互聯(lián)網(wǎng)業(yè)務(wù)日新月異，以Web為主要業(yè)務(wù)載體的網(wǎng)站自身安全問題也被提升至前所未有的高度。Web應(yīng)用漏洞掃描產(chǎn)品作為網(wǎng)站安全風(fēng)險評估的首選工具，在日益突出的Web合規(guī)政策和業(yè)務(wù)安全驅(qū)動下，被賦予了更多創(chuàng)新使命。如何輕松應(yīng)對網(wǎng)站安全運維評估的難題，并跨越其在學(xué)習(xí)使用上的高門檻局限，這一切都呼喚著Web漏洞掃描產(chǎn)品能夠盡快融合當(dāng)前網(wǎng)站安全運維理念。

　　1.Web合規(guī)政策趨勢

　　1.1 多，檢查的常態(tài)

　　近幾年，網(wǎng)站數(shù)據(jù)庫被拖庫、掛馬、篡改等Web安全事故比例逐年增加。2014年新成立的中網(wǎng)辦，站在國家安全層面首次發(fā)文直指網(wǎng)站安全，突出強調(diào)以查促建、以查促管、以查促改、以查促防的必要性和重要性。在等保、分保制度的指導(dǎo)下，各行各業(yè)已掀起安全大檢查浪潮，從已在線運行的門戶網(wǎng)站檢查范圍，擴大至新開通Web系統(tǒng)的安全備案，新增內(nèi)容專欄的上線準(zhǔn)入質(zhì)量評估。信息發(fā)布、轉(zhuǎn)載和鏈接管理的嚴(yán)格有效審查，都逐一變得常態(tài)化，周期化，高頻化。

　　1.2 嚴(yán)，考核的升級

　　考核形式上，采取自查和抽查方式，通過評分獎罰制，讓安全迎檢與工作績效統(tǒng)一掛鉤。評分方面，網(wǎng)站安全分值占比明顯提高，整體由符合性評測得分和風(fēng)險評估得分共同組成，并加大風(fēng)險評估得分的比例權(quán)重。風(fēng)險評估方面，除按照安全隱患的數(shù)量、位置、危害程度進(jìn)行一次扣分外，還增加了發(fā)現(xiàn)的安全隱患是否可被入侵利用的二次扣分機制，讓檢查要求變得愈發(fā)嚴(yán)格。

　　2.現(xiàn)有Web評估之殤

　　2.1 損傷，維穩(wěn)的天敵

　　Web評估，就是把網(wǎng)站作為核心資產(chǎn)，在不影響其持續(xù)運行的前提下，進(jìn)行安全橫向到邊、縱向到底的全面風(fēng)險度量。反觀眼下Web漏洞掃描產(chǎn)品，對網(wǎng)絡(luò)帶寬的過分占用及對業(yè)務(wù)系統(tǒng)的大量資源消耗所引發(fā)的一系列業(yè)務(wù)變慢、斷網(wǎng)等惡性事件，讓評估者一直心存陰影，使用積極性嚴(yán)重削減。

　　2.2 耗時，進(jìn)度的拖延

　　應(yīng)用為王的互聯(lián)網(wǎng)時代，網(wǎng)站數(shù)量日益增多、復(fù)雜度逐漸提升，使得愈發(fā)嚴(yán)格的檢查成為了一場與時間賽跑的競賽。但縱觀各類Web漏洞掃描產(chǎn)品，多年來一直專注于精度而忽略速度，對大規(guī)模網(wǎng)站的快速評估存在一定的滯后性，拖延整個檢查進(jìn)度。

　　2.3 復(fù)雜，高門檻解讀

　　網(wǎng)站合規(guī)檢查頻次的增多，讓很多網(wǎng)絡(luò)運維人員的工作轉(zhuǎn)投到日常網(wǎng)站安全評估中來。然而Web安全經(jīng)驗的相對不足，各類網(wǎng)站應(yīng)用系統(tǒng)的復(fù)雜多變，及多年來Web漏洞掃描產(chǎn)品的專業(yè)定位，讓運維人員在面對網(wǎng)站業(yè)務(wù)邏輯、運轉(zhuǎn)流程，工具的功能理解、操作使用上，都存在一系列的認(rèn)知誤區(qū)。更為重要的是掃描報告解讀的困難，由于運維人員對報告中的漏洞類型、存在位置、影響程度等缺乏足夠的認(rèn)識和重視，無法自行判斷是否存在誤報等問題，導(dǎo)致風(fēng)險識別嚴(yán)重滯后，最終影響后續(xù)漏洞修復(fù)的開展。

