1) 安全评估准备阶段
进行安全评估前,综合服务平台运营中心确定安全评估人员,成立安全评估小组,做好系统调研,并确定风险评估的目标、范围。
2) 脆弱性识别阶段
安全评估小组针对网站系统发现识别可能存在的脆弱性,其中,脆弱性是指可被恶意利用或可能对网站系统造成影响的弱点,如网络安全漏洞、Web应用漏洞、Web应用木马以及系统漏洞。
脆弱性识别的途径主要通过借助工具软件自动化的漏洞扫描工具、人工木马检测以及渗透测试等方法来识别。
3) 脆弱性分析阶段
脆弱性分析主要包括两个方面:一是安全事件发生的可能性,二是安全事件造成的损失。安全事件发生的可能性,可根据脆弱点可利用程度来判断;安全事件造成的损失,可根据脆弱点的严重程度及安全事件发生后对网站系统产生的影响来判断。
在脆弱性分析阶段,安全评估小组将根据脆弱性分析结果,针对用户网站系统所存在的安全威胁推荐安全解决方案。
4) 汇报验收
综合服务平台运营中心在评估工作完成后,将向客户提交《网站系统安全评估报告》以及项目相关中间材料。 3.2.3 安全加固建议
综合服务平台运营中心对用户网站的安全评估结果进行分析,针对存在的安全威胁与风险,制订具有针对性的安全加固方案,并确保安全加固方案的有效性和可操作性。
3.3 网站诊断纠错系统
网站诊断纠错系统可对目标网站的每一个动静态网页进行检测,并自动分析出这些网页的链接关系。系统根据分析结果判断网站是否存在缺页或者缺图的情况,或存在多媒体附件(ZIP/DOC/PDF/MP3等文件)缺失的情况。系统在给出具体缺失页面URL的同时,还可以显示其引用该错误URL的路径和网站原页。是用于Web网站缺陷检测、网站指标统计与性能趋势预测的大型网站维护管理系统。 3.3.1 系统产品原理
网站诊断纠错系统由“网站诊断探针子系统”和“诊断信息分析处理子系统”组成。其中网站诊断探针(Probe)系统包括:性能探针、错误链接探针、网页特征扫描探针;诊断信息分析处理系统包括:性能指标统计系统(Data Mining)、图表报告生成子系统(Report Output)、信息告警推送子系统(Alert Message Fire)。
1、
可用性探针:
对目标网站的页面进行周期性的访问,记录网站每一次不可访问的时间,网站响应错误代码,断网持续的时间。每一次探测到网站不可访问,可用性探针将向告警处理中心发送一个可用性错误代码。
2、
网站速度诊断探针:
对目标网站主要栏目页面进行周期性访问,记录每一次HTTP请求发出和对应WebServer的HTTP响应时间,记录网页第一个字节到达浏览器时间和传输完毕时最后一个字节到达的时间,从而描绘出目标网站长时间的性能变化趋势。网站每一次超时,速度探针将向告警中心发送一个超时错误代码。
3、
网站错误链接诊断探针:
错误链接探针对网站指定的频道、栏目进行URL链接缺失扫描。记录
错误引用页之间的关系,以及错误追溯路径,可以让用户通过“错误定位”直接找到发生错误的页面。
4、
诊断信息处理系统:
诊断信息处理子系统可完成对海量采样数据的统计分析、图表生成、趋势预测等数据计算任务。信息告警模块可将统计报告或告警信息以用邮件、个性Web页或短消息方式推送给网站管理者。
3.3.2 系统功能特色 3.3.2.1
网站故障管理统计功能
网站故障管理功能可以让网站管理员对发现的网站故障进行登记、追踪、分析、统计。举例如下:某网页图片缺失,管理员可根据实际情况判断其原因为“主机宕机问题”、“网络问题(如:路由器端口故障)”、“人为问题(如:编辑人员没有上传)”、“软件故障(如:网站管理系统BUG、或者编程人员失误)”。网站管理人员可根据实际情况将故障原因输入网站诊断纠错系统,并督促各部门解决,也可随时调出故障记录用于跟踪与分析。
对于网站运营的主管领导,可通过网站管理业绩考核功能检查每个部门的工作成效,比如,系统可以统计出每个月(季度、年)网络事故占总故障率的百分比、人为事故率占总故障率的百分比等等,如有必要可以细分到某个栏目事故占总故障的百分比。这样在统计数据面前,每个部门的工作业绩一目了然,便于领导进行工作评议与总结。从这个角度来说有助于改善工作流程、提高工作效率。 3.3.2.2
网站诊断告警信息自动发送功能
网站诊断纠错系统具备告警信息自动发送功能,可通过SMS短消息和电子邮件方式及时向用户发送故障通知。用户可灵活定制不同告警信息发送的时间和接收对象。比如:网站首页不可访问告警信息可发给网站主管领导、技术部经理、网络工程师等;如果某一个栏目有问题(缺图缺页)则告警信息直接发送给栏目编辑人员即可。
3.3.2.3 网站诊断故障自动跟踪功能
本系统应用了目前国内领先的故障跟踪技术,该技术由“网站拓扑结构自动发现”功能、“网站地图节点自动绘制”功能、“网站错误路径自动计算与追踪”功能组成。
大型网站一般栏目众多,结构非常复杂,仅凭人工很难及时掌握全网站的拓扑结构,给网站管理者的工作带来不便。网站诊断纠错系统可自动为网站绘制出详尽准确的诊断路径,并将“问题节点”与“正常节点”以不同颜色区分。为了方便追踪错误,系统在诊断地图上标明问题节点的追踪路径。 3.3.2.4
网站诊断报告自动生成
为了便于网站管理者对网站运行情况全面掌控,网站诊断纠错系统提供网站诊断报告功能,系统可以将网站运行状态数据按照时间(每天/每周/每月/每季度/每年)统计成图表,供管理者参考。