XX政务云安全风险分析和解决方案设计

第页XX政务云

安全风险分析和解决方案设计阿里云计算有限公司2014年10月目录TOC\o"2-3"\h\z\t"标题1,1"第1章 概述 41.1 项目背景 41.2 安全工作目标及范围 41.3 云安全方案特点 51.4 方案导读 5第2章 XX政务云安全需求总结 6第3章 XX政务云安全风险分析 83.1 XX政务云安全风险分析目的和内容 83.2 XX政务云平台面临的安全威胁 83.3 XX政务云风险防范措施分析 113.3.1 政务业务系统可用性安全保障 113.3.2 政务客户信息保密性安全保障 123.3.3 政务客户服务器入侵安全防范 123.3.4 政务云平台安全保障 13第4章 XX政务云云安全体系设计 174.1 XX政务云安全体系总体设计 184.2 物理安全 184.3 网络安全 204.4 云平台安全 214.5 主机安全 224.6 应用安全 224.7 数据安全 23第5章 XX政务云云安全解决方案 255.1 云安全服务 255.1.1 系统部署 255.1.2 DDoS防护 265.1.3 网络入侵防护 265.1.4 Web应用防火墙 275.1.5 主机入侵防护 275.1.6 数据库防火墙 275.1.7 安全体检 275.1.8 大数据分析 285.1.9 总结 285.2 云产品安全 315.2.1 网络安全隔离 315.2.2 ECS服务安全防护 315.2.3 VPC服务安全防护 335.2.4 RDS服务安全防护 345.2.5 OSS服务安全防护 355.2.6 云产品可配置安全特性 365.3 云端应用安全 385.3.1 云端应用开发 385.3.2 云端应用部署 385.3.3 云端应用运维 395.4 XX政务云对内和对外业务安全隔离 405.4.1 安全隔离方案 405.4.2 不同安全域数据安全交换方案 415.5 XX政务云与电子政务外网互联安全 435.5.1 安全原则 435.5.2 网络访问控制 445.6 XX政务云安全运维 445.6.1 XX政务云运维框架 445.6.2 阿里云安全运维 465.6.3 运维专线安全方案 49第6章 附录 536.1 等级保护三级合规对照 536.2 阿里云VPC安全隔离有效性说明 626.2.1 概述 626.2.2 VPC安全隔离原理 636.2.3 安全测试 676.2.4 结论 68概述项目背景信息安全是保护XX电子政务发展的重要组成部分，XX政府非常重视政务云信息安全的建设。本文将根据政务系统信息安全风险分析和安全需求总结的结果，设计相对应的信息安全措施，制定全面、有效的政务云IT基础架构安全体系和针对性的安全解决方案，从而控制XX政务云信息安全风险，保证XX政务业务系统可靠、稳定、安全地运营。在本次XX政务云安全风险评估和解决方案设计过程中，将遵循国家信息安全等级保护基本要求，进行安全体系的总体规划，其中包括物理安全、网络安全、主机安全、云平台安全、应用安全、数据安全等内容，并结合政务云网络架构和政务云运维，设计具体的的政务云安全解决方案。安全工作目标及范围本次XX政务云安全风险分析和解决方案设计，需要满足XX政务云当前和长期的安全性需求，需要为XX政务信息化建设的IT基础架构提供安全技术保障，保护XX政务系统信息资产的安全。政务云安全工作目标和范围包括：1、总结XX政务云的安全建设需求；2、对XX政务云面临的安全风险进行评估：进行风险识别，识别出系统安全性威胁、影响、可能性；根据风险分析，结合业务安全需求、IT支持能力、国家等级保护要求，制定安全技术保障措施。3、制定全面、有效的XX政务云安全防护体系和政务云安全解决方案：根据政务云安全需求，制定政务云安全体系架构；选择需要的安全技术、产品，确定XX政务云安全解决方案。云安全方案特点XX政务云在进行安全风险分析和安全方案设计中，充分考虑到云计算的虚拟化、多租户、云计算资源池共享、计算资源弹性扩展等特性。在整个安全方案中将充分体现XX政务云安全体系的完整性，安全解决方案的符合性和针对性：完整性：XX政务云安全体系全面覆盖XX政务系统的IT基础架构；符合性：XX政务云安全解决方案设计，严格遵守国家信息安全等级保护标准要求，保证XX政务云云安全的符合性；针对性：对政务云建设关心的安全各方面内容制定详细解决方案。方案导读文档包括6个章节的内容：第1章，对文档内容进行概要描述；第2章，进行XX政务云信息安全需求总结；第3章，对XX政务云安全风险状况进行分析；第4章，设计XX政务云安全体系；第5章，设计XX政务云具体安全建设解决方案；第6章，进行国家信息安全等级保护三级对标。XX政务云安全需求总结根据前期与政务客户进行的安全需求沟通，总结政务客户一般关注以下几方面安全问题：（一）防范来自互联网的分布式拒绝服务（DDoS）攻击一旦政务云公共服务网遭受DDoS攻击，导致网站不可用，很容易造成一定程度的社会影响。近年来，在全世界范围内已经有越来越多的针对政府部门的DDoS攻击，而随着XX政务云公共服务网上应用不断增多，XX政务云公共服务网将面临的这种威胁也越来越大。（二）防范来自互联网应用入侵根据CNCERT发布的《2013年中国互联网网络安全报告》：（5）政府网站面临威胁依然严重，地方政府网站成为“重灾区”。政府网站因其公信力高、影响力大，容易成为黑客攻击目标。2013年，我国政府网站被篡改和植入后门的情况依然严重，相对部委网站而言，地方政府网站是遭受攻击的“重灾区”，影响政府形象及电子政务工作。篡改网站的主要途径有以下两种：1、利用Web安全漏洞写入Webshell后门；2、通过破解主机管理账户密码实现入侵。做好XX政务云公共服务网应用安全防护，防止密码暴力破解和Web安全漏洞成为XX政务云公共服务网面临的一大挑战。（三）防范政务敏感数据被泄露现有XX政务外网系统虽然不包含涉密信息，但包含大量的敏感信息，这些敏感信息一旦外泄，有可能影响政府形象，泄露公民隐私，造成业务损失，所以怎样防范XX政务业务系统敏感数据的外泄是XX政务云建设过程中，需要重点考虑的。（四）保证政务云系统的高可用性XX政务业务系统的稳定，直接关系到公务员日常办公和对外公共服务的质量，所以系统的高可用性非常重要。需要从IT基础架构角度，保证政务云网络的高可用，服务器资源的高可用和存储数据的高可用。（五）保证云平台自身的安全性由于XX政务云系统采用了云计算技术，由第三方提供IT基础架构的云服务，多政务租户共享云计算资源，这些和传统政务IT基础架构安全差异较大。所以云平台的身份管理、权限管理，计算资源的隔离，虚拟机安全性就成为此次XX政务云安全建设的关注要点。（六）构建政务云安全纵深防护体系首先，当前政务行业正面临从职能管理向民生服务方面转变，而伴随大量面向民生的公共信息在互联网上被披露，安全方面不但要保证公共信息访问的高可用，更要防范隐藏在海量互联网访问过程中的网络攻击和黑客入侵行为。其次，云计算技术的应用使得传统的安全防护体系遭遇网络边界模糊、安全防护扁平化等挑战，但考虑到XX政务云的高安全性要求，本方案不但将在云端构建包含数据、应用、主机、云平台、网络、物理各个层次的安全体系，更针对隐藏在海量互联网访问中的网络攻击和黑客入侵行为采用业界领先的大数据分析实现XX政务云的纵深防御。XX政务云安全风险分析XX政务云安全风险分析目的和内容政务云安全风险分析目的是通过安全威胁、影响、可能性分析，给出XX政务云面临的信息安全风险状况，选择合理的安全措施，指导安全体系架构和安全解决方案的设计。风险分析内容包括：分析XX政务云可能面临的安全威胁；分析影响和发生的可能性；对比传统IT架构采用的安全措施和云平台安全措施的区别；进行综合风险分析和提供安全防范措施。