決方案

二O二四年十一月

目錄

1項(xiàng)目背景.....................................................................4

2項(xiàng)目需求.............4

2.1云計(jì)算的安全體系架構(gòu)...................................................4

2.2云計(jì)算系統(tǒng)安全風(fēng)險(xiǎn).....................................................5

2.2.1云平臺(tái)的安全隱患.................................................5

2.2.2應(yīng)用服務(wù)層的安全隱患............................................6

2.2.3基礎(chǔ)設(shè)施層的安全隱患............................................6

2.3云計(jì)算的安全挑戰(zhàn).......................................................7

3云平臺(tái)的安全防護(hù)設(shè)計(jì).........................................................8

3.1云計(jì)算安全的建設(shè)思路...................................................8

3.2云計(jì)算平臺(tái)的安全防護(hù)架構(gòu)..............................................9

3.2.1物理安全.......................................................10

3.2.2網(wǎng)絡(luò)安全........................................................10

3.2.3系統(tǒng)安全........................................................10

3.2.4應(yīng)用安全........................................................11

3.2.5管理安全…......................................................11

3.2.6虛擬化安全......................................................12

3.2.7數(shù)據(jù)安全........................................................12

4分項(xiàng)目安全防護(hù)手段介紹......................................................13

4.1運(yùn)營監(jiān)測..............................................................13

4.1.1先知態(tài)勢感知服務(wù)..............................................13

4.2云服務(wù)的應(yīng)用層基礎(chǔ)防護(hù)..............................................18

4.2.1玄武盾，基于云服務(wù)的應(yīng)用層外部防護(hù)系統(tǒng)........................18

4.3服務(wù)器安全加固......................................................23

4.3.1服務(wù)器漏洞掃描..................................................23

4.3.2安全運(yùn)維審計(jì)與風(fēng)險(xiǎn)控制..........................................30

4.4云服務(wù)的應(yīng)用層深入防護(hù)...............................................34

4.4.1WEB應(yīng)用系統(tǒng)的SQL注入、XSS跨站腳本等的攻擊防護(hù).............34

4.5安全審計(jì)與管理分析....................................................37

4.5.1飛天鏡-云上的大數(shù)據(jù)安全分析平臺(tái)...............................37

4.5.2云數(shù)據(jù)庫審計(jì)....................................................41

4.6人工安全服務(wù)..........................................................46

4.6.1系統(tǒng)上線前安全掃描服務(wù)..........................................46

4.6.2安全托管服務(wù)....................................................46

4.6.3安全評估朋務(wù)....................................................47

4.6.4安全加固服務(wù)....................................................48

4.6.5應(yīng)急響應(yīng)服務(wù)....................................................49

4.6.6安全培訓(xùn)服務(wù)....................................................50

4.6.7云上合規(guī)服務(wù)....................................................51

5產(chǎn)品設(shè)備清單.........51

6阿里云項(xiàng)目案例..............................................................54

1項(xiàng)目背景

XXX住房和城鄉(xiāng)建設(shè)廳的互聯(lián)網(wǎng)外網(wǎng)業(yè)務(wù)系統(tǒng)和門戶網(wǎng)站，目前部署在XXX云XXX上,

直接面對互聯(lián)網(wǎng)用戶。

XXX云技術(shù)，提供基礎(chǔ)的云服務(wù)環(huán)境，但是不具備應(yīng)用層防護(hù)的能力。2016年，反共黑

客在XXX管理系統(tǒng)上非法掛了反共言論，給XXX住房與城鄉(xiāng)建設(shè)亍的政府形象造成嚴(yán)重?fù)p失。

事后，經(jīng)過相關(guān)安全服務(wù)人員對保存的服務(wù)器快照進(jìn)行分析，發(fā)現(xiàn)反共黑客通過

Struts2-()16遠(yuǎn)程命令執(zhí)行漏洞，進(jìn)行系統(tǒng)的遠(yuǎn)程命令執(zhí)行，該漏洞可以執(zhí)行系統(tǒng)命令，文

件操作，獲取網(wǎng)站管理權(quán)限，包括修改刪除網(wǎng)站頁面、竊取數(shù)據(jù)庫敏感信息.、植入惡意木馬。

2項(xiàng)目需求

2.1云計(jì)算的安全體系架構(gòu)

當(dāng)前，云計(jì)算發(fā)展面臨許多關(guān)鍵性問題,而安全問題首當(dāng)其沖。并且隨著云計(jì)算的不斷普

及，安全問題的重要性呈現(xiàn)逐步上升趨勢，已成為制約其發(fā)展的重要因素。Gartner2009年

的調(diào)查結(jié)果顯示,70%以上受訪企業(yè)的CT0認(rèn)為近期不采用云計(jì)算的首要原因在于存在數(shù)據(jù)

安全性與隱私性的憂慮。而近來,Amazon,Google等云計(jì)算發(fā)起者不斷爆出各種安全事故更

加劇了人們的擔(dān)憂。例如,2009年3月，Google發(fā)生大批用戶文件外泄事件,2009年2

月和7月，亞馬遜的“簡單存儲(chǔ)服務(wù)(simplestorageservice,簡稱S3)”兩次中斷導(dǎo)致依

賴于網(wǎng)絡(luò)單一存儲(chǔ)服務(wù)的網(wǎng)站被迫癱瘓等等。因此,要讓企業(yè)和組織大規(guī)模應(yīng)用云計(jì)算技術(shù)

與平臺(tái)，放心地將自己的數(shù)據(jù)交付于云管理,就必須全面地分析并著手解決云計(jì)算所面臨的

各種安全問題。

云計(jì)算平臺(tái)和傳統(tǒng)計(jì)算平臺(tái)的最大區(qū)別在于計(jì)算環(huán)境，云平臺(tái)的計(jì)算環(huán)境是通過網(wǎng)絡(luò)把

多個(gè)成本相對較低的計(jì)算實(shí)體整合而形成的一個(gè)具有強(qiáng)人計(jì)算能力的系統(tǒng)，這樣的一個(gè)系統(tǒng)

勢必比傳統(tǒng)意義上的計(jì)算環(huán)境要更加復(fù)雜。對云平臺(tái)的計(jì)算環(huán)境的保護(hù)也是云平臺(tái)下信息安

全整體保護(hù)體系的重中之重。

強(qiáng)大、方便的云計(jì)算服務(wù)是通過客戶端最終展現(xiàn)給用戶的，在云計(jì)算環(huán)境完成了客戶所

要求的工作或服務(wù)后，這些工作、服務(wù)的成果應(yīng)通過一個(gè)安全的途徑傳輸并最終展現(xiàn)在客戶

端上。云計(jì)完環(huán)境下的通信網(wǎng)絡(luò)就是保證云計(jì)算環(huán)境到客戶端、云計(jì)和環(huán)境之間進(jìn)行信息傳

輸以及實(shí)施安全策略的部件。

區(qū)域邊界是云計(jì)算環(huán)境與云通信網(wǎng)絡(luò)實(shí)現(xiàn)邊界連接以及實(shí)施安全策略的相關(guān)部件。真正

的云計(jì)第環(huán)境應(yīng)是可控的，在這一可控的云區(qū)域與其外部的不可控區(qū)域之間，應(yīng)遵循一套規(guī)

則來確保只有通過認(rèn)證的用戶才能管理和使用云，從而保證云計(jì)算環(huán)境區(qū)域的安全。

云計(jì)算環(huán)境內(nèi)部的各個(gè)部件的正常運(yùn)轉(zhuǎn)、數(shù)據(jù)在云內(nèi)的安仝傳輸、云計(jì)算環(huán)境以及云區(qū)

域邊界上的安全機(jī)制的執(zhí)行，都需要進(jìn)行統(tǒng)一的安全管理。操作、使用云服務(wù)，也應(yīng)遵守一

定的管理規(guī)章制度。云計(jì)算環(huán)境下的安全管理就是一套對云計(jì)算環(huán)境內(nèi)部以及云邊界的安全

機(jī)制實(shí)施統(tǒng)一管理，并控制操作、使用云計(jì)算服務(wù)的行為的手段。

2.2云計(jì)算系統(tǒng)安全風(fēng)險(xiǎn)

2.2.1云平臺(tái)的安全隱患

（1）應(yīng)用配置不當(dāng)。當(dāng)你在云基礎(chǔ)架構(gòu)中運(yùn)行應(yīng)用以及開發(fā)平臺(tái)時(shí)，應(yīng)用在默認(rèn)配置

下安全運(yùn)行的概率機(jī)會(huì)基本為零。因此，你最需要做的事就是改變應(yīng)用的默認(rèn)安裝配置。要

熟悉一下應(yīng)用的安全配置流程，也就是說如果要使用它們，就要知道如何確保其安全，因?yàn)?/p>

它們占據(jù)了PaaS云架構(gòu)中所有應(yīng)用的80%之多。（2）平臺(tái)構(gòu)建漏洞，可用性、完整性

差。任何平臺(tái)都存在漏洞的風(fēng)險(xiǎn)，有些平臺(tái)極端環(huán)境下可用性、完成性的工作能力不夠，

比如在大量網(wǎng)絡(luò)連接下，web服務(wù)器的承受能力等。在對外提供API的平臺(tái)應(yīng)用中，編程環(huán)

境的漏洞、堆棧溢出的漏洞、高權(quán)限非法獲取的漏洞都會(huì)存在.

