当前位置: 行业与应用 > 行业解决方案

1. 云计算与安全

Google在2003年的SOSP大会上发表了GFS分布式文件系统,2004在OSDI大会上发表MapReduce分布式处理论文,2006在OSDI发表了关于BigTable分布式数据库论文,通过这三大论文人们得以窥探Google搜索引擎背后强大的技术支撑的奥秘,此后克隆这三个技术的开源产品大量出现,产生了开源领域最成功最活跃的项目之一:Hadoop。自亚马逊推出了S3和EC2的服务后,揭开了云计算大潮的序幕,云计算风起云涌,世界从此进入一个云时代。云服务正在从本质上改变企业和用户使用服务的方式:实现将 IT 作为服务提供、推动人们协作方式的发展并改变了交付内容的方式。云服务使得世界以更简单、更灵活且更经济的方式运行。然而在云计算的炙手可热的同时,也引发了安全方面的种种担忧,尤其是公有云。在云计算模式下,数据都被集中在云数据中心,从而使得风险集中。究竟什么是云计算呢?在这里,我们采用NIST的定义。


图表 1NIST云模型

NIST给云计算定义了三个服务模型(IaaS、PaaS、SaaS)、四个部署模型(私有云、行业云、公有云、混合云)和云服务呈现的五个特征,分别是:

  • 按需自服务
  • 宽带接入
  • 资源池
  • 快速弹性架构
  • 可测量的服务

由于云计算的规模可能非常之庞大,所以引发了数据中心种种挑战,但同时也面临着前所未有的安全考验,为此云计算服务商必须打消人们的种种安全顾虑,进而为大面积推广奠定基础,安全问题已经成为云计算推行的最大障碍。

作为应用安全领域的领先者,安恒很早就展开对云计算安全的研究,以下是安恒的云计算安全控制模型。


图表 2 云计算安全模型

该模型解释了云计算安全所采用的主要安全控制手段,安恒认为云计算应建立全面的安全体系,同时对安全运维提出了更高的要求,能够更敏捷应对各种安全问题。随着各类WEB新技术的普及,应用安全将是云计算面临的主要安全问题之一,并且应用安全将始终贯穿于IaaS、PaaS、SaaS的层面。

2. 解决方案

基于对云计算安全的理解,安恒推出的解决方案对应安全模型中的控制、可视、敏捷反应部分,旨在实现对安全的可视、可控、可审计,方案以云计算数据中心为核心,为广大客户提供专业安全产品和服务,有助于加速云计算的普及,并帮助降低客户面临的风险,以实现云计算基础架构的安全持续与合规。


图表 3 安恒云计算安全解决方案

云监测

2010年安恒推出了基于SaaS的安全监测平台,如新型的云主机提供商,可以利用该平台对所有的WEB系统进行集中统一的安全监测。

主要功能:

  • 漏洞扫描
  • 平台集成了漏洞扫描功能,该功能继承了明鉴网站弱点扫描器的所有优点,可以实现快速、准确的定位出网站存在的问题,具备智能快速的深度漏洞扫描,全面准确的应用弱点检测,使用灵活丰富等优点;

    1. 网页木马检测

    木马检测算法主要由网页恶意代码分析技术和网页行为分析技术组成,由于网页木马特征库如Google以及使用的就是网页木马特征库,具有较强的时效性和较高的误报率和漏报率,因此在本平台中未使用该技术。通过上述两种主要的算法使网页木马检测功能实现了误报率低、漏报率底,能发现部分未知网页木马的效果,可实现对传统杀毒厂商提供的木马样本99%以上的识别率。

    1. 网页恶意代码分析

    通过对网页中的恶意脚本的链接进行分析,基于链接分析的木马检测技术,利用网页中的链接,可以追查出网页木马传播的病毒以及木马程序所在位置,从而实现有害程序的准确定位。为安全部门清除有害程序,追查病毒、木马传播人员提供线索,为上网用户提供安全的网络环境,以下展示了分析流程:


    图表 4 网页恶意代码分析示流程图

    恶意代码分析主要使用了特征码检测和Shellcode探测分析相结合的检测方法。可以识别出利用各种漏洞的网页木马,以及多种加密变种(JS.Agent.NBM, JS.Kryptik.R,JS.Kryptik.I)。通过Shellcode探测分析技术,可以对抗多变的网页木马“免杀”机制,具备对利用0-day漏洞的未知网页木马的检测能力;而且可检测出网页木马内部的恶意链接,精确定位出网页木马宿主站点的网络位置。与网页木马特征库技术相比,通过Shellcode探测分析技术,不但具备未知网马的检测能力,并且可以溯源定位网马内部的恶意链接。由于网页木马的触发条件多样、严格,所以与使用动态检测技术的网马检测产品相比,漏报率更低、检测效率更高。

    1. 网页行为分析技术

    恶意代码分析技术能实现高效的网页木马检测,为了进一步提高网页木马的识别率,采用了网页行为分析技术作为辅助检测技术,即安全沙箱分析技术,主要用于网页恶意代码检测之后发现一些可疑代码片段、无法正常理解的编码内容、网页中嵌入的Flash、Activex等无法分析代码组件的网页木马。针对上述的内容网页木马检测引擎通过构建试验样本,然后利用各种软件工具结合适当方法采集其代码行为和运行行为的特征,以进程监视技术为核心,结合内核模式下的API函数调用拦截技术通过拦截浏览器激活网页木马所必需的API函数实现检测,并通过拦截报警方式解决可能存在的误报问题,从而实现基于网页行为分析的网页木马检测。

    1. 篡改监测

    网页篡改监测采用HTML标签域比对技术实现监测,监测引擎对网站进行初始化采样建立篡改监测基准,并对基准内容进行泛格式化处理,解析出HTML的相关标签作为后续比对的基准。篡改监测技术的基础是网页变更监测,因此如果将所有的网页变更都认为是篡改将导致大量的误判,为了解决这个问题安全监测平台使用了四个级别的策略:低度变更、中度变更、高度变更、确认篡改。管理员可自行定义篡改策略,如网页的Title标签如果检测到变更将视为确认篡改,或通过定义监测到某特定的关键字即视为确认篡改。

    1. 敏感词监测

    采用中文关键词以及语义分析技术对网站进行敏感词监测,实现精确的敏感词识别,确保网站内容符合互联网相关规定,避免出现敏感信息以及被监管部门封杀。监测平台可以灵活的识别网站中存在的敏感关键词,如“法轮功”、“法****+轮####功”等均可以良好的识别出来,有效的解决了关键字中夹杂符号而无法识别的问题。平台还使用了主辅关键字技术,使关键的告警控制在更有为效的范围之内,如“法轮功”为告警主关键字,但与“打击”、“抵制”等辅关键字在一起时则不会触发告警行为。更为合理的关键字监测降低人工二次确认的庞大工作量。

    1. 可用性监测

    网站安全监测平台提供三个级别的网站可用性监测功能,分别从域名可用性、网站服务可用性再深入到网站程序可用性的监测。较为全面的实现了网站可用性的监测功能。

    1. 域名解析可用性

    监测平台通过监测权威DNS服务器的可用性、以及权威服务器解析IP地址是否与监测平台记录的历史基准一致来判断域名是存否发生安全问题,检测到故障时会在第一时间向网站管理员提出整改建议。如果提供权威DNS信息的域名服务器出现故障或解析出错误的信息,将导致用户无法访问到真实的网站,例如百度网站被黑就是类似的原因导致的。

    1. 网站服务可用性

    网站正常工作时会自动监听指定的TCP端口,通常是TCP 80端口,且通过HTTP协议访问时能获得一个200的响应状态码,则说明网站已经正常服务。当网站采用独立的服务器,网站内容为静态内容时使用该技术检测已经可以很好的跟踪网站的可用性了,但如果网站存在虚拟主机或复杂的应用程序时则仍不能确认网站是否正常工作。

    1. 网站程序可用性

    网站程序可用性主要用于解决虚拟主机环境、复杂应用程序等环境的可用性识别。该功能类似于网上银行系统的预留信息确信技术,采用该技术时监测引擎间隔一段时间就会向监测网站发起HTTP请求,并核对响应页面内容是否有预留的文本或数据,若能匹配才认为网站能正常访问。