XX政务云平台面临的安全威胁根据前期对于XX政务业务系统的安全需求调研和总结，归纳出XX政务云可能面临四大类主要安全威胁：部署在政务云上的业务系统不可用（可用性）；部署在政务云上的业务信息的泄露（保密性）；部署在政务云上的应用系统主机被入侵（保密性和完整性）；云平台自身系统的安全问题。针对此四大类安全威胁，阿里云经过仔细分析，细化出19类安全威胁（仅涉及IT基础架构部分的安全），总结可能发生的业务场景，并对每项威胁做影响和可能性分析。云平台上面临的威胁分类风险场景描述影响可能性风险等级政务业务系统可用性（可用性）突发业务流量高峰(T1)因社会热点舆论、重要政策文件下发造成网站的业务流量突发峰值，造成服务器处理能力下降。大中高风险DDoS攻击(T2)攻击者对面向互联网的政务业务系统进行DDoS攻击，造成用户业务不可使用。大高高风险存储介质故障(T3)政务业务采用大量X86服务器，服务器集群内磁盘故障几率较大，磁盘故障影响政务业务数据完整性和可用性。大中高风险客户信息保密性剩余信息保护(T4)政务应用系统下线后内存、磁盘等存储资源未清空，被其他应用重用时出现信息泄漏。大低中等风险业务数据被外部用户窃取(T5)外部用户通过黑客入侵、SQL注入攻击或者数据库权限管理不完善的漏洞获取政务业务系统数据。很大低高风险系统快照被窃取(T6)为实现政务系统快速部署和保存系统数据，会采用虚拟化技术保存系统快照。但系统快照保存主机上的生产数据，快照如被窃取，将导致主机存储的数据保密性被破坏。大很低中等风险客户服务器入侵网站入侵(T7)攻击者对云端网站进行入侵。大高高风险密码暴力破解(T8)攻击者对政务系统进行口令暴力破解大很高高风险政务网站存在漏洞被入侵(T9)攻击者利用漏洞入侵网站后上传网站后门。大很高高风险黑客扫描(T10)攻击者利用扫描、手工渗透等方式发现网站存在的漏洞。大高高风险政务应用系统端口开放管理不严(T11)管理员误操作或安全意识薄弱，导致云端系统开放不必要的远程管理端口或其他服务端口。中中中等风险僵尸网络(T12)云主机被攻击者入侵并控制，组建僵尸网络，对云平台其他机器或平台外开展入侵、DDoS攻击，或发送垃圾邮件、广告，或开展挖坑等非法牟利行为，导致云资源被滥用。很大高高风险云平台安全性云平台组件缺乏认证机制(T13)云计算平台因系统由多个组件构成，组件之间通讯缺乏认证机制导致组件通讯可以被劫持或伪造。很大很低中等风险云平台管理权限被非法获取(T14)云平台管理权限被非法获取后，可以控制整个云平台的资源。很大很低中等风险API认证不严(T15)云平台提供API接口，但因认证不严格导致被非法调用，导致云资源被非法控制。大低中等风险云资源的安全隔离(T16)云资源因隔离机制不完善导致云平台内资源被其他租户非法访问。大很低中等风险云主机镜像被篡改(T17)云主机的实例生产镜像被植入木马或后门，导致镜像生产的实例都被木马后门控制。很大很低中等风险宿主机故障(T18)云主机所在宿主机故障，影响宿主机业务连续性。中中中等风险虚拟机逃逸(T19)黑客通过虚拟平台漏洞逃逸到云主机的宿主机，对其他云主机进行攻击。大很低中等风险表格SEQ表格\*ARABIC1政务云安全风险分析表对XX政务云可能面临的安全威胁，安全影响和可能性，进行半定量分析，评估安全威胁可能导致的风险大小。并将风险等级通过安全风险分析网格进行展示说明。以下为安全风险分析网格，定义XX政务云安全风险级别：图SEQ图\*ARABIC1XX政务云安全风险分析网格图从安全风险分析网格表中可以看出：第一类、业务系统可用性风险T1，T2，T3和第三类、客户服务器被入侵风险T7，T8，T9，T10，T11，T12的绝大部分风险都属于高风险，需要重点关注，也需要特别加强安全防护。第四类、云平台安全性风险T13,T14，T15，T16，T17，T18，T19都属于中等风险，虽然有些危险影响很大（比如T12，T13，T17），但是由于云平台采取了必要的安全控制措施，发生的概率很小，所以风险等级中。第二类、客户信息保密性风险，T4，T5，T6，属于中高风险，特别对于T5业务数据被外部用户窃取属于高风险，需要有效的安全防御措施。通过以上半定量的风险等级分析，阿里云清楚地了解XX政务云在IT基础架构方面面临的主要安全风险，并针对风险采取积极的安全防范措施。XX政务云风险防范措施分析从政务云安全风险分析表格来看，针对高风险领域的威胁，阿里云需采取积极的安全防御措施，同时对中风险领域的云平台安全性威胁也需要采取有效的技术措施进行保护，才来保证XX政务云的安全。而面对同样安全风险，如果采用传统IT架构安全手段，将在安全防护效果和安全运维能力上都遇到较大的挑战。下文将对XX政务云计划采取的安全风险防范措施进行说明，并进行云计算和传统IT架构安全防范措施的简要对比分析。政务业务系统可用性安全保障1、阿里云针对突发业务流量高峰，提供SLB负载均衡服务，利用云计算弹性扩展能力，实现业务IT基础架构的横向扩展，满足业务流量峰值处理能力的要求。而传统IT架构解决方法，仅保证系统设计峰值处理能力，超出峰值流量，将无法提供服务。（服务器可用性）2、阿里云针对DDoS攻击威胁，采用阿里云盾DDoS防御系统，可以根据合同协议要求，弹性的扩展防御能力。而传统IT架构解决方法是购买防DDoS攻击的硬件设备，但当攻击流量大于防DDoS攻击硬件性能时，政务服务不可用。（网络可用性）3、阿里云针对存储介质故障，采用盘古分布式存储系统，默认数据存在三份副本，并且具有副本的校验机制，确保底层存储介质的损坏不影响云资源的数据完整性和可用性。而传统IT架构解决方法是购买昂贵的高端存储设备，通过冗余设计来保证数据存储的安全，但这种方式成本高，系统扩展能力差。（存储可用性）政务客户信息保密性安全保障1、阿里云针对系统平台剩余信息泄露威胁，在应用系统下线，云资源存储释放后，进行自动逻辑清零。同时采取磁盘物理消磁，防范数据被带出机房。而传统IT架构解决方法是，在应用系统下线后，手工进行磁盘格式化，进行数据清除，同时实施严格的物理磁盘进出机房管理，但客户管理工作量大，对运维要求高。2、阿里云针对政务系统业务数据可能存在被外部用户窃取的威胁，采取以下安全防范措施：在云服务RDS数据库上，用户可以设置白名单，仅允许指定服务器访问用户的RDS服务；所有对RDS的访问都必须经过RDSProxy，RDSProxy上部署了数据库防火墙模块，提供防护功能；通过数据库自身的实例隔离机制进行多用户隔离，用户仅有数据库实例权限，没有数据库root/sa权限。而传统IT架构解决方法是，采购外部数据库防火墙，配置数据库访问列表，这些存在需另购安全设备，甲方运维管理能力要求高等问题。3、阿里云针对系统快照被窃取的威胁，采取系统快照身份标签方式，进行严格的访问控制。系统快照必须由云平台进行调用，并且严格认证调用的来源是否属于资源所对应的用户。而传统的IT架构不对系统进行镜像快照，不保存系统数据。政务客户服务器入侵安全防范1、阿里云针对政务网站被入侵的可能，采用自主研发的，经过天猫、淘宝多年实战验证过的的云盾安全防御系统，对XX政务云的互联网公共服务提供多层次、纵深安全保护。而传统IT架构解决方法一般是采用物理防火墙方式，对网站进行保护，但防火墙策略不能做到实时更新，且防护措施仅限于边界，一旦攻破，内部将没有防御能力。2、阿里云针对政府网站系统密码被暴力破解的威胁，通过云盾主机入侵防御系统——口令防暴破模块来实现口令破解检测和防御。而传统IT架构解决方法是被动的加强主机系统口令管理，实施严格口令策略，这种方式有可能因为一时管理不到位，导致系统有弱口令，最终密码被暴力破解。3、阿里云针对政务网站存在漏洞被入侵的威胁，定期进行网站漏洞扫描，一旦发现网站漏洞和弱点将及时通知用户进行修复。对已经入侵后，黑客植入的网站后门webshell的情况，通过云盾主机入侵防御系统——Webshell检测模块来检。而传统IT架构解决方法是进行补丁管理，修补漏洞，存在因管理不及时，未知最新漏洞没有及时打补丁的状况。不能及时发现黑客所留网站后门webshell。