1. 概述
政府網站是政府職能部門資訊化建設的重要内容,主要實作國家對政府網站的三大功能定位:資訊公開、線上辦事、公衆參與。政府網站是政府部門履行職能、面向社會提供服務的視窗,是實作政務資訊公開、服務企業和社會公衆、友善公衆參與的重要管道,同時也是對外宣傳政府形象、釋出行業資訊、開展電子政務的主要平台,是國家重要資訊系統。
而近年來,随着政府網站所承載業務的數量和重要性逐漸增加以及其面相公衆的性質,使其越來越成為攻擊和威脅的主要目标。據CNCERT/CC的統計資料,2019年上半年網際網路金融網站安全情況,CNCERT監測發現網際網路金融網站的高危漏洞92個,其中SQL注入漏洞27個(占比29.3%);其次是遠端代碼執行漏洞20個(占比21.7%)和敏感資訊洩漏漏洞16個(占比17.4%),如圖1所示。近年來,随着網際網路金融行業的發展,網際網路金融平台營運者的網絡安全意識有所提升,網際網路金融平台的網絡安全防護能力有所加強,特别是規模較大的平台,但仍有部分平台安全防護能力不足,安全隐患較多。
2. 政府門戶網站安全建設 必要性
政府部門的網站普遍存在業務資料機密性要求高、業務連續性要求強、網絡結構相對封閉、資訊系統架構形式多樣等特點。而網站中不同業務功能子產品的資訊安全需求又各不相同。如對外便民服務資訊系統具有相對開放的結構特點,使用者一般為普通群眾,便民服務業務對資料的可用性和完整性要求往往大于其對機密性要求,而在網站上獨立運作的業務資訊系統具有相對封閉的結構特點,使用者一般為内部使用者,使用者對資料的完整性和保密性要求往往大于可用性要求。是以政府網站安全風險貫穿前端Web通路到後端資料處理和回報整個過程。是以可以定性的認為:前一類資訊系統面臨的服務中斷、外部黑客攻擊、非法入侵、安全漏洞等威脅的機率比較大,而後一類内網洩密、監管審計不到位等威脅的機率比較大。
推動政府網站進行全面資訊安全體系設計和建設的動力目前主要來自三個方面:
Ø 合規性安全要求
Ø 面臨的安全威脅
Ø 政府網站安全現狀
2.1 合規性要求
1) 《關于大力推進資訊化發展和切實保障資訊安全的若幹意見》國發〔2012〕23号
2012年5月9日,溫家寶總理主持召開國務院常務會議,研究部署保障資訊安全工作《關于大力推進資訊化發展和切實保障資訊安全的若幹意見》國發〔2012〕23号。
健全安全防護和管理。確定重要資訊系統和基礎資訊網絡安全。能源、交通、金融等領域涉及國計民生的重要資訊系統,要同步規劃、同步建設、同步運作安全防護設施,強化技術防範,嚴格安全管理,切實提高防攻擊、防篡改、防病毒、防癱瘓、防竊密能力。其中政府網站作為極其重要的資訊系統,其安全管理更應當得到進一步完善和強化。
2) “等級保護”要求
《中華人民共和國網絡安全法》:“國家實行網絡安全等級保護制度。網絡營運者應當 按照網絡安全等級保護制度的要求,履行下列安全保護義務,保障網絡免受幹擾、破壞或者 未經授權的通路,防止網絡資料洩露或者被竊取、篡改”。
《中華人民共和國計算機資訊系統安全保護條例 》(國務院147号令):“計算機資訊 系統實行安全等級保護,安全等級的劃分标準和安全等級保護的具體辦法,由公安部會同有 關部門制定”。
《國家資訊化上司小組關于加強資訊安全保障工作的意見》(中辦發[2003]27号)規定: “要重點保護基礎資訊網絡和關系國家安全、經濟命脈、社會穩定等方面的重要資訊系統, 抓緊建立資訊安全等級保護制度”。
目前在已經基本完成的等級保護定級工作中,國家部委以及省市重要政府機關門戶網站的安全級别基本定為3級,屬于國家重要資訊系統,是國家等級保護測評和檢查重點。面對Web應用層面這類給Internet可用性帶來極大損害的攻擊,必須在國家等級保護政策的指導下,采用專門的機制,綜合采用各種技術手段對攻擊進行有效檢測,開展等級保護整改、測評工作,切實為将網站建成“資訊公開、線上辦事、公衆參與”三位一體的業務體系,為各企業和社會公衆提供“一站式”電子政務公共服務政務目标提供有力保障。
2.2 面臨的安全威脅