云防护

云防护要实现对架构在云上的WEB应用系统以及后台的虚拟机进行防护,两者旨在为云计算建立深度安全防护机制。

云WAF

当越来越多的应用转移到Web上后,安全威胁也大多集中在WEB层面,为了应对这种威胁,诞生了WAF(WEB应用防火墙)。秉承安恒在应用安全领域的深刻积累,于2007年发布国内首款透明代理WEB应用防火墙引领WEB应用防火墙,2011年受国际OWASP组织委托起草《OWASP WEB应用防火墙检测基准》,同年受中国信息安全认证中心委托起草《中国信息安全认证中心WEB应用防火墙检测标准》。

云WAF采用安恒独有WEB入侵异常检测引擎,能够有效分析和识别各类已知和变形的应用攻击,为防御的准确性和高效性提供了基础,具备防御能力强、易用性好、安全态势实时告知、审计日志完善、部署灵活并支持虚拟补丁、虚拟主机等特性,成为云计算时代的WEB系统的坚强防护盾牌。

主要功能

  • 广泛的防护能力:系统内置了30余类的通用WEB攻击特征,可有效的防御如SQL注入、文件注入、命令注入、配置注入、LDAP注入、跨站脚本等;
  • HTTP协议深度检查:针对HTTP协议进行深度检测,通过协议规范性检查可以实现WEB主动防御功能,如请求头长度限制、请求编码类型限制等从而障蔽了大部分未知攻击行为;
  • 抗扫描:能自动识别各种扫描器的扫描行为,并智能阻断如Nikto、Paros proxy、WebScarab、WebInspect、Whisker、libwhisker、Burpsuite、Wikto、Pangolin、Watchfire AppScan 、N-Stealth、Acunetix Web Vulnerability Scanner等多种扫描器的扫描,防止恶意攻击者的扫描探测;
  • 防敏感信息泄露:具备双向内容检测的能力,能识别服务器页面内容的敏感信息,防止敏感信息泄露:如服务器出错信息、数据库连接文件信息、WEB服务器配置信息,网页中的连续出现的身份证、手机、邮箱等个人信息,均可被识别并依据策略采取相应的措施;
  • 防CC攻击:基于URL级别的访问频率统计,并通过访问行为建模检测出CC攻击的来源,对CC攻击者采取限时锁定措施从而有效措施来自外网的CC攻击行为,该功能还可有效解决因验证码技术落后而导致的口令破解问题;
  • 防盗链:支持多种盗链识别算法能有效解决单一来源盗链、分布式盗链、网站数据恶意采集等信息盗取行为,从而确保网站的资源只能通过本站才能访问;
  • 应用程序错误跟踪:能自动记录应用程序的出错信息,并能将应用程序出错信息进行分类汇总,为程序人员进行分析原因和修复程序提供了重要参考;
  • WEB应用加速:采用WebCache技术对防护的网站进行加速,通过对静态文件的缓存技术,动态请求的TCP连接复用技术实现了网站访问速度的提升;
  • 负载均衡:通过WAF实现对防护站点的轻量级负载均衡,有效的缓解了因单台服务器可能存在单点故障的情况,从而实现了网站不间断服务;
  • 站点访问审计:对网站的访问情况进行统计分析呈现即时访问量趋势图、用户最关注的网页、访问者最集中的地市区域等信息,便于分析网站的业务模块的访问情况,并为业务功能的价值提供评价参考。

部署方式:

明御WAF支持业内各种部署方式(透明、网关、旁路、反向代理、HA等),可以满足任何复杂环境要求,以下显示了在云环境典型的透明部署示例:


图表 5WAF透明部署图

云文件保护

云计算中文件分布相对离散、冗余,存储方式复杂、多样,对文件可操作节点更多、更松散,为了提高这些非关系型文件的管理、操作、修改、移除等透明度和可控性,安恒研发团队紧跟IT时代的步伐,隆重推出云文件保护系统(CloudFileProtector)。让用户对云环境里各种非关系型文件的变动进行监测和告警,以实现对文件变化的感知、可控。

产品采用先进的文件驱动和实时触发技术,结合安恒团队对信息安全的独特见解研发而成。具有运行稳定、兼容性高、配置灵活、操作简单等特点。

产品主要功能:

