近年来,云计算的发展如火如荼,云计算的概念已广为人知,但“安全云”的概念却并不为人所熟知。和保障云计算安全的“云安全”不同,“安全云”是云计算技术在信息安全领域的具体应用和拓展,是基于云计算的安全产品和服务,属于实现安全即服务的一种技术和业务模式。安全云在通过采用云计算技术对安全系统进行云化的基础上,实现安全资源的池化,使用户在不需要自身对安全设施进行维护管理和最小化服务成本的情况下,通过互联网得到便捷、按需、可伸缩的安全服务。今年11月,中国电信推出了“安全云服务”,成为国内第一家提供安全SaaS(Software as a service)服务的运营商。
“安全云服务”由运营商主导
安全云服务产业链主要由安全云服务提供商、安全设备提供商和最终用户组成,其中,安全云服务提供商是安全云服务的主要提供者和推动者。电信运营商和大型安全服务提供商因实力雄厚将成为主要的安全云服务提供商。
2011年初王晓初提出“智能管道的主导者、综合平台的提供者、内容和应用的参与者”的转型目标,信息安全做为智能管道的重要属性,起着不可或缺的作用。中国电信在基础网络和安全基础设施资源、客户资源、运营人才资源、资金等方面具备雄厚的实力,提供安全云服务将会具备明显的优势。
中国电信安全服务中心负责中国电信安全产品的运营工作,2010年开始,中国电信安全服务中心着手进行“安全云服务”的调研、试点工作,目前,“安全云服务”的前期试点工作已经结束,并已于2012年11月正式对外发布和推广。中国电信“安全云服务”的推出,是中国电信业务转型在安全领域的一大动作。
中国电信“安全云服务”,是中国电信推出的基于SaaS的全方位、立体化网站安全服务,具备三类功能。“安全云服务”包括针对网站进行安全监控和预警的“云监控服务”,以及针对网站进行防护的“云防护服务”。作为线上服务的补充,“安全云服务”还提供线下由安全专家人工进行的“专家服务”(图1)。
功能一:云监控服务
“云监控服务”是中国电信面向网站用户提供的7×24网站安全监控服务,包含网站可用性监控、网站内容监控、网站脆弱性监控功能。在用户网站出现安全状况,如网页被篡改,网站不可访问,被挂马,出现敏感关键字等情况时,第一时间向用户提供邮件、电话、短信告警服务,将用户损失降至最低。云监控服务的监控请求对用户网站的资源消耗很小,对网站性能的影响非常有限。
1.可用性监控服务
“可用性监控服务”向用户提供网站是否可用的监控服务,在网站由于断网、宕机、被黑等突发事件发生而无法访问时,向用户进行短信、邮件、电话告警。
云监控服务在中国大陆地区不同城市部署了多个分布式监测点,除电信自有线路外,在其他运营商如联通也有多点分布。除此之外,还在台湾、美国等地区拥有数个监测点。多个监控点排除了因监控线路、运营商等问题造成的误报,极大的保证了监控结果的准确性。
云监控服务提供最短5分钟一次的网站可用性监控服务,告警方式包括短信、邮件、电话。当网站被系统认定为不可用时,云监控系统将会立即向用户发出告警短信和邮件,并根据用户选择提供电话告警服务。在网站恢复可访问时,系统将发出恢复可访问短信及邮件。用户还可选择“连续短信告警服务”,在网站无法访问时,每五分钟向用户发送一次告警短信,持续告警直至网站恢复可访问。
2.篡改监控
云监控服务7×24小时对用户网站进行网页篡改监控,监控用户指定页面(一般是首页)的内容和结构变化。发现变更后,系统首先向监控人员告警。监控人员人工核实变更事件是恶意篡改还是网站正常更新。如为恶意篡改,立即通过电话向用户告警。
3.挂马监控
中国电信云监控系统采用业内最先进的监控手段,结合木马传统静态匹配特征和云特征技术,检测用户网页是否被挂马,频率最快可达到5分钟一次。挂马识别准确度可达95%以上。
4.敏感词监控
云监控系统采取了分词算法、贝叶斯算法,可以精确检测网站中包含的敏感词并进行预警,包括政治敏感词和色情低俗敏感词等,并可对特定错别字进行检测,如领导人的名字等。先进的算法保证了敏感词监控的准确性。系统最高可提供5分钟一次的监控频率,并可自定义敏感关键词。
5.暗链监控
云监控服务为用户提供暗链监控服务,检测网站是否被嵌入暗链地址。暗链一般为网站中被恶意植入的在浏览器中隐藏不可见的广告链接,这些暗链往往被非法链接到网游、博彩色情、诈骗、甚至反动信息网站。发现暗链后,将向用户进行邮件、电话预警。
6.脆弱性监控服务
云监控服务定期为用户提供网站脆弱性监控服务,即对网站进行深层扫描,发现网站系统的漏洞,并为客户提供相应加固意见。系统通过对Web应用进行深度遍历, 针对各种Wed应用系统以及各种典型的应用漏洞进行检测并生成相应报告。
7.在线报表
