互聯(lián)網(wǎng)業(yè)務(wù)日新月異，以Web為主要業(yè)務(wù)載體的網(wǎng)站自身安全問(wèn)題也被提升至前所未有的高度。Web應(yīng)用漏洞掃描產(chǎn)品作為網(wǎng)站安全風(fēng)險(xiǎn)評(píng)估的首選工具，在日益突出的Web合規(guī)政策和業(yè)務(wù)安全驅(qū)動(dòng)下，被賦予了更多創(chuàng)新使命。如何輕松應(yīng)對(duì)網(wǎng)站安全運(yùn)維評(píng)估的難題，并跨越其在學(xué)習(xí)使用上的高門檻局限，這一切都呼喚著Web漏洞掃描產(chǎn)品能夠盡快融合當(dāng)前網(wǎng)站安全運(yùn)維理念。

　　1.Web合規(guī)政策趨勢(shì)

　　1.1 多，檢查的常態(tài)

　　近幾年，網(wǎng)站數(shù)據(jù)庫(kù)被拖庫(kù)、掛馬、篡改等Web安全事故比例逐年增加。2014年新成立的中網(wǎng)辦，站在國(guó)家安全層面首次發(fā)文直指網(wǎng)站安全，突出強(qiáng)調(diào)以查促建、以查促管、以查促改、以查促防的必要性和重要性。在等保、分保制度的指導(dǎo)下，各行各業(yè)已掀起安全大檢查浪潮，從已在線運(yùn)行的門戶網(wǎng)站檢查范圍，擴(kuò)大至新開通Web系統(tǒng)的安全備案，新增內(nèi)容專欄的上線準(zhǔn)入質(zhì)量評(píng)估。信息發(fā)布、轉(zhuǎn)載和鏈接管理的嚴(yán)格有效審查，都逐一變得常態(tài)化，周期化，高頻化。

　　1.2 嚴(yán)，考核的升級(jí)

　　考核形式上，采取自查和抽查方式，通過(guò)評(píng)分獎(jiǎng)罰制，讓安全迎檢與工作績(jī)效統(tǒng)一掛鉤。評(píng)分方面，網(wǎng)站安全分值占比明顯提高，整體由符合性評(píng)測(cè)得分和風(fēng)險(xiǎn)評(píng)估得分共同組成，并加大風(fēng)險(xiǎn)評(píng)估得分的比例權(quán)重。風(fēng)險(xiǎn)評(píng)估方面，除按照安全隱患的數(shù)量、位置、危害程度進(jìn)行一次扣分外，還增加了發(fā)現(xiàn)的安全隱患是否可被入侵利用的二次扣分機(jī)制，讓檢查要求變得愈發(fā)嚴(yán)格。

　　2.現(xiàn)有Web評(píng)估之殤

　　2.1 損傷，維穩(wěn)的天敵

　　Web評(píng)估，就是把網(wǎng)站作為核心資產(chǎn)，在不影響其持續(xù)運(yùn)行的前提下，進(jìn)行安全橫向到邊、縱向到底的全面風(fēng)險(xiǎn)度量。反觀眼下Web漏洞掃描產(chǎn)品，對(duì)網(wǎng)絡(luò)帶寬的過(guò)分占用及對(duì)業(yè)務(wù)系統(tǒng)的大量資源消耗所引發(fā)的一系列業(yè)務(wù)變慢、斷網(wǎng)等惡性事件，讓評(píng)估者一直心存陰影，使用積極性嚴(yán)重削減。

　　2.2 耗時(shí)，進(jìn)度的拖延

　　應(yīng)用為王的互聯(lián)網(wǎng)時(shí)代，網(wǎng)站數(shù)量日益增多、復(fù)雜度逐漸提升，使得愈發(fā)嚴(yán)格的檢查成為了一場(chǎng)與時(shí)間賽跑的競(jìng)賽。但縱觀各類Web漏洞掃描產(chǎn)品，多年來(lái)一直專注于精度而忽略速度，對(duì)大規(guī)模網(wǎng)站的快速評(píng)估存在一定的滯后性，拖延整個(gè)檢查進(jìn)度。

