中國電信安全服務(wù)中心 | 李明星

“安全云服務(wù)”是中國電信推出的基于SaaS的全方位、立體化網(wǎng)站安全服務(wù)，是安全云SaaS服務(wù)的真正“落地”。

近年來，云計算的發(fā)展如火如荼，云計算的概念已廣為人知，但“安全云”的概念卻并不為人所熟知。和保障云計算安全的“云安全”不同，“安全云”是云計算技術(shù)在信息安全領(lǐng)域的具體應(yīng)用和拓展，是基于云計算的安全產(chǎn)品和服務(wù)，屬于實現(xiàn)安全即服務(wù)的一種技術(shù)和業(yè)務(wù)模式。安全云在通過采用云計算技術(shù)對安全系統(tǒng)進行云化的基礎(chǔ)上，實現(xiàn)安全資源的池化，使用戶在不需要自身對安全設(shè)施進行維護管理和最小化服務(wù)成本的情況下，通過互聯(lián)網(wǎng)得到便捷、按需、可伸縮的安全服務(wù)。今年11月，中國電信推出了“安全云服務(wù)”，成為國內(nèi)第一家提供安全SaaS（Software as a service）服務(wù)的運營商。

“安全云服務(wù)”由運營商主導

安全云服務(wù)產(chǎn)業(yè)鏈主要由安全云服務(wù)提供商、安全設(shè)備提供商和最終用戶組成，其中，安全云服務(wù)提供商是安全云服務(wù)的主要提供者和推動者。電信運營商和大型安全服務(wù)提供商因?qū)嵙π酆駥⒊蔀橹饕陌踩品?wù)提供商。

2011年初王曉初提出“智能管道的主導者、綜合平臺的提供者、內(nèi)容和應(yīng)用的參與者”的轉(zhuǎn)型目標，信息安全做為智能管道的重要屬性，起著不可或缺的作用。中國電信在基礎(chǔ)網(wǎng)絡(luò)和安全基礎(chǔ)設(shè)施資源、客戶資源、運營人才資源、資金等方面具備雄厚的實力，提供安全云服務(wù)將會具備明顯的優(yōu)勢。

中國電信安全服務(wù)中心負責中國電信安全產(chǎn)品的運營工作，2010年開始，中國電信安全服務(wù)中心著手進行“安全云服務(wù)”的調(diào)研、試點工作，目前，“安全云服務(wù)”的前期試點工作已經(jīng)結(jié)束，并已于2012年11月正式對外發(fā)布和推廣。中國電信“安全云服務(wù)”的推出，是中國電信業(yè)務(wù)轉(zhuǎn)型在安全領(lǐng)域的一大動作。

中國電信“安全云服務(wù)”，是中國電信推出的基于SaaS的全方位、立體化網(wǎng)站安全服務(wù)，具備三類功能。“安全云服務(wù)”包括針對網(wǎng)站進行安全監(jiān)控和預(yù)警的“云監(jiān)控服務(wù)”，以及針對網(wǎng)站進行防護的“云防護服務(wù)”。作為線上服務(wù)的補充，“安全云服務(wù)”還提供線下由安全專家人工進行的“專家服務(wù)”（圖1）。

功能一：云監(jiān)控服務(wù)

“云監(jiān)控服務(wù)”是中國電信面向網(wǎng)站用戶提供的7×24網(wǎng)站安全監(jiān)控服務(wù)，包含網(wǎng)站可用性監(jiān)控、網(wǎng)站內(nèi)容監(jiān)控、網(wǎng)站脆弱性監(jiān)控功能。在用戶網(wǎng)站出現(xiàn)安全狀況，如網(wǎng)頁被篡改，網(wǎng)站不可訪問，被掛馬，出現(xiàn)敏感關(guān)鍵字等情況時，第一時間向用戶提供郵件、電話、短信告警服務(wù)，將用戶損失降至最低。云監(jiān)控服務(wù)的監(jiān)控請求對用戶網(wǎng)站的資源消耗很小，對網(wǎng)站性能的影響非常有限。

