住建厅云上业务系统安全防护解决方案

决方案

二O二四年十一月

目录

1项目背景.....................................................................4

2项目需求.............4

2.1云计算的安全体系架构...................................................4

2.2云计算系统安全风险.....................................................5

2.2.1云平台的安全隐患.................................................5

2.2.2应用服务层的安全隐患............................................6

2.2.3基础设施层的安全隐患............................................6

2.3云计算的安全挑战.......................................................7

3云平台的安全防护设计.........................................................8

3.1云计算安全的建设思路...................................................8

3.2云计算平台的安全防护架构..............................................9

3.2.1物理安全.......................................................10

3.2.2网络安全........................................................10

3.2.3系统安全........................................................10

3.2.4应用安全........................................................11

3.2.5管理安全…......................................................11

3.2.6虚拟化安全......................................................12

3.2.7数据安全........................................................12

4分项目安全防护手段介绍......................................................13

4.1运营监测..............................................................13

4.1.1先知态势感知服务..............................................13

4.2云服务的应用层基础防护..............................................18

4.2.1玄武盾，基于云服务的应用层外部防护系统........................18

4.3服务器安全加固......................................................23

4.3.1服务器漏洞扫描..................................................23

4.3.2安全运维审计与风险控制..........................................30

4.4云服务的应用层深入防护...............................................34

4.4.1WEB应用系统的SQL注入、XSS跨站脚本等的攻击防护.............34

4.5安全审计与管理分析....................................................37

4.5.1飞天镜-云上的大数据安全分析平台...............................37

4.5.2云数据库审计....................................................41

4.6人工安全服务..........................................................46

4.6.1系统上线前安全扫描服务..........................................46

4.6.2安全托管服务....................................................46

4.6.3安全评估朋务....................................................47

4.6.4安全加固服务....................................................48

4.6.5应急响应服务....................................................49

4.6.6安全培训服务....................................................50

4.6.7云上合规服务....................................................51

5产品设备清单.........51

6阿里云项目案例..............................................................54

1项目背景

XXX住房和城乡建设厅的互联网外网业务系统和门户网站，目前部署在XXX云XXX上,

直接面对互联网用户。

XXX云技术，提供基础的云服务环境，但是不具备应用层防护的能力。2016年，反共黑

客在XXX管理系统上非法挂了反共言论，给XXX住房与城乡建设亍的政府形象造成严重损失。

事后，经过相关安全服务人员对保存的服务器快照进行分析，发现反共黑客通过

Struts2-()16远程命令执行漏洞，进行系统的远程命令执行，该漏洞可以执行系统命令，文

件操作，获取网站管理权限，包括修改删除网站页面、窃取数据库敏感信息.、植入恶意木马。

2项目需求

2.1云计算的安全体系架构

当前，云计算发展面临许多关键性问题,而安全问题首当其冲。并且随着云计算的不断普

及，安全问题的重要性呈现逐步上升趋势，已成为制约其发展的重要因素。Gartner2009年

的调查结果显示,70%以上受访企业的CT0认为近期不采用云计算的首要原因在于存在数据

安全性与隐私性的忧虑。而近来,Amazon,Google等云计算发起者不断爆出各种安全事故更

加剧了人们的担忧。例如,2009年3月，Google发生大批用户文件外泄事件,2009年2

月和7月，亚马逊的“简单存储服务(simplestorageservice,简称S3)”两次中断导致依

赖于网络单一存储服务的网站被迫瘫痪等等。因此,要让企业和组织大规模应用云计算技术

与平台，放心地将自己的数据交付于云管理,就必须全面地分析并着手解决云计算所面临的

各种安全问题。

云计算平台和传统计算平台的最大区别在于计算环境，云平台的计算环境是通过网络把

多个成本相对较低的计算实体整合而形成的一个具有强人计算能力的系统，这样的一个系统

势必比传统意义上的计算环境要更加复杂。对云平台的计算环境的保护也是云平台下信息安

全整体保护体系的重中之重。

强大、方便的云计算服务是通过客户端最终展现给用户的，在云计算环境完成了客户所

要求的工作或服务后，这些工作、服务的成果应通过一个安全的途径传输并最终展现在客户

端上。云计完环境下的通信网络就是保证云计算环境到客户端、云计和环境之间进行信息传

输以及实施安全策略的部件。

区域边界是云计算环境与云通信网络实现边界连接以及实施安全策略的相关部件。真正

的云计第环境应是可控的，在这一可控的云区域与其外部的不可控区域之间，应遵循一套规

则来确保只有通过认证的用户才能管理和使用云，从而保证云计算环境区域的安全。

云计算环境内部的各个部件的正常运转、数据在云内的安仝传输、云计算环境以及云区

域边界上的安全机制的执行，都需要进行统一的安全管理。操作、使用云服务，也应遵守一

定的管理规章制度。云计算环境下的安全管理就是一套对云计算环境内部以及云边界的安全

机制实施统一管理，并控制操作、使用云计算服务的行为的手段。

2.2云计算系统安全风险

2.2.1云平台的安全隐患

（1）应用配置不当。当你在云基础架构中运行应用以及开发平台时，应用在默认配置

下安全运行的概率机会基本为零。因此，你最需要做的事就是改变应用的默认安装配置。要

熟悉一下应用的安全配置流程，也就是说如果要使用它们，就要知道如何确保其安全，因为

它们占据了PaaS云架构中所有应用的80%之多。（2）平台构建漏洞，可用性、完整性

差。任何平台都存在漏洞的风险，有些平台极端环境下可用性、完成性的工作能力不够，

比如在大量网络连接下，web服务器的承受能力等。在对外提供API的平台应用中，编程环

境的漏洞、堆栈溢出的漏洞、高权限非法获取的漏洞都会存在.

