XX(JX)省無(wú)線電監(jiān)測(cè)站態(tài)勢(shì)感知及檢測(cè)預(yù)警平臺(tái)項(xiàng)目技術(shù)方案

1、XX省無(wú)線電監(jiān)測(cè)站態(tài)勢(shì)感知及檢測(cè)預(yù)警平臺(tái)采購(gòu)項(xiàng)目技術(shù)方案目錄TOC o 1-3 h u HYPERLINK l _Toc465083393 目錄 PAGEREF _Toc465083393 h 2 PAGEREF _Toc465083393 h HYPERLINK l _Toc465083394 1項(xiàng)目需求分析 PAGEREF _Toc465083394 h 5 PAGEREF _Toc465083394 h HYPERLINK l _Toc465083395 1.1 項(xiàng)目范圍 PAGEREF _Toc465083395 h 5 PAGEREF _Toc465083395 h HYPERLIN

2、K l _Toc465083396 1.2 項(xiàng)目建設(shè)目標(biāo) PAGEREF _Toc465083396 h 6 PAGEREF _Toc465083396 h HYPERLINK l _Toc465083397 2門(mén)戶網(wǎng)站安全事件監(jiān)控系統(tǒng)建設(shè) PAGEREF _Toc465083397 h 6 PAGEREF _Toc465083397 h HYPERLINK l _Toc465083398 2.1系統(tǒng)概述 PAGEREF _Toc465083398 h 6 PAGEREF _Toc465083398 h HYPERLINK l _Toc465083399 2.2 系統(tǒng)建設(shè)依據(jù) PAGEREF

3、_Toc465083399 h 8 PAGEREF _Toc465083399 h HYPERLINK l _Toc465083400 2.3 項(xiàng)目建設(shè)目標(biāo) PAGEREF _Toc465083400 h 9 PAGEREF _Toc465083400 h HYPERLINK l _Toc465083401 2.3.1 提升安全態(tài)勢(shì)感知能力 PAGEREF _Toc465083401 h 9 PAGEREF _Toc465083401 h HYPERLINK l _Toc465083402 2.3.2 提升安全事件的通報(bào)預(yù)警能力 PAGEREF _Toc465083402 h 9 PAGERE

4、F _Toc465083402 h HYPERLINK l _Toc465083403 2.3.3 提升應(yīng)急響應(yīng)能力 PAGEREF _Toc465083403 h 10 PAGEREF _Toc465083403 h HYPERLINK l _Toc465083404 2.4 項(xiàng)目建設(shè)原則 PAGEREF _Toc465083404 h 10 PAGEREF _Toc465083404 h HYPERLINK l _Toc465083405 2.4.1 合規(guī)性原則 PAGEREF _Toc465083405 h 10 PAGEREF _Toc465083405 h HYPERLINK l _

5、Toc465083406 2.4.2 可落地原則 PAGEREF _Toc465083406 h 11 PAGEREF _Toc465083406 h HYPERLINK l _Toc465083407 2.4.3 先進(jìn)性原則 PAGEREF _Toc465083407 h 11 PAGEREF _Toc465083407 h HYPERLINK l _Toc465083408 2.4.4 安全性原則 PAGEREF _Toc465083408 h 11 PAGEREF _Toc465083408 h HYPERLINK l _Toc465083409 2.4.5 擴(kuò)展性原則 PAGEREF

6、_Toc465083409 h 12 PAGEREF _Toc465083409 h HYPERLINK l _Toc465083410 2.5 平臺(tái)體系架構(gòu) PAGEREF _Toc465083410 h 12 PAGEREF _Toc465083410 h HYPERLINK l _Toc465083411 2.5.1 監(jiān)控需求 PAGEREF _Toc465083411 h 14 PAGEREF _Toc465083411 h HYPERLINK l _Toc465083412 2.5.2 系統(tǒng)原理 PAGEREF _Toc465083412 h 15 PAGEREF _Toc46508

7、3412 h HYPERLINK l _Toc465083413 2.5.3 功能結(jié)構(gòu) PAGEREF _Toc465083413 h 22 PAGEREF _Toc465083413 h HYPERLINK l _Toc465083414 2.6 Web監(jiān)控預(yù)警系統(tǒng) PAGEREF _Toc465083414 h 28 PAGEREF _Toc465083414 h HYPERLINK l _Toc465083415 2.6.1 Web監(jiān)控預(yù)警結(jié)構(gòu)設(shè)計(jì) PAGEREF _Toc465083415 h 29 PAGEREF _Toc465083415 h HYPERLINK l _Toc465

8、083416 2.6.2 Web監(jiān)控預(yù)警系統(tǒng)功能 PAGEREF _Toc465083416 h 39 PAGEREF _Toc465083416 h HYPERLINK l _Toc465083417 2.6.3 Web監(jiān)控預(yù)警系統(tǒng)可視化 PAGEREF _Toc465083417 h 42 PAGEREF _Toc465083417 h HYPERLINK l _Toc465083418 2.7 被動(dòng)式監(jiān)控預(yù)警系統(tǒng) PAGEREF _Toc465083418 h 43 PAGEREF _Toc465083418 h HYPERLINK l _Toc465083419 2.7.1 被動(dòng)式監(jiān)控

9、預(yù)警系統(tǒng)架構(gòu) PAGEREF _Toc465083419 h 43 PAGEREF _Toc465083419 h HYPERLINK l _Toc465083420 2.7.2 被動(dòng)式監(jiān)控預(yù)警系統(tǒng)流程圖 PAGEREF _Toc465083420 h 45 PAGEREF _Toc465083420 h HYPERLINK l _Toc465083421 2.7.3 被動(dòng)式監(jiān)控預(yù)警系統(tǒng)功能 PAGEREF _Toc465083421 h 46 PAGEREF _Toc465083421 h HYPERLINK l _Toc465083422 2.7.4 被動(dòng)式監(jiān)控預(yù)警態(tài)勢(shì)展示及其可視化 PA

10、GEREF _Toc465083422 h 52 PAGEREF _Toc465083422 h HYPERLINK l _Toc465083423 2.8 大規(guī)模監(jiān)控預(yù)警系統(tǒng)云端系統(tǒng) PAGEREF _Toc465083423 h 53 PAGEREF _Toc465083423 h HYPERLINK l _Toc465083424 2.8.1 大規(guī)模監(jiān)控預(yù)警系統(tǒng)架構(gòu) PAGEREF _Toc465083424 h 54 PAGEREF _Toc465083424 h HYPERLINK l _Toc465083425 2.8.2 大規(guī)模監(jiān)控預(yù)警系統(tǒng)架構(gòu)工作原理 PAGEREF _Toc4

11、65083425 h 57 PAGEREF _Toc465083425 h HYPERLINK l _Toc465083426 2.8.3 基于集群是調(diào)度器的云監(jiān)控 PAGEREF _Toc465083426 h 59 PAGEREF _Toc465083426 h HYPERLINK l _Toc465083427 2.8.4 大規(guī)模監(jiān)控預(yù)警系統(tǒng)云部署及其規(guī)模 PAGEREF _Toc465083427 h 60 PAGEREF _Toc465083427 h HYPERLINK l _Toc465083428 2.9 預(yù)警通報(bào)處置系統(tǒng) PAGEREF _Toc465083428 h 61

12、PAGEREF _Toc465083428 h HYPERLINK l _Toc465083429 2.10 威脅情報(bào)系統(tǒng) PAGEREF _Toc465083429 h 61 PAGEREF _Toc465083429 h HYPERLINK l _Toc465083430 2.11 系統(tǒng)管理子系統(tǒng) PAGEREF _Toc465083430 h 63 PAGEREF _Toc465083430 h HYPERLINK l _Toc465083431 2.11.1 系統(tǒng)管理模塊 PAGEREF _Toc465083431 h 63 PAGEREF _Toc465083431 h HYPERL

13、INK l _Toc465083432 2.11.2 用戶管理模塊設(shè)計(jì) PAGEREF _Toc465083432 h 64 PAGEREF _Toc465083432 h HYPERLINK l _Toc465083433 2.11.3 認(rèn)證管理模塊設(shè)計(jì) PAGEREF _Toc465083433 h 65 PAGEREF _Toc465083433 h HYPERLINK l _Toc465083434 2.11.4 網(wǎng)站監(jiān)控管理模塊設(shè)計(jì) PAGEREF _Toc465083434 h 66 PAGEREF _Toc465083434 h HYPERLINK l _Toc465083435

14、 2.11.5 網(wǎng)站檢測(cè)管理模塊設(shè)計(jì) PAGEREF _Toc465083435 h 68 PAGEREF _Toc465083435 h HYPERLINK l _Toc465083436 2.11.6 漏洞驗(yàn)證管理模塊設(shè)計(jì) PAGEREF _Toc465083436 h 68 PAGEREF _Toc465083436 h HYPERLINK l _Toc465083437 2.11.7 數(shù)據(jù)分析與審計(jì)管理模塊設(shè)計(jì) PAGEREF _Toc465083437 h 69 PAGEREF _Toc465083437 h HYPERLINK l _Toc465083438 2.12 可視化集中管

