云安全解決方案

安全防護設(shè)計說明如下：互聯(lián)網(wǎng)接入?yún)^(qū)：主要包括接入交換機、路由器、網(wǎng)絡(luò)安全設(shè)備等，負責(zé)實現(xiàn)與163、169、CMNET等互聯(lián)網(wǎng)的互聯(lián)；內(nèi)聯(lián)網(wǎng)接入?yún)^(qū)：主要包括接入交換機、路由器、網(wǎng)絡(luò)安全設(shè)備等，負責(zé)實現(xiàn)與組織內(nèi)部網(wǎng)絡(luò)的互連；廣域網(wǎng)接入?yún)^(qū)：主要包括接入交換機、路由器、網(wǎng)絡(luò)安全設(shè)備等，負責(zé)與本組織集團或其他分支網(wǎng)絡(luò)的接入；外聯(lián)網(wǎng)接入?yún)^(qū)：主要包括接入交換機、路由器、網(wǎng)絡(luò)安全設(shè)備等，負責(zé)本組織第三方合作伙伴網(wǎng)絡(luò)的接入，如銀行、合作網(wǎng)絡(luò)等；核心交換區(qū)：由支持虛擬交換的高性能交換機組成。負責(zé)整個云計算系統(tǒng)內(nèi)部之間、內(nèi)部與外部之間的通信交換；生產(chǎn)區(qū)：主要包括一系列提供正常業(yè)務(wù)服務(wù)的虛擬主機、平臺及應(yīng)用軟件，使提供IaaS、PaaS、SaaS服務(wù)的核心組件。根據(jù)業(yè)務(wù)主體、安全保護等級的不同，可以進行進一步細分。例如：可以根據(jù)保護等級的不同，細分為四級保護子區(qū)、三級保護子區(qū)、二級保護子區(qū)。另外，為了保證不同生產(chǎn)子區(qū)之間的通信，可以單獨劃分一個負責(zé)交換的數(shù)據(jù)交換子區(qū)；非生產(chǎn)區(qū)：非生產(chǎn)區(qū)主要為系統(tǒng)開發(fā)、測試、試運行等提供的邏輯區(qū)域。根據(jù)實際情況，一般可分為系統(tǒng)開發(fā)子區(qū)、系統(tǒng)測試子區(qū)、系統(tǒng)試運行子區(qū)；支撐服務(wù)區(qū)：該區(qū)域主要為云平臺及其組件提供共性的支撐服務(wù)，通常按照所提供的功能的不同，可以細分為：通用服務(wù)子區(qū)：一般包括數(shù)字證書服務(wù)、認證服務(wù)、目錄服務(wù)等；運營服務(wù)子區(qū)：一般包括用戶管理、業(yè)務(wù)服務(wù)管理、服務(wù)編排等；管理區(qū)：主要提供云平臺的運維管理、安全管理服務(wù)，一般可分為：運維管理子區(qū)：一般包括運維監(jiān)控平臺、網(wǎng)管平臺、網(wǎng)絡(luò)控制器等；安全管理子區(qū)：一般包括安全審計、安全防病毒、補丁管理服務(wù)器、安全檢測管理服務(wù)器等。資源區(qū)：主要包括各種虛擬化資源，涉及主機、網(wǎng)絡(luò)、數(shù)據(jù)、平臺和應(yīng)用等各種虛擬化資源。按照各種資源安全策略的不同，可以進一步細分為生產(chǎn)資源、非生產(chǎn)資源、管理資源。不同的資源區(qū)對應(yīng)不同的上層區(qū)域，如生產(chǎn)區(qū)、非生產(chǎn)區(qū)、管理區(qū)等；DMZ區(qū)：主要包括提供給Internet用戶、外部用戶訪問代理服務(wù)器、Web服務(wù)器組成。一般情況下Internet、Intranet用戶必須通過DMZ區(qū)服務(wù)器才能訪問內(nèi)部主機或服務(wù)；堡壘區(qū)：主要提供內(nèi)部運維管理人員、云平臺租戶的遠程安全接入以及對其授權(quán)、訪問控制和審計服務(wù)，一般包括VPN服務(wù)器、堡壘機等；運維終端接入?yún)^(qū)：負責(zé)云平臺的運行維護終端接入針對具體的云平臺，在完成安全域劃分之后，就需要基于安全域劃分結(jié)果，設(shè)計和部署相應(yīng)的安全機制、措施，以進行有效防護。云平臺不同于一般的IT系統(tǒng)，會涉及多個網(wǎng)絡(luò)，下面對此進行簡要說明，再討論云平臺的安全防護。網(wǎng)絡(luò)隔離為了保障云平臺及其承載的業(yè)務(wù)安全，需要根據(jù)網(wǎng)絡(luò)所承載的數(shù)據(jù)種類及功能，進行單獨組網(wǎng)。管理網(wǎng)絡(luò) 物理設(shè)備是承載虛擬機的基礎(chǔ)資源，其管理必須得到嚴格控制，所以應(yīng)采用獨立的帶外管理網(wǎng)絡(luò)來保障物理設(shè)備管理的安全性。同時各種虛擬資源的準(zhǔn)備、分配、安全管理等也需要獨立的網(wǎng)絡(luò)，以避免與正常業(yè)務(wù)數(shù)據(jù)通信的相互影響，因此設(shè)立獨立的管理網(wǎng)絡(luò)來承載物理、虛擬資源的管理流量；存儲網(wǎng)絡(luò) 對于數(shù)據(jù)存儲，往往采用SAN、NAS等區(qū)域數(shù)據(jù)網(wǎng)絡(luò)來進行數(shù)據(jù)的傳輸，因此也將存儲網(wǎng)絡(luò)獨立出來，并于其他網(wǎng)絡(luò)進行隔離；遷移網(wǎng)絡(luò) 虛擬機可以在不同的云計算節(jié)點或主機間進行遷移，為了保障遷移的可靠性，需要將遷移網(wǎng)絡(luò)獨立出來；控制網(wǎng)絡(luò) 隨著SDN技術(shù)的出現(xiàn)，數(shù)據(jù)平面和數(shù)據(jù)平面數(shù)據(jù)出現(xiàn)了分離?？刂破矫娣浅Ｖ匾?，關(guān)于真?zhèn)€云平臺網(wǎng)絡(luò)服務(wù)的提供，因此建議組建獨立的控制網(wǎng)絡(luò)，保障網(wǎng)絡(luò)服務(wù)的可用性、可靠性和安全性上面適用于一般情況。針對具體的應(yīng)用場景，也可以根據(jù)需要劃分其他獨立的網(wǎng)絡(luò)，安全防護設(shè)計云計算系統(tǒng)具有傳統(tǒng)IT系統(tǒng)的一些特點，從上面的安全域劃分結(jié)果可以看到，其在外部接口層、核心交換層的安全域劃分是基本相同的，針對這些傳統(tǒng)的安全區(qū)域仍舊可以采用傳統(tǒng)的安全措施和方法進行安全防護。如下圖所示：圖STYLEREF\s"標(biāo)題1（綠盟科技）"\n四.SEQ圖\*ARABIC\s18傳統(tǒng)安全措施的部署當(dāng)然，從上面的安全域劃分結(jié)果可以看到，相對于傳統(tǒng)的網(wǎng)絡(luò)與信息系統(tǒng)來講，云平臺由于采用了虛擬化技術(shù)，在計算服務(wù)層、資源層的安全域劃分與傳統(tǒng)IT系統(tǒng)有所不同，這主要體現(xiàn)在虛擬化部分，即生產(chǎn)區(qū)、非生產(chǎn)區(qū)、管理區(qū)、支撐服務(wù)區(qū)、堡壘區(qū)、DMZ區(qū)等。