政務云安全解決方案

政務云安全解決方案目錄安全現(xiàn)狀解決方案客戶價值成功案例左字右要點圖—超過90%的網(wǎng)站存在安全漏洞31%的網(wǎng)站被劃入極度危險序列60余家網(wǎng)站的安全漏洞超過了100個中國社會科學院信息化研究中心聯(lián)手中國軟件評測中心主辦的中國政府網(wǎng)站績效評估數(shù)據(jù)顯示，部省市三級900余家政府網(wǎng)站中，安全問題突出。90%31%60余家注：數(shù)據(jù)來自《第十四屆中國政府網(wǎng)站績效評估》《CNCERT-2017年我國互聯(lián)網(wǎng)網(wǎng)絡安全態(tài)勢報告》2017

年，我國有2萬個網(wǎng)站被篡改，其中政府網(wǎng)站618個。2017年，我國有2.9萬個網(wǎng)站被植入后門。針對政府部門和重要行業(yè)單位網(wǎng)站的網(wǎng)絡攻擊頻度、烈度和復雜度加劇。政務系統(tǒng)安全態(tài)勢隨著云計算、大數(shù)據(jù)、移動互聯(lián)網(wǎng)的發(fā)展，我國電子政務正在進入新的發(fā)展階段。李克強總理提出，互聯(lián)網(wǎng)是政府施政的新平臺。通過電子政務系統(tǒng)，可以實現(xiàn)在線服務，做到政務運作有序、有效、“留痕”，促進政府與民眾的溝通互聯(lián)，提高政府應對各類事件和問題的智能化水平?！盎ヂ?lián)網(wǎng)+政務”成為我國政府網(wǎng)站發(fā)展的新機遇、新方向。多個行業(yè)均提出了具體的互聯(lián)網(wǎng)+行動計劃。

新機遇和新方向伴隨著新的風險，“互聯(lián)網(wǎng)+政務”的發(fā)展對網(wǎng)絡安全提出了新的挑戰(zhàn)。傳統(tǒng)架構(gòu)安全VS互聯(lián)網(wǎng)+安全管理體系技術(shù)體系運營體系安全技術(shù)體系如何解決云化數(shù)據(jù)中心面臨的各類安全威脅？安全運營體系如何第一時間發(fā)現(xiàn)并獲取高危漏洞信息？如何第一時間獲知泄露到互聯(lián)網(wǎng)上的敏感信息？如何解決“上云”過程中面臨的全新運維問題：東西向流量訪問控制，多出口、多機房云中心的安全運維問題等？安全管理體系如何實現(xiàn)云計算中心一體化安全管理？發(fā)現(xiàn)問題，如何止損、跟蹤、溯源？如何感知態(tài)勢并支撐安全決策？左字右要點圖—DT時代云數(shù)據(jù)中心安全反思技術(shù)體系-

