国际影视中心云平台集成设计项目统一安全设计方案

安全平台总体架构设 设计目 建设目 行政目 业务目 效益目 设计原 标准性原 整体性原 成熟先进性原 易用性原 专业性原 可管理 可扩展 总体安全体系设 平台架构安全设 外连接入安全设 平台自身安全设 VPC租户安全设 安全合规体系设 设计目 设计策 物理安 控制设 外联控 边界安全审 代码检 网络保 抗服务系 网络接入控 安全审计系 安全配置核 主机安 管 终端审 应用安 应用系统安全改 CA体系建 双因素认 控 数据安 数字签 文件级加 灾 安全管理设 安全管理体系设 安全管理机 系统建设管 系统运维管 安全审计体系设 日志的管 数据库操作审 运维安全管 管理接 终端安全管 主动防御体系设 4.1扫描服 渗透测试服 防御体系设 WEB应用防护系 附件：选型指标及数 1安全平台总体架构设设计目建设目度、建立支援队伍，最终能够满足浙江国际影视中心，对好易购、新蓝网、新公司广播电台等下属单位的生产网和办公网业务的安全需求。保障电子办公的安全防护、、管理的目标，保证业绩在遭到的时间里可特点是：易部署、易管理、易和安全有效性。行政目充分行使浙江国际影视中心的职能，建立的云平台，同时提供安全运维，为下级机构提供的云平台。业务目、、、、江国际影视中心，对好易购、新蓝网、新公司广播电台等下属单位的心的信誉；有效抵御对平台的，保障平台安全。设计原基于云计算运用技术,由云计算中心的强大服务器群来支撑,帮助在CC等各种安全问题。安全防护不受限于用户系统状态,也不更改影响用户的系统和网络部署情况,安全防护系统遵循以下几条原则:标准遵守、行业标准以及国际相关的安全标准,是构建系统安全的保障和基础。整个服务过程严格遵循《等级保护管理办法》的三级的安全要求，并整体；措施的整体一致，既要重视对主的防御，又要考虑在网络、破坏后、快速；成熟先进性原充分考虑保护产品本身和技术上的成熟性。保护系统必须是成熟而且SDNVPC租户安全。所采用的安全技术和设备应能保证在目前业中是先进的5防护系统充分考虑用户体验,简化服务、服务产品部署、配置等操作,技术和防御技术是的一对体,两种技术从不同角度不断地对系统的安全出了,只有掌握了这两种技术才能对系统的安全有全面的认识,才可管理对于这样安全防护产品,要管理防护规则的配置、更新和支持是一个非常难对web应用配置、加速、防盗链保护、日志分析、安全日志可扩展总体安全体系设平台架构安全设防护需求，合理设计云计算环境内安全、监测和审计的方案。浙江广电云平台等级保护安全设计以国家等级保护相关政策和技术标准要求为依据，结合浙江广电云平台现状，管理与技术并重，以自主知识和国产化信息装置为基础，建成“分区分域、分层分级、多层防护”的具有安全平台特色的等级保护防御体系。为重点，重构技术构建数据中心的安全平台体系进行设计。方案设计依据等保户安全、外连接入层安全和安全平台管理。以及边界等，从保障整个云平台的可用性、完整性角度设计规划。建设内容包括：平台边界安全、流量平台、扫描系统和反系统SDN、vPC）不同主体的边界安全、数据安全以及认证管理。针对租户内安全做细粒度的控制和识别，同时加强租户内的审计功能，保障租户的业务安：3外连接入层安全浙江广电云平台需要与全网专线和场外私有云等进行接入，进行全网、专线和场外私有云的全域划分，才能形成清晰、简洁、稳定的IT组网架构实现系统之间严格控制的安全互连更好的解决复杂系统的安全问题在全网专线接入部分保留原有在网中的如IPS/IDS设备等，增加到云平台的安全控制策略，重要数据需要加密的采用 进行加密传输在场外私有云部署如3.2.4的租户内的安全设计的内容采用安全网关、云WAF扫描堡垒机综合日志审计等传统虚拟化的方式进行安全防护同时增加到云平台的安全控制策略，重要数据需要加密的采用进行加密传输。下图为总体安全设计架构图：安外连接入安全设浙江广电云平台向互联网提供服务外，与外部私有云、全网、专线、新媒场外私有 逻DDos防华网专新 FW/网互联网接入安浙江广电云平台对互联网用户提供服务、第三安全平台平台的接入，在Internet链部署一组互备的和防御设备在互联网出口形成L2-L7层防御机制有效来自互联网的行为集群化部署流量系统防范DDOS，保障平台的可用性。一旦流量带宽峰值超过浙江广电云平台出口带宽，则调度采用第流量服务进行应急处理。云平台与外部租户的公有云的连接有二种形式，一种为通过互联网接口，另一种为通过光纤经安全防护后与的计算云中的对外服务计算资源连接。前者租户的公有云资源包含互联网带宽资源，用于互联网数据交互频繁、数据重要性相对低一些的应用，以及部署后，较少云平台内资源，就能完成服务的应用等；后者租户的公有云资源不包含互联网带宽资源，该部分资源与对外服务的计算云资源一道，通过互联网出口，对外提供服务。通信中不涉密数据传的采用进行加密传输，加密级别根据数据涉密级别而定。专线全网接入安浙江广电云平台，需要与全网、专线进行接入，进行全网、专线的全域划分，才能形成清晰、简洁、稳定的IT组网架构，实现系统之间严格控制的安全互连，更好的解决复杂系统的安全问题。在全网、专线接入部分部署只允许新、华数接入安浙江广电云平台，需要与新、华数等第进行。因此，要实现严格的控制，建议使用或者网闸设备进行安全。业务数据可以平台自身安全设边界安全防Internet相连接，大量从不同区域的网络。采用边界控制技术保证安全区域之WEB权发生。在云平台做边界的安全控制，通过功能、IPS功能做控制和检测，同时通过SSL设备做接入认证。发会话能力和十万级以上的会话新建能力；本方案设计上部署内的NATL2-L4高性能防御系统IPS设备或模块：要求提供单板万兆以上的吞吐能力、千万IPS7层的分析与检测，可实时阻断网络流量中隐藏的、蠕虫、木马、、网页篡改等和行为，并实现对网络基础设施、网络应用和性能的全面保护。出站、入站链路负载均衡，结合全球ISPIP地址库匹配、健康检查算法、多样化的高性能SSL网关设备或模块：要求设备提供最大并发10000路SSL客端接入的能力，实现10G左右的吞吐能力。SSL网关设备应能够提供Web、TCP和IP等多种不同的接入方式，实现对用户的URL、文件、服务器等资源的细粒度控制，并支持与外部平台的对接提供包括本地认证、Radius、LDAP、ADRSA和第PKI认证等方式，保障对不同用户进行认证的和管理虚拟化集群技术则真正实现了多台物理设备的逻辑，对外表现为单一的网元节点，管理IP，设备配置文件。略路由将入流量平均分配到多个安全模块，流量经过安全模块后，还需要在安性差。当前的流量智能负载均衡技术则只需要预先在综合安全网关主机上成单台逻辑设备，每台网关设备上配置、防御系统、应用控制网关、链路负载均衡、SSL等业务模块，并通过虚拟化技术将物理安全模块虚拟化为安流量系临日益严峻的运营危害－DDoS。DDoS（DistributedDenialofService）分布式服务是一种十分常见的网络，通过多种方式消耗网络、或服务系统的资源，使真正用户无法使用这些资源。经营线上业务的企业很容易DDoS，DDoS因成本低廉、范围广、简单高效已成为最热衷和惯用的攻浙江影视中心云数据中心承载，好易购、新蓝网、新公司、IPTV、广播电台等下属单位的生产网和办公网业务。一但服务，特别是网络服务造成的危害是相当严重的，可能造成全部或部分服务生产网和办公网业务中段，甚至数据损坏和丢失，从而给云平台的能力建设成果造成巨大破坏。基于DDOS的，需要在云平台建设流量系统。