15、控中心設(shè)計(jì) PAGEREF _Toc465083438 h 70 PAGEREF _Toc465083438 h HYPERLINK l _Toc465083439 2.12.1 安全態(tài)勢(shì) PAGEREF _Toc465083439 h 70 PAGEREF _Toc465083439 h HYPERLINK l _Toc465083440 2.12.2 平臺(tái)管理 PAGEREF _Toc465083440 h 70 PAGEREF _Toc465083440 h HYPERLINK l _Toc465083441 2.12.3 安全功能管控 PAGEREF _Toc465083441 h 7

16、1 PAGEREF _Toc465083441 h HYPERLINK l _Toc465083442 2.12.4 信息采集存儲(chǔ) PAGEREF _Toc465083442 h 72 PAGEREF _Toc465083442 h HYPERLINK l _Toc465083443 2.12.5 數(shù)據(jù)分析 PAGEREF _Toc465083443 h 73 PAGEREF _Toc465083443 h HYPERLINK l _Toc465083444 2.12.6 自動(dòng)預(yù)警 PAGEREF _Toc465083444 h 73 PAGEREF _Toc465083444 h HYPER

17、LINK l _Toc465083445 2.12.7 安全身份識(shí)別 PAGEREF _Toc465083445 h 74 PAGEREF _Toc465083445 h HYPERLINK l _Toc465083446 2.12.8 大屏顯示接口 PAGEREF _Toc465083446 h 74 PAGEREF _Toc465083446 h HYPERLINK l _Toc465083447 2.13 外部信息交換關(guān)系 PAGEREF _Toc465083447 h 75 PAGEREF _Toc465083447 h HYPERLINK l _Toc465083448 3平臺(tái)部署和

18、設(shè)備清單 PAGEREF _Toc465083448 h 75 PAGEREF _Toc465083448 h HYPERLINK l _Toc465083449 3.1設(shè)備部署 PAGEREF _Toc465083449 h 75 PAGEREF _Toc465083449 h HYPERLINK l _Toc465083450 3.2 態(tài)勢(shì)感知及檢測(cè)預(yù)警平臺(tái)功能參數(shù) PAGEREF _Toc465083450 h 75 PAGEREF _Toc465083450 h HYPERLINK l _Toc465083451 3.3 網(wǎng)站安全監(jiān)測(cè)功能參數(shù) PAGEREF _Toc465083451

19、 h 77 PAGEREF _Toc465083451 h 插圖索引TOC t 插圖標(biāo)注（盛邦安全） c未找到圖形項(xiàng)目表。項(xiàng)目需求分析本次建設(shè)XX省無(wú)線電監(jiān)測(cè)站態(tài)勢(shì)感知及檢測(cè)預(yù)警平臺(tái)（以下簡(jiǎn)稱“平臺(tái)”），實(shí)現(xiàn)XX省無(wú)線電網(wǎng)站及重要信息系統(tǒng)在集中、批量、智能的技術(shù)平臺(tái)下完成門(mén)戶網(wǎng)站及重要信息系統(tǒng)的監(jiān)測(cè)、預(yù)警的安全目標(biāo)。通過(guò)平臺(tái)建設(shè)直接對(duì)網(wǎng)站及重要信息系統(tǒng)的安全呈現(xiàn)安全態(tài)勢(shì)可視化、監(jiān)測(cè)常態(tài)化、功能集群化、管理可控化、任務(wù)便捷化，在著重監(jiān)測(cè)預(yù)警的防患未然的基礎(chǔ)上，通過(guò)平臺(tái)建設(shè)與安全設(shè)備的部署將網(wǎng)站及重要信息系統(tǒng)防護(hù)監(jiān)測(cè)預(yù)警能力拔高到國(guó)內(nèi)先進(jìn)水平。通過(guò)平臺(tái)及時(shí)有效地監(jiān)測(cè)安全隱患問(wèn)題并預(yù)警，抵御內(nèi)外部安

20、全威脅及竊密破壞等不法行為，降低安全事故發(fā)生率，保障網(wǎng)站及重要信息系統(tǒng)的安全。平臺(tái)應(yīng)根據(jù)現(xiàn)實(shí)需求在具備國(guó)產(chǎn)化自主可控產(chǎn)品基礎(chǔ)上進(jìn)行定制化開(kāi)發(fā)。核心技術(shù)應(yīng)具備先進(jìn)性、項(xiàng)目實(shí)施管理應(yīng)達(dá)到標(biāo)準(zhǔn)化級(jí)別的項(xiàng)目實(shí)施水平。根據(jù)各類型安全產(chǎn)品的特性，要求監(jiān)測(cè)、預(yù)警、應(yīng)急功能實(shí)現(xiàn)平臺(tái)化管理，體現(xiàn)平臺(tái)管理與任務(wù)實(shí)施的整體性。各項(xiàng)安全任務(wù)功能以功能模塊形式體現(xiàn)，配合功能型安全設(shè)備的統(tǒng)一部署，集中呈現(xiàn)可視化安全態(tài)勢(shì)。項(xiàng)目范圍項(xiàng)目監(jiān)測(cè)預(yù)警范圍：1.XX省3000多個(gè)業(yè)務(wù)系統(tǒng)進(jìn)行同事檢測(cè)/檢測(cè)2.對(duì)于主動(dòng)監(jiān)測(cè)能力要求Web漏洞掃描周期不超過(guò)168小時(shí)，信息安全事件檢測(cè)周期不超過(guò)8小時(shí)。3.對(duì)于被動(dòng)流量監(jiān)控能夠分析40Gb

21、ps的流量監(jiān)控。4.集中管控平臺(tái)需求能夠支持10個(gè)監(jiān)控分布引擎的管理，具備保存2TB數(shù)據(jù)的存儲(chǔ)能力，允許3000用戶的同時(shí)登陸管理，還具有“縣-市-省”三級(jí)管理模型。項(xiàng)目建設(shè)目標(biāo)基于XX省網(wǎng)絡(luò)安全現(xiàn)狀以及利用態(tài)勢(shì)感知及檢測(cè)預(yù)警平臺(tái)的基礎(chǔ)功能、技術(shù)指標(biāo)，設(shè)計(jì)、建設(shè)XX態(tài)勢(shì)感知及檢測(cè)預(yù)警系統(tǒng)，目標(biāo)能夠加強(qiáng)交互性的方式，為安全管理人員提供可視化的系統(tǒng)風(fēng)險(xiǎn)監(jiān)控和處置，提高風(fēng)險(xiǎn)漏洞和被黑客入侵篡改等安全事件發(fā)現(xiàn)、預(yù)警的及時(shí)性、準(zhǔn)確性，以及應(yīng)急處置能力，使大規(guī)模監(jiān)控工作真正金融智能化和自動(dòng)化的大數(shù)據(jù)可視化時(shí)代。門(mén)戶網(wǎng)站安全事件監(jiān)控系統(tǒng)建設(shè)系統(tǒng)概述隨著信息化的日漸深入，互聯(lián)網(wǎng)正在成為國(guó)家的關(guān)鍵信息基礎(chǔ)設(shè)施，

22、各種基于網(wǎng)絡(luò)的應(yīng)用也日益廣泛，網(wǎng)絡(luò)安全關(guān)系到國(guó)家和社會(huì)的根本利益。目前，保障互聯(lián)網(wǎng)絡(luò)安全以及重要企事業(yè)單位的網(wǎng)絡(luò)安全方面面臨一些重大的技術(shù)問(wèn)題：如何及時(shí)、準(zhǔn)確、全面地掌握整體網(wǎng)絡(luò)安全狀況；如何針對(duì)網(wǎng)絡(luò)安全的整體情況及時(shí)準(zhǔn)確地做出威脅評(píng)估、預(yù)警和應(yīng)對(duì)方案的選擇；針對(duì)網(wǎng)絡(luò)安全危機(jī)事件，如何及時(shí)有效地采取相應(yīng)的危機(jī)控制措施等。在中國(guó)電子政務(wù)發(fā)展的過(guò)程中，越來(lái)越多的核心業(yè)務(wù)系統(tǒng)開(kāi)始依托互聯(lián)網(wǎng)存在；電子政務(wù)網(wǎng)站（以下簡(jiǎn)稱政務(wù)網(wǎng)站）也不再只是政府俗稱的面子工程，越來(lái)越多的業(yè)務(wù)入口存在于政務(wù)網(wǎng)站之上，這在方便了電子政務(wù)公開(kāi)、信息發(fā)布、便捷辦公的同時(shí)，也成為了政府網(wǎng)絡(luò)、信息安全的入口。據(jù)權(quán)威機(jī)構(gòu)統(tǒng)計(jì)，中國(guó)的網(wǎng)

