WEB服务的普及带来了强大的网络效应，同时也面临着安全方面的风险，对WEB安全保障的研究非常有意义。

　　要做好WEB安全保障主要立足于保障体系的不断深入和人才技能培养。保障体系方面，在现行防御基础上，应更加注重管理、制度和技术的融合，注重检测监测机制的研究和应用；人员方面，主要对人员进行层次化培养，注重专业实践技能的提升。只有真正把综合了管理、制度、技术和人员等要素的保障体系全面落实到位，才能实现WEB安全全方位体系化保障，推进WEB服务的“洁净”发展。

　　WEB安全形势异常严峻

　　统计数据表明，截至2015年12月底我国网站总量达到了426.7万余个，同比年度净增长62万余个，超过前五年中国网站净增量的总和。这在给广大网民带来福利的同时，WEB安全问题也层出不穷。

　　传统安全威胁“三剑客”——网页仿冒、DDoS攻击和恶意程序已形成成熟的黑色产业链；同时，数据泄露问题也屡见报端；新型的安全威胁花样百出，给网络空间安全带来了极大的挑战：APT28、图拉、方程小组、海莲花等浮出水面。

　　2015年5月29日，一个专门攻击中国政府的境外黑客组织“海莲花”（OceanLotus）被曝光。据研究报告，“海莲花”组织自2012年4月以来，针对中国政府、海事机构、海域建设部门、科研院所和航运企业，展开了长时间的APT攻击。面对如此严峻的WEB安全态势，如何建立一个更加安全有效的WEB安全保障体系，并不断推动相关从业人员的技能提升是当前安全保障亟待解决的问题。

　　WEB安全保障体系发展历程

　　WEB安全体系化保障不是一蹴而就的事情，涉及保障体系的发展历程以及其他多方面的因素，包括技术因素、管理因素、制度因素以及人员因素等。

　　从WEB安全防护的发展历程看，WEB安全防护经历了从无到有、从基础防护到高级防护的发展历程；从体系化保障的角度看，WEB安全防护经历了由“点”到“面”再到“体”的发展过程，代表了不同时期不同的防护策略。

　　初期的“点”状防护是传统单点防护，辅之以系统运行环境安全防护，主要包括传统防火墙、防病毒以及WEB应用防火墙，注重安全攻击事件的阻断。中期发展到层次化安全防御，即从一个“面”的维度考虑，典型思路包括事前发现、事中防护、事后恢复的防御体系，与之相对应的技术包括WEB漏洞扫描、WEB应用防火墙和网页防篡改技术。当前WEB安全防护进一步优化升级为立体化纵深防护体系，全方位保障，包括人员、制度、管理、技术等多重因素，不再单独以技术要素为全部关注点，注重全方位的安全防护。由此可见，WEB安全防护体系将越来越全面，越来越科学，定位也更加精准。

　　传统WEB安全保障存在的不足

　　传统WEB安全防护主要以技术为重，并且在防御思路上注重安全事件发生时的阻断，对安全事件预防、安全管理、制度以及人员方面的重视程度不足。主要体现在以下几个方面：

　　一是WEB系统重防御、轻检测；传统WEB安全防护注重安全事件发生时的防护和阻拦，以技术和产品阻断安全攻击为主，因此其主要精力放在安全防护技术和产品的部署上。但是，许多攻击威胁所依赖的漏洞大多可在事前得以检测规避，从而避免安全事件的发生。因此，传统WEB安全防护普遍对事前检测重视不足。

　　二是传统防御机制对已知攻击比较有效，对未知攻击却常常无能为力。传统防护技术只能基于特征库或漏洞库比对方式进行防御，而这些库的更新是在安全事件发生之后，因此在这个时间差当中，WEB安全攻击和威胁无孔不入；鉴于传统防护技术的局限，其对新型的未知攻击无法判断，因此也无法有效防护。

　　三是WEB安全防护不成体系，过分依赖技术和产品因素，忽略管理、制定和人员因素，主要在做亡羊补牢的事，而非防患于未然。显然，一味注重技术防御已经不能适应千变万化的网络潮流，构建WEB安全防护体系，抢占战略制高点，审时度势，才是上策。

　　新型WEB安全保障体系的建立

　　新型WEB安全保障体系融合人员、管理、制度和技术等因素，以技术检测和防护为有效突破点，发挥安全管理和安全制度的作用，并强化安全从业人员专业实践技能的提升，全面实现人员、管理、制度和技术等因素的协同保障。

　　新型WEB安全保障体系中，围绕人员、管理、制度和技术，每个要素都会建立一整套完善的保障机制，各保障机制之间是一个相互协调、共同推进的过程。本文将重点论述技术保障体系和人员技能保障体系两个因素。

　　技术保障体系主要包括检测监测机制、防御机制和响应恢复机制，三者形成动态循环技术保障体系。

　　检测监测通过事前检测以及事中监测发现系统缺陷及漏网之鱼；防御机制提供防护手段，主要提供安全威胁事发阶段的保障；响应恢复针对相关安全攻击做出主动响应以及对受攻击目标进行恢复。其中防御机制和响应恢复机制等相关技术已有了长足的发展，适用也非常广泛，而检测监测机制正是目前技术保障体系中较为薄弱的一个环节，但是其重要性却非常突出。运用好检测监测机制，在安全事件发生之前做到充分的应对，对整体WEB安全保障体系而言，其贡献可想而知。

