XXX地质环境监测院云安全解决方案

XXX地质环境监测院云安全

解决方案

DB^P^^scunty

安恒信息

杭州安恒信息技术有限公司

二O二四年十一月

目录

1项目背景.....................................................................3

2项目需求......................................................................3

2.1云计算的安全体系架构..................................................3

2.2云计算系统安全风险....................................................4

2.2.1云平台的安全隐患................................................4

2.2.2应用服务层的安全隐患............................................5

2.2.3基础设施层的安全隐患............................................5

2.3云计算的安全挑战.......................................................6

3云平台的安全防护设计..........................................................7

3.1云计算安全的建设思路.................................................7

3.2云计算平台的安全防护架构.............................................7

3.2.1网络安全........................................................8

3.2.2数据安全........................................................8

4分项目安全防护手段介绍.......................................................9

4.1云服务的应用层基础防护...............................................9

4.1.1玄武盾，基于云服务的应用层外部防护系统.........................9

4.2云服务的应用层深入防护..............................................14

4.2.1WEB应用系统的SQL注入、XSS跨站脚本等的攻击防护.............14

4.2.2网页其改攻击的防护............................................17

5产品设备清单................................................................19

6阿里云项目案例..............................................................19

1项目背景

XXX地质环境监测院是XXX的直属单位，主要职责在于组织拟订并实施全省地质环境保

护规划及地质灾害防治、地质遗迹保护等专项规划；组织开展地质灾害防治工作；承担矿山

地质环境保护工作；依法管理水文地质、工程地质、环境地质勘查和评价工作；承担古生物

化石、地质遗迹、矿业遗迹等资源保护的监督管理工作；承担矿泉水和地热资源勘查评价与

开发利用的监督管理工作；组织监测、监督，以防止地下水过量开采引起的地面沉降和地下

水污奥造成的地质环境破坏。

地质环境监测院的互联网外网业务系统和门户网站，目前部署在阿里云上，直接面对互

联网用户。主要涉及两台虚拟服务器，三个二级域名的网站服务。

阿里云，提供基础的云服务环境，但是不具备应用层防护的能力。因此地质环境监测院

对于网站的基本上处于0防护的状态，因此本期本着基线云安全防护的原则,给予服务器全

面的安全防护。

2项目需求

2.1云计算的安全体系架构

当前，云计算发展面临许多关键性问题，而安全问题苜当其冲。并且随着云计算的不断普

及，安全问题的重要性呈现逐步上升趋势，已成为制约其发展的重要因素。Garlner2()09年