4、阿里云针对黑客扫描的威胁采用多层次的云盾安全防御系统，防范黑客扫描威胁，包括网络流量分析和阻断，应用防火墙等手段。而传统IT架构解决方法是仅采用IPS入侵防御系统进行阻断，如果出现政务客户自己IPS策略配置不当，将不能有效阻断黑客扫描。5、阿里云针对政务应用系统端口开放管理不严，容易被黑客利用高危端口入侵的威胁，采用云盾安全体检方式，定期端口检测，发现高危端口的开放并提出告警。而传统IT架构解决方式是加强人工管理，但这种方式会可能因安全管理不完善，导致高危端口的开放。6、阿里云针对主机系统可能存在僵尸网络的威胁，通过大数据分析技术，实时检测云资源的非法使用行为，并向管理员提供告警。而传统IT架构除了客户加强主机口令管理和主机补丁管理，一般没有采用更积极的技术防护手段。政务云平台安全保障1、阿里云为了保障云平台各应用组件之间通讯安全性，在云平台的各组件之间实现AK(AccessKeyID和AccessKeySecret)认证。2、阿里云为了防范云平台管理权限被非法获取，从运营管理机制上进行防范，要求生产运维必须从管控区发起，并且必须经过精确到人员和命令级的审计，且对人员的身份鉴别实施双因素认证机制。3、阿里云为了防范API（为了便于用户使用云服务，云平台提供管理API）调用过程威胁，实行API调用需验证AccessID和AccessKey的认证机制。4、阿里云为了实现政务云资源的安全隔离，通过虚拟化平台实现CPU和内存的隔离，安全组实现网络层（OSI第3层）隔离，VPC实现数据链路层隔离（OSI第2层）。5、阿里云为了防范云主机镜像被篡改，在虚拟化平台对生产镜像进行校验，未通过校验的镜像无法应用于生产实例。6、阿里云为了防范宿主机故障而导致的业务中断，将云主机部署在分布式操作系统上，底层数据存储部署在分布式存储上，默认有3份副本。当宿主机故障发生时，不影响数据完整性和可用性，云主机可以在大二层网络的集群内实现快速迁移，上层应用实现应用级冗余时，不影响业务连续性。7、阿里云为了防范虚拟机逃逸威胁，在集群底层物理机部署了提权检测和告警系统，一旦出现虚拟机逃逸，将检测并告警。对XX政务云平台采取的安全措施进行分析，并与传统IT架构解决方法做了比较，总结以上分析结果，给出以下对比分析表格。云平台上面临的威胁分类风险等级阿里云平台安全措施传统IT架构解决方法传统IT机构解决方法的不足政务业务系统可用性（可用性）突发业务流量高峰(T1)高风险SLB服务提供4-7层负载均衡。

云服务器随用随起，云计算架构天然具备弹性可扩展特性。仅保证系统设计峰值的系统可用性超过设计峰值流量，无法提供服务DDoS攻击(T2)高风险采用阿里云盾DDoS防御系统，可根据合同协议要求，弹性扩展防御性能。购买防DDoS攻击一定流量的硬件设备攻击流量大于防DDoS攻击硬件性能，政务服务不可用存储介质故障(T3)高风险阿里云平台的存储采用盘古分布式存储系统，默认数据存在三份副本，并且具有副本的校验机制，确保底层存储介质的损坏不影响云资源的数据完整性和可用性。购买高端存储设备，采取冗余设计价格昂贵，维护成本高，系统扩展能力差。客户信息保密性剩余信息保护(T4)中等风险阿里云平台在云资源存储释放后进行逻辑清零。采取磁盘物理消磁，防范数据被带出机房。应用系统下线后，进行磁盘格式化，实施严格的物理磁盘进出机房管理对运维管理能力要求高业务数据被外部用户窃取(T5)高风险RDS用户可以设置白名单，仅允许指定服务器访问用户的RDS服务；所有对RDS的访问都必须经过RDSProxy，RDSProxy上部署了数据库防火墙模块，提供防护功能；通过数据库自身的实例隔离机制进行多用户隔离，用户仅有数据库实例权限，没有数据库root/sa权限。部署数据库防火墙，配置数据库访问列表对数据库运维管理能力要求高，还需要另外购置数据库防火墙设备。系统快照被窃取(T6)中等风险云主机的快照和云主机一样打上身份标签，并具备严格的访问控制机制，必须由云平台进行调用，并且严格认证调用的来源是否属于资源所对应的用户。不对系统进行镜像快照不能实现业务快速部署，不能保存系统数据客户服务器入侵网站入侵(T7)高风险多层次的云盾安全防御系统，包括网络流量分析，应用防火墙，主机入侵防御。防火墙防护防火墙策略不能做到实时更新。且防护措施仅限于边界，一旦攻破，内部将没有防御能力。密码暴力破解(T8)高风险通过云盾主机入侵防御系统——口令防暴破模块来实现口令破解检测和防御加强口令管理，实施严格口令策略管理不到位有可能导致弱口令政务网站存在漏洞被入侵(T9)高风险定期进行网站漏洞扫描，通知用户进行修复。对入侵后黑客植入的网站后门，通过云盾主机入侵防御系统——Webshell检测模块来检测。进行补丁管理，修补漏洞管理不到位，有可能未知最新漏洞，没有及时打补丁。不能及时发现网站后门webshell黑客扫描(T10)高风险多层次的云盾安全防御系统，包括网络流量分析和阻断，应用防火墙。IPS防护，阻断扫描IPS策略配置不当，不能阻断扫描政务应用系统端口开放管理不严(T11)中等风险云盾安全体检，端口检测服务能发现高危端口的开放并提出告警。人工加强管理安全管理不完善，导致开放高危端口僵尸网络(T12)高风险阿里云安全防御体系通过大数据分析技术，能检测云资源的非法使用行为，向管理员提供告警。除了客户加强主机口令管理，和主机补丁管理，没有采用更好的技术手段防护。传统IDC物理机器托管，存在20%-30%的主机被入侵，变成肉鸡。云平台安全性云平台组件缺乏认证机制(T13)中等风险阿里云平台的组件之间有认证机制。传统IT架构不存在云平台的管理云平台管理权限被非法获取(T14)中等风险阿里云平台生产运维必须从管控区发起，并且必须经过精确到人员和命令级的审计，对人员的身份鉴别实施双因素认证机制。传统IT架构不存在云平台的管理API认证不严(T15)中等风险阿里云API调用验证AccessID和AccessKey。传统IT架构不提供云平台管理API云资源的安全隔离(T16)中等风险云平台的身份认证机制实现云资源用户级隔离，虚拟化平台实现CPU和内存的隔离，安全组实现网络层（OSI第3层）隔离，VPC实现数据链路层隔离（OSI第2层）。传统IT架构通过物理主机和防火墙划分安全域，来实现隔离。云主机镜像被篡改(T17)中等风险阿里云虚拟化平台对生产镜像具有校验机制，未通过校验的镜像无法生产实例。传统IT架构由系统管理员安装操作系统，而不是采用镜像方式。宿主机故障(T18)中等风险云主机部署在分布式操作系统上，底层数据存储部署在分布式存储上，默认有3份副本，宿主机故障发生时，不影响数据完整性和可用性，云主机可以在大二层网络的集群内实现快速迁移，上层应用实现应用级冗余时，不影响业务连续性。传统IT架构，采用高端的小型机或者大机，通过提升硬件的可用性来保障整个系统的业务连续性。虚拟机逃逸(T19)中等风险集群底层物理机部署了提权检测和告警系统。传统IT机构采用物理主机表格SEQ表格\*ARABIC2政务云安全风险防范措施对比分析表XX政务云云安全体系设计基于以上XX政务云信息安全需求的总结、安全风险的分析、安全措施的实现，参考国家等级保护要求，进行XX政务云安全体系架构设计。XX政务云系统的总体技术架构如下图所示：由上图可见，XX政务云系统安全是一个整体，需要做好物理层、云平台层以及云端应用系统层所有层面的安全防护，同时使用阿里云云盾防范来自互联网的攻击，才能提供一个安全纵深防护体系。物理层包括数据中心基础设施以及各种物理设备，如服务器、网络设备和安全设备。云平台包括物理服务器上的操作系统、飞天大规模分布式计算系统及其上架构的各种云产品，如云服务器（ECS）、云数据库（RDS）、云存储（OSS）。云平台软件由阿里云开发、交付并运维。云产品提供丰富的安全特性，以更好地保护云端应用系统的安全。云端应用系统是架构在云平台之上的业务系统，使用一种或多种云产品来构建，由ISV开发并交付。