达到以下防御能力：全面性：本地防护40G流量型DDOS和应用层flood，云端流量型DDOS和应用层flood、高效性对流量处理反映迅速秒级检测秒级防护响应、高智能：智能高敏识别层滤系统针对各层协议，精准防护，可防护各类基于网络层、传输层及应用层的类型，零误判；处，并且需要与云抗DDoS服务进行联动，一旦流量超过10G防御能力抗带宽被打满时，瞬DDoS根据浙江影视中心云平台自身的10G抗DDoS的实际情况，在浙江影视中心云署8台服务器的云化抗DDoS系统，本地系统与云端抗DDoS平台进行联动分析，建立全面完整的DDoS安全保护体系提升DDoS防护指数，实现本地与云端抗DDoS的融合，同时可以与抗DDoS产品服务要求具备以下特征产品需要有与云抗DDoS服进行联的能，旦流超过10G防御能抗带宽被DDoS服务平中心，抗DoS400DoS规则防完量后放行到户内的业系统确保业系统尽大可能61、DDoS防御层的防御。再结合的公有云中的大量的黑、白进行智能。2、滤防御滤防御层针对明确的IP地址进行，这类IP的识别主要通过CCAP等其他程序进行分析，通过程序分析得到的IP在这里被一定的时间后放行再观察，如还存在行IP不能，哪些IP可以直接而不用经过CC检测和WAF过滤，还可以配置哪些url不能等，还可以组合匹配。4、CC防御CC防御层的防御结合了CCAP的自动分析还包括运维或用户的一些实时交互规则的过滤，nginx分析到相应站点的qps超过某个限值时，会启用实时中，nginxCCAPASIC。5、WAFWAF防御层做WAF相关的过滤，通过匹配安全过滤规则，识别web行为，并御及零Day防御等。扫描系云平台自身进行定期检查，同时租户通过安全网关来实现多租户网络之间的安全与管控，在云平台和每个vPC分别部署扫描引擎，实现多扫描引擎域的扫描引擎，同时接受管理实现分级部署，这样就形成了一个分布式分级部署的管理构架，通过扫描系统做到了以下工作：制定的扫描策略扫描平台自身及各租户建立例行的扫描和修补工作制建立了包括管理平台和管理制度在内的管理体系通过管理体系，做到策略下发、扫描、报表分析、升级等工作全省，步调一致，在加强力度的同时，提高了工作效率；扫扫发发定审审修，。浙江影视中心云数据中心承载，好易购、新蓝网、新公司、IPTV、广播电台等集团下属单位的生产网和办公网业务。一但出现重大系统造成的危害是相当严的能力建设成果造成巨大破坏。平台管理也可以借助扫描器找出网络并加以防范。据库等进行扫描主动发现各种扫描系统包括主机网络应用等的弱点扫描系统，，。产品要求具备以下特征主机扫描功主机的安全问题来自网络运行的操作系统：UNIX系列、Linux系列、Windows系列以及专 、、控制、数据传输的与完整性接入、路由系统的安全检查的网络扫描能力、、库、WEB服务、电子邮件、系统、应用系统、业务应用以及其它网络服务系统等的发现能力。为了确保扫描的可靠性和安全性，需要具有制定扫描计划的功能。计划主要包括扫防系产生了Linux。由于源代码完全公开，只要对Linux系统足够熟悉，就可轻松利用此造成很多Linux系统无法正常使用，造成业务中段。浙江国际影视中心云平台平台，来保障平台的安全。根据浙江影视中心云平台自身的防需要的实际情况为保证整个云平台自身对的全体系，达到集中控制、全方位防的效果。其中杀毒FORVMware，VMware公司vShieldEndpoint技术，采用无VMware虚拟化产品用户推行安全防护其它OpenStackXENKVM的linuxt系统采用forlinux杀毒对OpenStack、XEN、KVM的linux秕进行底层防护。部署针对linuxt系统的反，定期扫通过对浙江国际影视中心云平台虚拟环境的了解，以及的分析，目前存在的安全需求有以下几点：1、对虚拟化操作系统提供全面的安全防护： 、深度数据包检测等2、检测和外界针对操作系统以及应用程序的进行的已知和未知4Windows、每个虚拟服务器操作系统上面单独安装安全，会随着虚拟服务器数量增加造成对后端的负荷越来越大，最终会影响到虚拟服务器的运行速度。高性能深（SSL中是否存在协议偏离、发出信号的内容以及策略的情况。该引擎可在检测或防御模式下运行，以保护操作系统和企业应用程序的。它可保护Web应用程序，使其免受应用层攻击，包括SQL注入和跨站点。详细事件提供了十分有价值的信息，包括者时间及意图利用的。发生事件时，可通过警报自动通知管理员。、在操作系统和企业应用程序安装补丁之前对其进行防护，以提供及时保护，使其免受已知和零日。规则可保护已知（如披露的漏洞使其免受无数次的。在数小时内即可提供可对新发现的进行防护智能规则通过检测包含代码的异常协议数据，针对未知的攻规则可停止已知和，类似于传统的防，都使用签名来识别和已知的单个 VPC租户安全设租户边界安网络的有效。只有通过明确安全域划分的原则，才能形成清晰、简洁、稳定的IT组网架构，实现系统之间严格控制的安全互连，更好的解决复杂系统的NetworkOpenFlow协议将信息下发给转发器，以实现控制器通过使用支持Vxlan技术的设备对云平台进行安全域划分，在物理机检查进出流量的MAC、IP，同时在虚拟路由上检测MAC、IP、ACL信息等。防止低安全域用户向理机域、虚拟机域进行进完全。广电云平台，设计中常常需要同时支持多个设备，因此可以采vPC的技术。尽管对于与端口信道相连的设备来说，一对作为vPC对等终端的交换机就像是单一逻服务通过对进程接口的限制来保障服务间同时使用进程级对进程做控制和，对不合法的和越权操作的行为做阻断。数据分级与，举个例子：SQL注入，如果不同接口之间的数据库和连接帐号未分离，服务只要存在一个SQL注入，那么这个服务里不同级别的数据都露了。服务分析各vPC形态非常复杂，对实时性、可靠性敏感的行为特征，在用户中持续筛选出需要隔的租户主机安VM作系统数据库中间件应用并长时间与其他内网或的终端进行交互，着与传统物理服务器一样的主机安全隐患，比如包括由于操作系统、数据库、BUG，通过系 拿到主机权限控部门的业务VM划分到逻辑的vPC（VirtualPrivateCloud）内，类似一个逻辑独立的私有云系统同一个业务部门内的VM以及不同业务部门的VM业务系统SDN方式来做虚拟机间的输入输出控制。防、后为了为云平台内的虚机系统提供主机安全防护需要平台针对云主机进行与审计，在云主机上进行安全加固，防止行为拿到主机权限，安放、后门程Rookit租户间安浙江广电的云平台承载了的的IT系统。这些系统的业务特性、安全需求和等级、使用的对象、面对的和风险各不相同。当前浙江广电的网络的，对系统进行区域划分，进行层次化、有重点的保护是保证系统和的有效。云数据中基于SDN、vPC技术进行办公域业务、以及与各单位生产业务的，租户间的安全设计规划为在交换机旁挂硬件安全网关，实现多租户网络之间的安全与管控。使用各vPC安全区作为不同网络 域之间信息的出能根据安全策略控制出网络的信息流，且本身具有较强的抗能力。它是提供服务，实现网络和的基础设施。在逻辑上，是一个分离器、限制器和分析器，可以有效监不同安全网络之间的任何活动。在网络间实现控制，比如一个是称‘某个不被信任并且不需要保护的网络就位于一个受信任的网络和个不受信任的网络之间，通过一系列的安全来保护受信任网络上的信息。使用防御系统IPS进行vPC间安全控虽然网络中已部署了等基础产品但是在网络的运行中，ITIPS（防御系统）就显得非常重要深度检测防御是为了检测计算机网络中安全策略行为。一般认为安全策略的行为有：——用户的行为、——用户的行为；深度检测防御识别出任何不希望有的活动，从而限制这些活动，以保护系统的安全。深度检测防御的应用目的是在对系统发生危害前，检测到，并利用与防护系统。在过程中，能减少所造成的损失。vPCvPC多少、并发强度以及防护层次要求分配各类逻辑安全资源，比如虚拟、IPS、虚拟应用控制网关等资源。