的调查结果显示,70%以上受访企业的C7T0认为近期不采用云计算的首要原因在于存在数据

安全性与隐私性的忧虑。而近来,Amazon,Google等云计算发起者不断爆出各种安全事故更

加剧了人们的担忧。例如,2009年3月，Google发生大批用户文件外泄事件,2009年2

月和7月，亚马逊的“简单存储服务(simplestorageservice,简称S3)”两次中断导致依

赖于网络单一存储服务的网站被迫瘫痪等等。因此,要让企业和组织大规模应用云计算技术

与平台，放心地将自己的数据交付于云管理，就必须全面地分析并着手解决云计算所面临的

各种安全问题。

云计算平台和传统计算平台的最大区别在于计算环境，云平台的计算环境是通过网络把

多个成本相对较低的计算实体整合而形成的•个具有强大计算能力的系统,这样的一个系统

势必比传统意义上的计算环境要更加密杂。对云平台的计算环境的保护也是云平台下信息安

全整体保护体系的重中之重。

强大、方便的云计算服务是通过客户端最终展现给月户的，在云计算环境完成了客户所

要求的工作或服务后，这些工作、服务的成果应通过一个安全的途径传输并最终展现在客户

端.匕云计算环境下的通信网络就是保证云计算环境到客户端、云计算环境之间进行信息传

输以及实施安全策略的部件。

区域边界是云计算环境与云通信网络实现边界连接以及实施安全策略的相关部件。真正

的云计算环境应是可控的，在这一可控的云区域与其外部的不可控区域之间，应遵循一套规

则来确保只有通过认证的用户才能管理和使用云，从而保证云计算环境区域的安全。

2.2云计算系统安全风险

2.2.1云平台的安全隐患

（1）应用配置不当。当你在云基础架构中运行应用以及开发平台时，应用在默认配置

下安全运行的概率机会基本为零。因此，你最需要做的事就是改变应用的默认安装配置。要

熟悉一下应用的安全配置流程，也就是说如果要使用它们，就要知道如何确保其安全，因为

它们占据了PaaS云架构中所有应用的80%之多。

（2）平台构建漏洞，可用性、完整性差。任何平台都存在漏洞的风险，有些平台极

端环境下可用性、完成性的工作能力不够，比如在大量网络连接下，web服务器的承受能力

等。在对外提供API的平台应用中，编程环境的漏洞、堆枝溢的漏洞、高权限非法获取的

漏洞都会存在。

（3）SSL协议及部署缺陷。对PaaS用户而言，第三个需要考虑的威胁是SSL攻击。

SSL是大多数云安全应用的基础。目前，众多黑客社区都在研究SSL,SSL在不久的将来或

许会成为一个主要的病毒传播媒介。因此，客户必须明白当前的形势，并采取可能的办法来

缓解SSL攻击，这样做只是为了确保应用不会被暴露在默认攻击之下。

（4）云数据中的非安全访问许可。对于PaaS用户而言，第四个需要考虑的威胁是需

要解决对云计算中数据的非安全访问问题。尽管说这似乎是一个特定环境下的问题，但我经

过测试发现，许多应用实际上存在严重的信息漏洞，数据的基本访问许可往往设置不当。从

安全的角度讲，这意味着系统需要批准的访问权限太多.

2.2.2应用服务层的安全隐患

（1）数据安全。SaaS提供的是一种数据托管服务，成千上万的企业将自己的信息托管

于SaaS服务商。在信息输过程中极易丢失或被非法入侵主机的黑客篡改、窃取，为病毒所

破坏或者因为程序的而不小心被其他使用者看到。

（2）垃圾邮件与病毒。病毒、蠕虫邮件在网络中传播大量占用用户网络带宽资源，企

业中被感染的局域网用户机器被植入木马程序，可能导致敏感、机密信息数据泄露（如重要

文件、账号密码等）。

（3）软件漏洞，版权问题。

（4）操作系统以及1E浏览器的安全漏洞。由于目前操作系统、1E浏览器漏洞较多，

容易被病毒、木马程序等破坏。而也就是因为这样用户口令丢失的事情时有发生，从而使得

安全性得不到保障。

（5）人员管理以及制度管理的缺陷。服务商内部人员的诚信、职业道德可能造成安全

危险，另外，安全法律制度的不健全，保密规范和条款缺失，也是一个急需解决的问题。

（6）缺少第三方监督认证机制。

2.2.3基础设施层的安全隐患

（1）首先用户的数据在云中会存在泄露的危险。当用户迁移到云的时候，对于客户和

他们的数据来说，有两大改变。其一，相对于客户的地理位置来说，数据会被远程存储；其

二，数据通常是从单租户环境迁移到多租户环境的，这就是数据泄露问题发生的源头。数据

泄露只不过是一个客户到另一个客户的数据迁移，实际上在云中的每个客户都应该只能访问

他们自己的数据，而不能访问其他客户的数据。

（2）计算服务性能不可靠。主要包括硬件与软件问题。硬件问题包括服务器、存储、

网络的问题，硬件的不兼容、不稳定以及不易维护性，这都有可能造成计算性能的不可靠;