　　2.4 修復(fù)，莫名的恐懼

　　網(wǎng)站安全事故的出現(xiàn)，都源自于網(wǎng)站自身存在漏洞。網(wǎng)站周期性的評估檢查，就是及時發(fā)現(xiàn)這些漏洞，并讓安全人員第一時間修復(fù)它，實現(xiàn)安全加固的最終目的。然而在明確網(wǎng)站漏洞分布后，安全人員到底該采用哪種有效的修復(fù)方式，如打哪個系統(tǒng)升級包，如何調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)，是否增設(shè)網(wǎng)絡(luò)安全產(chǎn)品，已有的WAF防護(hù)策略如何調(diào)整等，還無法從現(xiàn)有Web漏洞掃描產(chǎn)品中得到清晰可靠的指導(dǎo)性建議。此外，即使采用了某種修復(fù)手段，該手段是否會造成網(wǎng)站業(yè)務(wù)的不良影響，依然無法確定。以上問題最終導(dǎo)致了網(wǎng)站陷于一種漏洞已知，卻不敢下手修復(fù)的尷尬境地，讓網(wǎng)站評估半途而廢。

　　3.重啟Web應(yīng)用漏洞掃描之門

　　3.1 運維理念的融合

　　3.1.1 網(wǎng)站資產(chǎn)識別，聚焦風(fēng)險分布

　　在保持原有任務(wù)管理的基礎(chǔ)上，融合網(wǎng)站安全運維理念的Web漏洞掃描產(chǎn)品必須具備網(wǎng)站資產(chǎn)識別能力。首先，通過只爬不掃，全面搜集目標(biāo)站點信息，如網(wǎng)站規(guī)模大小、類型屬性、資產(chǎn)映射表等基本信息，為下一步制定詳細(xì)掃描策略提供參考性依據(jù);其次，通過多級用戶權(quán)限的分離，讓不同角色的評估者從各自運維管理的視角，靈活地依據(jù)目標(biāo)站點的閑時忙時、內(nèi)容歸屬等，擇時而掃、擇目錄而掃，進(jìn)行針對性更強的站點指定掃描，從而滿足從時間、角色、IP、域名、URL目錄、隸屬組織和部門名稱的多維統(tǒng)一，更好地詮釋掃描任務(wù)與當(dāng)前網(wǎng)站相關(guān)資產(chǎn)的清晰對應(yīng)，讓網(wǎng)站安全態(tài)勢從整體到局部一覽無遺，盡顯眼底。

　　3.1.2 無損式掃描，保障網(wǎng)站持續(xù)運行

　　融合網(wǎng)站安全運維理念的Web漏洞掃描產(chǎn)品必須具備無損掃描能力，來盡可能地降低掃描全過程對目標(biāo)站點的干擾，保障網(wǎng)站業(yè)務(wù)持續(xù)運行。目前這方面的創(chuàng)新技術(shù)層出不窮，但簡單歸納有如下幾方面：

　　速度自調(diào)節(jié)。自身設(shè)置多個計時器，采取主動探尋機制，分別對目標(biāo)站點響應(yīng)、網(wǎng)絡(luò)鏈路延時、自身性能負(fù)載進(jìn)行實時監(jiān)聽，并依據(jù)其動態(tài)曲線變化，自動進(jìn)行掃描參數(shù)的自我修正，來達(dá)到掃描速度的智能調(diào)節(jié)，最大程度地降低原有恒定速度掃描可能對掃描環(huán)境造成的過高壓力。

　　不留干擾性代碼。采用獨創(chuàng)的插件檢測機制，通過偽造等同效能的隨機字符串替代真實java腳本，通過URL相似度判斷讓批量頁面只做一次頁面邏輯掃描，通過已知應(yīng)用框架識別僅匹配調(diào)用專屬的插件類型，通過讓有邏輯遞進(jìn)關(guān)系的插件直接信息共享等方式，一掃網(wǎng)站掃描后殘存大量干擾性代碼的弊端。

　　帶寬低占用。通過檢測算法優(yōu)化和報文高壓縮比，最大程度降低掃描的平均請求、響應(yīng)次數(shù)以及整體報文傳輸量。同時較低的掃描帶寬占用，也增強了其在復(fù)雜環(huán)境掃描的適應(yīng)能力，如在ADSL出口帶寬苛刻的環(huán)境下進(jìn)行遠(yuǎn)程掃描時，不會因帶寬占用分配的不足導(dǎo)致掃描請求大量超時，嚴(yán)重影響掃描的穩(wěn)定性和報告結(jié)果的準(zhǔn)確性。

