方案概述

通過(guò)盛邦安全提供的高校Web資產(chǎn)治理防護(hù)一體化方案，為學(xué)校信息化中心部門(mén)建立一套Web應(yīng)用資產(chǎn)全生命周期管理平臺(tái)系統(tǒng)。

通過(guò)方案實(shí)現(xiàn)對(duì)web資產(chǎn)自學(xué)習(xí)摸底、備案管理、立體化防護(hù)、自動(dòng)化運(yùn)營(yíng)、應(yīng)急響應(yīng)的全生命周期管理；加強(qiáng)了web資產(chǎn)安全監(jiān)測(cè)、和日常維護(hù)管理，并能針對(duì)web資產(chǎn)安全隱患實(shí)時(shí)告警。

方案背景

目前高校Web應(yīng)用存在以下問(wèn)題：

◆ 高校網(wǎng)站眾多，但分屬各學(xué)院，使用權(quán)、管理權(quán)分散，管理成本高

◆ 網(wǎng)站私搭亂建現(xiàn)象嚴(yán)重，常規(guī)手段無(wú)法監(jiān)測(cè)網(wǎng)站數(shù)量

◆ 責(zé)、權(quán)、利不好界定，“網(wǎng)絡(luò)中心”“信息中心”成為業(yè)務(wù)部門(mén)（如科研處、教務(wù)處系統(tǒng)）的替罪羊

◆ 專業(yè)人員配置不足

◆ 退運(yùn)的網(wǎng)站，因?yàn)檫\(yùn)營(yíng)和使用屬于不同部門(mén) ，因此常常成為孤島網(wǎng)站

◆ 安全事件頻發(fā)，防護(hù)手段缺失

◆ 無(wú)法便捷監(jiān)控，缺乏預(yù)警、響應(yīng)手段

◆ 科研需求更特殊，常常使得安全被犧牲

解決方案

通過(guò)Web資產(chǎn)安全治理平臺(tái)與WAF等防護(hù)探針聯(lián)動(dòng)形成一體化綜合治理防護(hù)解決方案，可實(shí)現(xiàn)資產(chǎn)摸底，備案管理，自動(dòng)化運(yùn)營(yíng)，立體化防護(hù)，緊急響應(yīng)集合于一體的整套解決方案。

方案能力

◆ 摸清家底

Web資產(chǎn)安全治理平臺(tái)可通過(guò)分析交換機(jī)的鏡像數(shù)據(jù)，梳理出校園網(wǎng)內(nèi)在線服務(wù)的web資產(chǎn)，生成一個(gè)校園網(wǎng)上的web資產(chǎn)臺(tái)賬，并對(duì)資產(chǎn)進(jìn)行分類整理，使用戶清楚的了解到有多少資產(chǎn)、多少未知資產(chǎn)、多少合規(guī)與不合規(guī)資產(chǎn)。對(duì)資產(chǎn)進(jìn)行全面的指紋畫(huà)像。

Web資產(chǎn)安全治理平臺(tái)也可以通過(guò)Web業(yè)務(wù)系統(tǒng)訪問(wèn)流量做運(yùn)營(yíng)分析，甄別僵尸網(wǎng)站實(shí)現(xiàn)真正需要對(duì)外服務(wù)網(wǎng)站的有效管控。

◆ 備案審核

對(duì)外提供服務(wù)的合規(guī)性應(yīng)用系統(tǒng)均建立備案流程，通過(guò)平臺(tái)備案管理，可實(shí)現(xiàn)web資產(chǎn)的所有權(quán)的確認(rèn)以及資產(chǎn)管理信息登記。提供備案申請(qǐng)、備案審核等流程并能導(dǎo)出等保備案表，以及ICP備案自動(dòng)更新與維護(hù)。在備案審核通過(guò)后自動(dòng)進(jìn)入上線前的安全檢查流程，根據(jù)校內(nèi)定制的安全規(guī)范策略實(shí)現(xiàn)合規(guī)性以及安全性的檢查，對(duì)于存在風(fēng)險(xiǎn)的應(yīng)用不予以上線退回按要求整改。

◆ 自動(dòng)化運(yùn)營(yíng)

通過(guò)自定義時(shí)間周期對(duì)資產(chǎn)進(jìn)行安全監(jiān)控并提供漏洞掃描、漏洞驗(yàn)證和漏洞生命周期管理，對(duì)應(yīng)用系統(tǒng)7*24小時(shí)持續(xù)監(jiān)測(cè)以及周期性的安全巡檢，并從多個(gè)維度進(jìn)行安全性績(jī)效打分排名。自動(dòng)化運(yùn)營(yíng)包括有流量被動(dòng)分析和主動(dòng)式監(jiān)測(cè)兩方面。通過(guò)被動(dòng)式流量分析發(fā)現(xiàn)失陷主機(jī)與Webshell的活動(dòng)情況，主動(dòng)式經(jīng)監(jiān)測(cè)測(cè)內(nèi)容包括系統(tǒng)漏洞監(jiān)測(cè)、Web漏洞監(jiān)測(cè)、敏感詞監(jiān)測(cè)、暗鏈監(jiān)測(cè)、篡改監(jiān)控敏感詞，弱口令等。

◆ 立體化防御

按照等保建設(shè)要求，可與監(jiān)控、防護(hù)、審計(jì)系統(tǒng)、防篡改系統(tǒng)聯(lián)動(dòng)，建立監(jiān)控、預(yù)警、響應(yīng)、溯源的防御體系監(jiān)控。

◆ 應(yīng)急響應(yīng)

對(duì)發(fā)現(xiàn)的不合規(guī)或存在安全風(fēng)險(xiǎn)的Web業(yè)務(wù)系統(tǒng)實(shí)現(xiàn)應(yīng)急響應(yīng)處置措施，可快速實(shí)現(xiàn)一鍵斷網(wǎng)或者一鍵下線，以達(dá)到將安全事件的擴(kuò)散快速遏制和漏洞被利用的風(fēng)險(xiǎn)降低。將存在風(fēng)險(xiǎn)的Web業(yè)務(wù)下線同時(shí)退回給用戶部門(mén)進(jìn)行整改。

方案優(yōu)勢(shì)

◆ 實(shí)現(xiàn)對(duì)校園網(wǎng)Web資產(chǎn)的全面梳理，建立動(dòng)態(tài)完整的Web資產(chǎn)臺(tái)賬；

◆ 幫助信息管理人員建立了一套針對(duì)web資產(chǎn)發(fā)現(xiàn)、審核備案、自動(dòng)化運(yùn)營(yíng)、立體化防護(hù)、應(yīng)急響應(yīng)退運(yùn)的全生命周期的治理方案；

◆ 落實(shí)Web資產(chǎn)開(kāi)辦審核工作；

◆ 對(duì)Web資產(chǎn)進(jìn)行統(tǒng)一管理、統(tǒng)一防護(hù)、統(tǒng)一監(jiān)測(cè)；

◆ 加強(qiáng)Web資產(chǎn)安全監(jiān)測(cè)、測(cè)評(píng)和檢查，查找Web資產(chǎn)安全隱患并及時(shí)整改；

◆ 建立Web資產(chǎn)安全監(jiān)測(cè)、應(yīng)急處置和責(zé)任追究機(jī)制；

◆ 可拓展形成完善的安全防御體系；

◆ 可與防御探針聯(lián)動(dòng)，建立監(jiān)控、預(yù)警、響應(yīng)、溯源的防御體系；

相關(guān)產(chǎn)品

典型案例

廣西醫(yī)科大學(xué)

首都體育學(xué)院

北京市教委