论文部分内容阅读
摘要:广播电台与新媒体的融合促进了广播的发展,但同时在新媒体环境下,特别是广播电台的网站面临着日益严峻的网络风险。传统的广播电台网络防护以本地防护为主,随着网络攻击手段的多样化,这一方式日益显现出其弊端,主要表现在对人、物以及管理的要求越来越高。本文拟通过探讨基于云平台的广播电台WEB安全防护一体化平台的方案设计思路,为广播电台网站的网络防护找到一条新的、可行的途径。
关键词:广播电台;云平台;web安全防护
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2018)08-0047-02
1背景
广播电台在新媒体背景下,主要业务之一是通过音视频网站、微博、微信等互联网方式进行运营。从安全角度出发,在部署了WAF、IPS、IDS等网络安全设备之后,但网站仍然存在被攻击的风险,可能导致业务中断以及敏感数据泄露等严重后果。在传统的安全防护手段中,WAF、IPS、漏洞扫描长期以本地特征库的方式进行防护,这已经无法满足对新型Web攻击的安全需要,在安全运维中,过分依赖传统设备的运维团队缺少威胁感知、攻击溯源等关键的安全能力,使网站面临了诸多的安全风险。这种风险具体表现在:
1)缺少统一的流程管理造成运维过程监控困难
在目前的运维过程,只重视攻击防御,预警、分析、溯源、系统加固等方面,但都缺乏有效的技术手段与流程管理。同时在不同的攻击场景下,攻击类型的不同导致了攻击的处理方式的不同,造成了运维过程中的畸形化。
2)防御体系易被穿透造成抵御攻击能力薄弱
网站协议开放、多变,黑客的攻击手段在不断发展,零日漏洞、APT攻击、DNS攻击、暴力破解等攻击手段的出现频率越来越高,传统的Web安全解决方案更多的依赖本地特征库进行防御,在真正遇到攻击的时候,防御体系易被穿透。
3)缺少大数据分析技术造成技术能力提升缓慢
大数据分析技术在各个行业中已经具备了有效应用,但传统的Web安全解决方案提供商没有一方面没有数据基础,一方面没有数据挖掘的技术能力,未能有效的对现有的技术与产品进行改进。
4)安全建设缺乏有机联合造成管控困难
安全建设往往由多家厂商共同参与,产品与产品之间由于厂家的隔阂难以形成有效的防御协同。而且当前网站的安全防御已经不仅仅依靠几台设备的堆叠可以轻松应对的,这樣对进行统一管控的运维团队来说,在防御效果、运维效果上都将面临严峻的问题。
2广播电台WEB安全防护平台的建设思路
通过对广播电台当前站点的安全状态分析,结合Web安全攻击的安全态势,可以明确广播电台WEB安全防护一体化平台的建设势在必行,同时此平台必须是可监控的、具有强大防御能力的、能自我进化感知攻击态势的、具备攻击态势感知能力的以及设备是可协同的。基于此原则,以及现实的技术环境,我们提出应当为广播电台建设一套基于公有云的Web安全防护平台,其应具备Web攻击防护、Ddos流量清洗、访问页面加速、运营商节点监控等功能。采用云平台方案,是因为其具有如下特点:
1)具有健全信息安全流程管理
云防护平台在云端具有强大的技术积累,并且统一化的运维极具优势,并能有效提供辅助云平台安全运维人员的技术支撑。而在本地,则可以通过培训、流程管理加强,全面健全来提高信息安全流程与能力。
2)具有健全的安全防御体系
依靠云防护平台的云端资源与资源姿势,可以完善网站的安全防御体系;依靠云端的防护资源,可以对DNS提供全面的防护能力;依靠云平台全国的带宽积累与技术,可以对DDOS流量进行有效拦截与清洗。
3)具有结合大数据分析技术的能力