下面在對這些采用了虛擬化技術(shù)的區(qū)域進行重點設(shè)計。當(dāng)然，對于不同的區(qū)域，應(yīng)按照根據(jù)4.3節(jié)安全保障技術(shù)框架的要求，選擇、落實適用的安全控制措施，下面重點說明。生產(chǎn)區(qū)生產(chǎn)區(qū)部署了虛擬化主機、軟件平臺、應(yīng)用層，應(yīng)基于虛擬化技術(shù)實現(xiàn)，因此其安全防護應(yīng)考慮虛擬化安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全等內(nèi)容。虛擬化安全虛擬化安全主要涉及虛擬化組件及其管理的安全，包括了虛擬化操作系統(tǒng)、虛擬化交換機、虛擬主機、虛擬存儲及虛擬化安全管理系統(tǒng)的安全。對于虛擬化安全主要采用的是安全配置和加固、虛擬化映像防護等。詳細內(nèi)容參見第七章介紹。網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全主要涉及防火墻、異常流量檢測和清洗、網(wǎng)絡(luò)入侵檢測、惡意代碼防護、VPN接入、安全審計等內(nèi)容。防火墻及邊界防護安全域需要隔離，并需要采取訪問控制措施對安全域內(nèi)外的通信進行有效管控。通?？刹捎玫拇胧┯蠽LAN、網(wǎng)絡(luò)設(shè)備ACL、防火墻、IPS設(shè)備等，這里主要對防火墻的功能、部署進行說明功能訪問控制系統(tǒng)的安全目標(biāo)是將云計算中心與不可信任域進行有效地隔離與訪問授權(quán)。訪問控制系統(tǒng)由防火墻系統(tǒng)組成，防火墻在網(wǎng)絡(luò)入口點或者安全域的邊界，根據(jù)設(shè)定的安全規(guī)則，檢查經(jīng)過的通信流量，在保護內(nèi)部網(wǎng)絡(luò)安全的前提下，對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包和聯(lián)接方式按照一定的安全策略進行檢查，來決定網(wǎng)絡(luò)之間的通信是否被允許。產(chǎn)品形態(tài)對于云計算環(huán)境的邊界隔離，主要采用傳統(tǒng)防火墻、虛擬化防火墻。部署對于云平臺，防火墻需要實現(xiàn)對傳統(tǒng)網(wǎng)絡(luò)環(huán)境中的安全域的隔離，也需要實現(xiàn)對虛擬化環(huán)境中的安全域（如生產(chǎn)域及其子區(qū)、生產(chǎn)域及其子區(qū)、支撐服務(wù)域及其子區(qū)、管理域及其子區(qū)、DMZ域及其子區(qū)等）的隔離。對于傳統(tǒng)網(wǎng)絡(luò)環(huán)境中的安全域可采用傳統(tǒng)防火墻、傳統(tǒng)的部署方式即可，而對于虛擬化環(huán)境中的安全域可采用虛擬化防火墻實現(xiàn)。以VMWareESXi虛擬化平臺為例，虛擬化防護墻的部署方式如下圖所示：圖STYLEREF\s"標(biāo)題1（綠盟科技）"\n四.SEQ圖\*ARABIC\s19虛擬化防火墻部署網(wǎng)絡(luò)異常流量監(jiān)測與分析云計算中心部署的應(yīng)用和業(yè)務(wù)非常豐富，如基于流媒體的音視頻服務(wù)，VPN業(yè)務(wù)等等，必然會受到各種網(wǎng)絡(luò)攻擊，如DDOS，進而出現(xiàn)大量異常流量。在這種流量成分日益復(fù)雜，異常流量海量涌現(xiàn)的情況下，對網(wǎng)絡(luò)流量進行實時監(jiān)測和分析，從而全面了解流量的各種分布以及變化趨勢就顯得十分必要了。功能網(wǎng)絡(luò)流量分析系統(tǒng)在云計算中心運營維護中的作用體現(xiàn)在兩個方面：異常流量監(jiān)測分析和流量統(tǒng)計分析。由于互聯(lián)網(wǎng)上存在大量的異常流量，尤其是大流量的抗拒絕服務(wù)（DDoS）攻擊經(jīng)常造成鏈路擁塞，以至于網(wǎng)絡(luò)無法正常提供服務(wù)甚至造成整個網(wǎng)絡(luò)環(huán)境完全癱瘓。因此異常流量監(jiān)測分析是網(wǎng)絡(luò)流量分析系統(tǒng)的首要任務(wù)，下面詳細闡述流量統(tǒng)計分析和異常流量檢測分析的功能。流量統(tǒng)計分析 流量統(tǒng)計分析的任務(wù)是實時監(jiān)控進出云計算中心流量的地域分布，應(yīng)用組成分布、變化趨勢，并生成相應(yīng)的統(tǒng)計報表。統(tǒng)計對象的粒度可以為IP地址、IP地址段、用戶（用IP地址或地址段的組合來定義）。流量的地域分布顯示對某個主機（或地址段、用戶）的訪問流量來自哪些地域。流量統(tǒng)計結(jié)果對流量工程具有很重要的參考價值。應(yīng)用組成分布顯示云計算中心內(nèi)部各種業(yè)務(wù)的開展情況，結(jié)合地域分布的信息，也可以指導(dǎo)流量工程。流量的變化趨勢顯示流量隨時間的變化規(guī)律以及峰值時段對帶寬的占用情況，這些數(shù)據(jù)有助于進行云計算中心容量規(guī)劃。異常流量監(jiān)測分析雙向異常流量監(jiān)測 異常網(wǎng)絡(luò)流量分析系統(tǒng)應(yīng)對網(wǎng)絡(luò)中的由內(nèi)至外、由外至內(nèi)的流量進行雙向監(jiān)測，即可監(jiān)測外發(fā)異常流量，也可監(jiān)測外來異常流量；異常流量定位 異常網(wǎng)絡(luò)流量分析系統(tǒng)應(yīng)對網(wǎng)絡(luò)中的流量進行持續(xù)監(jiān)控和實時分析，并對異常流量進行及時的發(fā)現(xiàn)、告警和定位，使網(wǎng)管人員能夠準(zhǔn)確的發(fā)現(xiàn)異常流量進入網(wǎng)絡(luò)的端口和攻擊目標(biāo)；異常流量分析 異常網(wǎng)絡(luò)流量分析系統(tǒng)對異常流量進行詳細的分析，對異常流量的行為進行記錄和分析，使網(wǎng)管人員能夠準(zhǔn)確的了解異常流量的行為特征；異常流量防范 異常網(wǎng)絡(luò)流量分析系統(tǒng)能夠針對網(wǎng)絡(luò)中的異常流量提供防范方法和建議，使網(wǎng)管人員能夠快速應(yīng)對網(wǎng)絡(luò)中的異常流量，將異常流量對網(wǎng)絡(luò)和用戶的影響減少到最低；異常流量記錄 異常網(wǎng)絡(luò)流量分析系統(tǒng)應(yīng)對網(wǎng)絡(luò)中發(fā)生的異常流量進行記錄，網(wǎng)管人員可以查詢系統(tǒng)的歷史記錄，分析網(wǎng)絡(luò)異常流量的類型、特點和趨勢，總結(jié)長期預(yù)防異常流量的手段和方法；異常流量過濾 異常網(wǎng)絡(luò)流量分析系統(tǒng)能夠根據(jù)異常流量的特點、方向，通知其他安全設(shè)備對異常流量進行過濾、清洗或壓制。