（3）SSL協(xié)議及部署缺陷。對PaaS用戶而言，第三個(gè)需要考慮的威脅是SSL攻擊。

SSL是大多數(shù)云安全應(yīng)用的基礎(chǔ)。目前，眾多黑客社區(qū)都在研究SSL,SSL在不久的將來或

許會(huì)成為一個(gè)主要的病毒傳播媒介。因此，客戶必須明白當(dāng)前的形勢，并采取可能的辦法來

緩解SSL攻擊，這樣做只是為了確保應(yīng)用不會(huì)被暴露在默認(rèn)攻擊之下。

<4）云數(shù)據(jù)中的非安全訪問許可。對于PaaS用戶而言，第四個(gè)需要考慮的威脅是需

要解決對云計(jì)算中數(shù)據(jù)的非安全訪問問題。盡管說這似乎是一個(gè)特定環(huán)境下的問題，但我經(jīng)

過測試發(fā)現(xiàn)，許多應(yīng)用實(shí)際上存在嚴(yán)重的信息漏洞，數(shù)據(jù)的基本訪問許可往往設(shè)置不當(dāng)。從

安全的角度講，這意味著系統(tǒng)需要批準(zhǔn)的訪問權(quán)限太多。

2.2.2應(yīng)用服務(wù)層的安全隱患

（1）數(shù)據(jù)安全。SaaS提供的是一種數(shù)據(jù)托管服務(wù)，成千上萬的企業(yè)將自己的信息托管

于SaaS服務(wù)商。在信息輸過程中極易丟失或被非法入侵主機(jī)的黑客篡改、竊取，為病毒所

破壞或者因?yàn)槌绦虻亩恍⌒谋黄渌褂谜呖吹健?/p>

（2）垃圾郵件與病毒。病毒、蠕蟲郵件在網(wǎng)絡(luò)中傳播大量占用用戶網(wǎng)絡(luò)帶寬資源，企

業(yè)中被感染的局域網(wǎng)用戶機(jī)器被植入木馬程序，可能弁致敏感、機(jī)密信息數(shù)據(jù)泄露（如重要

文件、賬號密碼等）。

（3）軟件漏洞，版權(quán)問題。

（4）操作系統(tǒng)以及IE瀏覽器的安全漏洞。由于目前操作系統(tǒng)、1E瀏覽器漏洞較多，

容易被病毒、木馬程序等破壞。而也就是因?yàn)檫@樣用戶口令丟失的事情時(shí)有發(fā)生，從而使得

安全性得不到保障。

（5）人員管理以及制度管理的缺陷。服務(wù)商內(nèi)部人員的誠信、職業(yè)道德可能造成安全

危險(xiǎn)，另外，安全法律制度的不健全，保密規(guī)范和條款缺失，也是一個(gè)急需解決的問題。

（6）缺少第三方監(jiān)督認(rèn)證機(jī)制。

2.2.3基礎(chǔ)設(shè)施層的安全隱患

（1）首先用戶的數(shù)據(jù)在云中會(huì)存在泄露的危險(xiǎn)。當(dāng)用戶遷移到云的時(shí)候，對于客戶和

他們的數(shù)據(jù)來說，有兩大改變。其一，相對于客戶的地理位置來說，數(shù)據(jù)會(huì)被遠(yuǎn)程存儲(chǔ)；其

二，數(shù)據(jù)通常是從單租戶環(huán)境遷移到多租戶環(huán)境的，這就是數(shù)據(jù)泄露問題發(fā)生的源頭。數(shù)據(jù)

泄露只不過是一個(gè)客戶到另一個(gè)客戶的數(shù)據(jù)遷移，實(shí)際上在云中的每個(gè)客戶都應(yīng)該只能訪問

他們自己的數(shù)據(jù)，而不能訪問其他客戶的數(shù)據(jù)。

（2）計(jì)算服務(wù)性能不可靠。主要包括硬件與軟件問題。硬件問題包括服務(wù)器、存儲(chǔ)、

網(wǎng)絡(luò)的問題，硬件的不兼容、不穩(wěn)定以及不易維護(hù)性，這都有可能造成計(jì)算性能的不可靠；

軟件主要指統(tǒng)一部署與硬件之上的虛擬化軟件的可靠性能，包括兼容性、穩(wěn)定性、可維護(hù)性

等。

（3）遠(yuǎn)程管理認(rèn)證危險(xiǎn)。laaS資源在遠(yuǎn)端，因此你需要某些遠(yuǎn)程管理機(jī)制，這就存在

認(rèn)證上的危險(xiǎn)，比如賬戶的盜用，冒用，丟失等。

（4）虛擬化技術(shù)所帶來的風(fēng)險(xiǎn)。由于laaS基于虛擬化技術(shù)搭建，虛擬化技術(shù)所帶來的

風(fēng)險(xiǎn)便不可避免,包括堆棧溢出、權(quán)限管理、虛擬化管理程序軟件會(huì)成為被攻擊的目標(biāo)等等。

(5)用戶本身的焦慮。包括我的數(shù)據(jù)放在哪里，如何保證我的數(shù)據(jù)安全性等。

(6)服務(wù)中斷。包括數(shù)據(jù)中心宕機(jī)，停止對外服務(wù)，以及災(zāi)難、電力供應(yīng)等的毀滅性

破壞。此類破壞大部分為不可抗拒性破壞，由于laaS從層面上來說，更接近底層硬件設(shè)施，

因而對硬件設(shè)施的這些問題，應(yīng)該給予更多的關(guān)注。此類事件一旦發(fā)生，便會(huì)造成數(shù)據(jù)中心

毀滅性的破壞。

2.3云計(jì)算的安全挑戰(zhàn)

當(dāng)前，云計(jì)算平臺(tái)的各個(gè)層次，如主機(jī)系統(tǒng)層、網(wǎng)絡(luò)層以及Web應(yīng)用層等都存在相應(yīng)安

全威脅，但這類通用安全問題在信息安全領(lǐng)域已得到較為充分的研究,并具有比較成熟的產(chǎn)

品。研究云計(jì)算安全需要重點(diǎn)分析與解決云計(jì)算的服務(wù)計(jì)算模式、動(dòng)態(tài)虛擬化管理方式以

及多租戶共享運(yùn)營模式等對數(shù)據(jù)安全與隱私保護(hù)帶來的挑戰(zhàn)：

(1)云計(jì)算服務(wù)計(jì)算模式所引發(fā)的安仝問題。當(dāng)用戶或企業(yè)將所屬的數(shù)據(jù)外包給云計(jì)算

服務(wù)商，或者委托其運(yùn)行所屬的應(yīng)用時(shí)，云計(jì)算服務(wù)商就獲得了該數(shù)據(jù)或應(yīng)用的優(yōu)先訪問權(quán)。

事實(shí)證明，由于存在內(nèi)部人員失職、黑客攻擊及系統(tǒng)故障導(dǎo)致安全機(jī)制失效等多種風(fēng)險(xiǎn),云

服務(wù)商沒有充足的證據(jù)讓用戶確信其數(shù)據(jù)被正確地使用。例如，用戶數(shù)據(jù)沒有被盜賣給其競

爭對手、用戶使用習(xí)慣隱私?jīng)]有被記錄或分析、用戶數(shù)據(jù)被正確存儲(chǔ)在其指定的國家或區(qū)

域,且不需要的數(shù)據(jù)已被徹底刪除等等；

(2)云計(jì)算的動(dòng)態(tài)虛擬化管理方式引發(fā)的安全問題。在典型的云計(jì)算服務(wù)平臺(tái)中，資源

以虛擬、租用的模式提供給用戶，這些虛擬資源根據(jù)實(shí)際運(yùn)行所需與物理資源相綁定。由于

在云計(jì)算中是多租戶共享資嫄,多個(gè)虛擬資源很可能會(huì)被綁定到相同的物理資源上。如果云

平臺(tái)中的虛擬化軟件中存在安全漏洞，那么用戶的數(shù)據(jù)就可能被其他用戶訪問。例如,2009

年5月，網(wǎng)絡(luò)上曾經(jīng)曝光VMware虛擬化軟件的Mac版本中存在一個(gè)嚴(yán)重的安全漏洞。別

有用心的人可以利用該漏洞通過Windows虛擬機(jī)在Mac主機(jī)上執(zhí)行惡意代碼。因此，如果

云計(jì)算平臺(tái)無法實(shí)現(xiàn)用戶數(shù)據(jù)與其他企業(yè)用戶數(shù)據(jù)的有效隔離，用戶不知道自己的鄰居是

