浪潮云_云安全检测解决方案-y云巴巴

方案描述

依托浪潮云平台IaaS及PaaS服务，浪潮云联合生态伙伴共同打造云安全检测解决方案。本方案根据网站系统监测要求，通过对目标站点进行页面爬取和分析，为用户提供了透明模式的远程安全监测、安全检查和实时告警，最终助其构建完善的网站安全体系。

方案业务架构

基于Web管理方式，凭借完美交互，方便用户的集中管理。此系统采用模块化设计，整个系统分为设备系统和业务系统，设备系统负责网站的扫描监测，统一管理，了解整体安全风险状况，业务系统包括预警中心和应急中心两部分，主要负责问题通报和安全事件的应急响应。

监测系统统一管理中心

统一管理中心负责集中管理扫描、监测引擎，监控策略的个性化或统一配置。预警中心通过控制软件，将监控信息和告警事件在大屏上集中显示管理图像，实现个性化系统，便于及时了解目标站点的风险安全状况，同时对扫描、监测引擎进行统一的升级维护操作，定期生成所监测站点的安全态势报告，并直观展现出当前总体安全态势。

分布式管理平台模块

通过控制中心统一管理扫描、监测引擎，二者协同完成系统的所有功能，包括管理监测站点、配置监测策略、执行站点监测、查看监测结果等。

监控管理策略模块

可以对系统平台的监测引擎集中下发监控策略，如：网站注册管理，监控范围管理，监控项目管理（设置对站点的监控项目，如网页篡改监控、漏洞监控、挂马事件加快、可用性监控等）监控频率管理和其它细粒度策略管理此外。

数据接口模块

提供系统基本功能的API接口，可以方便第三方系统利用接口进行二次开发，将扫描监测服务集成到第三方平台，可提供具体的接口使用说明文档，供二次开发使用。

多用户管理模块

提供非常细化的多级用户管理技术。根据实际应用场景，划分用户角色，并对用户的权限进行详细的定制，通过对用户权限的定制可以实现非常细化的系统管理和任务管理工作，实现复杂的业务要求。

扫描、监测引擎

扫描引擎基于智能爬虫技术、JavaScript脚本解析技术，在高效抓取网站页面的基础上，提供包括SQL注入和XSS在内的Web应用漏洞检测，同时检测类型支持WASC分类。监测引擎模块根据站点管理者的监管要求，通过对目标站点进行不间断的页面爬取、分析、匹配，为客户的互联网网站提供远程安全监测、安全检查、实时告警，是构建完善的网站安全体系的最好补充。

网页篡改监测

采用独创的静态和动态相结合检测技术，达到互补的效果，能够准确检测出包括各种暗链在内的篡改事件，同时，可以有效地对网页正常变更和篡改事件进行区分，减少了误报率，并对篡改事件可提供场景文件用于取证。

网站敏感内容监测

采用先进中文分词技术持续对被监测网页的所有文字内容进行分析，依据已设定的模板进行敏感内容判定，其中敏感内容检测模板包括了赌博、邪教、广告、反政治、反政府、化学、社会、黑客等八大类，并对敏感内容事件可提供场景文件用于取证。

用户自建业务平台

用户可结合监测系统系统架构，利用数据接口将扫描监测服务集成到第三方平台，为全面解决安全事件，响应安全预警，可建立预警平台，负责安全态势通报和问题事件通报，方便事件及时通报给网站管理者或安全团队成员，及时防控安全事件，同时由现场运维人员和安全专家组件应急平台，第一时间内验证安全事件，及时恢复整改网站风险，保障网站正常运行。

扫描引擎

扫描引擎模块用于执行web应用扫描任务。扫描引擎包含两部分重要模块，分别是漏洞检测模块和挂马检测模块。扫描引擎模块在原技术积累的基础上经过大量的技术更新和方案优化，实现了扫描引擎的性能和功能的一次提升，为后续的性能优化、功能添加和技术改进提供了非常良好的基础。

告警平台模块

安全事件出现时，及时产生相关告警，并能够完全了解事件影响对象、事件结果等详细情况，由应急响应处理中心开始启动应急支持业务流程。

模板管理模块

包含插件模板和报表模板，插件模板包含系统默认的插件模板，敏感词库等安全信息库，用户自定义的模板库，各模板类型表示对站点进行相应的扫描和监测，如远程挂马监测，敏感内容监测，SQL注入扫描，XSS扫描等。报表模板包含系统默认的报表和用户自定义报表模板。