DT時代新的云安全威脅010205040603DT時代安全威脅新的技術(shù)體系，帶來新的安全威脅黑產(chǎn)多樣化入侵效率提升數(shù)據(jù)庫攻擊數(shù)據(jù)泄露公有云云平臺每天遭受數(shù)千起撞庫攻擊安全意識薄弱從黑客入侵成功的案件中，由弱密碼導致的最多，暴力破解攻擊成為黑客最喜歡使用的攻擊手法。開放式工具代理掃描已從單機模式發(fā)展成為集群模式，高效的掃描方式為CC、撞庫等攻擊提供源源不斷的“子彈”。新型的破壞行為層出不窮，更加多樣化自動化批量掃描Webshell，自動化掃描工具越發(fā)豐富數(shù)據(jù)庫成為新的攻擊熱點，拿到核心敏感數(shù)據(jù)越發(fā)成為黑客的首要目標目錄安全現(xiàn)狀解決方案客戶價值成功案例縱深防御體系主機入侵檢測及防御WAF流量安全監(jiān)控安全數(shù)據(jù)分析群集弱點分析Internet云端情報中心本地泛安全數(shù)據(jù)網(wǎng)絡層應用層主機層態(tài)勢感知安全運營整體安全態(tài)勢入侵事件回溯安全改進決策網(wǎng)絡流量分析安全攻擊日志應用組件日志主機狀態(tài)監(jiān)控文件訪問記錄人員涉網(wǎng)信息惡意IP庫先知計劃檢測特征庫安全情報庫行業(yè)情報庫安全分析規(guī)則攻擊黑產(chǎn)情報安全審計DDoS清洗定制操作系統(tǒng)內(nèi)核防提權(quán)模塊主機配置加固精簡內(nèi)核和組件主機入侵防護安全沙箱虛擬化沙箱客戶程序運行在沙箱里突破沙箱進入系統(tǒng)安裝后門提權(quán)到root跳板攻擊主動外聯(lián)分布式云操作系統(tǒng)-飛天安全進程級沙箱語言級沙箱云平臺安全：縱深防御物理網(wǎng)絡安全管理平面和業(yè)務平面網(wǎng)絡隔離關閉未使用的網(wǎng)絡端口防止非法接入回收服務器默認路由防止主動外聯(lián)宿主機安全操作系統(tǒng)內(nèi)核和組件都經(jīng)過精簡符合業(yè)界安全規(guī)范的配置加固內(nèi)核防提權(quán)模塊主機入侵防護軟件租戶程序運行在安全沙箱里飛天安全飛天分布式云操作系統(tǒng)分布式文件系統(tǒng)+分布式調(diào)度系統(tǒng)云平臺安全：多租戶隔離云服務器租戶隔離XenHVM模式，基于VT-x技術(shù)隔離CPU硬件輔助EPT技術(shù)隔離內(nèi)存分離設備驅(qū)動I/O模型隔離存儲交換型vSwitch，不同VM的數(shù)據(jù)包被轉(zhuǎn)發(fā)到對應的虛擬端口VM的ip、mac地址綁定防地址欺騙及網(wǎng)絡嗅探VPC、安全組防火墻隔離租戶網(wǎng)絡物理內(nèi)存、物理存儲重分配前清零其他云產(chǎn)品租戶隔離用戶數(shù)據(jù)打標簽隔離存儲基于身份驗證進行訪問控制VM1CPU內(nèi)存存儲網(wǎng)卡VM2CPU內(nèi)存存儲網(wǎng)卡Hypervisorvmxroot物理硬件虛擬機vmxnon-root虛擬交換機安全組防火墻虛擬CPU虛擬內(nèi)存管理器虛擬I/OCPU內(nèi)存磁盤網(wǎng)卡云平臺安全：數(shù)據(jù)安全數(shù)據(jù)安全承諾2015年7月，阿里云發(fā)起中國云計算服務商首個“數(shù)據(jù)保護倡議”：運行在云計算平臺上的開發(fā)者、公司、政府、社會機構(gòu)的數(shù)據(jù)，所有權(quán)絕對屬于客戶；云計算平臺不得將這些數(shù)據(jù)移作它用。平臺方有責任和義務，幫助客戶保障其數(shù)據(jù)的私密性、完整性和可用性。多副本分布式存儲阿里云使用分布式存儲，文件被分割成許多數(shù)據(jù)片段分散存儲在不同的設備上，并且每個數(shù)據(jù)片段存儲多個副本。分布式存儲不但提高了數(shù)據(jù)的可靠性，也提高了數(shù)據(jù)的安全性。加密存儲阿里云加密服務使用經(jīng)國家密碼管理局檢測認證的硬件密碼機，幫助客戶滿足數(shù)據(jù)安全方面的監(jiān)管合規(guī)要求，保護云上業(yè)務數(shù)據(jù)的機密性。借助加密服務，客戶可以實現(xiàn)對加密密鑰的完全控制和進行加解密操作。加密傳輸云平臺提供標準的加密傳輸協(xié)議，以方便云平臺與外界以及系統(tǒng)間傳輸敏感數(shù)據(jù)的需求。云平臺支持標準的TLS協(xié)議，可提供高達256位密鑰的加密強度，完全滿足敏感數(shù)據(jù)加密傳輸需求。殘留信息對于曾經(jīng)存儲過客戶數(shù)據(jù)的內(nèi)存和磁盤，一旦釋放和回收，其上的殘留信息將被自動清零。同時，任何更換和淘汰的存儲設備，都將統(tǒng)一執(zhí)行消磁處理并物理折彎之后，才能運出數(shù)據(jù)中心。