誰、有何企圖，那么云服務(wù)商就無法說服用戶相信自己的數(shù)據(jù)是安全的；

(3)云計(jì)算中多層服務(wù)模式引發(fā)的安全問題。前面已經(jīng)提及，云計(jì)算發(fā)展的趨勢之一是

IT服務(wù)專業(yè)化，即云服務(wù)商在對外提供服務(wù)的同時(shí)，自身也需要購買其他云服務(wù)商所提供

的服務(wù)。因而用戶所享用的云服務(wù)間接涉及到多個(gè)服務(wù)提供商,多層轉(zhuǎn)包無疑極大地提高了

問題的復(fù)雜性,進(jìn)一步增加了安全風(fēng)險(xiǎn)。

由于缺乏安全關(guān)鍵技術(shù)支持，當(dāng)前的云平臺(tái)服務(wù)商多數(shù)選擇采用商業(yè)手段回避上述問題。

但長遠(yuǎn)來看，用戶數(shù)據(jù)安全與隱私保護(hù)需求屬于云計(jì)算產(chǎn)業(yè)發(fā)展無法回避的核心問題。其實(shí),

上述問題并不缺乏技術(shù)基礎(chǔ)，如數(shù)據(jù)外包與服務(wù)外包安全、可信計(jì)算環(huán)境、虛擬機(jī)安全、秘

密同態(tài)計(jì)匏等各項(xiàng)技術(shù)多年來一直為學(xué)術(shù)界所關(guān)注。關(guān)鍵在于實(shí)現(xiàn)上述技術(shù)在云計(jì)匏環(huán)境

下的實(shí)用化,形成支撐未來云計(jì)算安全的關(guān)鍵技術(shù)體系，并最終為云用戶提供具有安全保障

的云服務(wù).

3云平臺(tái)的安全防護(hù)設(shè)計(jì)

3.1云計(jì)算安全的建設(shè)思路

右安全整體建設(shè)分安全技術(shù)、安全運(yùn)營和安全管理三大體系。安全技術(shù)體系分別從事前

監(jiān)控、事中防護(hù)和事后審計(jì)三個(gè)角度進(jìn)行考慮，全面覆蓋物理層、網(wǎng)絡(luò)層、平臺(tái)層、系統(tǒng)層、

應(yīng)用層和數(shù)據(jù)層：安全運(yùn)營體系從云安全生命周期出發(fā)，通過安全評估、安全加固等一系列

的定期或觸發(fā)性服務(wù)組成；安全管理體系參照信息安全等級保護(hù)的相關(guān)要求分別從安全管理

制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理進(jìn)行建設(shè)。

合規(guī)需求和自身需求

第一階段：可管第一階段：可控第一階段：可信

安全技術(shù)體系安全運(yùn)營體系

安全防護(hù)H審計(jì)與恢豆：

監(jiān)測與識(shí)別j

--------------!安全托管

|at11i備

數(shù)據(jù)層KtEJDffi::0B審計(jì)

份

恢

*

；?EB應(yīng)用

應(yīng)用層掃描網(wǎng)站監(jiān)測;WAF防等改安全評估

三

!它“綜

■

（y1合

：

日

系統(tǒng)層掃描入侵檢測入侵防護(hù)防菽毒\\運(yùn)烽審計(jì)志

?審-安全加固

計(jì)

■??

平臺(tái)層平臺(tái)安全

j--應(yīng)急響應(yīng)

I網(wǎng)絡(luò)層派illfi控:i防火比RDOoS；j網(wǎng)絡(luò)審計(jì)

物理層機(jī)房安全安全培訓(xùn)

安全管理體系

安全管理制度安全管理機(jī)構(gòu)人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)維管理

3.2云計(jì)算平臺(tái)的安全防護(hù)架構(gòu)

從前面的分析可知，針對云計(jì)算帶來的一些新的威脅及對傳統(tǒng)安全防護(hù)體系的沖擊，

急需要有新的安全防御思路與防護(hù)體系與之抗衡。建立防護(hù)體系，必須明確防護(hù)需求，下面

符對云環(huán)境下的安全防護(hù)體系需求進(jìn)行分析。

首先是要提高云計(jì)算系統(tǒng)的安全性、健壯性。包括控制蠕蟲、病毒、木馬在云計(jì)算平

臺(tái)內(nèi)、外部的傳播，及時(shí)隔離和修復(fù)：對進(jìn)出云計(jì)算系統(tǒng)的數(shù)據(jù)流量和云計(jì)算系統(tǒng)運(yùn)行狀

態(tài)進(jìn)行實(shí)施監(jiān)控，及時(shí)發(fā)現(xiàn)修復(fù)網(wǎng)絡(luò)和系統(tǒng)異常；部署網(wǎng)絡(luò)攻擊防御系統(tǒng)，防范黑客攻

擊造成的系統(tǒng)癱瘓或服務(wù)中斷；完善云計(jì)算平臺(tái)的容災(zāi)備份現(xiàn)制。

其次是保護(hù)用戶信息的私密性和完善性。刈用戶系統(tǒng)和數(shù)據(jù)進(jìn)行安全隔離和保護(hù)，確

保用戶信息的存儲(chǔ)安全，以及用戶間邏輯邊界的安全防護(hù)；通過采用數(shù)據(jù)加密、VPN等技術(shù)

保證用戶數(shù)據(jù)的網(wǎng)絡(luò)傳輸安全；完善用戶信息的數(shù)據(jù)加密和密鑰管理和分發(fā)機(jī)制，實(shí)現(xiàn)對

用戶信息的安全高效安全管理與維護(hù)；完善數(shù)據(jù)備份，安全恢第機(jī)制。

再次是要做好身份認(rèn)證與安全接入控制。建立嚴(yán)格的云計(jì)算AAA機(jī)制，實(shí)施嚴(yán)格的身

份管理、安全認(rèn)證與訪問控制控制，提供用戶訪問記錄，訪問可溯源。

最后云計(jì)算也需要加強(qiáng)安全管理。完善云安全事件應(yīng)急響應(yīng)機(jī)制及處理流程，加強(qiáng)對

操作、維護(hù)等各類日志的審計(jì)管理.，提高對違規(guī)溯源的事后審查能力。

結(jié)合云計(jì)匏技術(shù)及服務(wù)特點(diǎn)，在明確安全防護(hù)需求的基礎(chǔ)上，綜合采用多種安全技術(shù)

手段，從物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全、虛擬化安全、數(shù)據(jù)安全、管理安全

多個(gè)層面，構(gòu)建層次化的縱深安仝防御體系，保障云計(jì)算應(yīng)用安仝°

3.2.1物理安全

物理安全是整個(gè)云計(jì)算系統(tǒng)安全的前提，主要包括物理設(shè)備的安全、網(wǎng)絡(luò)環(huán)境的安全

等，以保護(hù)云計(jì)算系統(tǒng)免受各種自然及人為的破壞。如果其所處的環(huán)境及其本身的物理特

性存在安全問題，必將引起云計(jì)算系統(tǒng)網(wǎng)絡(luò)設(shè)備和線路的不可用，從而造成整個(gè)網(wǎng)絡(luò)系統(tǒng)

的不可用。

3.2.2網(wǎng)絡(luò)安全

網(wǎng)絡(luò)層安全主要指網(wǎng)絡(luò)架構(gòu)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備方面的安全性，主要體現(xiàn)網(wǎng)絡(luò)拓?fù)?/p>

安全、安全域的劃分及邊界防護(hù)、網(wǎng)絡(luò)資源的訪問控制、遠(yuǎn)程接入的安全，路由系統(tǒng)的安

全、入侵檢測的手段、網(wǎng)絡(luò)設(shè)施防病毒等方面，采取的主要安全措施和技術(shù)包括劃分安全

域、實(shí)施安全邊界防護(hù)、部署防火墻、IPS/IDS,部署Dos,DDoS攻擊防御系統(tǒng)、網(wǎng)絡(luò)安

全審計(jì)系統(tǒng)、防病毒網(wǎng)關(guān)、強(qiáng)身份認(rèn)證等。

前面己經(jīng)提到了，在云訂算系統(tǒng)中，拒絕服務(wù)攻擊帶來的后果和破壞將會(huì)明顯地超過

傳統(tǒng)的網(wǎng)絡(luò)。所以必須加強(qiáng)抗拒絕服務(wù)攻擊的防范，采取相應(yīng)的防攻擊技術(shù)措施，以保障

云計(jì)算系統(tǒng)的安全。另外，在云計(jì)算應(yīng)用環(huán)境下，虛擬化及共享特性引入了邏輯邊界，如

何對邏輯邊界實(shí)施安全防護(hù)和訪問控制，監(jiān)控和限制各應(yīng)用間的通信流量，是業(yè)界甚至學(xué)