阿里云云盾由一系列云安全服务组成，针对来自互联网的攻击进行防护。XX政务云安全体系总体设计阿里云基于阿里巴巴集团十年攻防技术积累，为政务客户提供多层次、立体化、基于不同安全技术实现的网络安全纵深防御体系，其总体架构如下图所示：基于这样一个云计算安全架构，同时根据XX电子政务信息系统安全需求特点和风险状况，我们从物理安全、网络安全、云平台安全、主机安全、应用安全，数据安全六个层面，进行XX政务云的安全体系架构设计。物理安全政务云数据中心包含以下标准的物理安全控制要求：1）数据中心各线上设备区域系统、各核心骨干区域系统、各动力区域系统、各仓储系统、各报警监控系统的访问均需使用定制的电子卡，且电子卡由数据中心专门物业保管，特定授权需求方按需求领取归还，并配备紧急电子卡以备不时之需（如常规电子卡遗失），一旦发生遗失情况立即申请电子卡管理系统进行权限注销；2）数据中心的物理设备（包括其对应的各种组件），配件耗材的安置或存放区域必须要与所有办公区域和公共区域隔离（如办公室或大堂）；3）数据中心所有专属的所有物理设备、设备配件、网络耗材，以及设备厂商的维修设备、配件、耗材等进出数据中心，必须由XX政府内部授权人员发送盖有专人保管印章的设备进出单传真，数据中心现场核实无误后方可允许设备、配件、耗材等的进出；4）仓储系统中的重要配件，如核心网络设备的网络模块，精密存储介质等，由仓储系统中的专门电子加密保险箱存放，且由专人进行保险箱的开关；5）仓储系统中的任何配件，必须由授权工单和授权人员方能领取，且领取必须在仓储管理系统中进行登记记录，XX政府专人定期对所有仓储系统物资进行综合盘点追踪；6）数据中心内部的每个区域，或外部走廊区域，或仓库门口区域，都使用了摄像机，物业保安7x24小时分段巡逻，并对所有基础设施进行7x24小时集中视频监控；7）采用全方位电子摄像机对XX政务云的基础设施内外部区域进行视频监控，对设施区域中的其他系统进行检测（如动力和制冷）和监控跟踪入侵者；8）所有人员活动记录电子保存（长期），所有视频记录被保存（3个月），以备后期审计，同时提供额外的安全控制措施，如：特定区域采用铁笼隔离，掌纹识别技术；9）只允许具备长期授权名单内的内部人员（实时更新），或审批通过的其他人员，以及授权认可的第三方固定人员名单内的人员（每月更新）进入数据中心，且非长期授权人员再以核实需求工单真实性的形式进行二次审核，准确无误后方可进入；10）非长期授权，非固定人员授权名单内的人员访问，必须要求XX政务云内部需求方在流程系统上提交需求，由各层级主管提前审批通过后，方可同意其访问想要访问的内部特殊区域，并由对应数据中心的驻场人员全程指导陪同。XX政务云不定期对访问数据中心的人员登记情况进行审计，严格控制非授权人员访问数据中心。政务云平台采用一系列措施来保障运行环境安全：1）电力：为保障XX政务云业务7*24持续运行，XX政务云数据中心采用冗余的电力系统（交流和高压直流），主电源和备用电源具备相同的供电能力，且主电源发生故障后（如：电压不足、断电、过压、或电压抖动），会由柴油发电机和带有冗余机制的电池组对设备进行供电，保障数据中心在一段时间的持续运行能力，这是XX政务云数据中心一个关键的组成部分。2）气候和温度：XX政务云数据中心采用空调（新风系统冷却或水冷系统冷却）保障服务器或其他设备在一个恒温的环境下运行，并对数据中心的温湿度进行精密电子监控，一旦发生告警立即采取对应措施。并且，设备冷风区域进行了冷风通道密闭，充分提高制冷效率，绿色节能。空调机组均采用N+1的热备冗余模式（部分数据中心采用N+2的冷、热双重冗余模式），空调配电柜采用不同的双路电源模式，以应对其中一路市电电源发生故障后空调能正常接收供电。且在双路市电电源发生故障后，由柴油发电系统提供紧急电源，减少服务中断性的可能，以防止设备过热。3）火灾检测及消防：自动火灾检测和灭火设备防止破坏计算机硬件。火灾探测系统的传感器位于数据中心的天花板和底板下面，利用热、烟雾和水传感器实现。在火灾或烟雾事件触发时，在着火区提供声光报警。在整个数据中心，也安装手动灭火器。数据中心接受火灾预防及灭火演练培训，包括如何使用灭火器。网络安全（一）网络访问控制XX政务云采用了多层防御，以帮助保护网络边界面临的外部攻击。在云网络中，只允许被授权的服务和协议传输，未经授权的数据包将被自动丢弃。云网络安全策略包括以下内容：（1）控制网络流量和边界，使用ACL技术对网络进行隔离；（2）网络防火墙和ACL策略的管理包括变更管理、同行审计和自动测试；（3）通过自定义的前端服务器定向所有外部流量的路由，可帮助检测和禁止恶意的请求；（4）建立内部流量汇聚点，帮助更好的监控。（二）DDoS攻击防御阿里云基于自主开发的大型分布式操作系统和十余年安全攻防的经验，推出基于云计算架构设计和开发的云盾海量防DDoS清洗系统，该系统具有以下优势：云盾的防DDoS清洗系统可抵御各类基于网络层、传输层及应用层的各种DDoS攻击（包括CC、SYNFlood、UDPFlood、UDPDNSQueryFlood、(M)StreamFlood、ICMPFlood、HTTPGetFlood等所有DDoS攻击方式），并实时短信通知网站防御状态。依托云计算架构的高弹性和大冗余特点，云盾防DDoS清洗系统实现了稳定、精准防御。稳定：云盾防DDoS清洗服务可用性99.99%精准：恶意流量检测中心的检测成功率99.99%，单个数据中心流量检测能力达到60Gbit/s或6000万PPS以上；恶意流量清洗中心的清洗成功率99.99%。云平台安全（一）云平台操作系统阿里云云平台物理服务器使用经过性能调优和安全加固的、定制化的Linux操作系统。（二）防IP/MAC/ARP欺骗在云网络里，ip/mac/arp欺骗一直是局域网面临的严峻考验。通过ip/mac/arp欺骗，黑客可以扰乱网络环境，窃听网络机密。阿里云云平台通过宿主机（物理服务器）上的网络底层技术机制，彻底解决了这些问题：在数据链路层隔离由云服务器向外发起的异常协议访问并阻断云服务器arp/mac欺骗，在网络层防止云服务器ip欺骗。（三）恶意主机检测阿里云在物理服务器上部署了主机入侵检测模块，可以及时发现物理服务器被入侵成为恶意主机的情况。（四）安全组防火墙云平台使用安全组防火墙来提供三层网络隔离。同一安全组内的不同云服务器可相互访问，不同安全组的云服务器不可相互访问。（五）VPCVPC使用VxLAN技术进行网络二层隔离，可提供更贴近传统网络安全域划分的安全控制手段，其主要功能如下：用户可自定义网络拓扑以及IP地址段云VM跨机房漂移纯私网的高安全性云业务，sitetositevpn连接主机安全（一）主机安全镜像在虚拟机操作系统层面，阿里云通过安全镜像市场提供经过安全加固、更新了补丁的操作系统镜像，确保虚拟机上线后就出于一个比较安全的状态。（二）主机入侵防御系统在虚拟机主机上部署主机入侵防御系统，针对网络安全最大威胁之一的密码暴力破解提供有效防护。主机入侵防御系统提供以下功能：账号暴力破解防御：支持Windows和Linux，针对SSH、RDP、Telnet、Ftp、MySql、SqlServer等等常见程序进行监控；账号异常登录检测：在服务器异常登录事件中，有超过半数事件是入侵或者攻击行为。根据登录情况，识别常用的登录区域，精确到地市级。一旦出现其他地域尝试登录，通过手机短信预警，减少不必要的损失；恶意代码检测：检测PHP、ASP、JSP、.NET、JAVA等代码写的webshell，对检测出来的后门进行访问控制和隔离操作，防止后门的再次利用。（三）端口扫描对云服务器进行快速、完整的端口扫描，使用最新的指纹识别技术判断运行在开放端口上的服务、软件以及版本，一旦发现未经允许开放的端口和服务会第一时间提醒用户予以关闭，降低系统被入侵的风险。