升级系统模块

升级系统用于对产品系统的升级更新。升级系统模块经过全新设计，支持插件升级包、系统升级包、特殊升级包、定制升级包、清空授权升级包。

高频率监测

可7*24小时不间断网站安全实时风险监测，一旦网站出现风险事件，第一时间通知网站运维团队。在监测过程中，采用增量扫描技术，在实现对目标站点进行高频率的风险监测的同时，最大限度地降低了对站点的影响。

调度引擎

采用动态调度算法，实时监控系统任务情况，对系统内的任务进行调度。该调度模块可细分为非实时调度模块和实时调度模块，非实时调度模块用于周期性的或定时性的任务的资源分配和调度，功能上实现了细粒度的任务调度功能，能满足绝大多数的周期和定时任务的需求。实时调度模块用于任务的实时调度功能，当系统资源紧张，不适合再起动新的扫描时，实时调度引擎会根据系统当前的状态自动对任务的启动进行延迟，直到系统资源足够后再启动扫描。

网站挂马监测

高准确率基于行为分析的挂马检测技术，支持静态和动态相结合的主动挂马检测技术，同时可达到最小十分钟的监测周期，并对挂马事件可提供场景文件用于取证。

网站平稳度监测

采用实际访问网站的多种方式，持续对被监测站点进行可用性分析，依据设置的超时值或失败次数来判定是否发生平稳度事件。分析的结果曲线可以直观反应站点的可用性情况，同时对断网、DDOS等事件能够及时的告警。

安全信息库、特征库

云安全监控包含扫描、监测引擎需要分析的漏洞库、敏感词库和特征库，扫描引擎进行智能的调度相关插件，通过建立漏洞知识库机制，并以此来采用最优方案来调度相关插件进行扫描。例如扫描的目标站点采用的是Apache服务，则在扫描过程中仅用Apache服务相关的特征串去扫描，而不发送针对IIS的一些特征扫描串，以此提高扫描的精确度和扫描效率。安全事件出现或有重大的安全漏洞网站出现时，都会在系统中完整记录事件日志和告警日志，供后续网站负责人或监管单位和机构进行查询，全面了解网站的风险状况。应急响应知识库是通过事件后应急响应与处理后形成的知识库，保留数据，整合完整的事件处理报告等材料。

方案技术架构

浪潮云WSM是基于Web的管理方式，用户使用浏览器通过SSL加密通道和系统Web界面模块进行交互，方便用户管理。WSM采用模块化设计，整个系统物理架构分为控制中心和监测引擎两种设备。

控制中心：负责对整个监测系统进行统一的管理，监测策略管理，监测引擎的任务分发、调度，数据收集和报表呈现；
监测引擎：负责对被监测站点进行页面的爬取、页面解析、漏洞扫描、渗透测试和辅助逻辑分析。

基于用户行为模式的管理架构

作为用户体验性很强的产品，WSM始终秉承“以人为本”的理念，在产品设计过程充分考虑了实际用户需求和使用习惯，从用户角度完善了很多管理功能。采用B/S管理架构，能够以SSL加密通讯方式通过浏览器来远程进行管理，无需安装任何管理控制台。“一键式”智能任务模式、快速结果报表、智能摘要技术等，最大限度的满足了易用性和高效性的需求。在部署并进行监测策略的定义后，WSM的专用硬件就能够长期稳定地运行，很好地保证了实时监测的有效性。

多维度，全面、实时监测网站风险

WSM提供实时的对漏洞、挂马的监测功能，以及提供网页篡改、网页敏感内容和网站平稳度的监测。用户根据不同网站的关注度，配置不同的监测策略，再根据网站中不同页面的重要程度，设置关键页面，并配置对关键页面进行一定频率的监测。实现了多维度、不同粒度的风险监测。

专家级统计分析报告，展示各级站点整体风险状况

WSM从多种角度考虑监测报告的生成，可生成基于不同角色、不同内容和不同格式的报表。宏观上，WSM以站点资产为核心，从多个视角深刻反映所监测网站的整体安全状况，对风险趋势、危害、站点安全风险值进行统计分析，并通过柱状图、饼图等形式，直观、清晰的从总体上反映了所有监测站点总体风险分布情况；微观上， WSM对监测的每个站点都提供了详细的风险报告，使得该站点管理员可以快速准确地解决各种安全问题。另外，该产品不仅对单个站点的风险分布等进行了统计分析，还对多个站点或者单站点不同时期的风险状况进行综合的风险变化和安全对比评定，为网站安全状况的评定和未来站点的安全建设提供了强有力的决策支持。