術(shù)界應(yīng)該著重研究的問題。

3.2.3系統(tǒng)安全

系統(tǒng)安全主要指云計(jì)算系統(tǒng)中的主機(jī)服務(wù)器、維護(hù)終端在內(nèi)的所有計(jì)算機(jī)設(shè)備在操作

系統(tǒng)和數(shù)據(jù)庫的層面安全性。操作系統(tǒng)的安全問題主要體現(xiàn)在操作系統(tǒng)本身的缺陷帶來的

不安全因素，如訪問控制、身份認(rèn)證、系統(tǒng)漏洞、操作系統(tǒng)的安全配置問題、病毒對操作

系統(tǒng)的威脅等方面，數(shù)據(jù)庫的安全性主要體現(xiàn)在安全補(bǔ)丁、賬戶口令、角色權(quán)限、日志和

審計(jì)、參數(shù)設(shè)置等方面。

主機(jī)系統(tǒng)作為云計(jì)克平臺(tái)海量信息存儲(chǔ)、傳輸、應(yīng)用處理的基礎(chǔ)設(shè)施，數(shù)量眾多，資

產(chǎn)價(jià)值高，面臨的安全風(fēng)險(xiǎn)極大，其自身安全性可能影響整個(gè)云計(jì)算系統(tǒng)的安全。主要的

防護(hù)措施包括身份認(rèn)證、訪問控制、主機(jī)安仝審計(jì)、HIDS、主機(jī)防病毒系統(tǒng)等，仝面發(fā)現(xiàn)

主機(jī)系統(tǒng)和數(shù)據(jù)庫在安全配置、安全管理.、安全防護(hù)措施等方面的漏洞和安全隱患。

維護(hù)終端作為一種比較分散的資源，長期以來面臨病毒、端蟲、木馬、惡意代碼攻擊，

難以進(jìn)行集中有效的安全管理。不安全的終端可能成為一個(gè)被動(dòng)的攻擊源，對整個(gè)系統(tǒng)構(gòu)

成威脅。應(yīng)定期查看維護(hù)終端的版本及安全補(bǔ)丁安裝情況，檢查賬戶及口令策略，防止出

現(xiàn)使用系統(tǒng)默認(rèn)賬戶或弱口令等情況的發(fā)生，應(yīng)注意及時(shí)升級防病毒、防木馬軟件的病毒、

木馬庫。另外，需要定期查看日志，避免異常安全事件及違規(guī)操作的發(fā)生。

3.2.4應(yīng)用安全

應(yīng)用安全主要指運(yùn)行在云計(jì)算主機(jī)系統(tǒng)上各種不同功能的應(yīng)用系統(tǒng)的安全性。由于云計(jì)

算是一種全新的Web服務(wù)模式，推動(dòng)了Internet的Web化趨勢，應(yīng)用安全主要體現(xiàn)在

Web安全上。Web安全包括兩個(gè)方面：一是Web應(yīng)用本身的安全，即利用Web應(yīng)用漏洞

（如SQL注入、跨站腳本漏洞、目錄遍歷漏洞、敏感信息泄露等漏洞）獲取用戶信息、損

害應(yīng)用程序，以及得到Web服務(wù)器的控制權(quán)限等；二是內(nèi)容安全，即利用漏洞篡改網(wǎng)頁

內(nèi)容，植入惡意代碼，傳播不正當(dāng)內(nèi)容等?系列問題。針對Web應(yīng)用漏洞，應(yīng)注重Web應(yīng)

用系統(tǒng)的全生命周期的安全管理，針對系統(tǒng)生命周期不同階段的特點(diǎn)采用不同的方法提高

應(yīng)用系統(tǒng)的安全性。Web應(yīng)用形式多種多樣，其防護(hù)也是?個(gè)復(fù)雜問題，可采取網(wǎng)頁過濾、

反間諜軟件、郵件過濾、網(wǎng)頁防篡改、Mb應(yīng)用防火墻等防護(hù)措施，同時(shí)加用安全配置，

如定期檢看中間件版本及補(bǔ)丁安裝情況，賬戶及口令策略設(shè)置，定期檢查系統(tǒng)口志和異常

安全事件等等，解決Web應(yīng)用的主要隱患和問題。

3.2.5管理安全

三分技術(shù)、七分管理，再安全的網(wǎng)絡(luò)設(shè)備離不開人的管理.再好的安全策略最終要靠

人來實(shí)現(xiàn)，因此管理是整個(gè)安全中最為重要的一環(huán)，尤其是對于一個(gè)比較龐大和復(fù)雜的云

計(jì)算系統(tǒng)，更是如此。因此我們有必要認(rèn)真地分析云安全管理中可能存在的安全風(fēng)險(xiǎn)，并

采取相應(yīng)的安全措施。

主要涉及安全管理機(jī)構(gòu)和人員的設(shè)置、安全管理制度的建立以及人員安全管理技能等

方面。

針對云計(jì)匏系統(tǒng)特點(diǎn)，重點(diǎn)應(yīng)加強(qiáng)用戶管理、訪問認(rèn)證、安全審計(jì)等方面的管理：建

立安仝審計(jì)系統(tǒng)，進(jìn)行統(tǒng)一、完整的審計(jì)分析，通過對操作、維護(hù)等各類日志的安仝審計(jì)，

提高對違規(guī)溯源的事后審查能力。另外也耍加強(qiáng)對云計(jì)算安全事件管理，完善云計(jì)算平臺(tái)

的容災(zāi)備份機(jī)制J,建立完善的應(yīng)急響應(yīng)機(jī)制J,提高對異常情況和突發(fā)事件的應(yīng)急響應(yīng)能力，

保障云業(yè)務(wù)在發(fā)生安全事件時(shí)，可以快速恢復(fù)業(yè)務(wù)，保障云計(jì)算系統(tǒng)的業(yè)務(wù)連續(xù)性。

3.2.6虛擬化安全

虛擬化是云計(jì)算的主要特點(diǎn)之?，虛擬化能都助在不同業(yè)務(wù)層面上實(shí)現(xiàn)彈性架構(gòu)和資

源池化，但同時(shí)也會(huì)產(chǎn)生許多安全問題。虛擬化技術(shù)引入了Hypervisor和其它管理模塊，

增加了新的攻擊層面，也帶來了新威脅。虛擬機(jī)間通過硬件的背板而不是網(wǎng)絡(luò)進(jìn)行通信，

利用傳統(tǒng)的防護(hù)手段無法對它們進(jìn)行監(jiān)測、在線封堵，類似這些安全控制功能在虛擬化環(huán)

境中都需要采用新的形式。不同敏感度和安全要求的虛擬機(jī)共存問題、虛擬機(jī)的動(dòng)態(tài)遷移

帶來的安全問題、數(shù)據(jù)集中存儲(chǔ)帶來的新風(fēng)險(xiǎn)等都是急需解決的問題。

針對以上威脅，可采用虛擬機(jī)的安全隔離及訪問控制、虛擬交換機(jī)、虛擬防火墻、虛

擬鏡像文件的加密存儲(chǔ)、存儲(chǔ)空間的負(fù)載均衡、兀余保護(hù)、虛擬機(jī)的備份恢復(fù)等來保障云計(jì)

算服務(wù)的高可用性。

3.2.7數(shù)據(jù)安全

數(shù)據(jù)的保密性、完整性、可用性、真實(shí)性、授權(quán)、認(rèn)證和不可抵賴性都是云環(huán)境下的

重點(diǎn)關(guān)注問題。在數(shù)據(jù)的創(chuàng)建、存儲(chǔ)、使用、共享、歸檔、銷毀等階段，都需要采取相應(yīng)

的保護(hù)措施，主要通過虛擬化層實(shí)現(xiàn)虛擬機(jī)間存儲(chǔ)訪問隔離：通過設(shè)置虛擬環(huán)境下的邏

輯邊界安全訪問控制策略，實(shí)現(xiàn)虛擬機(jī)、虛擬機(jī)組間的數(shù)據(jù)訪問控制：通過對重要的數(shù)據(jù)