近幾年關于政府門戶網站被篡改、網絡釣魚、SQL注入和跨站腳本等帶來嚴重後果的攻擊事件頻頻發生,嚴重影響了人們對政府網站公信力的認可,根據Gartner的資料分析,80%基于Web的應用都存在安全問題,其中很大一部分是相當嚴重的問題。Web應用系統的安全性越來越引起人們的高度關注。目前網絡中常見的攻擊已經由傳統的系統漏洞攻擊逐漸發展演變為對應用自身脆弱性的攻擊。與此同時,政府網站也因安全隐患頻繁遭到各種攻擊,導緻網站敏感資料丢失、網頁被篡改,甚至成為傳播木馬的傀儡。政府網站安全形勢日益嚴峻,而政府網站被攻擊後造成的巨大政治風險、名譽損失、公信力下降已經成為電子政務健康發展的一個巨大障礙。
2.3 政府網站安全管理現狀
2019年5月至12月,中央網信辦、工業和資訊化部、公安部、市場監管總局四部門聯合開展全國範圍的網際網路網絡安全專項整治工作。專項整治工作将對未備案或備案資訊不準确的網站進行清理,對攻擊網站的違法犯罪行為進行嚴厲打擊,對違法違規網站進行處罰和公開曝光。此次專項整治的一大特點是将加大對未履行網絡安全義務、發生事件的網站營運者的處罰力度,督促其切實落實安全防護責任,加強網站安全管理和維護。專項整治期間,中央網信辦将加強統籌協調,指導有關部門做好資訊共享、協同配合,堅持依法依規,堅持防攝并舉,促使網站營運者網絡安全意識和防護能力有效提升,實作網站安全形勢取得明顯改觀。截至2019年6月,網際網路網站安全專項整治行動期間,共享網站安全事件511起,其中網頁篡改事件占比最高達89.2%。
目前多數政府網站在安全建設過程依然存在比較突出的重應用輕安全現象,網站整體安全性差,缺乏必要的經常性維護。比如在某政府機構所制定的網站績效評估名額中,基本上都是從網站的業務應用角度出發制定的,對資訊安全的考慮基本沒有,根據前期的調研發現,目前政府網站的安全控制與措施大多獨立考慮,部分系統甚至缺少基本的安全政策,缺少安全主線和安全規劃,導緻隻解決了局部問題,而未能從整體解決安全問題,進而降低了整體的安全效率,導緻多個資訊安全孤島的出現。是以針對這種現狀,必須采取專門的監管機制,圍繞政府網站特定的安全需求開展系統的、有針對性的網站安全監管已經變得刻不容緩。
3. 政府門戶網站安全防護方案
3.1 安全防護方案示意圖
針對常見的政府門戶網站拓撲圖,我們可以采取以下安全措施進行防護:
1. DDoS防禦:在Internet出口處部署一台抗DDOS攻擊防護系統,用于防護來自外網的拒絕服務攻擊;
2. 網絡通路控制:利用防火牆進行通路控制,防止不必要的服務請求進入網站系統,減少被攻擊的可能性;
3. 系統安全加強:找出主機系統、網絡裝置及其他裝置系統中存在的更新檔漏洞和配置漏洞,進行加強,以保障系統的安全性;
4. 應用層防護:在網站伺服器前部署一台Web應用防護系統,通過Web應用防護系統有效控制和緩解HTTP及HTTPS應用下各類安全威脅,如SQL注入、XSS、跨站僞造(CSRF)、cookie篡改以及應用層DDoS等,有效應對網頁篡改、網頁挂馬、敏感資訊洩露等安全問題,充分保障門戶網站的高可用性和可靠性。
5. 網頁防篡改:在Web伺服器系統上部署網頁防篡改系統,針對Web應用網頁和檔案進行防護。
6. 網站安全監測:通過專業化的托管式服務來實時監測和周期度量網站的風險隐患,評估網站的安全狀态,衡量改進情況。
對于一個定制化開發的政府門戶網站來說,從其規劃和開發階段就要引入相應的安全建設。測試階段的安全測試作為上線前最後的檢查是至關重要的,可以最大限度地發現系統的脆弱性所在。運作階段所應該關注的主要是與黑客實時的攻防博弈,以及事後的及時恢複、驗證和追溯等。
已投入使用的政府門戶網站而言,由于不太可能投入大量的人力去重新開發或做大規模的代碼級整改,是以如何在運作階段進行有效的安全防護成為關注的焦點。在本方案中,我們着重網絡層、系統層、應用層的安全防護體系。
3.2 網絡層安全防護
3.2.1 網絡安全架構
使用專有網絡VPC(Virtual Private Cloud),專有網絡之間邏輯上徹底隔離,是上雲首選的網絡産品。專有網絡主要有隔離的網絡環境和可控的網絡配置的特點。以下場景使用多個專有網絡VPC。