23、絡(luò)安全事件，絕大部分都是由網(wǎng)站為入口，最終造成重大網(wǎng)絡(luò)安全事故。2014年中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組的成立，中國(guó)互聯(lián)網(wǎng)安全被提升到了國(guó)家戰(zhàn)略的新高度。習(xí)近平總書(shū)記指出：“沒(méi)有網(wǎng)絡(luò)安全，就沒(méi)有國(guó)家安全”。為了應(yīng)對(duì)網(wǎng)絡(luò)安全問(wèn)題帶來(lái)的挑戰(zhàn)，國(guó)務(wù)院辦公廳、中國(guó)工業(yè)和信息化部、中國(guó)公安部等相關(guān)監(jiān)督和管理單位相繼出臺(tái)了針對(duì)中國(guó)政府網(wǎng)站及重要互聯(lián)網(wǎng)信息系統(tǒng)的安全監(jiān)督、管理、通報(bào)、防控等文件與措施。其中公安部明確要求為了支撐公安網(wǎng)安部門(mén)開(kāi)展網(wǎng)絡(luò)安全工作，需建設(shè)網(wǎng)安全態(tài)勢(shì)感知與通報(bào)預(yù)警平臺(tái)系統(tǒng)，通過(guò)該系統(tǒng)實(shí)時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢(shì)，及時(shí)掌握重點(diǎn)部位、重要信息系統(tǒng)相關(guān)網(wǎng)絡(luò)安全威脅、風(fēng)險(xiǎn)和隱患，及時(shí)監(jiān)測(cè)漏洞，網(wǎng)絡(luò)攻擊情

24、況，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)安全案（事）件線索，掌握有關(guān)情報(bào)和情況信息，及時(shí)通報(bào)預(yù)警重大網(wǎng)絡(luò)安全威脅，偵查調(diào)查、防范和打擊網(wǎng)絡(luò)攻擊等違法犯罪活動(dòng)。北京市目前已經(jīng)建成等級(jí)保護(hù)檢測(cè)機(jī)制和相關(guān)技術(shù)手段，而在重要網(wǎng)站和重要信息系統(tǒng)安全監(jiān)測(cè)方面，還沒(méi)有有效的針對(duì)性的技術(shù)手段可以較好地滿足業(yè)務(wù)需要，無(wú)法對(duì)轄區(qū)內(nèi)系統(tǒng)底數(shù)和安全情況進(jìn)行全面掌握，不能夠清晰、準(zhǔn)確地判斷存在的安全風(fēng)險(xiǎn)，并有效的事先發(fā)出預(yù)警，發(fā)生的安全事件也無(wú)法規(guī)范有效地進(jìn)行處理，對(duì)通報(bào)成員單位和重要信息系統(tǒng)運(yùn)營(yíng)使用單位在線重要信息系統(tǒng)和政府網(wǎng)站的監(jiān)管都是被動(dòng)接受上級(jí)主管部門(mén)通知通報(bào)，沒(méi)有主動(dòng)監(jiān)測(cè)和事前發(fā)現(xiàn)漏洞的能力和手段。另外在開(kāi)展國(guó)家級(jí)重要信息系統(tǒng)和重點(diǎn)

25、網(wǎng)站安全執(zhí)法檢查工作過(guò)程中，發(fā)現(xiàn)了許多單位和信息系統(tǒng)存在著高風(fēng)險(xiǎn)的問(wèn)題，也表明目前監(jiān)管工作確實(shí)需要建立一套能夠及時(shí)發(fā)現(xiàn)問(wèn)題、及時(shí)處理問(wèn)題的綜合處置管理支撐平臺(tái)。門(mén)戶網(wǎng)站安全事件監(jiān)控系統(tǒng)是專門(mén)針對(duì)網(wǎng)站頻發(fā)安全事件進(jìn)行監(jiān)控預(yù)警的系統(tǒng)。主要以各種技術(shù)手段對(duì)網(wǎng)站的可用性、完整性、安全性進(jìn)行安全監(jiān)控，幫助監(jiān)管部門(mén)和門(mén)戶網(wǎng)站運(yùn)營(yíng)單位主動(dòng)發(fā)現(xiàn)問(wèn)題、及時(shí)處理和響應(yīng)問(wèn)題。門(mén)戶網(wǎng)站安全事件監(jiān)控系統(tǒng)，能夠主動(dòng)監(jiān)控網(wǎng)站安全問(wèn)題，監(jiān)測(cè)網(wǎng)站脆弱性。能提供網(wǎng)站監(jiān)控平臺(tái)7*24小時(shí)不間斷監(jiān)控，保持監(jiān)控的持續(xù)性。突發(fā)攻擊事件發(fā)生時(shí)，及時(shí)進(jìn)項(xiàng)響應(yīng)與處理，構(gòu)建完善的網(wǎng)站安全體系。對(duì)于大范圍的網(wǎng)站利用自動(dòng)化的技術(shù)手段進(jìn)行監(jiān)控，減低人

26、工成本。系統(tǒng)建設(shè)依據(jù)2014年5月9日中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組下發(fā)1號(hào)文件關(guān)于加強(qiáng)黨政機(jī)關(guān)網(wǎng)站安全管理的通知2015年1月，公安部頒布了關(guān)于加快推進(jìn)網(wǎng)絡(luò)與信息安全通報(bào)機(jī)制建設(shè)的通知（公信安201521號(hào)）。通知要求建立省市二級(jí)網(wǎng)絡(luò)與信息安全信息通報(bào)機(jī)制，積極推動(dòng)專門(mén)機(jī)構(gòu)建設(shè)，建立網(wǎng)絡(luò)安全態(tài)勢(shì)感知監(jiān)測(cè)通報(bào)手段和信息通報(bào)預(yù)警及應(yīng)急處置體系，明確要求建設(shè)網(wǎng)絡(luò)安全態(tài)勢(shì)感知監(jiān)測(cè)通報(bào)平臺(tái)，實(shí)現(xiàn)對(duì)重要網(wǎng)站和網(wǎng)上重要信息系統(tǒng)的安全監(jiān)測(cè)、網(wǎng)上計(jì)算機(jī)病毒木馬傳播監(jiān)測(cè)、通報(bào)預(yù)警、應(yīng)急處置、態(tài)勢(shì)分析、安全事件（事故）管理、督促整改等功能，為開(kāi)展相關(guān)工作提供技術(shù)保障。2015年5月18日，公安部在京召開(kāi)電視電話會(huì)議

27、，專題部署國(guó)家級(jí)重要信息系統(tǒng)和重點(diǎn)網(wǎng)站安全執(zhí)法檢查工作。公安部副部長(zhǎng)、中央網(wǎng)信辦副主任陳智敏在會(huì)議上強(qiáng)調(diào)，各級(jí)公安機(jī)關(guān)要充分認(rèn)識(shí)網(wǎng)絡(luò)安全的嚴(yán)峻形勢(shì)和加強(qiáng)網(wǎng)絡(luò)安全工作的重要性、緊迫性，加強(qiáng)國(guó)家網(wǎng)絡(luò)安全通報(bào)機(jī)制建設(shè)，進(jìn)一步健全完善網(wǎng)絡(luò)安全信息通報(bào)和監(jiān)測(cè)預(yù)警機(jī)制建設(shè)，確保網(wǎng)絡(luò)安全執(zhí)法檢查工作取得實(shí)效。2015年7月1日，公安部印發(fā)了關(guān)于組織開(kāi)展網(wǎng)絡(luò)安全態(tài)勢(shì)感知與通報(bào)預(yù)警平臺(tái)建設(shè)工作的通知（公信安【2015】1851號(hào)），明確了“網(wǎng)絡(luò)安全態(tài)勢(shì)感知與通報(bào)預(yù)警平臺(tái)建設(shè)框架”，確定了建設(shè)整體方案指導(dǎo)，并提出2016年底完成省市兩級(jí)通報(bào)平臺(tái)建設(shè)的建設(shè)任務(wù)。項(xiàng)目建設(shè)目標(biāo)網(wǎng)絡(luò)安全態(tài)勢(shì)感知與監(jiān)測(cè)預(yù)警通報(bào)平臺(tái)按照“統(tǒng)

28、一規(guī)劃、分級(jí)部署、協(xié)同共享”的原則，以公安部總體目標(biāo)為指導(dǎo)，遵循統(tǒng)一的數(shù)據(jù)接口規(guī)范進(jìn)行數(shù)據(jù)采集和監(jiān)測(cè)分析，構(gòu)建部、省、市三級(jí)網(wǎng)絡(luò)安全威脅數(shù)據(jù)共享與交換機(jī)制，形成覆蓋全市的網(wǎng)絡(luò)安全態(tài)勢(shì)感知與預(yù)警監(jiān)測(cè)通報(bào)體系，推動(dòng)平臺(tái)建設(shè)和通報(bào)預(yù)警工作向著標(biāo)準(zhǔn)化規(guī)范化邁進(jìn)，為開(kāi)展網(wǎng)絡(luò)與信息安全信息通報(bào)工作提供技術(shù)保障。提升安全態(tài)勢(shì)感知能力現(xiàn)有的網(wǎng)絡(luò)安全系統(tǒng)，只重視對(duì)于數(shù)據(jù)的分析發(fā)現(xiàn)能力，將研究的重點(diǎn)放在處理速度以及處理能力上。對(duì)于數(shù)據(jù)以及結(jié)果的顯示則投入的精力不多，造成最終處理數(shù)據(jù)不直觀，從而影響了最終的分析結(jié)果。網(wǎng)絡(luò)與信息安全信息通報(bào)預(yù)警平臺(tái)系統(tǒng)底層使用數(shù)據(jù)融合處理后的數(shù)據(jù)，是對(duì)分析后的數(shù)據(jù)的深層融合，著重于圖