信息在上傳、存儲(chǔ)前進(jìn)行加密處理來保障數(shù)據(jù)存儲(chǔ)的安全：通過采用采用數(shù)據(jù)加密、VPN

等技術(shù)保障用戶數(shù)據(jù)及維護(hù)管理信息的網(wǎng)絡(luò)傳輸安全：通過存儲(chǔ)資源重分配之前進(jìn)行完整

的數(shù)據(jù)擦除實(shí)現(xiàn)剩余信息的安全、通過支持文件級完整和增量備份及映像級恢復(fù)和單個(gè)文

件的恢復(fù)等方式保障數(shù)據(jù)的有效備份與迅速恢復(fù)。

4分項(xiàng)目安全防護(hù)手段介紹

安恒信息XXX住建廳云上業(yè)務(wù)系統(tǒng)安全方案事前監(jiān)控采用先知態(tài)勢感知服務(wù)，事中利用

玄武盾云防御服務(wù)和網(wǎng)站衛(wèi)士，事后結(jié)合飛天鏡安全分析服務(wù)、運(yùn)維審計(jì)和數(shù)據(jù)庫審計(jì)對系

統(tǒng)進(jìn)行全面的安全防護(hù)，在加上人工安全服務(wù)的配合，為公有云租戶提供固若金湯的安全保

護(hù)體系。

4.1運(yùn)營監(jiān)測

4.L1先知態(tài)勢感知服務(wù)

在深刻分析安全監(jiān)管面臨的各類工作難題與困境后，安恒信息推出了態(tài)勢感知服務(wù)，該

服務(wù)依靠云端的大數(shù)據(jù)網(wǎng)絡(luò)空間態(tài)勢感知系統(tǒng)一一先知，保障海量站點(diǎn)安全監(jiān)測的數(shù)據(jù)全面

性、時(shí)效性，融合7*24專家安全值守，對檢測到的漏洞、事件進(jìn)行專家級的驗(yàn)證，為用戶

輸出準(zhǔn)確可靠信息。另一點(diǎn)，通過對被監(jiān)管站點(diǎn)的基礎(chǔ)信息采集，在爆發(fā)Oday、攻擊事件

時(shí)，可以進(jìn)行快速的威脅預(yù)警。為了更好地滿足用戶獲取服務(wù)結(jié)果，并進(jìn)行監(jiān)管、通報(bào)、展

現(xiàn)的需求，本服務(wù)提供專用的用戶服務(wù)終端系統(tǒng)。

“先知”服務(wù)端

云端監(jiān)測海量網(wǎng)站

7*24專家值守審核

實(shí)時(shí)安全通報(bào)保障

用戶服務(wù)終端

接收并管理服務(wù)數(shù)據(jù)

可視化展現(xiàn)服務(wù)數(shù)據(jù)

4.1.1.1指定網(wǎng)絡(luò)空間內(nèi)系統(tǒng)發(fā)現(xiàn)與基礎(chǔ)信息服務(wù)

由于管理、技術(shù)等多種原因，海量信息系統(tǒng)基礎(chǔ)數(shù)據(jù)的驗(yàn)證、維護(hù)、更新與比對檢查工

作，長期處于缺失狀態(tài)。尤其是政府網(wǎng)站存在被黑客符域名指向海外服務(wù)器、ICP備案號盜

用、政府域名被冒名注冊為釣魚網(wǎng)站、隱蔽服務(wù)器、“肉雞”服務(wù)器泛濫等情況屢見不鮮，

這都是網(wǎng)絡(luò)安全上管部門對其監(jiān)管對象基本情況不明、基本數(shù)據(jù)不全、缺乏基本數(shù)據(jù)檢測與

監(jiān)測手段所造成的。

風(fēng)暴中心的云端的先知系統(tǒng)，通過部署在全國的全網(wǎng)爬蟲集群，在互聯(lián)網(wǎng)空間中進(jìn)行廣

度優(yōu)先的爬取，不間斷采集域名信息，目前已累計(jì)監(jiān)測到2億個(gè)域名。并對探測發(fā)現(xiàn)的域名

進(jìn)行基礎(chǔ)信息獲取與智能處理。

憑借云端不斷豐富的在線系統(tǒng)數(shù)據(jù)，可為對應(yīng)的轄區(qū)用戶、行業(yè)用戶提供對應(yīng)的資產(chǎn)清

單，可提供的在線系統(tǒng)基礎(chǔ)信息如下：

網(wǎng)站域名、標(biāo)題；

網(wǎng)站IP及其仃屬；網(wǎng)站行政歸屬；網(wǎng)站行業(yè)屬性；

網(wǎng)站指紋信息：操作系統(tǒng)、NEB服務(wù)器類型、插件、CMS、CDN服務(wù)信息等：

用戶按需獲得對應(yīng)的資產(chǎn)信息后，可對此類數(shù)據(jù)進(jìn)行維護(hù)與更新，以完善更精確的資產(chǎn)

信息。

4.1.1.2在線系統(tǒng)安全問題實(shí)時(shí)監(jiān)測服務(wù)

本服務(wù)利用云端大數(shù)據(jù)系統(tǒng)和分布式計(jì)算網(wǎng)絡(luò)，結(jié)合信息系統(tǒng)基礎(chǔ)數(shù)據(jù)，安恒可以快速

實(shí)現(xiàn)大批量網(wǎng)站、網(wǎng)絡(luò)主機(jī)的安全掃描任務(wù)，及時(shí)快速發(fā)現(xiàn)與定位網(wǎng)絡(luò)安全漏洞問題的存在

與網(wǎng)絡(luò)安全事件的發(fā)生，并提供包括問題驗(yàn)證、事件調(diào)查、問題和事件通報(bào)、事件處置的全

流程服務(wù)。

4.1.1.3網(wǎng)絡(luò)安全問題與事件發(fā)現(xiàn)服務(wù)

網(wǎng)絡(luò)安全問題與事件發(fā)現(xiàn)服務(wù)包括網(wǎng)站脆弱性檢測、網(wǎng)站可用性監(jiān)測、網(wǎng)站安全事件監(jiān)

測、網(wǎng)站敏感內(nèi)容監(jiān)測與網(wǎng)絡(luò)主機(jī)監(jiān)測：

脆弱性檢測

網(wǎng)站脆弱性檢測服務(wù)將通過WEB應(yīng)用漏洞掃描引擎對目標(biāo)站點(diǎn)進(jìn)行網(wǎng)站漏洞檢測，包括

SQL注入漏洞、跨站腳本漏洞、開放服務(wù)漏洞、網(wǎng)站第三方應(yīng)月漏洞以及新發(fā)現(xiàn)的0Day漏

洞等，及時(shí)發(fā)現(xiàn)漏洞，并進(jìn)行人工審核、取證確認(rèn)，網(wǎng)站脆弱性檢測服務(wù)可對目標(biāo)站點(diǎn)歷史

風(fēng)險(xiǎn)進(jìn)行追蹤監(jiān)測，提供漏洞的新增、遺留與修復(fù)情況。

可用性監(jiān)測

網(wǎng)站可用性監(jiān)測服務(wù)采用多線路監(jiān)測技術(shù)，提供目標(biāo)站點(diǎn)的域名解析可用性、網(wǎng)站服務(wù)

可用性、以及網(wǎng)站內(nèi)容可用性，能夠較為全血的實(shí)現(xiàn)網(wǎng)站可用性的監(jiān)測?？捎眯员O(jiān)測分為以

下三類服務(wù)內(nèi)容：

域名解析可用性

任何?個(gè)解析的域名均有時(shí)應(yīng)的權(quán)威DNS服務(wù)器為其提供域名解析服務(wù)，如果提供權(quán)威

DNS信息的域名服務(wù)器出現(xiàn)故障或解析出錯(cuò)誤的信息，將導(dǎo)致用戶無法訪問到真實(shí)的網(wǎng)站。

網(wǎng)站遠(yuǎn)程安全監(jiān)測服務(wù)通過監(jiān)測權(quán)威DNS服務(wù)器的可用性、以及權(quán)威DNS服務(wù)器解析1P地

址是否與歷史基準(zhǔn)?致來判斷域名是否發(fā)生安全問題，出現(xiàn)問題后會(huì)立即審核并進(jìn)行通告。

網(wǎng)站服務(wù)可用性

網(wǎng)站應(yīng)用可用性服務(wù)會(huì)自動(dòng)監(jiān)聽網(wǎng)站指定的TCP端口，通過HTTP協(xié)議訪問網(wǎng)站，通過

返【可的響應(yīng)狀態(tài)碼，來判斷網(wǎng)站是否能夠提供正常的服，以監(jiān)督網(wǎng)站服務(wù)正常運(yùn)行。

網(wǎng)站內(nèi)容可用性

網(wǎng)站內(nèi)容可用性監(jiān)測引擎間隔一段時(shí)間就會(huì)向監(jiān)測網(wǎng)站發(fā)起HTTP請求，并核對響應(yīng)頁

