“安全云服務”大幅提升SaaS服務三大功能保障用戶網站安全

中國電信安全服務中心 | 李明星

“安全云服務”是中國電信推出的基于SaaS的全方位、立體化網站安全服務，是安全云SaaS服務的真正“落地”。

近年來，云計算的發展如火如荼，云計算的概念已廣為人知，但“安全云”的概念卻并不為人所熟知。和保障云計算安全的“云安全”不同，“安全云”是云計算技術在信息安全領域的具體應用和拓展，是基于云計算的安全產品和服務，屬于實現安全即服務的一種技術和業務模式。安全云在通過采用云計算技術對安全系統進行云化的基礎上，實現安全資源的池化，使用戶在不需要自身對安全設施進行維護管理和最小化服務成本的情況下，通過互聯網得到便捷、按需、可伸縮的安全服務。今年11月，中國電信推出了“安全云服務”，成為國內第一家提供安全SaaS（Software as a service）服務的運營商。

“安全云服務”由運營商主導

安全云服務產業鏈主要由安全云服務提供商、安全設備提供商和最終用戶組成，其中，安全云服務提供商是安全云服務的主要提供者和推動者。電信運營商和大型安全服務提供商因實力雄厚將成為主要的安全云服務提供商。

2011年初王曉初提出“智能管道的主導者、綜合平臺的提供者、內容和應用的參與者”的轉型目標，信息安全做為智能管道的重要屬性，起著不可或缺的作用。中國電信在基礎網絡和安全基礎設施資源、客戶資源、運營人才資源、資金等方面具備雄厚的實力，提供安全云服務將會具備明顯的優勢。

中國電信安全服務中心負責中國電信安全產品的運營工作，2010年開始，中國電信安全服務中心著手進行“安全云服務”的調研、試點工作，目前，“安全云服務”的前期試點工作已經結束，并已于2012年11月正式對外發布和推廣。中國電信“安全云服務”的推出，是中國電信業務轉型在安全領域的一大動作。

中國電信“安全云服務”，是中國電信推出的基于SaaS的全方位、立體化網站安全服務，具備三類功能。“安全云服務”包括針對網站進行安全監控和預警的“云監控服務”，以及針對網站進行防護的“云防護服務”。作為線上服務的補充，“安全云服務”還提供線下由安全專家人工進行的“專家服務”（圖1）。

功能一：云監控服務

“云監控服務”是中國電信面向網站用戶提供的7×24網站安全監控服務，包含網站可用性監控、網站內容監控、網站脆弱性監控功能。在用戶網站出現安全狀況，如網頁被篡改，網站不可訪問，被掛馬，出現敏感關鍵字等情況時，第一時間向用戶提供郵件、電話、短信告警服務，將用戶損失降至最低。云監控服務的監控請求對用戶網站的資源消耗很小，對網站性能的影響非常有限。

1.可用性監控服務

“可用性監控服務”向用戶提供網站是否可用的監控服務，在網站由于斷網、宕機、被黑等突發事件發生而無法訪問時，向用戶進行短信、郵件、電話告警。

云監控服務在中國大陸地區不同城市部署了多個分布式監測點，除電信自有線路外，在其他運營商如聯通也有多點分布。除此之外，還在臺灣、美國等地區擁有數個監測點。多個監控點排除了因監控線路、運營商等問題造成的誤報，極大的保證了監控結果的準確性。

圖2 “云監控服務”示意圖

云監控服務提供最短5分鐘一次的網站可用性監控服務，告警方式包括短信、郵件、電話。當網站被系統認定為不可用時，云監控系統將會立即向用戶發出告警短信和郵件，并根據用戶選擇提供電話告警服務。在網站恢復可訪問時，系統將發出恢復可訪問短信及郵件。用戶還可選擇“連續短信告警服務”，在網站無法訪問時，每五分鐘向用戶發送一次告警短信，持續告警直至網站恢復可訪問。

2.篡改監控

云監控服務7×24小時對用戶網站進行網頁篡改監控，監控用戶指定頁面（一般是首頁）的內容和結構變化。發現變更后，系統首先向監控人員告警。監控人員人工核實變更事件是惡意篡改還是網站正常更新。如為惡意篡改，立即通過電話向用戶告警。

3．掛馬監控

中國電信云監控系統采用業內最先進的監控手段，結合木馬傳統靜態匹配特征和云特征技術，檢測用戶網頁是否被掛馬，頻率最快可達到5分鐘一次。掛馬識別準確度可達95%以上。

4．敏感詞監控

云監控系統采取了分詞算法、貝葉斯算法，可以精確檢測網站中包含的敏感詞并進行預警，包括政治敏感詞和色情低俗敏感詞等，并可對特定錯別字進行檢測，如領導人的名字等。先進的算法保證了敏感詞監控的準確性。系統最高可提供5分鐘一次的監控頻率，并可自定義敏感關鍵詞。

5．暗鏈監控

云監控服務為用戶提供暗鏈監控服務，檢測網站是否被嵌入暗鏈地址。暗鏈一般為網站中被惡意植入的在瀏覽器中隱藏不可見的廣告鏈接，這些暗鏈往往被非法鏈接到網游、博彩色情、詐騙、甚至反動信息網站。發現暗鏈后，將向用戶進行郵件、電話預警。

圖3 “云防護服務”示意圖

6．脆弱性監控服務

云監控服務定期為用戶提供網站脆弱性監控服務，即對網站進行深層掃描，發現網站系統的漏洞，并為客戶提供相應加固意見。系統通過對Web應用進行深度遍歷, 針對各種Wed應用系統以及各種典型的應用漏洞進行檢測并生成相應報告。

