在阿里云上应用系统的安全防护解决思路

目前公有云的建设发展成为互联网时代的风向标，如阿里云、亚马逊等建立的公有云规模增长迅速。在移动互联网发展推波助澜之下，依托移动互联网开展P2P网贷、线上理财、消费金融、三方支付业务的企业为了享受公有云提供的快捷、弹性架构，从而纷纷将应用系统部署到云上。

首先，合规要求方面，《信息系统安全等级保护基本要求云计算分册》（以下简称“《云等保》”）定义云计算服务带来了“云主机”等虚拟计算资源，将传统IT环境中信息系统运营、使用单位的单一安全责任转变为云租户和云服务商双方“各自分担”的安全责任。这点明确了企业作为云租户，其应用系统都需要定级且符合对应等级安全控制措施要求。2016年12月银监会发布了188号文，《中国银监会办公厅关于加强非银行金融机构信息科技建设和管理的指导意见》（以下简称“《指导意见》”），对信托公司和金融资产管理公司、企业集团财务公司、金融租赁公司、汽车金融公司、消费金融公司、货币经纪公司等非银行金融机构信息科技建设、信息科技风险防范提出了要求。《指导意见》第五章节指出“加强网络区域划分和隔离；通过部署防病毒、防攻击、防篡改、防泄密、防抵赖等措施提升系统抵御内外部攻击破坏的能力；”。对于云上应用系统的安全防护明确提出了安全建设要求。

其次，参考“安全牛”对于2002年至2017年3月之间公开报道的敏感信息泄露案例的数据分析发现：

• 敏感信息泄露呈现上升趋势，泄露手段从以黑客入侵等技术手段为主向技术手段与收买内部员工、内部管理不善等非技术手段结合并用发展，特别是对非技术手段的运用，近几年呈现出较快速的增长。企业对可能的应用系统攻击行为没有安全检测防护措施。
• 敏感信息泄露涉及行业广泛，但重点集中在互联网、制造业、政府机构及金融行业。
• 基于IP的审计，难以准确定位责任人，难以将IP地址与具体人员身份准确关联，导致发生安全事故后，追查责任人成为新的难题。
• 互联网行业信息泄露事件呈现高速增长趋势，需要引起警惕。作者建议从满足合规要求作为起点，业务在“云上”的企业都需要符合《云等保》要求，非银行金融机构都受到国家对应主管单位的合规监管，未持牌开展业务或违规经营将会后果严重。紧接着，为了达到业务正常运行需要的安全防护水平，安全服务也应纳入，解决应用系统安全检测和安全监测需要。
• 由此，安全威胁与应用安全风险与企业业务经营如影随形，应用系统部署到云上的企业需要考虑在公有云上应用系统的安全防护解决思路。

合规要求

依据《信息安全技术 网络安全等级保护基本要求 第2部分：云计算安全扩展要求》，明确定义了云租户侧的等级保护对象也应作为单独的定级对象定级。云计算系统的定级对象在原有定级对象基础上进行了扩展，原有定级对象主要是信息系统和相关基础网络，而云计算将定级对象扩展为云服务商的云平台和云租户的应用系统。云计算系统定级时，云服务商的云平台和云租户的应用系统应分别定级，云平台等级应不低于应用系统的安全保护等级。这点明确了企业作为云租户，其应用系统都需要定级且符合对应等级安全控制措施要求。

对照等保二级要求，应至少部署防火墙、堡垒机达到控制措施要求；对照等保三级要求，应至少部署入侵防护、防火墙、堡垒机、数据库审计达到控制措施要求。在阿里云云市场中当然也有对应的安全防护服务可供选择。对有线下服务需求的企业，如专家版服务，可以直接与绿盟联系，订购线上线下服务套装组合。