　　检测监测机制的体系架构如图1所示，其通过工具和技术对网络及安全数据源进行检测和实时监测，及时发现安全问题和线索，并提交给专家分析，进行决策，为安全保障体系提供数据支撑。

　　检测监测主要包括两大类：一类属于事前检测，利用各种检测工具事先发现主机系统和WEB系统中的各项漏洞；另一类属于实时监测，既可以监测攻击行为，又可以监测网络流量，分析并发现潜在威胁。

　　事前检测包括技术和管理检测两大类：技术检测侧重于系统本身漏洞的检测和发现；管理检测侧重于设备管理配置和策略的有效性检查，是合规性和最佳实践的匹配检查。典型的技术类和管理类检测工具包括：⑴主机/WEB漏洞扫描：针对主机操作系统、数据库、中间件、WEB网站进行安全检测及扫描，检测系统漏洞、XSS、SQL注入等各类WEB漏洞，这属于黑盒检测或称为“盲测”；⑵代码审计：可针对WEB系统平台提供源代码安全检测，分为灰盒检测和白盒检测两种类型，其中白盒检测需要提供源代码，灰盒检测则只需提供可执行程序即可；⑶配置核查：检查业务系统中的操作系统、数据库、网络设备、中间件、WEB应用等是否符合行业最佳实践的基线需求；⑷策略审计：可审计安全设备是否存在冗余策略、冲突策略、过度授权等管理问题。

　　实时监测根据网元、安全设备以及网络中流量的监测数据进行深度分析，发现潜在威胁，主要通过虚拟沙箱、机器学习、数据挖掘、关联分析等技术实现，可以对未知攻击、APT攻击及0day漏洞进行检测、监测和发现，是当前研究的热点，其准确性和精度是攻关的重要方向之一。

　　随着大数据的发展，利用大数据相关技术进行安全监测也是一个重要的方向，大数据安全监测分析平台就是二者结合的一个典型应用，可实现未知攻击发现及安全态势感知。

　　WEB安全保障中人才技能的提升

　　WEB安全保障体系中，人是不可或缺的，也是及其重要的因素。目前我们的安全保障体系中，与人才和岗位相关的问题主要体现在以下几个方面：

　　一是对信息安全的重视程度不足，未设立信息安全专岗，不具备完善的安全保障体系。事实上，即便设立了信息安全专岗，信息安全保障也不仅仅是安全岗位人员的职责，而是全体人员的职责。

　　二是安全从业人员技能有待提升，安全从业人员技术水平不高，知识体系滞后，导致对许多新兴发展的安全技术缺乏了解，无法很好满足岗位要求。

　　三是信息安全意识不足：从单位主管到具体安全技术从业人员安全意识淡薄，对安全事件缺乏敏感，对安全保障缺乏责任感。

　　为了更好地提高全员的安全意识和安全从业人员的专业技术水平，需建立合理可行的人员技能培养演练体系，必须优化人员结构，合理配置资源，提高人员的安全意识和技能水平。因此，需实行层次化的培养机制，循序渐进，由易而难。

　　由于安全技术实践性的特殊要求，WEB安全保障人才技能培养形式应以安全事例形象化展示（安全意识培训）和安全技能实践演练相结合的方式进行。因此，对专业人才技能的培训，相关信息化部门有必要建设信息安全技能培训平台以支撑人才技能培训，平台支撑如图3所示。WEB安全保障技术既包含通用安全部分又包含WEB应用安全专项部分，因此，其培训支撑平台包括通用安全培训平台、安全技术演练平台和专项WEB安全培训平台等。

　　通用安全培训平台以信息安全通用技术以及安全防护技术为主进行技术培养。信息安全实验培训平台从密码学、系统安全、网络安全、内容安全等信息安全实践知识体系进行培训；网络安全攻防实训平台从网络攻、防、攻与防的实践角度进行培训，包含WEB应用攻防靶场演练等。

　　安全技术演练平台从人才技能演练和提升角度进行建设，网络安全演练竞技平台提供单兵作战、夺旗争霸、攻防对抗等多种形式的安全竞技与演练内容。

　　WEB安全专项培训围绕WEB系统安全的全要素进行技术培训支撑，WEB安全实训平台提供WEB应用安全攻防专项培训；安全运维实训平台支撑安全工程及安全设备集成部署解决方案的实践培训；安全风险评估工程应用与实践平台从风险评估、等级保护等角度提供漏洞扫描、配置核查、策略审计等多层次安全测试演练内容。

　　安全是实践性很强的技术，因此培训必须以实践演练为主，既注重安全技能的传授，又注重实际操作能力及解决安全问题能力的提升，建立WEB安全保障体系中人才技能培养的体制和机制，全面发挥WEB安全保障的人才优势，逐步达到“平时勤练兵，战时保安全”的安全保障目标。

　　小结

　　在这个网络安全问题层出不穷的信息时代，WEB安全保障任重而道远，必须要做好体系化建设保障，尤其是当前攻击手段多样化和不可预知性，检测监测机制显得尤为重要；同时人员是整个保障体系的核心和根本，不能忽略人员自身能力的培训提升，要加强从安全意识、安全技能到WEB安全保障能力的培训和演练，切实结合实际，建设网络安全保障体系，共创网络安全新时代。

　　作者单位：

　　张志华北京邮电大学信息安全中心

　　徐勤北京安码科技有限公司