多地域部署系統
專有網絡VPC是地域級别的資源,不能跨地域部署。當您有多地域部署系統的需求時,就必然需要使用多個專有網絡VPC。基于阿裡巴巴骨幹網建構的高速通道産品能輕松實作跨地域、跨國專有網絡VPC間的互通。
多業務系統隔離
如果在一個地域,需要通過專有網絡VPC嚴格隔離多個業務系統,例如區分生産環境和測試環境,您也需要使用多個專有網絡VPC。
3.2.2 安全 組通路控制
利用現有防護裝置或重新部署防火牆裝置對網站伺服器區進行邊界安全防護,劃分網站伺服器區安全域,進行邏輯隔離。通過Internet邊界防火牆在内部網絡與不安全的外部網絡之間設定障礙,阻止外界對内部資源的非法通路,防止内部對外部的不安全通路。
安全組是一種虛拟防火牆,具備狀态檢測和資料包過濾功能,用于在雲端劃分安全域。您可以通過配置安全組規則,允許或禁止安全組内的ECS執行個體對公網或私網的通路。這種方式對網絡精細化控制要求較高、希望使用多種ECS執行個體規格、以及網絡連接配接數适中的使用者場景。在ECS控制台上建立安全組時,您可以選擇Web Server Linux(放行了80、443、22及ICMP協定)、Web Server Windows(放行了80、443、3389及ICMP協定)以及自定義(入方向上拒絕所有通路請求)的安全組模闆。我們也可以自定義符合業務場景的安全組模闆。
防火牆能夠較為有效地防止黑客利用不安全的服務對内部網絡的攻擊,并且能夠實作資料流的監控、過濾、記錄和報告功能,較好地隔斷内部網絡與外部網絡的連接配接。
3.2.3 拒絕服務攻擊防護
基于Web業務的可用性和連續性要求的考慮,應該在Internet的出口處設定對拒絕服務攻擊的防護手段。通常使用的防火牆作為通用型網絡安全産品,在防DDoS方面不可能達到專業産品的性能和效率,對大規模的DDoS攻擊是無能為力的,甚至會成為攻擊目标,造成整個網絡的中斷。抗拒絕服務攻擊系統通過內建的檢測和阻斷機制對DDoS攻擊實時響應;采用基于行為模式的異常檢測,從背景流量中識别攻擊流量;提供針對海量DDoS攻擊的防護能力;系統能夠對SYN Flood、UDP Flood、UDP DNS Query Flood、(M)Stream Flood、ICMP Flood、HTTP Get Flood以及連接配接耗盡這些常見的攻擊行為能夠有效識别,并通過內建的機制實時對這些攻擊流量進行阻斷,進而有效保護門戶網站系統的應用伺服器;豐富的日志和審計功能也極大地增強了裝置的可用性,不僅能夠針對攻擊進行實時監測,還能對攻擊的曆史日志進行友善的查詢和統計分析,便于對攻擊事件進行有效的跟蹤和追查。
在雲服務上中,DDoS基礎防護服務可以有效防止雲伺服器ECS執行個體受到惡意攻擊,進而保證ECS系統的穩定,即當流入ECS執行個體的流量超出執行個體規格對應的限制時,雲盾就會幫助ECS執行個體限流,避免ECS系統出現問題。
啟用DDoS基礎防護後,雲盾會實時監控進入ECS執行個體的流量。當監測到超大流量或者包括DDoS攻擊在内的異常流量時,在不影響正常業務的前提下,雲盾會将可疑流量從原始網絡路徑中重定向到淨化産品上,識别并剝離惡意流量,并将還原的合法流量回注到原始網絡中轉發給目标ECS執行個體。這一過程,就是流量清洗。
3.3 系統層安全 防護
3.3.1 Web 系統漏洞發現與管理
從系統層面的安全威脅來看,可以利用漏洞掃描系統高效、智能的漏洞識别技術,第一時間主動對網站伺服器區中的伺服器和網絡裝置進行細緻深入的漏洞檢測、分析,并出具專業、有效的漏洞防護建議。
同時可以利用Web掃描功能進行應用層掃描。Web應用掃描最關鍵的技術是網站智能爬蟲技術。智能爬蟲技術具有自動周遊整個Web伺服器的深度掃描功能,自動分析應用系統的代碼,當發現了存在弱點的代碼之後,會根據不同資料庫的特點嘗試進行資料擷取,驗證漏洞的真實性。遠端安全評估系統的WAS子產品掃描結果準确,誤報和漏報率低,全面檢查網站各級頁面中是否被植入惡意代碼(如SQL注入、跨站腳本、網頁挂馬等),確定網站應用的完整性,有效避免網站成為惡意軟體的分發、傳播管道。