《指导意见》第五章节中提出“……加强系统安全漏洞和补丁信息的监测、收集和评估，确保及时发现和处置重大安全隐患。……”漏洞管理工作应该是信息安全工作的重中之重，漏洞生命周期管理不仅仅涉及漏洞自身的发现、评估和修复，同时还牵涉漏洞情报信息的获取，组织漏洞管理基线的建立和应急处置工作。改变传统的以IP信息为视角的资产管理方法，从安全的角度重新审视资产信息，从资产的业务功能、服务对象、版本信息、安全防范措施等方面建立安全资产信息，从安全的角度管理资产脆弱性。当出现安全漏洞时，不仅需要考虑漏洞的风险等级，还需要结合资产安全信息，不同资产相同漏洞区别对待，体现业务对漏洞的差异性，真正实现差异化漏洞管理策略，从而实现漏洞管理能力的提高。

《指导意见》第五章节中提出“……开展应用系统安全检测，对官方网站等通过互联网提供服务的系统，在上线及重大投产变更前进行渗透测试，杜绝系统“带病”上线。……”应用系统在上线后由于存在类似SQL注入、密码明文传输、安全功能缺失等漏洞而遭受攻击，会直接影响正常业务运行，甚至造成经济和名誉的损失。因此，需要在系统上线前对系统安全状况进行检验，从信息安全的角度对应用系统、集成环境等内容的安全状况进行评估，对发现的问题进行妥善处理，避免将影响系统安全的问题遗留到系统上线后，成为系统安全的隐患。

为了满足《云等保》三级要求，部署阿里云上应用系统的企业应至少选择网站安全防护服务(vWAF)、堡垒机云服务和数据库监控与审计服务。另外，建议选择防火墙云服务（支持入侵防御）作为“网络和通信安全”访问控制补充措施。

非银行金融机构需要同时满足《指导意见》要求，其阿里云上应用系统应选择安全检测服务和安全监测服务。

安全保障需求

先回顾近期某互联网公司发生的信息安全案例，公司内部员工对公司200余台服务器植入木马，该木马具备远程控制和对外DDoS攻击功能。这意味着外部人员可远程控制这些服务器做流量攻击，进而导致被攻击的服务器瘫痪。目前，此事已在法院宣判。至案发时，内部员工获利2万余元，但对于企业的经济和名誉损失就相当巨大。不少互联网企业都发生过类似案件，但没有安全检测和安全监测手段，无法及时发现漏洞和安全问题。有的企业虽能锁定具体账户,但无法锁定到具体个人,加之留存的证据不多,事情就不了了之。

信息安全CIA三要素（机密、完整、可用）应当在定义安全保障需求时统一考虑，对开展理财、支付、保险等金融业务的企业更应关注金融资料的保护，如银行账户信息、扣款账号、保险数据，避免信息被篡改或外泄。

因而，为了达到业务正常运行需要的安全防护水平，安全服务也应纳入，解决应用系统安全检测和安全监测需要。部署了阿里云上应用系统的企业可以选择云清洗服务，电子签章服务，安全可视化服务等增值安全服务，提升安全保障水平。

云上安全防护措施

• 防火墙云服务

以虚拟化形态部署防火墙，适用于多种虚拟化平台，使管理员可以快速高效地调配和扩展防火墙。企业所要选择的服务需要支持应用识别、入侵防御、内容过滤、URL过滤、VPN等，且这些增值功能授权费用应该一并考虑，如IPSEC VPN 、SSL VPN的授权并发连接数量是否满足企业日常需求。包含必要增值功能的防火墙才是有效的安全服务。

• 网站安全防护服务(vWAF)

以虚拟化Web应用防火墙(Virtual Web Application Firewall, 简称 vWAF)为核心的安全服务，企业客户可以在公有云等环境中快速部署上线，从而能全面抵御OWASP Top 10等各类Web安全威胁免遭当前和未来的安全威胁。企业所要选择的服务必须同时支持HTTP协议和HTTPS协议，且可以支持vWAF托管服务的服务提供商更佳。

