測報(bào)告對(duì)交付的自動(dòng)化檢測結(jié)果，可在安全專家的實(shí)際審核后形成。這樣的流程有效的避免了誤報(bào)發(fā)生的可能性，確保檢測結(jié)果的真實(shí)準(zhǔn)確性，也能保證我們網(wǎng)監(jiān)檢測內(nèi)容更準(zhǔn)確，同時(shí)也能給出更合理、更科學(xué)的解決方案。專家級(jí)的木馬清除方案和漏洞修復(fù)建議當(dāng)最終交付的檢測報(bào)告發(fā)現(xiàn)網(wǎng)站存在網(wǎng)頁掛馬現(xiàn)象或者WEB應(yīng)用程序漏洞，安全專家還會(huì)在報(bào)告中提出專家級(jí)掛馬清除方案和漏洞修復(fù)建議。用戶可以根據(jù)報(bào)告建議進(jìn)行網(wǎng)站安全應(yīng)急處理，保障了漏洞檢測的真正意義。監(jiān)測周期本項(xiàng)目監(jiān)測規(guī)模約為山東省XXX互聯(lián)網(wǎng)系統(tǒng)，根據(jù)以往經(jīng)驗(yàn)，按照平均每個(gè)域名1000URL進(jìn)行估算。我們建議可從網(wǎng)站的可用性、網(wǎng)站的脆弱性（漏洞）以及網(wǎng)站的內(nèi)容安全（掛馬、關(guān)鍵字、網(wǎng)頁變更）等幾個(gè)方面對(duì)網(wǎng)站進(jìn)行監(jiān)測，具體的監(jiān)測策略建議如下：序號(hào)監(jiān)控類別監(jiān)控周期監(jiān)控頁面深度1網(wǎng)站可用性、平穩(wěn)度監(jiān)測5分鐘/次首頁2網(wǎng)頁敏感信息及防篡改監(jiān)測5分鐘/次首頁6小時(shí)/次檢測至二級(jí)頁面，頁面總數(shù)不超過5003網(wǎng)頁掛馬監(jiān)測10分鐘/次首頁24小時(shí)/次檢測至二級(jí)頁面，頁面總數(shù)不超過5004WEB漏洞監(jiān)測7天/次全部頁面5系統(tǒng)漏洞檢測7天/次全部站點(diǎn)安全監(jiān)測功能列表功能模塊說明篡改檢測網(wǎng)頁變更檢測變更檢測功能用來遠(yuǎn)程監(jiān)控目標(biāo)網(wǎng)站是否發(fā)生變更，是否被篡改。內(nèi)容安全檢測網(wǎng)頁木馬檢測對(duì)網(wǎng)站使用基于傳統(tǒng)靜態(tài)匹配特征、云特征等多種檢測手段，判別網(wǎng)站頁面是否存在掛馬，準(zhǔn)確率>95%。WEB脆弱性檢測SQL注入檢測檢測網(wǎng)站是否存在SQL注入漏洞，支持如下類型的注入檢測：Get參數(shù)/Post參數(shù)/Cookie中變量/HTTP頭部變量的注入檢測優(yōu)化的SQL注入檢測算法，能夠智能歸類屬于同一模板文件的所有頁面，提高檢測速度XSS漏洞檢測檢測網(wǎng)站是否存在XSS漏洞，支持反射型XSS、存儲(chǔ)型XSS和DOM型XSS的檢測CSRF漏洞檢測檢測網(wǎng)站是否存在CSRF漏洞，支持Get、Post、Ajax型的CSRF檢測Web應(yīng)用漏洞檢測基于Web漏洞庫的Web漏洞檢測，支持準(zhǔn)確的Web應(yīng)用、Web容器、Web服務(wù)端語言、操作系統(tǒng)識(shí)別技術(shù)，包含500條以上的第三方軟件漏洞CGI漏洞檢測覆蓋全面的CGI漏洞檢測，能夠支持1000條以上檢測規(guī)則表單繞過檢測準(zhǔn)確識(shí)別出后臺(tái)地址與登錄的表單地址，支持檢測基于弱口令的表單繞過，基于SQL注入的表單繞過系統(tǒng)脆弱性檢測操作系統(tǒng)脆弱性檢測檢測常見操作系統(tǒng)如MicrosoftWindows、SunSolaris、HPUnix、IBMAIX、Linux、BSD等存在的系統(tǒng)漏洞應(yīng)用系統(tǒng)脆弱性檢測檢測主流的WEB服務(wù)器如IIS、Apache、NginX等，主要的中間件如Tomcat、Websphere、Weblogic等的系統(tǒng)漏洞數(shù)據(jù)庫系統(tǒng)脆弱性檢測檢測常見數(shù)據(jù)庫如SQLServer、Oracle、Sybase、DB2、MySQL存在的漏洞可用性檢測域名解析速度檢測DNS請(qǐng)求解析目標(biāo)網(wǎng)站域名成功解析IP的速度域名劫持檢測能檢測到類似GFW的DNS污染，即篡改DNS響應(yīng)數(shù)據(jù)包內(nèi)容的行為；能檢測到大部分ISP域名劫持PING探測Ping目標(biāo)網(wǎng)站得到響應(yīng)的速度HTTP探測HTTP請(qǐng)求目標(biāo)網(wǎng)站得到響應(yīng)的速度站點(diǎn)信息檢測Web應(yīng)用探測支持Web應(yīng)用及版本的識(shí)別，涵蓋包括國內(nèi)外最常見的CMS，BBS，Blog，eShop，web框架等類型的Web應(yīng)用服務(wù)端指紋識(shí)別精準(zhǔn)識(shí)別目標(biāo)網(wǎng)站的操作系統(tǒng)類型、Web容器類型、服務(wù)端語言及相關(guān)的版本信息網(wǎng)站服務(wù)器端口檢測檢測網(wǎng)站服務(wù)器的端口開放情況，比如數(shù)據(jù)庫端口，額外的Web服務(wù)端口，F(xiàn)TP服務(wù)端口等網(wǎng)站備案檢測檢測網(wǎng)站是否備案網(wǎng)站whois信息檢測檢測網(wǎng)站域名的whois信息，域名是否到期等網(wǎng)站內(nèi)容安全檢測暗鏈檢測檢測網(wǎng)站是否被嵌入暗鏈地址，一般為在瀏覽器中隱藏不可見的廣告鏈接，如網(wǎng)游、博彩，色情等廣告鏈接。內(nèi)容泄露檢測檢測網(wǎng)站是否存在以下內(nèi)容泄露：內(nèi)網(wǎng)IP地址信息泄露、數(shù)據(jù)庫信息泄露、網(wǎng)站調(diào)試信息泄露、網(wǎng)站目錄瀏覽、Web服務(wù)器路徑信息泄露、電子郵件地址信息泄露、不安全的Flash參數(shù)配置文件泄露檢測檢測網(wǎng)站是否存在以下文件泄露：網(wǎng)站敏感目錄泄露、網(wǎng)站備份文件泄露、數(shù)據(jù)