王珏

【摘要】 随着全球信息化浪潮的快速发展，云计算正成为信息及其相关领域的热门话题，并迅速从概念走向应用，从IT行业走向传统行业，并且得到了政府的大力支持和推广，许多政府纷纷把重要业务系统迁移到云上，与此同时，云上应用系统的安全问题就越来越凸显其重要性。当前，台州市有许多政务网站迁移到了台州移动的IDC云平台，为了有效保障台州市政务网站云环境下的安全建设与运行，台州移动建设了云监测防护一体化平台，实现了对云上系统的安全监测与防护防护。

【关键字】 云计算 应用系统 安全 云防护

一、引言

当前网络空间安全面临的问题日益严重，台州市各政府网站作为台州市人民政府及其部门发布政府信息的重要平台和窗口，在提高行政效能、提升政府公信力等方面发挥了重要作用。同时，部分政府网站在建设、运维等环节存在着技术或管理上的漏洞与隐患。2015年省网络与信息安全信息通报中心组织专家对台州市600余家政府网站进行远程监测，发现存在问题的网站有151家，安全漏洞897条，发现了一大批存在问题的网站和安全漏洞。其中链接注入、Cookie SQL注入、mhtml协议、跨站脚本、框架注入等高危漏洞780多条，占漏洞数的86.9%。台州移动通过云防护平台的建设，实现对全市安全问题的统一检测，网络攻击实时防御，安全问题跟踪处置。

二、云上应用安全需求

2.1应用系统防护需求

台州市政府网站由于其承载着政府部门的重要业务，因此对Web应用防护有以下需求：

1）云WAF：为台州政府网站提供防攻击（跨站脚本攻击、注入攻击、缓冲区溢出攻击、Cookie假冒、认证逃避、表单绕过、非法输入、强制访问）、防篡改（隐藏变量篡改、页面防篡改）、防CC攻击等安全防护。

2）网页防篡改：防止台州政府网站系统被黑客恶意攻击后篡改页面。

3）云安全检测：对台州政府的云内业务信息系统进行全面的检测，需要覆盖可用性检测、木马检测、篡改检测、关键字检测，并定期进行漏洞扫描。

2.2基于云的外部威胁感知需求

对于云计算环境下安全防护，仅做好内部的工作是不足的，因为外部威胁在持续演变，对外部威胁也必须保持足够的关注，因此对云外部威胁的感知对于云安全来说，也是必不可少的一部分。

2.3云业务系统整体安全态势感知需求

不了解云端业务系统的整体安全态势， 安全防护就是各种盲目地、漫无目的地措施集合，容易造成安全资源浪费，并且不利于安全事件发生后制定决策。而对云业务系统整体安全态势有了全面感知，则能根据获取到的各项信息进行综合分析，为云的安全防护制定更具针对性的措施。

三、系统建设

台州移动为台州市政府建设的云安全防护平台以“SDN+NFV”技术为依托，聚焦应用安全灵活调度安全资源，具备安全可视、可控、安全资源自动化部署、弹性扩展、平台开放等特点。其内部示意图为：

3.1云上网站安全监测体系

为了能够及时保障台州市政府网站业务系统的安全，台州移动采用了基于帶外监测的大数据云安全监测系统，可自动定时对台州政府云上的应用漏洞进行深度的检查，确保在第一时间内发现政府网站中存在的一系列安全问题。

此次建设的大数据云安全监测系统可动态调度在全国各省部署的监测设备，结合在云系统内自身部署的本地监测引擎，对台州政府所有云上在线信息系统进行安全扫描，并配套提供各类系统采用的基础指纹数据。

通过对台州政府云上的所有重要站点和应用进行不间断服务质量监测，实时保障站点网站可用，能够正常对外提供服务。同时，还对这些应用和站点提供了定时的网站安全监测服务，及时快速地发现与定位网络安全问题的存在与网络安全事件的发生。

网络安全问题与事件发现能力建设包括网站脆弱性检测、网站可用性监测、网站挂马监测、网站链接监测、网站安全事件监测、网站敏感内容监测与网络主机监测七项内容。

3.2云上网站安全防护体系

本次台州移动为台州市政府网站建设的云防御体系是基于云计算和大数据技术，采用“事前安全检测”+“事中实时防护”+“事后分析加固”全生命周期解决方案。

事前安全检测发现网站漏洞、安全事件等问题；

事中采用零部署的云防护方案，防护黑客发起的Synflood、upd-flood、tcp-flood等DDOS攻击，在应用层防护上通过7层数据包分析防护注入攻击、跨站脚本、Webshell上传、网页木马、第三方组件漏洞和应用层CC等应用层攻击，有效保障网站的可用性和安全性；