或者通知運維人員進行手動處理，以防止或減少云計算中心受異常流量的影響目前業(yè)界的通常解決方案是異常流量檢測分析系統(tǒng)與抗拒絕服務(wù)攻擊系統(tǒng)聯(lián)動部署實現(xiàn)異常流量分析和過濾，異常流量檢測分析系統(tǒng)將異常告警信息實時通告給抗拒絕服務(wù)攻擊系統(tǒng)，由抗拒絕服務(wù)攻擊系統(tǒng)實施異常流量過濾凈化，將凈化后的流量回注?？咕芙^服務(wù)攻擊系統(tǒng)的在后面的章節(jié)詳細闡述。產(chǎn)品技術(shù)選型目前網(wǎng)絡(luò)流量分析產(chǎn)品主要有兩大類型：類型一：基于流（FLOW）信息的流量分析產(chǎn)品，流（FLOW）信息由網(wǎng)絡(luò)中的路由器和交換機產(chǎn)生，流量分析設(shè)備根據(jù)流（FLOW）信息進行流量分析；類型二：基于應(yīng)用層分析的深度包檢測產(chǎn)品（DPI），采用端口鏡向或分光方式將需要分析的數(shù)據(jù)流轉(zhuǎn)發(fā)給流量分析設(shè)備基于流（FLOW）信息的流量分析產(chǎn)品具有如下特性，1）采用旁路方式進行部署，不會影響業(yè)務(wù)；2）能夠支持大流量大范圍網(wǎng)絡(luò)的分析需求，由于流（FLOW）數(shù)據(jù)是對網(wǎng)絡(luò)實際轉(zhuǎn)發(fā)數(shù)據(jù)流的聚合與抽象，相對于DPI設(shè)備投資較少；3）對于大流量監(jiān)測來講，其檢測準(zhǔn)確率可以達到99.99%。對于云平臺，其數(shù)據(jù)流量較大，且內(nèi)置的虛擬交換機可以直接輸出Netflow數(shù)據(jù)流，因此建議在云計算中心采用基于流（FLOW）信息的流量分析產(chǎn)品。系統(tǒng)組成和形態(tài)基于Netflow技術(shù)安全檢測與分析系統(tǒng)主要包括異常流量檢測系統(tǒng)和綜合分析平臺。對于異常網(wǎng)絡(luò)流量監(jiān)測系統(tǒng)，其產(chǎn)品形態(tài)目前主要有傳統(tǒng)物理設(shè)備形態(tài)，以及虛擬化產(chǎn)品形態(tài)。考慮的設(shè)備的性能以及與流量清洗設(shè)備聯(lián)動的要求，可同時采用兩種形態(tài)。部署建議綜合分析云計算中心的實際情況，其異常流量主要來自互聯(lián)網(wǎng)、第三方網(wǎng)絡(luò)、企業(yè)廣域網(wǎng)，還包括虛擬機之間互相攻擊的異常流量。因此需要在云平臺的互聯(lián)網(wǎng)出口、外聯(lián)網(wǎng)出口、廣域網(wǎng)出口，以及生產(chǎn)區(qū)域邊界、DMZ區(qū)域邊界上部署異常流量監(jiān)測系統(tǒng)（旁路部署Netflow流量采樣檢測模塊），實現(xiàn)流量統(tǒng)計分析、路由分析、異常流量檢測。它既可以作為流量監(jiān)控分析產(chǎn)品對網(wǎng)絡(luò)流量進行深入分析，從而全面了解各類流量的分布以及變化趨勢；也可分析諸如DDoS攻擊、網(wǎng)絡(luò)濫用誤用、P2P流量等異常流量。異常流量檢測系統(tǒng)基于Netflow數(shù)據(jù)，其采集點是主要物理/虛擬交換機上，可根據(jù)需要靈活部署。以VMWareESXi虛擬化平臺為例，一般部署情況如下圖所示：圖STYLEREF\s"標(biāo)題1（綠盟科技）"\n四.SEQ圖\*ARABIC\s110異常流量監(jiān)測系統(tǒng)部署網(wǎng)絡(luò)入侵檢測云計算對外提供服務(wù)，完全面向互聯(lián)網(wǎng)，所面臨的威脅被無限放大，在云計算中心網(wǎng)絡(luò)出口采用入侵檢測機制，收集各種信息，由內(nèi)置的專家系統(tǒng)進行分析，發(fā)現(xiàn)其中潛在的攻擊行為。由網(wǎng)絡(luò)入侵檢測系統(tǒng)捕獲分析網(wǎng)絡(luò)中的所有報文，發(fā)現(xiàn)其中的攻擊企圖，根據(jù)事先制定的策略通知管理員或自行采取保護措施。功能入侵檢測作為一種積極主動地安全防護技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。從網(wǎng)絡(luò)安全立體縱深、多層次防御的角度出發(fā)，入侵檢測理應(yīng)受到更高的重視。入侵檢測系統(tǒng)可實時監(jiān)控云計算中心網(wǎng)絡(luò)中的數(shù)據(jù)訪問和系統(tǒng)事件，及時發(fā)現(xiàn)攻擊行為并作為分析證據(jù)并對可疑的訪問行為進行自動響應(yīng)。利用入侵檢測系統(tǒng)的攻擊結(jié)果判定功能重點關(guān)注攻擊成功的安全事件。針對某些特定的安全規(guī)則單獨設(shè)定安全策略，針對云計算中心業(yè)務(wù)特點過濾一些低風(fēng)險或者不可能成功的攻擊行為，從而減少管理員關(guān)注日志告警的工作量，也使得重要攻擊行為能夠得到重點體現(xiàn)。同時，可以針對業(yè)務(wù)特點自定義某些特定的安全規(guī)則。如敏感內(nèi)容信息過濾，設(shè)置自定義的關(guān)鍵字過濾檢測規(guī)則，通過與防火墻的聯(lián)動或自身發(fā)送的TCPKiller數(shù)據(jù)包，將涉及敏感信息的TCP會話阻斷，防止信息泄露或者一些非法的網(wǎng)絡(luò)信息傳遞。產(chǎn)品組成和形態(tài)網(wǎng)絡(luò)入侵檢測系統(tǒng)一般包括網(wǎng)絡(luò)入侵檢測設(shè)備和綜合分析平臺。網(wǎng)絡(luò)入侵檢測設(shè)備主要有傳統(tǒng)硬件網(wǎng)絡(luò)入侵檢測設(shè)備（NIDS）和虛擬化網(wǎng)絡(luò)入侵檢測設(shè)備（vNIDS）兩種產(chǎn)品形態(tài)。部署建議入侵檢測系統(tǒng)應(yīng)部署在已被入侵的高危區(qū)域或者關(guān)鍵區(qū)域。包括互聯(lián)網(wǎng)接入?yún)^(qū)、外聯(lián)網(wǎng)接入?yún)^(qū)，以及關(guān)鍵的計算服務(wù)域。對于互聯(lián)網(wǎng)接入?yún)^(qū)、外聯(lián)網(wǎng)接入?yún)^(qū)，可采用傳統(tǒng)的IDS，而對于位于虛擬化平臺上的關(guān)鍵計算服務(wù)域可以用虛擬化入侵檢測系統(tǒng)，并可部署一套綜合分析系統(tǒng)，對系統(tǒng)所有入侵檢測日志進行統(tǒng)一存儲、分析和呈現(xiàn)。以VMWareESXi虛擬化平臺為例，一般部署情況如下圖所示：圖STYLEREF\s"標(biāo)題1（綠盟科技）"\n四.SEQ圖\*ARABIC\s111網(wǎng)絡(luò)入侵檢測系統(tǒng)部署圖主機安全主機安全與傳統(tǒng)安全相同，這里不再贅述。