云监控服务为用户提供了详细的在线报表。基于系统的周期性监测特性,对近日历史安全数据如篡改、挂马、敏感词、暗链等进行综合统计,展示监测网站危险分布,以表格的形式展示网站主要存在的安全问题。用户可登录并查看自身网站报表。
功能二:云防护服务
中国电信云防护服务,是由中国电信提供的针对用户网站进行安全防护的服务。用户通过更改域名NS记录到中国电信指定DNS服务器,实现对网站恶意访问流量的过滤。在“零部署”、“零维护”的情况下,拦截诸如XSS、SQL注入等各种攻击,同时向用户提供定制安全防护策略、网站日志归档、实时安全报表等服务,从整体上提升网站的安全性。
1.网站防火墙
云防护系统可为用户网站抵挡如SQL注入,XSS跨站等渗透攻击,起到网站防火墙的功能。用户更改网站域名NS记录,指向中国电信安全DNS服务器,网站IP解析至中国电信云防护系统,云防护系统将作为客户网站“替身”。网站真实IP地址得以隐藏,大幅增加黑客攻击难度。
网站访问者向原始服务器发出访问请求时,首先要通过作为网站替身存在的云防护系统,云防护系统将对访问要求作出分析,当访问请求符合安全要求时,再将访问请求转发给原始服务器,这种防护模式可以最大限度的过滤掉如SQL注入、XSS跨站等恶意访问和渗透攻击,充分保障用户网站安全。同时系统通过DNS分区解析、缓存等技术,有效保障网站的访问速度。
2.定制安全防护策略
云防护服务还针对具有特殊需求的网站用户提供了安全防护策略定制服务。在用户开通云防护服务后,根据用户要求,云防护系统将对用户网站进行漏洞扫描,根据用户网站的漏洞情况,量身定制安全防护策略,提高对网站的防护水平。
3.防盗链
在网络开放的当下,网站资源被他站盗用已经成为了网站管理员迫切需要解决的问题之一。云防护针对这种情况设计了资源防盗链服务,可以有效阻止网站的图片,多媒体等资源被非法访问。同时为了方便用户网站间资源共享,云防护系统还允许用户自行设置符合需要的资源共享规则。
4.临时页面
网站访问者在访问网站时看见404等无法访问错误是各网站管理员最不想看到的情况之一,但是不管是大中小型网站,发生无法访问事件总是不可避免的。云防护服务为用户提供的“临时页面”功能,根据防护节点的缓存功能,提供用户事先定制的临时替代页面,如“本网站正在进行维护”等,提高网站访问者的感知。
5.安全日志归档
云防护服务为用户提供详细的攻击数据报表,让用户时刻掌握网站的健康状况。此外,云防护服务还为用户保存网站原始访问和安全日志。客户可以在有效时间段内,任意下载已备份的原始日志。
6.网站综合分析报表
云防护服务为用户提供了全面的攻击数据分析报表,这些分析包括攻击类型汇总、渗透攻击日志分析、防盗链日志分析。还为用户提供了详细的访问日志分析,包括用户来源,页面停留,访问量统计等不同内容,以帮助用户评估和改善网站访问效果。
功能三:专家服务
中国电信集团下属的安全服务中心,拥有一支经验丰富的安全专家队伍。通过多年项目协作与队伍建设,形成了一支遍布全国的安全人才队伍。因此在上述两种基于云的服务的基础上,中国电信充分发挥自身人才资源优势,向网站用户提供基于人工的“专家服务”。这项服务主要包括针对网站的漏洞扫描、渗透测试等安全评估服务,对网站的安全加固服务,和应急响应服务。
安全专家通过对网站进行安全扫描,发现网站安全漏洞,提供详细的《网站安全扫描报告》;通过模拟黑客手法,在客户授权下对网站进行渗透测试,提供详细的《网站安全渗透测试报告》;针对网站已发现的安全漏洞提供《网站安全加固建议》,协助客户加固网站;在网站发生重大安全事件,如网站内容被恶意篡改、网站有重大安全漏洞时,进行应急响应服务。
比传统安全服务占优
中国电信“安全云服务”为广大希望保障网站安全的用户提供了方便、快捷、按需的安全服务,相比传统的网站安全保障有段,具备明显的优势。
便捷:用户加入中国电信安全云,只需提供一个域名,即可享受网站监控服务;更改DNS到中国电信指定DNS,即可享受网站防护服务。不改变网络环境,无需自己维护,真正做到了零部署、零运维,非常便捷。
高效:高效发现用户网站断网、挂马、篡改、漏洞等各种网站安全问题,并可高效拦截诸如XSS、SQL 注入等多种攻击。
省心:7×24对网站进行监控,发现安全问题第一时间进行告警,解决了用户尤其是政府用户对网站安全问题造成不良影响的担心。对网站的防护规则自动更新,并可根据用户网站的漏洞情况进行量身定制,用户无需费心调试设备策略,即可享受保障网站安全的服务效果。
省钱:用户不需购买昂贵的软硬件,不需配备专门安全运维人员,节省了物力和人力成本。此外,用户可根据自身状况按需购买服务时间,节省开支。
“安全云服务”自开展试点工作以来,中国电信凭借其雄厚的数据中心和基础网络资源,庞大的客户基数和遍布全国的营销体系,迅速扩展了用户数。试点工作结束后,企业用户数已超5000。用户遍及政府、金融、央企、中小企业等各行业。
