国产日韩欧美一区二区三区三州_亚洲少妇熟女av_久久久久亚洲av国产精品_波多野结衣网站一区二区_亚洲欧美色片在线91_国产亚洲精品精品国产优播av_日本一区二区三区波多野结衣 _久久国产av不卡

?

基于云環(huán)境下網(wǎng)站的安全防護

2017-03-08 23:13:41王玨
中國新通信 2017年1期
關(guān)鍵詞:州政府臺州市黑客

王玨

【摘要】 隨著全球信息化浪潮的快速發(fā)展,云計算正成為信息及其相關(guān)領(lǐng)域的熱門話題,并迅速從概念走向應(yīng)用,從IT行業(yè)走向傳統(tǒng)行業(yè),并且得到了政府的大力支持和推廣,許多政府紛紛把重要業(yè)務(wù)系統(tǒng)遷移到云上,與此同時,云上應(yīng)用系統(tǒng)的安全問題就越來越凸顯其重要性。當(dāng)前,臺州市有許多政務(wù)網(wǎng)站遷移到了臺州移動的IDC云平臺,為了有效保障臺州市政務(wù)網(wǎng)站云環(huán)境下的安全建設(shè)與運行,臺州移動建設(shè)了云監(jiān)測防護一體化平臺,實現(xiàn)了對云上系統(tǒng)的安全監(jiān)測與防護防護。

【關(guān)鍵字】 云計算 應(yīng)用系統(tǒng) 安全 云防護

一、引言

當(dāng)前網(wǎng)絡(luò)空間安全面臨的問題日益嚴(yán)重,臺州市各政府網(wǎng)站作為臺州市人民政府及其部門發(fā)布政府信息的重要平臺和窗口,在提高行政效能、提升政府公信力等方面發(fā)揮了重要作用。同時,部分政府網(wǎng)站在建設(shè)、運維等環(huán)節(jié)存在著技術(shù)或管理上的漏洞與隱患。2015年省網(wǎng)絡(luò)與信息安全信息通報中心組織專家對臺州市600余家政府網(wǎng)站進行遠程監(jiān)測,發(fā)現(xiàn)存在問題的網(wǎng)站有151家,安全漏洞897條,發(fā)現(xiàn)了一大批存在問題的網(wǎng)站和安全漏洞。其中鏈接注入、Cookie SQL注入、mhtml協(xié)議、跨站腳本、框架注入等高危漏洞780多條,占漏洞數(shù)的86.9%。臺州移動通過云防護平臺的建設(shè),實現(xiàn)對全市安全問題的統(tǒng)一檢測,網(wǎng)絡(luò)攻擊實時防御,安全問題跟蹤處置。

二、云上應(yīng)用安全需求

2.1應(yīng)用系統(tǒng)防護需求

臺州市政府網(wǎng)站由于其承載著政府部門的重要業(yè)務(wù),因此對Web應(yīng)用防護有以下需求:

1)云WAF:為臺州政府網(wǎng)站提供防攻擊(跨站腳本攻擊、注入攻擊、緩沖區(qū)溢出攻擊、Cookie假冒、認證逃避、表單繞過、非法輸入、強制訪問)、防篡改(隱藏變量篡改、頁面防篡改)、防CC攻擊等安全防護。

2)網(wǎng)頁防篡改:防止臺州政府網(wǎng)站系統(tǒng)被黑客惡意攻擊后篡改頁面。

3)云安全檢測:對臺州政府的云內(nèi)業(yè)務(wù)信息系統(tǒng)進行全面的檢測,需要覆蓋可用性檢測、木馬檢測、篡改檢測、關(guān)鍵字檢測,并定期進行漏洞掃描。

2.2基于云的外部威脅感知需求

對于云計算環(huán)境下安全防護,僅做好內(nèi)部的工作是不足的,因為外部威脅在持續(xù)演變,對外部威脅也必須保持足夠的關(guān)注,因此對云外部威脅的感知對于云安全來說,也是必不可少的一部分。

2.3云業(yè)務(wù)系統(tǒng)整體安全態(tài)勢感知需求

不了解云端業(yè)務(wù)系統(tǒng)的整體安全態(tài)勢, 安全防護就是各種盲目地、漫無目的地措施集合,容易造成安全資源浪費,并且不利于安全事件發(fā)生后制定決策。而對云業(yè)務(wù)系統(tǒng)整體安全態(tài)勢有了全面感知,則能根據(jù)獲取到的各項信息進行綜合分析,為云的安全防護制定更具針對性的措施。

三、系統(tǒng)建設(shè)

臺州移動為臺州市政府建設(shè)的云安全防護平臺以“SDN+NFV”技術(shù)為依托,聚焦應(yīng)用安全靈活調(diào)度安全資源,具備安全可視、可控、安全資源自動化部署、彈性擴展、平臺開放等特點。其內(nèi)部示意圖為:

3.1云上網(wǎng)站安全監(jiān)測體系

為了能夠及時保障臺州市政府網(wǎng)站業(yè)務(wù)系統(tǒng)的安全,臺州移動采用了基于帶外監(jiān)測的大數(shù)據(jù)云安全監(jiān)測系統(tǒng),可自動定時對臺州政府云上的應(yīng)用漏洞進行深度的檢查,確保在第一時間內(nèi)發(fā)現(xiàn)政府網(wǎng)站中存在的一系列安全問題。

此次建設(shè)的大數(shù)據(jù)云安全監(jiān)測系統(tǒng)可動態(tài)調(diào)度在全國各省部署的監(jiān)測設(shè)備,結(jié)合在云系統(tǒng)內(nèi)自身部署的本地監(jiān)測引擎,對臺州政府所有云上在線信息系統(tǒng)進行安全掃描,并配套提供各類系統(tǒng)采用的基礎(chǔ)指紋數(shù)據(jù)。

通過對臺州政府云上的所有重要站點和應(yīng)用進行不間斷服務(wù)質(zhì)量監(jiān)測,實時保障站點網(wǎng)站可用,能夠正常對外提供服務(wù)。同時,還對這些應(yīng)用和站點提供了定時的網(wǎng)站安全監(jiān)測服務(wù),及時快速地發(fā)現(xiàn)與定位網(wǎng)絡(luò)安全問題的存在與網(wǎng)絡(luò)安全事件的發(fā)生。

網(wǎng)絡(luò)安全問題與事件發(fā)現(xiàn)能力建設(shè)包括網(wǎng)站脆弱性檢測、網(wǎng)站可用性監(jiān)測、網(wǎng)站掛馬監(jiān)測、網(wǎng)站鏈接監(jiān)測、網(wǎng)站安全事件監(jiān)測、網(wǎng)站敏感內(nèi)容監(jiān)測與網(wǎng)絡(luò)主機監(jiān)測七項內(nèi)容。

3.2云上網(wǎng)站安全防護體系

本次臺州移動為臺州市政府網(wǎng)站建設(shè)的云防御體系是基于云計算和大數(shù)據(jù)技術(shù),采用“事前安全檢測”+“事中實時防護”+“事后分析加固”全生命周期解決方案。

事前安全檢測發(fā)現(xiàn)網(wǎng)站漏洞、安全事件等問題;

事中采用零部署的云防護方案,防護黑客發(fā)起的Synflood、upd-flood、tcp-flood等DDOS攻擊,在應(yīng)用層防護上通過7層數(shù)據(jù)包分析防護注入攻擊、跨站腳本、Webshell上傳、網(wǎng)頁木馬、第三方組件漏洞和應(yīng)用層CC等應(yīng)用層攻擊,有效保障網(wǎng)站的可用性和安全性;

事后通過對日志流量的大數(shù)據(jù)分析,有效識別異常流量、自動化攻擊、規(guī)則誤判等問題,對安全策略進行持續(xù)優(yōu)化和改進。

本項目中云防御體系主要建設(shè)了以下方面的能力:

3.2.1 DDOS/CC防護

目前,WEB應(yīng)用成為DDOS攻擊的主要目標(biāo)。有第三方數(shù)據(jù)顯示,87.11%的DDOS目標(biāo)為HTTP應(yīng)用,通過DDOS攻擊可對業(yè)務(wù)系統(tǒng)發(fā)起大量請求造成流量擁塞,從而造成網(wǎng)站拒絕服務(wù)。

而大部分用戶只能通過部署硬件防護設(shè)備自身性能來防止DDOS攻擊,但一旦攻擊帶寬超過出口帶寬,或者連接數(shù)超過設(shè)備最大性能時,硬件防護設(shè)備就無能為力。通過云端DDOS防護服務(wù),帶寬可以最大化提供,防護端采用集群部署,因此防護性能可以無限擴展,當(dāng)DDOS攻擊流量增大時可彈性擴展帶寬,而且可按需付費。

與此同時,近年來黑客開始采用攻擊成本低的應(yīng)用層CC攻擊方法進行分布式拒絕服務(wù)攻擊。CC攻擊的特點是流量小、攻擊精準(zhǔn),只需要少量肉機或代理服務(wù)器就可以完成,同行惡意競爭、刷票、黃牛搶票、商業(yè)爬蟲抓取敏感信息等不法行為經(jīng)常采用CC攻擊。CC攻擊可造成服務(wù)器訪問慢和拒絕服務(wù),因此對CC攻擊的防護同樣十分重要。

基于云安全可控原則,DDOS防護采用陸空聯(lián)合防護體系,在本地利用云平臺安全保障基礎(chǔ)設(shè)施的互聯(lián)網(wǎng)邊界防御資源結(jié)合云內(nèi)的云WAF虛擬設(shè)備建設(shè)DDOS防護系統(tǒng),對于非大流量和應(yīng)用層CC攻擊進行本地防護;當(dāng)攻擊流量超過本地清洗能力時則切換到云端DDOS防護系統(tǒng)進行清洗。