Web應用防火牆防護包含通用Web攻擊防護、0day漏洞虛拟更新檔、網站隐身。防護OWASP常見威脅,内置多種防護政策,可選擇進行SQL注入、XSS跨站、Webshell上傳、後門隔離保護、指令注入、非法HTTP協定請求、常見Web伺服器漏洞攻擊、核心檔案非授權通路、路徑穿越、掃描防護等安全防護;0day漏洞快速防護,針對高危Web 0day漏洞,專業安全團隊24小時内提供虛拟更新檔,自動防禦保障伺服器安全;緩解惡意CC攻擊,過濾惡意的Bot流量,保障伺服器性能正常;低誤殺的防護算法,不再是對通路頻率過快的IP直接粗暴封禁,而是綜合URL請求、響應碼等分布特征判斷異常行為;惡意特征攻擊100%攔截,針對請求中的常見頭部字段,如IP、URL、User-Agent、Referer、參數中出現的惡意特征配置通路控制。
3.3.2 Web系統 安全加強(Linux)
可以通過門戶網站安全評估和加強,使系統有效的抵禦外來的入侵和襲擊,長期保持在高度可信的狀态。其中,滲透測試是安全評估階段必不可少的服務手段之一。滲透測試是模拟黑客的真實攻擊方法對系統和網絡進行非破壞性質的攻擊性測試。通過滲透測試,可以發現門戶網站系統中存在的系統漏洞、代碼漏洞和程式邏輯問題(如繞過認證)等。
網站伺服器和相關裝置的安全加強,是利用多種技術手段對網站伺服器區中的網絡裝置平台、伺服器進行安全加強和配置優化,提高網絡裝置安全性和抗攻擊能力,針對網站伺服器區所提供的安全加強服務手段有:
Ø 基本安全配置檢測和優化
Ø 帳戶密碼系統安全檢測和增強
Ø 網絡服務安全優化
Ø 網絡通路控制安全優化
Ø 網絡路由與交換協定安全優化
Ø 端口安全設定網絡連接配接參數安全增強
本業務安全措施如下:
1 身份鑒别
1.1 密碼安全政策
作業系統和資料庫系統管理使用者身份鑒别資訊應具有不易被冒用的特點,密碼應有複雜度要求并定期更換。設定有效的密碼政策,防止攻擊者破解出密碼。
1)檢視空密碼帳号并為弱/空密碼帳号設定強密碼
2)修改vi /etc/login.defs配置密碼周期政策
3)/etc/pam.d/system-auth配置密碼複雜度:
1.2 登入失敗政策
應啟用登入失敗處理功能,可采取結束會話、限制非法登入次數和自動退出等措施。
遭遇密碼破解時,暫時鎖定帳号,降低密碼被猜解的可能性
1.3 安全的遠端管理方式
當對伺服器進行遠端管理時,應采取必要措施,防止鑒别資訊在網絡傳輸過程中被竊聽。
防止遠端管理過程中,密碼等敏感資訊被竊聽
2 通路控制
應及時删除多餘的、過期的帳戶,避免共享帳戶的存在。删除或禁用臨時、過期及可疑的帳号,防止被非法利用。
3 安全審計
3.1 稽核政策開啟
審計範圍應覆寫到伺服器和重要用戶端上的每個作業系統使用者和資料庫使用者;
開啟稽核政策,若日後系統出現故障、安全事故則可以檢視系統日志檔案,排除故障、追查入侵者的資訊等。
3.2 日志屬性設定
應保護審計記錄,避免受到未預期的删除、修改或覆寫等。防止重要日志資訊被覆寫
4 入侵防禦
作業系統遵循最小安裝的原則,僅安裝需要的元件和應用程式,并通過設定更新伺服器等方式保持系統更新檔及時得到更新。關閉與系統業務無關或不必要的服務,減小系統被黑客被攻擊、滲透的風險。
5 系統資源控制
5.1 通路控制
應通過設定終端接入方式、網絡位址範圍等條件限制終端登入。
對接入伺服器的IP、方式等進行限制,可以阻止非法入侵。
1) 在/etc/hosts.allow和/etc/hosts.deny檔案中配置接入限制
2) 也可以用iptables進行通路控制
5.2 逾時鎖定
應根據安全政策設定登入終端的操作逾時鎖定。
設定登入逾時時間,釋放系統資源,也提高伺服器的安全性。
6其它
6.1 DOS攻擊防禦
6.2 曆史指令
經過良好配置的伺服器的抗攻擊性和自身安全性有極大的增強。在對其作相應的安全配置後,建立安全配置基線,結合定期的安全評估和維護服務就使得其保持在一個較高的安全線之上。
3.4 應用層安全防護
3.4.1 Web應用防護