1.可用性監(jiān)控服務(wù)

“可用性監(jiān)控服務(wù)”向用戶提供網(wǎng)站是否可用的監(jiān)控服務(wù)，在網(wǎng)站由于斷網(wǎng)、宕機、被黑等突發(fā)事件發(fā)生而無法訪問時，向用戶進行短信、郵件、電話告警。

云監(jiān)控服務(wù)在中國大陸地區(qū)不同城市部署了多個分布式監(jiān)測點，除電信自有線路外，在其他運營商如聯(lián)通也有多點分布。除此之外，還在臺灣、美國等地區(qū)擁有數(shù)個監(jiān)測點。多個監(jiān)控點排除了因監(jiān)控線路、運營商等問題造成的誤報，極大的保證了監(jiān)控結(jié)果的準確性。

圖2 “云監(jiān)控服務(wù)”示意圖

云監(jiān)控服務(wù)提供最短5分鐘一次的網(wǎng)站可用性監(jiān)控服務(wù)，告警方式包括短信、郵件、電話。當網(wǎng)站被系統(tǒng)認定為不可用時，云監(jiān)控系統(tǒng)將會立即向用戶發(fā)出告警短信和郵件，并根據(jù)用戶選擇提供電話告警服務(wù)。在網(wǎng)站恢復(fù)可訪問時，系統(tǒng)將發(fā)出恢復(fù)可訪問短信及郵件。用戶還可選擇“連續(xù)短信告警服務(wù)”，在網(wǎng)站無法訪問時，每五分鐘向用戶發(fā)送一次告警短信，持續(xù)告警直至網(wǎng)站恢復(fù)可訪問。

2.篡改監(jiān)控

云監(jiān)控服務(wù)7×24小時對用戶網(wǎng)站進行網(wǎng)頁篡改監(jiān)控，監(jiān)控用戶指定頁面（一般是首頁）的內(nèi)容和結(jié)構(gòu)變化。發(fā)現(xiàn)變更后，系統(tǒng)首先向監(jiān)控人員告警。監(jiān)控人員人工核實變更事件是惡意篡改還是網(wǎng)站正常更新。如為惡意篡改，立即通過電話向用戶告警。

3．掛馬監(jiān)控

中國電信云監(jiān)控系統(tǒng)采用業(yè)內(nèi)最先進的監(jiān)控手段，結(jié)合木馬傳統(tǒng)靜態(tài)匹配特征和云特征技術(shù)，檢測用戶網(wǎng)頁是否被掛馬，頻率最快可達到5分鐘一次。掛馬識別準確度可達95%以上。

4．敏感詞監(jiān)控

云監(jiān)控系統(tǒng)采取了分詞算法、貝葉斯算法，可以精確檢測網(wǎng)站中包含的敏感詞并進行預(yù)警，包括政治敏感詞和色情低俗敏感詞等，并可對特定錯別字進行檢測，如領(lǐng)導人的名字等。先進的算法保證了敏感詞監(jiān)控的準確性。系統(tǒng)最高可提供5分鐘一次的監(jiān)控頻率，并可自定義敏感關(guān)鍵詞。

5．暗鏈監(jiān)控

云監(jiān)控服務(wù)為用戶提供暗鏈監(jiān)控服務(wù)，檢測網(wǎng)站是否被嵌入暗鏈地址。暗鏈一般為網(wǎng)站中被惡意植入的在瀏覽器中隱藏不可見的廣告鏈接，這些暗鏈往往被非法鏈接到網(wǎng)游、博彩色情、詐騙、甚至反動信息網(wǎng)站。發(fā)現(xiàn)暗鏈后，將向用戶進行郵件、電話預(yù)警。

圖3 “云防護服務(wù)”示意圖

6．脆弱性監(jiān)控服務(wù)