7．在線報表

云監控服務為用戶提供了詳細的在線報表。基于系統的周期性監測特性，對近日歷史安全數據如篡改、掛馬、敏感詞、暗鏈等進行綜合統計，展示監測網站危險分布，以表格的形式展示網站主要存在的安全問題。用戶可登錄并查看自身網站報表。

功能二：云防護服務

中國電信云防護服務，是由中國電信提供的針對用戶網站進行安全防護的服務。用戶通過更改域名NS記錄到中國電信指定DNS服務器，實現對網站惡意訪問流量的過濾。在“零部署”、“零維護”的情況下，攔截諸如XSS、SQL注入等各種攻擊，同時向用戶提供定制安全防護策略、網站日志歸檔、實時安全報表等服務，從整體上提升網站的安全性。

1．網站防火墻

云防護系統可為用戶網站抵擋如SQL注入，XSS跨站等滲透攻擊，起到網站防火墻的功能。用戶更改網站域名NS記錄，指向中國電信安全DNS服務器，網站IP解析至中國電信云防護系統，云防護系統將作為客戶網站“替身”。網站真實IP地址得以隱藏，大幅增加黑客攻擊難度。

網站訪問者向原始服務器發出訪問請求時，首先要通過作為網站替身存在的云防護系統，云防護系統將對訪問要求作出分析，當訪問請求符合安全要求時，再將訪問請求轉發給原始服務器，這種防護模式可以最大限度的過濾掉如SQL注入、XSS跨站等惡意訪問和滲透攻擊，充分保障用戶網站安全。同時系統通過DNS分區解析、緩存等技術，有效保障網站的訪問速度。

2．定制安全防護策略

云防護服務還針對具有特殊需求的網站用戶提供了安全防護策略定制服務。在用戶開通云防護服務后，根據用戶要求，云防護系統將對用戶網站進行漏洞掃描，根據用戶網站的漏洞情況，量身定制安全防護策略，提高對網站的防護水平。

3．防盜鏈

在網絡開放的當下，網站資源被他站盜用已經成為了網站管理員迫切需要解決的問題之一。云防護針對這種情況設計了資源防盜鏈服務，可以有效阻止網站的圖片，多媒體等資源被非法訪問。同時為了方便用戶網站間資源共享，云防護系統還允許用戶自行設置符合需要的資源共享規則。

4．臨時頁面

網站訪問者在訪問網站時看見404等無法訪問錯誤是各網站管理員最不想看到的情況之一，但是不管是大中小型網站，發生無法訪問事件總是不可避免的。云防護服務為用戶提供的“臨時頁面”功能，根據防護節點的緩存功能，提供用戶事先定制的臨時替代頁面，如“本網站正在進行維護”等，提高網站訪問者的感知。

5．安全日志歸檔

云防護服務為用戶提供詳細的攻擊數據報表，讓用戶時刻掌握網站的健康狀況。此外，云防護服務還為用戶保存網站原始訪問和安全日志。客戶可以在有效時間段內，任意下載已備份的原始日志。

6．網站綜合分析報表

云防護服務為用戶提供了全面的攻擊數據分析報表，這些分析包括攻擊類型匯總、滲透攻擊日志分析、防盜鏈日志分析。還為用戶提供了詳細的訪問日志分析，包括用戶來源，頁面停留，訪問量統計等不同內容，以幫助用戶評估和改善網站訪問效果。

功能三：專家服務

中國電信集團下屬的安全服務中心，擁有一支經驗豐富的安全專家隊伍。通過多年項目協作與隊伍建設，形成了一支遍布全國的安全人才隊伍。因此在上述兩種基于云的服務的基礎上，中國電信充分發揮自身人才資源優勢，向網站用戶提供基于人工的“專家服務”。這項服務主要包括針對網站的漏洞掃描、滲透測試等安全評估服務，對網站的安全加固服務，和應急響應服務。

安全專家通過對網站進行安全掃描，發現網站安全漏洞，提供詳細的《網站安全掃描報告》；通過模擬黑客手法，在客戶授權下對網站進行滲透測試，提供詳細的《網站安全滲透測試報告》；針對網站已發現的安全漏洞提供《網站安全加固建議》，協助客戶加固網站；在網站發生重大安全事件，如網站內容被惡意篡改、網站有重大安全漏洞時，進行應急響應服務。

比傳統安全服務占優

中國電信“安全云服務”為廣大希望保障網站安全的用戶提供了方便、快捷、按需的安全服務，相比傳統的網站安全保障有段，具備明顯的優勢。

便捷：用戶加入中國電信安全云，只需提供一個域名，即可享受網站監控服務；更改DNS到中國電信指定DNS，即可享受網站防護服務。不改變網絡環境，無需自己維護，真正做到了零部署、零運維，非常便捷。

高效：高效發現用戶網站斷網、掛馬、篡改、漏洞等各種網站安全問題，并可高效攔截諸如XSS、SQL 注入等多種攻擊。

省心：7×24對網站進行監控，發現安全問題第一時間進行告警，解決了用戶尤其是政府用戶對網站安全問題造成不良影響的擔心。對網站的防護規則自動更新，并可根據用戶網站的漏洞情況進行量身定制，用戶無需費心調試設備策略，即可享受保障網站安全的服務效果。

省錢：用戶不需購買昂貴的軟硬件，不需配備專門安全運維人員，節省了物力和人力成本。此外，用戶可根據自身狀況按需購買服務時間，節省開支。

圖4 “專家服務”示意圖