应用安全（一）Web应用防火墙Web应用防火墙（WAF）由WAF引擎中心、运营监控中心以及云用户控制中心组成，依托云计算架构，具备高弹性、大冗余特点，能够根据接入网站的多少和访问量级进行WAF集群的弹性扩容，提供全面的WEB安全防御和“0day”漏洞24小时快速响应服务。（二）网站安全漏洞检测网站安全漏洞检测的漏洞类型覆盖OWASP、WASC、CNVD分类，支持恶意篡改检测，支持Web2.0、AJAX、各种脚本语言、PHP、ASP、.NET和Java等环境，支持复杂字符编码、chunk，gzip，deflate等压缩方式、多种认证方式（Basic、NTLM、Cookie、SSL等），支持代理、HTTPS、DNS绑定扫描等，支持流行的百余种第三方建站系统独有漏洞扫描。网站木马检测服务通过对HTML和JavaScript引擎解密恶意代码，同特征库匹配识别，同时支持通过模拟浏览器访问页面分析恶意行为，发现网站未知木马。数据安全（一）数据安全生命周期XX政务云依据数据的生命周期和云计算特点，构建从数据访问、数据传输、数据存储到数据销毁各环节的云端数据安全框架。数据访问：用户访问云端资源需通过控制台进行日常操作和运维，用户与云产品对应关系采用对称加密对实现身份鉴别。运维人员对XX政务云的运维操作均需通过静态密码结合动态令牌实现双因素认证，操作权限需经过多层安全审批并进行命令级规则固化，违规操作实时审计报警。数据传输：针对用户个人账户数据和云端生产数据两种不同的数据对象，分别从客户端到云端、云端各服务间、云服务到云服务控制系统三个层次进行传输控制。其中个人账户数据从客户端到云端传输均采用SSL加密，从云端各子系统间、云服务到云服务控制系统间均采用程序加密保证客户个人账户数据云端不落地。云端生产数据从客户端到云端传输均只可通过VPN或专线进行，云端存储支持服务器端加密并支持客户端密钥加密数据后云端存储。数据存储：所有云端生产数据不论使用何种云服务均采用碎片化分布式离散技术保存，数据被分割成许多数据片段后遵循随机算法分散存储在不同机架上，并且每个数据片段会存储多个副本。云服务控制系统依据不同用户ID隔离其云端数据，云存储依据客户对称加密对进行云端存储空间访问权限控制，保证云端存储数据的最小授权访问。数据销毁：XX政务云采用内存释放和数据清空手段在用户要求删除数据或设备在弃置、转售前将其所有数据彻底删除。针对云计算环境下因大量硬盘委外维修或服务器报废可能导致的数据失窃风险，数据中心全面贯彻替换磁盘每盘必消、消磁记录每盘可查、消磁视频每天可溯的标准作业流程，强化磁盘消磁作业视频监控策略，聚焦监控操作的防抵赖性和视频监控记录保存的完整性。（二）数据库防火墙通过在RDS服务集群前端部署数据库防火墙，提供如下防护功能：SQL注入攻击检测：系统分析RDSSQL日志，检测并发现注入攻击的SQL语句，报警并提醒用户RDS遭受SQL注入攻击。SQL权限提升溢出攻击检测：系统分析RDSSQL日志，检测发现提权溢出的SQL语句，报警告知运营人员该RDS用户攻击系统，运营人员自行对该RDS用户处理。数据库连接CC攻击防御：系统能有效的防御来自外网的CC攻击。SQL资源耗尽攻击检测：系统分析RDSSQL日志，检测发现DDOS资源的SQL语句，报警并提醒用户RDS遭受SQL资源耗尽攻击。

数据库口令暴力破解检测：在SQLServer和MySQL中，收集用户登录的错误次数，如果发现某账户多次登录失败情况，报警并提醒用户RDS暴力密码猜解。数据库审计：记录所有对RDS服务的数据库操作。XX政务云云安全解决方案XX政务云不仅要有完善的安全体系进行全面保护，还需要有为XX政务云量身定制的的安全解决方案，解决XX政务云最为关心的区域隔离、纵深安全防护、云平台安全运维问题。云安全服务XX政务云构建了涵盖网络层、主机层、应用层和数据层的安全纵深防护体系，包括DDoS防护、网络入侵防护、主机入侵防护、Web应用防护、Web漏洞检测、木马检测以及数据库防火墙等一整套安全服务。XX政务云安全纵深防护体系基于大数据分析技术，为各个层面的防护系统提供更精确的算法和规则支持。这些安全服务是阿里云根据阿里巴巴集团多年来安全技术研究积累的成果，结合阿里云计算平台强大的数据分析能力而构建的。XX政务云云安全服务包括以下服务内容：服务名称服务内容网络层DDoS防护防护来自互联网的各种DDoS攻击网络入侵防护发现并阻断来自互联网的恶意的网络扫描和攻击行为；当云服务器往互联网发送恶意流量，例如存在黄赌毒、政治页面、对外发起DDoS攻击时，网络入侵防护系统能有效识别云服务器的上述异常行为，自动进行防护。安全体检：端口安全检测检测云服务器对Internet开放的网络端口主机层主机入侵防护提供包括密码暴力破解、网站后门检测和处理、异地登录提醒在内的反入侵服务应用层Web应用防火墙为面向互联网的Web应用提供应用层安全防护安全体检：应用安全体检Web漏洞检测、网页木马检测数据层数据库防火墙针对SQL注入漏洞攻击、SQL权限提升溢出攻击、数据库连接CC攻击、数据库暴力破解攻击进行检测和告警。系统部署XX政务云采用专线与阿里云中控互联。在XX政务云机房互联网入口部署网络入侵防护及DDoS防护系统；在RDS集群上部署数据库防火墙；所有ECS云服务器均部署了主机入侵防护客户端，通过专线与阿里云中控的主机入侵防护服务器集群通信。同时XX政务云的公网web应用可以使用阿里云云Web应用防火墙进行安全防护。所有XX政务云部署的安全防护系统通过专线发送安全日志到阿里云中控的安全大数据分析集群，进行关联分析，来发现隐蔽的恶意行为。其整体部署架构如下图所示：DDoS防护DDoS防护系统可防护来自互联网的各种DDoS攻击，防护类型包括CC、SYNflood、UDPflood、DNSQueryFlood以及NTPReplyFlood等所有DDoS攻击方式，保障XX政务云互联网应用系统的可用性。网络入侵防护网络入侵防护系统可以有效发现并阻断来自互联网的恶意的网络扫描和攻击行为；当云服务器往互联网发送恶意流量，例如存在黄赌毒、政治页面、对外发起DDoS攻击时，网络入侵防护系统能有效识别云服务器的上述异常行为，自动进行防护。Web应用防火墙XX政务云面向互联网的Web应用，如果采用域名解析方式访问，可以使用阿里云云Web应用防火墙进行应用层安全防护。目前阿里云云Web应用防火墙支持80端口的HTTP协议，不支持HTTPS协议。主机入侵防护部署在云服务器上的主机入侵防护系统针对网络安全最大威胁之一的密码暴力破解提供有效防护。主机入侵防护系统提供以下功能：密码暴力破解防护：支持Windows和Linux，针对SSH、RDP、Telnet、Ftp、MySQL、MSSQLServer等等常见程序进行监控；网站后门检测：检测PHP、ASP、JSP、.NET、JAVA等代码写的webshell，对检测出来的后门进行访问控制和隔离操作，防止后门的再次利用；异地登录检测：在服务器异常登录事件中，有超过半数事件是入侵或者攻击行为。根据登录情况，识别常用的登录区域，精确到地市级。一旦出现其他地域尝试登录，通过手机短信预警，减少不必要的损失。安全体检阿里云端口扫描和网站安全检测系统，可以为XX政务云互联网应用提供Web漏洞检测、网页木马检测、端口安全检测等安全体检服务，做好应用系统漏洞检查。网站安全漏洞检测的漏洞类型覆盖OWASP、WASC、CNVD分类，支持恶意篡改检测，支持Web2.0、AJAX、各种脚本语言、PHP、ASP、.NET和Java等环境，支持复杂字符编码，支持chunk、gzip、deflate等压缩方式、多种认证方式（Basic、NTLM、Cookie、SSL等），支持代理、HTTPS、DNS绑定扫描等，支持流行的百余种第三方建站系统独有漏洞扫描。网站木马检测服务使用HTML和JavaScript引擎解密恶意代码，同特征库匹配识别，同时支持通过模拟浏览器访问页面分析恶意行为，发现网站未知木马。