融合运维理念 助力Web安全评估

互联网业务日新月异，以Web为主要业务载体的网站自身安全问题也被提升至前所未有的高度。Web应用漏洞扫描产品作为网站安全风险评估的首选工具，在日益突出的Web合规政策和业务安全驱动下，被赋予了更多创新使命。如何轻松应对网站安全运维评估的难题，并跨越其在学习使用上的高门槛局限，这一切都呼唤着Web漏洞扫描产品能够尽快融合当前网站安全运维理念。

1. Web合规政策趋势

1.1 多，检查的常态

近几年，网站数据库被拖库、挂马、篡改等Web安全事故比例逐年增加。2014年新成立的中网办，站在国家安全层面首次发文直指网站安全，突出强调以查促建、以查促管、以查促改、以查促防的必要性和重要性。在等保、分保制度的指导下，各行各业已掀起安全大检查浪潮，从已在线运行的门户网站检查范围，扩大至新开通Web系统的安全备案，新增内容专栏的上线准入质量评估。信息发布、转载和链接管理的严格有效审查，都逐一变得常态化，周期化，高频化。

1.2 严，考核的升级

考核形式上，采取自查和抽查方式，通过评分奖罚制，让安全迎检与工作绩效统一挂钩。评分方面，网站安全分值占比明显提高，整体由符合性评测得分和风险评估得分共同组成，并加大风险评估得分的比例权重。风险评估方面，除按照安全隐患的数量、位置、危害程度进行一次扣分外，还增加了发现的安全隐患是否可被入侵利用的二次扣分机制，让检查要求变得愈发严格。

2. 现有Web评估之殇

2.1 损伤，维稳的天敌

Web评估，就是把网站作为核心资产，在不影响其持续运行的前提下，进行安全横向到边、纵向到底的全面风险度量。反观眼下Web漏洞扫描产品，对网络带宽的过分占用及对业务系统的大量资源消耗所引发的一系列业务变慢、断网等恶性事件，让评估者一直心存阴影，使用积极性严重削减。

2.2 耗时，进度的拖延

应用为王的互联网时代，网站数量日益增多、复杂度逐渐提升，使得愈发严格的检查成为了一场与时间赛跑的竞赛。但纵观各类Web漏洞扫描产品，多年来一直专注于精度而忽略速度，对大规模网站的快速评估存在一定的滞后性，拖延整个检查进度。

2.3 复杂，高门槛解读

网站合规检查频次的增多，让很多网络运维人员的工作转投到日常网站安全评估中来。然而Web安全经验的相对不足，各类网站应用系统的复杂多变，及多年来Web漏洞扫描产品的专业定位，让运维人员在面对网站业务逻辑、运转流程，工具的功能理解、操作使用上，都存在一系列的认知误区。更为重要的是扫描报告解读的困难，由于运维人员对报告中的漏洞类型、存在位置、影响程度等缺乏足够的认识和重视，无法自行判断是否存在误报等问题，导致风险识别严重滞后，最终影响后续漏洞修复的开展。

2.4 修复，莫名的恐惧

网站安全事故的出现，都源自于网站自身存在漏洞。网站周期性的评估检查，就是及时发现这些漏洞，并让安全人员第一时间修复它，实现安全加固的最终目的。然而在明确网站漏洞分布后，安全人员到底该采用哪种有效的修复方式，如打哪个系统升级包，如何调整网络结构，是否增设网络安全产品，已有的WAF防护策略如何调整等，还无法从现有Web漏洞扫描产品中得到清晰可靠的指导性建议。此外，即使采用了某种修复手段，该手段是否会造成网站业务的不良影响，依然无法确定。以上问题最终导致了网站陷于一种漏洞已知，却不敢下手修复的尴尬境地，让网站评估半途而废。