租户间安全组网不同租户vPC的IT系统（以部门A[vPC1]B[vPC2]为例）安全互访流程设计如下：部门A的IT系统在接入交换机或汇聚交换机上均到特定的VxLANID，为VxLANIP网关）上删除VxLAN包头还原为IP报文，并将流量三层转发到综合业务AB部门互访专门配置的安全边界虚拟设备上（出来后再三层转发到交换机VxLANIP网关，并将报文根据IP目的地址（部门B的某终端IP）到部门B对应的VxLANID，封装成VxLAN报文转发到部门B对应的汇聚或接入交换机，删除VxLAN报头再转发到特定部门B的终端。以上方案采用的是基于安全平台的防护系统，在互联网的新形势下，传统技术的安全防护产品已经不能有效的完全保障业务的安全，定制化可在业内具备技术先进性和成熟应用案例。租户内的安出入云平台网络的流量，称之为“南北向流量，针对南北向流量的安全防护，方案规划通过部署在网络出口的高性能综合安全网关设备实现防护；云平台内各业务系统的虚机（M）间的交互流量，称之为“东西向流量。在云平台内，不同的业务部门会分配不同的M以部署相应的业务服务，并将的业务M划分到逻辑的vPC（talPreCd）内，类似一个逻辑独立的私有MM业务系统之间均存采用安全网关、云AF、扫描堡垒机、综合日志审计等传统虚拟化方式实现，云AF、扫描堡垒机等详见第.5章。1、虚拟化安全网关产云平台vPC内的用户如好易购、新蓝网、广播电台、新公司等，具有大（VM，虚机行安全域的划分，采用虚拟化产品，以纯形态部署，适用于虚拟化云平台，为vm提供不同安全等级应用之间的安全和安全防护。虚拟化安全网关需要支持精细化应用识别、、防御、防护、负载均浙江影视中心云vPC用户的实际情况，在浙江影视中心云内vPC中选择适合业webvPC的2-4层的安全性。部署方式详见下图：虚拟化产品要求具备以下特征适用于虚拟化VMWare、Xen、KVMVM提供安全平台部署方案，支持VMWare、Xen、KVM等部拥有专业安全防护功、、需要具有精细化应用管控防御防护、链路和服务器负载均衡、智能流量管理、NAT等功能。、、结合云平台的安全可视化管2、运维审计与风险控制系统（堡垒主机浙江影视中心云数据中心承载，好易购、新蓝网、新公司、IPTV、广播电台等下属单位的生产网和办公网业务。因此服务器数量都比较庞大,而且其维员、审计员等角色和用户；租户运维的资产对象复杂,包括windows服务器、Linux服务器、、数据库、FTP服务等;对运维设备可用性要求较高;根据浙江影视中心云vPC用户的实际情况，在浙江影视中心云内vPC中选择适合业务虚拟IOS运维配（1）协议类型：SSH、RDP、SFTP net、FTP等等厂商的网络设备。（2）应具有度控制与堡垒机应支持基于角色的控制。管理员可按照时间、部门、职责和安 （3）运维通过堡垒机登陆，只需通过堡垒机认证（支持多种认证方式,包括本地认证、LDAP/AD认证，就可以直接所有已服务器、网络设备，无须再次手工登录，无须再多个账号和口令，提高用户工作效率、改户体验。（4）应具有唯一标识的审堡垒机账号是获取目标设备权利的唯一账号，与实际用户一一对系统间行为审计的一致性，从而准确定位事故责任人，弥补传统审计产品无法准确定位用户的缺陷。（5）、堡垒机应具有完整审计运维通过账号“在什么时间登录什么设备、做什么操作、返回什么结果、什么时间登出”等行为，全面记录“运维从登录到退出”的整个过程，帮助管理及时发现权限操作，准确定位，以便追查取证。、3、综合日志审计系浙江影视中心云数据中心承载，好易购、新蓝网、新公司、IPTV、广播电台等下属单位的生产网和办公网业务。需要一个强劲而良好的安全信息和事件管理，可以识别可用数据源（应用程序日志、日志、以及IDS日志等等， 发现各种安全、异常行为事件，为管理提供全局的视角，确保用户业务的不间断运营安全；为用户提供全维度、跨设备、细粒度的关联分析，透过事件的表象还原事件背后的信息，为用户提供真正赖的事件追责依据和业务运行的深度安全。根据浙江影视中心云vPC用户的实际情况，在浙江影视中心云内vPC中选择适合业务数量的虚拟机部署综合日志审计系统提供集中化的管平台将所有的日志信息收集到平台中实信息资产的管理集中审计系统以及对安全日志的全生命周期管理。虚交虚拟DNS/负载均日志收综合日志审计系风险扫描系堡垒云WAF企业mSP对虚拟化平台的虚拟机云WAF虚交虚拟DNS/负载均日志收综合日志审计系风险扫描系堡垒云WAF企业mSP数据并对传输链的各个环节进行可配置过滤和聚合功能可以消除无关数据，弱点扫描日志(弱点、)、各种状态日志(可用性、性能、状态)、安全视角应具有集志管应具有可性及可扩展系统应具有对自身的配置功能如系统参数设置系统日志管理等硬件系统采用模块结构保证系统内存CPU及容量的扩展硬件配置的升级不会起的修改和开发；每个组件都可以横向扩展，通过增加设备满足业务需求。数据安在建设云安全的过程中应该充分考虑数据的重要数据存放在云平台的企业级设备上避免因个人硬盘损坏导致的数据丢失，实现了更强的数据安全性。对敏感数据进行加密，用户数据物理介质必须经过和验证。平台为租户提供单独的密钥对数据加密，密钥有租户管理。云平台对租户的用户名通过散列算法对敏感数据进行校验，从而数据传输过程中采用加密算法对敏感数据进行加密，web业务采用SSL协议，以保障敏感数据的性。租户内具有大量敏感数据传输应用场景，建议使用专业的设备，即能保障性又能提高传输效率。采用PKI基础设施进行密钥分发与管理，提供性服务和鉴别是整个密钥管理系统的，在安全实用的原则下来控制密钥的使用权限，保证系统的安全。密钥管理包含：密钥、密钥分发、密钥更新和密钥的备份。对各种操作。在系统密钥丢失或者系统收到损坏时才能使系统恢复原状，重新回到可算法选认证管的管理权限。此外还可以通过操作员控制列表来限制操作员系统时所在的位置；通过控制策略来控制操作员的复杂度及失效后的处理方式，并且任何操作员都可以修改自己的；通过操作员管理来管理正在执行系统维护工作的所有操作员；通过操作日志来审计和操作员执行的操作。用户及操作员登录系统应采因素认证方式操作员闲置超时时长为登录后的统会在一段时间内其登录，以避免登录尝试。能力。虚拟化资源管理系统提供度精细化权限管理，分别为：基于业务功能维对业务功能维度通过操作员分组来划分，可以控制特定业务具体功能的可用性例如修改用户基本信息等。对数据资源维度，通过设备分组和可分级的用户分组，配置操作员可的数据资源。当操作员用户特定用户分组管理权限时，只能看到此分组下的用户。无权 的业务功能和数据资源对操作员均不可见。安全合规体系设设计目浙江国际影视中心云平台等级保护的设计目标是：GB17859-1999、《信息系统安全等级保护基本要求》（GB/T22239-2008）对第三级系统的安全保护要求，(1)实现系统的自主控制，使系统用户对其所属客体具有自我保护的能力；(2)增加系统安全审计、客体重用设计策物理安进行实地和评估，确保其物理安全的现实水平符合要求。房管理、出入登记申报等制度。建议浙江国际影视中心云平台在选择机房，规划物理层面的安全，进行等技术级保护自评，自评过程中参考等级保护三级以的控制项目。在条件允许的情况下，配备光、电等机房防盗系统设置系统，如头等对重要设备采取区域防火措施，并与其他设备在物理上开安装对水敏感的检测仪表或元件，对机房进行防水检测和综上所述，物理安全建设需要考虑物理环境安全评估、机房安全设施补足、物理安控制设火墙设备（包括物理、虚拟化）或VLAN划分配置予以满足。网段之间的边界，则采用VLAN划分结合ACL控制列表的方法予以。外联控云平台的用户如好易购、新蓝网、广播电台、新公司、IPTV等业务必然提系统的外联行为进行检测和控制。