數(shù)據(jù)審計通過平臺級的訪問審計，以及產(chǎn)品級的sql審計、上傳下載審計，確保數(shù)據(jù)的生成、變更、刪除、傳播有跡可循，使違規(guī)的數(shù)據(jù)操作無法遁形。云平臺安全：安全開發(fā)大量信息安全問題是由設計缺陷而引起。遵循軟件安全開發(fā)生命周期（SDL）需求分析：識別云服務安全需求和風控需求產(chǎn)品設計：攻擊面分析、威脅建模、安全架構(gòu)/功能設計編碼階段：采用安全開發(fā)框架，遵循安全編碼規(guī)范測試階段：滲透測試結(jié)合代碼審計。未經(jīng)安全測試的產(chǎn)品禁止上線發(fā)布階段：按照安全規(guī)范實施整體加固覆蓋飛天、云產(chǎn)品、大數(shù)據(jù)產(chǎn)品、OpenAPI，保障產(chǎn)品安全質(zhì)量基于云端安全威脅構(gòu)建云服務安全功能或?qū)傩?。準備階段安全培訓安全需求分析安全要求安全和隱私風險評估安全需求分析及評審安全功能設計攻擊面分析威脅建模安全功能設計及評審安全編碼開發(fā)工具要求安全編碼規(guī)范代碼靜態(tài)分析安全測試滲透測試代碼審計安全測試用例安全發(fā)布最終安全評估事件響應計劃安全上線規(guī)范安全開發(fā)生命周期（SDL）云平臺安全：安全運維賬號：生命周期管理認證：雙因素認證、強密碼策略授權(quán)：最小權(quán)限、職責分離審計：所有操作被審計堡壘機+集中日志平臺數(shù)據(jù)：生產(chǎn)數(shù)據(jù)不出生產(chǎn)集群員工數(shù)據(jù)防泄漏數(shù)據(jù)安全管理：數(shù)據(jù)分類分級信息安全意識培訓數(shù)據(jù)安全生命周期管理定期內(nèi)控審計內(nèi)控審計人員阿里云通信加密權(quán)限控制安全審計操作審計權(quán)限管理SSH/RDP堡壘機（服務器）權(quán)限申請權(quán)限管理權(quán)限中心運維人員通信加密權(quán)限控制安全審計操作審計權(quán)限管理HTTPS管控平臺（B/S）數(shù)據(jù)中心飛天分布式云操作系統(tǒng)賬號管理身份認證雙因素認證用戶中心賬號生命周期運維人員云產(chǎn)品ECSRDSOSSADSBASEODPS防護體系網(wǎng)絡流量監(jiān)控DDoS檢測安全大數(shù)據(jù)分析弱點分析Web攻擊檢測主機入侵檢測全量數(shù)據(jù)安全運營威脅情報全量數(shù)據(jù)處理&統(tǒng)一安全管控公有云全量數(shù)據(jù)采集性能單臺組設備處理性能可達40Gbps統(tǒng)一運維工具，提升運營效率威脅情報&追蹤溯源海量互聯(lián)網(wǎng)數(shù)據(jù)支撐阿里云威脅情報中心實時采集互聯(lián)網(wǎng)安全動態(tài)，預測未來，指導決策安全事件、網(wǎng)絡數(shù)據(jù)聯(lián)動云端情報關聯(lián)分析，定位攻擊源頭，還原攻擊場景基于大數(shù)據(jù)分析的感知單組設備30T+數(shù)據(jù)采集、存儲及分析能力300+檢測規(guī)則，數(shù)十種成熟算法模型基礎信息感知防護對象自動化感知功能基于主機Agent上報/外部錄入操作系統(tǒng)/版本常見應用軟件開放端口詳情云盾-流量安全監(jiān)控功能大流量采集分析QPS訪問分析惡意主機識別亮點邊界-主機，縱深防御自動決策，實時防御單組設備支持40G處理能力豐富的惡意行為庫、惡意樣本庫鏡像流量服務器集群主機入侵防護系統(tǒng)應用防護流量安全監(jiān)控集中管控系統(tǒng)網(wǎng)絡安全–流量分析網(wǎng)絡安全–可用性防護DDoS攻擊防御功能全面過濾DDoS攻擊，保障用戶業(yè)務持續(xù)不間斷亮點檢測->牽引->清洗->回注，1秒完成全自動響應，無人值守，提高效率，降低成本全球最大的1000+Gbps防御能力，抵御海量攻擊精準的攻擊檢測技術(shù)，網(wǎng)絡抖動小基于大數(shù)據(jù)分析的惡意IP庫、惡意行為庫云盾.