面內(nèi)容是否有基準(zhǔn)文本或數(shù)據(jù)，根據(jù)基準(zhǔn)信息是否匹配，進(jìn)而判斷網(wǎng)站內(nèi)容是否發(fā)生異常。

安全事件監(jiān)測

網(wǎng)站安全事件監(jiān)測服務(wù)可對頁面被攻擊情況進(jìn)行實(shí)時(shí)監(jiān)測:通過對網(wǎng)絡(luò)空間中的頁面被

黑資源的提取，形成暗錯(cuò)庫、敏感言論庫、黑客標(biāo)識(shí)庫等，可快速監(jiān)測到網(wǎng)站出現(xiàn)的典型安

仝事件，幫助管理員盡快得知當(dāng)前網(wǎng)站被黑客攻擊的情況，能夠在事發(fā)產(chǎn)生惡劣影響前盡快

回復(fù)系統(tǒng)正常。

網(wǎng)站敏感內(nèi)容監(jiān)測

網(wǎng)站敏感內(nèi)容監(jiān)測服務(wù)對目標(biāo)頁面中存在的敏感言論進(jìn)行實(shí)時(shí)監(jiān)測，通過自動(dòng)化識(shí)別以

及人工確認(rèn)等方式，監(jiān)測發(fā)現(xiàn)敏感內(nèi)容，及時(shí)通知用戶，以保障網(wǎng)站內(nèi)容健康合法。

網(wǎng)絡(luò)主機(jī)監(jiān)測

網(wǎng)絡(luò)主機(jī)監(jiān)測服務(wù)通過對互聯(lián)網(wǎng)中存在的主機(jī)進(jìn)行掃描，與我省信息系統(tǒng)基礎(chǔ)數(shù)據(jù)信息

進(jìn)行歷史縱向比對，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)生機(jī)狀態(tài)異常變更情況。同時(shí)，在特定主機(jī)層面系統(tǒng)緊急

高危漏洞爆發(fā)期，對網(wǎng)絡(luò)主機(jī)受漏洞影響幾率進(jìn)行檢測。

4.1.1.4安全問題實(shí)時(shí)通報(bào)與處置追蹤服務(wù)

態(tài)勢感知服務(wù)通過云端系統(tǒng)確保實(shí)時(shí)的漏洞發(fā)現(xiàn)與事件監(jiān)測，結(jié)合7*24專家的驗(yàn)證與

審核，對各類問題進(jìn)行專業(yè)的審核取證，最后將可靠數(shù)據(jù)通報(bào)給用戶，并且長期對通報(bào)事件

進(jìn)行跟蹤，直至問題已被處理完畢，形成事件閉環(huán)。

網(wǎng)絡(luò)安全問題驗(yàn)證服務(wù)

針對網(wǎng)絡(luò)安全問題與事件發(fā)現(xiàn)服務(wù)所報(bào)送的網(wǎng)絡(luò)安全問題:安恒信息配備專業(yè)風(fēng)險(xiǎn)評估

與滲透測試技術(shù)人員，對安全漏洞真實(shí)性進(jìn)行人工驗(yàn)證，判斷與評估安全問題危害與緊急程

度，避免誤報(bào)。

網(wǎng)絡(luò)安全事件調(diào)查服務(wù)

針對網(wǎng)絡(luò)安全問題與事件發(fā)現(xiàn)服務(wù)所報(bào)送的網(wǎng)絡(luò)安全事件,安恒信息配備專業(yè)網(wǎng)絡(luò)安全

情報(bào)分析人員，對安全事件進(jìn)行人工調(diào)查，判斷與評估安全事件危害與緊急程度，為安全事

件處置提供依據(jù)，同時(shí)也為網(wǎng)絡(luò)安全重點(diǎn)事件專題分析提供分析素材。

網(wǎng)絡(luò)安全問題與事件通報(bào)服務(wù)

依據(jù)網(wǎng)絡(luò)安全問題與事件監(jiān)測服務(wù)的情況發(fā)現(xiàn)，與網(wǎng)絡(luò)安全問題、事件的驗(yàn)證與調(diào)查服

務(wù)結(jié)果，結(jié)合網(wǎng)絡(luò)安全態(tài)勢感知通報(bào)體系內(nèi)部工作流程，根據(jù)信息系統(tǒng)基礎(chǔ)數(shù)據(jù)庫中的分類

分級信息，提供可自定義的自動(dòng)化通報(bào)服務(wù)，使用郵件、密信筆方式確保安全問題與事件簡

報(bào)、報(bào)告可發(fā)送到相關(guān)單位與個(gè)人。

用戶可按需進(jìn)行通報(bào)下發(fā)

用戶端在獲取到通報(bào)審核后的數(shù)據(jù)后，用戶可對事件進(jìn)行快速通報(bào)，按需發(fā)給管轄范圍

內(nèi)的下級單位，實(shí)現(xiàn)通報(bào)督促的職能：

本服務(wù)配備對應(yīng)的通報(bào)APP,用戶可在手機(jī)終端上接受到實(shí)時(shí)通報(bào)數(shù)據(jù)，并進(jìn)行對應(yīng)通

報(bào)下發(fā)，要求下級單位整改。

事件持續(xù)跟蹤整改情況

在事件被通報(bào)后，系統(tǒng)將會(huì)對該安全問題進(jìn)行持續(xù)的跟蹤，直至問題并處理完后，形成

閉環(huán)。

4.1.1.5Oday威脅快速定向預(yù)警服務(wù)

安恒信息風(fēng)暴中心通過對國際國內(nèi)最新網(wǎng)絡(luò)安全威脅情報(bào)的實(shí)時(shí)監(jiān)控，能第一時(shí)間獲取

最新安全威脅，確認(rèn)最新安全威脅尤其是Oday,對所利用的安全漏洞及影響的系統(tǒng)類型進(jìn)

行提取，根據(jù)信息系統(tǒng)基礎(chǔ)數(shù)據(jù)服務(wù)中所建立的信息系統(tǒng)資產(chǎn)數(shù)據(jù)庫與指紋庫進(jìn)行精確比對,

對最新網(wǎng)絡(luò)安全威脅可能對網(wǎng)絡(luò)安全態(tài)勢造成的影響進(jìn)行預(yù)判，根據(jù)其影響范圍、危害確定

警報(bào)等級，可以形成影響系統(tǒng)清單，進(jìn)行定向預(yù)警，形成主動(dòng)安全整改、加固防御機(jī)制，預(yù)

防Oday被利用事件的發(fā)生。

目前風(fēng)暴中心已經(jīng)輸出過大量的Oday影響預(yù)警，如拓爾思系統(tǒng)任意文件上傳、openssl

證書繞過漏洞、IIS7遠(yuǎn)程命令執(zhí)行、java反序列化等重大影響的Oday預(yù)警。

4.1.1.6各類安全專題深入檢測通報(bào)服務(wù)

近年來，國外網(wǎng)絡(luò)作戰(zhàn)部隊(duì)、敵對勢力、黑客組織與網(wǎng)絡(luò)犯罪集團(tuán)都將我國視為展開網(wǎng)

絡(luò)攻擊的主要戰(zhàn)場，“匿名者”組織、“反共黑客”組織、網(wǎng)絡(luò)賭博黑色產(chǎn)業(yè)鏈集團(tuán)等，都

曾經(jīng)與正在對我國網(wǎng)絡(luò)空間進(jìn)行持續(xù)性的網(wǎng)絡(luò)攻擊。

對上述有組織的規(guī)模性網(wǎng)絡(luò)攻擊事件，需對其攻擊手段、技術(shù)水準(zhǔn)、行為模式、組織背

景和活動(dòng)情報(bào)等，進(jìn)行同樣具備針對性的專題調(diào)查、分析與研究工作，這對于防御規(guī)模性網(wǎng)

絡(luò)攻擊行動(dòng)、打擊網(wǎng)絡(luò)犯罪行為、治理網(wǎng)絡(luò)空間環(huán)境具有重要意義。

安恒信息結(jié)合自身遍布全國的大數(shù)據(jù)采集引擎與后臺(tái)先進(jìn)的網(wǎng)絡(luò)安全情報(bào)分析系統(tǒng)，組

織具有豐富經(jīng)驗(yàn)的網(wǎng)絡(luò)安全情報(bào)分析人員，可以提供網(wǎng)絡(luò)安全逗點(diǎn)事件的專題分析服務(wù)。目

前已經(jīng)對政府站點(diǎn)暗鏈專題、反共黑客專題、域名劫持專題、匿名者專題、某行業(yè)站點(diǎn)部署

WAF情況等安全問題進(jìn)行過深入的專題性分析。

提供可獲取服務(wù)的終端系統(tǒng)

