基于云環境下網站的安全防護

王玨

【摘要】 隨著全球信息化浪潮的快速發展，云計算正成為信息及其相關領域的熱門話題，并迅速從概念走向應用，從IT行業走向傳統行業，并且得到了政府的大力支持和推廣，許多政府紛紛把重要業務系統遷移到云上，與此同時，云上應用系統的安全問題就越來越凸顯其重要性。當前，臺州市有許多政務網站遷移到了臺州移動的IDC云平臺，為了有效保障臺州市政務網站云環境下的安全建設與運行，臺州移動建設了云監測防護一體化平臺，實現了對云上系統的安全監測與防護防護。

【關鍵字】 云計算 應用系統 安全 云防護

一、引言

當前網絡空間安全面臨的問題日益嚴重，臺州市各政府網站作為臺州市人民政府及其部門發布政府信息的重要平臺和窗口，在提高行政效能、提升政府公信力等方面發揮了重要作用。同時，部分政府網站在建設、運維等環節存在著技術或管理上的漏洞與隱患。2015年省網絡與信息安全信息通報中心組織專家對臺州市600余家政府網站進行遠程監測，發現存在問題的網站有151家，安全漏洞897條，發現了一大批存在問題的網站和安全漏洞。其中鏈接注入、Cookie SQL注入、mhtml協議、跨站腳本、框架注入等高危漏洞780多條，占漏洞數的86.9%。臺州移動通過云防護平臺的建設，實現對全市安全問題的統一檢測，網絡攻擊實時防御，安全問題跟蹤處置。

二、云上應用安全需求

2.1應用系統防護需求

臺州市政府網站由于其承載著政府部門的重要業務，因此對Web應用防護有以下需求：

1）云WAF：為臺州政府網站提供防攻擊（跨站腳本攻擊、注入攻擊、緩沖區溢出攻擊、Cookie假冒、認證逃避、表單繞過、非法輸入、強制訪問）、防篡改（隱藏變量篡改、頁面防篡改）、防CC攻擊等安全防護。

2）網頁防篡改：防止臺州政府網站系統被黑客惡意攻擊后篡改頁面。

3）云安全檢測：對臺州政府的云內業務信息系統進行全面的檢測，需要覆蓋可用性檢測、木馬檢測、篡改檢測、關鍵字檢測，并定期進行漏洞掃描。

2.2基于云的外部威脅感知需求

對于云計算環境下安全防護，僅做好內部的工作是不足的，因為外部威脅在持續演變，對外部威脅也必須保持足夠的關注，因此對云外部威脅的感知對于云安全來說，也是必不可少的一部分。

2.3云業務系統整體安全態勢感知需求

不了解云端業務系統的整體安全態勢， 安全防護就是各種盲目地、漫無目的地措施集合，容易造成安全資源浪費，并且不利于安全事件發生后制定決策。而對云業務系統整體安全態勢有了全面感知，則能根據獲取到的各項信息進行綜合分析，為云的安全防護制定更具針對性的措施。

三、系統建設

臺州移動為臺州市政府建設的云安全防護平臺以“SDN+NFV”技術為依托，聚焦應用安全靈活調度安全資源，具備安全可視、可控、安全資源自動化部署、彈性擴展、平臺開放等特點。其內部示意圖為：

3.1云上網站安全監測體系

為了能夠及時保障臺州市政府網站業務系統的安全，臺州移動采用了基于帶外監測的大數據云安全監測系統，可自動定時對臺州政府云上的應用漏洞進行深度的檢查，確保在第一時間內發現政府網站中存在的一系列安全問題。

此次建設的大數據云安全監測系統可動態調度在全國各省部署的監測設備，結合在云系統內自身部署的本地監測引擎，對臺州政府所有云上在線信息系統進行安全掃描，并配套提供各類系統采用的基礎指紋數據。

通過對臺州政府云上的所有重要站點和應用進行不間斷服務質量監測，實時保障站點網站可用，能夠正常對外提供服務。同時，還對這些應用和站點提供了定時的網站安全監測服務，及時快速地發現與定位網絡安全問題的存在與網絡安全事件的發生。

網絡安全問題與事件發現能力建設包括網站脆弱性檢測、網站可用性監測、網站掛馬監測、網站鏈接監測、網站安全事件監測、網站敏感內容監測與網絡主機監測七項內容。

3.2云上網站安全防護體系

本次臺州移動為臺州市政府網站建設的云防御體系是基于云計算和大數據技術，采用“事前安全檢測”+“事中實時防護”+“事后分析加固”全生命周期解決方案。

事前安全檢測發現網站漏洞、安全事件等問題；

事中采用零部署的云防護方案，防護黑客發起的Synflood、upd-flood、tcp-flood等DDOS攻擊，在應用層防護上通過7層數據包分析防護注入攻擊、跨站腳本、Webshell上傳、網頁木馬、第三方組件漏洞和應用層CC等應用層攻擊，有效保障網站的可用性和安全性；