多网站安全监测自动化，节省大量时间和成本

WSM可对用户的每一个网站创建不同的监测策略。用户只要一次性，按照站点和页面的关键程度，配置好Web应用漏洞和挂马监测的策略，WSM可以自动根据策略进行监控，用户只需要关注告警平台中的安全事件，并对其进行处理即可，不用像传统工具那样等待扫描结果，根据结果整改后，还要再重新扫描验证整改情况。WSM可提供高频率的页面监测能力，并且也可以由用户根据业务需要自己定义监测频率。一旦监测到目标站点出现网页挂马事件等内容将会及时呈现在告警页面中。

灵活、可扩展的架构设计

WSM系统由控制中心和监测引擎两部分组成，控制中心负责网站资源管理、监测策略管理、数据分析、告警管理。监测引擎负责对目标站点的风险和威胁的检测。通过简单扩充监测引擎的设备个数，即可提高整体系统的监测能力，方便进行业务扩展。

方案优势

通过专业化的产品来实时监测和周期度量网站风险隐患，帮助监管部门轻松评估政府网站的安全状态，衡量改进情况，将网站管理人员从繁重的日常安全维护工作中解放出来，降低投入和管理成本，获得最为专业、有效、及时的服务，并确定对政府法规的遵从情况。

依托先进的技术，提升网站安全水平和形象

浪潮云安全监测服务基于“云安全”平台，利用取得英国西海岸实验室认证的远程安全评估系统的相关技术，处理千万级页面/日，实时监测互联网安全状态，形成国内最大的Web信誉库。通过浪潮云特有的强大技术支撑，有利提升政府网站的安全水平和公众形象。

出现突发网站安全事件，第一时间提供报警响应

通过浪潮云网站监测平台，采用智能爬虫技术，对目标站点提供高频率的周期检查。一旦发现目标站点风险状况后，由安全监测中心的值守专家人工进行确认，并在第一时间通告用户。通过智能平台与专家审核相结合，最大限度的提高对目标站点的监测频率及保障监测结果的准确性，以帮助用户将所受到的风险影响降到最低。

值得信赖的专业安全专家团队

作为值得信赖的、业界领先的专业安全解决方案提供商，浪潮云的安全服务专家运用“云安全”监测平台，对监测站点进行实时监测，并进一步对监测结果进行人工确认、分析、审核，出具专业监测报告，让监管机构以最低的投资获得高质量的安全专家的专业指导和服务支撑。

专家级风险度量报告，提供整体风险状况

提供风险度量报告，每一份报告都从宏观和微观两个角度对被监测网站的风险进行全面透彻地分析，宏观上从多个视角深刻反映网站的整体安全状况，让监管机构快速、轻松地了解监管机构所需监控的政府网站所面临的风险，认清趋势、发现问题并分析威胁，有助于证明安全遵从性、对网站的安全管理策略进行调优。微观上详细的列出了具体监测时期内所遇到的每个风险点，对检测到的每个风险漏洞都提供详细的解决方案，使得管理人员可以快速直接根据报告采取适当的网站安全整改措施。

节省投资与管理成本
通过自运营式监控中心的建立，大大节省监管机构在安全设备采购的投资，并且监管机构无需亲自动手操作各种安全设备，避免在使用设备过程中的繁琐，节省监管机构的时间和精力，使用此托管服务就好像有一支安全管理团队为监管机构全天候提供服务。

方案业务场景

中小规模场景

一些中小企业、教育行业，其网站数量较少，建议使用独立式部署方式。独立部署方式就是在网络中部署一台同时具备监测和数据分析能力的设备，即一台设备实现所需要的监测能力。设备具有管理网口和扫描网口，管理口可接入用户内容，用于用户对监测任务的管理。扫描口接入外网，对重要网站进行监测。
图就是WSM的独立式部署模式。从图中可以看出，无论在公司何处接入WSM设备，只要能访问网站，都能完成对网站的安全监测。

大规模场景

对于政府网站监管部门、电信运营商、金融行业以及一些较大规模的网上媒体网站。网站数量众多，网站规模大，监控频率要求高。对于这类用户，建议采用分布式部署方式，即采用单台控制中心，多台引擎的分布式部署方式。控制中心和引擎之间的通信采用管理口，引擎与被监测网站可采用扫描口连接。分布式部署方式，即满足了对大量网站高频率的监控，也可对各网站的监测数据进行汇总分析，方便用户对所有网站进行集中管理。
WSM系统支持用户进行两级分层部署。分布式部署结构拓扑如图所示。

数字化社区