• 云清洗服务

基于DNS智能牵引技术，主要解决10G及以上大流量DDoS攻击防护，同时可防御电信、联通和BGP三条链路大流量攻击，而运营商提供的云清洗服务仅能清洗本网内的攻击流量。由于DDoS攻击可能在相同行业内同时发生，存在带宽和防护资源冲突情况，因而企业选择服务时需留意服务提供商的清洗能力是否充足。同时，建议选择提供云清洗配套线下本地防护混合的服务，以获得更完善的防护保障。

• 堡垒机云服务

以虚拟化形态部署堡垒机，提供账号管理和资产管理，实现运维审计。基于唯一身份标识，通过对用户从登录到退出的全程操作行为进行审计，监控用户对目标设备的所有敏感操作，聚焦关键事件，实现对安全事件的实时发现与预警。企业所要选择服务需满足等保标准对用户身份鉴别、访问控制、安全审计等条款的要求，且支持准确定位用户身份，追溯安全事件责任，满足合规要求且日常使用方便的服务才是正确选择。

• 安全检测服务

服务提供对各种Web应用系统漏洞和操作系统漏洞安全检测，可按需定制检测扫描频率，用于网站安全评估的云服务。企业选择服务时需了解服务包含的漏洞库种类、是否维护更新，且对于识别的漏洞是否提供漏洞验证服务，降低误报概率。

• 安全监测服务

服务符合网信办、公安部等国家主管机关关于网站安全建设的合规要求，为客户提供网站漏洞扫描及漏洞验证、网页挂马监测、钓鱼网站监测、网页篡改监测、网页敏感内容监测以及网站可用性监测服务。通常本服务包含安全检测服务内容。企业应留意监测服务是否在重要时期支持发送平安短信以及安全日报，是否能够协助关停发现的钓鱼网站，这点值得关注。

• 电子签章服务

依据《电子签名法》获得权威数字认证，采用第三方授时技术，防篡改技术多项核心技术实现流程规范，保障电子文件/电子合同与纸质合同具有同等法律效力。企业可留意选择所有交互环节都通过接口实现，不干涉平台业务逻辑，完全满足业务全流程需要。

• 安全可视化服务

依托云端技术和大数据安全分析能力，以可视化方式为用户快速构建多层次联动纵深防御体系，基于数据驱动及时发现隐患从而加强安全防御能力。企业所要选择的服务应自建威胁分析模型，而且提出可行的规避建议。

• 数据库监控与审计服务

通过对数据库访问行为的精确解析，完成性能监控、事中审计、事后追溯、风险告警等一系列动作，全面洞察数据库安全状况，并提供事后追溯依据。企业所要选择的服务是否全面考虑数据库存储、使用管控，监控告警记录本地是否加密防护，这一点很重要。

云上服务优势

• 便捷快速

依托公有云提供的快速部署、实时开通的能力，客户可以随时在公有云上按需选购，同时也避免了硬件设备的生产、货运和上架环节，最短时间内就能获取到对应的安全能力。

• 恶意行为发现

基于实时的信誉机制，结合企业级和全球信誉库，可有效检测恶意URI、僵尸网络，快速识别、定位出恶意的攻击行为或恶意资源。

• 通过云安全服务提供应急响应

凭借云安全服务的支撑（MSS for WAF），可以实现与绿盟云对接，由安全专家团队协助用户对网站安全威胁及攻击进行监测、分析及响应，并提供定期日志分析及策略优化服务。与此同时，支持WAF的自身状态7*24小时监测，并提供设备运维报告。

• 深度对接公有云特性

通过与公有云的API进行对接，辅助堡垒机云服务实现托管资产信息自动录入，减轻运维人员工作难度，提高效率。

• SaaS安全管家

在获得用户授权后，云上服务自动把运营数据上传给云中心，用户在手机上实时查看运行状态以及异常告警，并且一键寻求安全专家与技术支持团队，第一时间解决安全问题。

总结

本文期望达到安全普惠效果，为企业提供应用系统线上安全防护解决思路。

参考文献

安全牛公众号 《国内外敏感信息泄露案例汇总分析》