從Web應用的威脅分析來看,Web應用防護系統是事中有效防護和控制的關鍵裝置。Web應用防護系統需要對使用者送出Web伺服器端以及Web伺服器端向使用者傳回的雙方向資料進行檢查。WAF産品可以實作使用者à伺服器以及伺服器à使用者雙向資料的清洗。對于使用者送出伺服器端的資料,WAF可以實時發現使用者送出資料中的惡意腳本和問題代碼/指令。可以進行必要的内容過濾,如惡意腳本和代碼,HTTP Error Response(4xx,5xx等),關鍵敏感字等,充分保證了使用者側的安全,同時避免了伺服器端重要資訊的洩露。
3.4.2 網頁 防篡改
網頁防篡改是将核心程式嵌入到Web伺服器中,通過觸發方式進行自動監測,對所保護檔案夾的所有檔案内容(包含:html、asp、jsp、php、jped、gif、bmp、psd、png、flash等各類檔案類型)對照其多個屬性,經過内置散列快速算法,實時進行監測,若發現屬性變更,通過非協定方式,純檔案拷貝方式将備份路徑檔案夾内容拷貝到監測檔案夾相應檔案位置,通過底層檔案驅動技術,整個檔案複制過程毫秒級,使得Internet使用者無法看到被篡改頁面。
通過利用無鑰簽名區塊鍊對數字資産提供簽名、預警、監控等服務,為供應鍊金融、金融服務、銀行、web網頁提供資料資産的保實服務。主要功能有實時監控數字資産變化、實時展示資料資源健康狀況、篡改資料實時報警、URL監控、篡改資料自動恢複、記錄資料資産的動态變化、操作記錄的可信審計等
3.4.3 SSL證書
在雲上簽發各品牌數字證書,實作網站HTTPS化,使網站可信,防劫持、防篡改、防監聽、安全加密。實作網站HTTPS化,加密使用者與網站間的互動通路,強化網站使用者側可信展示程度,防劫持、防篡改、防監聽。網站安全增強提升搜尋排名。
采用Https加密的網站在搜尋引擎顯示結果中的排名将會更高,有利于提升網站的搜尋靠前及站點可信度。并且對接國際,國内最值得信賴的第三方數字證書頒發機構(CA),確定數字證書認證可信力和加密強度、保障使用者服務。
3.4.4 資料庫安全防護
一些可供參考的措施:
1.身份鑒别
1.1避免使用空密碼和弱密碼
要求:應對登入作業系統和資料庫系統的使用者進行身份辨別和鑒别。
目的:作業系統和資料庫系統管理使用者身份鑒别資訊應具有不易被冒用的特點,密碼應有複雜度要求并定期更換。
1.2通訊協定加密
要求:當對伺服器進行遠端管理時,應采取必要措施,防止鑒别資訊在網絡傳輸過程中被竊聽。
目的:為了防止包括鑒别資訊等敏感資訊在網絡傳輸過程中被竊聽,應使用加密通訊協定,提高安全性。
2.通路控制
2.1資料庫角色配置設定最低權限
要求:應根據管理使用者的角色配置設定權限,實作管理使用者的權限分離,僅授予管理使用者所需的最小權限。
目的:根據使用者的業務需要,配置其所需的最小權限。
2.2設定身份認證
要求:應實作作業系統和資料庫系統特權使用者的權限分離。
目的:防止作業系統使用者對MySQL資料庫進行非授權管理。
2.3删除或鎖定多餘賬号
要求:應及時删除多餘的、過期的賬戶,避免共享賬戶的存在。
目的:删除系統不需要的帳号,減少系統安全隐患。
3.安全審計
3.1啟用日志記錄功能
要求:審計範圍應覆寫到伺服器和重要用戶端上的每個作業系統使用者和資料庫使用者。
目的:資料庫應配置日志功能,對使用者登入進行記錄,記錄内容包括使用者登入使用的賬号、登入是否成功、登入時間以及遠端登入時使用者使用的IP 位址。
3.2設定日志目錄權限
目的:限制日志所在目錄的權限,防止對日志檔案的非授權通路。
4.資源控制
4.1設定連接配接協定和監聽的IP範圍
要求:應通過設定終端接入方式、網絡位址範圍等條件限制終端登入。
目的:設定MySQL允許的連接配接協定,以及TCP/IP協定中監聽端口時綁定的IP位址。限制不必要的遠端用戶端通路到資料庫資源。
4.2連接配接逾時
要求:應根據安全政策設定登入終端的操作逾時鎖定。
目的:設定連接配接逾時功能,提高資料庫的性能。
4.3限制遠端使用者連接配接數量
要求:應限制單個使用者對系統資源的最大或最小使用限度。
目的:限制遠端使用者連接配接數量,確定資料庫伺服器穩定運作,提升性能。
