信息安全-云盾_网站安全服务测试方案.docVIP

1. 信服云盾用户业务安全背景 网站是企事业单位信息化建设的重要内容，主要实现信息公开、在线办事等 功能。在信息化发展、“互联网+”等变革发展中承担重要角色，具备较高的资 产价值，极易成为黑客攻击目标，造成篡改网页、上级通报等一系列问题，其安 全问题受到了国家的高度关注。近年来，国家相关部门针对政府网站组织了多次 安全检查，并推出了一系列政策文件。 传统解决方案对于新形势下的应用安全威胁应对乏力。 通过对网站的构建综合“动态防御”安全体系，实现对网站安全一体化交付。 信服云盾网站安全防护方案由安全专家在云端进行云端防护策略的更新调 整，保证安全策略有效且处于最佳状况，为网站提供持续有效的云端立体化防护， 不让网站因为安全而失控出问题。 2. 测试说明 2.1. 测试背景 本着实事求是的态度，在项目建设前对厂商提供自主研发的网站安全服务进 行测试，目标是通过严格的测试，来验证各项功能和性能能否满足此次项目建设 的实际需求，通过各方面的能力测试，明确适合应用环境的优秀网站安全服务。 根据Gartner的研究报告，未来的安全应该是防御、检测、响应三者并存， 立体化联动防御机制。目前信息安全攻击有 75%以上都是发生在 Web应用层, 而目前超过2/3的Web站点都相当脆弱，易受攻击，这些攻击形式多种多样， 手法也越来越隐匿，我们往往需要去对多台安全设备中记录的日志进行大量的日 分析，进而去配置针对性的策略，这无疑对安全运维人员的水平提出了很高的要 求。 很多单位会采购第三方的安全服务，这种雇佣兵式的安全服务，确实在某种 程度上解决了短期的问题。但是单位的安全能力长期依赖第三方运维人员，一旦 运维人员离职调动等不确定因素会让单位的安全水平直线下降， 另一方面传统安 全服务所需的成本无疑也是很高的。在新形势下，需要一种更便捷、更有效、性 价比更高的安全交付方式。 22测试目标 通过对实际的网站测试来评选出测试效果最佳的厂商， 并且选出最佳厂商以 合作共赢的形式开展之后的工作。期间网站安全的测试过程中需要各厂商模拟攻 击、渗透方式来体现测试的效果。 2.3. 测试方法 网站监测测试环境为云端测试，客户提供相应域名信息，厂商云端对网站进 行实时扫描并监控，并根据测试用例最终形成测试报告。 24测试资源清单 241.1. IP 资源 资源 旁挂CR 旁挂SR 网络接口 3个机房的万兆接口或千兆接口 3个机房的万兆接口或千兆接 口 运营平台 IP 云平台：4个公网IP IP地址或256个存在地址复用 云平台：4个公网IP 平台租户服务地址：256个存 在地址复用 .硬件资源 设备名称 设备型号 数量 用途 X86服务器 CPU E5-2630*2 V4,128G 内 存，8*SATA/SAS盘位，默认 128G 系统盘，1*480G SSD 缓存盘，6个GE接口，4块 SSD硬盘 1 云防护清洗节点  HCI Key 深信服超融合授权硬件key 1 一个用与清洗节点 应用分发器 硬件为标准1U设备，8电， 吞叶量为1.5Gbps 2 服务器流量分发器，两台主 备或集群 交换机 48 个 10/100/1000Base-T 以太 网端口，4个10G SFP+以 太网端口，交换谷量 256Gbps,包转发率 132Mpps, 1U,三层交换，带堆叠功能 1 业务交换机 运营平台 CPU E3-1230 V3,32G 内存， 4*SATA盘位，默认128G系 统盘，1*240G SSD缓存盘， 6个GE接口，机械盘 -2T-SATA 1 运营平台 管理交换机 24 个 10/100/1000Base-T 以太 网端口，4个10G SFP+以太 网端口，交换容量256Gbps, 包转发率96Mpps, 1U，三层 交换，不带堆叠功能 1 运营平台管理交换机 网线/光模 块 按需  2.5.部署方案 . 本地部署方案 呼两第 r 诵网垠 业务网络：将客户业务流量迁移至业务网络，流量清洗完之后再转发给客户 源站 运维网络：给深信服运维使用，包括升级、配置下发等 HCI集群运行流量清洗服务，集群部署，可以随业务增长进行动态扩容2.5.12域名接入原理图  当前深信云盾支持CNAME、NS两种接入方式，在云盾界面配置好业务之 后，到用户域名所在运营商上面将域名对应的 CNAME或NS修改成深信云盾提 供的即可。 3. 测试内容 3.1. 网站防御 序 号 测试 类别 测试内 容 测试功能项 1 安全 防护 Web应 用安全 防护 支持HTTP 1.0/1.1，HTTPS协议的安全威胁检测；支持 抵御SQL注入、XSS、系统命令注入等各种web攻击 类型；支持跨站请求伪造 CSRF攻击防护 支持关联上下文，对 webshell脚本上传动