软件主要指统一部署与硬件之上的虚拟化软件的可靠性能，包括兼容性、稳定性、可维护性

等。

（3）远程管理认证危险。laaS资源在远端，因此你需要某些远程管理机制，这就存在

认证上的危险，比如账户为盗用，冒用，丢失等。

（4）虚拟化技术所带来的风险。由于laaS基于虚拟化技术搭建，虚拟化技术所带来的

风险便不可避免,包括堆栈溢出、权限管理、虚拟化管理程序软件会成为被攻击的目标等等。

(5)用户本身的焦虑。包括我的数据放在哪里，如何保证我的数据安全性等。

(6)服务中断。包括数据中心宕机，停止对外服务，以及灾难、电力供应等的毁灭性

破坏。此类破坏大部分为不可抗拒性破坏，由于laaS从层面上来说，更接近底层硬件设施，

因而对硬件设施的这些问题，应该给予更多的关注。此类事件一旦发生，便会造成数据中心

毁灭性的破坏。

2.3云计算的安全挑战

当前.，云计算平台的各个层次，如主机系统层、网络层以及Web应用层等都存在相应安

全威胁,但这类通用安全问题在信息安全领域已得到较为充分的研究，并具有比较成熟的产

品。研究云计算安全需要重点分析与解决云计算的服务计算模式、动态虚拟化管理方式以及

多租户共享运营模式等对数据安全与随私保护带来的挑战：

(1)云计算服务计算模式所引发的安全问题。当用户或企业将所属的数据外包给云计算

服务商,或者委托其运行所属的应用时，云计算服务商就获得了该数据或应用的优先访问权。

事实证明，由于存在内部人员失职、黑客攻击及系统故障导致安全机制失效等多种风险,云

服务商没有充足的证据让用户确信其数据被正确地使用。例如，用户数据没有被盗卖给其竞

争对手、用户使用习惯隐私没有被记录或分析•、用户数据被正确存储在其指定的国家或区

域,且不需要的数据已被彻底删除等等；

(2)云计算的动态虚拟化管理方式引发的安全问题，在典型的云计算服务平台中，资源

以虚拟、租用的模式提供给用户，这些虚拟资源根据实际运行所需与物理资源相绑定。由J-

在云计算中是多租户共享资源，多个虚拟资源很可能会被绑定到相同的物理资源上。如果云

平台中的虚拟化软件中存在安全漏洞，那么用户的数据就可能被其他用户访问。例如,2009

年5月，网络上曾经曝光VMware虚拟化软件的Mac版本中存在一个严重的安全漏洞。别

有用心的人可以利用该漏洞通过Windows虚拟机在Mac主机上执行恶意代码。因此，如果

云计算平台无法实现用户数据与其他企业用户数据的有效隔离，用户不知道自己的邻居是

谁、有何企图，那么云服务商就无法说服用户相信自己的数据是安全的；

(3)云计算中多层服务模式引发的安全问题。前面已经提及，云计算发展的趋势之一是

IT服务专业化，即云服务商在对外提供服务的同时，自身也需要购买其他云服务商所提供

的服务。因而用户所享用的云服务间接涉及到多个服务强供商，多层转包无疑极大地提高了

问题的复杂性，进一步增加了安全风险。

由于缺乏安全关键技术支持，当前的云平台服务商多数选择采用商业手段回避上述问题。

但长远来看,用户数据安全与隐私保护需求属于云计算产业发展无法回避的核心问题。其实,

上述问题并不缺乏技术基础，如数据外包与服务外包安全、可信计算环境、虚拟机安全、秘

密同态计算等各项技术多年来一直为学术界所关注。关键在于实现上述技术在云计算环境

下的实用化,形成支撑未来云计算安全的关键技术体系,并最终为云用户提供具有安全保障

的云服务。

3云平台的安全防护设计

3.1云计算安全的建设思路

云安全整体建设分安全技术、安全运营和安全管理三大体系。安全技术体系分别从事前

监控、事中防护和事后审计三个角度进行考虑，全面覆盖物理层、网络层、平台层、系统层、

应用层和数据层；安全运营体系从云安全生命周期出发，通过安全评估、安全加固等一系列

的定期或触发性服务组成；安全管理体系参照信息安全等级保护的相关要求分别从安全管理