3. 重启Web应用漏洞扫描之门

3.1 运维理念的融合

3.1.1 网站资产识别，聚焦风险分布

在保持原有任务管理的基础上，融合网站安全运维理念的Web漏洞扫描产品必须具备网站资产识别能力。首先，通过只爬不扫，全面搜集目标站点信息,如网站规模大小、类型属性、资产映射表等基本信息，为下一步制定详细扫描策略提供参考性依据；其次，通过多级用户权限的分离，让不同角色的评估者从各自运维管理的视角，灵活地依据目标站点的闲时忙时、内容归属等，择时而扫、择目录而扫，进行针对性更强的站点指定扫描，从而满足从时间、角色、IP、域名、URL目录、隶属组织和部门名称的多维统一，更好地诠释扫描任务与当前网站相关资产的清晰对应，让网站安全态势从整体到局部一览无遗，尽显眼底。

3.1.2 无损式扫描，保障网站持续运行

融合网站安全运维理念的Web漏洞扫描产品必须具备无损扫描能力，来尽可能地降低扫描全过程对目标站点的干扰，保障网站业务持续运行。目前这方面的创新技术层出不穷，但简单归纳有如下几方面：

速度自调节。自身设置多个计时器，采取主动探寻机制，分别对目标站点响应、网络链路延时、自身性能负载进行实时监听，并依据其动态曲线变化，自动进行扫描参数的自我修正，来达到扫描速度的智能调节，最大程度地降低原有恒定速度扫描可能对扫描环境造成的过高压力。

不留干扰性代码。采用独创的插件检测机制，通过伪造等同效能的随机字符串替代真实java脚本，通过URL相似度判断让批量页面只做一次页面逻辑扫描，通过已知应用框架识别仅匹配调用专属的插件类型，通过让有逻辑递进关系的插件直接信息共享等方式，一扫网站扫描后残存大量干扰性代码的弊端。

带宽低占用。通过检测算法优化和报文高压缩比，最大程度降低扫描的平均请求、响应次数以及整体报文传输量。同时较低的扫描带宽占用，也增强了其在复杂环境扫描的适应能力，如在ADSL出口带宽苛刻的环境下进行远程扫描时，不会因带宽占用分配的不足导致扫描请求大量超时，严重影响扫描的稳定性和报告结果的准确性。

网站日志关联分析。为了有效降低传统网站爬虫对目标系统的干扰，Web扫描产品还必须具备网站日志关联分析能力。它除了对于一些网站孤链页面能达到传统网站爬虫无法有效爬取的辅助作用外，更重要的是可通过对网站自身因早期访问所产生的日志文件关联分析，直接减少爬虫学习页面的阶段，进入扫描插件的逻辑判断环节，从而既能从整体上大大加速页面定位和扫描时间，又能较多缓解爬虫爬取网站目录时可能造成的网络拥塞和网站资源干扰。

3.1.3 漏洞场景可视化重现

针对需要误报验证的漏洞清单，多数情况下，由于评估人员自身Web渗透测试技能的局限及手工验证大量漏洞的效率低下，让漏洞验证成为评估者极为头疼、望而生畏的一项工作。

因此，融合网站安全运维理念的Web漏洞扫描产品，若能够大大降低漏洞验证时对评估者的高门槛技能要求，针对批量待验证的各种Web漏洞类型，提供傻瓜式一键菜单，直接实现自动验证，免除现有的繁琐和人工之苦。同时，验证过程通过可视化方式进行呈现，让评估者清晰地知晓之前扫描时判断该漏洞存在的标准依据是什么，交互执行时都构造了哪些URL链接和数据参数，实际响应和判断依据的预期结果对比是何结果，甚至整个漏洞的确认过程中，与目标站点所进行的所有请求/响应的原始报文、页面源码都能有对应的说明文件，最后高亮显示存在漏洞的位置，让其一一尽显眼底。而对于验证失败的漏洞，给出具体失败的原因，如站点不可达、参数不全，或用户站点发生变化等情况。

此外，为了尽可能避免网站整改方对于漏洞是否存在的质疑，Web漏洞扫描产品还需提供离线的漏洞场景文件，它采取加密封装的方式，把如上描述的全过程内容细数打包，来方便检查双方彼此进行场景重现、权威取证，并为下一步的一体化漏洞修补提供先决条件。