（3）SSL协议及部署缺陷。对PaaS用户而言，第三个需要考虑的威胁是SSL攻击。

SSL是大多数云安全应用的基础。目前，众多黑客社区都在研究SSL,SSL在不久的将来或

许会成为一个主要的病毒传播媒介。因此，客户必须明白当前的形势，并采取可能的办法来

缓解SSL攻击，这样做只是为了确保应用不会被暴露在默认攻击之下。

<4）云数据中的非安全访问许可。对于PaaS用户而言，第四个需要考虑的威胁是需

要解决对云计算中数据的非安全访问问题。尽管说这似乎是一个特定环境下的问题，但我经

过测试发现，许多应用实际上存在严重的信息漏洞，数据的基本访问许可往往设置不当。从

安全的角度讲，这意味着系统需要批准的访问权限太多。

2.2.2应用服务层的安全隐患

（1）数据安全。SaaS提供的是一种数据托管服务，成千上万的企业将自己的信息托管

于SaaS服务商。在信息输过程中极易丢失或被非法入侵主机的黑客篡改、窃取，为病毒所

破坏或者因为程序的而不小心被其他使用者看到。

（2）垃圾邮件与病毒。病毒、蠕虫邮件在网络中传播大量占用用户网络带宽资源，企

业中被感染的局域网用户机器被植入木马程序，可能弁致敏感、机密信息数据泄露（如重要

文件、账号密码等）。

（3）软件漏洞，版权问题。

（4）操作系统以及IE浏览器的安全漏洞。由于目前操作系统、1E浏览器漏洞较多，

容易被病毒、木马程序等破坏。而也就是因为这样用户口令丢失的事情时有发生，从而使得

安全性得不到保障。

（5）人员管理以及制度管理的缺陷。服务商内部人员的诚信、职业道德可能造成安全

危险，另外，安全法律制度的不健全，保密规范和条款缺失，也是一个急需解决的问题。

（6）缺少第三方监督认证机制。

2.2.3基础设施层的安全隐患

（1）首先用户的数据在云中会存在泄露的危险。当用户迁移到云的时候，对于客户和

他们的数据来说，有两大改变。其一，相对于客户的地理位置来说，数据会被远程存储；其

二，数据通常是从单租户环境迁移到多租户环境的，这就是数据泄露问题发生的源头。数据

泄露只不过是一个客户到另一个客户的数据迁移，实际上在云中的每个客户都应该只能访问

他们自己的数据，而不能访问其他客户的数据。

（2）计算服务性能不可靠。主要包括硬件与软件问题。硬件问题包括服务器、存储、

网络的问题，硬件的不兼容、不稳定以及不易维护性，这都有可能造成计算性能的不可靠；

软件主要指统一部署与硬件之上的虚拟化软件的可靠性能，包括兼容性、稳定性、可维护性

等。

（3）远程管理认证危险。laaS资源在远端，因此你需要某些远程管理机制，这就存在

认证上的危险，比如账户的盗用，冒用，丢失等。

（4）虚拟化技术所带来的风险。由于laaS基于虚拟化技术搭建，虚拟化技术所带来的

风险便不可避免,包括堆栈溢出、权限管理、虚拟化管理程序软件会成为被攻击的目标等等。

(5)用户本身的焦虑。包括我的数据放在哪里，如何保证我的数据安全性等。

(6)服务中断。包括数据中心宕机，停止对外服务，以及灾难、电力供应等的毁灭性

破坏。此类破坏大部分为不可抗拒性破坏，由于laaS从层面上来说，更接近底层硬件设施，

因而对硬件设施的这些问题，应该给予更多的关注。此类事件一旦发生，便会造成数据中心

毁灭性的破坏。

2.3云计算的安全挑战

当前，云计算平台的各个层次，如主机系统层、网络层以及Web应用层等都存在相应安

全威胁，但这类通用安全问题在信息安全领域已得到较为充分的研究,并具有比较成熟的产

品。研究云计算安全需要重点分析与解决云计算的服务计算模式、动态虚拟化管理方式以

及多租户共享运营模式等对数据安全与隐私保护带来的挑战：

(1)云计算服务计算模式所引发的安仝问题。当用户或企业将所属的数据外包给云计算

服务商，或者委托其运行所属的应用时，云计算服务商就获得了该数据或应用的优先访问权。

事实证明，由于存在内部人员失职、黑客攻击及系统故障导致安全机制失效等多种风险,云

服务商没有充足的证据让用户确信其数据被正确地使用。例如，用户数据没有被盗卖给其竞

争对手、用户使用习惯隐私没有被记录或分析、用户数据被正确存储在其指定的国家或区

域,且不需要的数据已被彻底删除等等；

(2)云计算的动态虚拟化管理方式引发的安全问题。在典型的云计算服务平台中，资源

以虚拟、租用的模式提供给用户，这些虚拟资源根据实际运行所需与物理资源相绑定。由于

在云计算中是多租户共享资嫄,多个虚拟资源很可能会被绑定到相同的物理资源上。如果云

平台中的虚拟化软件中存在安全漏洞，那么用户的数据就可能被其他用户访问。例如,2009

年5月，网络上曾经曝光VMware虚拟化软件的Mac版本中存在一个严重的安全漏洞。别

有用心的人可以利用该漏洞通过Windows虚拟机在Mac主机上执行恶意代码。因此，如果

云计算平台无法实现用户数据与其他企业用户数据的有效隔离，用户不知道自己的邻居是

谁、有何企图，那么云服务商就无法说服用户相信自己的数据是安全的；

(3)云计算中多层服务模式引发的安全问题。前面已经提及，云计算发展的趋势之一是

IT服务专业化，即云服务商在对外提供服务的同时，自身也需要购买其他云服务商所提供

的服务。因而用户所享用的云服务间接涉及到多个服务提供商,多层转包无疑极大地提高了

问题的复杂性,进一步增加了安全风险。

由于缺乏安全关键技术支持，当前的云平台服务商多数选择采用商业手段回避上述问题。

但长远来看，用户数据安全与隐私保护需求属于云计算产业发展无法回避的核心问题。其实,

上述问题并不缺乏技术基础，如数据外包与服务外包安全、可信计算环境、虚拟机安全、秘

密同态计匏等各项技术多年来一直为学术界所关注。关键在于实现上述技术在云计匏环境

下的实用化,形成支撑未来云计算安全的关键技术体系，并最终为云用户提供具有安全保障

的云服务.