為了能保障用戶更高效得獲取服務(wù)數(shù)據(jù)，并通過服務(wù)成果進(jìn)行安全監(jiān)管，本次服務(wù)提供

專業(yè)的用戶服務(wù)系統(tǒng)，以協(xié)助用戶掌握最實(shí)時(shí)的安全態(tài)勢，高效執(zhí)行安全監(jiān)管職能：

網(wǎng)絡(luò)資產(chǎn)庫：同步來自云端的對應(yīng)管轄范圍的資產(chǎn)數(shù)據(jù)，并可對資產(chǎn)進(jìn)行維護(hù)；

安全態(tài)勢可視化：可從云端獲取最新的安全態(tài)勢可視化展現(xiàn)內(nèi)容，以及云端將推送最新

安全動(dòng)態(tài)資訊：

專業(yè)的服務(wù)報(bào)表：云端安全專家講定期提供安全報(bào)表，從多維度分析整體安全態(tài)勢，以

及各類專題分析報(bào)表；用戶也可按需搜索海量站點(diǎn)，查看具體站點(diǎn)安全報(bào)告；

通報(bào)監(jiān)管：云端審核后的各類安全事件將同步給用戶端，系統(tǒng)監(jiān)管用戶可對各類事件確

認(rèn)是否下發(fā)給對應(yīng)的網(wǎng)站管理單位，并且可查看事件處理的最新進(jìn)展：

服務(wù)內(nèi)容監(jiān)控：可實(shí)時(shí)查看安全服務(wù)的進(jìn)度與結(jié)果，掌握當(dāng)前開啟的各項(xiàng)服務(wù)運(yùn)行情況:

4.2云服務(wù)的應(yīng)用層基礎(chǔ)防護(hù)

4.2.1玄武盾，基于云服務(wù)的應(yīng)用層外部防護(hù)系統(tǒng)

4.2.1.1工作原理

安恒玄武盾采用零部署的云計(jì)算解決方案，用戶無需在本地部署任何安全設(shè)備，只需將

DNS映射至玄武盾CNAME別名地址或?qū)⒕W(wǎng)站NS解析為安恒玄武盾DNS服務(wù)器，玄武盾全國

DNS調(diào)度中心會(huì)對全國的用戶訪問進(jìn)行就近選路，用戶的訪問先經(jīng)過DDOS防護(hù)，可防護(hù)黑

客發(fā)起的Syn-flood>upd-fbod、tcp-flood、應(yīng)用層CC等攻擊。用戶訪問圖片、視頻等

靜態(tài)文件時(shí)可直接到玄武盾全國CDN節(jié)點(diǎn)上獲取，無需到源服務(wù)器上調(diào)取，提升用戶訪問速

率，并節(jié)省服務(wù)器帶寬。

玄武盾全國的云防護(hù)節(jié)點(diǎn)可對黑客發(fā)起的注入、跨站、網(wǎng)頁木馬、掃描器、組件Oday

攻擊、盜鏈等攻擊進(jìn)行防護(hù)，然后將正常流量轉(zhuǎn)發(fā)到源站服務(wù)器。

421.2產(chǎn)品功能

.1網(wǎng)站防護(hù)

玄武盾提供了目前業(yè)界覆蓋范圍最廣、防護(hù)能力最強(qiáng)的安全防護(hù)，對Web網(wǎng)站或應(yīng)用進(jìn)

行嚴(yán)格的保護(hù)。安全策略來自于Snort、CWEsOWASP組織，以及安恒安全研窕院對國內(nèi)典型

應(yīng)用的深入研究成果，覆蓋范圍如下：

.2HTTP協(xié)議規(guī)范性檢查

檢查提交的報(bào)文是否符合HTTP協(xié)議框架，如異常的請求方法、不同字段的合規(guī)性、特

殊字符、重點(diǎn)字段的缺失、HITP方法控制、超長報(bào)文造成的溢出攻擊以及對高危文件的訪

問等，黑客在使用非瀏覽器工具調(diào)試時(shí)可迅速攔截。

.3文件B超

對用戶上傳的文件后綴名和文件內(nèi)容進(jìn)行全方面檢查，杜絕Webshell的上傳和訪問。

.4注入攻擊防護(hù)

對用戶提交的URL、參數(shù)、Cookie等字段進(jìn)行檢有，采用SQL語義解析技術(shù)防止風(fēng)險(xiǎn)系

數(shù)極高的SQL注入攻擊，采用字符偏移技術(shù)對代碼、命令、文件、LDAP、SSI等注入攻擊的

檢測，有效地防護(hù)了對操作系統(tǒng)和應(yīng)用的注入攻擊。

.5跨站腳本攻擊防護(hù)

采用字符差分技術(shù)對用戶提交的腳本進(jìn)行檢查，防止不合法跨站腳本。

.6網(wǎng)頁木馬防護(hù)

對頁面內(nèi)容進(jìn)行逐行掃描，檢查是否存在網(wǎng)頁木馬，防止客戶端被感染。

.7信息泄漏防護(hù)

對服務(wù)器響應(yīng)狀態(tài)碼、服務(wù)器錯(cuò)誤信息、數(shù)據(jù)庫錯(cuò)誤信息、源代碼信息泄露進(jìn)行過濾，

防止服務(wù)器信息被黑客利用進(jìn)行有效攻擊。

.8智能防護(hù)

采用行為識(shí)別算法有效識(shí)別掃描器或黑客持續(xù)性攻擊，避免被掃描器持續(xù)猜測攻擊或黑

客持續(xù)滲透攻擊。

.9第三方組件漏洞防護(hù)

對WEB服務(wù)器容器、應(yīng)用中間件、CMS系統(tǒng)等漏洞進(jìn)行有效防護(hù)。

.10CSRF跨站請求偽造防護(hù)

通過Referer算法和token算法有效對CSRF攻擊進(jìn)行防護(hù)。

421.2.11防盜鏈

通過Referer和Cookie算法有效防止非法外鏈，和對用戶資源內(nèi)容的盜鏈。

.12CDN力口速

安恒玄武盾云防護(hù)在全國擁有20多個(gè)式點(diǎn)，可對所有?省,直轄市的訪問用戶進(jìn)行CDN

加速，包括內(nèi)置Wcbcachc及Wcbrar模塊，Webcache模塊對靜態(tài)頁面進(jìn)行高速緩存，提升

用戶訪問速率，Webrar模塊對頁面內(nèi)容進(jìn)行壓縮，提升服務(wù)器帶寬使用率。

421213防DDOS、CC攻擊

安恒玄武盾與國內(nèi)知名云計(jì)算廠商合作，拂行300GDDOS防護(hù)能力，有效防護(hù)實(shí)現(xiàn)對

Syn-flood.upd-flood.tcp-flood等DDOS攻擊，擁有專利級坊CC攻擊算法，可有效解決

應(yīng)用層CC攻擊，一方面解決了用戶網(wǎng)站被DD0S攻擊時(shí)的可用性問題，另一方面對玄武盾本

身也加強(qiáng)了防護(hù)，這樣可持續(xù)保證用戶的網(wǎng)站穩(wěn)定運(yùn)行。

4.2.1214永久在線

當(dāng)用戶網(wǎng)站因?yàn)榉?wù)器故障、線路故障、電源等問題出現(xiàn)無法連接時(shí)，可顯示云防護(hù)中

的緩存頁面：

當(dāng)在敏感期或特殊時(shí)期時(shí),用戶網(wǎng)站會(huì)主動(dòng)關(guān)閉，在這期間可顯示云防護(hù)中的緩存頁面。

.15可視化安全防護(hù)

可實(shí)時(shí)查看可視化態(tài)勢感知，實(shí)時(shí)了解安全防護(hù)狀態(tài)。

??KB

■1?”

■-i叱

;4M

…“T…Y*

W.M*

&G

a?E

2.16*

化石以3元多■政36文件一

iu.9金；好文。一

"6.SU2B.M>lfWIS5tn-

Ilk9.UB.212卡立％力總文科一

42.fiC.XM.11?■"名文R-

的“BEth

■■■■■I

：',=.呻

■松

?■遼

■■■^H??

■f??