應(yīng)用安全Web應(yīng)用防護云計算中心一般都是采用Web的方式來對外提供各類服務(wù)，特別是在Web2.0的技術(shù)趨勢下，75%以上的攻擊都瞄準(zhǔn)了網(wǎng)站（Web）。這些攻擊可能導(dǎo)致云計算服務(wù)提供商遭受聲譽和經(jīng)濟損失，可能造成惡劣的社會影響。Web應(yīng)用防護技術(shù)通過深入分析和解析HTTP的有效性、提供安全模型只允許已知流量通過、應(yīng)用層規(guī)則、基于會話的保護，可檢測應(yīng)用程序異常情況和敏感數(shù)據(jù)（如信用卡、網(wǎng)銀帳號等）是否正在被竊取，并阻斷攻擊或隱蔽敏感數(shù)據(jù)，保護云計算平臺的Web服務(wù)器，確保云計算平臺Web應(yīng)用和服務(wù)免受侵害。Web防護技術(shù)與傳統(tǒng)防火墻/IPS系統(tǒng)相比較，Web應(yīng)用防護技術(shù)將提供一種安全運維控制手段，基于對HTTP/HTTPS流量的雙向分析，為WEB應(yīng)用提供實時的防護。對HTTP有本質(zhì)的理解：能完整地解析HTTP，包括報文頭部、參數(shù)及載荷。支持各種HTTP編碼（如chunkedencoding）；提供嚴格的HTTP協(xié)議驗證；提供HTML限制；支持各類字符集編碼；具備response過濾能力；提供應(yīng)用層規(guī)則：WEB應(yīng)用通常是定制化的，傳統(tǒng)的針對已知漏洞的規(guī)則往往不夠有效。WAF提供專用的應(yīng)用層規(guī)則，且具備檢測變形攻擊的能力，如檢測SSL加密流量中混雜的攻擊；提供正向安全模型（白名單模型）：僅允許已知有效的輸入通過，為WEB應(yīng)用提供了一個外部的輸入驗證機制，安全性更為可靠；提供會話防護機制：HTTP協(xié)議最大的弊端在于缺乏一個可靠的會話管理機制。WAF為此進行有效補充，防護基于會話的攻擊類型，如cookie篡改及會話劫持攻擊Web應(yīng)用防護技術(shù)將以一個可閉環(huán)又可循環(huán)的方式去降低潛在的威脅，對于事中疏漏的攻擊，可用事前的預(yù)發(fā)現(xiàn)和事后的彌補，形成環(huán)環(huán)相扣的動態(tài)安全防護。事前是用掃描方式主動檢查網(wǎng)站并把結(jié)果形成新的防護規(guī)則增加到事中的防護策略中，而事后的防篡改可以保證即使疏漏也讓攻擊的步伐止于此，不能進一步修改和損壞網(wǎng)站文件，對于要求信譽高和完整性的用戶來說，這是尤為重要的環(huán)節(jié)。產(chǎn)品形態(tài)對于網(wǎng)絡(luò)應(yīng)用防火墻，其產(chǎn)品形態(tài)目前主要有傳統(tǒng)物理設(shè)備形態(tài)，以及虛擬化產(chǎn)品形態(tài)。在虛擬化的環(huán)境中，應(yīng)選擇虛擬化產(chǎn)品形態(tài)，并可以實現(xiàn)和網(wǎng)站安全檢測系統(tǒng)、Web安全掃描系統(tǒng)進行聯(lián)動。產(chǎn)品部署Web應(yīng)用防火墻應(yīng)部署在Web服務(wù)器之前，并邏輯串聯(lián)。根據(jù)需要可選擇透明模式、路由模式或者反向代理模式。以VMWareESXi虛擬化平臺為例，其部署方式如下圖所示：圖STYLEREF\s"標(biāo)題1（綠盟科技）"\n四.SEQ圖\*ARABIC\s112虛擬化Web應(yīng)用防火墻部署網(wǎng)頁防篡改網(wǎng)頁防篡改系統(tǒng)可以仍舊部署在Web服務(wù)上，實現(xiàn)防篡改功能，其功能、技術(shù)實現(xiàn)與部署與傳統(tǒng)方式相同，這里不再贅述。網(wǎng)站安全監(jiān)測技術(shù)見安全管理區(qū)的描述。數(shù)據(jù)安全對于數(shù)據(jù)安全，需要涉及數(shù)據(jù)的產(chǎn)生、傳輸、存儲、使用、遷移、銷毀以及備份和恢復(fù)的全生命周期，并在數(shù)據(jù)的不同生周期階段采用數(shù)據(jù)分類分級、標(biāo)識、加密、審計、擦除等手段。另外，在采用了這些基礎(chǔ)防護技術(shù)措施之外，還應(yīng)考慮數(shù)據(jù)庫審計、數(shù)據(jù)防泄露以及數(shù)據(jù)庫防火墻的手段，最大限度地保證云平臺中的數(shù)據(jù)安全。非生產(chǎn)區(qū)對于非生產(chǎn)區(qū)部署的主機、應(yīng)用一般與生產(chǎn)區(qū)基本相同，因此，對于非生產(chǎn)區(qū)的安全防護可以借鑒生產(chǎn)區(qū)的防護方法，這里不再贅述。DMZ區(qū)DMZ區(qū)主要部署了生產(chǎn)區(qū)核心應(yīng)用的一些代理主機、web主機等，其直接面向來自互聯(lián)網(wǎng)的網(wǎng)絡(luò)訪問，受到的威脅程度高，應(yīng)進行重點防護。對于DMZ區(qū)的安全防護可以借鑒生產(chǎn)區(qū)的防護方法，這里不再贅述。需要說明是的：為了保證系統(tǒng)安全防護的可靠性，其安全防護措施，如防火墻，應(yīng)與網(wǎng)絡(luò)接入?yún)^(qū)、生產(chǎn)區(qū)等防護措施形成多層異構(gòu)模式。堡壘區(qū)VPN接入VPN接入可以采用傳統(tǒng)VPN接入設(shè)備，也可以采用虛擬化的VPN接入設(shè)備。其實現(xiàn)方式與傳統(tǒng)方式基本相同，這里不再贅述。堡壘機云平臺的管理運維人員、第三方運維人員以及租戶需要多云計算平臺的主機、應(yīng)用及網(wǎng)絡(luò)設(shè)備進行管理、維護操作。為了發(fā)現(xiàn)和防止不當(dāng)操作、越權(quán)操作的發(fā)生，需要對此類用戶進行認證、授權(quán)、訪問控制和審計。堡壘機就是完成上述功能的關(guān)鍵設(shè)備，典型應(yīng)用場景如下圖所示：