3云平台的安全防护设计

3.1云计算安全的建设思路

右安全整体建设分安全技术、安全运营和安全管理三大体系。安全技术体系分别从事前

监控、事中防护和事后审计三个角度进行考虑，全面覆盖物理层、网络层、平台层、系统层、

应用层和数据层：安全运营体系从云安全生命周期出发，通过安全评估、安全加固等一系列

的定期或触发性服务组成；安全管理体系参照信息安全等级保护的相关要求分别从安全管理

制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理进行建设。

合规需求和自身需求

第一阶段：可管第一阶段：可控第一阶段：可信

安全技术体系安全运营体系

安全防护H审计与恢豆：

监测与识别j

--------------!安全托管

|at11i备

数据层KtEJDffi::0B审计

份

恢

*

；・EB应用

应用层扫描网站监测;WAF防等改安全评估

三

!它“综

■

（y1合

：

日

系统层扫描入侵检测入侵防护防菽毒\\运烽审计志

•审-安全加固

计

■••

平台层平台安全

j--应急响应

I网络层派illfi控:i防火比RDOoS；j网络审计

物理层机房安全安全培训

安全管理体系

安全管理制度安全管理机构人员安全管理系统建设管理系统运维管理

3.2云计算平台的安全防护架构

从前面的分析可知，针对云计算带来的一些新的威胁及对传统安全防护体系的冲击，

急需要有新的安全防御思路与防护体系与之抗衡。建立防护体系，必须明确防护需求，下面

符对云环境下的安全防护体系需求进行分析。

首先是要提高云计算系统的安全性、健壮性。包括控制蠕虫、病毒、木马在云计算平

台内、外部的传播，及时隔离和修复：对进出云计算系统的数据流量和云计算系统运行状

态进行实施监控，及时发现修复网络和系统异常；部署网络攻击防御系统，防范黑客攻

击造成的系统瘫痪或服务中断；完善云计算平台的容灾备份现制。

其次是保护用户信息的私密性和完善性。刈用户系统和数据进行安全隔离和保护，确

保用户信息的存储安全，以及用户间逻辑边界的安全防护；通过采用数据加密、VPN等技术

保证用户数据的网络传输安全；完善用户信息的数据加密和密钥管理和分发机制，实现对

用户信息的安全高效安全管理与维护；完善数据备份，安全恢第机制。

再次是要做好身份认证与安全接入控制。建立严格的云计算AAA机制，实施严格的身

份管理、安全认证与访问控制控制，提供用户访问记录，访问可溯源。

最后云计算也需要加强安全管理。完善云安全事件应急响应机制及处理流程，加强对

操作、维护等各类日志的审计管理.，提高对违规溯源的事后审查能力。

结合云计匏技术及服务特点，在明确安全防护需求的基础上，综合采用多种安全技术

手段，从物理安全、网络安全、系统安全、应用安全、虚拟化安全、数据安全、管理安全

多个层面，构建层次化的纵深安仝防御体系，保障云计算应用安仝°

3.2.1物理安全

物理安全是整个云计算系统安全的前提，主要包括物理设备的安全、网络环境的安全

等，以保护云计算系统免受各种自然及人为的破坏。如果其所处的环境及其本身的物理特

性存在安全问题，必将引起云计算系统网络设备和线路的不可用，从而造成整个网络系统

的不可用。

3.2.2网络安全

网络层安全主要指网络架构、网络设备、安全设备方面的安全性，主要体现网络拓扑

安全、安全域的划分及边界防护、网络资源的访问控制、远程接入的安全，路由系统的安

全、入侵检测的手段、网络设施防病毒等方面，采取的主要安全措施和技术包括划分安全

域、实施安全边界防护、部署防火墙、IPS/IDS,部署Dos,DDoS攻击防御系统、网络安

全审计系统、防病毒网关、强身份认证等。

前面己经提到了，在云订算系统中，拒绝服务攻击带来的后果和破坏将会明显地超过

传统的网络。所以必须加强抗拒绝服务攻击的防范，采取相应的防攻击技术措施，以保障

云计算系统的安全。另外，在云计算应用环境下，虚拟化及共享特性引入了逻辑边界，如

何对逻辑边界实施安全防护和访问控制，监控和限制各应用间的通信流量，是业界甚至学

术界应该着重研究的问题。

3.2.3系统安全

系统安全主要指云计算系统中的主机服务器、维护终端在内的所有计算机设备在操作

系统和数据库的层面安全性。操作系统的安全问题主要体现在操作系统本身的缺陷带来的

不安全因素，如访问控制、身份认证、系统漏洞、操作系统的安全配置问题、病毒对操作

系统的威胁等方面，数据库的安全性主要体现在安全补丁、账户口令、角色权限、日志和