外联检测和控制可采用内网安全管理产品予以实现。内网安全管理产品为客户端、服务器结构的产品，其客户端部署于租户内的vC接受服务器下发的安全策略，对用户终端的外联行为进行检测和控制。边界安全审云平台的户如好购、新网、广电台、公司、TV等业必然提各种应用（），保护检测统等传现对网络常行为管理和测如对WB应用连接的进控制监测络件等是不能网络界中进的内容和已经的正常网络行为此对正络边界中交互行为导的信息密事件、网络源为（即通讯、、、P2P、等）也为力，也难以实针对内行的理及全事件追查取这可通过安审计系的部署来解决。台安全策略的制定提供可靠的支持。代码检针对云平台的代码检测防护，主要是针对进行服务器终端的防护以及挂马的检测及防防护各类常见的WEB应用，如蠕虫、跨站、网页盗链、以及WEB应用挂马等。通过定期的安全防护可以检测WEB应用挂马。具体防护操作包括：及时并安装补丁程使用Firefox客户端防系统设以对防进行直接操作。因此，它也是防系统中最难控制的范围。客户端防系统建设的另一个难点是的安装由于客户端地理位置分散，数目众多，必须要有一套高效的分发体系。客户端防一般为两层构架，即：中心服务器和客户端。中心服务器单独安装，性能要求较高；客户端安装在被保护客户端或物理机上。客户端防系统只是防护体系中的一部分，因此，它必须能够提供对各个防安全域的集中管理平台接口，实现整体。服务器端防系统设服务器防系统必须重视集中的管理、和升级，提高管理效率。同时，功能以及稳定性的影响，因此建议采用基于虚拟化的防系统，可以采用无或软方式的虚拟化杀毒，减少杀毒时对虚拟机（VM）的性能影响。定义防管理方建立防系统的集中管理平台。通过管理控制台，实现对全网络防系统的安装、配置、管理和。加强防系统的管理效果，节约人力资源，提高管定义库升级方防系统必须具有快速的升级能力同时为了保证系统整体的安全性，防系统必须建立的升级机制，以进行全系统的升级。网络的库升级需要由网络的控制中心定义和管理并下发。现今，获取升级库段主要有两种方式，一种为通过防直接厂商架设在互联网上的库更新WEB应用并直接。式为通过网络系统下载库压缩包在服务器上安装。防系统的集中管理平台设防系统的集中管理将实现全部网络防系统的集中控管。通过该防控制中心，可以完成防系统管理、、配置、升级、日志等所有工作。并成为防系统的库升级点，所有升级工作都是由该控制台推送到下级系统。控制台的冗余性通常防系统不像其它一些系统不太注重系统冗余。总控制台负责所有系统的管理，特别是库升级，数据流量较大时，如果系网络保联网，这些都着大量来自外部的网络，因些需要部署网络保护系统。网络保护系统作为一种部署的产品，提供主动的、实时的防护，其设计目标旨在准确监测网络异常流量，自动对各类性的流量，尤其是应用层的进行实时阻断，而不是简单地在监测到流量的同时或之后才发出告警。网络保护系统是通过直接串联到网络链路中而实现这能的，即网络保护系统接收到Internet数据流量时，如果检测到企图，就会自动地将包丢掉或采取措施将源阻断，而不把流量放进网络。保护系统是有必要的，一方面，网络保护系统检测到企图后，会自动地将包丢掉或采取措施将源阻断，而不把流量放进网络，同时，利用网络保护系统的多路保护/功能，可以见到网络中是否有流量异常。抗服务系浙江影视中心云数据中心承载，好易购、新蓝网、新公司、IPTV、广播电台等下属单位的生产网和办公网业务。一但服务，特别是网络服务造成的危害是相当严重的，可能造成全部或部分生产网和办公网业服务风险主要来源于互联网，因此抗服务系统应部署在IDC机房DDoSIDCDDoS服务平中心，为云平台的稳定运行提供网络接入控云平台的网络区域边界需要根据等级保护三级要求，保证网络的接入，因此需要对终端的接入行为进行检测和控制。浙江影视中心云数据中心承载，好易购、新蓝网、新公司、IPTV、广播电台等下属单位的生产网和办公网业务。用户重众，涉及面非常广，因此建议网络的接入控制可采用成内网安全管理产品予以实现。内网安全管理系统通过全面网络接入强制技术（802.1X802.1X控制、强制域登录、主机保证可管理的终端（安装安全）或者是不可管理的终端（未安装安全）接入安全，有效未知设备接入。安全审计系实时不间断地将来自不同厂商的、网络设备、主机、操作系统、用将收集到的审计信息集中通过严格的权限控制对审计记录进行保护，能够实时地对到的不同类型的信息进行归并和实时分析，通过的控络安全审计可借助第安全审计系统实现。安全配置核从入网测试、工程验收和运行等设备全生命周期各个阶段加强和各项基本不同业务系统安全检测基准的建立和行之有效的检测是安全管理安全配置核查是检查和核实已有设备和应用的安全配置是否达到安全要求的重要，是进行基础安全建设的一个重要方面，也是进行主动安全防御的重要将管理层面、技术层面和运营层面的安全控制措施到信息系统的安全配置基于业务系统的安全基线。《配置规范》的出台，采用了的安全配置标准来规范技术主机安2.5.1管统的存在并被者利用。由于在设计初期考虑不周导致的造成，利用的成为管理员始终非常关注的问题。统计表明其中19.4%来自于利用管理配置错误，而利用已知的一个系统入侵成功的占到了15.3%。事实证明，绝大多数的网络事件都是利用厂商已经公布的、用户未及时修补的。已经的未得到及时的修补和用户的安全意识有很大的关系，一个从厂商到被大规模利用之间的时间虽然在逐渐18天之久，18天对于一些安全意识高的用户来说修补一个安全应该没有任何问题。云平台自身需要大量的服务器、网络设备，同时内的用户如好易购、新蓝网、广播电台新公司IPTV等业务必然提供各种应用服务要使用大量的虚（VM部署各类的操作系统、应用、网络产品，因此需要有主动防御机制，部署一套WEB发现各种。通过扫描系统的部署，并启动定时扫描选项，可以方便的发现云平台中路由器、、交换机特别是重要服务器的情况，根据扫描设备提供的解决方法进行修补，可以有效的解决带来的危害。在租户署以有效评估各个系统的安全状况。通过扫描系统，实现第一时间主动对网络中的资产进行细致深入的检测、分析，并提供专业、有效的防护建议与相关通过安全加固对评估后的主机的和脆弱性采取的一种有效的安全，可以帮助系统抵御外来的和蠕虫的，使系统可以长期保持在高度的安装补终端审云平台内的租户如好易购、新蓝网、广播电台、新公司、IPTV等业务否有网络的情况发生，以及确定问题和源都非常重要。通过对安全事件的不断收集与积累并且加以分析可以为发现可能的破坏性行为提供有力的安全审计可以利用数据库操作系统安全产品和应用的审计功能。对于重要的涉密系统应采用设备进行安全审计。目前，操作系统、数据库系统、WEB系统、网络设备、应用系统等均提供行为，追踪和确定来源具有很大的帮助。但由于设备分散，分布式的独一部分不是以网络的形式进行的而是由于合法用户的误操作或恶意操作，仅靠网络检测也不能满足对网络的审计要求。为加强对网络行为安全与审计防止网络资源和非访问极为重要。因此，需要在云平台内租户vPC中部署安全审计系统，来实现对网络行为、主机操作行为等、分析和识别，实时监视网络系，通过对网络数据的审计，对网络传输信息进行记录来自网络和外策略是否充足证实安全策略的一致性建议安全策略的改变并协助分析，收集，用于事后追踪，应用安Web应用安全防、等级保护标准中对三级系统的应用安全要求主要有鉴别控制、安、云平台vPC内的用户如好易购、新蓝网、广播电台、新公司、IPTV等业务必然提供各种WEB类的应用服务包括服务点播Web应用系统、IPTVWEBWEBWEB应用层面的安全防护主要应由应用系统开发商在业务应用系统的开发份鉴别一项，要求达到“双因素鉴定”强度，要满足这一要求，需要采用PKI基础设施（CA）或者动态口令卡、等技术实现。