运营商门户网站需要主动防御

从2004年出现第一个钓鱼网站开始，国内钓鱼网站数量持续增加，每季度新增超过400个站点。CNNIC《第24次中国互联网络发展状况统计报告》中指出，在3.38亿中国网民中，有超过1.1亿都遭遇过账户或密码被盗的事件，其中由钓鱼网站引起的占了绝大多数。运营商当前重点发展的业务站点，越来越多地承载了各种应用，涉及到了很多用户的话费、计费、通话详单等敏感信息。这些一旦受到钓鱼网站的欺骗，将对用户造成严重影响，危害运营商业务开展。因此，运营商自身网站的安全性显得更为突出。

大量事实和案例分析表明，网页篡改、信息窃取、非法入侵和拒绝服务是门户网站面临的严重的安全威胁，也是保障网站安全正常运行重要的防范对象。从另一个角度上也可以看出，开放的门户网站面临的安全威胁是运营商其他任何业务系统所不能相比的。入侵者基于不同的攻击目的，攻击角度，攻击手段的多维操作极大提高了安全防护的难度。因此，采用单点防护的策略对于门户网站的安全防护是远远不够的，需要构建一个完整的、全面的以及纵深的防御体系。

定制化开发门户网站需要关注Web应用安全

对于定制化开发的运营商门户网站系统来说，从Web应用系统的规划、开发、测试和运行维护各个生命周期角度上讲，处于规划阶段、开发阶段和测试阶段的门户网站系统又叫上线前系统，处于运行阶段的门户网站系统又叫已上线系统。一般来说，上线前系统的安全测试主要由系统的开发厂商进行，而上线后的系统运营交付给运营商进行。运营后的网站维护，通常由开发厂商维护一段时间后，交由公司的运维人员进行维护。

问题在于，系统开发、测试结束后上线运营时，只有很少甚至没有相应的补丁程序，黑客可利用定制化开发程序的漏洞进行渗透和入侵。这些漏洞往往在该系统开发甚至规划阶段就存在，但由于缺乏合理的安全规划和部署，在测试阶段也没有及时发现，导致这些安全隐患一直遗留到运营阶段。

因此，对于定制化开发的门户网站系统，不能依靠传统的防护思路和防护手段进行防护，需要将安全防护的思路贯穿于门户网站Web应用系统的规划，开发、测试和运行维护的各个生命周期阶段进行分阶段、有重点地防护。

从门户网站所面临的安全威胁来看，严格的讲，从物理层到网络层，再到系统层和应用层，每个层面都存在着内在的脆弱性和外在的威胁。根据国外相关研究部门统计，对于一个网站，近60%的漏洞是应用层面的漏洞，同时，这一比例持每年上升的趋势。因此，对于门户网站而言，Web应用的安全威胁逐渐成为防护的重心所在。

目前，主要的钓鱼网站采用的方式有：1.仿冒大型网站，窃取用户用户名密码；2.虚假购物网站，低价商品诱骗用户进行网上支付，网上支付时，链接到仿冒的支付页面以窃取用户银行卡信息；3.仿冒虚假中奖、抽奖网站进行钓鱼。针对这些“钓鱼”形势，传统的防御策略是ssl认证站点、站点认证可信标志、登录双因素认证（手机动态口令短信就是一种典型）等。这些手段往往比较被动，难于主动发现钓鱼网站。

主动防御是应对法宝

主动防御，也就是主动出击去找到互联网上的钓鱼站点，从而为Web应用安全打造一个安全的应用环境，不失为策略之一。以往由安全厂商单向传递到用户的安全防护、检测机制已经跟不上互联网的步伐。为了更好地解决互联网上的安全问题，也为了更及时地通过安全产品和解决方案解决用户遇到的互联网相关安全威胁，以及为用户提供更为灵活、更为方便的安全服务，绿盟科技投入大量的网络和计算资源，对互联网资源（域名、IP地址、URL、DNS 等）进行威胁分析和信誉评级，将安全监测能力及监测结果通过“云安全”平台开放给用户。该“云安全”平台包含“页面爬取集群”、“恶意代码分析集群”、“漏洞扫描”、“页面内容分析”、“DNS查询”等多种互联网安全威胁相关的监测能力，形成了“信誉库”、“漏洞库”及“监测能力库”，并且通过多种方式将监测能力、漏洞预警、Web信誉评级甚至于最终的监测报告提供给客户或者安全组织。

绿盟科技通过“云安全平台”，对需要保护的客户站点相关的域名及各种变形域名进行检查，找到伪造客户站点的钓鱼网站，通过“获取域名”、“检测域名”、“人工审核”三个步骤对需要保护的客户进行钓鱼网站的监测。

“获取域名”：利用用户相关的关键词，通过搜索引擎找到域名列表，并通过用户站点变形等手段形成待检测的域名库；

“检测域名”：利用绿盟“云安全”平台检测域名库中的域名列表，利用站点结构对比、图片识别，关键词等内容，找到疑似的钓鱼站点；

“人工审核”：由绿盟科技7*24小时安全监测团队人工审核疑似钓鱼站点，在确认为钓鱼站点后，第一时间通知客户。