CloudFileProtector功能主要体现在两个方面:文件操作审计、文件变更控制。根据用户需求和客户的云环境特点,策略松驰有度。对任意类型的非关系型文件进行全面管控。

    1. 文件操作审计:

    对分布节点或虚拟节点上所类型的非关系型文件变更进行全方位、细粒度的审计,并将审计结果实时推送到中心管理平台统一存储、展现。用户可以通过管理中心的日志分析,全面了解到各节点文件变动的情况,包括时间、操作进程、文件路径,操作结果等多维度信息。

    1. 文件变更控制:

    通过管理中心可以基于操作进程、文件路径、文件类型等方式对各节点下发文件变更安全控制策略,从而并对各节点的文件变更进行有限的管控。能根据策略实时阻断因人为误操作、误删除、非法篡改、程序错误导致文件被修改等行为。并对相关的操作以详细的日志推送到管理中心。

环境支持情况:

  • 虚拟化平台:VMware,XEN,KVM,Hyper-V,VirtualBox 等
  • 文件系统:FAT,NTFS,EXT2\3\4,XFS,HFS,ZFS,UFS等
  • 分布文件系统:GFS,MFS,hadoop,FastDFS等
  • 操作系统类型:Windows全系列,SUSE,RedHat,CentOS,Asiaunx等Linux系统。

虚拟安全网关

由于虚拟化带来的管理上的种种便捷,以及大幅提高资源的使用效率,因此云计算已经普遍采用虚拟化技术,几乎在每个云计算的架构种都会看虚拟化。虚拟化为云计算提供了经济便捷等方面优势的同时,也带来了新的安全担忧,这些担忧包括:

  • 在虚拟环境出现内部攻击或者病毒爆发等;
  • 对于不进入物理网络的虚拟机之间的流量,缺乏可视性或控制能力;
  • 无法保护VMotion等特性的安全;
  • 虚拟化合规性方面不达标,以及审计数据会存在漏洞;

虚拟安全网关vSG能够监控和保护虚拟化环境,解决这些担忧,而且不会对性能产生负面影响。下图显示了vSG在vmWare平台的部署位置:


图表 7vSG部署位置

有了vSG后,通过让虚拟机之间的流经vSG,从而使得所有的虚拟机就像获得物理安全产品一样的保护,除了支持全状态防火墙的访问控制、IDS外,还具备其他丰富的功能能够,为虚拟网络和云提供多层防御和安全保护。而不必按照传统方式在每个虚拟机上分别安装软件。vSG具备以下优势:

  • 功能丰富:多种功能由一个软件实现,无需多个组件;
  • 无操作系统:内核短小,无需第三方OS支持;
  • 灵活扩展:支持防火墙、防病毒、IPS、负载均衡、应用控制等,均由license控制;
  • 精小内核:对内存和硬盘占用极小;
  • 统一管理:支持统一管理;
  • 日志审计:支持全面的日志审计功能;

典型部署


图表 8 虚拟安全网关部署图

上图显示了vSG典型的部署模式,使用单台VSG虚拟出多个接口,每个接口保护一台或多台虚拟服务器。

云审计

云审计对云计算环境中的用户行为进行审计,并通过智能高效的分析对云计算环境中的安全风险进行预警,对云计算环境中的安全事件进行实时的监控和告警,以及事后的追溯。

数据库审计

在云计算中数据库无疑是最核心的资产,保存了最重要的数据。其安全级别毫无疑问应该是最高的。安恒信息结合在数据库安全研究和防护的多年经验,推出了事前扫描和事后审计的云审计解决方案,可以有效解决云计算中数据库的安全风险。

主要功能:

    1. 事前扫描评估,建立安全数据库

    利用安恒全球首创拥有完全自主知识产权的数据库弱点扫描器,定期对云中的数据库进行安全扫描,可以识别SQL注入、访问权限绕过、提权漏洞、权限过大等几百种漏洞和不安全配置,并提供专业的分析报告和安全加固建议。防止不法人员破解数据库密码,入侵破坏云中的数据库服务器。


