王玨

【摘要】 隨著全球信息化浪潮的快速發(fā)展，云計算正成為信息及其相關(guān)領(lǐng)域的熱門話題，并迅速從概念走向應(yīng)用，從IT行業(yè)走向傳統(tǒng)行業(yè)，并且得到了政府的大力支持和推廣，許多政府紛紛把重要業(yè)務(wù)系統(tǒng)遷移到云上，與此同時，云上應(yīng)用系統(tǒng)的安全問題就越來越凸顯其重要性。當(dāng)前，臺州市有許多政務(wù)網(wǎng)站遷移到了臺州移動的IDC云平臺，為了有效保障臺州市政務(wù)網(wǎng)站云環(huán)境下的安全建設(shè)與運行，臺州移動建設(shè)了云監(jiān)測防護一體化平臺，實現(xiàn)了對云上系統(tǒng)的安全監(jiān)測與防護防護。

【關(guān)鍵字】 云計算 應(yīng)用系統(tǒng) 安全 云防護

一、引言

當(dāng)前網(wǎng)絡(luò)空間安全面臨的問題日益嚴(yán)重，臺州市各政府網(wǎng)站作為臺州市人民政府及其部門發(fā)布政府信息的重要平臺和窗口，在提高行政效能、提升政府公信力等方面發(fā)揮了重要作用。同時，部分政府網(wǎng)站在建設(shè)、運維等環(huán)節(jié)存在著技術(shù)或管理上的漏洞與隱患。2015年省網(wǎng)絡(luò)與信息安全信息通報中心組織專家對臺州市600余家政府網(wǎng)站進行遠程監(jiān)測，發(fā)現(xiàn)存在問題的網(wǎng)站有151家，安全漏洞897條，發(fā)現(xiàn)了一大批存在問題的網(wǎng)站和安全漏洞。其中鏈接注入、Cookie SQL注入、mhtml協(xié)議、跨站腳本、框架注入等高危漏洞780多條，占漏洞數(shù)的86.9%。臺州移動通過云防護平臺的建設(shè)，實現(xiàn)對全市安全問題的統(tǒng)一檢測，網(wǎng)絡(luò)攻擊實時防御，安全問題跟蹤處置。

二、云上應(yīng)用安全需求

2.1應(yīng)用系統(tǒng)防護需求

臺州市政府網(wǎng)站由于其承載著政府部門的重要業(yè)務(wù)，因此對Web應(yīng)用防護有以下需求：

1）云WAF：為臺州政府網(wǎng)站提供防攻擊（跨站腳本攻擊、注入攻擊、緩沖區(qū)溢出攻擊、Cookie假冒、認證逃避、表單繞過、非法輸入、強制訪問）、防篡改（隱藏變量篡改、頁面防篡改）、防CC攻擊等安全防護。

2）網(wǎng)頁防篡改：防止臺州政府網(wǎng)站系統(tǒng)被黑客惡意攻擊后篡改頁面。

3）云安全檢測：對臺州政府的云內(nèi)業(yè)務(wù)信息系統(tǒng)進行全面的檢測，需要覆蓋可用性檢測、木馬檢測、篡改檢測、關(guān)鍵字檢測，并定期進行漏洞掃描。

2.2基于云的外部威脅感知需求

對于云計算環(huán)境下安全防護，僅做好內(nèi)部的工作是不足的，因為外部威脅在持續(xù)演變，對外部威脅也必須保持足夠的關(guān)注，因此對云外部威脅的感知對于云安全來說，也是必不可少的一部分。

2.3云業(yè)務(wù)系統(tǒng)整體安全態(tài)勢感知需求

不了解云端業(yè)務(wù)系統(tǒng)的整體安全態(tài)勢， 安全防護就是各種盲目地、漫無目的地措施集合，容易造成安全資源浪費，并且不利于安全事件發(fā)生后制定決策。而對云業(yè)務(wù)系統(tǒng)整體安全態(tài)勢有了全面感知，則能根據(jù)獲取到的各項信息進行綜合分析，為云的安全防護制定更具針對性的措施。

三、系統(tǒng)建設(shè)

臺州移動為臺州市政府建設(shè)的云安全防護平臺以“SDN+NFV”技術(shù)為依托，聚焦應(yīng)用安全靈活調(diào)度安全資源，具備安全可視、可控、安全資源自動化部署、彈性擴展、平臺開放等特點。其內(nèi)部示意圖為：