云平台天然具有大数据的获取和分析能力,可在攻击样本、网络数据、漏洞数据、社工数据等多方面进行数据积累,并用于安全防护。同时更重要的是,云平台还具有强大的数据挖掘能力,通过深度学习可以更好的发现数据之间的关联关系以及蕴含的深层的意义,并通过可视化的方式进行展现,以用于运维人员的深度分析。
4)具有多功能综合防护的能力
安全云防护平台是集成了多种能力的综合防护平台,它集成了云防护、云清洗、运加速等多种安全能力,可提供事前预警 事中防护 事后服务的全面能力,可在统一的管控平台上进行综合的安全调度,在协同防御上拥有先天的组合优势。
5)具有全面提升安全运维的能力
云安全防护平台集合了大数据分析的技术结果,在攻击发现的能力上拥有报表分析的能力,其结果可以自动协同云防护模块,提高防御速度,在事后阶段,云防护平台的运维专家可以给本地运维人员及时、高效的技术支撑。从而在技术、人员两方面提高广播电台的安全运维水平。
3广播电台WEB安全防护平台的建设思考
基于上述建设思路,同时考虑现在有各类安全产品的技术水平、合理性、先进性、安全性和稳定性等特点,可以将广播电台WEB安全防护平台分为流量负载子平台、应用层防护云子平台、缓存加速云子平台、安全管控云子平台等四个子平台进行分别建设。这四个子平台分别承担不同的功能。
1)流量负载云子平台
采用公有云平台的防护体系,其根本优势在于利用云端强大资源进行技术与负载支撑。同时在挑选基础云平台时要首先要考虑到云端最优选路的问题,即经过DNS解析到最近的服务集群,降低相应延迟,加速页面访问速度;其次云服务器集群还应具备强大的负载均衡能力,利用多种负载均衡算法,将请求流量均衡的负载到后端防护平台。最后其还应具有强大的带宽储备,各地区服务器集群共用。
2)应用层防护云子平台
此子平台应用层防护平台的核心层,应具备对应用层协议的识别、分析,对威胁进行拦截的能力,应可拦截恶意攻击行为,包括sql注入、XSS攻击等,并可根据CC攻击的强度,分别执行不同的相应策略;应用层防护子平台还应与漏洞云端的大数据分析系统进行有机结合,在发现零日漏洞后,可以第一时间进行规则更新,以提高威胁防护能力。 3)缓存加速云子平台
这是针对静态资源的缓存平台,可全面加速各种静态资源,减低访问延迟,加速页面访问。其应对站点经常使用的静态资源进行安全缓存,包括html、css、图片等文件格式。其缓存更新周期灵活可配,以有效配合页面发布,减少页面返回错误时间。同时还应应用完善的缓存淘汰机制,以针对多种站点的不同需求,最大限度提升页面访问速度。
4)安全管控云子平台
这是对云平台进行安全管理的平台。应采用公有云的访问形式,以确保在任意地方通过网络进行访问。同时还应具有高效计算能力和策略的管控能力,以便快速输出当前威胁态势的总体报表,或对全策略进行配置以及下发。因此在功能上,管控中心可采用B/S架构,用户可以在任何时间、任何地方通过浏览器进行访问。用户修改DNS后,通过管控中心内进行站点配置,即可对防护站点进行安全策略配置。同时产品框架采用两级页面设计,以满足易用性的需求。管控中心还可根据业务要求,将安全模块进行拆分,每个功能主体均有单独的配置模块,以完成对站点的安全配置。
4一体化安全平台在广播行业内的优势
4.1技术领先
1)协同防御技。Web应用云安全管理系统以云平台的方式进行攻击防护,根据对攻击流量属性的大数据分析,自动识别攻击源头,从而实现全防护平台对攻击源的安全封锁。传统的安全防御手段依靠设备的堆叠对网站进行安全防护,这种防护方式是对单一客户进行防御,对当前攻击趋势没有任何预测。协同防御技术从实现了攻击情报共享的战略特点,消灭了安全孤岛,让联动防御成为可能。