4.4記憶體限制
目的:使運作在伺服器上的應用程式都能達到比較滿意的效果,同時也為了能給其他應用程式保留足夠的記憶體。
5.最佳經驗實踐
5.1隐藏執行個體
目的:防止資料庫系統的相關資訊洩露。
5.2修改預設通信端口
目的:修改預設通信端口,防止黑客通過3306登入資料庫伺服器。
3.5 網站安全雲監護(增強)
W為了應對以下網站安全運維場景:
Ø 各級政府機構安全運維人員人力不足;
Ø 各級政府機構專業安全分析能力不足;
Ø 重大節假日或者重大事件時突然增加的網站安全監測與防護要求壓力;
Ø 國家以及行業監管機構定期對政府網站的專項安全檢查。
為政府使用者提供基于網站通路行為、基于安全事件事前、事中、事後的7×24小時安全營運解決方案。除此之外,經驗豐富的雲端安全專家團隊會定期為各級政府部門出具周期性的綜合監測評估報告,讓政府網站管理人員整體掌握網站的風險狀況及安全趨勢。
3.5.1 雲安全中心
“雲安全中心”提升了原有的實時防護功能,新增安全評分,安全報告和雲安全最佳實踐檢查等功能,各級政府機構無需安裝任何硬體或軟體,無需改變目前的網絡部署狀況,無需專門的人員進行安全裝置維護及分析日志。隻需要将代理監測的政府網站域名提供給網站安全監測服務提供者,即可實作7×24小時的網站安全監測管理職能,一旦某個網站遇到風險狀況後,網站安全監測服務提供者的安全監測團隊會在第一時間與該網站管理人員确認,并提供專業的解決方案建議。
這種實時監測機制是建構完善的政府網站安全體系的最好補充。“雲安全中心”主要包括以下幾方面的内容:
Ø 遠端網站漏洞掃描
網站的風險漏洞是站點被攻擊的根源,通過遠端網站漏洞掃描服務,由安全專家定期進行網站結構分析、漏洞分析,使用者無需采購任何Web應用掃描産品,即可獲知網站系統層和應用層的漏洞情況,以及安全專家團隊的修補建議。
Ø 病毒自動清除
基于安全雲平台,采用業内領先的智能木馬檢測技術,可高效、準确識别網站、伺服器中的木馬病毒、勒索軟體、挖礦病毒和DDOS木馬。使網站管理者能夠第一時間得知自己網站的安全狀态,避免由于網站被挂馬給通路者帶來安全危害。
Ø 網站平穩度檢測
對服務站點進行實時遠端通路平穩度的動态監視,跟蹤重點對象的通路平穩度動态變化情況,并根據嚴重程度及時發出報警信号。
Ø 安全加強
針對掃描發現問題進行安全第一時間通知使用者,避免給自身帶來的聲譽和法律風險。
3.5.2 WEB 應用防火牆
保障網站和Web應用的安全,防止網站和Web應用被Web攻擊、CC攻擊、被入侵
3.5.3 DDoS高防IP 抗拒絕服務系統
保障企業的伺服器(包括非阿裡雲伺服器)在遭受大流量DDoS攻擊時,不造成服務不可用,不影響業務運作。
3.5.4 雲防火牆
雲上統一政策管控,入侵防禦、東西向、南北向流量可視;業務上雲後,業務可視、可管、可控。
3.6 備份恢複政策
3.6.1自動快照政策
快照是某一時間點一塊雲盤或共享塊存儲的資料狀态檔案。常用于資料備份、資料恢複和制作自定義鏡像等。作為一種便捷高效的資料保障手段。我們使用自動快照主要應用于以下幾個方面:
容災備份:為某塊雲盤建立快照,将資料作為其他雲盤的基礎資料。實作同城容災和異地容災。
版本回退:當更新版本後出現系統問題時,您能使用快照復原雲盤實作版本回退。
提高操作容錯率:當團隊成員不慎在雲盤上存儲了錯誤的資料、ECS執行個體誤被釋放、應用錯誤導緻了資料錯誤或者駭客利用應用漏洞惡意讀寫資料時,您可以使用快照将雲盤上的資料恢複到期望狀态。或者利用快照定期備份雲盤上重要的業務資料,應對誤操作、攻擊和病毒等導緻的資料丢失風險。我們在更換作業系統、應用軟體更新或業務資料遷移等重大操作前,建議您建立一份或多份快照。一旦更新或者遷移過程中出現任何問題,可以通過快照及時恢複到正常的系統資料狀态。
3.6.2 OSS異地歸檔存儲
利用oss進行資料備份安全保護,用于定期進行備份歸檔和異地儲存。OSS主要可以提供以下特性:
1.資料保護與安全
支援多備援的可靠架構、完整性校驗、權限控制、加密、日志審計、資料合規等,提供更可靠、更安全、更合規的對象存儲
