基于云环境下网站的安全防护.docVIP

基于云环境下网站的安全防护 　　【摘要】 随着全球信息化浪潮的快速发展，云计算正成为信息及其相关领域的热门话题，并迅速从概念走向应用，从IT行业走向传统行业，并且得到了政府的大力支持和推广，许多政府纷纷把重要业务系统迁移到云上，与此同时，云上应用系统的安全问题就越来越凸显其重要性。当前，台州市有许多政务网站迁移到了台州移动的IDC云平台，为了有效保障台州市政务网站云环境下的安全建设与运行，台州移动建设了云监测防护一体化平台，实现了对云上系统的安全监测与防护防护。 　　【关键字】 云计算 应用系统 安全 云防护 　　一、引言 　　当前网络空间安全面临的问题日益严重，台州市各政府网站作为台州市人民政府及其部门发布政府信息的重要平台和窗口，在提高行政效能、提升政府公信力等方面发挥了重要作用。同时，部分政府网站在建设、运维等环节存在着技术或管理上的漏洞与隐患。2015年省网络与信息安全信息通报中心组织专家对台州市600余家政府网站进行远程监测，发现存在问题的网站有151家，安全漏洞897条，发现了一大批存在问题的网站和安全漏洞。其中链接注入、Cookie SQL注入、mhtml协议、跨站脚本、框架注入等高危漏洞780多条，占漏洞数的86.9%。台州移动通过云防护平台的建设，实现对全市安全问题的统一检测，网络攻击实时防御，安全问题跟踪处置。 　　二、云上应用安全需求 　　2.1应用系统防护需求 　　台州市政府网站由于其承载着政府部门的重要业务，因此对Web应用防护有以下需求： 　　1）云WAF：为台州政府网站提供防攻击（跨站脚本攻击、注入攻击、缓冲区溢出攻击、Cookie假冒、认证逃避、表单绕过、非法输入、强制访问）、防篡改（隐藏变量篡改、页面防篡改）、防CC攻击等安全防护。 　　2）网页防篡改：防止台州政府网站系统被黑客恶意攻击后篡改页面。 　　3）云安全检测：对台州政府的云内业务信息系统进行全面的检测，需要覆盖可用性检测、木马检测、篡改检测、关键字检测，并定期进行漏洞扫描。 　　2.2基于云的外部威胁感知需求 　　对于云计算环境下安全防护，仅做好内部的工作是不足的，因为外部威胁在持续演变，对外部威胁也必须保持足够的关注，因此对云外部威胁的感知对于云安全来说，也是必不可少的一部分。 　　2.3云业务系统整体安全态势感知需求 　　不了解云端业务系统的整体安全态势， 安全防护就是各种盲目地、漫无目的地措施集合，容易造成安全资源浪费，并且不利于安全事件发生后制定决策。而对云业务系统整体安全态势有了全面感知，则能根据获取到的各项信息进行综合分析，为云的安全防护制定更具针对性的措施。 　　三、系统建设 　　台州移动为台州市政府建设的云安全防护平台以“SDN+NFV”技术为依托，聚焦应用安全灵活调度安全资源，具备安全可视、可控、安全资源自动化部署、弹性扩展、平台开放等特点。其内部示意图为： 　　3.1云上网站安全监测体系 　　为了能够及时保障台州市政府网站业务系统的安全，台州移动采用了基于??外监测的大数据云安全监测系统，可自动定时对台州政府云上的应用漏洞进行深度的检查，确保在第一时间内发现政府网站中存在的一系列安全问题。 　　此次建设的大数据云安全监测系统可动态调度在全国各省部署的监测设备，结合在云系统内自身部署的本地监测引擎，对台州政府所有云上在线信息系统进行安全扫描，并配套提供各类系统采用的基础指纹数据。 　　通过对台州政府云上的所有重要站点和应用进行不间断服务质量监测，实时保障站点网站可用，能够正常对外提供服务。同时，还对这些应用和站点提供了定时的网站安全监测服务，及时快速地发现与定位网络安全问题的存在与网络安全事件的发生。 　　网络安全问题与事件发现能力建设包括网站脆弱性检测、网站可用性监测、网站挂马监测、网站链接监测、网站安全事件监测、网站敏感内容监测与网络主机监测七项内容。 　　3.2云上网站安全防护体系 　　本次台州移动为台州市政府网站建设的云防御体系是基于云计算和大数据技术，采用“事前安全检测”+“事中实时防护”+“事后分析加固”全生命周期解决方案。 　　事前安全检测发现网站漏洞、安全事件等问题； 　　事中采用零部署的云防护方案，防护黑客发起的Synflood、upd-flood、tcp-flood等DDOS攻击，在应用层防护上通过7层数据包分析防护注入攻击、跨站脚本、Webshell上传、网页木马、第三方组件漏洞和应用层CC等应用层攻击，有效保障网站的可用性和安全性； 　　事后通过对日志流量的大数据分析，有效识别异常流量、自动化攻击、规则误判等问题，对安全策略进行持续优化和改进。 　　本项目中云防御体系主要建设了以下方面的能力： 　　3.2.1 DDOS/CC防护