    图表 9数据库漏洞扫描

    1. 精细粒度审计,完整还原数据库行为

    通过对不同数据库的语义分析,提取出数据库操作语句中相关的要素(如关系型数据中的用户、操作、表、字段、视图、索引、过程、函数、包等以及非关系型数据库中的各种要素),完整的还原数据库的操作行为。其不仅对云数据库操作请求进行实时审计,而且还可对云数据库执行状态、返回结果、返回内容进行完整的还原和审计。

    1. 数据库访问建模,违规行为智能识别

    通过对云数据库访问行为的持续动态监测,根据历史审计情况,建立一套云数据库用户访问行为模型,包括帐号、IP地址、客户端工具、数据库操作语句、返回结果等多个动态元素,而且可以根据云数据库的变化情况持续更新。当有新的行为发生时系统通过高效的算法比对模型的各种参数,然后根据其与模型的偏离情况来智能识别违规行为。

    1. 丰富的规则,强大的报表

    系统集成了丰富的审计知识库,通过强大、细粒度的规则设置功能,形成了多行业的审计规则包,准确识别各种违规行为。解决违规特征提取困难、规则设置难度大、规则误告警多等问题。内置60多种不同级别的报表,可以通过饼图、柱状图、曲线图等多种形式直观展示。通过报表可以非常方便的发现帐号复用、帐号滥用、密码不定期修改、权限违规调整等一系列违规行为。还可以生成各类综合性的报告,一键生产的报告就可以直接满足等级保护、萨班斯(SOX)等合规的要求。

部署模式:

系统分为采集器和管理中心两个模块,分布式的部署模式可以适用大型分布式的业务系统架构,符合云平台的业务特征需求。采集器通过旁路镜像方式采集云数据库的流量,并进行协议的解析和还原。由管理中心对多个采集器进行统一的规则分发、报表形成、数据管理等。而且不需要云数据库服务器管理权限、不需要在云数据库服务器上安装软件,不占用数据库服务器资源,不对业务和数据库运行造成任何影响。

综合审计

云计算数据中心需要一个强劲而良好的安全信息和事件管理(SIEM)以识别可用数据源(应用程序日志、防火墙日志、以及IDS日志等等),并把这些日志有效的整合起来,实现整体的安全事件管理,消除传统上的信息孤岛,加强事件响应和取证功能(端到端的日志和报告)。综合日志审计是安恒公司自主研发的产品,具有独创的智能日志水印技术、拥有自主知识产权的动态智能分析算法、先进的分布式采集器架构等优势,可以在一个平台上完成日志审计、关联分析等,以及基础设施的性能监测。

主要功能:

    1. 综合日志审计

    通过对网络设备、安全设备、主机和应用系统日志进行全面的标准化处理,及时发现各种安全威胁、异常行为事件,为管理人员提供全局的视角,确保用户业务的不间断运营安全;通过基于国际标准化的关联分析引擎,为用户提供全维度、跨设备、细粒度的关联分析,透过事件的表象真实地还原事件背后的信息,为用户提供真正可信赖的事件追责依据和业务运行的深度安全。同时提供集中化的统一管理平台,将所有的日志信息收集到平台中,实现信息资产的统一管理、集中审计系统,以及对安全日志的全生命周期管理,具备以下特点:

    1. 全面的智能收集功能:不断的连接检查和完整性检查以及可自定义的缓存功能,可确保平台接收到所有数据,并对传输链的各个环节进行监控;可配置过滤和聚合功能可以消除无关数据,并且合并重复的设备日志,强大的数据压缩功能可有效节省带宽;
    2. 标准化日志:各种安全事件日志(攻击、入侵、异常)、各种行为事件日志(内控、违规)、各种弱点扫描日志(弱点、漏洞)、各种状态监控日志(可用性、性能、状态)、安全视角的事件描述:事件目标对象归类、事件行为归类、事件特征归类、事件结果归类、攻击分类、检测设备归类;
    3. 创新的日志解析能力:解析规则激活,仅当接收到对应的日志后,规则才会被激活,同时支持未识别日志水印处理,采用多级解析功能和动态规划算法,实现灵活的未解析日志事件处理,同时支持多种解析方法(如正则表达式、分隔符、MIB信息映射配置等),日志解析性能与接入的日志设备数量无关;
    4. 先进的关联算法:标准化之上的关联规则,适应性强;实时的内存关联功能可确保获得高性能的处理能力,可定制性强,几乎可根据通用事件的任何字段进行关联;直观的规则语法,可以让用户根据自己情况进行灵活定制,内置重要的关联规则库,可以即装即用;
    5. 集中日志管理:实现日志全生命周期的集中管理,系统内置完善的各类策略,如日志审阅、备份等,以满足日志管理的要求;
    6. 可维护性及可扩展性:系统具有对自身的维护配置功能,如:系统参数设置、系统日志管理等。硬件系统采用模块结构,保证系统内存、CPU及储存容量的扩展,硬件配置的升级不会引起软件的修改和开发;每个组件都可以横向扩展,通过增加设备满足业务需求。