2.資料可靠
多備援分布式架構,有效應對各類硬體故障,消除單點隐患,提供最大12個9的資料持久性設計
3.完整性校驗
存儲和讀取資料時,對網絡流量計算CRC64校驗和,檢測資料包是否損壞,確定資料完整性
4.完善的權限控制
提供RAM、ACL、BucketPolicy、URL簽名等多種通路控制機制,支援Bucket、Object、API級細粒度授權
5.網絡通路安全防護
支援防盜鍊,支援通過BucketPolicy設定IP黑白名單或限制隻能Https通路
6.資料加密
提供服務端加密、用戶端加密的多種資料加密選項
7.日志審計
支援将OSS通路記錄,按小時導出成日志檔案,用于分析與審計;支援實時日志查詢,結合日志服務,分鐘級日志推送,秒級查詢與可視化分析
3.6.3 自定義鏡像管理
建立或成功導入自定義鏡像後,鏡像的狀态為可用。此時,您可以使用該鏡像建立執行個體,可以将其共享給其他阿裡雲賬号使用,或複制該鏡像到其他地域使用,不再需要該鏡像時,可以将其删除。使用已有鏡像建立執行個體後,您可以對執行個體進行個性化配置(如安裝軟體、部署項目等),并為更新後的執行個體建立自定義鏡像。下圖為鏡像的生命周期。
3.7 安全事件響應
為了提高處置網絡與資訊安全突發公共事件的能力,形成科學、有效、反應迅速的應急工作機制,確定重要計算機資訊系統的實體安全、運作安全和資料安全,最大限度地減輕網絡與資訊安全突發公共事件的危害,保障國家和人民生命财産的安全,保護公衆利益,維護正常的政治、經濟和社會秩序。充分按照以下原則進行:
預防為主:立足安全防護,加強預警,重點保護基礎資訊網絡和關系國家安全、 經濟命脈、社會穩定的重要資訊系統, 從預防、監控、應急處理、應急保障和打擊犯罪等環節,在法律、管理、技術、人才等方面,采取多種措施,充分發揮各方面的作用,共同構築網絡與資訊安全保障體系。
快速反應:在網絡與資訊安全突發公共事件發生時,按照快速反應機制,及時擷取充分而準确的資訊,跟蹤研判,果斷決策,迅速處置,最大程度地減少危害和影響。
以人為本:把保障公共利益以及公民、 法人和其他組織的合法權益的安全作為首要任務, 及時采取措施, 最大限度地避免公民财産遭受損失。
分級負責:按照“誰主管誰負責、 誰營運誰負責、 誰使用誰負責”以及“條塊結合,以條為主”的原則,建立和完善安全責任制及關聯工作機制。根據處室職能,各司其職,加強處室間、科室間的協調與配合,形成合力,共同履行應急處置工作的管理職責。
常備不懈:加強技術儲備,規範應急處置措施與操作流程,定期 進行預案演練, 確定應急預案切實有效, 實作網絡與資訊安全突發公共事件應急處置的科學化、程式化與規範化。
3.8 等保建設
根據系統保護等級和各地政策的不同,申請等級保護認證的實施流程順序略有差別,但基本都包括:系統定級、整改建設、等級測評、系統備案和監督檢查等五項工作。以申請等保三級認證為例,标準實施流程如下:
流程解讀:
系統定級:資訊系統營運使用機關(企業)要按照《資訊安全等級保護管理辦法》和《網絡安全等級保護定級指南》,初步确定定級對象的安全保護等級,起草《網絡安全等級保護定級報告》,三級以上系統,定級結論需要進行專家評審。
系統備案:資訊系統安全保護等級為第二級以上時,備案時應當送出《網絡安全等級保護備案表》和定級報告;第三級以上系統,還需送出專家評審意見、系統拓撲和說明、安全管理制度、安全建設方案等。
建設整改:依據《網絡安全等級保護基本要求》,利用自有或第三方的安全産品和專家服務,對資訊系統進行安全建設和整改,同時制定相應的安全管理制度。
等級測評:資訊系統建設整改完成後,營運使用機關應當選擇合适的測評機構,依據《網絡安全等級保護測評要求》等技術标準,定期對資訊系統安全等級狀況開展等級測評。
監督檢查:公安機關及其他監管部門會在整個過程中,履行相應的監管、稽核和檢查等職責。
4. 雲服務商資質 及安全産品
4.1阿裡雲等保現狀
2016年9月,阿裡雲通過新的雲計算安全等級保護三級要求的測評,是國内首個通過國家權威機構依據雲等保要求聯合測評的公共雲服務平台。