大数据分析所有的安全防护系统能根据规则，抽取安全相关的数据导入到大数据分析平台（ODPS）里。阿里云安全专家将这些数据，与从全世界各大安全机构（如CNCERT）、安全组织（例如乌云）、安全厂商得到的安全数据进行关联分析，可以有效发现非常隐蔽的恶意行为。大数据分析的结果可以协助改进安全防护系统的防护算法和规则，同时安全防护系统可以为大数据分析提供越来越丰富的基础数据，从而提高大数据分析的效果。总结XX政务云提供的安全服务规格如下：服务名称服务内容服务规格DDoS防护防护来自互联网的各种DDoS攻击无需申请，自动生效；仅针对互联网；用户可以配置DDoS防护阈值。网络入侵防护发现并阻断来自互联网的恶意的网络扫描和攻击行为；当云服务器往互联网发送恶意流量，例如存在黄赌毒、政治页面、对外发起DDoS攻击时，网络入侵防护系统能有效识别云服务器的上述异常行为，自动进行防护。无需申请，自动生效；仅针对互联网。Web应用防火墙为面向互联网的Web应用提供应用层安全防护需要主动申请；针对互联网Web应用；应用必须使用域名访问，HTTP协议，80端口，暂不支持HTTPS和非80端口。主机入侵防护提供包括密码暴力破解、网站后门检测和处理、异地登录提醒在内的反入侵服务无需申请，自动生效；对于内网攻击采取告警策略，对于互联网攻击采取阻断策略。安全体检Web漏洞检测、网页木马检测、端口安全检测无需申请，自动生效；只扫描互联网应用。这些安全服务一起构建了XX政务云针对互联网的纵深安全防护体系，如下图所示：当黑客从外部向XX政务云的信息系统发起攻击时。在攻击前的黑客踩点扫描阶段，网络入侵防护系统可以有效发现并阻断恶意的网络扫描行为。在攻击阶段，DDoS防护系统可以抵御各种

DDoS

攻击；阿里云Web防火墙在应用层提供

WEB

安全防御和高危“0day”漏洞快速响应，防范黑客从Web应用层入侵。即使黑客透过网络边界，渗透到主机层面，部署在云服务器上的主机入侵防护系统也能提供主机层面的密码暴力破解防护。当出现万一情况，以上积极防护措施失效，黑客初步攻击成功，采取进一步动作时：当黑客试图上传网站后门时，主机入侵防护系统可以实时发现网站后门，隔离并阻断访问，同时进行告警通知。黑客试图通过SQL注入漏洞攻击数据库时，数据库防火墙可以及时发现并告警拖库行为。被黑客入侵的云服务器往外部发送恶意流量时，网络入侵防护系统有效识别云服务器的上述异常行为，自动进行防护。XX政务云安全纵深防护体系遵循PDCA（计划、执行、检查、改进）过程，实现循环改进，持续提升XX政务云的整体防护能力。云产品安全网络安全隔离XX政务云是一个多用户共享计算和存储资源的云平台，必须对不同用户进行安全隔离，防止不同用户间可以直接访问对方数据。XX政务云把对外提供服务的云服务层和支撑云服务的物理层进行安全隔离。ECS云服务器和物理服务器之间使用物理交换机的VLAN进行隔离，相互之间不可访问。云服务器之间通过软件防火墙实现的安全组功能进行隔离。每个用户的所有云服务器默认在同一个安全组里，用户可以自行划分多个安全组。同一安全组之内可以互相访问，不同安全组之间默认不可以互相访问，但可以通过安全组ACL授权访问。云服务器必须开通公网IP才能从internet访问。RDS通过SLB（负载均衡服务）对外提供服务，外部包括ECS云服务器只能访问RDS通过SLB开放的虚拟服务地址（VIP）的数据库服务端口，而不能访问RDS集群的物理服务器。OSS通过SLB对外提供服务，外部包括ECS云服务器只能访问OSS通过SLB开放的虚拟服务地址（VIP）的HTTP端口，而不能访问OSS集群的物理服务器。ECS服务安全防护安全组防火墙ECS服务以用户为单位，使用安全组防火墙进行网络隔离。安全组是一个逻辑上的分组，这个分组是由同一个地域内具有相同安全保护需求并相互信任的ECS实例组成。安全组防火墙用于设置单台或多台云服务器的网络访问控制，它是重要的安全隔离手段。每个用户的所有云服务器默认在同一个安全组里。用户可以自行划分多个安全组。每个ECS实例至少属于一个安全组，在创建的时候就需要指定。安全组内可以互访，不同安全组的ECS实例之间默认不通。用户可以根据需要自行配置安全组防火墙规则授权两个安全组之间互访。高可用性负载均衡：多台ECS云服务器可以使用SLB负载均衡服务组成集群，消除单点故障，提升应用系统的可用性。数据高可靠性：云服务器镜像文件、快照文件均默认存储三份，分布在不同交换机下的不同物理服务器上，数据可靠性高达99.999%。故障自动恢复：云服务器部署在宿主机（承载云服务器的物理服务器）上，宿主机可能因性能异常或者硬件原因导致故障，当检测到云服务器所在的宿主机发生故障时，系统会启动保护性迁移，把云服务器迁移到正常的宿主机上，自动恢复，保障应用的高可用性。快照：快照是云服务器上的数据在某一个时间点的拷贝。云服务器可以按照用户事先设定的策略定时自动创建快照，也可以由用户创建自定义快照。用户可使用快照回滚来恢复以往磁盘数据，加强数据安全，提高系统可用性。常见快照使用场景：1）云服务器系统变更前做好快照，在变更出现问题后可以快速回退；2）对已安装应用软件包的云服务器打快照，从快照创建自定义镜像，可以批量创建服务器，简化用户管理部署工作。多用户安全隔离内存隔离：在虚拟化层，XenHypervisor隔离内存。云服务器运行时，使用硬件辅助的EPT（ExtendedPageTables，扩展页表）技术，确保云服务器之间无法互访对方内存。云服务器释放后，它的所有内存会被XenHypervisor清零。这样防止云服务器关闭后释放的物理内存页内容被其他云服务器访问到。存储隔离：云服务器运行时，对于磁盘内容，每个云服务器只能看到物理服务器分配给自己的虚拟磁盘，而虚拟磁盘之间不会共享内容。云服务器释放后，原有磁盘的内容在被删除的时候由宿主机的文件系统回收，当再次分配的时候，由宿主机的文件系统负责清空对应的磁盘内容，所以也不会出现泄露。防IP/MAC/ARP欺骗在传统网络里，ip/mac/arp欺骗一直是网络面临的严峻考验。通过ip/mac/arp欺骗，黑客可以扰乱网络环境，窃听网络机密。XX政务云云平台通过宿主机上的网络底层技术机制，彻底解决了这些问题：在宿主机数据链路层隔离由云服务器向外发起的异常协议访问并阻断云服务器arp/mac欺骗，在宿主机网络层防止云服务器ip欺骗。VPC服务安全防护安全组防火墙VPC使用与ECS一样的安全组防火墙技术进行三层网络访问控制。高可用性VPC是采用了软件自定义网络技术的ECS，因此具有与经典ECS同样的高可用特性。多用户安全隔离不同用户的云服务器在不同的VPC里。不同VPC之间通过隧道ID进行隔离。VPC内部可以像传统网络环境一样划分子网。由于使用隧道封装技术对云服务器的IP报文进行封装，所以云服务器的数据链路层（二层，mac地址）信息不会进入物理网络，实现了不同云服务器间二层网络隔离，因此也实现了不同VPC间二层网络隔离。VPC使用安全组防火墙进行三层网络访问控制。RDS服务安全防护图SEQ图\*ARABIC2RDS架构示意图访问控制用户可设定RDS服务为内网连接模式，即只允许ECS云服务器从内网访问RDS，可以防止数据库暴露在公网上。RDS用户可以设置IP白名单，仅允许指定源IP访问用户的RDS服务。高可用性每个RDS实例拥有两个物理节点进行主从热备，主节点发生故障，秒级切换至备节点，服务可用性高达99.95%。数据库数据存储在Raid5磁盘阵列上，拥有多重备份，数据可靠性高达99.9999%。备份恢复：用户可随时进行数据备份，RDS能够根据备份文件将数据库恢复至7日内任意时刻，提高了数据的可用性。多用户安全隔离数据库实例隔离：RDS通过数据库自身的实例隔离机制进行多用户安全隔离，用户仅有数据库实例权限，没有数据库root/sa权限，也没有物理服务器操作系统权限；同时阿里云对数据库服务器进行了安全加固，例如禁止RDS用户通过数据库读写操作系统文件。