信息安全-云盾_网站安全服务测试方案.pdfVIP

1.信服云盾用户业务安全背景

网站是企事业单位信息化建设的重要内容，主要实现信息公开、在线办事等

功能。在信息化发展、“互联网+”等变革发展中承担重要角色，具备较高的资

产价值，极易成为黑客攻击目标，造成篡改网页、上级通报等一系列问题，其安

全问题受到了国家的高度关注。近年来，国家相关部门针对政府网站组织了多次

安全检查，并推出了一系列政策文件。

传统解决方案对于新形势下的应用安全威胁应对乏力。

通过对网站的构建综合“动态防御”安全体系，实现对网站安全一体化交付。

信服云盾网站安全防护方案由安全专家在云端进行云端防护策略的更新调

整，保证安全策略有效且处于最佳状况，为网站提供持续有效的云端立体化防护，

不让网站因为安全而失控出问题。

2.测试说明

2.1.测试背景

本着实事求是的态度，在项目建设前对厂商提供自主研发的网站安全服务进

行测试，目标是通过严格的测试，来验证各项功能和性能能否满足此次项目建设

的实际需求，通过各方面的能力测试，明确适合应用环境的优秀网站安全服务。

根据Gartner的研究报告，未来的安全应该是防御、检测、响应三者并存，

立体化联动防御机制。目前信息安全攻击有75%以上都是发生在Web应用层，

而目前超过2/3的Web站点都相当脆弱，易受攻击，这些攻击形式多种多样，

手法也越来越隐匿，我们往往需要去对多台安全设备中记录的日志进行大量的日

分析，进而去配置针对性的策略，这无疑对安全运维人员的水平提出了很高的要

求。

很多单位会采购第三方的安全服务，这种雇佣兵式的安全服务，确实在某种

程度上解决了短期的问题。但是单位的安全能力长期依赖第三方运维人员，一旦

运维人员离职调动等不确定因素会让单位的安全水平直线下降，另一方面传统安

全服务所需的成本无疑也是很高的。在新形势下，需要一种更便捷、更有效、性

价比更高的安全交付方式。

2.2.测试目标

通过对实际的网站测试来评选出测试效果最佳的厂商，并且选出最佳厂商以

合作共赢的形式开展之后的工作。期间网站安全的测试过程中需要各厂商模拟攻

击、渗透方式来体现测试的效果。

2.3.测试方法

网站监测测试环境为云端测试，客户提供相应域名信息，厂商云端对网站进

行实时扫描并监控，并根据测试用例最终形成测试报告。

2.4.测试资源清单

.IP资源

资源旁挂CR旁挂SR

3个机房的万兆接口或千兆接

网络接口3个机房的万兆接口或千兆接口

口

云平台：4个公网IP

运营平台

云平台：4个公网IP平台租户服务地址：256个存

IP

IP地址或256个存在地址复用在地址复用

.硬件资源

设备名称设备型号数量用途

CPUE5-2630*2V4,128G内

存，8*SATA/SAS盘位，默认

X86服务器128G系统盘，1*480GSSD1云防护清洗节点

缓存盘，6个GE接口，4块

SSD硬盘

HCIKey深信服超融合授权硬件key1一个用与清洗节点

硬件为标准1U设备，8电，服务器流量分发器，两台主

应用分发器2

吞吐量为1.5Gbps备或集群

48个10/100/1000Base-T以太