制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理进行建设。

3.2云计算平台的安全防护架构

从前面的分析可知，针对云计算带来的一些新的威胁及对传统安全防护体系的冲击，

急需要有新的安全防御思路与防护体系与之抗衡。建立防护体系，必须明确防护需求，下

面将对云环境下的安全防护体系需求进行分析。

首先是要提高云计算系统的安全性、健壮性。包括控制蠕虫、病毒、木马在云计算平

台内、外部的传播，及时“离和修复；对进出云计算系统的数据流量和云计算系统运行状

态进行实施监控，及时发现修复网络和系统异常。

其次是保护用户信息的私密性和完善性。对用户系统和数据进行安全隔离和保护，确

保用户信息的存储安全，以及用户间逻辑边界的安全防护：通过采用数据加密、VPN等技

术保证用户数据的网络传输安全；完善用户信息的数据加密和密钥管理和分发机制，实现

对用户信息的安全高效安全管理与维护；完善数据备份，安全恢复机制。

最后云计算也需要加强安全管理。完善云安全事件应急响应机制及处理流程，加强对

操作、维护等各类日志的审计管理，提高对违规溯源的事后审查能力。

结合云计算技术及服务特点，在明确安全防护需求的基础匕综合采用多种安全技术手

段，本期主要从网络安全方面对于XXX地质环境监测院的两台虚拟机设备进行防护，保障云

计算应用安全。

3.2.1网络安全

网络层安全主要指网络架构、网络设备、安全设备方面的安全性，主要体现网络拓扑

安全、安全域的划分及边界防护、网络资源的访问控制、远程接入的安全，路由系统的安

全、入侵检测的手段、网络设施防病毒等方面，采取的主要安全措施和技术包括划分安全

域、实施安全边界防护、部署防火墙、IPS/IDS,部署Dos,DDoS攻击防御系统、网络安

全审计系统、防病毒网关、强身份认证等。

前面已经提到了，在云计算系统中，拒绝服务攻击带来的后果和破坏将会明显地超过

传统的网络。所以必须加强抗拒绝服务攻击的防范，采取相应的防攻击技术措施，以保障

云计算系统的安全。另外，在云计算应用环境下，虚拟化及共享特性引入了逻辑边界，如

何对逻辑边界实施安全防护和访问控制，监控和限制各应用间的通信流量，是业界甚至学

术界应该着重研究的问题。

3.2.2数据安全

数据的保密性、完整性、可用性、真实性、授权、认证和不可抵赖性都是云环境下的

重点关注问题。在数据的创建、存储、使用、共享、归档、销毁等阶段，都需要采取相应的

保护措施，主要通过虚拟化层实现虚拟机间存储访问隔离；通过设置虚拟环境下的逻辑边

界安全访问控制策略，实现虚拟机、虚拟机组间的数据访问控制；通过对重要的数据信息

在上传、存储前进行加密处理来保障数据存储的安全：通过采用采用数据加密、VPN等技

术保障用户数据及维护管理信息的网络传输安全；通过存储资源重分配之前进行完整的数

据擦除实现剩余信息的安全、通过支持文件级完整和增量备份及映像级恢复和单个文件的

恢复等方式保障数据的有效备份与迅速恢复。

4分项目安全防护手段介绍

安恒信息本期对于地质环境监测院的现有网络采用玄武盾+云WAF+网页篡改攻击防护

的一套防护体系，利用玄武盾云防御服务对于ddos与cc攻击进行有效的防御；通过云WAF

有限监测服务器的SQL注入、XSS跨站脚本等攻击保护；通过网页防篡改保护，有效保护网

页的内容被篡改维护部门形象的工作，为公有云租户提供最基本的安全保护体系。

4.1云服务的应用层基础防护

4.1.1玄武盾，基于云服务的应用层外部防护系统

4.1.1.1工作原理

安恒玄武盾采用零部署的云计算解决方案，用户无需在本地部署任何安全设备，只需将

DNS映射至玄武盾CNAME别名地址或将网站NS解析为安恒玄武盾INS服务器，玄武盾全国

DNS调度中心会对全国的用户访问进行就近选路，用户的访问先经过DD0S防护，可防护黑