　　2.3 復(fù)雜，高門檻解讀

　　網(wǎng)站合規(guī)檢查頻次的增多，讓很多網(wǎng)絡(luò)運(yùn)維人員的工作轉(zhuǎn)投到日常網(wǎng)站安全評(píng)估中來(lái)。然而Web安全經(jīng)驗(yàn)的相對(duì)不足，各類網(wǎng)站應(yīng)用系統(tǒng)的復(fù)雜多變，及多年來(lái)Web漏洞掃描產(chǎn)品的專業(yè)定位，讓運(yùn)維人員在面對(duì)網(wǎng)站業(yè)務(wù)邏輯、運(yùn)轉(zhuǎn)流程，工具的功能理解、操作使用上，都存在一系列的認(rèn)知誤區(qū)。更為重要的是掃描報(bào)告解讀的困難，由于運(yùn)維人員對(duì)報(bào)告中的漏洞類型、存在位置、影響程度等缺乏足夠的認(rèn)識(shí)和重視，無(wú)法自行判斷是否存在誤報(bào)等問(wèn)題，導(dǎo)致風(fēng)險(xiǎn)識(shí)別嚴(yán)重滯后，最終影響后續(xù)漏洞修復(fù)的開展。

　　2.4 修復(fù)，莫名的恐懼

　　網(wǎng)站安全事故的出現(xiàn)，都源自于網(wǎng)站自身存在漏洞。網(wǎng)站周期性的評(píng)估檢查，就是及時(shí)發(fā)現(xiàn)這些漏洞，并讓安全人員第一時(shí)間修復(fù)它，實(shí)現(xiàn)安全加固的最終目的。然而在明確網(wǎng)站漏洞分布后，安全人員到底該采用哪種有效的修復(fù)方式，如打哪個(gè)系統(tǒng)升級(jí)包，如何調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)，是否增設(shè)網(wǎng)絡(luò)安全產(chǎn)品，已有的WAF防護(hù)策略如何調(diào)整等，還無(wú)法從現(xiàn)有Web漏洞掃描產(chǎn)品中得到清晰可靠的指導(dǎo)性建議。此外，即使采用了某種修復(fù)手段，該手段是否會(huì)造成網(wǎng)站業(yè)務(wù)的不良影響，依然無(wú)法確定。以上問(wèn)題最終導(dǎo)致了網(wǎng)站陷于一種漏洞已知，卻不敢下手修復(fù)的尷尬境地，讓網(wǎng)站評(píng)估半途而廢。

　　3.重啟Web應(yīng)用漏洞掃描之門

　　3.1 運(yùn)維理念的融合

　　3.1.1 網(wǎng)站資產(chǎn)識(shí)別，聚焦風(fēng)險(xiǎn)分布

　　在保持原有任務(wù)管理的基礎(chǔ)上，融合網(wǎng)站安全運(yùn)維理念的Web漏洞掃描產(chǎn)品必須具備網(wǎng)站資產(chǎn)識(shí)別能力。首先，通過(guò)只爬不掃，全面搜集目標(biāo)站點(diǎn)信息，如網(wǎng)站規(guī)模大小、類型屬性、資產(chǎn)映射表等基本信息，為下一步制定詳細(xì)掃描策略提供參考性依據(jù);其次，通過(guò)多級(jí)用戶權(quán)限的分離，讓不同角色的評(píng)估者從各自運(yùn)維管理的視角，靈活地依據(jù)目標(biāo)站點(diǎn)的閑時(shí)忙時(shí)、內(nèi)容歸屬等，擇時(shí)而掃、擇目錄而掃，進(jìn)行針對(duì)性更強(qiáng)的站點(diǎn)指定掃描，從而滿足從時(shí)間、角色、IP、域名、URL目錄、隸屬組織和部門名稱的多維統(tǒng)一，更好地詮釋掃描任務(wù)與當(dāng)前網(wǎng)站相關(guān)資產(chǎn)的清晰對(duì)應(yīng)，讓網(wǎng)站安全態(tài)勢(shì)從整體到局部一覽無(wú)遺，盡顯眼底。

　　3.1.2 無(wú)損式掃描，保障網(wǎng)站持續(xù)運(yùn)行

　　融合網(wǎng)站安全運(yùn)維理念的Web漏洞掃描產(chǎn)品必須具備無(wú)損掃描能力，來(lái)盡可能地降低掃描全過(guò)程對(duì)目標(biāo)站點(diǎn)的干擾，保障網(wǎng)站業(yè)務(wù)持續(xù)運(yùn)行。目前這方面的創(chuàng)新技術(shù)層出不窮，但簡(jiǎn)單歸納有如下幾方面：