29、形圖象的顯示方法，側(cè)重于對(duì)數(shù)據(jù)的最終顯示效果和系統(tǒng)與軟件間的交互，強(qiáng)調(diào)顯示的直觀性和顯示的最終效果。該系統(tǒng)的研究有助于提高現(xiàn)有網(wǎng)絡(luò)安全產(chǎn)品在圖形顯示方面的能力，提升整體系統(tǒng)的安全分析處理水平。同時(shí)網(wǎng)絡(luò)與信息安全信息通報(bào)預(yù)警平臺(tái)的建立能夠?qū)Π碴?yáng)地區(qū)的互聯(lián)網(wǎng)網(wǎng)站、在線系統(tǒng)、轄區(qū)IP進(jìn)行全網(wǎng)檢測(cè)，掌握安陽(yáng)互聯(lián)網(wǎng)基礎(chǔ)數(shù)據(jù)、網(wǎng)站的基本信息如網(wǎng)站指紋信息、網(wǎng)站安全、網(wǎng)站數(shù)量等情況，并對(duì)這批站點(diǎn)進(jìn)行安全監(jiān)測(cè)，能感知網(wǎng)站、應(yīng)用、設(shè)備的安全態(tài)勢(shì)，幫助公安掌握當(dāng)前形式下的安全形式、安全問(wèn)題與各地的安全水平，做到信息安全建設(shè)心中有數(shù)。提升安全事件的通報(bào)預(yù)警能力雖然已有網(wǎng)絡(luò)安全產(chǎn)品與算法的改進(jìn)和處理速度的提升，但是無(wú)

30、法解決其固有矛盾。無(wú)論是基于異常檢測(cè)，還是基于誤用檢測(cè)，都不能解決漏報(bào)、誤報(bào)的問(wèn)題。網(wǎng)絡(luò)與信息安全信息通報(bào)預(yù)警平臺(tái)系統(tǒng)，通過(guò)將分析數(shù)據(jù)的圖形化顯示，結(jié)合原始數(shù)據(jù)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)數(shù)據(jù)的可視化分析，借助于人類強(qiáng)大的圖形圖像處理能力以及分析能力，大大提升該系統(tǒng)對(duì)于異常行為的發(fā)現(xiàn)能力，降低系統(tǒng)的漏報(bào)與誤報(bào)能力，并可對(duì)有較明顯特征的攻擊行有一定的預(yù)先發(fā)現(xiàn)能力，做到“有備無(wú)患”，打造安全的網(wǎng)絡(luò)系統(tǒng)。具體可以從以下幾個(gè)方面提升安全事件的通報(bào)預(yù)警能力：0day漏洞的定向預(yù)警，對(duì)有該漏洞的單位進(jìn)行預(yù)警，避免發(fā)生安全問(wèn)題；攻擊事件的通知與相關(guān)網(wǎng)站的預(yù)警，如境外黑客對(duì)我國(guó)政府網(wǎng)站發(fā)起的網(wǎng)絡(luò)攻擊與篡改攻擊等事件，能夠進(jìn)行

31、定向預(yù)警，促進(jìn)各單位部署防御；對(duì)全國(guó)各地爆發(fā)的安全問(wèn)題進(jìn)行分析，同步預(yù)警至我市各單位對(duì)應(yīng)系統(tǒng)，通知相關(guān)單位做好提前防范；對(duì)我市發(fā)現(xiàn)的攻擊行為進(jìn)行分析，同步預(yù)警各單位，做好提前防范。提升應(yīng)急響應(yīng)能力網(wǎng)絡(luò)與信息安全信息通報(bào)預(yù)警平臺(tái)系統(tǒng)的使用，能夠提升現(xiàn)有網(wǎng)絡(luò)安全產(chǎn)品的性能，增強(qiáng)了網(wǎng)絡(luò)的綜合防護(hù)能力。安全可視化分析的數(shù)據(jù)大都來(lái)自現(xiàn)有網(wǎng)絡(luò)安全產(chǎn)品，獲取不同層次的處理信息，形成全方位的安全數(shù)據(jù)，通過(guò)可視化的數(shù)據(jù)融合，綜合考慮各方面因素，可以得到更加準(zhǔn)確的網(wǎng)絡(luò)信息。同時(shí)各安全系統(tǒng)問(wèn)的協(xié)同分析，還可以做到“監(jiān)”、“管”、“控”于一體的網(wǎng)絡(luò)安全系統(tǒng)，簡(jiǎn)化網(wǎng)絡(luò)安全的處理環(huán)節(jié)，提升網(wǎng)絡(luò)安全防護(hù)等級(jí)。項(xiàng)目建設(shè)原則合

32、規(guī)性原則按照“統(tǒng)一規(guī)劃、分級(jí)部署、協(xié)同共享”原則，建設(shè)形成部、省、互聯(lián)互通的通報(bào)平臺(tái)，構(gòu)建覆蓋全市的網(wǎng)絡(luò)安全態(tài)勢(shì)感知、安全監(jiān)測(cè)和通報(bào)預(yù)警體系。平臺(tái)設(shè)計(jì)完全遵循公安部整體框架和數(shù)據(jù)標(biāo)準(zhǔn)?？陕涞卦瓌t平臺(tái)建設(shè)規(guī)劃符合我市實(shí)際情況，綜合考慮業(yè)界的統(tǒng)一安全監(jiān)測(cè)、預(yù)警等技術(shù)的形勢(shì)，綜合考慮本地網(wǎng)安部門(mén)工作中的具體需求，確保建設(shè)方案具備可實(shí)施、可落地性。先進(jìn)性原則平臺(tái)可在種類繁多、數(shù)量龐大的多樣數(shù)據(jù)中進(jìn)行快速信息獲取，在合理時(shí)間內(nèi)達(dá)到擷取、管理、處理、并整理。通過(guò)平臺(tái)提供的有效的分析方法和工具，從海量信息中快速提取高價(jià)值數(shù)據(jù)，避免重要信息淹沒(méi)在海量的低價(jià)值數(shù)據(jù)中。使用基于大數(shù)據(jù)的數(shù)據(jù)倉(cāng)庫(kù)技術(shù)對(duì)歷史數(shù)據(jù)進(jìn)行分

33、析，結(jié)合多種數(shù)據(jù)挖掘算法，為安全分析人員提供有價(jià)值的安全分析決策支撐數(shù)據(jù)。具備異構(gòu)數(shù)據(jù)間的關(guān)聯(lián)分析能力，具備從事件到流量元數(shù)據(jù)到原始流量和文件的對(duì)應(yīng)和關(guān)聯(lián)分析。在展示層提供豐富的可視化展示功能和組件，可視化展示安全分析人員重點(diǎn)關(guān)注的信息，將重要和可疑的數(shù)據(jù)以醒目的方式展示。安全性原則依據(jù)平臺(tái)本身數(shù)據(jù)存放以及通信的特征，平臺(tái)劃分為網(wǎng)安專網(wǎng)系統(tǒng)與互聯(lián)網(wǎng)系統(tǒng)?；ヂ?lián)網(wǎng)系統(tǒng)用于采集平臺(tái)所需各種安全數(shù)據(jù)，發(fā)布互聯(lián)網(wǎng)預(yù)警通知。網(wǎng)安專網(wǎng)系統(tǒng)用于數(shù)據(jù)存貯與提取分析，同時(shí)提供上下級(jí)平臺(tái)數(shù)據(jù)傳輸接口。互聯(lián)網(wǎng)系統(tǒng)與專網(wǎng)系統(tǒng)物理隔離，僅支持?jǐn)?shù)據(jù)單項(xiàng)導(dǎo)入。擴(kuò)展性原則平臺(tái)還提供豐富的對(duì)外接口，方便采集第三方系統(tǒng)產(chǎn)生的安全數(shù)

34、據(jù)，包括第三方分析系統(tǒng)，展示系統(tǒng)和安全工具等。平臺(tái)體系架構(gòu)按照總體規(guī)劃，信息安全態(tài)勢(shì)分析與通報(bào)平臺(tái)建設(shè)，通過(guò)網(wǎng)安專網(wǎng)地市可與省、部平臺(tái)進(jìn)行數(shù)據(jù)對(duì)接。如下圖所示：圖STYLEREF 1 s2SEQ 圖 * ARABIC s 11：三級(jí)平臺(tái)對(duì)接示意圖市公安局信息安全態(tài)勢(shì)感知與通報(bào)平臺(tái)通過(guò)網(wǎng)安專網(wǎng)向省級(jí)平臺(tái)上報(bào)本地安全態(tài)勢(shì)、安全風(fēng)險(xiǎn)等數(shù)據(jù)信息；接收來(lái)自部級(jí)平臺(tái)下發(fā)的各項(xiàng)通報(bào)數(shù)據(jù)及線索信息。網(wǎng)絡(luò)安全態(tài)勢(shì)感知與監(jiān)測(cè)預(yù)警通報(bào)平臺(tái)包含公共網(wǎng)絡(luò)安全事件采集層、數(shù)據(jù)預(yù)處理層、公共網(wǎng)絡(luò)安全事件數(shù)據(jù)中心、業(yè)務(wù)分析處理層、業(yè)務(wù)功能層，如圖2-2所示。圖STYLEREF 1 s2SEQ 圖 * ARABIC s 12：