3.1.4 漏洞跟踪，聚焦风险态势分布

没有绝对的安全，网站风险态势也并非一成不变，这就要求融合网站安全运维理念的Web漏洞扫描产品能在评估者指定的任意时间周期内，从运维管理的视角，快速根据网站资产、网络环境、新爆漏洞、修补力度、整体态势等关心程度，相应呈现出以漏洞变化的核心风险态势图，紧随网站评估的现实节奏，因地制宜，进行相应跟踪分析和第一时间风险呈现。

3.2 大道至简的跨越

3.2.1 低门槛学习使用

Web漏洞扫描产品在保障专业性扫描的同时，需要具备傻瓜式的扫描配置，除继承原有快速扫描、全局扫描、自定义扫描的模板外，还要能立足于某类新曝出的漏洞进行快速遍历匹配；报表展示方面，能够提供风险仪表盘，来集中展示信息概要，并通过进一步展示明细结果的快捷入口，快速查看所见即所得的图文报表，最终通过全方位详尽的漏洞详情。让评估者无需太多的Web安全知识积淀，无需专业人士的二次解读，就能快速上手，简便操作，做到对网站风险的准确把握，主次分明。

3.2.2 集群扫描，突破大规模网站扫描难题

传统Web漏洞扫描产品，以安全评估为导向，一般采用独立产品设计。对于大站点或者多站点的漏洞扫描则耗时很长，甚至由于任务量太大而出现扫描异常终止的情况。因此对大规模的站点扫描成为安全运维人员最头疼的事情。

在保障现有扫描精度的前提下，融合网站安全运维理念的Web漏扫工具能够基于页面级负载均衡的分布式集群技术，完全打破原有的增加扫描节点后只能在扫描任务间均分的老旧模式，真正做到颗粒度更细的URL页面级，无论对单站点任务、多站点任务都能够进行动态的均衡分配，且通过支持上百个扫描节点的集群，轻松实现大规模网站的扫描能力，同时具备统一的数据接口与上层运维平台紧密对接，进行扫描任务集中管理和报表汇总输出，从而大大缩短扫描时间，加快网站评估进度。

3.2.3 一体化修补直通车

网站评估者在通过扫描报告，全面了解网站漏洞分布后，在面对下一步如何整改的问题时往往陷入“知而不会改”或者“知而不敢改”的尴尬处境。这就要求新发展的Web扫描产品在扫描报告中除了需突破原有漏洞信息不完整，内容晦涩难懂、修复建议指导性不强的局限外，还要尽量满足与安全加固产品的一体化联动，通过自动修复机制，从专业无误的角度来增强运维方对所采取的网站安全整改手段的信心。近些年市面上已有一些Web扫描产品与主流Web应用防火墙形成一体化联动，让扫描输出的报表成为Web应用防火墙下一步进行Web服务器安全加固的定向策略，但由于扫描报告可能存在的误报，根本无法让整改方对其形成的加固策略完全放心，可接受性较差。如若新发展的Web扫描产品既能具备与安全防护产品达到手动、自动双重联动机制，又能允许整改方对扫描报告中的漏洞清单进行批量可视化验证确认后，任意指定待修补的漏洞对象，从而随需生成精准的防护策略，形成目标系统的虚拟加固补丁，轻松实现无忧修补，让网站运维人员补丁修补的恐惧之感不复存在。

4. 结束语

Web威胁已成为当前信息安全建设的主要威胁之一，对Web漏洞的发现、跟踪及处理已成为从根本上缓解Web威胁和健壮Web系统的重要手段。而Web漏洞扫描产品通过融合网站安全运维理念，从聚焦风险分布的资产识别、保障业务持续运行的无损式扫描、确保漏洞权威可信的场景全过程可视化重现、聚焦网站风险态势变化的漏洞跟踪机制，实现与网站评估业务的携手发展，紧密相连。同时配以大道至简的用户体验，让其在大规模网站评估和快速整改方面，轻松消除愈发严格的检查制度所带来的忧虑，助Web安全评估工作一臂之力。