部署模式:

系统可以方便部署到现有网络环境中,只需网络能够到达平台即可实现信息资产日志的收集与处理。还可以采用分布式部署技术对系统进行进行堆叠和扩展,以满足大规模部署的需求。

 

3. 云计算安全服务

依托安恒信息的专业安全服务团队,能够为云计算提供专业的安全服务,以实现云计算系统的可持续与安全性。

云计算安全评估

安恒整个云计算安全评估过程可以分成测评准备、安全测评、安全分析、测评收尾等四个阶段,具体如下图所示。


图表 10安全评估阶段

云计算安全检测

云计算安全检测主要包括安全漏洞扫描和渗透测试两大块内容。

安全漏洞扫描

安全漏洞扫描主要是通过评估工具模拟黑客真实的攻击来进行,步骤以本地扫描的方式对云平台(操作系统、应用服务)进行安全扫描,及时发现当前应用系统中存在的漏洞,检测和发现平台中的薄弱环节,最大程度地保证云平台的安全运行。

通过安全漏洞扫描服务,帮助用户深入并详细掌握云平台存在的脆弱性和漏洞,同时提供相应的信息帮助管理员了解如何弥补这些安全问题和修复安全脆弱性的细节,以保证云平台始终处于最佳安全状态。

安全漏洞扫描采用专业的WEB安全漏洞扫描工具进行扫描,帮助用户充分了解WEB应用存在的安全隐患,建立安全可靠的WEB应用服务,改善并提升云平台WEB应用系统抗各类WEB应用攻击的能力(如:注入攻击、跨站脚本、信息泄漏、恶意编码、表单绕过、缓冲区溢出等)。

渗透测试

渗透测试是对安全情况最客观、最直接的评估方式,主要是利用存在的漏洞及黑客攻击技术,实施无害攻击(渗透测试前提前告知用户),目的是侵入系统,获取系统控制权并将入侵的过程和细节产生报告给用户,由此证实云平台所存在的安全威胁和风险,并能及时提醒安全管理员完善安全策略。

渗透测试包括黑盒测试和白盒测试两种:

    1. 黑盒测试

    采用WEB应用弱点扫描器和数据库弱点扫描器进行安全漏洞检测。发现云平台中可能存在的WEB应用漏洞(如SQL注入攻击、跨站脚本、信息泄漏、恶意编码、表单绕过等)和数据库系统漏洞(如弱口令、不安全配置等),并利用发现的漏洞进行渗透测试,验证并分析漏洞可能造成的安全风险,最后提出针对性有效的安全加固或安全解决方案,不断完善云平台的安全性。

    1. 白盒测试

    采用WEB应用代码安全检测系统对云平台的WEB应用源代码进行安全检测。通过检测来发现WEB应用程序中,由于代码错误或开发设计不严谨所导致的诸多安全弱点,如SQL注入、跨站脚本以及恶意编码等。通过白盒测试发现WEB应用系统可能存在的弱点,验证并分析弱点可能造成的安全影响,最后提出相应的安全加固建议或解决办法。

    渗透测试是工具扫描和人工评估的重要补充。工具扫描具有很好的效率和速度,但是存在一定的误报率,不能发现高层次、复杂的安全问题;渗透测试需要投入的人力资源较大、对测试者的专业技能要求很高(渗透测试报告的价值直接依赖于测试者的专业技能),但是非常准确,可以发现逻辑性更强、更深层次的弱点。