35、平臺(tái)體系架構(gòu)圖STYLEREF 1 s23：平臺(tái)主要構(gòu)成公共網(wǎng)絡(luò)安全事件采集層：通過(guò)集成各種工具采集互聯(lián)網(wǎng)范圍內(nèi)的資產(chǎn)、威脅、弱點(diǎn)、流量等數(shù)據(jù)信息。同時(shí)提供工具管理、任務(wù)管理等功能。數(shù)據(jù)項(xiàng)處理層：對(duì)下層采集的數(shù)據(jù)進(jìn)行數(shù)據(jù)清洗、數(shù)據(jù)歸并、數(shù)據(jù)關(guān)聯(lián)、比對(duì)，進(jìn)行數(shù)據(jù)標(biāo)識(shí)后傳入數(shù)據(jù)中心層處理。數(shù)據(jù)中心層：提供基礎(chǔ)數(shù)據(jù)庫(kù)存儲(chǔ)與管理功能。主要完成安全威脅事件庫(kù)、重大安全隱患庫(kù)、網(wǎng)絡(luò)基礎(chǔ)資源庫(kù)、木馬/僵尸庫(kù)、聯(lián)網(wǎng)重要系統(tǒng)和網(wǎng)站安全信息庫(kù)、攻擊個(gè)人/組織庫(kù)等六大基礎(chǔ)數(shù)據(jù)庫(kù)的標(biāo)準(zhǔn)化存儲(chǔ)與管理。業(yè)務(wù)分析處理層：完成業(yè)務(wù)分析模型創(chuàng)建與管理?？蓪?shí)現(xiàn)風(fēng)險(xiǎn)分析，態(tài)勢(shì)感知任務(wù)的創(chuàng)建與管理，完成相關(guān)數(shù)據(jù)的上報(bào)與下發(fā)。實(shí)現(xiàn)數(shù)據(jù)

36、的可視化展示。展示正在發(fā)生的安全行為，態(tài)勢(shì)數(shù)據(jù)，安全風(fēng)險(xiǎn)等相關(guān)信息。業(yè)務(wù)功能層：實(shí)現(xiàn)網(wǎng)安部門(mén)安全監(jiān)測(cè)、態(tài)勢(shì)分析、通報(bào)預(yù)警、線索挖掘和調(diào)查處理等業(yè)務(wù)處理功能。監(jiān)控需求隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，網(wǎng)站攻擊的門(mén)檻不斷降低，重點(diǎn)單位門(mén)戶網(wǎng)站（三臺(tái)四網(wǎng)和多家在京主流網(wǎng)絡(luò)媒體等）的web應(yīng)用受到的安全威脅越來(lái)越多。為保證門(mén)戶網(wǎng)站的Web應(yīng)用系統(tǒng)的正常使用，應(yīng)實(shí)現(xiàn)以下基本安全需求：監(jiān)控Web應(yīng)用頁(yè)面內(nèi)容完整、不被篡改；監(jiān)控Web應(yīng)用存在的SQL注入、XSS、非法訪問(wèn)、信息泄露等應(yīng)用層漏洞，從而提前解決潛在風(fēng)險(xiǎn)；監(jiān)控Web應(yīng)用服務(wù)器可能存在的系統(tǒng)級(jí)漏洞，提前杜絕系統(tǒng)威脅；監(jiān)控Web應(yīng)用，防止Web應(yīng)用掛馬而導(dǎo)致

37、的潛在風(fēng)險(xiǎn)；監(jiān)控Web應(yīng)用是否存在敏感信息，對(duì)于Web應(yīng)用的敏感信息內(nèi)容自行配制告警功能，方便管理者及時(shí)了解到發(fā)生的安全事件，可根據(jù)量化的標(biāo)準(zhǔn)，對(duì)Web應(yīng)用的安全事件嚴(yán)重程度進(jìn)行不同形式的告警，獨(dú)具可能存在的風(fēng)險(xiǎn)和損失；以監(jiān)控為主，必要時(shí)進(jìn)行干預(yù)，防止意外事情發(fā)生；能定期生成每個(gè)Web應(yīng)用的報(bào)表，關(guān)聯(lián)趨勢(shì)性分析；讓管理員及管理者清晰地分析出Web應(yīng)用當(dāng)前的安全狀況及趨勢(shì)，可以作為信息安全建設(shè)決策分析依據(jù)；對(duì)不同的管理員授權(quán)相應(yīng)范圍內(nèi)的管理，大致分為高級(jí)管理員、普通管理員及日志審核員。能分級(jí)管理管理，從而能“全面感知”應(yīng)用和服務(wù)。系統(tǒng)原理爬蟲(chóng)技術(shù)當(dāng)前的爬蟲(chóng)程序根據(jù)其實(shí)現(xiàn)技術(shù)，可分為通用爬蟲(chóng)和主題

38、爬蟲(chóng)，通用爬蟲(chóng)爬取根 URL 衍生的所有網(wǎng)頁(yè)，主要被門(mén)戶網(wǎng)站等大型 Web 服務(wù)提供商采用。主題爬蟲(chóng)則選擇性的爬取和預(yù)設(shè)主題相關(guān)的網(wǎng)頁(yè)。一般來(lái)說(shuō)，主題爬蟲(chóng)比通用爬蟲(chóng)更能滿足用戶對(duì)某一特定領(lǐng)域的信息需求。網(wǎng)絡(luò)爬蟲(chóng)在基于網(wǎng)絡(luò)的Web漏洞掃描器中，是重要的基礎(chǔ)功能模塊，其獲取目錄結(jié)構(gòu)及分析HTML源碼的效率，將直接影響系統(tǒng)的準(zhǔn)確性和執(zhí)行效率，而傳統(tǒng)的掃描器中的爬蟲(chóng)程序，只是簡(jiǎn)單的在通用爬蟲(chóng)的基礎(chǔ)上采用稍作改進(jìn)的廣度優(yōu)先遍歷算法，對(duì)HTML的解析則采用確定的有限自動(dòng)機(jī)，而由于這樣的爬蟲(chóng)程序并未考慮Web站點(diǎn)中目錄結(jié)構(gòu)的特點(diǎn)和動(dòng)態(tài)交互點(diǎn)的分布規(guī)律，使得爬蟲(chóng)程序抓取了大量無(wú)用的頁(yè)面，對(duì)HTML的解析也并不

39、準(zhǔn)確，從而降低了整個(gè)掃描器的性能。本文采用針對(duì) Web 漏洞檢測(cè)特定需求設(shè)計(jì)的表單爬蟲(chóng)，來(lái)構(gòu)建整個(gè)Web漏洞掃描系統(tǒng)，以提高其性能。表單爬蟲(chóng)程序的功能可分為三個(gè)，一個(gè)是站內(nèi)新站點(diǎn)搜集，使用自適應(yīng)窗口策略；另一個(gè)是表單搜集，采用導(dǎo)航鏈接策略；以及 HTML 解析器，采用正則表達(dá)式。表單爬蟲(chóng)的工作流程為：首先從目標(biāo)站點(diǎn)的根 URL 開(kāi)始，使用自適應(yīng)窗口策略搜索新站點(diǎn)，將其保存。再以保存的新站點(diǎn)為單位，使用導(dǎo)航鏈接策略搜索每個(gè)站點(diǎn)中的有效 URL ，將其保存。最后依次取出保存的 URL ，利用HTML 解析器提取出表單信息?；谧赃m應(yīng)窗口策略的新站點(diǎn)搜集在搜索新站點(diǎn)的過(guò)程中發(fā)下如下規(guī)律：即往往沿著包

40、含較多新站點(diǎn)的頁(yè)面往下搜索，可以搜索到更多的新站點(diǎn)，因此，根據(jù)此規(guī)律設(shè)計(jì)自適應(yīng)的窗口搜索策略，以使得爬蟲(chóng)程序在兼顧頁(yè)面覆蓋率的同時(shí)，提高其搜索效率，自適應(yīng)窗口策略的大致思路是給爬蟲(chóng)程序設(shè)置門(mén)閥值，若某些頁(yè)面中包含新站點(diǎn)的數(shù)量小于此門(mén)閥值，則停止對(duì)其搜索，以節(jié)省搜索時(shí)間，若大于或等于此門(mén)閥值，則沿著這些頁(yè)面繼續(xù)搜索。如下圖：圖4-15自適應(yīng)窗口的表單爬蟲(chóng)示意圖圖中節(jié)點(diǎn)表示網(wǎng)頁(yè)，其數(shù)字表示包含的新站點(diǎn)數(shù)，箭頭表示鏈接，C 表示門(mén)閥值，W 表示窗口大小，窗口大小指的是相鄰的兄弟節(jié)點(diǎn)數(shù)，其搜索流程為：若窗口中的兄弟節(jié)點(diǎn)的新站點(diǎn)數(shù)的總和大于或等于門(mén)閥值，則此節(jié)點(diǎn)的孩子節(jié)點(diǎn)將被搜索，否則，將窗口移動(dòng)一個(gè)節(jié)