事后通過對日志流量的大數據分析，有效識別異常流量、自動化攻擊、規則誤判等問題，對安全策略進行持續優化和改進。

本項目中云防御體系主要建設了以下方面的能力：

3.2.1 DDOS/CC防護

目前，WEB應用成為DDOS攻擊的主要目標。有第三方數據顯示，87.11%的DDOS目標為HTTP應用，通過DDOS攻擊可對業務系統發起大量請求造成流量擁塞，從而造成網站拒絕服務。

而大部分用戶只能通過部署硬件防護設備自身性能來防止DDOS攻擊，但一旦攻擊帶寬超過出口帶寬，或者連接數超過設備最大性能時，硬件防護設備就無能為力。通過云端DDOS防護服務，帶寬可以最大化提供，防護端采用集群部署，因此防護性能可以無限擴展，當DDOS攻擊流量增大時可彈性擴展帶寬，而且可按需付費。

與此同時，近年來黑客開始采用攻擊成本低的應用層CC攻擊方法進行分布式拒絕服務攻擊。CC攻擊的特點是流量小、攻擊精準，只需要少量肉機或代理服務器就可以完成，同行惡意競爭、刷票、黃牛搶票、商業爬蟲抓取敏感信息等不法行為經常采用CC攻擊。CC攻擊可造成服務器訪問慢和拒絕服務，因此對CC攻擊的防護同樣十分重要。

基于云安全可控原則，DDOS防護采用陸空聯合防護體系，在本地利用云平臺安全保障基礎設施的互聯網邊界防御資源結合云內的云WAF虛擬設備建設DDOS防護系統，對于非大流量和應用層CC攻擊進行本地防護；當攻擊流量超過本地清洗能力時則切換到云端DDOS防護系統進行清洗。

3.2.2 Web應用防護

SQL注入、Webshell上傳、第三方組件漏洞仍然是當前業務系統最主要的高危安全根源，黑客通過SQL注入攻擊等可獲取網站后臺敏感信息。而在云上系統中，由于關鍵系統的相對集中，此類敏感信息的泄露，更會呈現明顯的規模效應與更大的危害性。

另外，近年主流WEB服務器組件不時爆出0day漏洞，如連續爆出的Struts2漏洞、openssl心臟出血漏洞等，其造成的危害影響十分深遠。對這些0day漏洞事件的應急處置情況，充分暴露出全網基礎安全保障和用戶數據安全保護不足的嚴峻現狀。0day漏洞爆發時，黑客可通過利用該漏洞植入webshell獲取服務器的控制權限，從而造成網站被篡改、掛馬、插入暗鏈等嚴重的安全問題。

云端WEB應用防護可針對黑客發起的注入攻擊、跨站腳本、Webshell上傳、網頁木馬、信息泄漏、第三方組件漏洞等攻擊進行有效防護，避免網站信息泄露和篡改，同時通過虛擬補丁技術加固WEB服務器組件漏洞。

3.2.3網頁防篡改

國內網站被篡改事件屢見不鮮，一種出于炫耀目的，另一種出于政治目的，其攻擊目標是國內政府和高校網站。

制造第二類事件的黑客群體在攻擊成功后篡改網頁加入反動口號，發布的言論經常與當前一些時事熱點進行結合，有很強的煽動性，對政府或高校等影響十分惡劣，但由于此類黑客通常在境外活動，甚至使用國內政府網站服務器作為跳板機進行攻擊，因此很難抓捕。

信息安全正如木桶理論所描述的那樣，WEB應用系統的安全程序并不取決于我們在某一個方面安全投入的巨大，而在于我們是否針對脆弱的防護御點采取了有效的措施，也許一個弱口令就可以將整個安全系統瞬間崩塌。

為了避免這樣的問題，我們一方面要從安全意識上進行強化和加固，另一方面要部署最后的防線，通過在云端虛擬服務器上部署網頁防篡改系統，從操作系統底層驅動實現多種保護模式，防止網站頁面內容被非法篡改。

四、結語

此次臺州移動為臺州市建設的云安全監測防護一體化平臺，實現了對臺州政府網站的云監測和防御，并且建立了有效的安全事件應急與處置機制，形成了監測-防御-處置一整套較完整的安全管控流程，可有效督促臺州市政府網站云上應用系統安全監管工作有效落地。

參 考 文 獻

[1] Zhen Chen，FuyeHan，JunweiCao，XinJiang，Shuo Chen. Cloud Computing-Based Forensic Analysis for Collaborative Network Security Management System. Tsinghua Science and Technology. 2013（01）

[2]鄭生軍，郭龍華，李建華，王紅凱，劉昀. 基于云平臺的網站安全多維監測系統.計算機與現代化. 2016（01）[3][張愛玉，邱旭華，周衛東，夏吉廣. 云計算與云計算安全. 中國安防. 2012（03）