客发起的Syn-flood、upd-flood.tcp-flood,应用层CC等攻击。用户访问图片、视频等

静态文件时可直接到玄武盾全国CDN节点上获取，无需到源服务器上调取，提升用户访问速

率，并节省服务器带宽。

玄武盾全国的云防护节点可对黑客发起的注入、跨站、网页木马、扫描器、组件Oday

攻击、盗链等攻击进行防护，然后将正常流量转发到源站服务器。

4.1.1.2产品功能

4.1.1,2.1网站防护

玄武盾提供了目前业界覆盖范围最广、防护能力最强的安全防护，对Web网站或应用进

行严格的保护。安全策略来自于Snort、CWE、OWASP组织，以及安恒安全研究院对国内典型

应用的深入研究成果，覆盖范围如下：

.2HTTP协议规范性检查

检查提交的报文是否符合HTTP协议框架，如异常的请求方法、不同字段的合规性、特

殊字符、重点字段的缺失、HTTP方法控制、超长报文造成的溢出攻击以及对高危文件的访

问等，黑客在使用非浏览器工具调试时可迅速拦截。

4.1.1,2.3文件B超

对用户上传的文件后缀名和文件内容进行全方面检查，杜绝Nebshell的上传和访问。

.4注入攻击防护

对用户提交的URL、参数、Cockio等字段进行检查，采用SQL语义解析技术防止风险系

数极高的SQL注入攻击，采用字符偏移技术对代码、命令、文件、LDAP、SSI等注入攻击的

检测，有效地防护了对操作系统和应用的注入攻击。

4.1.1,2.5跨站脚本攻击防护

采用字符差分技术对用户提交的脚本进行检查，防上不合法跨站脚本。

4.1.1,2.6网页木马防护

对页面内容进行逐行扫描，检查是否存在网页木马，防止客户端被感染。

4.1.1,2.7信息泄漏防护

对服务器响应状态码、服务器错误信息、数据库错误信息、源代码信息泄露进行过滤,

防止服务器信息被黑客利用进行有效攻击。

4.1.1,2.8智能防护

采用行为识别算法有效识别扫描器或黑客持续性攻击，避免被扫描器持续猜测攻击或黑

客持续渗透攻击。

4.1.1.2.9第三方组件漏洞防护

对WEB服务器容器、应用中间件、CMS系统等漏洞进行有效防护。

4.1.1,2.10CSRF跨站请求伪造防护

通过Referer算法和token算法有效对CSRF攻击进行防护。

4.1.1211防盗链

通过Referer和Cookie算法有效防止非法外链，和对用户资源内容的盗链。

4.1.1,2.12CDN力口速

安恒玄武盾云防护在全国拥有2()多个节点，可对所有省、直辖市的访问用户进行CDN

加速，包括内置Webcache及Webrar模块，Webcache模块对静态页面进行高速缓存，提升

用户访问速率，Webrar模块对页面内容进行压缩，提升服务器带宽使用率。

4.L1213防DDOS、CC攻击

安恒玄武盾与国内知名云计算厂商合作，拥有300GDDOS防护能力，有效防护实现对

Syn-flood>upd-flood、tcp-flood等DDOS攻击，拥有专利级防CC攻击算法，可有效解决

应用层CC攻击，一方面解决了用户网站被DDOS攻击时的可用性问题，另一方面对玄武盾本

身也加强了防护，这样可持续保证用户的网站稳定运行。

4.1.1214永久在线

当用户网站因为服务器故障、线路故障、电源等问题出现无法连接时，可显示云防护中

的缓存页面；

当在敏感期或特殊时期时,用户网站会主动关闭，在这期间可显示云防护中的缓存页面。

4.L1215可视化安全防护

可实时查看可视化态势感知，实时了解安全防护状态。

西域H行

f4xm

F-a-

W.S4M

Jr1♦♦6.62U

dir♦S.EHMMIF

北亨♦2.m

1U：5，：R44.W.4A

at♦2.1M2；/：第谓缀织・屈

U♦LE10：37：3«114.125.»