41、點(diǎn)，在窗口中重復(fù)以上過(guò)程，整個(gè)過(guò)程采用廣度優(yōu)先，直到搜索到規(guī)定的深度為止。根據(jù)以上描述，圖示中的搜索過(guò)程為：從根節(jié)點(diǎn)A 開(kāi)始，窗口里的節(jié)點(diǎn)首先是 B 和C，由于B 和C 中包含的新站點(diǎn)總數(shù)為 4，小于門(mén)閥值 5，則將 B 的子節(jié)點(diǎn)舍棄，窗口移動(dòng)一個(gè)節(jié)點(diǎn)，此時(shí)C 和D 節(jié)點(diǎn)在窗口中，由于 C 和D 節(jié)點(diǎn)中的新站點(diǎn)總數(shù)為 5，等于門(mén)閥值，則C 和D 的子節(jié)點(diǎn)將被搜索，窗口再移動(dòng)一個(gè)節(jié)點(diǎn)，由于 D 和E 的值不符合條件，E 的子節(jié)點(diǎn)將被舍棄，窗口進(jìn)入下一層節(jié)點(diǎn)，重復(fù)上述過(guò)程 G 和H 的子節(jié)點(diǎn)將被搜索，直到達(dá)到規(guī)定的搜索深度為止?；趯?dǎo)航鏈接策略的表單搜集表單是漏洞檢測(cè)的重要?jiǎng)討B(tài)交互點(diǎn)，爬蟲(chóng)程序?qū)Ρ?/p>

42、單的獲取效率很大程度上決定了整個(gè)系統(tǒng)的運(yùn)行效率，表單爬蟲(chóng)對(duì)表單的提取采用導(dǎo)航鏈接策略，該策略基于如下事實(shí)：很多表單位于WEB站點(diǎn)的淺層頁(yè)面，比如入口頁(yè)面，且沿著導(dǎo)航鏈接搜索，往往可以搜索到大多數(shù)的表單，所以表單爬蟲(chóng)采用導(dǎo)航鏈接策略，沿著導(dǎo)航鏈接搜索表單，可以忽略很多無(wú)用的頁(yè)面，節(jié)省時(shí)間，提高系統(tǒng)效率。導(dǎo)航鏈接在頁(yè)面上的分布遵循以下規(guī)律：導(dǎo)航鏈接在頁(yè)面 HTML 中的顯示格式和其它的鏈接有明顯不同，呈現(xiàn)規(guī)則性，且導(dǎo)航鏈接往往在很多頁(yè)面里反復(fù)出現(xiàn)，因此可以根據(jù)此規(guī)律將特定顯示格式且反復(fù)出現(xiàn)的鏈接判定為導(dǎo)航鏈接。根據(jù)以上分析，根據(jù)以下兩個(gè)步驟判定頁(yè)面中的導(dǎo)航鏈接。步驟1：首先根據(jù)下列分布規(guī)律計(jì)算式計(jì)

43、算出頁(yè)面中的鏈接 Rank值：將一個(gè)頁(yè)面中的所有鏈接提取出來(lái)，記為集合A，將所有連續(xù)水平或垂直排列三個(gè)以上鏈接的鏈接組記為 K ，將集合 A 劃分成多個(gè)互不相交的鏈接組，對(duì)每個(gè)鏈接組采用以上公式計(jì)算Rank值。其中，size(k) 表示該鏈接組中的鏈接數(shù)量；anchorttext(k) 表示鏈接組中錨文本字?jǐn)?shù)占總字?jǐn)?shù)的比值；dist(k) 為鏈接組在頁(yè)面上離邊界的距離；W(s) 、W(a)和W(d)則分別是size(k) 、anchorttext(k) 和dist(k) 在計(jì)算Rank值時(shí)所賦予的權(quán)重，當(dāng)其取 1:1:2時(shí)，能得到最準(zhǔn)確的Rank值。步驟2：取出頁(yè)面中 Rank值排名前三的鏈接

44、組里的鏈接，記作 U，順著U 訪問(wèn)其鏈向的頁(yè)面，將該頁(yè)面記作 P，若在頁(yè)面 P 中也存在鏈接 U，則可判定U 為導(dǎo)航鏈接?；谡齽t表達(dá)式的HTML解析器HTML 和XML不同，XML格式的內(nèi)容嚴(yán)格按照標(biāo)簽匹配的方式構(gòu)造，因此，只要嚴(yán)格通過(guò)標(biāo)簽匹配就能解析到想得到的任何內(nèi)容，而HTML 不同，它并沒(méi)有嚴(yán)格的配對(duì)標(biāo)簽，這就給解析帶來(lái)了較大的困難，傳統(tǒng)的 HTML 解析器是通過(guò)確定性的有限自動(dòng)機(jī)（DFA ）解析HTML 頁(yè)面的，但是這種方式效率低下，特別是對(duì)表單等漏洞掃描最關(guān)注的動(dòng)態(tài)交互內(nèi)容不能達(dá)成滿意的效果，因此，本文采用正則表達(dá)式來(lái)提取出頁(yè)面中的 URL 和表單等有價(jià)值的信息，具體如下：URL

45、提取在頁(yè)面的HTML 中，標(biāo)簽、中都有可能存在URL ，因此需要針對(duì)每個(gè)可能存在 URL 的標(biāo)簽定義一個(gè)正則表達(dá)式，以解析其中各種屬性，提取出URL ，以標(biāo)簽為例，其基本格式為a*href=”URL”*，（各種屬性用*號(hào)代替）。其正則表達(dá)式為：在用正則表達(dá)式提取出 URL 后，還需對(duì)其進(jìn)行填充處理，使之成為完整的絕對(duì)路徑。表單提取以標(biāo)簽為例，表單的基本格式為*action=”URL” method=* 對(duì)表單的提取采用以下四個(gè)步驟：步驟1：將整個(gè)表單內(nèi)容用以下正則表達(dá)式提取出來(lái)步驟2：提取出表單中如 action、method 等屬性步驟3：提取表單中各項(xiàng)屬性的屬性值，如 input、text

46、area 等的 name、type 等值基于沙箱檢測(cè)和靜態(tài)規(guī)則匹配相結(jié)合的木馬檢測(cè)技術(shù)作為Web檢測(cè)引擎，提高引擎檢測(cè)準(zhǔn)確性，降低誤報(bào)率是考核掃描器引擎的重要指標(biāo)。同時(shí)，以云模式部署掃描引擎之后，最重要的就是及時(shí)和準(zhǔn)確的收集木馬、漏洞等信息到管理中心。當(dāng)前常用的手段就是通過(guò)網(wǎng)絡(luò)爬蟲(chóng)收集信息，其缺陷就是對(duì)未知的漏洞不能識(shí)別，從而延誤防護(hù)。沙箱技術(shù)是解決此問(wèn)題的重要方法。所謂沙箱環(huán)境模擬了一個(gè)瀏覽器的環(huán)境，通過(guò)沙箱環(huán)境訪問(wèn)爬蟲(chóng)爬出來(lái)的url，來(lái)檢測(cè)該頁(yè)面是否被掛馬，這種技術(shù)由于模擬了真實(shí)的環(huán)境，因此誤報(bào)率基本為零，但是由于沙箱環(huán)境中瀏覽器插件配置的局限性，無(wú)法檢測(cè)所有的掛馬頁(yè)面，因此會(huì)產(chǎn)生一定的漏

47、報(bào)率。因此我們結(jié)合了多年研究的掛馬方式的規(guī)則庫(kù)的檢驗(yàn)，大大減少了Web應(yīng)用掛馬的漏報(bào)，為Web安全云提供及時(shí)、準(zhǔn)確的規(guī)則積累。高性能模式匹配技術(shù)“運(yùn)行速度”是衡量系統(tǒng)性能的一個(gè)重要的指標(biāo)。模式匹配技術(shù)是攻擊檢測(cè)的最重要的技術(shù)，系統(tǒng)近半數(shù)甚至更多的CPU資源會(huì)耗費(fèi)在模式匹配上，因此一個(gè)高效的模式匹配技術(shù)至關(guān)重要。國(guó)內(nèi)外，多數(shù)廠商均采用PCRE 的NFA查找技術(shù)?！癗FA”即非確定有窮自動(dòng)機(jī)，對(duì)于一個(gè)給定的輸入可能有多個(gè)狀態(tài)輸出，其優(yōu)點(diǎn)是編譯速度快，編碼空間占用??；其缺點(diǎn)是匹配速度不穩(wěn)定，速度較慢。而有些廠商采用的是“DFA”確定有窮自動(dòng)機(jī)，“DFA”對(duì)于給定的一個(gè)輸入，只有一個(gè)特定的狀態(tài)輸出。其