2)快速部署上线。传统的Web安全方案通过硬件设备的方式对广播电台网站进行防护,在设备进行上线的时候,经过遇到拓扑问题、流量负载问题、业务不兼容等等问题。Web应用云安全管理系统采用公有云的部署方式,用户只需要更改DNS指向即可将流量接入云防护平台进行安全防护,用户通过登录云防护平台的管控中心进行安全管控。整个部署过程用户无需再本地部署任何软件、硬件,大大降低了部署上线成本。
3)DNS安全防护。Web攻击发展多种多样,针对DNS的攻击也越来越多,通过对攻击站点的DNS进行潮水攻击,将会导致DNS服务器无法解析正常的用户请求。传统的Web安全解决方案对用户本地进行多种安全防护,看似固若金汤,但是对企业安全覆盖范围之外的DNS服务器无能为力。Web应用云安全管理系统具有高防DNS集群,提供10G-100G不同等级的DNS流量清洗能力,可实现对DNS的攻击防护,完善网站安全方案。
4)强大的DDOS防。DDOS攻击是网站最常见的攻击方式,传统的Web安全方案通过流量清洗设备进行防护,但是在防护过程中,如果攻击流量远高于用户带宽,无论流量清洗设备在防火墙后端如何进行清洗,用户的带宽已经被打满,站点无法接受正常请求。云安全管理系统通过云平台进行安全防护,在DDOS攻击到达网站前就通过全国的负载分担进行流量清洗,同时通过云防护平台中心的流量建模算法进行流量过滤,全面防御DDOS攻击。
4.2行业价值
1)全面防御体系。传统的Web安全解决方案都是在用户本地进行安全防御体系建设,这使得本地成为安全孤岛,而且随着DNS的攻擊越来越多,本地防护对DNS攻击束手无策。Web应用云安全管理系统采用公有云的部署方式,利用协同防御技术提前预警攻击源,进行全局防护,消灭安全孤岛。同时,云防护平台具有多个高防DNS集群,提供全面的网站防御体系。
2)低运维成本。云安全管理系统采用公有云的方式部署,整个部署过程无需用户在本地部署任何的硬件、软件,只需要修改DNS指向,将流量牵引到云平台即可,用户登录云平台的管控中心即可进行安全管理。避免了传统硬件设备上线的安全风险,降低了资源消耗以及运维成本,为各个广播电台节省了大量运维人力资源,使平台在广播行业内应用具备了可能性和可行性。
3)降低安全投入。传统Web解决方案通过设备的堆叠进行网站安全防护,电台需要购买大量安全设备,总体投入巨大。Web应用云安全管理系统旨在解决广播电台网站安全问题,提供了云防护、云清洗、云加速、云服务的云安全能力,为电台提供一套“事中防护 事后服务”的网站安全解决方案,电台无需再投入其他资源。
关键词:广播电台;云平台;web安全防护
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2018)08-0047-02
1背景
广播电台在新媒体背景下,主要业务之一是通过音视频网站、微博、微信等互联网方式进行运营。从安全角度出发,在部署了WAF、IPS、IDS等网络安全设备之后,但网站仍然存在被攻击的风险,可能导致业务中断以及敏感数据泄露等严重后果。在传统的安全防护手段中,WAF、IPS、漏洞扫描长期以本地特征库的方式进行防护,这已经无法满足对新型Web攻击的安全需要,在安全运维中,过分依赖传统设备的运维团队缺少威胁感知、攻击溯源等关键的安全能力,使网站面临了诸多的安全风险。这种风险具体表现在:
1)缺少统一的流程管理造成运维过程监控困难
在目前的运维过程,只重视攻击防御,预警、分析、溯源、系统加固等方面,但都缺乏有效的技术手段与流程管理。同时在不同的攻击场景下,攻击类型的不同导致了攻击的处理方式的不同,造成了运维过程中的畸形化。