按照新的雲等保要求和監管部門的意見,在具體的雲上應用等級保護合規和測評中,涉及阿裡雲平台側的相關要求不再進行單獨測評,可以直接引用阿裡雲平台的測評結論。
阿裡雲将提供以下材料,協助租戶雲上系統通過等保測評:
阿裡雲等保備案證明
阿裡雲測評報告封面及結論頁
阿裡雲安全産品銷售許可證(公安部)
4.2阿裡雲安全産品
阿裡雲利用雲盾、雲防火牆和其他安全生态産品,可以提供完整的安全技術解決方案,相關的阿裡雲安全産品及其滿足的等保要求如下。
領域 | 安全産品 | 功能簡介 | 合規對應要求 |
網絡和通信安全 | VPC | 阿裡雲專有網絡,可以實作VLAN級隔離,并自定義IP位址配置設定(可選)。 | 滿足等保要求中的網絡架構、邊界防護和通路控制等要求。 |
DDoS高防 | 提供網絡鍊路可用性保證,提升DDoS防護門檻值,提升業務連續性(必選)。 | 滿足等保網絡安全中通路控制和機構安全的要求,20G以上防護。 | |
相比于傳統防火牆以及安全組政策,雲防火牆可以基于業務可視化、實作業務分區/分組,管理者可以清晰的甄别合法通路和非法通路,進而執行安全隔離和通路控制政策(必選)。 | 滿足等保要求中的邊界防護和通路控制等要求。 | ||
Web應用防火牆 | 可防護應用攻擊、CC攻擊等,可根據網站實際防護場景需求實作精準防護,多種防護算法結合防禦,實作業務風控,并可快速更新漏洞更新檔,保障您的網站業務不被侵害受損(必選)。 | 滿足行業自身的安全需求且滿足等保要求中的入侵防範等要求。 | |
态勢感覺 | · 實時全球通路流量監控。 · 實時監控整體安全。 · 雲上伺服器全端口掃描、應用漏洞掃描、0day漏洞掃描、CMS漏洞掃描。 · 伺服器、資料庫和應用背景弱密碼探測。 · 通過大資料分析的方法發現隐藏的入侵安全事件,并回溯入侵點。 · 黑客惡意行為回放,對黑客入侵後的操作行為進行驗證和記錄。 · 進階威脅檢測,如:定點web攻擊,針對性ECS密碼爆破。 · 利用社會工程學,對撞庫攻擊進行識别,保證業務賬号安全。 · 利用全網威脅情報對異常登入事件、非常用IP連接配接資料庫進行識别。 · 拖庫行為發現,對資料庫的異常下載下傳進行告警。 (必選) | 滿足等保要求中安全審計和集中管控的要求。 | |
雲堡壘機 | 實作雲上伺服器的操作運維審計和賬号權限管理。支援100資産和100會話。 | 滿足等保要求中身份鑒别、通路控制和安全審計等要求。 | |
裝置和計算安全 | 安騎士 | 跨平台支援配置四層(tcp、udp)七層(http)的自定義通路政策。 共享雲盾惡意IP庫,實時攔截全網威脅通路源。 全流量日志審計,秒級發現非法通路、主動外連等行為。 掃描第三方應用(wordpress、discuz等)及windows系統漏洞資訊。 網站後門檔案(webshell)檢測及隔離。 惡意程序檢測及病毒、木馬清除。 SSH、RDP登入日志審計,異地登入提醒。 對暴力破解密碼的行為進行攔截。 對伺服器常見系統配置缺陷進行檢測,包括可疑系統賬戶、弱密碼、系統資料庫等進行檢測。 | 滿足等保要求中關于入侵防範和惡意代碼防範的要求。 |
資料庫審 | 資料庫審計,同時支援RDS雲資料庫、ECS自建資料庫,符合等級保護二級标準,幫助使用者滿足合規性要求,支援3個資料庫(RDS)執行個體。(必選) | 滿足等保要求中安全審計的要求。 | |
應用與資料安全 | 資料加密 | 加密服務基于國家密碼局認證的硬體加密機,提供了雲上資料加解密解決方案,使用者能夠對密鑰進行安全可靠的管理,也能使用多種加密算法來對雲上業務的資料進行可靠的加解密運算。 | 滿足等保中對于資料保密性要求。 |
SSL證書服務 | 為HTTP網站提供轉向HTTPS,加密應用層資料(必選)。 | Globalsign通配符域名證書,滿足等保要求中資料完整性和資料保密性的要求。 | |
安全運維管理 | 漏洞掃描系統 | 滿足等保要求中關于及時發現漏洞和進行漏洞更新要求(必選)。 | 定期進行全網絡的掃描,及時發現各種漏洞包括主機、網絡和應用漏洞,以便進行系統加強。 |