安全技术的实施，弥补应用系统的脆弱性，如WEB应用等。应用系统安全改在等级保护标准中对应用系统安全也有相关的要求应从鉴别控制、安全审计、剩余信息保护、通信完整性、通信性、抗抵赖、容错、资源控对进行思考和设计，这方面的工作应由应用系统开发商负责业务应用系统技术的实施，弥补应用系统的脆弱性。CA要采用多种安全技术，如鉴别、信息加密、信息完整性校验、抗抵赖等。而这些技术的实现主要依靠CA系统的数组技术及产品。CA认证系统作为云平台应用系统管理的基础设施，是基础平台的基础组成部分。应用及系统的认证、管理以及责任认定等机制都是依赖与CA认证系统平台。在的平台上，直接利用已有网络信任基础设施所提供的政务数字服务功能，为各使用用户配发及更新数字，并自行管理与门户WEB应用系统有关的。CAPKI/CACACA、RA，该层次是CA的信任，通常以离线的方式运行，部署在内网层的设CA发和ARL（AuthorityRevocationList），实现对工作CA的管理；工作CA是根CA信任向用户传递的桥梁，工作CA通常部署在内网层的网络CA制订符合内网业务特点的策略、实施说明(CPS)发、、注销、更新等，管理注销列表。RARA系统是CA系统为用户服务的网络窗口，为用户提供申请、、注销、CARA，为内网用户提供服务。进行用户的审核，确保其真实性；本区域用户管理和；数字的数字的和管理密钥密钥（KMC）作为整个CA体系中密钥的，是整个系统的，CA设备（包 机 模块）的主密钥系统主密钥（KMC/CA/RA）：CA常由工作CA的机产生，用于保护诸如工作CA加密/签名密钥对等密钥数据。CACACA最终用户密钥在双系统中用于通信加密的用户密钥对在其生命周期中需要密钥不负责管理这类密钥。CA、RA、KMCCA系统通信密钥：用于CA系统各服务器之间（CA签发服务器与RA服务器等）目前应用系统安全控制基本上还是采用用户名+的方式，包括的必须严格规定的长度、复杂性（例如：中英文数字夹杂，大小写间隔，长度须超过8个字符以上）及定期更换的频率，对于普通系统使用用户来说这种设置方法极为不便，为了方便，用户常常使用特殊的数字，例如家人的生日、自己的生日、身高体重、或门牌号码等，因此导致系统中存在大量的弱口令，静态有很大的安全隐患。数字以及其他具有相应安全强度的两种或两种以上的组合机制进行用户鉴别，并对鉴别数据进行性和完整性保护。应要求B应用系统应对同一用户选择两种或两种以上组合的鉴别技术来进行鉴别。在系统中部署双因素认证产品，在使用用户名、的同时，再采用物理认证因素，两种认证方式同时采用，由于需要系统用户的双重认证，双因素认证技术可抵御，提高认证的可靠性，降低来自内/外部的和来自的更隐蔽的网络，同时也为安全事件的审计提供一定依据。素，结合萧山云系统及用户群的实际情况及特点，建议使用基于数字的认证方首先用户群按照服务对象分,包括系统管理员数据库管理员应用管理、系统审计、内容管理，以及大量的及公众用户。采用基于数字的方式，可以将不同通过的载体不同方式灵活的实现基于的认证方式。即对于管理以及部分固定用户办法基于USBKEY的数字对于大量公众用户，如果对于使用流程等安全强度较高的应用用户，可以使用文件软证书的方式从网上直接使用。另外，采用的认证方式，只需要对应用做简单改造，实现简单且安全2.6.5控1、自主文件控对于自主创建的文件，除了对文件做性、完整性保护外，还需要进行控制的操作。文件属主通过操作系统自带的控制功能实现对受保护文件的“读”、“写”、“执行”等操作管理。普通用户对这些文件进行，不能违背这些规定，否则，操作不能进行。另外，也可以通过内网集中管理系统的控制功能实现文件级的控制。2、强制控安全标记通过对应用系统的改造结合基于技术的基于角色的控制技术，实现对文件的强制控制。即：将文件进行安全标记，将用户类别与安全标记文件对应，从用户的请求中取得要的资源和操作。通过控制列表，检查用户与此进行安全标记的文件是否有权限，实现对文件的强制控制。文件在整个生存周期中，除非经重新定级，否则安全标记全程有效。强制控制，是根据安全策略来确定该用户能否对指定的受控文件进行操作。比如安全策略规定，高密级用户可以同密级和低密级文件；反之，低密级用户则被强制高密级文件。当然，可以根据实际应用环境制定相应的安强制控制的实现，可以在需要控制的文件服务器外部部署一套有设备及控制应用程序组成的控制系统。每次对于需要强制控制的文件的访问，都需要首先经过控制系统的后才可以，否则被。数据安数字签和传输过程中，不仅仅信息丢失、信息重复或信息传送的自身错误，而且会遭遇信息或行为，导致最终信息收发的差异性。因此，在信息传输和存储过程中，必须要确保信息内容在发送、接收及保存的一致性；并在信息篡采用了消息机制来确保完整性校验，其方法是：发送方使用散列函数（如SHA、MD5等）对要发送的信息进行计算，得到信息的鉴别码，连同信息一起实现抗抵赖的功能。即能够在数字签名和签名验证的前提下，将和证书密钥绑定成电子，实现不规则的数字签名以可视化的数字化签章形式出现，即确保了文档发布者的性及文档内容的正确性，又能以签章形式满足传统纸质化办公的工作，并防止了被盗用，使各类文档文件的性和性。电子签章系统以基于数字的数字签名技术为，采用国际标准、国家认可的签名算法，实现对指定类型文件或Web页面中的内容进行签名和验证，因此， 等各项操作的行为责任能够有效认定，防止抵赖，满足用户对于重要信息的完文件级加对于基于服务的应用级文件（如数据库文件、应用程序文件等），可以采用的加密设备（如服务器机）提供的加/服务，通过应用程序的调用实现自动加/功能服务器机是提供给应用系统实现数据加密的设备数据模式、使用模式由应用系统实现，加密的数据一般在服务器端的数据库中，即使加密的数据要在本地，也需要应用系统实现本地文件的功能，业务的流程、数据的流向都由应用系统完成。经过服务器加密机加密的数据符合国家主管部门的防电磁泄漏的要求。服务器机满足基于C/S、B/S的应用的安全需求对于终端的单独处理的文件（Office编辑格式的文件），可以使用基于加密模块或方式实现的文件加/操作。它可以完全由个人用户控制使用，通过加灾安全风险评估、规划等相关信息，结合网络和业务自身的实际情况，分析各相实现备份技术方案，构建并执行恢复预案，以便于提高系统抵御的能力，尽可能减小因引起的各种损失，从而增强系统的安全防护能力和持续作业能力，保支持能力的实现、运行管理能力的实现、恢复预案的实现。安全管理设安全管理体系设索贝云平台除了采用技术措施控制外安全管理措施也安全技术措施和安全管理措施可以相互补充，共同构建全面、有效的保障体系。《信息系统安全等级保护基本要求》，安全管理体系主要从如下内容考安全管理机岗位设置、配备、和、沟通和合作、审核和检查等方面对安全管理机构提出了具体的要求。浙江广电应该建立专门的安全，配备专门的安全管理，管理云平台的管理工作，同时对安全管理的活动进行指导。岗位设设置指导和管 由主 委任或 设立专职的安全管理机构（安全管理部门，明确职责分工设立安全管理各方面的，设置工作岗位（如安全主管、安全管理员、配对关键区域或部位的安全管理配备有一定条件要求（如中心机房的安全管理、关键服务器的安全管理等，对关键事务配备2人或2人以和对信息系统中的重要活动进行，部门是何部门，批准人是何人，审批活动是否得到；询问是否定期、更新流程，周期多长；对重要活动的范围包括哪些（如系统变更、重要操作、物理和系统的、管理，与合作单位的合作项目等)；等与组织机构内其它部门之间及管理之间的沟通合作机制；召开部门间协调会议，组织其它部门共同协助处理信息系统安全有关问门和，会议结果；小组或者安全管理定期召开例会； 聘请作为常年的安全顾问，指导建设，参与安全规定期对信息系统进行安全检查，检查内容包括系统日常运行、系统和数安全管理制小组的负责下组织相关制定和发布工作的总体方针、政策，说明工作的总体目标、范围、方针、原则和责任。