审计、参数设置等方面。

主机系统作为云计克平台海量信息存储、传输、应用处理的基础设施，数量众多，资

产价值高，面临的安全风险极大，其自身安全性可能影响整个云计算系统的安全。主要的

防护措施包括身份认证、访问控制、主机安仝审计、HIDS、主机防病毒系统等，仝面发现

主机系统和数据库在安全配置、安全管理.、安全防护措施等方面的漏洞和安全隐患。

维护终端作为一种比较分散的资源，长期以来面临病毒、端虫、木马、恶意代码攻击，

难以进行集中有效的安全管理。不安全的终端可能成为一个被动的攻击源，对整个系统构

成威胁。应定期查看维护终端的版本及安全补丁安装情况，检查账户及口令策略，防止出

现使用系统默认账户或弱口令等情况的发生，应注意及时升级防病毒、防木马软件的病毒、

木马库。另外，需要定期查看日志，避免异常安全事件及违规操作的发生。

3.2.4应用安全

应用安全主要指运行在云计算主机系统上各种不同功能的应用系统的安全性。由于云计

算是一种全新的Web服务模式，推动了Internet的Web化趋势，应用安全主要体现在

Web安全上。Web安全包括两个方面：一是Web应用本身的安全，即利用Web应用漏洞

（如SQL注入、跨站脚本漏洞、目录遍历漏洞、敏感信息泄露等漏洞）获取用户信息、损

害应用程序，以及得到Web服务器的控制权限等；二是内容安全，即利用漏洞篡改网页

内容，植入恶意代码，传播不正当内容等•系列问题。针对Web应用漏洞，应注重Web应

用系统的全生命周期的安全管理，针对系统生命周期不同阶段的特点采用不同的方法提高

应用系统的安全性。Web应用形式多种多样，其防护也是•个复杂问题，可采取网页过滤、

反间谍软件、邮件过滤、网页防篡改、Mb应用防火墙等防护措施，同时加用安全配置，

如定期检看中间件版本及补丁安装情况，账户及口令策略设置，定期检查系统口志和异常

安全事件等等，解决Web应用的主要隐患和问题。

3.2.5管理安全

三分技术、七分管理，再安全的网络设备离不开人的管理.再好的安全策略最终要靠

人来实现，因此管理是整个安全中最为重要的一环，尤其是对于一个比较庞大和复杂的云

计算系统，更是如此。因此我们有必要认真地分析云安全管理中可能存在的安全风险，并

采取相应的安全措施。

主要涉及安全管理机构和人员的设置、安全管理制度的建立以及人员安全管理技能等

方面。

针对云计匏系统特点，重点应加强用户管理、访问认证、安全审计等方面的管理：建

立安仝审计系统，进行统一、完整的审计分析，通过对操作、维护等各类日志的安仝审计，

提高对违规溯源的事后审查能力。另外也耍加强对云计算安全事件管理，完善云计算平台

的容灾备份机制J,建立完善的应急响应机制J,提高对异常情况和突发事件的应急响应能力，

保障云业务在发生安全事件时，可以快速恢复业务，保障云计算系统的业务连续性。

3.2.6虚拟化安全

虚拟化是云计算的主要特点之•，虚拟化能都助在不同业务层面上实现弹性架构和资

源池化，但同时也会产生许多安全问题。虚拟化技术引入了Hypervisor和其它管理模块，

增加了新的攻击层面，也带来了新威胁。虚拟机间通过硬件的背板而不是网络进行通信，

利用传统的防护手段无法对它们进行监测、在线封堵，类似这些安全控制功能在虚拟化环

境中都需要采用新的形式。不同敏感度和安全要求的虚拟机共存问题、虚拟机的动态迁移

带来的安全问题、数据集中存储带来的新风险等都是急需解决的问题。

针对以上威胁，可采用虚拟机的安全隔离及访问控制、虚拟交换机、虚拟防火墙、虚

拟镜像文件的加密存储、存储空间的负载均衡、兀余保护、虚拟机的备份恢复等来保障云计

算服务的高可用性。

3.2.7数据安全

数据的保密性、完整性、可用性、真实性、授权、认证和不可抵赖性都是云环境下的

重点关注问题。在数据的创建、存储、使用、共享、归档、销毁等阶段，都需要采取相应

的保护措施，主要通过虚拟化层实现虚拟机间存储访问隔离：通过设置虚拟环境下的逻

辑边界安全访问控制策略，实现虚拟机、虚拟机组间的数据访问控制：通过对重要的数据

信息在上传、存储前进行加密处理来保障数据存储的安全：通过采用采用数据加密、VPN

等技术保障用户数据及维护管理信息的网络传输安全：通过存储资源重分配之前进行完整

的数据擦除实现剩余信息的安全、通过支持文件级完整和增量备份及映像级恢复和单个文

件的恢复等方式保障数据的有效备份与迅速恢复。

4分项目安全防护手段介绍

安恒信息XXX住建厅云上业务系统安全方案事前监控采用先知态势感知服务，事中利用