　　網(wǎng)站日志關(guān)聯(lián)分析。為了有效降低傳統(tǒng)網(wǎng)站爬蟲對目標(biāo)系統(tǒng)的干擾，Web掃描產(chǎn)品還必須具備網(wǎng)站日志關(guān)聯(lián)分析能力。它除了對于一些網(wǎng)站孤鏈頁面能達(dá)到傳統(tǒng)網(wǎng)站爬蟲無法有效爬取的輔助作用外，更重要的是可通過對網(wǎng)站自身因早期訪問所產(chǎn)生的日志文件關(guān)聯(lián)分析，直接減少爬蟲學(xué)習(xí)頁面的階段，進(jìn)入掃描插件的邏輯判斷環(huán)節(jié)，從而既能從整體上大大加速頁面定位和掃描時間，又能較多緩解爬蟲爬取網(wǎng)站目錄時可能造成的網(wǎng)絡(luò)擁塞和網(wǎng)站資源干擾。

　　3.1.3 漏洞場景可視化重現(xiàn)

　　針對需要誤報驗證的漏洞清單，多數(shù)情況下，由于評估人員自身Web滲透測試技能的局限及手工驗證大量漏洞的效率低下，讓漏洞驗證成為評估者極為頭疼、望而生畏的一項工作。

　　因此，融合網(wǎng)站安全運維理念的Web漏洞掃描產(chǎn)品，若能夠大大降低漏洞驗證時對評估者的高門檻技能要求，針對批量待驗證的各種Web漏洞類型，提供傻瓜式一鍵菜單，直接實現(xiàn)自動驗證，免除現(xiàn)有的繁瑣和人工之苦。同時，驗證過程通過可視化方式進(jìn)行呈現(xiàn)，讓評估者清晰地知曉之前掃描時判斷該漏洞存在的標(biāo)準(zhǔn)依據(jù)是什么，交互執(zhí)行時都構(gòu)造了哪些URL鏈接和數(shù)據(jù)參數(shù)，實際響應(yīng)和判斷依據(jù)的預(yù)期結(jié)果對比是何結(jié)果，甚至整個漏洞的確認(rèn)過程中，與目標(biāo)站點所進(jìn)行的所有請求/響應(yīng)的原始報文、頁面源碼都能有對應(yīng)的說明文件，最后高亮顯示存在漏洞的位置，讓其一一盡顯眼底。而對于驗證失敗的漏洞，給出具體失敗的原因，如站點不可達(dá)、參數(shù)不全，或用戶站點發(fā)生變化等情況。

　　此外，為了盡可能避免網(wǎng)站整改方對于漏洞是否存在的質(zhì)疑，Web漏洞掃描產(chǎn)品還需提供離線的漏洞場景文件，它采取加密封裝的方式，把如上描述的全過程內(nèi)容細(xì)數(shù)打包，來方便檢查雙方彼此進(jìn)行場景重現(xiàn)、權(quán)威取證，并為下一步的一體化漏洞修補提供先決條件。

　　3.1.4 漏洞跟蹤，聚焦風(fēng)險態(tài)勢分布

　　沒有絕對的安全，網(wǎng)站風(fēng)險態(tài)勢也并非一成不變，這就要求融合網(wǎng)站安全運維理念的Web漏洞掃描產(chǎn)品能在評估者指定的任意時間周期內(nèi)，從運維管理的視角，快速根據(jù)網(wǎng)站資產(chǎn)、網(wǎng)絡(luò)環(huán)境、新爆漏洞、修補力度、整體態(tài)勢等關(guān)心程度，相應(yīng)呈現(xiàn)出以漏洞變化的核心風(fēng)險態(tài)勢圖，緊隨網(wǎng)站評估的現(xiàn)實節(jié)奏，因地制宜，進(jìn)行相應(yīng)跟蹤分析和第一時間風(fēng)險呈現(xiàn)。

　　3.2 大道至簡的跨越

　　3.2.1 低門檻學(xué)習(xí)使用

　　Web漏洞掃描產(chǎn)品在保障專業(yè)性掃描的同時，需要具備傻瓜式的掃描配置，除繼承原有快速掃描、全局掃描、自定義掃描的模板外，還要能立足于某類新曝出的漏洞進(jìn)行快速遍歷匹配;報表展示方面，能夠提供風(fēng)險儀表盤，來集中展示信息概要，并通過進(jìn)一步展示明細(xì)結(jié)果的快捷入口，快速查看所見即所得的圖文報表，最終通過全方位詳盡的漏洞詳情。讓評估者無需太多的Web安全知識積淀，無需專業(yè)人士的二次解讀，就能快速上手，簡便操作，做到對網(wǎng)站風(fēng)險的準(zhǔn)確把握，主次分明。