云監(jiān)控服務(wù)定期為用戶提供網(wǎng)站脆弱性監(jiān)控服務(wù)，即對網(wǎng)站進行深層掃描，發(fā)現(xiàn)網(wǎng)站系統(tǒng)的漏洞，并為客戶提供相應(yīng)加固意見。系統(tǒng)通過對Web應(yīng)用進行深度遍歷, 針對各種Wed應(yīng)用系統(tǒng)以及各種典型的應(yīng)用漏洞進行檢測并生成相應(yīng)報告。

7．在線報表

云監(jiān)控服務(wù)為用戶提供了詳細的在線報表?；谙到y(tǒng)的周期性監(jiān)測特性，對近日歷史安全數(shù)據(jù)如篡改、掛馬、敏感詞、暗鏈等進行綜合統(tǒng)計，展示監(jiān)測網(wǎng)站危險分布，以表格的形式展示網(wǎng)站主要存在的安全問題。用戶可登錄并查看自身網(wǎng)站報表。

功能二：云防護服務(wù)

中國電信云防護服務(wù)，是由中國電信提供的針對用戶網(wǎng)站進行安全防護的服務(wù)。用戶通過更改域名NS記錄到中國電信指定DNS服務(wù)器，實現(xiàn)對網(wǎng)站惡意訪問流量的過濾。在“零部署”、“零維護”的情況下，攔截諸如XSS、SQL注入等各種攻擊，同時向用戶提供定制安全防護策略、網(wǎng)站日志歸檔、實時安全報表等服務(wù)，從整體上提升網(wǎng)站的安全性。

1．網(wǎng)站防火墻

云防護系統(tǒng)可為用戶網(wǎng)站抵擋如SQL注入，XSS跨站等滲透攻擊，起到網(wǎng)站防火墻的功能。用戶更改網(wǎng)站域名NS記錄，指向中國電信安全DNS服務(wù)器，網(wǎng)站IP解析至中國電信云防護系統(tǒng)，云防護系統(tǒng)將作為客戶網(wǎng)站“替身”。網(wǎng)站真實IP地址得以隱藏，大幅增加黑客攻擊難度。

網(wǎng)站訪問者向原始服務(wù)器發(fā)出訪問請求時，首先要通過作為網(wǎng)站替身存在的云防護系統(tǒng)，云防護系統(tǒng)將對訪問要求作出分析，當訪問請求符合安全要求時，再將訪問請求轉(zhuǎn)發(fā)給原始服務(wù)器，這種防護模式可以最大限度的過濾掉如SQL注入、XSS跨站等惡意訪問和滲透攻擊，充分保障用戶網(wǎng)站安全。同時系統(tǒng)通過DNS分區(qū)解析、緩存等技術(shù)，有效保障網(wǎng)站的訪問速度。

2．定制安全防護策略

云防護服務(wù)還針對具有特殊需求的網(wǎng)站用戶提供了安全防護策略定制服務(wù)。在用戶開通云防護服務(wù)后，根據(jù)用戶要求，云防護系統(tǒng)將對用戶網(wǎng)站進行漏洞掃描，根據(jù)用戶網(wǎng)站的漏洞情況，量身定制安全防護策略，提高對網(wǎng)站的防護水平。

3．防盜鏈

在網(wǎng)絡(luò)開放的當下，網(wǎng)站資源被他站盜用已經(jīng)成為了網(wǎng)站管理員迫切需要解決的問題之一。云防護針對這種情況設(shè)計了資源防盜鏈服務(wù)，可以有效阻止網(wǎng)站的圖片，多媒體等資源被非法訪問。同時為了方便用戶網(wǎng)站間資源共享，云防護系統(tǒng)還允許用戶自行設(shè)置符合需要的資源共享規(guī)則。

4．臨時頁面

網(wǎng)站訪問者在訪問網(wǎng)站時看見404等無法訪問錯誤是各網(wǎng)站管理員最不想看到的情況之一，但是不管是大中小型網(wǎng)站，發(fā)生無法訪問事件總是不可避免的。云防護服務(wù)為用戶提供的“臨時頁面”功能，根據(jù)防護節(jié)點的緩存功能，提供用戶事先定制的臨時替代頁面，如“本網(wǎng)站正在進行維護”等，提高網(wǎng)站訪問者的感知。