玄武盾云防御服务和网站卫士，事后结合飞天镜安全分析服务、运维审计和数据库审计对系

统进行全面的安全防护，在加上人工安全服务的配合，为公有云租户提供固若金汤的安全保

护体系。

4.1运营监测

4.L1先知态势感知服务

在深刻分析安全监管面临的各类工作难题与困境后，安恒信息推出了态势感知服务，该

服务依靠云端的大数据网络空间态势感知系统一一先知，保障海量站点安全监测的数据全面

性、时效性，融合7*24专家安全值守，对检测到的漏洞、事件进行专家级的验证，为用户

输出准确可靠信息。另一点，通过对被监管站点的基础信息采集，在爆发Oday、攻击事件

时，可以进行快速的威胁预警。为了更好地满足用户获取服务结果，并进行监管、通报、展

现的需求，本服务提供专用的用户服务终端系统。

“先知”服务端

云端监测海量网站

7*24专家值守审核

实时安全通报保障

用户服务终端

接收并管理服务数据

可视化展现服务数据

4.1.1.1指定网络空间内系统发现与基础信息服务

由于管理、技术等多种原因，海量信息系统基础数据的验证、维护、更新与比对检查工

作，长期处于缺失状态。尤其是政府网站存在被黑客符域名指向海外服务器、ICP备案号盗

用、政府域名被冒名注册为钓鱼网站、隐蔽服务器、“肉鸡”服务器泛滥等情况屡见不鲜，

这都是网络安全上管部门对其监管对象基本情况不明、基本数据不全、缺乏基本数据检测与

监测手段所造成的。

风暴中心的云端的先知系统，通过部署在全国的全网爬虫集群，在互联网空间中进行广

度优先的爬取，不间断采集域名信息，目前已累计监测到2亿个域名。并对探测发现的域名

进行基础信息获取与智能处理。

凭借云端不断丰富的在线系统数据，可为对应的辖区用户、行业用户提供对应的资产清

单，可提供的在线系统基础信息如下：

网站域名、标题；

网站IP及其仃属；网站行政归属；网站行业属性；

网站指纹信息：操作系统、NEB服务器类型、插件、CMS、CDN服务信息等：

用户按需获得对应的资产信息后，可对此类数据进行维护与更新，以完善更精确的资产

信息。

4.1.1.2在线系统安全问题实时监测服务

本服务利用云端大数据系统和分布式计算网络，结合信息系统基础数据，安恒可以快速

实现大批量网站、网络主机的安全扫描任务，及时快速发现与定位网络安全漏洞问题的存在

与网络安全事件的发生，并提供包括问题验证、事件调查、问题和事件通报、事件处置的全

流程服务。

4.1.1.3网络安全问题与事件发现服务

网络安全问题与事件发现服务包括网站脆弱性检测、网站可用性监测、网站安全事件监

测、网站敏感内容监测与网络主机监测：

脆弱性检测

网站脆弱性检测服务将通过WEB应用漏洞扫描引擎对目标站点进行网站漏洞检测，包括

SQL注入漏洞、跨站脚本漏洞、开放服务漏洞、网站第三方应月漏洞以及新发现的0Day漏

洞等，及时发现漏洞，并进行人工审核、取证确认，网站脆弱性检测服务可对目标站点历史

风险进行追踪监测，提供漏洞的新增、遗留与修复情况。

可用性监测

网站可用性监测服务采用多线路监测技术，提供目标站点的域名解析可用性、网站服务

可用性、以及网站内容可用性，能够较为全血的实现网站可用性的监测。可用性监测分为以

下三类服务内容：

域名解析可用性

任何•个解析的域名均有时应的权威DNS服务器为其提供域名解析服务，如果提供权威

DNS信息的域名服务器出现故障或解析出错误的信息，将导致用户无法访问到真实的网站。

网站远程安全监测服务通过监测权威DNS服务器的可用性、以及权威DNS服务器解析1P地

址是否与历史基准•致来判断域名是否发生安全问题，出现问题后会立即审核并进行通告。

网站服务可用性

网站应用可用性服务会自动监听网站指定的TCP端口，通过HTTP协议访问网站，通过

返【可的响应状态码，来判断网站是否能够提供正常的服，以监督网站服务正常运行。

网站内容可用性

网站内容可用性监测引擎间隔一段时间就会向监测网站发起HTTP请求，并核对响应页

面内容是否有基准文本或数据，根据基准信息是否匹配，进而判断网站内容是否发生异常。

安全事件监测

网站安全事件监测服务可对页面被攻击情况进行实时监测:通过对网络空间中的页面被

黑资源的提取，形成暗错库、敏感言论库、黑客标识库等，可快速监测到网站出现的典型安

仝事件，帮助管理员尽快得知当前网站被黑客攻击的情况，能够在事发产生恶劣影响前尽快

回复系统正常。

网站敏感内容监测

网站敏感内容监测服务对目标页面中存在的敏感言论进行实时监测，通过自动化识别以