　　3.2.2 集群掃描，突破大規(guī)模網(wǎng)站掃描難題

　　傳統(tǒng)Web漏洞掃描產(chǎn)品，以安全評估為導(dǎo)向，一般采用獨立產(chǎn)品設(shè)計。對于大站點或者多站點的漏洞掃描則耗時很長，甚至由于任務(wù)量太大而出現(xiàn)掃描異常終止的情況。因此對大規(guī)模的站點掃描成為安全運維人員最頭疼的事情。

　　在保障現(xiàn)有掃描精度的前提下，融合網(wǎng)站安全運維理念的Web漏掃工具能夠基于頁面級負(fù)載均衡的分布式集群技術(shù)，完全打破原有的增加掃描節(jié)點后只能在掃描任務(wù)間均分的老舊模式，真正做到顆粒度更細(xì)的URL頁面級，無論對單站點任務(wù)、多站點任務(wù)都能夠進(jìn)行動態(tài)的均衡分配，且通過支持上百個掃描節(jié)點的集群，輕松實現(xiàn)大規(guī)模網(wǎng)站的掃描能力，同時具備統(tǒng)一的數(shù)據(jù)接口與上層運維平臺緊密對接，進(jìn)行掃描任務(wù)集中管理和報表匯總輸出，從而大大縮短掃描時間，加快網(wǎng)站評估進(jìn)度。

　　3.2.3 一體化修補直通車

　　網(wǎng)站評估者在通過掃描報告，全面了解網(wǎng)站漏洞分布后，在面對下一步如何整改的問題時往往陷入"知而不會改"或者"知而不敢改"的尷尬處境。這就要求新發(fā)展的Web掃描產(chǎn)品在掃描報告中除了需突破原有漏洞信息不完整，內(nèi)容晦澀難懂、修復(fù)建議指導(dǎo)性不強的局限外，還要盡量滿足與安全加固產(chǎn)品的一體化聯(lián)動，通過自動修復(fù)機制，從專業(yè)無誤的角度來增強運維方對所采取的網(wǎng)站安全整改手段的信心。近些年市面上已有一些Web掃描產(chǎn)品與主流Web應(yīng)用防火墻形成一體化聯(lián)動，讓掃描輸出的報表成為Web應(yīng)用防火墻下一步進(jìn)行Web服務(wù)器安全加固的定向策略，但由于掃描報告可能存在的誤報，根本無法讓整改方對其形成的加固策略完全放心，可接受性較差。如若新發(fā)展的Web掃描產(chǎn)品既能具備與安全防護(hù)產(chǎn)品達(dá)到手動、自動雙重聯(lián)動機制，又能允許整改方對掃描報告中的漏洞清單進(jìn)行批量可視化驗證確認(rèn)后，任意指定待修補的漏洞對象，從而隨需生成精準(zhǔn)的防護(hù)策略，形成目標(biāo)系統(tǒng)的虛擬加固補丁，輕松實現(xiàn)無憂修補，讓網(wǎng)站運維人員補丁修補的恐懼之感不復(fù)存在。

　　4.結(jié)束語

　　Web威脅已成為當(dāng)前信息安全建設(shè)的主要威脅之一，對Web漏洞的發(fā)現(xiàn)、跟蹤及處理已成為從根本上緩解Web威脅和健壯Web系統(tǒng)的重要手段。而Web漏洞掃描產(chǎn)品通過融合網(wǎng)站安全運維理念，從聚焦風(fēng)險分布的資產(chǎn)識別、保障業(yè)務(wù)持續(xù)運行的無損式掃描、確保漏洞權(quán)威可信的場景全過程可視化重現(xiàn)、聚焦網(wǎng)站風(fēng)險態(tài)勢變化的漏洞跟蹤機制，實現(xiàn)與網(wǎng)站評估業(yè)務(wù)的攜手發(fā)展，緊密相連。同時配以大道至簡的用戶體驗，讓其在大規(guī)模網(wǎng)站評估和快速整改方面，輕松消除愈發(fā)嚴(yán)格的檢查制度所帶來的憂慮，助Web安全評估工作一臂之力。