3.2.2 Web應(yīng)用防護

SQL注入、Webshell上傳、第三方組件漏洞仍然是當(dāng)前業(yè)務(wù)系統(tǒng)最主要的高危安全根源,黑客通過SQL注入攻擊等可獲取網(wǎng)站后臺敏感信息。而在云上系統(tǒng)中,由于關(guān)鍵系統(tǒng)的相對集中,此類敏感信息的泄露,更會呈現(xiàn)明顯的規(guī)模效應(yīng)與更大的危害性。

另外,近年主流WEB服務(wù)器組件不時爆出0day漏洞,如連續(xù)爆出的Struts2漏洞、openssl心臟出血漏洞等,其造成的危害影響十分深遠。對這些0day漏洞事件的應(yīng)急處置情況,充分暴露出全網(wǎng)基礎(chǔ)安全保障和用戶數(shù)據(jù)安全保護不足的嚴(yán)峻現(xiàn)狀。0day漏洞爆發(fā)時,黑客可通過利用該漏洞植入webshell獲取服務(wù)器的控制權(quán)限,從而造成網(wǎng)站被篡改、掛馬、插入暗鏈等嚴(yán)重的安全問題。

云端WEB應(yīng)用防護可針對黑客發(fā)起的注入攻擊、跨站腳本、Webshell上傳、網(wǎng)頁木馬、信息泄漏、第三方組件漏洞等攻擊進行有效防護,避免網(wǎng)站信息泄露和篡改,同時通過虛擬補丁技術(shù)加固WEB服務(wù)器組件漏洞。

3.2.3網(wǎng)頁防篡改

國內(nèi)網(wǎng)站被篡改事件屢見不鮮,一種出于炫耀目的,另一種出于政治目的,其攻擊目標(biāo)是國內(nèi)政府和高校網(wǎng)站。

制造第二類事件的黑客群體在攻擊成功后篡改網(wǎng)頁加入反動口號,發(fā)布的言論經(jīng)常與當(dāng)前一些時事熱點進行結(jié)合,有很強的煽動性,對政府或高校等影響十分惡劣,但由于此類黑客通常在境外活動,甚至使用國內(nèi)政府網(wǎng)站服務(wù)器作為跳板機進行攻擊,因此很難抓捕。

信息安全正如木桶理論所描述的那樣,WEB應(yīng)用系統(tǒng)的安全程序并不取決于我們在某一個方面安全投入的巨大,而在于我們是否針對脆弱的防護御點采取了有效的措施,也許一個弱口令就可以將整個安全系統(tǒng)瞬間崩塌。

為了避免這樣的問題,我們一方面要從安全意識上進行強化和加固,另一方面要部署最后的防線,通過在云端虛擬服務(wù)器上部署網(wǎng)頁防篡改系統(tǒng),從操作系統(tǒng)底層驅(qū)動實現(xiàn)多種保護模式,防止網(wǎng)站頁面內(nèi)容被非法篡改。

四、結(jié)語

此次臺州移動為臺州市建設(shè)的云安全監(jiān)測防護一體化平臺,實現(xiàn)了對臺州政府網(wǎng)站的云監(jiān)測和防御,并且建立了有效的安全事件應(yīng)急與處置機制,形成了監(jiān)測-防御-處置一整套較完整的安全管控流程,可有效督促臺州市政府網(wǎng)站云上應(yīng)用系統(tǒng)安全監(jiān)管工作有效落地。

參 考 文 獻

[1] Zhen Chen,F(xiàn)uyeHan,JunweiCao,XinJiang,Shuo Chen. Cloud Computing-Based Forensic Analysis for Collaborative Network Security Management System. Tsinghua Science and Technology. 2013(01)

[2]鄭生軍,郭龍華,李建華,王紅凱,劉昀. 基于云平臺的網(wǎng)站安全多維監(jiān)測系統(tǒng).計算機與現(xiàn)代化. 2016(01)[3][張愛玉,邱旭華,周衛(wèi)東,夏吉廣. 云計算與云計算安全. 中國安防. 2012(03)

猜你喜歡
州政府臺州市黑客
歡樂英雄
多少個屁能把布克崩起來?
書畫教師作品選登
臺州市出臺多項措施鼓勵外來人員就地過年
網(wǎng)絡(luò)黑客比核武器更可怕
黏黏花
防風(fēng)林莫名枯死,引出一起重大環(huán)保案 臺州市路橋區(qū)金清“7·15”廢酸傾倒案告破
本 期 導(dǎo) 讀
小心近海黑客
宜都市| 天柱县| 历史| 清涧县| 比如县| 渑池县| 忻州市| 陆良县| 湖北省| 姚安县| 海门市| 安阳县| 鹤庆县| 金塔县| 金寨县| 靖远县| 涿鹿县| 包头市| 新田县| 渝北区| 宿州市| 郯城县| 茌平县| 资阳市| 东安县| 梨树县| 沙河市| 绥江县| 调兵山市| 鄄城县| 托里县| 宜城市| 定日县| 巴彦淖尔市| 文化| 福清市| 秦安县| 北宁市| 太仓市| 张北县| 阿拉尔市|