圖STYLEREF\s"標(biāo)題1（綠盟科技）"\n四.SEQ圖\*ARABIC\s113堡壘機應(yīng)用場景功能堡壘機可以提供一套先進的運維安全管控與審計解決方案，目標(biāo)是幫助云計算中心運維人員轉(zhuǎn)變傳統(tǒng)IT安全運維被動響應(yīng)的模式，建立面向用戶的集中、主動的運維安全管控模式，降低人為安全風(fēng)險，滿足合規(guī)要求，保障企業(yè)效益，主要實現(xiàn)功能如下：集中賬號管理 建立基于唯一身份標(biāo)識的全局實名制管理，支持統(tǒng)一賬號管理策略，實現(xiàn)與各服務(wù)器、網(wǎng)絡(luò)設(shè)備等無縫連接；集中訪問控制 通過集中訪問控制和細粒度的命令級授權(quán)策略，基于最小權(quán)限原則，實現(xiàn)集中有序的運維操作管理，讓正確的人做正確的事；集中安全審計 基于唯一身份標(biāo)識，通過對用戶從登錄到退出的全程操作行為進行審計，監(jiān)控用戶對目標(biāo)設(shè)備的所有敏感操作，聚焦關(guān)鍵事件，實現(xiàn)對安全事件地及時發(fā)現(xiàn)預(yù)警，及準(zhǔn)確可查產(chǎn)品形態(tài)對于堡壘機，其產(chǎn)品形態(tài)目前主要有傳統(tǒng)物理設(shè)備形態(tài)，以及虛擬化產(chǎn)品形態(tài)。根據(jù)需要可以選擇相應(yīng)的產(chǎn)品形態(tài)。部署云計算平臺的管理用戶類型主要包括：云平臺運維管理人員、第三方管理人員以及云平臺租戶。從網(wǎng)絡(luò)訪問途經(jīng)講，有內(nèi)部網(wǎng)絡(luò)訪問和來自互聯(lián)網(wǎng)的訪問。堡壘機部署在管理終端和被管理設(shè)備之間，并實現(xiàn)邏輯上的串聯(lián)部署，同時，堡壘機應(yīng)部署在管理平面，實現(xiàn)和用戶數(shù)據(jù)的隔離。以VMWareESXi虛擬化平臺為例，一般部署情況如下圖所示：圖STYLEREF\s"標(biāo)題1（綠盟科技）"\n四.SEQ圖\*ARABIC\s114堡壘機部署圖支撐服務(wù)區(qū)支撐服務(wù)區(qū)的安全防護與傳統(tǒng)IT系統(tǒng)的支撐服務(wù)區(qū)相同，主要部署防火墻、入侵檢測等防護、數(shù)據(jù)庫審計、信息防泄露等防護措施，這里不再贅述。管理區(qū)管理區(qū)可以細分為運維管理子區(qū)、安全管理子區(qū)。運維管理子區(qū)主要部署虛擬化管理平臺、云運維管理平臺、網(wǎng)絡(luò)管理平臺等，其防護與傳統(tǒng)的IT系統(tǒng)基本相同，不再贅述。對于安全管理子區(qū)，一般會集中化部署安全防護措施的管理服務(wù)器、提供通用安全服務(wù)的服務(wù)平臺，如綜合安全管理服務(wù)器、防病毒服務(wù)器、安全檢查/評估系統(tǒng)、安全態(tài)勢監(jiān)測系統(tǒng)等，實現(xiàn)“大院式”防護，降低防護成本。圖STYLEREF\s"標(biāo)題1（綠盟科技）"\n四.SEQ圖\*ARABIC\s115安全管理子區(qū)對于云平臺來講，這里采用的安全防護措施可與虛擬化管理平臺、云管理平臺有機集成，如實現(xiàn)虛擬機配置/活動信息的獲取、租戶信息的獲取、虛擬機所部署應(yīng)用的信息的獲取等，以實現(xiàn)全程自動化實現(xiàn)。安全檢查/評估系統(tǒng)所有的IT組件都會有安全漏洞或者配置弱點，需要部署安全檢查/評估系統(tǒng)對系統(tǒng)進行持續(xù)安全檢查、掃描，并自動化分析系統(tǒng)存在的問題，給出應(yīng)對策略。功能安全掃描技術(shù)主要是用來評估計算機網(wǎng)絡(luò)系統(tǒng)的安全性能，是網(wǎng)絡(luò)安全防御中的一項重要技術(shù)，其原理是采用模擬攻擊的形式對目標(biāo)可能存在的已知安全漏洞/配置弱點進行逐項檢查。安全掃描系統(tǒng)可對云平臺主機/設(shè)備/應(yīng)用進行定期掃描、評估，分析客戶業(yè)務(wù)系統(tǒng)當(dāng)前的設(shè)置和防御，指出潛在的安全漏洞，以改進系統(tǒng)對入侵的防御能力。掃描的目標(biāo)包括工作站、服務(wù)器、路由器、交換機、數(shù)據(jù)庫應(yīng)用等各種對象，根據(jù)掃描結(jié)果向系統(tǒng)管理員提供安全性分析報告，為提高網(wǎng)絡(luò)安全整體水平產(chǎn)生重要依據(jù)。產(chǎn)品形態(tài)對于安全評估系統(tǒng)，其產(chǎn)品形態(tài)目前主要有傳統(tǒng)物理設(shè)備形態(tài)，以及虛擬化產(chǎn)品形態(tài)。根據(jù)需要可以選擇相應(yīng)的產(chǎn)品形態(tài)。部署建議在共享式工作模式下，只要將安全評估系統(tǒng)接入云平臺安全管理子區(qū)網(wǎng)絡(luò)并進行正確的配置即可正常使用，其工作范圍可以覆蓋到云平臺網(wǎng)絡(luò)地址可達之處。運維人員可以從任意地址登錄安全評估系統(tǒng)并下達掃描任務(wù)。網(wǎng)站安全監(jiān)測技術(shù)云計算平臺所部署了大量網(wǎng)站，需要對這些網(wǎng)站進行持續(xù)、動態(tài)偵測，提早發(fā)現(xiàn)問題和漏洞，增強客戶訪問體驗。技術(shù)原理與功能傳統(tǒng)的網(wǎng)站安全監(jiān)管方式通常是采用Web應(yīng)用安全掃描工具周期性的對網(wǎng)站進行安全掃描與評估，然后根據(jù)評估結(jié)果進行安全加固和風(fēng)險管理。這種安全檢查工作是一種靜態(tài)的檢查工作，能夠反映站點被檢查那一時期站點的安全問題，但是缺少風(fēng)險的持續(xù)監(jiān)測性。網(wǎng)站安全監(jiān)測技術(shù)根據(jù)網(wǎng)站系統(tǒng)監(jiān)管要求，通過對目標(biāo)站點進行頁面爬取和分析，為用戶提供透明模式的遠程集中化安全監(jiān)測、風(fēng)險檢查和安全事件的實時告警，并為用戶提供全局視圖的風(fēng)險度量報告，非常適用于為租戶提供安全增值服務(wù)。網(wǎng)站安全監(jiān)測技術(shù)具體包括Web爬蟲與鏈接智能分析、Web頁面預(yù)處理與分級檢測、網(wǎng)頁木馬檢測與分析，實現(xiàn)網(wǎng)站漏洞掃描、網(wǎng)頁掛馬監(jiān)測、網(wǎng)頁敏感內(nèi)容監(jiān)測、網(wǎng)頁篡改監(jiān)測、網(wǎng)站平穩(wěn)度監(jiān)測、網(wǎng)站域名解析監(jiān)測等功能，能夠從站點的脆弱性、完整性、可用性三方面全方位的對站點的安全能力要求進行監(jiān)管，并且可為一個大型的站點群同時提供安全監(jiān)測的能力。產(chǎn)品形態(tài)對于網(wǎng)站安全檢測，其產(chǎn)品形態(tài)目前主要有傳統(tǒng)物理設(shè)備形態(tài)，以及虛擬化產(chǎn)品形態(tài)。根據(jù)需要可以選擇相應(yīng)的產(chǎn)品形態(tài)。部署網(wǎng)站安全監(jiān)測系統(tǒng)可根據(jù)云計算平臺網(wǎng)站的規(guī)模進行獨立部署和分布式部署。獨立部署方式就是在網(wǎng)絡(luò)中部署一臺同時具備監(jiān)測及數(shù)據(jù)分析能力的設(shè)備，即一臺設(shè)備實現(xiàn)所需要的監(jiān)測能力。系統(tǒng)具有管理網(wǎng)口和掃描網(wǎng)口，管理口可接入用戶內(nèi)容，用于用戶對監(jiān)測任務(wù)的管理。掃描口接入外網(wǎng)，對重要網(wǎng)站進行監(jiān)測。