3.1云上網(wǎng)站安全監(jiān)測體系

為了能夠及時保障臺州市政府網(wǎng)站業(yè)務(wù)系統(tǒng)的安全，臺州移動采用了基于帶外監(jiān)測的大數(shù)據(jù)云安全監(jiān)測系統(tǒng)，可自動定時對臺州政府云上的應(yīng)用漏洞進行深度的檢查，確保在第一時間內(nèi)發(fā)現(xiàn)政府網(wǎng)站中存在的一系列安全問題。

此次建設(shè)的大數(shù)據(jù)云安全監(jiān)測系統(tǒng)可動態(tài)調(diào)度在全國各省部署的監(jiān)測設(shè)備，結(jié)合在云系統(tǒng)內(nèi)自身部署的本地監(jiān)測引擎，對臺州政府所有云上在線信息系統(tǒng)進行安全掃描，并配套提供各類系統(tǒng)采用的基礎(chǔ)指紋數(shù)據(jù)。

通過對臺州政府云上的所有重要站點和應(yīng)用進行不間斷服務(wù)質(zhì)量監(jiān)測，實時保障站點網(wǎng)站可用，能夠正常對外提供服務(wù)。同時，還對這些應(yīng)用和站點提供了定時的網(wǎng)站安全監(jiān)測服務(wù)，及時快速地發(fā)現(xiàn)與定位網(wǎng)絡(luò)安全問題的存在與網(wǎng)絡(luò)安全事件的發(fā)生。

網(wǎng)絡(luò)安全問題與事件發(fā)現(xiàn)能力建設(shè)包括網(wǎng)站脆弱性檢測、網(wǎng)站可用性監(jiān)測、網(wǎng)站掛馬監(jiān)測、網(wǎng)站鏈接監(jiān)測、網(wǎng)站安全事件監(jiān)測、網(wǎng)站敏感內(nèi)容監(jiān)測與網(wǎng)絡(luò)主機監(jiān)測七項內(nèi)容。

3.2云上網(wǎng)站安全防護體系

本次臺州移動為臺州市政府網(wǎng)站建設(shè)的云防御體系是基于云計算和大數(shù)據(jù)技術(shù)，采用“事前安全檢測”+“事中實時防護”+“事后分析加固”全生命周期解決方案。

事前安全檢測發(fā)現(xiàn)網(wǎng)站漏洞、安全事件等問題；

事中采用零部署的云防護方案，防護黑客發(fā)起的Synflood、upd-flood、tcp-flood等DDOS攻擊，在應(yīng)用層防護上通過7層數(shù)據(jù)包分析防護注入攻擊、跨站腳本、Webshell上傳、網(wǎng)頁木馬、第三方組件漏洞和應(yīng)用層CC等應(yīng)用層攻擊，有效保障網(wǎng)站的可用性和安全性；

事后通過對日志流量的大數(shù)據(jù)分析，有效識別異常流量、自動化攻擊、規(guī)則誤判等問題，對安全策略進行持續(xù)優(yōu)化和改進。

本項目中云防御體系主要建設(shè)了以下方面的能力：

3.2.1 DDOS/CC防護

目前，WEB應(yīng)用成為DDOS攻擊的主要目標(biāo)。有第三方數(shù)據(jù)顯示，87.11%的DDOS目標(biāo)為HTTP應(yīng)用，通過DDOS攻擊可對業(yè)務(wù)系統(tǒng)發(fā)起大量請求造成流量擁塞，從而造成網(wǎng)站拒絕服務(wù)。

而大部分用戶只能通過部署硬件防護設(shè)備自身性能來防止DDOS攻擊，但一旦攻擊帶寬超過出口帶寬，或者連接數(shù)超過設(shè)備最大性能時，硬件防護設(shè)備就無能為力。通過云端DDOS防護服務(wù)，帶寬可以最大化提供，防護端采用集群部署，因此防護性能可以無限擴展，當(dāng)DDOS攻擊流量增大時可彈性擴展帶寬，而且可按需付費。

與此同時，近年來黑客開始采用攻擊成本低的應(yīng)用層CC攻擊方法進行分布式拒絕服務(wù)攻擊。CC攻擊的特點是流量小、攻擊精準(zhǔn)，只需要少量肉機或代理服務(wù)器就可以完成，同行惡意競爭、刷票、黃牛搶票、商業(yè)爬蟲抓取敏感信息等不法行為經(jīng)常采用CC攻擊。CC攻擊可造成服務(wù)器訪問慢和拒絕服務(wù)，因此對CC攻擊的防護同樣十分重要。

