1.Web合规政策趋势

　　1.1多，检查的常态

　　近几年，网站数据库被拖库、挂马、篡改等Web安全事故比例逐年增加。2014年新成立的中网办，站在国家安全层面首次发文直指网站安全，突出强调以查促建、以查促管、以查促改、以查促防的必要性和重要性。在等保、分保制度的指导下，各行各业已掀起安全大检查浪潮，从已在线运行的门户网站检查范围，扩大至新开通Web系统的安全备案，新增内容专栏的上线准入质量评估。信息发布、转载和链接管理的严格有效审查，都逐一变得常态化，周期化，高频化。

　　1.2严，考核的升级

　　考核形式上，采取自查和抽查方式，通过评分奖罚制，让安全迎检与工作绩效统一挂钩。评分方面，网站安全分值占比明显提高，整体由符合性评测得分和风险评估得分共同组成，并加大风险评估得分的比例权重。风险评估方面，除按照安全隐患的数量、位置、危害程度进行一次扣分外，还增加了发现的安全隐患是否可被入侵利用的二次扣分机制，让检查要求变得愈发严格。

　　2.现有Web评估之殇

　　2.1 损伤，维稳的天敌

　　Web评估，就是把网站作为核心资产，在不影响其持续运行的前提下，进行安全横向到边、纵向到底的全面风险度量。反观眼下Web漏洞扫描产品，对网络带宽的过分占用及对业务系统的大量资源消耗所引发的一系列业务变慢、断网等恶性事件，让评估者一直心存阴影，使用积极性严重削减。

　　2.2 耗时，进度的拖延

　　应用为王的互联网时代，网站数量日益增多、复杂度逐渐提升，使得愈发严格的检查成为了一场与时间赛跑的竞赛。但纵观各类Web漏洞扫描产品，多年来一直专注于精度而忽略速度，对大规模网站的快速评估存在一定的滞后性，拖延整个检查进度。

　　2.3 复杂，高门槛解读

　　网站合规检查频次的增多，让很多网络运维人员的工作转投到日常网站安全评估中来。然而Web安全经验的相对不足，各类网站应用系统的复杂多变，及多年来Web漏洞扫描产品的专业定位，让运维人员在面对网站业务逻辑、运转流程，工具的功能理解、操作使用上，都存在一系列的认知误区。更为重要的是扫描报告解读的困难，由于运维人员对报告中的漏洞类型、存在位置、影响程度等缺乏足够的认识和重视，无法自行判断是否存在误报等问题，导致风险识别严重滞后，最终影响后续漏洞修复的开展。

　　2.4 修复，莫名的恐惧

　　网站安全事故的出现，都源自于网站自身存在漏洞。网站周期性的评估检查，就是及时发现这些漏洞，并让安全人员第一时间修复它，实现安全加固的最终目的。然而在明确网站漏洞分布后，安全人员到底该采用哪种有效的修复方式，如打哪个系统升级包，如何调整网络结构，是否增设网络安全产品，已有的WAF防护策略如何调整等，还无法从现有Web漏洞扫描产品中得到清晰可靠的指导性建议。此外，即使采用了某种修复手段，该手段是否会造成网站业务的不良影响，依然无法确定。以上问题最终导致了网站陷于一种漏洞已知，却不敢下手修复的尴尬境地，让网站评估半途而废。

　　3.重启Web应用漏洞扫描之门

　　3.1运维理念的融合

　　3.1.1 网站资产识别，聚焦风险分布

　　在保持原有任务管理的基础上，融合网站安全运维理念的Web漏洞扫描产品必须具备网站资产识别能力。首先，通过只爬不扫，全面搜集目标站点信息,如网站规模大小、类型属性、资产映射表等基本信息，为下一步制定详细扫描策略提供参考性依据;其次，通过多级用户权限的分离，让不同角色的评估者从各自运维管理的视角，灵活地依据目标站点的闲时忙时、内容归属等，择时而扫、择目录而扫，进行针对性更强的站点指定扫描，从而满足从时间、角色、IP、域名、URL目录、隶属组织和部门名称的多维统一，更好地诠释扫描任务与当前网站相关资产的清晰对应，让网站安全态势从整体到局部一览无遗，尽显眼底。

　　3.1.2 无损式扫描，保障网站持续运行

　　融合网站安全运维理念的Web漏洞扫描产品必须具备无损扫描能力，来尽可能地降低扫描全过程对目标站点的干扰，保障网站业务持续运行。目前这方面的创新技术层出不穷，但简单归纳有如下几方面：

　　速度自调节。自身设置多个计时器，采取主动探寻机制，分别对目标站点响应、网络链路延时、自身性能负载进行实时监听，并依据其动态曲线变化，自动进行扫描参数的自我修正，来达到扫描速度的智能调节，最大程度地降低原有恒定速度扫描可能对扫描环境造成的过高压力。

　　不留干扰性代码。采用独创的插件检测机制，通过伪造等同效能的随机字符串替代真实java脚本，通过URL相似度判断让批量页面只做一次页面逻辑扫描，通过已知应用框架识别仅匹配调用专属的插件类型，通过让有逻辑递进关系的插件直接信息共享等方式，一扫网站扫描后残存大量干扰性代码的弊端。

　　带宽低占用。通过检测算法优化和报文高压缩比，最大程度降低扫描的平均请求、响应次数以及整体报文传输量。同时较低的扫描带宽占用，也增强了其在复杂环境扫描的适应能力，如在ADSL出口带宽苛刻的环境下进行远程扫描时，不会因带宽占用分配的不足导致扫描请求大量超时，严重影响扫描的稳定性和报告结果的准确性。

　　网站日志关联分析。为了有效降低传统网站爬虫对目标系统的干扰，Web扫描产品还必须具备网站日志关联分析能力。它除了对于一些网站孤链页面能达到传统网站爬虫无法有效爬取的辅助作用外，更重要的是可通过对网站自身因早期访问所产生的日志文件关联分析，直接减少爬虫学习页面的阶段，进入扫描插件的逻辑判断环节，从而既能从整体上大大加速页面定位和扫描时间，又能较多缓解爬虫爬取网站目录时可能造成的网络拥塞和网站资源干扰。

 

[1] [2] [3]