云端高防大流量攻擊小流量攻擊鏡像流量服務器集群BGP清洗后的流量DDoS清洗系統(tǒng)網(wǎng)絡流量監(jiān)控系統(tǒng)集中管控系統(tǒng)WEB應用攻擊防御功能Web攻擊防護CC攻擊防護應用層精準訪問控制惡意IP自動封禁、地理區(qū)域封禁、業(yè)務分析亮點基于公有云最佳實踐的Web攻擊識別算法高性能同時支持按需擴容鏡像流量服務器集群主機入侵防護系統(tǒng)應用防護流量安全監(jiān)控集中管控系統(tǒng)網(wǎng)絡安全–WEB應用攻擊防御物理機網(wǎng)絡安全–云防火墻微隔離功能流量可視化和拓撲化策略管理基于角色+標簽的資產(chǎn)定義分布式架構(gòu)亮點流量可視化，讓用戶對業(yè)務一目了然讓客戶實現(xiàn)基于角色+標簽的資產(chǎn)管理無需引流，徹底擺脫集中式防火墻的引流之苦云防火墻ConsoleECSFWAgent（安全組）云防火墻server用戶ECSAgent主機安全-物理、ECS主機安全云盾-安騎士功能物理主機入侵檢測后門查殺、異地登錄告警WebCMS漏洞修復亮點為物理主機安全運行提供支撐百萬級ECS穩(wěn)定運行實踐眾測平臺支撐的漏洞響應能力功能滿足等級保護要求鏡像流量服務器集群主機入侵防護系統(tǒng)應用防護流量安全監(jiān)控集中管控系統(tǒng)主機安全–入侵防御入侵防御鏡像流量服務器集群功能Web攻擊阻斷，木馬行為阻斷暴力破解防御，異地登陸告警系統(tǒng)惡意文件、WebShell自動查殺亮點邊界-主機，縱深防御自動決策，自動查殺，實時防御自動聯(lián)動，在最佳位置防御攻擊豐富的惡意行為庫、惡意樣本庫主機入侵防護系統(tǒng)應用防護網(wǎng)絡流量監(jiān)控系統(tǒng)集中管控系統(tǒng)安全管理-云安全審計物理服務器層網(wǎng)絡層用戶登錄記錄用戶操作記錄運行狀況記錄用戶登錄記錄用戶操作記錄日志轉(zhuǎn)存云平臺層ECSRDS大數(shù)據(jù)OPENAPISLSECS-用戶登錄記錄RDS-數(shù)據(jù)庫操作記錄ODPS-大數(shù)據(jù)運算記錄OPENAPI-內(nèi)部調(diào)用記錄安全審計日志收集服務器實時記錄檢索數(shù)據(jù)分析云盾-安全審計功能云數(shù)據(jù)庫操作審計云主機操作審計云產(chǎn)品操作審計亮點全面：覆蓋網(wǎng)絡設備、物理服務器和各種云產(chǎn)品合規(guī)：滿足等級保護等安全標準對審計的需求SLS安全管理-應用、主機弱點分析云盾-弱點分析功能應用漏洞分析主機漏洞分析弱口令分析配置項檢查亮點快速、全面、精準的安全掃描能力豐富的漏洞庫，專業(yè)的0day漏洞挖掘能力與漏洞庫聯(lián)動，2小時修復最新高危漏洞鏡像流量云服務器集群弱點掃描主機入侵防護系統(tǒng)流量安全監(jiān)控一體化安全運營網(wǎng)絡監(jiān)控、主機防護聯(lián)動的入侵防護與網(wǎng)絡監(jiān)控系統(tǒng)聯(lián)動的弱點掃描本地、云端系統(tǒng)組合的DDoS流量清洗※統(tǒng)一的數(shù)據(jù)日志、攻防平臺、多租戶策略，打破原先安全防護體系的“貌合神離”輕松應對千G攻擊攻擊入侵最佳聯(lián)動防護自動化弱點分析※需購買高防IP數(shù)據(jù)安全建設方案安全能力建設體系策略建設敏感數(shù)據(jù)分類分級敏感數(shù)據(jù)共享策略敏感數(shù)據(jù)流轉(zhuǎn)策略異常告警策略4A體系敏感數(shù)據(jù)訪問策略敏感數(shù)據(jù)智能識別數(shù)據(jù)自動分類分級敏感數(shù)據(jù)打標簽數(shù)據(jù)存儲加密數(shù)據(jù)備份加密細粒度訪問控制數(shù)據(jù)脫敏(靜態(tài)/動態(tài))數(shù)據(jù)安全防護敏感數(shù)據(jù)梳理監(jiān)控、審計、追溯數(shù)據(jù)庫審計數(shù)據(jù)庫運維管控數(shù)據(jù)流轉(zhuǎn)監(jiān)控異常行為告警安全運營服務…要點一云平臺安全運營我下面還可以分幾個小點租戶安全保障服務安全咨詢周期性的云平臺安全巡檢服務安全運營駐場服務滲透測試服務安全合規(guī)咨詢SDL咨詢數(shù)據(jù)安全咨詢安全架構(gòu)設計安全管理體系咨詢運營服務開通流程

開通

應急

監(jiān)控

申請?zhí)峁┌踩夹g(shù)咨詢安全評估達標后上線；提供可靠云資源訪問控制持續(xù)性安全監(jiān)控；定期檢測安全漏洞；漏洞跟蹤管理機制；推動用戶進行漏洞修復；重大安全事件緊急處理（關閉端口、服務器等）；阿里云解決之道云平臺合規(guī)先行者19941999國家質(zhì)檢GB17859-1999第一個國家信息安全強制標準國務院147號令正式要求實行安全等級保護2003-2007中辦發(fā)[2003]27號文件公通字[2004]66號文件公通字[2007]43號文件2008GB/T22239和GB/T22240發(fā)布國家信息安全專項（發(fā)改高技【2008】1736號）-醞釀全國測評體系公安部三定方案：等級保護，各地網(wǎng)警發(fā)改高技[2008]2071號：電子政務應用一證兩報告2009-2013全國公安機關網(wǎng)絡安全保衛(wèi)部門全國安全測評體系-測評機構(gòu)發(fā)改高技[