上述措施保证RDS用户无法访问物理服务器上运行的其他用户的数据库实例。数据库防火墙所有对RDS的访问都必须经过RDSProxy，RDSProxy上部署了数据库防火墙模块，提供如下防护功能：SQL注入攻击检测SQL权限提升溢出攻击检测数据库连接CC攻击防御SQL资源耗尽攻击检测数据库口令暴力破解检测数据库审计RDSProxy记录所有发往RDS的SQL语句，内容包括连接IP、访问的数据库名称、执行语句的账号、SQL语句、执行时长、返回记录数、执行时间点等信息。OSS服务安全防护访问控制OSS使用基于AccessKey的对称密钥机制进行身份验证，AccessKey由AccessKeyID和AccessKeySecret组成，其中ID是公开的，用于标识用户身份，Secret是秘密的，用于用户鉴别。当用户向OSS发送请求时，必须使用AccessKeySecret对签名字符串进行加密（基于HMAC算法）产生验证码。验证码带时间戳，以防止重放攻击。OSS提供Bucket级别的权限访问控制，Bucket目前有三种访问权限：public-read-write，public-read和private。public-read-write：任何人（包括匿名访问）都可以对该bucket中的object进行PUT，Get和Delete操作。public-read：只有该bucket的创建者可以对该bucket内的Object进行写操作（包括Put和DeleteObject）；任何人（包括匿名访问）可以对该bucket中的object进行读操作（GetObject）。private：只有该bucket的创建者可以对该bucket内的Object进行读写操作（包括Put、Delete和GetObject）；其他人无法访问该Bucket内的Object。用户新创建一个Bucket时，如果不指定Bucket权限，OSS会自动为该Bucket设置private权限。高可用性OSS服务可用性高达99.9%。OSS数据三副本存储，可靠性达到99.99999999%。多用户安全隔离数据隔离：OSS将用户数据切片，每片用户数据打上用户标签，离散存储在分布式文件系统中，并且用户数据和数据索引分离存储。OSS用户认证采用AccessKey对称密钥认证技术，对于用户的每个HTTP请求都验证签名。在用户验证通过后，根据用户标签，重组用户离散存储的数据。从而实现多用户间的数据存储隔离。服务器端加密OSS支持在服务器端对用户上传的数据进行加密（Server-SideEncryption）。当用户上传数据时，OSS对收到的用户数据加密后保存下来；用户下载数据时，OSS自动对保存的加密数据解密后把原始数据返回给用户。云产品可配置安全特性云产品提供了丰富的安全特性，在阿里云云盾之外为XX政务云系统提供更多的安全防护能力。可供客户自行配置的安全特性如下：云产品可配置安全特性配置说明ECS安全组防火墙按照云服务器角色分组，并进行严格的网络访问控制快照可以创建自定义快照RDSIP白名单设置IP白名单，仅允许应用及运维主机访问备份可以设置备份周期和备份开始时间OSSbucket访问控制策略设置为Private。只有绝对必要的情况下才能设置为Public，让所有人可以访问。云端应用安全云端应用开发XX政务云的云端应用由ISV开发，建议ISV按照安全开发生命周期（SDL）开发所有云端应用，确保信息安全融入到云端应用整个软件开发生命周期中。云端应用部署云端应用由ISV开发完成，正式交付部署到XX政务云时，应对整个应用部署方案进行安全设计和实施，考虑内容包括但不限于：可以使用哪些云安全服务，是否需要申请（例如云Web应用防火墙）；应如何使用云产品安全特性，例如ECS安全组防火墙、RDS的IP白名单；对云服务器操作系统和应用软件进行安全加固，包括安全补丁、配置基线等；云端应用安全部署，例如清除测试账号、测试数据等；上线后漏洞扫描、渗透测试。应用上云安全部署方案以传统三层架构的信息系统为例，最外层是DMZ区，直接对外部提供Web服务，第二层是应用服务器区，为Web服务器提供应用逻辑处理，同时直接连接后台的数据库及存储。这样的一个典型的信息系统在云上部署时的方案如下图所示：图SEQ图\*ARABIC3传统应用上云安全部署方案示意图部署方案：使用安全组防火墙把信息系统的云服务器划分为两个安全组：1）Web服务器作为一个单独的安全组，通过公网SLB（负载均衡）的虚拟服务IP（VIP）对外部提供服务；2）应用服务器部署中间件及应用系统，作为一个单独的安全组，通过私网SLB供Web服务器安全组访问。Web服务器安全组和应用服务器安全组之间使用安全组防火墙隔离并进行访问控制，从而把Web服务器区作为DMZ。配置数据库IP白名单，仅允许从应用服务器安全组访问RDS数据库。通过这样的部署，可以获得与传统硬件防火墙隔离同等的安全效果。云端应用运维云端应用系统部署上线后，由运维公司进行持续的运维，包括对云服务器以及云数据库实例的运维。在运维过程中，应做好运维人员账号管理、认证、授权和审计工作。建议所有对云服务器和云数据库的访问都必须通过堡垒机进行。XX政务云对内和对外业务安全隔离安全隔离方案XX政务云计划部署的应用，一部分是向公众提供的服务，如政策公示、公民社保查询等，即对公众提供的政府互联网服务，属于对外业务；还有一部分是各厅局委办之间协同工作与信息传递的数据等，属于对内业务。这两部分的安全等级不同，需要进行有效的网络安全隔离。XX政务云可划分为两个逻辑区域：互联网区和政务外网区。其中互联网区部署政府互联网服务即对外业务，政务外网区部署各厅局委办对内业务。两个逻辑区域之间采用VPC（详见章节REF_Ref402864427\r\h5.2.3）和安全组防火墙（详见章节REF_Ref402864450\r\h5.2.2）进行网络隔离，互相之间不可访问。各厅局委办的应用都在不同的安全组里，使用安全组防火墙进行安全隔离。XX政务云对内及对外业务安全隔离如下图所示：通过这样的隔离手段可以达成的效果如下：从Internet只能访问到互联网区域的应用，而不能访问政务外网区域的应用；政务外网区域的应用不能访问互联网；互联网区域的应用和政务外网区域的应用默认相互之间不能访问，即使这些应用属于同一个厅局委办。VPC和安全组防火墙隔离有效性说明详见章节REF_Ref402864970\r\h6.2。不同安全域数据安全交换方案政务云互联网区和电子政务外网区的应用系统因业务需要进行数据交换，阿里云针对这种需求设计了两种数据安全交换解决方案。方案一：数据通过专线在云下按传统方式安全交换本方案采用传统的政务网数据交换方式。因为云平台不支持传统的数据安全交换方式，因此通过专线把XX省政务云互联网区和政务外网区打回信息中心，通过信息中心原有的数据交换平台进行数据交换。方案二：云端数据安全交换本方案直接在云端进行数据安全交换，方案示意图如下：互联网区和政务外网区的应用通过数据交换区的云服务器进行数据安全交换，类似传统方式下的数据交换前置机。在安全控制方面，通过安全组防火墙进行初步的访问控制：每一对需要进行数据交换的系统在数据交换区申请一个专用数据交换安全组，由数据交换前置机组成。只允许从政务外网区的已授权进行数据交换的安全组访问数据交换区专用数据交换安全组，而不允许反向访问，从而杜绝从数据交换区对政务外网区进行网络层面的攻击的可能。只允许从数据交换区的专用数据交换安全组访问互联网区已授权进行数据交换的安全组，而不允许反向访问，从而杜绝从互联网区对数据交换区进行网络层面攻击的可能性，也就更不可能从互联网区攻击到政务外网区。安全组防火墙访问控制规则可以精确到源地址和目的端口。进一步安全控制：可以在数据交换前置机上部署ISV开发的数据交换平台，进行进一步的安全控制。方案比较比较内容方案一方案二安全性传统使用网闸以及使用前置机的数据交换方式都通过了专家安全评审，其安全性已经在运行过程中得到了验证。