并定期进行评安全管浙江广电安全管理要求在的录用、离岗、考核、培训以及第 入职管理：从角度对在录用过程中各流程提出安全需求 在职管理：从员工守则、系统用户考核、三个方面提高在职的意识。 离职管理：分析员工在离职过程中存在的风险的风险，并需要采取的管理方法。系统建设管交付、系统备案、安全、安全服务商选择等等方面提出了具体的要求。目件开发等这里不涉及在安全服务商选择方面建议浙江广电的相关，系统运维管理、管理、管理、系统安全管理、代码防范管理、管理、13个方面对系统系统运维管理方面本方案建议通过管理和采用专业安全厂商的安虑到项目目前的实际建议主要考虑扫描安全检查渗透测试安全加固、扫描服对象目标存在的安全风险、和。安全扫描项目包括如下内容：1.1Mail服服务WebWindows环境进行的扫描。但是，评估范围内的网络设备安全策略的弱点和部分主机的渗透测试服渗透测试过程主要依据安全已经掌握的安全信息，模拟的真实攻击方法对系统和网络进行非破坏性质的性测试。这里，所有的渗透测试行为将在客户的明确和监督下进行。部分资源。同时需要的一些配合（某些特定条件下，如为了节省时间的需要利用目标网络的安全弱点，渗透测试也是同样的道理。模拟真正的方法，以人工渗透为主，辅助以工具的使用，这样保对WINDOWS、SOLARIS、AIX、LINUX、SCO、SGI对MS-SQL、ORACLE、MYSQL、DB2WEBJSPPHPWEBWeb及应用测试专门针对Web及数据库服务器进行。对各种、检测系统、网络设备进行渗透测试对系统的业务进行安全风险挖掘,包括:用户安全、、风险、口令猜测也是一种出现概率很高的风险,几乎不需要任何工具,利用一个除了上述的测试外,还有一些可能会在渗透测试过程中使用的技术,包括:社会工程学、客户端、中间人。安全加固服以应 和蠕 等。针对萧山云各台服务器 和脆弱性，定的进行安全加固，可以使系统有效的抵御外来的和蠕虫的，使系统可以长期保持在高度的状态。安全加固是针对进行评估后的主机的和脆弱性采取的一种有效的安全，可以帮助系统抵御外来的和蠕虫的，使系统可以长期保持在高度安装补安全审计体系设浙江广电的云平台的综合安全会部署一系列网络层、应用层，需要有一套管理能够收集日志，比如NAT日志、告警日志，能够将网络中的安全事件以图形化的报表形式展现；另外需要有堡垒机来记录管理员对设备进行的各种命令操作，保证设备的运维安全；需要有主动防御机制，部署一套漏扫，由管理员定期对网络里面的系统、WEB服务器、数据库等进行扫描，主动发现各种。日志的管通过对日志的审计能够帮助浙江广电的云平台获悉整个云平台系统的安全运行状态识合审计和日志全生命周期管理。包括：审计数据源层、日志层、业务层和应用层。审计数据源审计对象层是指审计数据源对象，包括各类型的网络设备、、数据库、日志SYSLOGSNMPODBCOPSEC日志，并对原始日志信息进行范式化、分类、过滤、归并，推送到业务层进行分析、。能海量数据将日志进行快速；通过分布式查询引擎实现日志查询；通系统管理、知识等功能。数据库是数据产生和的所在，在萧山云平台应对数据进行有效的保护和合规性审计，可以确保无关操作数据或者相关使用数据，从上判断是否合规，对于不合规的数据行为可以进行和记录，对合规的访能捕获到所有对数据库的行为，这种部署方式即便是对于大数据量的网络也不会有性能上的影响，完全不影响和现有业务的处理流程。、它集内容审计控制及认证于一体通过对具体业务令级审计与认证、对越权用户与操作的告警与阻断，实现对主机、服务器、数据库等资源的重点、功对网络操作进行实时、过程回命令级的审计和控审计系统可以对数据库操作、应用（业务）系统等进行命令级的审计和控数据库系统的权限设置，使得每个用户仅能够从事与自己相符合的操作。即使同的采取不同的审计和控制措施。统的运行情况、使用情况；如果发现异常，可以利用审计系统的查询、分析、功能，定位出现问题的、时间、操作内容等。运维安全管 审计与第操作安导致的安全问题变得日益突出起来。、防、产品可以解决一部分安全问题，但对于的操作却为力。如何有效地设备厂商和代维的操作行为,并进行严格的审计是企业的一个关键问最高权限风因为种种历史遗留问题并不是所有的信息系统都有严格的认证和权限划分，权限划分高权限账（比如DBA账号共用等问题一直困扰着网络管理，高权限账号往往掌握着数据库和业务系统脉，任何一个操作都可能导致数据的修改和，最高权限的，让数据安全变得更加脆弱，也让责任划分和追踪变得更加。无论是运维还是第代维，基于传统的方式，都是直接采用系统账号完成系统级别的认证即可进行操作。随着系统的不断庞大，运维与系统账号之间的交叉关系越来越复杂，一个账号多个人同时使用，是多对一的关系，账号不具有唯一性，系统账号的策略很难执行，修改要通知所有知道这个账号的人，如果有人离职或部门调动，需要立即修改，如果无法追查，如果有误操作或者操作，无法追查到责任人。业务堡垒机相当于一个业务，所有对目标系统的运维操作都需要从它发起，目标系统不接受来自于非业务堡垒机发起的请求（通过交换机或者设置策略这样可以保证在运维上只有唯一的，只需要加强对唯一的安全防护，就能达到良好的使用效果，改变以往分散的，散乱的设备操作。堡垒机中强化了权限的管理，登陆到堡垒机上的只能进行管理员预先分配好的操作，任何没有预先定义的操作都无法执行，同时即便对有正常操作权限的也采管理接云管理平台具备完善的管理功能能够针对的计算资源节点虚拟性能状况监物理服务器性能状况监CPU和内存等计算资源的图形化报表及其运行于其上的虚拟机利用率TOP5报表，为管理员实施合理的资源规划提供详尽的数据资料。虚拟机性能状况CPUI/O、网络I/O等重要资源在内的关键元件进行全虚拟交换机状况应用应用可以对浙江国际影视中心不同的业务系统应用和网络服（如服务器、操作系统、数据库、Web服务、中间件、邮件、其他关键应用等进行和应用同时支持Agentless（无）和Agent的技术，用户可事件告统计数量的日志进行告警。告警动作支持事件属性重定义、发送邮件、发送SNMPTrap、、执行命令、设备联动、发送Syslog等方式。络管理提供了有效、易用的管理工具和。对于要接入安全网络的用户，系统首先要对其进行认证，通过认证的用 系统补丁安装情况、的黑白、U盘外设使用情况、软硬件资产信息等内容的安全检查，根据检查的结果，系统对用户网络准入进行和控制。通过安全认证情况进行审计和。某些部门的办公终端一方面需要接入OA系统，另一方面需要作为非编终端接入到非编云系统，因此在做不同的业务处理时需要接入不同的vPCHUB严格的认除基于用户名和的认证外，系统还可支持与接入终端的MAC地址、IP地址、所在VLAN、接入设备IP、接入设备端等信息进行绑定，支持智能卡、数字认证，增强认证的安全性。根据管理员配置的安全策略用户可以进行的安全认证检查包括终端库版检查终端补丁检查终端安装的应用检查是否有拨号配置U盘审计、外设管理、桌面资产管理等；系统客户端可支持和国内外主流厂商联动。用行为。终端用户的所属VLAN、ACL策略、是否使用、是否使用双网卡等安全措施均可由管理员配置实施。系统按照网络管理员配置的安全策略区别对待不同的用户定制不同的安全检查和处理模式，包括模式、提醒模式、模式和下线模式。用户可以根据自己的实际需要，为VIP客户、员工、外来访客等不同人群，定义不同的安全系统提供了对终端资产全方位的和管理的功能可以对终端软硬件使用情况、变更情况进行，同时还支持终端资产的配置管理和的分发、桌面控制，实现对桌面资产的有效管理。