分布式部署方式，即采用單臺控制中心，多臺引擎的分布式部署方式?？刂浦行暮鸵嬷g的通信采用管理口，引擎與被監(jiān)測網(wǎng)站可采用掃描口連接。分布式部署方式，即滿足了對大量網(wǎng)站高頻率的監(jiān)控，也可對各網(wǎng)站的監(jiān)測數(shù)據(jù)進行匯總分析，方便用戶對所有網(wǎng)站進行集中管理。對于云計算平臺，建議采用分布式部署方式，并采用軟件形態(tài)，這樣可以資源的彈性。云計算安全防護方案的演進目前，云計算技術(shù)在快速發(fā)展、完善中。在虛擬化技術(shù)之后，尤其是SDN、NFV技術(shù)的采用，為存儲、網(wǎng)絡(luò)資源的自動化部署和分權(quán)分域管理提供了技術(shù)手段。另外，大數(shù)據(jù)技術(shù)的出現(xiàn)和應(yīng)用，也會存儲資源的敏捷性應(yīng)用提供支撐手段。同時，云計算的安全防護體系技術(shù)體系和實現(xiàn)方法也跟隨著云計算的技術(shù)演進步伐，不斷演進和完善。這主要體現(xiàn)在安全防護措施的部署、安全防護技術(shù)體系架構(gòu)、安全運營等方面。虛擬化環(huán)境中的安全防護措施部署在云計算環(huán)境中，為了適應(yīng)虛擬化環(huán)境，以及對對虛擬機之間的流量、跨安全域邊界得流量進行監(jiān)測和訪問控制的需要，安全設(shè)備在保持架構(gòu)和功能的基礎(chǔ)上，在產(chǎn)品形態(tài)和部署方式發(fā)生了一定的變化。在產(chǎn)品形態(tài)方面，主要體現(xiàn)是由硬件變化了軟件。在部署方式方面，主要通過合理設(shè)計虛擬化網(wǎng)絡(luò)邏輯結(jié)構(gòu)，將虛擬化安全設(shè)備部署在合理的邏輯位置，同時保證隨著虛擬主機的動態(tài)遷移，能夠做到安全防護措施和策略的跟隨。從實現(xiàn)邏輯上講，可以將控制措施分為：檢測類：捕獲相應(yīng)的數(shù)據(jù)流量，但不再進行轉(zhuǎn)發(fā)。如vNIDS、網(wǎng)絡(luò)流量檢測等；控制類：攔截網(wǎng)絡(luò)流量，并進行安全處理后進行轉(zhuǎn)發(fā)。如防火墻、Web應(yīng)用防火墻等對于這兩類設(shè)備的部署方式，已經(jīng)在前面進行了描述，這里不再贅述。應(yīng)當(dāng)說明的是，這種部署方式由于需要一定的配置工作，并不能實現(xiàn)安全措施（也可以抽象為安全資源）的自動化部署、分權(quán)分域管理。隨著，SDN、NFV技術(shù)的采用，基于SDN技術(shù)的安全技術(shù)體系架構(gòu)實現(xiàn)了這些需求。軟件定義安全體系架構(gòu)軟件安全體系架構(gòu)的詳細說明參見《2015綠盟科技軟件定義安全軟件安全體系架構(gòu)的詳細說明參見《2015綠盟科技軟件定義安全SDS白皮書》體系架構(gòu)SDN技術(shù)的出現(xiàn)，特別是與網(wǎng)絡(luò)虛擬化結(jié)合，給安全設(shè)備的部署模式提供了一種新的思路。SDN的一個特點是將網(wǎng)絡(luò)中的控制平面與數(shù)據(jù)平面分離，通過集中控制的方式管理網(wǎng)絡(luò)中數(shù)據(jù)流、拓撲和路由，下圖是SDN的一個典型架構(gòu)，自頂向下可分為網(wǎng)絡(luò)應(yīng)用、網(wǎng)絡(luò)控制器和網(wǎng)絡(luò)設(shè)備。圖STYLEREF\s"標(biāo)題1（綠盟科技）"\n五.SEQ圖\*ARABIC\s116SDN典型架構(gòu)那么，基于軟件定義架構(gòu)的安全防護體系也可將安全的控制平面和數(shù)據(jù)平面分離，架構(gòu)如REF_Ref421218582\r\h0所示，可分為三個部分：實現(xiàn)安全功能的設(shè)備資源池，用戶環(huán)境中軟件定義的安全控制平臺和安全應(yīng)用，以及安全廠商云端的應(yīng)用商店APPStore。圖STYLEREF\s"標(biāo)題1（綠盟科技）"\n五.SEQ圖\*ARABIC\s117軟件定義安全防護體系架構(gòu)說明：安全資源池：通過安全能力抽象和資源池化，安全平臺可以將各類安全設(shè)備抽象為多個具有不同安全能力的資源池，并根據(jù)具體業(yè)務(wù)規(guī)模橫向擴展該資源池的規(guī)模，滿足不同客戶的安全性能要求；安全控制平臺：客戶環(huán)境中的核心系統(tǒng)是安全控制平臺，負責(zé)安全設(shè)備的資源池化管理、各類安全信息源的收集和分析、與云計算基礎(chǔ)設(shè)施的對接，以及相應(yīng)安全APP的策略解析和執(zhí)行。并通過與SDN控制器的對接，實現(xiàn)網(wǎng)絡(luò)邏輯拓撲的改變、數(shù)據(jù)流的調(diào)度；安全應(yīng)用：安全應(yīng)用是使用底層安全資源池完成特定安全功能的組件，租戶可以從應(yīng)用商店選擇、下載，并自動化部署、設(shè)置和管理；應(yīng)用商店：云端的APPStore發(fā)布自研或第三方的安全應(yīng)用，客戶可購買、下載和在本地部署、運行這些應(yīng)用技術(shù)實現(xiàn)原理在SDN架構(gòu)中，網(wǎng)絡(luò)控制器可實現(xiàn)流量特征收集、底層網(wǎng)絡(luò)拓撲學(xué)習(xí)、路由路徑計算和流指令下發(fā)等功能，而指令的生成、決策都是由上層APP實現(xiàn)的。安全控制平臺作為的一個具體應(yīng)用，可以負責(zé)信息安全防護的決策、判斷及流調(diào)度策略，進而實現(xiàn)對網(wǎng)絡(luò)流量的自有調(diào)度，使虛擬化環(huán)境中的流量經(jīng)過特定安全防護設(shè)備，實現(xiàn)安全檢測、過濾等功能。使用安全控制平臺的安全設(shè)備部署如下圖所示。圖STYLEREF\s"標(biāo)題1（綠盟科技）"\n五.SEQ圖\*ARABIC\s118使用SDN技術(shù)的安全設(shè)備部署圖云平臺內(nèi)的計算節(jié)點和安全節(jié)點內(nèi)Hypervisor的虛擬交換機連接到SDN控制器，安全管理平臺通過SDN控制器開放的北向接口與之連接。當(dāng)接收并解析安全策略后，安全管理平臺通過SDN控制器，向虛擬交換機下發(fā)流表，依次在源節(jié)點的虛擬交換機、源目的節(jié)點間的隧道和目的節(jié)點的虛擬交換機之間建立一條路徑，這樣原來虛擬機VM1通過源節(jié)點虛擬交換機直接到VM2的流量，就沿著上述指定路徑先到了目的節(jié)點的虛擬安全設(shè)備，當(dāng)處理完畢之后，數(shù)據(jù)流從安全設(shè)備的輸出網(wǎng)卡返回到最終的目的虛擬機VM2。下圖展示了在開源虛擬化系統(tǒng)Openstack+開源SDN控制器環(huán)境下部署IPS的情況。