　　速度自調(diào)節(jié)。自身設(shè)置多個(gè)計(jì)時(shí)器，采取主動(dòng)探尋機(jī)制，分別對(duì)目標(biāo)站點(diǎn)響應(yīng)、網(wǎng)絡(luò)鏈路延時(shí)、自身性能負(fù)載進(jìn)行實(shí)時(shí)監(jiān)聽，并依據(jù)其動(dòng)態(tài)曲線變化，自動(dòng)進(jìn)行掃描參數(shù)的自我修正，來(lái)達(dá)到掃描速度的智能調(diào)節(jié)，最大程度地降低原有恒定速度掃描可能對(duì)掃描環(huán)境造成的過(guò)高壓力。

　　不留干擾性代碼。采用獨(dú)創(chuàng)的插件檢測(cè)機(jī)制，通過(guò)偽造等同效能的隨機(jī)字符串替代真實(shí)java腳本，通過(guò)URL相似度判斷讓批量頁(yè)面只做一次頁(yè)面邏輯掃描，通過(guò)已知應(yīng)用框架識(shí)別僅匹配調(diào)用專屬的插件類型，通過(guò)讓有邏輯遞進(jìn)關(guān)系的插件直接信息共享等方式，一掃網(wǎng)站掃描后殘存大量干擾性代碼的弊端。

　　帶寬低占用。通過(guò)檢測(cè)算法優(yōu)化和報(bào)文高壓縮比，最大程度降低掃描的平均請(qǐng)求、響應(yīng)次數(shù)以及整體報(bào)文傳輸量。同時(shí)較低的掃描帶寬占用，也增強(qiáng)了其在復(fù)雜環(huán)境掃描的適應(yīng)能力，如在ADSL出口帶寬苛刻的環(huán)境下進(jìn)行遠(yuǎn)程掃描時(shí)，不會(huì)因帶寬占用分配的不足導(dǎo)致掃描請(qǐng)求大量超時(shí)，嚴(yán)重影響掃描的穩(wěn)定性和報(bào)告結(jié)果的準(zhǔn)確性。

　　網(wǎng)站日志關(guān)聯(lián)分析。為了有效降低傳統(tǒng)網(wǎng)站爬蟲對(duì)目標(biāo)系統(tǒng)的干擾，Web掃描產(chǎn)品還必須具備網(wǎng)站日志關(guān)聯(lián)分析能力。它除了對(duì)于一些網(wǎng)站孤鏈頁(yè)面能達(dá)到傳統(tǒng)網(wǎng)站爬蟲無(wú)法有效爬取的輔助作用外，更重要的是可通過(guò)對(duì)網(wǎng)站自身因早期訪問(wèn)所產(chǎn)生的日志文件關(guān)聯(lián)分析，直接減少爬蟲學(xué)習(xí)頁(yè)面的階段，進(jìn)入掃描插件的邏輯判斷環(huán)節(jié)，從而既能從整體上大大加速頁(yè)面定位和掃描時(shí)間，又能較多緩解爬蟲爬取網(wǎng)站目錄時(shí)可能造成的網(wǎng)絡(luò)擁塞和網(wǎng)站資源干擾。

　　3.1.3 漏洞場(chǎng)景可視化重現(xiàn)

　　針對(duì)需要誤報(bào)驗(yàn)證的漏洞清單，多數(shù)情況下，由于評(píng)估人員自身Web滲透測(cè)試技能的局限及手工驗(yàn)證大量漏洞的效率低下，讓漏洞驗(yàn)證成為評(píng)估者極為頭疼、望而生畏的一項(xiàng)工作。