事后通过对日志流量的大数据分析，有效识别异常流量、自动化攻击、规则误判等问题，对安全策略进行持续优化和改进。

本项目中云防御体系主要建设了以下方面的能力：

3.2.1 DDOS/CC防护

目前，WEB应用成为DDOS攻击的主要目标。有第三方数据显示，87.11%的DDOS目标为HTTP应用，通过DDOS攻击可对业务系统发起大量请求造成流量拥塞，从而造成网站拒绝服务。

而大部分用户只能通过部署硬件防护设备自身性能来防止DDOS攻击，但一旦攻击带宽超过出口带宽，或者连接数超过设备最大性能时，硬件防护设备就无能为力。通过云端DDOS防护服务，带宽可以最大化提供，防护端采用集群部署，因此防护性能可以无限扩展，当DDOS攻击流量增大时可弹性扩展带宽，而且可按需付费。

与此同时，近年来黑客开始采用攻击成本低的应用层CC攻击方法进行分布式拒绝服务攻击。CC攻击的特点是流量小、攻击精准，只需要少量肉机或代理服务器就可以完成，同行恶意竞争、刷票、黄牛抢票、商业爬虫抓取敏感信息等不法行为经常采用CC攻击。CC攻击可造成服务器访问慢和拒绝服务，因此对CC攻击的防护同样十分重要。

基于云安全可控原则，DDOS防护采用陆空联合防护体系，在本地利用云平台安全保障基础设施的互联网边界防御资源结合云内的云WAF虚拟设备建设DDOS防护系统，对于非大流量和应用层CC攻击进行本地防护；当攻击流量超过本地清洗能力时则切换到云端DDOS防护系统进行清洗。

3.2.2 Web应用防护

SQL注入、Webshell上传、第三方组件漏洞仍然是当前业务系统最主要的高危安全根源，黑客通过SQL注入攻击等可获取网站后台敏感信息。而在云上系统中，由于关键系统的相对集中，此类敏感信息的泄露，更会呈现明显的规模效应与更大的危害性。

另外，近年主流WEB服务器组件不时爆出0day漏洞，如连续爆出的Struts2漏洞、openssl心脏出血漏洞等，其造成的危害影响十分深远。对这些0day漏洞事件的应急处置情况，充分暴露出全网基础安全保障和用户数据安全保护不足的严峻现状。0day漏洞爆发时，黑客可通过利用该漏洞植入webshell获取服务器的控制权限，从而造成网站被篡改、挂马、插入暗链等严重的安全问题。

云端WEB应用防护可针对黑客发起的注入攻击、跨站脚本、Webshell上传、网页木马、信息泄漏、第三方组件漏洞等攻击进行有效防护，避免网站信息泄露和篡改，同时通过虚拟补丁技术加固WEB服务器组件漏洞。

3.2.3网页防篡改

国内网站被篡改事件屡见不鲜，一种出于炫耀目的，另一种出于政治目的，其攻击目标是国内政府和高校网站。

制造第二類事件的黑客群体在攻击成功后篡改网页加入反动口号，发布的言论经常与当前一些时事热点进行结合，有很强的煽动性，对政府或高校等影响十分恶劣，但由于此类黑客通常在境外活动，甚至使用国内政府网站服务器作为跳板机进行攻击，因此很难抓捕。

信息安全正如木桶理论所描述的那样，WEB应用系统的安全程序并不取决于我们在某一个方面安全投入的巨大，而在于我们是否针对脆弱的防护御点采取了有效的措施，也许一个弱口令就可以将整个安全系统瞬间崩塌。

为了避免这样的问题，我们一方面要从安全意识上进行强化和加固，另一方面要部署最后的防线，通过在云端虚拟服务器上部署网页防篡改系统，从操作系统底层驱动实现多种保护模式，防止网站页面内容被非法篡改。

四、结语

此次台州移动为台州市建设的云安全监测防护一体化平台，实现了对台州政府网站的云监测和防御，并且建立了有效的安全事件应急与处置机制，形成了监测-防御-处置一整套较完整的安全管控流程，可有效督促台州市政府网站云上应用系统安全监管工作有效落地。

参 考 文 献

[1] Zhen Chen，FuyeHan，JunweiCao，XinJiang，Shuo Chen. Cloud Computing-Based Forensic Analysis for Collaborative Network Security Management System. Tsinghua Science and Technology. 2013（01）

[2]郑生军，郭龙华，李建华，王红凯，刘昀. 基于云平台的网站安全多维监测系统.计算机与现代化. 2016（01）[3][张爱玉，邱旭华，周卫东，夏吉广. 云计算与云计算安全. 中国安防. 2012（03）