系统还提供了对U盘和其他外设的管理功能，可以对终端用户的各种外设进行控制，有效防止重要信息的泄密，同时提供U盘文件的功能，可以查看重要文件通过U盘拷贝时，有无存在不当使用行为。时系统会自动载入客户端，对用户和终端安全状态进行检查，用户不需要改变上网的同时，可以享受系统带来的安全保障。略服务器和第服务器。层和汇聚层。本方案中是终端的接入交换机，802.1xVLANACL问的指令。离区中。当用户通过认证但安全认证失败时，将被到且仅能区中的服务器，通过第服务器进行自身安全修复，直到满足安以将不安全的终端或用户控制在网络的最边缘，对内网的安全达到最小。802.1x该终端的接入端口或终端MAC下发ACL，进行网络控制，并且全程记录其网络访问行为。对于外部移动办公终端的准入控制，建议采用SSL方式。移动终端通过有线或WLAN网络互联网，在终端的客户端上配置SSL方式以合法用户帐号（或其他省份认证方式）SSL网关上进行认证，认证通过后系统安全策略管理服务器将策略下发到SSL网关，对外部办公的内网系统行为进行和实时。随着移动智能终端的普及，不少办公将通过PAD或SmartPhone终端办公资源，因此也需要在移动终端上安装准入控制客户端，经由WLAN网络接入后进行802.1x认证，并对移动终端的行为进行控制。主动防御体系设4.1扫描服、每年都有数以千计的被发现和加上者的不断变化，状况也在随着安全的增加变得日益严峻。事实证明，99%的攻击事件都利用了未修补的，使得许多已经部署了检测系统和防、效地避免由于所造成的损失。，云平台vPC内的用户如好易购、新蓝网、广播电台、新公司、IPTV等（VM应用、网络产品，因此需要有主动防御机制，在数据中心建立扫描资源池，部署扫描系统扫描系统可以建立多级帐号，需要使用扫描服务资vPCvPC部署一套扫描系统，云内vPC中选择适合业务数量的虚拟机，由管理员定期对网络里面的系统、WEB服务器、数据库等进行扫描，主动发现各种。，配置个性化的扫描要求同时采用云端的扫描平台提供的扫描口进进辅助扫描，使用扫描结果更准确。辅之调用云端的扫描平台共同扫描，这样扫 的起到很好的作用做到真正“未雨绸缪。扫描系统能够为用户带来的价值。部署方式详见下图vIDC租户安 资VMWare、Xen、KVM主机扫描功主机的安全问题来自网络运行的操作系统：UNIX系列、Linux系列、Windows系列以及操作系统等。需要具有操作系统扫描的能力，能够发认证、访问控制、系统等及操作系统的安全配置存在问题。网络层安全扫描功 资源的控制、数据传输的与完整性、接入、路由系统的安全、检查的网络扫描能力。应用层安全扫描功该层的安全考虑网络对用户提供服务器所采用的应用数据的安全性需要具有：数据库、WEB服务、电子邮件、系统、应用系统、业务应用以及其它网络服务系统等的发现能力。为了确保扫描的可靠性和安全性，需要具有制定扫描计划的功能。计划渗透测试服云平台vPC内的用户如好易购、新蓝网、广播电台、新公司、IPTV等（VM应用、网络产品。业务建设以业务发展为目标，安全技术在建设中，导致平台风险、技术风险、系统安全风险，光有扫描系统是不够的，渗透测试和的误报率和漏报率,并且不能发现次、复杂、并且相互关联的安全问题;渗透层次的安全风险点因此需要业务上线之后对业务进行全面的渗透测试服务，完全模拟可能使用的技术和发现技术对目标系统做深入非破坏性、潜在安全进行弥补对MS-SQL、ORACLE、MYSQL、DB2WEB对渗透目标提供的各种应用,如JSPPHP等组成的WEBWeb及应用测试专门针对Web及数据库服务器进行对各种、检测系统、网络设备进行渗透测试对系统的业务进行安全风险挖掘,包括:用户安全、、风口令猜测也是一种出现概率很高的风险,几乎不需要任何工具,利用除了上述的测试外,还有一些可能会在渗透测试过程中使用的技术,包括:社会工程学、客户端、中间人。web1SQL注入SQL注入2XSS跨站XSS3桌面针对微软MS12-020进行的专项检查该为桌面4IIS短文件名漏在实现上存在文件枚举，猜解或遍历服务器中的文件名，或对IIS服务器中的.Net进行服务5WEB查结合社会工程学的相关技术，对Web6FTP弱口令检结合社会工程学的相关技术，对Web7WEB针对WEB开发使用的程序框架进行检查例如针对8服务器弱口令9数据库安全性中间件弱口令Tomcat、Weblogic、Websphere等Web中间件管理均可能存源码备份管理员在对进行备份打包时使用了和相关的文件名，容易被者猜到并而导致整站源码，或者直接对线上源码敏感信息管理员在搭建环境时用于显示环境变量的未及时删除，或者环境安全配置不规范，导致一些敏感信息，，5防御体系设WEB应用防护系云平台vPC内的用户如好易购、新蓝网、广播电台、新公司、IPTV等业务必然提供各种WEB类的应用服务包括服务点播Web应用系统、IPTV的WEB服务等，因此必须保证WEB业务平台的稳定性，用户体验是前全防护，保证Web应用当前及未来的安全。在萧山云数据中心平台部署集群web应用防护系统，形成web应用防护资源池，vPC租户一旦web，则可以向按需申请使用web防护服务。以接口的方式在vPC租户的展示web应用防护日志。通过相关配置来将指定用户流量牵引到WAF集群上，通过对所有Web流量进行深度检测(支持HTTP/S的双向深度分析),实施抵御各类,包括SQL注入、命令注入、注入、、跨站(XSS)、敏感信息、挂马、代码、错误配置、隐藏字段、会话劫持、参数篡改、缓冲区溢出、强制、应用层服务、其他变形的应用。并且还具备自学习建模功能,学习Web应用的典型特征生成白模型,能有效地实现微秒级正常的转发,提高处理性能,不影响正常业务进行,还能发现未知实现0day的。vPC内的用户可以单独部署web应用防护系统，对自己的web业务系统提供专有的安全防护。通过修改DNS解释将WWW、BBS等指向厂商提供的云抗其它直接指向vPC内的虚 通过NAT回源到云WAF企业版的 WEBWAF vIDC租户安全宝W资

WAFWAF10万家以上的WEB防护用户，这样才能在第一时间了解互联网安全，进行有效验证规则后同步给私有云用户，保证用户的数据安全。云WAF防护系统需要能够精准地识别的行为保障用户资源的安全性防御示意图如下SQL注入、XSS防SQL注入利用Web应用程序不对输入数据进行检查过滤的缺陷，将SQL命令注入到数据库引擎执行达到偷取数据甚至控制数据库服务器目的指者往Web页面里HTML代码当受害者浏览该Web页面时，嵌入其中的HTML代码会被受害者Web客户端执行，达到目的。Web扫描防云WAF防护系统要具有识别防御扫描的能力，能通过周期性的识别访问源IP，来判断是人工还是扫描。通过云WAF防护系统的流量及日志发现Web安全防Web服务器存在的主要包括物理路径，CGI源代码，遍历，执行任意命令，缓冲区溢出，服务，条件竞争等Web服务器。云WAF防护系统需要基于规则匹配方式过滤代码，对用户提交的URL、查询关键字、HTTP头、盗链防益。早期，盗链一般是比较小的盗取有实力的大盗链、音频盗链、盗链、文件盗链。云WAF防护系统要具有通过Web应来查看来源和信息是否合法来判断是否发生了盗链。使用方法。就是在显示“”的页面里产生一个动态值的，然后在处理资源请求时先判断里有没有正确的如果没有则返回错误提示信息。文件控文件控制是针对于服务器上的敏感文件（如数据库文件.mdb）等进行控制，如执行，等，防止敏感文件泄漏。云WAF防护系统要具有服务器配置文件页面控制，修改服务器的配置文件，①具有合法权限的用户才可以运行Web服务器；②通过某个IP地址、IP地址段或者某个域来控制，未被允许的IP地址、IP地址段或某个域发出来的请求将被；③通过用户名／口令来控制，只有输入网页挂马防帐号和。