    云计算安全响应

    安恒信息提供7*24小时的电话支持服务,客户可以根据网络管理员或系统管理员的初步判断认为和安全事件相关,通过电话咨询服务人员,服务人员会根据客户信息提供电话支持服务,在客户和服务人员同时确认需要信息安全专家或安全服务队伍现场支持后,安恒根据客户安全事件级别进行应急响应。

应急响应分类:


事件分类

事件描述

威胁级别

支持方式

紧急事件

系统由于安全问题崩溃、系统性能严重下降,已无法提供正常服务。客户出口路由由于网络安全原因非正常中断,严重影响用户使用。公众服务由于安全原因停止服务或者造成恶劣影响的。

高危险

现场支持

严重事件

用户内部的业务支持系统由于安全事件出现问题,导致不能运转正常不稳定。部分服务由于安全原因中断,影响用户正常使用。

中危险

远程支持或现场支持

一般事件

由于安全原因导致系统出现故障,但不影响用户正常使用。客户提出安全技术咨询、索取安全技术资料、技术支持等。

低危险

远程支持

应急响应内容

应急响应是当安全威胁事件发生后迅速采取的措施和行动,其目的是快速恢复系统的可用性、完整性和保密性,阻止和降低安全事件所造成的严重性影响。

紧急事件主要包括:

  • 病毒和蠕虫事件
  • 黑客入侵事件
  • 误操作或设备故障事件

在事件爆发的初始很难界定具体是什么事件,通常根据安全威胁事件的影响程度来分类:

  • 单点损害:只造成独立个体的不可用,安全威胁事件影响弱。
  • 局部损害:造成某一系统或一个局部网络不可使用,安全威胁事件影响较高。
  • 整体损害:造成整个系统的不可使用,安全威胁事件影响高。

当入侵或者破坏发生时,对应的处理方法主要的原则是首先保护或恢复计算机、网络服务的正常工作;然后再对入侵者进行追查。因此对于客户紧急事件响应服务主要包括准备、识别事件(判定安全事件类型)、抑制(缩小事件的影响范围)、解决问题、恢复以及后续跟踪。

 

4. 价值与收益

通过安恒的云计算安全解决方案,可为客户带来如下数据防泄露、防攻击、事后追溯等收益。

防泄露

安恒云计算解决方案充分考虑了数据防泄漏的作用,主要从以下几个方面考虑:

  • 通过云监测可以有效识别云平台中“敏感数据”的存放位置,从而可以帮助客户对敏感数据进行有效的分级分类,亦可帮助客户设置安全防护规则、安全审计规则等。
  • 通过云审计可以建立“敏感数据”的访问行为模型,可以非常方便的了解敏感数据的访问情况,帮助客户进行权限的控制、违规访问行为的识别。同时通过丰富的审计规则和强大的报表可以准确识别敏感数据的违规访问,以及实现违规行为的追踪索源;
  • 通过云防护可以实时识别各类入侵行为,并进行有效阻断,保证“敏感数据”只被授权人员访问;

防攻击

通过安恒的解决方案,可有效提高云计算系统的防护能力,其具体表现在以下两个方面:

  • WEB深度防护:无论云计算服务商是提供IaaS、PaaS还是SaaS,在通过部署WAF后,能够提高应用层防护能力,弥补传统防火墙的不足,丰富边界的访问控制手段,全方位的保护WEB系统,并额外获得WEB应用的访问全审计能力;
  • 虚拟化防护:通过虚拟安全网关能够为虚拟机实现深度防护,解决虚拟化带来的安全问题,使防护能力深入到云计算中心的每台虚拟机,管理人员就能够根据虚拟化环境及其特定状态来有效实施虚拟化安全解决方案。

事后追溯

审计作为事后追溯的最有效手段,不仅是合规的要求,也是内部自身的推动,通过安恒云计算安全解决方案,无论是WEB层面,还是数据库层面、代码层面乃至于虚拟化层面,都将获得强大的审计能力,在满足合规的同时,能够弥补组织安全策略的不足,快速提升审计能力和水平。