云端采用类似前置机的数据安全交换方式，在安全设计方面做了严格的访问控制。独立的数据交换区防止互联网区和政务外网区直接访问，同时仅允许高安全区访问低安全区，防范从互联网区发起对政务外网区的攻击可扩展性差，无法在云端部署。同时由于云的大集中模式，对数据交换的需求极大，只能通过购买设备的方式进行扩展非常好，可以按需申请，弹性扩展。不需要时释放网络容量限制随着数据交换需求的增大，对云平台到信息中心的带宽提出了更高的要求直接在云平台交换，利用云平台内部的网络，不存在网络带宽限制成本成本高，采用硬件网闸成本低，采用ECS云服务器XX政务云与电子政务外网互联安全因为业务需要，XX政务云需要与全区统一电子政务外网融合对接。对接过程中应做好安全防护，确保云上云下互联安全。安全原则全区统一电子政务外网与云平台互联安全原则如下：执行网络访问控制的网络设备或云平台控制系统应采用“默认拒绝所有访问”的安全策略，只有明确经过授权的访问才允许通过。电子政务外网系统只能访问云平台对外提供服务的地址段，例如关系型数据库（RDS）服务IP、开放存储（OSS）服务IP，以及云服务器（ECS）的IP，而不能访问云平台管理控制系统及物理服务器的IP地址段。电子政务外网与云平台之间应做双向的访问控制，访问控制规则由业主单位根据业务需要进行授权，访问控制粒度应明确到源地址、目的地址或目的安全组、目的端口。如果电子政务外网应用和与其互联的云平台应用属于不同的安全域，例如一个属于互联网区，另外一个属于政务外网区，则应通过安全的数据交换方式互联。网络访问控制根据上述安全原则，结合实际的网络情况，对电子政务外网和云平台互联的网络访问控制提出如下要求：1）云平台网络访问控制：云业务相关的明细安全策略通过管理控制台管理，不在云平台网络设备上配置具体业务的安全策略。业主单位通过管理控制台配置安全组防火墙策略，授权来自电子政务外网特定IP地址段的入向访问，未经授权访问一律禁止。2）电子政务外网网络访问控制：在电子政务外网网络设备上根据业务需要可进行双向的访问控制；额外的，还可以在电子政务外网服务器上采用主机防火墙进行进一步的网络访问控制。XX政务云安全运维XX政务云运维框架XX政务云在自有IDC的服务器上部署阿里云系统，专线连接到阿里云中控，由阿里云集中运维云平台。XX政务云运维体系技术架构如下图所示：专线主要用途如下：集群部署、变更升级、监控告警以及故障处理；阿里云管控系统与XX政务云集群的“心跳”连线以及集群状态的信息同步。通过专线传输的有以下两类数据：SSH/RDP远程管理协议：阿里云运维人员通过专线访问XX政务云物理服务器和网络设备，进行日常运维操作；阿里云自定义应用协议：阿里云管控平台实时从XX政务云获取集群“心跳”、监控告警等信息，或推送相关升级包、配置信息。通过专线有两类、三种交互方式：（一）阿里云运维人员通过运维专线访问XX政务云，进行相关运维管理操作。访问方式有两种：使用远程管理协议，例如SSH、RDP，交互式访问云平台物理服务器和网络设备。这种访问方式下运维人员权限极大，可以进行几乎所有操作；使用阿里云管控平台（B/S），通过阿里云自定义应用协议访问云平台。这种访问方式下能执行的操作受应用系统限制，常用于推送升级包、下发配置。（二）阿里云管控平台根据预先配置好的参数从XX政务云集群获取“心跳”信息、监控信息等。此过程全自动处理，没有人员干预。要确保XX政务云运维安全，必须确保阿里云自身对阿里云中控的运维安全，同时确保阿里云通过运维专线对XX政务云进行运维的安全性。阿里云安全运维阿里云通过飞天运维管理平台进行统一管理，采取严格的访问控制、监控审计和职责分离来确保运维安全。网络访问控制网络隔离阿里云对生产网络与非生产网络进行了安全隔离，从非生产网络不能直接访问生产网络的任何服务器和网络设备，也就不能从非生产网络发起对生产网络的攻击。堡垒机为了平衡效率和安全性，阿里云在生产网络部署了堡垒机，同时把堡垒机的运维入口以端口地址转换（PAT）方式发布到办公网，允许办公网内的运维人员可以快速通过堡垒机进入生产网进行运维管理。运维人员登录堡垒机时使用域账号密码加动态口令方式进行双因素认证。堡垒机使用高强度加密算法保障运维通道数据传输的机密性和完整性。远程运维阿里云为不在公司的员工提供了远程运维通道。运维人员预先申请VPN接入公司办公网之后访问堡垒机的权限。VPN拨入公司办公网络的接入区时使用域账号密码加动态口令方式进行双因素认证。再从办公网接入区访问堡垒机。VPN使用高强度加密算法保障运维通道数据传输的机密性和完整性。账号管理和身份认证阿里巴巴用户中心（BUC）系统是全集团统一的账号管理和身份认证系统。阿里巴巴通过BUC管理员工账号生命周期，每个员工在BUC存在唯一的账号。账号的唯一性保证了审计时可以定位到个人。BUC集中下发密码策略，强制要求员工设置符合密码长度、复杂度要求的密码，并定期修改密码。BUC支持账号密码登录、双因素登录、证书登录、单点登录等多种认证登录方式。账号管理和身份认证的集中，使得其他信息系统不需要管理身份信息，也不需要保存账号密码，从而降低了应用的复杂性，提高了账号的安全性。账号管理与授权管理分离还可以防止私建账号越权操作行为。阿里云数量庞大的信息系统，包括运维平台在内，全部使用BUC进行身份认证。授权阿里巴巴权限管理平台是集团统一的权限申请和授权管理系统。阿里云基于员工工作岗位和角色，遵循最小权限和职责分离原则，授予员工有限的资源访问权限。员工根据工作需要通过权限管理平台申请VPN访问权限、堡垒机访问权限、管控平台以及生产系统访问权限，经主管、数据或系统所有者、安全管理员以及相关部门审批后，进行授权。权限管理阿里云对运维权限进行分角色管理：一般用户：只读服务器帐号，一般分配给开发人员协助排查应用故障原因使用。无sudo权限，只能查看应用或系统配置，无权修改配置。应用管理员：拥有以admin身份执行命令的sudo权限。可查看、修改应用配置。系统管理员：拥有大部分sudo权限。可查看、修改应用或系统配置。超级管理员：仅特定的管理员拥有系统的root/administrator权限。RDS权限管理：阿里云拥有RDS物理服务器数据库管理员权限。RDS数据库管理员拥有数据库的根权限，但是没有RDS实例账号密码。阿里云禁止RDS数据库管理员访问用户实例，并通过审计来控制违规行为。ECS云服务器权限：阿里云运维人员没有客户云服务器账号密码，也无法登录客户云服务器。RDS数据库实例权限：阿里云运维人员没有RDS实例账号密码，阿里云禁止RDS数据库管理员访问用户实例，并通过审计来控制违规行为。RDS用户通过管理控制台申请RDS数据库实例，每个数据库实例下可以有多个数据库。RDS用户自行管理数据库账号，并可与数据库绑定，授予该数据库的读写权限或者只读权限。RDS只能授予数据库用户整个数据库的权限，不支持更细粒度的授权。RDS用户的数据库账号是数据库普通用户，只能管理其申请的数据库实例。RDS用户的数据库账号没有操作系统权限。职责分离阿里云对运维和审计实施职责分离，由安全部负责审计。数据库管理员和系统管理员由不同的人担任。适当的职责分离能有效防止权限滥用和审计失效。监控阿里云使用自动化监控系统对云平台网络设备、服务器、数据库、应用集群以及核心业务进行全面实时监控。监控系统广泛使用仪表盘展示阿里云关键运营指标，并可配置告警阈值，当关键运营指标超过设置的告警阈值时，自动通知运维和管理人员。审计员工对生产系统的所有运维操作必须且只能通过堡垒机进行。所有操作过程完整记录下来实时传输到集中日志平台。堡垒机对于Linux操作记录所有命令行，对于Windows操作录屏并记录键盘操作。阿里云根据《帐号使用规范》及《数据安全规范》里定义的违规事项定义审计规则，发现违规行为并通知安全人员跟进。内部使用的B/S管理和支持系统按照阿里云日志审计规范详细记录敏感操作，并把日志发送到集中日志平台。