及人工确认等方式，监测发现敏感内容，及时通知用户，以保障网站内容健康合法。

网络主机监测

网络主机监测服务通过对互联网中存在的主机进行扫描，与我省信息系统基础数据信息

进行历史纵向比对，及时发现网络生机状态异常变更情况。同时，在特定主机层面系统紧急

高危漏洞爆发期，对网络主机受漏洞影响几率进行检测。

4.1.1.4安全问题实时通报与处置追踪服务

态势感知服务通过云端系统确保实时的漏洞发现与事件监测，结合7*24专家的验证与

审核，对各类问题进行专业的审核取证，最后将可靠数据通报给用户，并且长期对通报事件

进行跟踪，直至问题已被处理完毕，形成事件闭环。

网络安全问题验证服务

针对网络安全问题与事件发现服务所报送的网络安全问题:安恒信息配备专业风险评估

与渗透测试技术人员，对安全漏洞真实性进行人工验证，判断与评估安全问题危害与紧急程

度，避免误报。

网络安全事件调查服务

针对网络安全问题与事件发现服务所报送的网络安全事件,安恒信息配备专业网络安全

情报分析人员，对安全事件进行人工调查，判断与评估安全事件危害与紧急程度，为安全事

件处置提供依据，同时也为网络安全重点事件专题分析提供分析素材。

网络安全问题与事件通报服务

依据网络安全问题与事件监测服务的情况发现，与网络安全问题、事件的验证与调查服

务结果，结合网络安全态势感知通报体系内部工作流程，根据信息系统基础数据库中的分类

分级信息，提供可自定义的自动化通报服务，使用邮件、密信笔方式确保安全问题与事件简

报、报告可发送到相关单位与个人。

用户可按需进行通报下发

用户端在获取到通报审核后的数据后，用户可对事件进行快速通报，按需发给管辖范围

内的下级单位，实现通报督促的职能：

本服务配备对应的通报APP,用户可在手机终端上接受到实时通报数据，并进行对应通

报下发，要求下级单位整改。

事件持续跟踪整改情况

在事件被通报后，系统将会对该安全问题进行持续的跟踪，直至问题并处理完后，形成

闭环。

4.1.1.5Oday威胁快速定向预警服务

安恒信息风暴中心通过对国际国内最新网络安全威胁情报的实时监控，能第一时间获取

最新安全威胁，确认最新安全威胁尤其是Oday,对所利用的安全漏洞及影响的系统类型进

行提取，根据信息系统基础数据服务中所建立的信息系统资产数据库与指纹库进行精确比对,

对最新网络安全威胁可能对网络安全态势造成的影响进行预判，根据其影响范围、危害确定

警报等级，可以形成影响系统清单，进行定向预警，形成主动安全整改、加固防御机制，预

防Oday被利用事件的发生。

目前风暴中心已经输出过大量的Oday影响预警，如拓尔思系统任意文件上传、openssl

证书绕过漏洞、IIS7远程命令执行、java反序列化等重大影响的Oday预警。

4.1.1.6各类安全专题深入检测通报服务

近年来，国外网络作战部队、敌对势力、黑客组织与网络犯罪集团都将我国视为展开网

络攻击的主要战场，“匿名者”组织、“反共黑客”组织、网络赌博黑色产业链集团等，都

曾经与正在对我国网络空间进行持续性的网络攻击。

对上述有组织的规模性网络攻击事件，需对其攻击手段、技术水准、行为模式、组织背

景和活动情报等，进行同样具备针对性的专题调查、分析与研究工作，这对于防御规模性网

络攻击行动、打击网络犯罪行为、治理网络空间环境具有重要意义。

安恒信息结合自身遍布全国的大数据采集引擎与后台先进的网络安全情报分析系统，组

织具有丰富经验的网络安全情报分析人员，可以提供网络安全逗点事件的专题分析服务。目

前已经对政府站点暗链专题、反共黑客专题、域名劫持专题、匿名者专题、某行业站点部署

WAF情况等安全问题进行过深入的专题性分析。

提供可获取服务的终端系统

为了能保障用户更高效得获取服务数据，并通过服务成果进行安全监管，本次服务提供

专业的用户服务系统，以协助用户掌握最实时的安全态势，高效执行安全监管职能：

网络资产库：同步来自云端的对应管辖范围的资产数据，并可对资产进行维护；

安全态势可视化：可从云端获取最新的安全态势可视化展现内容，以及云端将推送最新

安全动态资讯：

专业的服务报表：云端安全专家讲定期提供安全报表，从多维度分析整体安全态势，以

及各类专题分析报表；用户也可按需搜索海量站点，查看具体站点安全报告；

通报监管：云端审核后的各类安全事件将同步给用户端，系统监管用户可对各类事件确

认是否下发给对应的网站管理单位，并且可查看事件处理的最新进展：

服务内容监控：可实时查看安全服务的进度与结果，掌握当前开启的各项服务运行情况:

4.2云服务的应用层基础防护

4.2.1玄武盾，基于云服务的应用层外部防护系统

4.2.1.1工作原理

安恒玄武盾采用零部署的云计算解决方案，用户无需在本地部署任何安全设备，只需将

DNS映射至玄武盾CNAME别名地址或将网站NS解析为安恒玄武盾DNS服务器，玄武盾全国

DNS调度中心会对全国的用户访问进行就近选路，用户的访问先经过DDOS防护，可防护黑

客发起的Syn-flood>upd-fbod、tcp-flood、应用层CC等攻击。用户访问图片、视频等

静态文件时可直接到玄武盾全国CDN节点上获取，无需到源服务器上调取，提升用户访问速

率，并节省服务器带宽。

玄武盾全国的云防护节点可对黑客发起的注入、跨站、网页木马、扫描器、组件Oday

攻击、盗链等攻击进行防护，然后将正常流量转发到源站服务器。

421.2产品功能

.1网站防护

玄武盾提供了目前业界覆盖范围最广、防护能力最强的安全防护，对Web网站或应用进

行严格的保护。安全策略来自于Snort、CWEsOWASP组织，以及安恒安全研窕院对国内典型

应用的深入研究成果，覆盖范围如下：

.2HTTP协议规范性检查

检查提交的报文是否符合HTTP协议框架，如异常的请求方法、不同字段的合规性、特

殊字符、重点字段的缺失、HITP方法控制、超长报文造成的溢出攻击以及对高危文件的访

问等，黑客在使用非浏览器工具调试时可迅速拦截。

.3文件B超

对用户上传的文件后缀名和文件内容进行全方面检查，杜绝Webshell的上传和访问。

.4注入攻击防护

对用户提交的URL、参数、Cookie等字段进行检有，采用SQL语义解析技术防止风险系

数极高的SQL注入攻击，采用字符偏移技术对代码、命令、文件、LDAP、SSI等注入攻击的

检测，有效地防护了对操作系统和应用的注入攻击。

.5跨站脚本攻击防护

采用字符差分技术对用户提交的脚本进行检查，防止不合法跨站脚本。

.6网页木马防护

对页面内容进行逐行扫描，检查是否存在网页木马，防止客户端被感染。

.7信息泄漏防护

对服务器响应状态码、服务器错误信息、数据库错误信息、源代码信息泄露进行过滤，

防止服务器信息被黑客利用进行有效攻击。

.8智能防护

采用行为识别算法有效识别扫描器或黑客持续性攻击，避免被扫描器持续猜测攻击或黑

客持续渗透攻击。

.9第三方组件漏洞防护

对WEB服务器容器、应用中间件、CMS系统等漏洞进行有效防护。

.10CSRF跨站请求伪造防护

通过Referer算法和token算法有效对CSRF攻击进行防护。

421.2.11防盗链

通过Referer和Cookie算法有效防止非法外链，和对用户资源内容的盗链。

.12CDN力口速

安恒玄武盾云防护在全国拥有20多个式点，可对所有•省,直辖市的访问用户进行CDN

加速，包括内置Wcbcachc及Wcbrar模块，Webcache模块对静态页面进行高速缓存，提升

用户访问速率，Webrar模块对页面内容进行压缩，提升服务器带宽使用率。

421213防DDOS、CC攻击

安恒玄武盾与国内知名云计算厂商合作，拂行300GDDOS防护能力，有效防护实现对

Syn-flood.upd-flood.tcp-flood等DDOS攻击，拥有专利级坊CC攻击算法，可有效解决

应用层CC攻击，一方面解决了用户网站被DD0S攻击时的可用性问题，另一方面对玄武盾本

身也加强了防护，这样可持续保证用户的网站稳定运行。

4.2.1214永久在线

当用户网站因为服务器故障、线路故障、电源等问题出现无法连接时，可显示云防护中

的缓存页面：

当在敏感期或特殊时期时,用户网站会主动关闭，在这期间可显示云防护中的缓存页面。

.15可视化安全防护

可实时查看可视化态势感知，实时了解安全防护状态。

・♦KB

■1・”