3!l♦1.in10:31:36HU3d.123.M

•彳对fLOA10：31：»119.S.131.21：

io；yi；3e«,«.ix.n

4.L1216用户数据报表

用户可杳看访问流量报表、安全防护报表，安全防护报表包含攻击次数态势分析、攻击

者区域态势分析、攻击者IP统计、被攻击页面统计、被攻击域名统计、攻击事件统计、攻

击威胁等级统计等。

均含讲娘

二个二二人0.00M■■个

5例加•一个攻击ABEM一个反击海HOM

访向攻击《寸151分布

•在上工10E0下=15血|江北政大.而生于戊02Q左也

4.1.1.3玄武盾优势

4.1.1,3.1企业级安全解决方案

安恒具备多年企业级安全解决方案，玄武盾核心防护引擎来源于安恒WEB应用防火墙产

品，高效稳定，误判率和漏报率业内最低，产品成熟度高，8年产品研发历程，历经数十万

网站的考验。

产品功能完善，可满足不同行业用户的安全需求；

安全研究院定期输送安全成果到玄武盾，增强防护能力：

部署简便快捷，用户端无需部署任何安全设备即可完成云防护、云加速；

用户可对自身业务进行自定义防护和例外策略，杜绝一套策略用于所有网站，避免误报

和漏报；

用户使用成本低廉，可按需购买。

4.风暴中心整体解决方案

风暴中心以安恒信息长达8年在信息安全领域的经验积累为核心,借力成熟的大数据及

云计算技术构建了基于大数据的安全搜索引擎，从而为实现全国基至全球互联网络在线业务

系统的安全基础数据采集、大范围风险评估、威胁情报分析、重大安全事件监测等提供了有

力的技术支撑和管理决策参考。

玄武盾依托于风暴中心的实时监测和大数据分析技术，云监测模块在发现问

题可快速与玄武盾进行联动响应，可将漏洞结果生成虚拟补丁方式下发到玄武盾进行防

护，通过大数据分析技术对海量口志进行分析挖掘，有效发现Oday攻击，并同步到玄武盾

生成防护策略。

4.2云服务的应用层深入防护

4.2.1WEB应用系统的SQL注入、XSS跨站脚本等的攻

击防护

云WAF通过深入理解HTTP/HTTPS协议,可监测往返流量,能对web流量进行安全控制°

Web数据中心是经常变化的，包括新的应用程序、新的软件模块，不断更新的软件补丁等。

专业的安全工具和方法应能适应这种动态环境，应用配置的升级更新和对监测数据的分析使

得应用防火墙总能适应新的安全需求。

系

身

数

权

的

统

份

幅

它

限

级字

认

应

、

角

熨

文

证

用

色

件

信

数

息%

通过实施WEB应用防火墙可以为用户带来主要如下二个方面的价值

首先：提供了专业WEB应用防护：

/动态深度防御：

通过专业WEB入侵异常检测技术，对网银动态访问实施全面、深度分析，有效识别、

阻止各类WEB应用黑客攻击（如SQL注入、钓鱼攻击、表单绕过、缓冲区溢出、CGI扫

描、目录遍历等）。

/敏感信息泄露防护

通过安全防护策略，灵活定义HTTP/HTTPS错误返回的默认页面，避免因为WEB服

务异常，导致敏感信息（如：WEB应用安装目录、肥B服务器版本信息等）的泄露。

/事中告警

针对各类攻击行为及异常访问行为，实时告警并通过各类方式通知给安全管理员,

便于快速处理安全事件。

/事后分析

提供详细的WEB应用攻击访问口志，实现对攻百源的定位分析，同时提供各类统计

分析，方便掌握整个应用系统的动态安全状况.

再者：安全监测和突发事件取证

WEB应用系统最为重要的是其业务连续性，WEB应用防火墙可以提供全天候的攻击

监测服务。通过对KE3应用防火墙日志的分析。在最短时间内发现各类WEB应用相关的

攻击等情况，并采用工具与人工相结合的方式核查后在第一时间内反馈给用户方。

当客户发生WEB应用相关的信息安全事件时，通过WEB应用防火墙日志的分析可以

提供事件追溯、源头查找，报警与取证等一列系的应急响应工作。

明御云WEB应用防火墙采用当前最为主流的代理技术架构，以WEB服务代理技术形

成的天然屏障解决了传统网络重组技术的在系列难题，主要的技术优势表现在如下几个

方面：

解决了HTTP慢攻击等诸多网络层问题

传统入侵防御技术架构基于数据高速缓存分析机制，安全设备对流经的数据流量进

行缓存分析，安全检测后针对缓存的数据包采取相应的安全措施。HTTP慢攻击通常采

用较长的时间分多个数据包构成一个完整的HTTP请求，而传统入侵防御技术引擎为了

实现最低的安全检测证时，必须将缴存时间尽可能缩短，从而无法识别精心构架的HTTP

慢攻击行为。除此之外网络层诸如碎片包攻击行为乜通常困绕传统入侵防御架构的WEB

应用防火墙。

明御云WEB应用防火墙构建了双向的独立HTTP请求与服务，实现对每个HTTP事务

级别的识别与转发。如果环境中存在HTTP慢攻击行为，那么%B应用防火墙会等待这

个HTTP请求数据完全到达或进行超时处理，其余正常的请求将被快速转发，彼此相互

独立不受影响.