基于云安全可控原則，DDOS防護采用陸空聯(lián)合防護體系，在本地利用云平臺安全保障基礎(chǔ)設(shè)施的互聯(lián)網(wǎng)邊界防御資源結(jié)合云內(nèi)的云WAF虛擬設(shè)備建設(shè)DDOS防護系統(tǒng)，對于非大流量和應(yīng)用層CC攻擊進行本地防護；當(dāng)攻擊流量超過本地清洗能力時則切換到云端DDOS防護系統(tǒng)進行清洗。

3.2.2 Web應(yīng)用防護

SQL注入、Webshell上傳、第三方組件漏洞仍然是當(dāng)前業(yè)務(wù)系統(tǒng)最主要的高危安全根源，黑客通過SQL注入攻擊等可獲取網(wǎng)站后臺敏感信息。而在云上系統(tǒng)中，由于關(guān)鍵系統(tǒng)的相對集中，此類敏感信息的泄露，更會呈現(xiàn)明顯的規(guī)模效應(yīng)與更大的危害性。

另外，近年主流WEB服務(wù)器組件不時爆出0day漏洞，如連續(xù)爆出的Struts2漏洞、openssl心臟出血漏洞等，其造成的危害影響十分深遠。對這些0day漏洞事件的應(yīng)急處置情況，充分暴露出全網(wǎng)基礎(chǔ)安全保障和用戶數(shù)據(jù)安全保護不足的嚴(yán)峻現(xiàn)狀。0day漏洞爆發(fā)時，黑客可通過利用該漏洞植入webshell獲取服務(wù)器的控制權(quán)限，從而造成網(wǎng)站被篡改、掛馬、插入暗鏈等嚴(yán)重的安全問題。

云端WEB應(yīng)用防護可針對黑客發(fā)起的注入攻擊、跨站腳本、Webshell上傳、網(wǎng)頁木馬、信息泄漏、第三方組件漏洞等攻擊進行有效防護，避免網(wǎng)站信息泄露和篡改，同時通過虛擬補丁技術(shù)加固WEB服務(wù)器組件漏洞。

3.2.3網(wǎng)頁防篡改

國內(nèi)網(wǎng)站被篡改事件屢見不鮮，一種出于炫耀目的，另一種出于政治目的，其攻擊目標(biāo)是國內(nèi)政府和高校網(wǎng)站。

制造第二類事件的黑客群體在攻擊成功后篡改網(wǎng)頁加入反動口號，發(fā)布的言論經(jīng)常與當(dāng)前一些時事熱點進行結(jié)合，有很強的煽動性，對政府或高校等影響十分惡劣，但由于此類黑客通常在境外活動，甚至使用國內(nèi)政府網(wǎng)站服務(wù)器作為跳板機進行攻擊，因此很難抓捕。

信息安全正如木桶理論所描述的那樣，WEB應(yīng)用系統(tǒng)的安全程序并不取決于我們在某一個方面安全投入的巨大，而在于我們是否針對脆弱的防護御點采取了有效的措施，也許一個弱口令就可以將整個安全系統(tǒng)瞬間崩塌。

為了避免這樣的問題，我們一方面要從安全意識上進行強化和加固，另一方面要部署最后的防線，通過在云端虛擬服務(wù)器上部署網(wǎng)頁防篡改系統(tǒng)，從操作系統(tǒng)底層驅(qū)動實現(xiàn)多種保護模式，防止網(wǎng)站頁面內(nèi)容被非法篡改。

四、結(jié)語

此次臺州移動為臺州市建設(shè)的云安全監(jiān)測防護一體化平臺，實現(xiàn)了對臺州政府網(wǎng)站的云監(jiān)測和防御，并且建立了有效的安全事件應(yīng)急與處置機制，形成了監(jiān)測-防御-處置一整套較完整的安全管控流程，可有效督促臺州市政府網(wǎng)站云上應(yīng)用系統(tǒng)安全監(jiān)管工作有效落地。

參 考 文 獻

[1] Zhen Chen，F(xiàn)uyeHan，JunweiCao，XinJiang，Shuo Chen. Cloud Computing-Based Forensic Analysis for Collaborative Network Security Management System. Tsinghua Science and Technology. 2013（01）

[2]鄭生軍，郭龍華，李建華，王紅凱，劉昀. 基于云平臺的網(wǎng)站安全多維監(jiān)測系統(tǒng).計算機與現(xiàn)代化. 2016（01）[3][張愛玉，邱旭華，周衛(wèi)東，夏吉廣. 云計算與云計算安全. 中國安防. 2012（03）