48、特點(diǎn)是匹配速度穩(wěn)定，匹配速度快，但存在內(nèi)存占用的指數(shù)膨脹問(wèn)題。實(shí)際應(yīng)用中，模式串的內(nèi)存占用過(guò)大，導(dǎo)致系統(tǒng)無(wú)法應(yīng)用。為此項(xiàng)目單位提出了DFA的壓縮和優(yōu)化算法，即采用DFA技術(shù)，并且使用了Bitmap方式對(duì)于DFA壓縮與合并，解決了DFA空間占用大的問(wèn)題，大大提高匹配速度，從而提高了整體的系統(tǒng)運(yùn)行的性能。從而在犧牲少量處理性能的情況下，極大的降低了系統(tǒng)內(nèi)存占用。高效的分布式體系架構(gòu)集群是調(diào)度器是一個(gè)分發(fā)任務(wù)的程序框架，可以用在各種場(chǎng)合，與Hadoop相比，集群是調(diào)度器更偏向于任務(wù)分發(fā)功能。它的任務(wù)分布非常簡(jiǎn)單，簡(jiǎn)單得可以只需要用腳本即可完成。集群是調(diào)度器最初用于LiveJournal的圖片resi

49、ze功能，由于圖片resize需要消耗大量計(jì)算資源，因此需要調(diào)度到后端多臺(tái)服務(wù)器執(zhí)行，完成任務(wù)之后返回前端再呈現(xiàn)到界面。在本項(xiàng)目中，我們基于掃描器特性，修改和開(kāi)發(fā)了針對(duì)集群是調(diào)度器的結(jié)構(gòu)，使之更能適應(yīng)分布式掃描體系構(gòu)建。功能結(jié)構(gòu)門(mén)戶網(wǎng)站安全事件監(jiān)控系統(tǒng)的功能結(jié)構(gòu)如下圖所示：圖門(mén)戶網(wǎng)站安全事件監(jiān)控系統(tǒng)功能結(jié)構(gòu)圖門(mén)戶網(wǎng)站安全事件監(jiān)控系統(tǒng)采用主動(dòng)模型與被動(dòng)模型結(jié)合的監(jiān)控模式。對(duì)于主動(dòng)監(jiān)控，監(jiān)控模型如下圖所示:監(jiān)控提供從物理層到應(yīng)用層的全范圍檢測(cè)，規(guī)避因?yàn)閿?shù)據(jù)庫(kù)、中間件、操作系統(tǒng)等不安全的因素導(dǎo)致的問(wèn)題。主動(dòng)監(jiān)控模型，采用全棧監(jiān)控模式，對(duì)系統(tǒng)不同層面面臨的安全問(wèn)題進(jìn)行檢測(cè)。Web漏洞掃描監(jiān)控服務(wù)目前該

50、系統(tǒng)支持遠(yuǎn)程O(píng)WASP定義的Web威脅和及其相關(guān)的漏洞掃描監(jiān)控服務(wù)。通過(guò)遠(yuǎn)程的網(wǎng)站漏洞掃描服務(wù)，由安全專家定期進(jìn)行網(wǎng)站結(jié)構(gòu)分析、漏洞分析，即時(shí)獲得網(wǎng)站的漏洞情況，以及修補(bǔ)建議。網(wǎng)站防釣魚(yú)監(jiān)控服務(wù)防釣魚(yú)系統(tǒng)只針對(duì)Web業(yè)務(wù)處理進(jìn)行監(jiān)控服務(wù)?；谠朴?jì)算技術(shù)（SaaS），具有先天的防釣魚(yú)有事。通過(guò)構(gòu)建可信URL數(shù)據(jù)庫(kù)、IP信譽(yù)和自動(dòng)化的掃描輔助以人工確認(rèn)等綜合手段，從而構(gòu)建高效、準(zhǔn)確的反釣魚(yú)監(jiān)控系統(tǒng)。網(wǎng)頁(yè)木馬監(jiān)測(cè)服務(wù)基于“云安全”平臺(tái)，采用業(yè)內(nèi)領(lǐng)先的一體化掛馬檢測(cè)技術(shù)，高效、準(zhǔn)確的識(shí)別網(wǎng)站頁(yè)面中的惡意代碼，從而使的網(wǎng)站管理員能夠第一時(shí)間感知網(wǎng)站的安全狀態(tài)，及時(shí)清除網(wǎng)頁(yè)木馬，避免給用戶帶來(lái)安全威脅，繼

51、而影響網(wǎng)站信譽(yù)。遠(yuǎn)程網(wǎng)頁(yè)篡改監(jiān)測(cè)服務(wù)對(duì)頁(yè)面篡改監(jiān)控提供二種模式處理：對(duì)于網(wǎng)站結(jié)構(gòu)或者屬性單一的用戶，提供基于防護(hù)的篡改監(jiān)控防護(hù)模式。用戶可以根據(jù)自己情況，從管理中心下載與其服務(wù)器相對(duì)應(yīng)的防篡改客戶端，安裝在自己服務(wù)器上，和管理中心互聯(lián)，完成”監(jiān)控-防護(hù)”的功能；基于掃描的網(wǎng)頁(yè)篡改監(jiān)控服務(wù)。通過(guò)遠(yuǎn)程實(shí)時(shí)監(jiān)測(cè)目標(biāo)網(wǎng)站頁(yè)面的信息，一旦發(fā)現(xiàn)頁(yè)面被篡改情況，第一時(shí)間通知用戶。用戶可根據(jù)提供的安全建議及時(shí)修復(fù)被篡改頁(yè)面，避免篡改事件影響擴(kuò)散，給自身帶來(lái)聲譽(yù)和法律風(fēng)險(xiǎn)。網(wǎng)頁(yè)敏感信息監(jiān)測(cè)服務(wù)遠(yuǎn)程實(shí)時(shí)監(jiān)測(cè)目標(biāo)站點(diǎn)頁(yè)面狀況，發(fā)現(xiàn)頁(yè)面出現(xiàn)敏感關(guān)鍵詞，第一時(shí)間通知用戶。用戶可參考提供的安全建議及時(shí)刪除敏感內(nèi)容，避免事

52、件影響擴(kuò)散，給自身帶來(lái)聲譽(yù)和法律風(fēng)險(xiǎn)。用戶也可以自定義所關(guān)心的敏感關(guān)鍵詞。內(nèi)容監(jiān)控引擎能對(duì)網(wǎng)站存在的敏感信息進(jìn)行檢測(cè)，并且可以檢測(cè)不少于4種類型的敏感信息，同時(shí)，還能夠支持自定義倒入敏感信息，并能夠自定義設(shè)置不同級(jí)別的檢測(cè)敏感度，提升檢測(cè)的靈活性及判斷的準(zhǔn)確率。網(wǎng)站應(yīng)用監(jiān)測(cè)服務(wù)應(yīng)用監(jiān)控主要涉及以下指標(biāo)：網(wǎng)站可用性、網(wǎng)站從不同線路來(lái)訪問(wèn)得速度情況、網(wǎng)站響應(yīng)時(shí)間，從而判斷是否能達(dá)到最優(yōu)、最安全的服務(wù)質(zhì)量。通過(guò)監(jiān)測(cè)系統(tǒng)，遠(yuǎn)程實(shí)時(shí)監(jiān)測(cè)目標(biāo)站點(diǎn)在多種網(wǎng)絡(luò)協(xié)議下的響應(yīng)速度、首頁(yè)加載時(shí)間等反映網(wǎng)站性能狀況的內(nèi)容，一旦發(fā)現(xiàn)網(wǎng)站無(wú)法訪問(wèn)，第一時(shí)間通知用戶?？捎眯员O(jiān)控引擎能同時(shí)檢測(cè)網(wǎng)站的HTTP、DNS、PING

53、響應(yīng)，提供自定義的安全閥值，從而為網(wǎng)站快速診斷提供幫助；同時(shí)，能夠計(jì)量服務(wù)器掉線等安全事件發(fā)生的頻率、時(shí)間段，并提供報(bào)警操作。HTTP監(jiān)控通過(guò)自定義閾值探測(cè)網(wǎng)站頁(yè)面的HTTP響應(yīng)速度，以此為依據(jù)判斷網(wǎng)站的可用性，從而實(shí)現(xiàn)監(jiān)控功能。DNS監(jiān)控通過(guò)自定義閾值探測(cè)服務(wù)器的DNS響應(yīng)速度，從DNS服務(wù)響應(yīng)的角度判斷網(wǎng)站的可用性，從而實(shí)現(xiàn)監(jiān)控功能。PING監(jiān)控通過(guò)自定義閾值探測(cè)站點(diǎn)地址的PING響應(yīng)速度，以此為依據(jù)判斷網(wǎng)站的可用性，從而實(shí)現(xiàn)監(jiān)控功能。域名監(jiān)測(cè)(DNS)服務(wù)遠(yuǎn)程實(shí)時(shí)監(jiān)測(cè)各地主流ISP 的 DNS 緩存服務(wù)器和用戶DNS 授權(quán)服務(wù)器的可用性，以及它們對(duì)被監(jiān)測(cè)域名的解析結(jié)果情況。一旦發(fā)現(xiàn)用戶域