■-i叱

;4M

…“T…Y*

W.M*

&G

a・E

2.16*

化石以3元多■政36文件一

iu.9金；好文。一

"6.SU2B.M>lfWIS5tn-

Ilk9.UB.212卡立％力总文科一

42.fiC.XM.11♦■"名文R-

的“BEth

■■■■■I

：',=.呻

■松

・■辽

■■■^H««

■f««

■rts——

BiaMaEza

ax

■KMMg

235323S6»W0002000500060011001400170020

L.，--_____________

421216用户数据报表

用户可查看访问流量报表、安全防护报表，安全防护报表包含攻击次数态势分析、攻击

者区域态势分析、攻击者IP统计、被攻击页面统计、被攻击域名统计、攻击事件统计、攻

击威胁等级统计等。

安恒MSSP自助平台MUB划泄百

gin

tg言讦S

•HOT*W

一-次0.00M

gate*••个

访问攻击时向分梏

4.2.1.3玄武盾优势

.1企业级安全解决方案

安恒具备多年企业级安全解决方案，玄武盾核心防护引擎来源于安恒WEB应用防火墙产

品，高效稳定，误判率和漏报率业内最低，产品成熟度高，8年产品研发历程，历经数十万

网站的考验。

产品功能完善，可满足不同行业用户的安全需求：

安全研究院定期输送安全成果到玄武盾，增强防护能力；

部署简便快捷，用户端无需部署任何安全设备即可完成云防护、云加速；

用户可对自身业务进行自定义防护和例外策略，杜绝一套策略用于所有网站，避免误报

和漏报；

用户使用成本低廉，可按需购买。

.2风暴中心整体解决方案

风暴中心以安恒信息长达8年在信息安全领域的经验积累为核心,借力成熟的大数据及

云计算技术构建了基于大数据的安全搜索引擎，从而为实现全国基至全球互联网络在线业务

系统的安全基础数据采集、大范围风险评估、威胁情报分析、重大安全事件监测等提供了行

力的技术支撑和管理决策参考。

玄武盾依托于风暴中心的实时监测和大数据分析技术，云监测模块在发现问

题可快速与玄武盾进行联动响应，可将漏洞结果生成虚拟补「方式卜发到玄武盾进行防

护，通过大数据分析技术对海量日志进行分析挖掘，有效发现Oday攻击，并同步到玄武盾

生成防护策略。

4.3服务器安全加固

4.3.1服务器漏洞扫描

Internet发展到今天，基于WEB和数据库架构的应用系统已经逐渐成为主流，广泛应

用于企业内部和外部的业务系统中。在网络高速公路不断拓展、电子政务、电子商务和各种

基于WEB应用的业务模式不断成熟的今天，近两年关于网络钓鱼、SQL注入、木马和跨站脚

本等攻击事件带来的严重后果，影响了人们对WEB应用的信心，国际调研机构给出了WEB

安全威胁愈演愈烈的预测。根据Garincr的报告，目前网络中常见的攻击已经由传统的系统

漏洞攻击逐渐发展演变为对应用自身弱点的攻击，其中最常见的攻击技术就是针对WEB应用

的SQL注入和钓鱼攻击。

据CNCERT/CC统计，2014年通用软硬件漏洞事件714起，较2013年增长1倍。

4月8日，开源加密协议OpenSSL被披露存在内存泄露高危漏洞(CNVD编号：

CNVD-2014-02175,对应CVE-2014-0160),又称“心脏出血(HeartBleed)”漏洞,利用该

漏洞可窃取服务器敏感信息，实时获取用户的账号和密码，危害波及大量互联网站、电子商

务、网上支付、即时聊天、办公系统、邮件系统等“据抽样统干，我国境内受该漏洞影响的

IP地址超过3万个。

9月25日，GNUBASH(BoumcAgainShell)组件被披露存在远程代码执行高危漏洞(CNVD

编号：CNVD-2014-06345,对应CVE-2014-6271),又称“破壳(BashShellShock)”漏洞,

Redhat、Fedora、CentOS、UbuntuDebian、MACOS等几乎目前所有主流UNIX/Linux操作

系统平台、使用ForceCommand功能的OpenSSHSSHD、使用mod_cgi或mod_cgid的

Apache服务器、DHCP客户端和其他使用BASH作为解释器的应用均受到影响，不仅是服务器

系统，还包括交换机、防火墙、网络设备以及摄像头、IP电话等许多基于Linux的定制系

统，影响范围比“心脏出血”漏洞更为严重。

根据对部分漏洞的持续监测来看，漏洞修复的速度总体较为缓慢。“心脏出血”漏洞披

露3个月后发现仍有约16%尚未修更，而知名度相对较低的Ngnix文件解析漏洞（影响Web

应用）在披露1年后未修复率仍高达55乐

另外，针对特定目标的有组织高级可持续攻击（APT攻击）FI渐增多，国家、企业的网络

信息系统安全面临严峻挑战。

不仅于此，网络环境、信息系统架构越来越复杂的今天，原本单一的检查工具已经渐渐

不能满足弱点多样化的今天，用户越来越多的需要全方位的弱点发现能力：系统漏洞、数据

库漏洞、Web应用漏洞、弱口令……

基于此，杭州安恒信息技术有限公司（简称“安恒”）推出7集Mb漏扫、数据库漏扫、

系统漏扫于一体的明鉴®远程安全评估系统（DAS-RAS）,为您信息系统整体风险评估提供有

力的支撑。

三i

三h

三

三

明鉴完远程安全评估系统（DAS-RAS）是一种以Mb、数据库、操作系统、软件的安全检

测为核心，弱口令、端口与服务探测为辅助的综合漏洞探测系统。并旦系统使用一种先进技

术，实现分布式、集群式漏洞扫描功能，大大缩短扫描周期，提高长期安全监控能力。通过

B/S框架及完善的权限控制系统，满足您最大程度上的安全协作要求。

明鉴党远程安全评估系统（DAS-RAS）功能主要包含了Web、数据库、操作系统及应用软

件、弱口令、端口探测与服务识别5大扫描功能，以及分布式集群扫描模块、统计报告控

制体系、用户权限管理体系等辅助功能。

分布爆群管理模块统日志审计

计

报

WebO苗主机扫描数据库扫描告

控备份与还原

制

端口/服