■rts——

BiaMaEza

ax

■KMMg

235323S6?W0002000500060011001400170020

L.，--_____________

421216用戶數(shù)據(jù)報(bào)表

用戶可查看訪問流量報(bào)表、安全防護(hù)報(bào)表，安全防護(hù)報(bào)表包含攻擊次數(shù)態(tài)勢分析、攻擊

者區(qū)域態(tài)勢分析、攻擊者IP統(tǒng)計(jì)、被攻擊頁面統(tǒng)計(jì)、被攻擊域名統(tǒng)計(jì)、攻擊事件統(tǒng)計(jì)、攻

擊威脅等級統(tǒng)計(jì)等。

安恒MSSP自助平臺(tái)MUB劃泄百

gin

tg言訐S

?HOT*W

一-次0.00M

gate*??個(gè)

訪問攻擊時(shí)向分梏

4.2.1.3玄武盾優(yōu)勢

.1企業(yè)級安全解決方案

安恒具備多年企業(yè)級安全解決方案，玄武盾核心防護(hù)引擎來源于安恒WEB應(yīng)用防火墻產(chǎn)

品，高效穩(wěn)定，誤判率和漏報(bào)率業(yè)內(nèi)最低，產(chǎn)品成熟度高，8年產(chǎn)品研發(fā)歷程，歷經(jīng)數(shù)十萬

網(wǎng)站的考驗(yàn)。

產(chǎn)品功能完善，可滿足不同行業(yè)用戶的安全需求：

安全研究院定期輸送安全成果到玄武盾，增強(qiáng)防護(hù)能力；

部署簡便快捷，用戶端無需部署任何安全設(shè)備即可完成云防護(hù)、云加速；

用戶可對自身業(yè)務(wù)進(jìn)行自定義防護(hù)和例外策略，杜絕一套策略用于所有網(wǎng)站，避免誤報(bào)

和漏報(bào)；

用戶使用成本低廉，可按需購買。

.2風(fēng)暴中心整體解決方案

風(fēng)暴中心以安恒信息長達(dá)8年在信息安全領(lǐng)域的經(jīng)驗(yàn)積累為核心,借力成熟的大數(shù)據(jù)及

云計(jì)算技術(shù)構(gòu)建了基于大數(shù)據(jù)的安全搜索引擎，從而為實(shí)現(xiàn)全國基至全球互聯(lián)網(wǎng)絡(luò)在線業(yè)務(wù)

系統(tǒng)的安全基礎(chǔ)數(shù)據(jù)采集、大范圍風(fēng)險(xiǎn)評估、威脅情報(bào)分析、重大安全事件監(jiān)測等提供了行

力的技術(shù)支撐和管理決策參考。

玄武盾依托于風(fēng)暴中心的實(shí)時(shí)監(jiān)測和大數(shù)據(jù)分析技術(shù)，云監(jiān)測模塊在發(fā)現(xiàn)問

題可快速與玄武盾進(jìn)行聯(lián)動(dòng)響應(yīng)，可將漏洞結(jié)果生成虛擬補(bǔ)「方式卜發(fā)到玄武盾進(jìn)行防

護(hù)，通過大數(shù)據(jù)分析技術(shù)對海量日志進(jìn)行分析挖掘，有效發(fā)現(xiàn)Oday攻擊，并同步到玄武盾

生成防護(hù)策略。

4.3服務(wù)器安全加固

4.3.1服務(wù)器漏洞掃描

Internet發(fā)展到今天，基于WEB和數(shù)據(jù)庫架構(gòu)的應(yīng)用系統(tǒng)已經(jīng)逐漸成為主流，廣泛應(yīng)

用于企業(yè)內(nèi)部和外部的業(yè)務(wù)系統(tǒng)中。在網(wǎng)絡(luò)高速公路不斷拓展、電子政務(wù)、電子商務(wù)和各種

基于WEB應(yīng)用的業(yè)務(wù)模式不斷成熟的今天，近兩年關(guān)于網(wǎng)絡(luò)釣魚、SQL注入、木馬和跨站腳

本等攻擊事件帶來的嚴(yán)重后果，影響了人們對WEB應(yīng)用的信心，國際調(diào)研機(jī)構(gòu)給出了WEB

安全威脅愈演愈烈的預(yù)測。根據(jù)Garincr的報(bào)告，目前網(wǎng)絡(luò)中常見的攻擊已經(jīng)由傳統(tǒng)的系統(tǒng)

漏洞攻擊逐漸發(fā)展演變?yōu)閷?yīng)用自身弱點(diǎn)的攻擊，其中最常見的攻擊技術(shù)就是針對WEB應(yīng)用

的SQL注入和釣魚攻擊。

據(jù)CNCERT/CC統(tǒng)計(jì)，2014年通用軟硬件漏洞事件714起，較2013年增長1倍。

4月8日，開源加密協(xié)議OpenSSL被披露存在內(nèi)存泄露高危漏洞(CNVD編號：

CNVD-2014-02175,對應(yīng)CVE-2014-0160),又稱“心臟出血(HeartBleed)”漏洞,利用該

漏洞可竊取服務(wù)器敏感信息，實(shí)時(shí)獲取用戶的賬號和密碼，危害波及大量互聯(lián)網(wǎng)站、電子商

務(wù)、網(wǎng)上支付、即時(shí)聊天、辦公系統(tǒng)、郵件系統(tǒng)等“據(jù)抽樣統(tǒng)干，我國境內(nèi)受該漏洞影響的

IP地址超過3萬個(gè)。

9月25日，GNUBASH(BoumcAgainShell)組件被披露存在遠(yuǎn)程代碼執(zhí)行高危漏洞(CNVD

編號：CNVD-2014-06345,對應(yīng)CVE-2014-6271),又稱“破殼(BashShellShock)”漏洞,

Redhat、Fedora、CentOS、UbuntuDebian、MACOS等幾乎目前所有主流UNIX/Linux操作

系統(tǒng)平臺(tái)、使用ForceCommand功能的OpenSSHSSHD、使用mod_cgi或mod_cgid的

Apache服務(wù)器、DHCP客戶端和其他使用BASH作為解釋器的應(yīng)用均受到影響，不僅是服務(wù)器

系統(tǒng)，還包括交換機(jī)、防火墻、網(wǎng)絡(luò)設(shè)備以及攝像頭、IP電話等許多基于Linux的定制系

統(tǒng)，影響范圍比“心臟出血”漏洞更為嚴(yán)重。

根據(jù)對部分漏洞的持續(xù)監(jiān)測來看，漏洞修復(fù)的速度總體較為緩慢?！靶呐K出血”漏洞披

露3個(gè)月后發(fā)現(xiàn)仍有約16%尚未修更，而知名度相對較低的Ngnix文件解析漏洞（影響Web

應(yīng)用）在披露1年后未修復(fù)率仍高達(dá)55樂

另外，針對特定目標(biāo)的有組織高級可持續(xù)攻擊（APT攻擊）FI漸增多，國家、企業(yè)的網(wǎng)絡(luò)

信息系統(tǒng)安全面臨嚴(yán)峻挑戰(zhàn)。

不僅于此，網(wǎng)絡(luò)環(huán)境、信息系統(tǒng)架構(gòu)越來越復(fù)雜的今天，原本單一的檢查工具已經(jīng)漸漸

不能滿足弱點(diǎn)多樣化的今天，用戶越來越多的需要全方位的弱點(diǎn)發(fā)現(xiàn)能力：系統(tǒng)漏洞、數(shù)據(jù)

庫漏洞、Web應(yīng)用漏洞、弱口令……

基于此，杭州安恒信息技術(shù)有限公司（簡稱“安恒”）推出7集Mb漏掃、數(shù)據(jù)庫漏掃、

系統(tǒng)漏掃于一體的明鑒?遠(yuǎn)程安全評估系統(tǒng)（DAS-RAS）,為您信息系統(tǒng)整體風(fēng)險(xiǎn)評估提供有

力的支撐。

三i

三h

三

三

明鑒完遠(yuǎn)程安全評估系統(tǒng)（DAS-RAS）是一種以Mb、數(shù)據(jù)庫、操作系統(tǒng)、軟件的安全檢

測為核心，弱口令、端口與服務(wù)探測為輔助的綜合漏洞探測系統(tǒng)。并旦系統(tǒng)使用一種先進(jìn)技

術(shù)，實(shí)現(xiàn)分布式、集群式漏洞掃描功能，大大縮短掃描周期，提高長期安全監(jiān)控能力。通過

B/S框架及完善的權(quán)限控制系統(tǒng)，滿足您最大程度上的安全協(xié)作要求。

明鑒黨遠(yuǎn)程安全評估系統(tǒng)（DAS-RAS）功能主要包含了Web、數(shù)據(jù)庫、操作系統(tǒng)及應(yīng)用軟

件、弱口令、端口探測與服務(wù)識(shí)別5大掃描功能，以及分布式集群掃描模塊、統(tǒng)計(jì)報(bào)告控

制體系、用戶權(quán)限管理體系等輔助功能。

分布爆群管理模塊統(tǒng)日志審計(jì)

計(jì)

報(bào)

WebO苗主機(jī)掃描數(shù)據(jù)庫掃描告

控備份與還原

制

端口/服