圖STYLEREF\s"標(biāo)題1（綠盟科技）"\n五.SEQ圖\*ARABIC\s119使用SDN技術(shù)實現(xiàn)流量牽引的原理圖當(dāng)需要多種類型的安全防護時，可是使數(shù)據(jù)流就會依次經(jīng)過多個安全設(shè)備，進而達成多種防護的目的。方案演進綠盟科技的云計算安全解決方案可以實現(xiàn)無縫演進。在原生虛擬化環(huán)境中部署的安全設(shè)備可以通過軟件升級，實現(xiàn)和SDN網(wǎng)絡(luò)控制器的接口、安全控制平臺的接口，并進一步抽象化、池化，實現(xiàn)安全設(shè)備的自動化部署。同時，在部署時通過安全管理策略的更變租戶可以獲得相應(yīng)安全設(shè)備的安全管理權(quán)限、達成分權(quán)分域管理的目標(biāo)。在安全控制平臺部署期的過渡階段，可以采用手工配置流控策略的模式，實現(xiàn)無縫過渡。在這種部署模式下，安全設(shè)備的部署情況與基于SDN技術(shù)的集成部署模式相似，只是所有在使用SDN控制器調(diào)度流量處，都需要使用人工的方式配置網(wǎng)絡(luò)設(shè)備，使之執(zhí)行相應(yīng)的路由或交換指令。的IPS防護為例，可以由管理員手動配置計算節(jié)點到安全節(jié)點中各個虛擬網(wǎng)橋的流表，依次將流量牽引到IPS設(shè)備即可。如下圖所示：圖STYLEREF\s"標(biāo)題1（綠盟科技）"\n五.SEQ圖\*ARABIC\s120基于手工配置的IPS防護模式安全運營對于安全防護，關(guān)鍵是在系統(tǒng)運行期間，對系統(tǒng)的持續(xù)安全檢測、防護，并對突發(fā)事件進行處理，這需要安全運維人員具有較高的安全知識和技能。對于云計算中心的租戶，由于其安全知識和技能不足，需要購買安全代維服務(wù)，對云平臺的提供商來講，就需要提供安全運營服務(wù)。綠盟科技的云計算安全解決可以提供安全運營支持。通過在安全管理子區(qū)部署的集中化的安全檢測/評估平臺、安全管理平臺等可以實現(xiàn)對租戶提供安全運營服務(wù)。另外，綠盟科技提供了云端的安全服務(wù)，可以為云平臺服務(wù)商提供設(shè)備代維、網(wǎng)站檢測、惡意代碼分析和更新、安全威脅分析和安全情報等服務(wù)。云安全技術(shù)服務(wù)私有云安全評估和加固風(fēng)險評估服務(wù)針對云計算中心的風(fēng)險評估將在針對國內(nèi)外信息安全風(fēng)險評估規(guī)范和方法理解的基礎(chǔ)上開展，遵循ISO27005以及NISTSP800-30的基礎(chǔ)框架，并且將針對云計算的資產(chǎn)識別、威脅分析、脆弱性識別和風(fēng)險評價融入其中，是云計算中心進行安全規(guī)劃建設(shè)、法規(guī)遵從、運營安全狀態(tài)分析等安全日?；顒拥闹匾罁?jù)。此方案的設(shè)計思路是針對云計算中心的安全現(xiàn)狀而做出的，因此在對云計算中心的安全體系設(shè)計具有一定的局限性和不確定性。為了使最終采用的安全管理、安全技術(shù)手段充分貼合云計算中心的實際安全需求，需要通過安全建設(shè)中的重要手段――風(fēng)險評估來實現(xiàn)。通過風(fēng)險評估可以更加清晰、全面的了解云計算中心系統(tǒng)的安全現(xiàn)狀，發(fā)現(xiàn)系統(tǒng)的安全問題及其可能的危害，為后期安全體系建設(shè)中的安全防護技術(shù)實施提供依據(jù)。風(fēng)險評估對現(xiàn)有網(wǎng)絡(luò)中的網(wǎng)絡(luò)架構(gòu)、網(wǎng)絡(luò)協(xié)議、系統(tǒng)、數(shù)據(jù)庫等資產(chǎn)安全現(xiàn)狀進行發(fā)現(xiàn)和分析，確定系統(tǒng)在具體環(huán)境下存在的安全漏洞、隱患，以及被黑客利用后會造成的風(fēng)險和影響。在此基礎(chǔ)上對實施流程進行規(guī)劃：即針對云計算中心的具體情況制定適合于自身的安全目標(biāo)和安全級別，在充分考慮經(jīng)濟性的基礎(chǔ)之上設(shè)計和實施相應(yīng)的安全建設(shè)方案。安全測試服務(wù)安全測試是以綠盟科技在漏洞挖掘、分析、利用等領(lǐng)域的理論依據(jù)和多年實踐經(jīng)驗為基礎(chǔ)，對云計算平臺進行深入、完備的安全服務(wù)手段。安全測試內(nèi)容將包括如下內(nèi)容：源代碼審計：源代碼審計（CodeReview，后簡稱為代碼審計）是由具備豐富的編碼經(jīng)驗并對安全編碼及應(yīng)用安全具有很深刻理解的安全服務(wù)人員，根據(jù)一定的編碼規(guī)范和標(biāo)準(zhǔn)，針對應(yīng)用程序源代碼，從結(jié)構(gòu)、脆弱性以及缺陷等方面進行審查；模糊測試：模糊測試是一種通過提供非預(yù)期的輸入并監(jiān)視異常結(jié)果來發(fā)現(xiàn)軟件故障的方法，是一個自動的或半自動的過程，這個過程包括反復(fù)操縱目標(biāo)軟件并為其提供處理數(shù)據(jù)。模糊測試方法的選擇完全取決于目標(biāo)應(yīng)用程序、研究者的技能，以及需要測試的數(shù)據(jù)所采用的格式；滲透測試：滲透測試（PenetrationTesting）是由具備高技能和高素質(zhì)的安全服務(wù)人員發(fā)起、并模擬常見黑客所使用的攻擊手段對目標(biāo)系統(tǒng)進行模擬入侵，找出未知系統(tǒng)中的脆弱點和未知脆弱點。滲透測試服務(wù)的目的在于充分挖掘和暴露系統(tǒng)的弱點，從而讓管理人員了解其系統(tǒng)所面臨的威脅私有云平臺安全設(shè)計咨詢服務(wù)參考標(biāo)準(zhǔn)和規(guī)范云計算雖然是信息技術(shù)革命性的新興領(lǐng)域，但是在國際和國內(nèi)也有權(quán)威性的組織或者機構(gòu)，針對該領(lǐng)域的信息安全風(fēng)險控制制定并發(fā)布了指導(dǎo)具體實踐活動的標(biāo)準(zhǔn)和規(guī)范，這些標(biāo)準(zhǔn)和規(guī)范，不僅可以為云計算服務(wù)平臺的建設(shè)者和運營者提供全面有效的信息安全風(fēng)險控制措施指南，也是云計算安全咨詢服務(wù)提供者的主要參考和依據(jù)。GB/T31167/31168-2014我國在2014年發(fā)布了兩個云計算安全的國家標(biāo)準(zhǔn)，分別是《GB/T31167-2014云計算服務(wù)安全指南》和《GB/T31168-2014云計算服務(wù)安全能力要求》。GB/T31167是針對政府行業(yè)策劃、選擇、實施、使用公有云服務(wù)的整個外包生命周期給出信息安全管控指南，而GB/T31168面向云服務(wù)商，提出了云服務(wù)商在為政府部門提供服務(wù)時應(yīng)該具備的安全能力要求。