　　因此，融合網(wǎng)站安全運(yùn)維理念的Web漏洞掃描產(chǎn)品，若能夠大大降低漏洞驗(yàn)證時(shí)對(duì)評(píng)估者的高門檻技能要求，針對(duì)批量待驗(yàn)證的各種Web漏洞類型，提供傻瓜式一鍵菜單，直接實(shí)現(xiàn)自動(dòng)驗(yàn)證，免除現(xiàn)有的繁瑣和人工之苦。同時(shí)，驗(yàn)證過(guò)程通過(guò)可視化方式進(jìn)行呈現(xiàn)，讓評(píng)估者清晰地知曉之前掃描時(shí)判斷該漏洞存在的標(biāo)準(zhǔn)依據(jù)是什么，交互執(zhí)行時(shí)都構(gòu)造了哪些URL鏈接和數(shù)據(jù)參數(shù)，實(shí)際響應(yīng)和判斷依據(jù)的預(yù)期結(jié)果對(duì)比是何結(jié)果，甚至整個(gè)漏洞的確認(rèn)過(guò)程中，與目標(biāo)站點(diǎn)所進(jìn)行的所有請(qǐng)求/響應(yīng)的原始報(bào)文、頁(yè)面源碼都能有對(duì)應(yīng)的說(shuō)明文件，最后高亮顯示存在漏洞的位置，讓其一一盡顯眼底。而對(duì)于驗(yàn)證失敗的漏洞，給出具體失敗的原因，如站點(diǎn)不可達(dá)、參數(shù)不全，或用戶站點(diǎn)發(fā)生變化等情況。

　　此外，為了盡可能避免網(wǎng)站整改方對(duì)于漏洞是否存在的質(zhì)疑，Web漏洞掃描產(chǎn)品還需提供離線的漏洞場(chǎng)景文件，它采取加密封裝的方式，把如上描述的全過(guò)程內(nèi)容細(xì)數(shù)打包，來(lái)方便檢查雙方彼此進(jìn)行場(chǎng)景重現(xiàn)、權(quán)威取證，并為下一步的一體化漏洞修補(bǔ)提供先決條件。

　　3.1.4 漏洞跟蹤，聚焦風(fēng)險(xiǎn)態(tài)勢(shì)分布

　　沒有絕對(duì)的安全，網(wǎng)站風(fēng)險(xiǎn)態(tài)勢(shì)也并非一成不變，這就要求融合網(wǎng)站安全運(yùn)維理念的Web漏洞掃描產(chǎn)品能在評(píng)估者指定的任意時(shí)間周期內(nèi)，從運(yùn)維管理的視角，快速根據(jù)網(wǎng)站資產(chǎn)、網(wǎng)絡(luò)環(huán)境、新爆漏洞、修補(bǔ)力度、整體態(tài)勢(shì)等關(guān)心程度，相應(yīng)呈現(xiàn)出以漏洞變化的核心風(fēng)險(xiǎn)態(tài)勢(shì)圖，緊隨網(wǎng)站評(píng)估的現(xiàn)實(shí)節(jié)奏，因地制宜，進(jìn)行相應(yīng)跟蹤分析和第一時(shí)間風(fēng)險(xiǎn)呈現(xiàn)。

　　3.2 大道至簡(jiǎn)的跨越

　　3.2.1 低門檻學(xué)習(xí)使用

　　Web漏洞掃描產(chǎn)品在保障專業(yè)性掃描的同時(shí)，需要具備傻瓜式的掃描配置，除繼承原有快速掃描、全局掃描、自定義掃描的模板外，還要能立足于某類新曝出的漏洞進(jìn)行快速遍歷匹配;報(bào)表展示方面，能夠提供風(fēng)險(xiǎn)儀表盤，來(lái)集中展示信息概要，并通過(guò)進(jìn)一步展示明細(xì)結(jié)果的快捷入口，快速查看所見即所得的圖文報(bào)表，最終通過(guò)全方位詳盡的漏洞詳情。讓評(píng)估者無(wú)需太多的Web安全知識(shí)積淀，無(wú)需專業(yè)人士的二次解讀，就能快速上手，簡(jiǎn)便操作，做到對(duì)網(wǎng)站風(fēng)險(xiǎn)的準(zhǔn)確把握，主次分明。

　　3.2.2 集群掃描，突破大規(guī)模網(wǎng)站掃描難題

　　傳統(tǒng)Web漏洞掃描產(chǎn)品，以安全評(píng)估為導(dǎo)向，一般采用獨(dú)立產(chǎn)品設(shè)計(jì)。對(duì)于大站點(diǎn)或者多站點(diǎn)的漏洞掃描則耗時(shí)很長(zhǎng)，甚至由于任務(wù)量太大而出現(xiàn)掃描異常終止的情況。因此對(duì)大規(guī)模的站點(diǎn)掃描成為安全運(yùn)維人員最頭疼的事情。