实现了全面协议规范性审查

明御云WEB应用防火墙可以严格遵守RFC标准或者允许具体应用微小的偏差来实现

HTTP协议验证。可实现快速的防御包括缓冲区溢出攻击、恶意编码、HTTP走私以及非

法服务器操作在内的大量协议滥用行为。

明御云WEB应用防火墙的部署可以有效的隐藏WEB服务容器存在的安全问题，同时

也可有效缓解针对WEB服务容器发起的攻击，诸如针对Apache容器的分片下载DDOS

攻击【详见CVE-2011-3192】、针对PHP开发语言的DDOS攻击等。

代理架构的防护技术可以实现但不限于如下类型的安全过滤，并解决了跨包攻击、

碎片包攻击等试图绕过安全检测的攻击行为。

针对私有云数据大集中、高效、弹性空间等特点，安恒采用了云WAF清洗中心方案，通

过WAF虚拟化+集群方式进行部署，云计算中心的前端LB将业务流量分发到多台云WAF,即

使是在没有LB的情况下，也可以将云WAF切换为LB,然后将业务流量先转发到云WAF-LB

上，由LB分发给多个云WAF进行清洗后，再重新发回LB,LB再统一转发给后端WEB服务器。

云WAF清洗中心物理示意图如下：

云安全管理中心同时管理对LB和云WAF集群进行集中管理，云安全管理中心根据用户

的需求负责对业务流量进行牵引，确保检测的流量能到达LB,同时云安全管理中心负责对

多台云WAF下发策略，可精细到不同云租户配置的策略组和例外策略，云WAF定期将口志和

报告输送到云安全管理中心。

云主机

«ww.3.com2.2.2.3

云租户将多个网站域名映射到云WAF的业务口：

云租户访问云WAF的带内管理口，配置多个WEB服务器的IP和域名对应关系:

云WAF上配置WEB防护策略，如SQL注入、跨站等;