以上兩個標(biāo)準(zhǔn)雖然是面向政府行業(yè)使用公有云服務(wù)而提出，但是GB/T31168中提出的安全控制能力要求，對于其他行業(yè)使用公有云服務(wù)，以及建立私有云計算平臺的組織來說，同樣具備重要的參考意義。GB/T31168給出了不同的云服務(wù)模式下，服務(wù)提供者與客戶之間的安全控制職責(zé)范圍劃分，如下圖所示：圖STYLEREF\s"標(biāo)題1（綠盟科技）"\n六.SEQ圖\*ARABIC\s121服務(wù)提供者與客戶之間的安全控制職責(zé)范圍劃分GB/T31168對云服務(wù)商提出了基本安全能力要求，分為10類，每一類安全要求包含若干項具體要求。系統(tǒng)開發(fā)與供應(yīng)鏈安全（17項）：云服務(wù)商應(yīng)在開發(fā)云計算平臺時對其提供充分保護，對信息系統(tǒng)、組件和服務(wù)的開發(fā)商提出相應(yīng)要求，為云計算平臺配置足夠的資源，并充分考慮安全需求。云服務(wù)商應(yīng)確保其下級供應(yīng)商采取了必要的安全措施。云服務(wù)商還應(yīng)為客戶提供有關(guān)安全措施的文檔和信息，配合客戶完成對信息系統(tǒng)和業(yè)務(wù)的管理；系統(tǒng)與通信保護（15項）：云服務(wù)商應(yīng)在云計算平臺的外部邊界和內(nèi)部關(guān)鍵邊界上監(jiān)視、控制和保護網(wǎng)絡(luò)通信，并采用結(jié)構(gòu)化設(shè)計、軟件開發(fā)技術(shù)和軟件工程方法有效保護云計算平臺的安全性；訪問控制（26項）：云服務(wù)商應(yīng)嚴格保護云計算平臺的客戶數(shù)據(jù)，在允許人員、進程、設(shè)備訪問云計算平臺之前，應(yīng)對其進行身份標(biāo)識及鑒別，并限制其可執(zhí)行的操作和使用的功能；配置管理（7項）：云服務(wù)商應(yīng)對云計算平臺進行配置管理，在系統(tǒng)生命周期內(nèi)建立和維護云計算平臺（包括硬件、軟件、文檔等）的基線配置和詳細清單，并設(shè)置和實現(xiàn)云計算平臺中各類產(chǎn)品的安全配置參數(shù)；維護（9項）：云服務(wù)商應(yīng)維護好云計算平臺設(shè)施和軟件系統(tǒng)，并對維護所使用的工具、技術(shù)、機制以及維護人員進行有效的控制，且做好相關(guān)記錄；應(yīng)急響應(yīng)與災(zāi)備（13項）：云服務(wù)商應(yīng)為云計算平臺制定應(yīng)急響應(yīng)計劃，并定期演練，確保在緊急情況下重要信息資源的可用性。云服務(wù)商應(yīng)建立事件處理計劃，包括對事件的預(yù)防、檢測、分析和控制及系統(tǒng)恢復(fù)等，對事件進行跟蹤、記錄并向相關(guān)人員報告。云服務(wù)商應(yīng)具備容災(zāi)恢復(fù)能力，建立必要的備份與恢復(fù)設(shè)施和機制，確保客戶業(yè)務(wù)可持續(xù)；審計（11項）：云服務(wù)商應(yīng)根據(jù)安全需求和客戶要求，制定可審計事件清單，明確審計記錄內(nèi)容，實施審計并妥善保存審計記錄，對審計記錄進行定期分析和審查，還應(yīng)防范對審計記錄的非授權(quán)訪問、修改和刪除行為；風(fēng)險評估與持續(xù)監(jiān)控（6項）：云服務(wù)商應(yīng)定期或在威脅環(huán)境發(fā)生變化時，對云計算平臺進行風(fēng)險評估，確保云計算平臺的安全風(fēng)險處于可接受水平。云服務(wù)商應(yīng)制定監(jiān)控目標(biāo)清單，對目標(biāo)進行持續(xù)安全監(jiān)控，并在發(fā)生異常和非授權(quán)情況時發(fā)出警報；安全組織與人員（12項）：云服務(wù)商應(yīng)確保能夠接觸客戶信息或業(yè)務(wù)的各類人員（包括供應(yīng)商人員）上崗時具備履行其安全責(zé)任的素質(zhì)和能力，還應(yīng)在授予相關(guān)人員訪問權(quán)限之前對其進行審查并定期復(fù)查，在人員調(diào)動或離職時履行安全程序，對于違反安全規(guī)定的人員進行處罰；物理與環(huán)境保護（15項）：云服務(wù)商應(yīng)確保機房位于中國境內(nèi)，機房選址、設(shè)計、供電、消防、溫濕度控制等符合相關(guān)標(biāo)準(zhǔn)的要求。云服務(wù)商應(yīng)對機房進行監(jiān)控，嚴格限制各類人員與運行中的云計算平臺設(shè)備進行物理接觸，確需接觸的，需通過云服務(wù)商的明確授權(quán)CSACMM&GUIDE云安全聯(lián)盟CSA是由多廠商組成的云計算安全權(quán)威性國際組織，該組織自成立起就致力于為云計算服務(wù)商提供信息安全風(fēng)險控制方面的指南，其中主要的成果包括《云安全控制矩陣CCM》和《云計算關(guān)鍵領(lǐng)域安全指南》白皮書。最新升級的CSACCMV3.0，融合了多個行業(yè)公認的安全標(biāo)準(zhǔn)，條款，和控制框架，例如ISO27001/27002,歐盟網(wǎng)絡(luò)與信息安全局(ENISA)信息擔(dān)保框架，ISACA(國際信息系統(tǒng)審計協(xié)會)對信息和相關(guān)技術(shù)的控制條款，支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)，和聯(lián)邦風(fēng)險和授權(quán)管理程序等，為云服務(wù)商提供了覆蓋16個領(lǐng)域133項安全控制措施要求：圖STYLEREF\s"標(biāo)題1（綠盟科技）"\n六.SEQ圖\*ARABIC\s122云計算關(guān)鍵領(lǐng)域安全其它指南與認證除了上述國家標(biāo)準(zhǔn)和云安全聯(lián)盟標(biāo)準(zhǔn)之外，還有其它的組織或機構(gòu)對云計算安全風(fēng)險控制體系進行了探索和實踐，包括：美國國防部DOD云計算安全需求指南歐盟網(wǎng)絡(luò)與信息安全局ENISA云計算安全白皮書英國標(biāo)準(zhǔn)協(xié)會BSI云計算安全管理體系STAR認證國內(nèi)數(shù)據(jù)中心聯(lián)盟可信云服務(wù)認證咨詢服務(wù)思路綠盟科技為云服務(wù)商客戶（包括各種服務(wù)交付模式和運營部署模式）提供信息安全咨詢服務(wù)的整體思路如下圖所示：圖STYLEREF\s"標(biāo)題1（綠盟科技）"\n六.SEQ圖\*ARABIC\s123安全咨詢服務(wù)思路首先綜合參考當(dāng)前的國際/國內(nèi)標(biāo)準(zhǔn)規(guī)范，建立一套具備普遍適用意義的、面向云計算平臺的信息安全控制措施基線，該基線由不同領(lǐng)域不同類別的安全控制措施組成，涵蓋安全