近日，盛邦安全产品经理李春鹏参加了由51CTO举办的WOTA峰会，他表示，随着互联网的发展，越来越多的业务依托于Web系统。虽然很多的企业都非常注重Web安全，但是大多把注意力放到了防护上，而忽视Web系统的安全管理。目前，使用权与管理权的分离导致了Web系统的治理问题尤为突出，例如：私搭乱建、网站无法及时退运、缺乏审核手段等都可能给黑客攻击以可乘之机。

李春鹏强调说：“安全是动态改变的，Web安全在朝两个方向发展，一个是安全防护之前的风险控制，在攻击到来之前尽可能降低系统受到攻击的可能性。另一个是安全防护之后的感知，通过检测及时发现网络受到的攻击，及时告警和溯源，形成完善的安全体系。三分技术，七分管理。在做好安全防护的同时，也要做好管理。”

因此，Web安全不能仅做针对外部的防护，也应注重内部的治理，Web安全=治理+防护。

盛邦安全产品经理李春鹏

目前，企业通用的方式是通过IP，或者DNS解析来控制网站能否对外提供服务。但是以IP形式进行网站控制，安全管理人员无法统计到这个IP上运行着多少网站，开通了多少服务。此外，很多网站管理者在解析服务器上配置的是泛解析，这样导致通过二级或者三级域名建立的网站无法统计到。这就最终导致了企业无法“摸清家底”，留下了安全隐患。

针对Web安全治理问题，虽然运维人员很重视，但是往往缺少一种有效的手段。安全管理人员要想全面的了解公司系统安全情况，实现对Web系统的可知、可感、可查和可控，需要对整个Web系统的全生命周期进行管理，建立新一代Web安全治理体系。

依托于多年在Web安全领域所积累的丰富经验，盛邦安全总结出了以下Web安全治理思路：

第一步，自动学习所有在运站点。这是Web安全治理第一步，要“摸清家底”。通过技术手段分析镜像流量进行Web资产自学习，识别包括IP、域名、端口、网站名称等信息。从而及时了解网络中有哪些网站及业务系统在提供服务，自动识别疑似不合规Web系统。

第二步，建立在线得网站安全准入机制，对所有Web系统备案、评估后再允许对外服务。备案管理：提供公安备案管理以及组织自用备案管理系统，明确各Web系统的所有人、用途等各类信息。并提供备案申请、备案审核等流程。

第三步，建立网站运营日常监控机制，对运营系统持续进行安全巡检，包括流量被动检测。对网站进行安全检测的主要内容包含：网站篡改监控，暗链/黑链检测，敏感词的监控，Web漏洞检测、系统漏洞检测、后门扫描、网络钓鱼检测、网站木马和弱口令检测等。

第四步，一键断网+安全设备联动，实行有效地应急和处理机制，对发现的不合规或不安全的Web站点进行阻断。并可配合微信进行智能阻断。

最终，结合流量分析、指纹分析、报表功能和漏洞管理等其他安全能力，从网站诞生到结束形成一个闭环，实现Web系统的全生命安全周期管理。

基于以上Web安全治理思路，盛邦安全研发了RayGateWeb安全治理平台。

“RayGate具有对内部网站的自学习能力，免去人工添加的烦恼，并可有效发现私建网站及僵尸网站。其采用旁路部署，而且上线简单，不影响网络拓扑，可实现三级部署及管理。而且，每四个月，我们就会对RayGate进行快速的迭代升级。从而保证该产品满足用户的需求，并最大化的帮助他们提升工作效率。”