　　在保障現(xiàn)有掃描精度的前提下，融合網(wǎng)站安全運(yùn)維理念的Web漏掃工具能夠基于頁(yè)面級(jí)負(fù)載均衡的分布式集群技術(shù)，完全打破原有的增加掃描節(jié)點(diǎn)后只能在掃描任務(wù)間均分的老舊模式，真正做到顆粒度更細(xì)的URL頁(yè)面級(jí)，無(wú)論對(duì)單站點(diǎn)任務(wù)、多站點(diǎn)任務(wù)都能夠進(jìn)行動(dòng)態(tài)的均衡分配，且通過(guò)支持上百個(gè)掃描節(jié)點(diǎn)的集群，輕松實(shí)現(xiàn)大規(guī)模網(wǎng)站的掃描能力，同時(shí)具備統(tǒng)一的數(shù)據(jù)接口與上層運(yùn)維平臺(tái)緊密對(duì)接，進(jìn)行掃描任務(wù)集中管理和報(bào)表匯總輸出，從而大大縮短掃描時(shí)間，加快網(wǎng)站評(píng)估進(jìn)度。

　　3.2.3 一體化修補(bǔ)直通車

　　網(wǎng)站評(píng)估者在通過(guò)掃描報(bào)告，全面了解網(wǎng)站漏洞分布后，在面對(duì)下一步如何整改的問(wèn)題時(shí)往往陷入"知而不會(huì)改"或者"知而不敢改"的尷尬處境。這就要求新發(fā)展的Web掃描產(chǎn)品在掃描報(bào)告中除了需突破原有漏洞信息不完整，內(nèi)容晦澀難懂、修復(fù)建議指導(dǎo)性不強(qiáng)的局限外，還要盡量滿足與安全加固產(chǎn)品的一體化聯(lián)動(dòng)，通過(guò)自動(dòng)修復(fù)機(jī)制，從專業(yè)無(wú)誤的角度來(lái)增強(qiáng)運(yùn)維方對(duì)所采取的網(wǎng)站安全整改手段的信心。近些年市面上已有一些Web掃描產(chǎn)品與主流Web應(yīng)用防火墻形成一體化聯(lián)動(dòng)，讓掃描輸出的報(bào)表成為Web應(yīng)用防火墻下一步進(jìn)行Web服務(wù)器安全加固的定向策略，但由于掃描報(bào)告可能存在的誤報(bào)，根本無(wú)法讓整改方對(duì)其形成的加固策略完全放心，可接受性較差。如若新發(fā)展的Web掃描產(chǎn)品既能具備與安全防護(hù)產(chǎn)品達(dá)到手動(dòng)、自動(dòng)雙重聯(lián)動(dòng)機(jī)制，又能允許整改方對(duì)掃描報(bào)告中的漏洞清單進(jìn)行批量可視化驗(yàn)證確認(rèn)后，任意指定待修補(bǔ)的漏洞對(duì)象，從而隨需生成精準(zhǔn)的防護(hù)策略，形成目標(biāo)系統(tǒng)的虛擬加固補(bǔ)丁，輕松實(shí)現(xiàn)無(wú)憂修補(bǔ)，讓網(wǎng)站運(yùn)維人員補(bǔ)丁修補(bǔ)的恐懼之感不復(fù)存在。

　　4.結(jié)束語(yǔ)

　　Web威脅已成為當(dāng)前信息安全建設(shè)的主要威脅之一，對(duì)Web漏洞的發(fā)現(xiàn)、跟蹤及處理已成為從根本上緩解Web威脅和健壯Web系統(tǒng)的重要手段。而Web漏洞掃描產(chǎn)品通過(guò)融合網(wǎng)站安全運(yùn)維理念，從聚焦風(fēng)險(xiǎn)分布的資產(chǎn)識(shí)別、保障業(yè)務(wù)持續(xù)運(yùn)行的無(wú)損式掃描、確保漏洞權(quán)威可信的場(chǎng)景全過(guò)程可視化重現(xiàn)、聚焦網(wǎng)站風(fēng)險(xiǎn)態(tài)勢(shì)變化的漏洞跟蹤機(jī)制，實(shí)現(xiàn)與網(wǎng)站評(píng)估業(yè)務(wù)的攜手發(fā)展，緊密相連。同時(shí)配以大道至簡(jiǎn)的用戶體驗(yàn)，讓其在大規(guī)模網(wǎng)站評(píng)估和快速整改方面，輕松消除愈發(fā)嚴(yán)格的檢查制度所帶來(lái)的憂慮，助Web安全評(píng)估工作一臂之力。