5．安全日志歸檔

云防護服務(wù)為用戶提供詳細的攻擊數(shù)據(jù)報表，讓用戶時刻掌握網(wǎng)站的健康狀況。此外，云防護服務(wù)還為用戶保存網(wǎng)站原始訪問和安全日志。客戶可以在有效時間段內(nèi)，任意下載已備份的原始日志。

6．網(wǎng)站綜合分析報表

云防護服務(wù)為用戶提供了全面的攻擊數(shù)據(jù)分析報表，這些分析包括攻擊類型匯總、滲透攻擊日志分析、防盜鏈日志分析。還為用戶提供了詳細的訪問日志分析，包括用戶來源，頁面停留，訪問量統(tǒng)計等不同內(nèi)容，以幫助用戶評估和改善網(wǎng)站訪問效果。

功能三：專家服務(wù)

中國電信集團下屬的安全服務(wù)中心，擁有一支經(jīng)驗豐富的安全專家隊伍。通過多年項目協(xié)作與隊伍建設(shè)，形成了一支遍布全國的安全人才隊伍。因此在上述兩種基于云的服務(wù)的基礎(chǔ)上，中國電信充分發(fā)揮自身人才資源優(yōu)勢，向網(wǎng)站用戶提供基于人工的“專家服務(wù)”。這項服務(wù)主要包括針對網(wǎng)站的漏洞掃描、滲透測試等安全評估服務(wù)，對網(wǎng)站的安全加固服務(wù)，和應(yīng)急響應(yīng)服務(wù)。

安全專家通過對網(wǎng)站進行安全掃描，發(fā)現(xiàn)網(wǎng)站安全漏洞，提供詳細的《網(wǎng)站安全掃描報告》；通過模擬黑客手法，在客戶授權(quán)下對網(wǎng)站進行滲透測試，提供詳細的《網(wǎng)站安全滲透測試報告》；針對網(wǎng)站已發(fā)現(xiàn)的安全漏洞提供《網(wǎng)站安全加固建議》，協(xié)助客戶加固網(wǎng)站；在網(wǎng)站發(fā)生重大安全事件，如網(wǎng)站內(nèi)容被惡意篡改、網(wǎng)站有重大安全漏洞時，進行應(yīng)急響應(yīng)服務(wù)。

比傳統(tǒng)安全服務(wù)占優(yōu)

中國電信“安全云服務(wù)”為廣大希望保障網(wǎng)站安全的用戶提供了方便、快捷、按需的安全服務(wù)，相比傳統(tǒng)的網(wǎng)站安全保障有段，具備明顯的優(yōu)勢。

便捷：用戶加入中國電信安全云，只需提供一個域名，即可享受網(wǎng)站監(jiān)控服務(wù)；更改DNS到中國電信指定DNS，即可享受網(wǎng)站防護服務(wù)。不改變網(wǎng)絡(luò)環(huán)境，無需自己維護，真正做到了零部署、零運維，非常便捷。

高效：高效發(fā)現(xiàn)用戶網(wǎng)站斷網(wǎng)、掛馬、篡改、漏洞等各種網(wǎng)站安全問題，并可高效攔截諸如XSS、SQL 注入等多種攻擊。

省心：7×24對網(wǎng)站進行監(jiān)控，發(fā)現(xiàn)安全問題第一時間進行告警，解決了用戶尤其是政府用戶對網(wǎng)站安全問題造成不良影響的擔心。對網(wǎng)站的防護規(guī)則自動更新，并可根據(jù)用戶網(wǎng)站的漏洞情況進行量身定制，用戶無需費心調(diào)試設(shè)備策略，即可享受保障網(wǎng)站安全的服務(wù)效果。

省錢：用戶不需購買昂貴的軟硬件，不需配備專門安全運維人員，節(jié)省了物力和人力成本。此外，用戶可根據(jù)自身狀況按需購買服務(wù)時間，節(jié)省開支。

圖4 “專家服務(wù)”示意圖