外网用户访问WEB服务器时，先访问到WAF业务口；

WAF对HTTP报文进行检测无异常后，根据主机和IP、域名对应关系转发到对应的服务

器上，默认WAF会将客户端IP生成客户端指纹信息，以便WEB服务器以别真实源客户端地

址。

4.2.2网页篡改攻击的防护

2014年，我国境内政府网站被篡改数量为1763个，虽然近几年被篡改次数有所下降,

但安全情况仍刻不容缓，下图是2014年我国境内被篡改的政府网站数量和其占被篡改网站

总数比例按月度统计。

图5-42014年我国境内被篡改的政府网站数量和所占比例月度统计

（来源：CNCERT/CC）

目前某市政府下属多个部门，每个部门都有自已的门户网站，而门户网站安全性参差不

齐，有的部署了WAF,有的则未做任何安全防护，对所有网站都通过部署硬件WAF防护，会

存在实施成本高、实施难度大、无法统一运维等问题。

采用安恒网页防篡改攻击防护体系，•旦发现安全问题的网页，迅速通过平台固有的应

急响应机制来快速完成防护。网页防篡改攻击防护体系主要有如卜.具体应用功能。

4.2.2.1网页文件保护

通过web防攻击模块、防篡改模块（系统内核层的文件驱动），可对动态和静态网页文

件进行完美的保护。按照用户配置的进程及路径访问规则，设置网站目录、文件的读写权限,

限制文件目录的增、册k改操作行为，确保网页文件不被非法篡改。

4.2.2.2网站安全发布

使用传输模块从监控瑞的镜像站点直接更新受保护的网站目录，数据通过SSL加密传输,

杜绝传输过程的被篡改的可能。

4.2.2.3网站备份还原

安恒网站网页防篡改系统支持监控站点数据备份还原功能,可对监控站点月录文件和数

据库进行全量或增量备份，用户可以通过启用发布端的自动发布功能，在不停止备份功能的

前提下，自动更新网页，发布端会自动将这些内容更新到Web服务器上。

4.2.2.4实时报警

对非法篡改行为，系统会自动记录报警日志，并通过手机短信、电子邮件、syslog等

多种方式通知管理员。能对网站攻击做到快速响应，及时应变。

4.2.2.5日志审计

提供管理员行为日志，包括：时间、事件、操作对•象、行为、IP地址等详尽信息，方

便区分正常更新过程还是篡改攻击行为；支持保护日志直询审计功能；用户不能进行日志修

改、删除操作，确保日志的准确性与完整性。

4.2.2.6站点文件保持

防篡改模块集成在Web服务器软件中，通过设定各种站点文件访问过滤规则，对多个站

点文件或单个站点的文件夹进行保护。

4.2.2.7系统自我保护

安恒网站网页防篡改系统能够实时地保护自己，不被非法的删除、修改、卸载等，保证

了即使服务器被非法入侵，也不能够对网站进行篡改，不能够对网站管理系统进行破坏。

5产品设备清单

序号名称产品配置数量个价

通过DNS指向的方式，对WEB

系统做WI-B应用层攻击防护

1玄武盾服务1年期

以及抗DDOS攻击防护，一年

期

软件，保护站点授权16个，

云WEB应用防火

2新建10000,并发150000,1年期

墙（云WAF）

web防护流量1000Mbps

提供专业防篡改软件，部署

于网站服务器中，支持主流

网页防篡改安

3的web服务器和操作系统，1年期

全服务

实现网页防篡改功能，防止

绕过WAF的残余风险攻击。

合计（元）：

6阿里云项目案例

日前，国内领先的信息安全企业安恒信息与阿里云在杭州签署战略合作协议，双方正

式达成战略合作伙伴关系。阿里云是国内知名的云服务提供商，致力于打造公共、开放的云

计算服务平台，安恒信息是国内IVeb安全与数据库安全领域的领航者，此次战略合作的达成，

双方将在安全领域展开合作，向云计算用户特别是政企用户提供专业的一站式安全产品及服

务。

图注：安恒信息总裁范渊（左）与阿里巴巴集团副总裁兼阿里云总裁胡晓明

本次合作是国内云计算服务商与安全厂商的首次深度合作，安恒信息作为阿里云在安全

领域的第一家合作伙伴，双方将把各自的优势变为共同的优势，为政企用户提供更加优秀的

安全解决方案。双方战略合作第一步，安恒信息将融合阿里云安全产品与服务的优势及安恒

信息安全整体解决方案的行业经验，为云计算用户，特别是政企类用户提供专业的一站式安

全产品及服务，阿里云也会将安恒信息的产品及服务列入阿里云用户的推荐名单。

图注：阿里云与安恒信息战略合作签约仪式现场

安恒信息总裁范渊表示，“此次与阿里云战略合作的成功签约，要感谢阿里云，感谢我

们的客户，感谢我们的团队，正是大家的关怀和信任促成了今天的战略合作，成就了今天的

安恒信息。八年来安恒信息取得了一个又一个让人骄傲的成绩，从奥运安保到世界互联网大

会的全程安保，从入选Gartner魔力象限到入选世界网安500强，从世界反法西斯战争胜利

70周年安保到2015年世界田径锦标赛安保，安恒信息一步步成为政企立场用户最信赖的伙

伴。此次与阿里云达成战略合作，我们将以此为契机，更进一步深耕政企巾场。”

阿里巴巴集团副总裁兼阿里云总裁胡晓明表示，“单纯靠卖设备取胜的时代已经过去，

通过软硬件一体化整合并以服务的形式为用户提供更加简单、高效的IT能力已成为趋势。

云计算已经成为未来十年影响政企行业变革的重要因素,我们期待与安恒信息一起成为这个

市场的变革者。”

期里云•云市13Q

PHhi融，JAVA2s吊，^C5»Wlieu用4£■sncd«哂达

=云市场分类基础软件服务市场网站建设企业应用云安全。试用专区。服务商入驻

安恒网站卫士网页防篡改license（新年5折促销）

»»■.ooooo£无♦瞥■：2fm拿■技氽丽公司

欣蠡5B6僵金矶1

MMM铲fiCSW?r*0K«RU2±HRMIiKKftJKHa^RM.WH««»eJK!.e««u

©Mn）

«IB：eH«c（»f«n）e«»2

e»ji?：i^a&3o-i7jo

电工：4006059110

iTWBB:«rWT®fl

■■:tupportOdbeppMCvntyxcmcn

*c：»600.00

»600.00

交EGU0A不五—欧.Kfl&HSW

阿里云上云自她5：

,雄：上0云WBMEVS公

CW*

馆：0.01元

产品介绍许论洋fll的买记鼠成功案例

:八方和Httg公

«5

t^：100n

阿里云•云市13

屈

PHMdu/MVAid^m