信息安全-深信服云盾产品技术白皮书

1背景

随着互联网技术的不断发展，网站系统成为了政务公开的门户和企事业单位互联网业务的窗口，在“政务公开”、“互联网+”等变革发展中承担重要角色，具备较高的资产价值。但是另一方面，由于黑客攻击行为变得自动化和高级化，也导致了网站系统极易成为黑客攻击目标，造成篡改网页、业务瘫痪、网页钓鱼等一系列问题。其安全问题受到了国家的高度关注。近年来国家相关部门针对网站尤其是政府网站组织了多次安全检查，并推出了一系列政策文件。

据权威调研机构数据显示，近年来，中国网站遭受篡改攻击呈增长态势。其中2018 年，我国境内被篡改的网站数量达到13.7万次，15.6万个网站曾遭到CC攻击。2018年共有6116个境外IP地址承载了93136个针对我国境内网站的仿冒页面。中国反钓鱼网站联盟共处理钓鱼网站51198个，平均每月处理钓鱼网站4266个。同时，随着贸易战形势的不断严峻，境外机构针对我国政府网站的攻击力度也不断的加强，尤其是在重要活动期间，政府网站的安全防护成为了重中之重。

为了帮助企业级客户及政府机构保障网站的安全，解决网站被攻陷、网页被篡改、加强重要活动期间的网站安全防护能力，深信服云盾提供持续性的安全防护保障，同时由云端专家进行7*24小时的值守服务，帮助客户识别安全风险，提供高级攻防对抗的能力，有效应对各种攻击行为。

2产品体系架构

深信服利用云计算技术融合评估、防护、监测和响应四个模块，打造由安全专家驱动，围绕业务生命周期，深入黑客攻击过程的自适应安全防护平台，帮助用户代管业务安全问题，交付全程可视的安全服务。

客户端无需硬件部署或软件安装，只需将DNS映射至云盾的CNAME别名地址即可。全程专家参与和值守，为用户提供托管式安全防护。安全防护设施部署在深信服安全云平台上，安全策略的配置和调优由深信服安全专家进行，用户仅需要将用户访问的流量牵引至深信服安全云。所有的部署和运维工作全部由深信服安全专家在云上完成，更简单，更安全，更省心。

3用户价值

深信服将网站评估、防护、监测、处置，以及7*24在线的安全专家团队等安全能力整

合成了在线安全云平台。为用户实时对网站进行安全防护和持续加固，持续抵抗网站攻击，提供一键应急处置功能，可以帮助客户加强网站安全防护能力，减少被监管和通报的风险。

4主要功能

4.1网站防护

提供OWASP定义的十大安全威胁的攻击防护能力，有效防止常见的web攻击。（十大安全威胁：SQL注入攻击、XSS-跨站点脚本、无效的认证及会话管理功能、对不安全对象的直接引用、伪造的跨站点请求-CSRF、安全配置错误、加密存储方面的不安全因素、不限制访问者的URL、传输层面的保护力度不足、未经验证的重新指向及转发）从而保护网站免受网站篡改、网页挂马、隐私侵犯、身份窃取、经济损失、名誉损失等问题。

4.2安全托管

网站应用的所有安全策略的配置和调优由深信服安全专家进行，深信服提供7*24小时的专家值守服务。通过云端监测系统安全专家会进行实时的网站安全评估、发现该系统真实存在的漏洞，进行策略的调整，实时防护；另一方面深信服安全专家通过攻防团队以及上万

台在线安全设备收集的威胁情报和日志分析，能够及时更新安全规则，防范于未然。

4.3境外攻击对抗

非敏感时期，随处可见境外黑客的攻击身影，敏感时期，境外黑客活动更是蓄势而发。信服云盾通过对业务的综合分析，一旦发现境外黑客的攻击，安全专家团队立即启动对抗机制，同时对黑客IP进行封锁，不给黑客嗅探机会，第一时间解决网站风险。

4.4紧急0day防护

依托于深信服安全团队持续的漏洞挖掘工作，以及对互联网多个漏洞发布平台的持续监控，确保在0Day发现的第一时间具备对0Day的检测监控能力及防护能力。第一时间向客户告警0Day威胁，告知用户是否存在该漏洞以及防护状态。

同时云端安全专家会第一时间对信服云盾的防御规则进行库的更新和策略调整，在告警的同时，联动进行防护，更安全更及时。

4.5可视化报表

用户可查看安全值守报表，报表包含攻击次数分析、攻击事件统计、潜在风险分析、专家值守内容、每日值守安全状况、流量状况、网站可用性，将服务过程可视化，用户随时随地掌握业务安全。

4.6网站替身，防篡改和防中断

云盾通过页面缓存及替身机制，提供网站替身、整站锁、后台锁、一键断网等应急处置功能，以达到防篡改和防中断的效果。

云盾提供网站页面缓存机制，开启缓存后，系统会对网站内容进行替身缓存，将爬取的页面内容缓存在云盾服务器中，每隔一段时间更新一次，替身缓存内容和网站页面保持一致。

如图，当您的网站无法访问或发生篡改时，可开启替身，将缓存在服务器中的正常页面对外显示，让网站永久在线。

图1：使用替身前

图2：使用替身后

5产品特点

提供对互联网业务系统的三维一体的立体防护解决方案，深入分析黑客攻击的时机和动机。从事件周期、攻击过程、防护对象三个维度出发，提供全面的安全防护手段，保护业务系统不受来自各方的侵害。通过事前系统安全评估扫描、事中攻击防护、事后实时监测的整体安全防护。

5.1基于自适应安全的方案设计

自适应架构智能集成了评估、防护、监测和响应四个模块，以融合联动的方式运行，可以自适应不同基础架构和业务的变化，实现与黑客攻击持续有效的对抗。

5.1.1还原攻击行为，深度设防

全程防护：基于黑客攻击过程的完整Web系统安全防护；

联动防护：全球共享威胁情报，快速封锁攻击源，有效防止成为第二个受害者；

独享防护：为每个用户分配一个独享信服云盾，针对自身业务风险，实现个性化防护；

防御专家：防御专家在线对抗新型攻击，准确调优安全策略，保障业务可靠性。

5.1.2实时监测，在线响应

实时监测篡改、0Day、木马、webshell、黑链等安全事件，

安全事件处置专家团队7*24H在线主动响应，确保安全事件分钟级解决。

5.2专家代管：持续服务，保障业务安全

➢千里目实验室在线审核业务风险研判攻击趋势；

➢攻防专家持续对抗攻击调优防护策略，保障业务稳定；

➢处置专家在线实时响应及时处置事件。

5.3智能驱动：分布式多引擎，快速对抗

利用机器学习、安全大数据等智能技术，不断挖掘威胁情报和隐蔽攻击，以集成联动的方式运行评估、防护和监测三大引擎，结合分布式架构，可以快速应对各种攻击威胁，并持续完善防护功能。