Web服务器一旦成为网页木马的“傀儡”，将会严重影响WAF应用程序防云WAF防护系统可以有效对应用程序进行及防护。防护应用程包括：DedeCMS、PhpCMS、Nginx的Fastcgi/PHP、DiscuzVulnerability、Struts2.0框架 附件 选型指标及数新华数*2)2（互联网接入37（，整体集群部署预计防10G/40G流量1台作为备机Web6（http防（1for+1forvm+X1（审计安全日志1（数据库2（双机部署防止单点故障112Web技术要1，技术指≥8（竖插槽、利于散热系统可靠电源M+N电源数量所有交换引擎必须为独立形态（非主控集成占用的硬独立交换引擎N+1冗余吞吐量虚拟数≥1536GRE隧道性能支持100G、40G、10G、GE每槽位支持的100G接口每槽位支持的40G接口通过一个串口/IP即可进行设备管理在管理界面上能设备集群后能完全作为1台设备来配置管理；虚拟防火支持将1墙IP、VLAN、VRF资源虚拟可以按需启动、停止，设备上可以查看到虚拟防支持1个物理接口可以同时属于不同的虚拟每单板虚拟≥256个增加业务板能增加系统虚拟防火NAT支持源地址NAT目的地址NAT(natserver)；支持静态NAT；支持FullconeNAT：EIM,EIF支持NATHairpin；支持双向支持NAT444用户日志支持设置端口块分配和回收日志、支持支持NATALG： 、、p/rsh/xdmcp/dns/imcp-error/IPSticky/IP支持Easy支持NAT每个接口下可以配置NAToutbound≥2048每个接口下可以配置的NATserver≥2048系统支持的NatOutbound≥4096系统支持的Nat系统支持NAT444端口块数目≥1506to4、IPv6overIPv4ISATAP、DS-LITEAFTRNAT64、DNS64、支持1:1支持N:N支持IPv4IPv6BGPRIPv2OSPF、ISIS等动态IPv4路由协议，支持BGP4+、OSPFv3、等动态IPv6支持拥塞管理：FIFO、PQ、CQ、支持拥塞避免设备安全支持基于标准、扩展的ACL支持OSPF、RIPv2及BGPv4报文的明文及MD5支持命令行采用分级保护方式，防止未用户的侵入，为支持OSPF/IS-IS/BGP/BGP4+热补丁功能，可进行补丁升级支持BFDforVRRP/OSPF、支持链路聚员支持10支持基于命令、特性、web支持对外接口：CLI、Netconf、SNMPMIB、支持独立审计平厂商必须通过CMMI4所有安全业务板均需具备IPv6Ready第二阶段金色认证主机及安全业务板卡均具备《计算机信息系统安全品销售证在本地有，提供相关证7×242采用多核硬件架构，非X86架构，提供CPU型号供货时查硬件配置固定接口≥12，≥12448，10产品性能整机吞吐量≥15G，并发连接数≥1600，420秒，760支持包括轮询轮询最小连接最小连接源地址HashHashHash支持基于HttpAccept-EncodingHttpHostHttpRequest-MethodHttpURL-FileHttpURL-FunctionUser-Agent、RTSPURL支持基于源地址、源地址端口、目的地址、目的地址端口、URL、Http、SSLID、SIPCall-ID、RadiusFrameIP、RadiusUsername应用优化TCPSSL10000TPSHTTP\TCP\IP链路负载均衡功能支持支持包括轮询、轮询、最小连接、最小连接、源地Web（HTTP支持标准SNMPV3，并且兼容SNMPV2、SNMP网络协议设备支持各种路由协议，包括静态路由、策略路由、BGP、RIPOSPFVlan，802.1q802.3adARPACL，ACLACLNAT，NATNAT1（NPATAPI二次API3，流 系统技术要DDoS适境环支持单位服务器环支持多IP、多集中管40GDDoS该系统可根据情况，将被DDoS通过CNAME抗防御流量型flood：SYNFlood、SYN-ACKFloodACKFlood、FIN/RSTFlood、ICMPFlood、UDPFlood、IPFragmentFlood、Streamflood防御应用型flood：DNSQueryFlood、DNSFlood、SIPFlood、ConnectionFlood、HTTPSFloodHTTPGetFlood、HTTPPostFlood、CC性针对采用https协议的私钥，保障的的QPS可自定义，保系统可全面记录数据及日志，并能够进行数据统计IP7*244，web平Web专有操作系统，可支持通用服务器//VM方式署，适应自建机房/IDC/境具备基于机器学习的云端大数据分析引擎，且训练引擎的日志数不少于40亿条实际请求样HMM特征自动捕获，实现的发现并同步更新dns根据情况，将被调度到抗DDoS中心。提供7*24*365小时运维平台，响应，针对用户网站、情况，系统的进行智能分析自动进行防护，解决用户安全问题，同时可通过查看可视化报护httphttphttp（sqlhttpWeb、HTTPS(SSL)和XML防SQL注入、SQL跨站(XSS)防已知蠕虫Web防护CC支持自定义与白支持自定义来网页include注入防PDF阅读器跨站防跨站请求(CSRF)防Hacking文件注入防CMS开源程序的应用防支持防盗防等常见网络防护防护特洛伊木马、缓冲区溢出等防云端、、集中管AA5，标独立完成审计日志，不依赖于设备或系统自身的日志系统；审计结果于独立空间；提供全中文WEB管理界面，无需安装任意客户端或插500EPS：8000EPS；EPS：25000EPS单机时平均处理能力（EPS：4000EPS；EPS：10000EPS支持Syslog、、OPSec、FTP协议日志收集支持使用(Agent)方式提取日志并收集；支持目前主流的设备、交换设备、路由设备、操作系统、微软，绿盟，阿帕奇，WINDOWS系统日志，Linux/UNIXsyslog、IIS、Apache器时，可以通过本系统的日志转发功能将日志转发到其他日志可对日志进行细粒度解析，解析后的日志根据具体日志包含但不限值、源地址、目的地址、事件类型、时间范围、操作主体、操作对象、行为方式、技术动作、技术效果、类型、特征类型、协议、地理信息（公网情况）内置的关联分析算法和规则可以发现50多种常见安全支持根据资产价值、资产、针对的事件三者进行的自动关联分析（三维关联，所有的三维关联算法和准则以CVE、Bugtraq、OWASP份FTP支持日志文件备份到设备支持B/S模式管理，支持SSL加密模式支持按日期、时间、设备类型、日志类型、日志来源、值、源术动作、技术效果、类型、地理城市等参数进行过滤查询；支持将查询的条件为查询模版，方便再次使用100010001100010003110003能支持如下应用的性能（Windows、Linux、Aix、FeeBSD、Solarisoracletomcat（apache支持如下性能参数支持Windows操作系统如下参数：cpu使用率、内存使用率支持Linux操作系统如下参数：一分钟系统负载、5分钟系统支持Mysql如下参数：查询缓存、键缓存、立即支持Oracle如下参数：库缓存、内存排序比率、词典缓存、SGA数据缓存、重做日志缓存；线程数、空闲线程数、CPU堆内存（已用支持从IBMRationalAppScan导入资产弱点信息支持从安恒明鉴Web应用监测工具导入弱点信息支持从安恒明鉴数据库弱点扫描器导入数据库弱点信息支持从NetSparkerWeb应