54、名無(wú)法解析或解析不正確，第一時(shí)間通知用戶。用戶可參考提供的安全建議恢復(fù)域名正常解析，避免域名不可用給訪問(wèn)者帶來(lái)不好的體驗(yàn)。暗鏈監(jiān)控監(jiān)控引擎能提供對(duì)網(wǎng)站的隱藏鏈接、非法鏈接檢測(cè)的功能。用戶可以自定義添加信任鏈接地址。系統(tǒng)漏洞掃描可針對(duì)網(wǎng)絡(luò)主機(jī)（如網(wǎng)絡(luò)打印機(jī)、服務(wù)器、客戶機(jī)等）、網(wǎng)絡(luò)設(shè)備（Cisco、3Com、Checkpoint等主流廠商網(wǎng)絡(luò)設(shè)備）、操作系統(tǒng)（Microsoft Windows 9X/NT/2000/XP/2003、Sun Solaris、HP Unix、IBM AIX、IRIX、Linux、BSD和國(guó)產(chǎn)麒麟操作系統(tǒng)等）以及應(yīng)用系統(tǒng)等進(jìn)行漏洞掃描檢測(cè)。數(shù)據(jù)庫(kù)漏洞掃描可以針對(duì)當(dāng)下主

55、流的數(shù)據(jù)庫(kù)，如Oracle、MySQL、DB2、PostgreSQL、sybase、SQL Server等進(jìn)行漏洞檢測(cè)。弱口令檢查平臺(tái)提供弱口令檢查引擎，可以基于調(diào)度任務(wù)對(duì)網(wǎng)站進(jìn)行遠(yuǎn)程自動(dòng)掃描，獲得所述網(wǎng)站的用戶信息，包括：用戶名、密碼，然后一方面同弱口令字典中的弱口令進(jìn)行匹配；另一方面使用獲取到的口令進(jìn)行模擬登陸驗(yàn)證，從而實(shí)現(xiàn)弱口令檢查功能。能對(duì)支持telnet, ssh, rdp,http, https, oracle, mysql,oracle-sid, redis，mongoDB的弱口令進(jìn)行安全檢測(cè)，一旦發(fā)現(xiàn)問(wèn)題，快速處置。WebShell檢測(cè)（流量監(jiān)測(cè)+特征檢測(cè)）監(jiān)測(cè)預(yù)警平臺(tái)提供的W

56、ebShell檢測(cè)引擎，可配合部署在終端的安全組件，對(duì)系統(tǒng)后臺(tái)的非法操作、異常函數(shù)調(diào)用及異常指令執(zhí)行進(jìn)行監(jiān)控判斷，識(shí)別WebShell攻擊。同時(shí)，通過(guò)與Web應(yīng)用防護(hù)系統(tǒng)的聯(lián)動(dòng)，一方面對(duì)非法的試探攻擊進(jìn)行阻斷，另一方面對(duì)WebShell的非法上傳進(jìn)行阻斷，并且進(jìn)行持續(xù)監(jiān)測(cè)和實(shí)時(shí)告警功能。安全威脅情報(bào)定期提供面向Web的安全漏洞、安全咨詢以及Web攻擊趨勢(shì)分析報(bào)告，便于掌握并且規(guī)避相關(guān)安全問(wèn)題。主要提供： 1) 針對(duì)安全漏洞的分析和修復(fù)方案； 2) 重大事件之前的安全預(yù)防以及相關(guān)通告； 3) 定期關(guān)于網(wǎng)站威脅的分析報(bào)告，同時(shí)及推送國(guó)內(nèi)的重大安全事件； 4) 更新針對(duì)Web的威脅庫(kù)，提供及時(shí)有效的

57、預(yù)警服務(wù)。IP地址掃描（資產(chǎn)、漏洞發(fā)現(xiàn)）平臺(tái)IP地址掃描（資產(chǎn)、漏洞發(fā)現(xiàn)）平臺(tái)是以IP資產(chǎn)、網(wǎng)絡(luò)安全設(shè)備（防火墻、IPS、WAF等）、路由設(shè)備、交換設(shè)備、計(jì)算機(jī)外圍設(shè)備（WIFI、打印機(jī)、掃描儀等）為核心，進(jìn)行資產(chǎn)識(shí)別，以Web應(yīng)用、數(shù)據(jù)庫(kù)、操作系統(tǒng)、軟件的安全檢測(cè)為核心，弱口令、端口與服務(wù)探測(cè)為輔助的綜合資產(chǎn)漏洞探測(cè)系統(tǒng)。實(shí)現(xiàn)分布式、集群式漏洞掃描功能，縮短掃描周期，提高長(zhǎng)期安全監(jiān)控能力。通過(guò)B/S框架及完善的權(quán)限控制系統(tǒng)。IP地址掃描偵測(cè)引擎利用基于指紋庫(kù)的網(wǎng)絡(luò)設(shè)備組件識(shí)別技術(shù)，進(jìn)行網(wǎng)絡(luò)設(shè)備信息采集。提供不低于3000萬(wàn)個(gè)IP地址全部資產(chǎn)識(shí)別和漏洞發(fā)現(xiàn)，在百兆帶寬下不多于40天，采用500

58、兆以上帶寬時(shí)，系統(tǒng)平均識(shí)別和發(fā)現(xiàn)時(shí)間不多于15天。Web監(jiān)控預(yù)警系統(tǒng)圖 Web漏洞掃描預(yù)警監(jiān)控系統(tǒng)體系結(jié)構(gòu)圖Web監(jiān)控預(yù)警結(jié)構(gòu)設(shè)計(jì)網(wǎng)絡(luò)爬蟲(chóng)系統(tǒng)結(jié)構(gòu)設(shè)計(jì)基于網(wǎng)絡(luò)的WEB應(yīng)用漏洞掃描的系統(tǒng)的核心模塊進(jìn)行了設(shè)計(jì)，該設(shè)計(jì)的后臺(tái)主要模塊可分為四個(gè)：控制調(diào)度模塊、網(wǎng)絡(luò)爬蟲(chóng)模塊、掃描功能模塊和數(shù)據(jù)庫(kù)。在此論述系統(tǒng)的設(shè)計(jì)思想及相關(guān)的技術(shù)原理，其各模塊的工作關(guān)系如下圖。圖 Web漏洞掃描預(yù)警監(jiān)控系統(tǒng)模塊關(guān)系圖控制模塊控制調(diào)度模塊，既是控制整個(gè)系統(tǒng)執(zhí)行順序的模塊，一般的小型系統(tǒng)可以將控制調(diào)度的邏輯直接寫(xiě)進(jìn)代碼中，這樣，系統(tǒng)就能?chē)?yán)格按照代碼的順序執(zhí)行相關(guān)的功能，但是如若系統(tǒng)增加了一個(gè)功能或者刪減了一個(gè)功能，就需要對(duì)

59、調(diào)度的代碼做直接修改，對(duì)于一個(gè)注重?cái)U(kuò)展性的系統(tǒng)而言，這顯然是不合理的，當(dāng)一個(gè)系統(tǒng)經(jīng)常做功能上的修改，這種方式將浪費(fèi)掉大量的時(shí)間和精力，抬高了系統(tǒng)的維護(hù)成本，本文設(shè)計(jì)的系統(tǒng)的特點(diǎn)之一便是擴(kuò)展性強(qiáng)，所以本系統(tǒng)將調(diào)度模塊和其它模塊解耦，調(diào)度模塊只從配置文件獲得各個(gè)模塊的執(zhí)行順序，而一旦有模塊的增加或刪減，也只對(duì)配置文件做修改，這樣就避免了模塊之間的耦合，提高了系統(tǒng)的擴(kuò)展性。其工作流程如下圖。圖 控制模塊工作流程圖第一步：加載系統(tǒng)和數(shù)據(jù)庫(kù)的配置文件，獲得運(yùn)行參數(shù)。第二步：根據(jù)配置文件獲得的參數(shù)，將http 訪問(wèn)、數(shù)據(jù)庫(kù)、和線程池等系統(tǒng)運(yùn)行的公共組件進(jìn)行初始化。第三步：根據(jù)獲得的運(yùn)行參數(shù)及調(diào)度順序，后臺(tái)

60、各功能模塊順序執(zhí)行。配置文件模塊為了使各個(gè)模塊之間的解耦，本系統(tǒng)運(yùn)行中用到的可變參數(shù)均通過(guò)配置文件的形式給定，根據(jù)本系統(tǒng)的架構(gòu)，需用到的配置文件有：Config.xml、SysConfig.xml、CrawlConfig.xml 、LoginSequnce.xml、DataBaseConfig.xml、ScanTemplate.xml。所有配置文件均采用XML格式給出。其中，Config.xml 是系統(tǒng)啟動(dòng)時(shí)加載的第一個(gè)配置文件，但其并未提供具體的配置，而是羅列了其它所有配置文件的路徑，系統(tǒng)通過(guò)讀取 Config.xml，可依次加載各個(gè)配置文件；SysConfig.xml 可配置系統(tǒng)的運(yùn)行參數(shù)