2)防御体系易被穿透造成抵御攻击能力薄弱
网站协议开放、多变,黑客的攻击手段在不断发展,零日漏洞、APT攻击、DNS攻击、暴力破解等攻击手段的出现频率越来越高,传统的Web安全解决方案更多的依赖本地特征库进行防御,在真正遇到攻击的时候,防御体系易被穿透。
3)缺少大数据分析技术造成技术能力提升缓慢
大数据分析技术在各个行业中已经具备了有效应用,但传统的Web安全解决方案提供商没有一方面没有数据基础,一方面没有数据挖掘的技术能力,未能有效的对现有的技术与产品进行改进。
4)安全建设缺乏有机联合造成管控困难
安全建设往往由多家厂商共同参与,产品与产品之间由于厂家的隔阂难以形成有效的防御协同。而且当前网站的安全防御已经不仅仅依靠几台设备的堆叠可以轻松应对的,这樣对进行统一管控的运维团队来说,在防御效果、运维效果上都将面临严峻的问题。
2广播电台WEB安全防护平台的建设思路
通过对广播电台当前站点的安全状态分析,结合Web安全攻击的安全态势,可以明确广播电台WEB安全防护一体化平台的建设势在必行,同时此平台必须是可监控的、具有强大防御能力的、能自我进化感知攻击态势的、具备攻击态势感知能力的以及设备是可协同的。基于此原则,以及现实的技术环境,我们提出应当为广播电台建设一套基于公有云的Web安全防护平台,其应具备Web攻击防护、Ddos流量清洗、访问页面加速、运营商节点监控等功能。采用云平台方案,是因为其具有如下特点:
1)具有健全信息安全流程管理
云防护平台在云端具有强大的技术积累,并且统一化的运维极具优势,并能有效提供辅助云平台安全运维人员的技术支撑。而在本地,则可以通过培训、流程管理加强,全面健全来提高信息安全流程与能力。
2)具有健全的安全防御体系
依靠云防护平台的云端资源与资源姿势,可以完善网站的安全防御体系;依靠云端的防护资源,可以对DNS提供全面的防护能力;依靠云平台全国的带宽积累与技术,可以对DDOS流量进行有效拦截与清洗。
3)具有结合大数据分析技术的能力
云平台天然具有大数据的获取和分析能力,可在攻击样本、网络数据、漏洞数据、社工数据等多方面进行数据积累,并用于安全防护。同时更重要的是,云平台还具有强大的数据挖掘能力,通过深度学习可以更好的发现数据之间的关联关系以及蕴含的深层的意义,并通过可视化的方式进行展现,以用于运维人员的深度分析。
4)具有多功能综合防护的能力
安全云防护平台是集成了多种能力的综合防护平台,它集成了云防护、云清洗、运加速等多种安全能力,可提供事前预警 事中防护 事后服务的全面能力,可在统一的管控平台上进行综合的安全调度,在协同防御上拥有先天的组合优势。
5)具有全面提升安全运维的能力
云安全防护平台集合了大数据分析的技术结果,在攻击发现的能力上拥有报表分析的能力,其结果可以自动协同云防护模块,提高防御速度,在事后阶段,云防护平台的运维专家可以给本地运维人员及时、高效的技术支撑。从而在技术、人员两方面提高广播电台的安全运维水平。
3广播电台WEB安全防护平台的建设思考
基于上述建设思路,同时考虑现在有各类安全产品的技术水平、合理性、先进性、安全性和稳定性等特点,可以将广播电台WEB安全防护平台分为流量负载子平台、应用层防护云子平台、缓存加速云子平台、安全管控云子平台等四个子平台进行分别建设。这四个子平台分别承担不同的功能。
1)流量负载云子平台
采用公有云平台的防护体系,其根本优势在于利用云端强大资源进行技术与负载支撑。同时在挑选基础云平台时要首先要考虑到云端最优选路的问题,即经过DNS解析到最近的服务集群,降低相应延迟,加速页面访问速度;其次云服务器集群还应具备强大的负载均衡能力,利用多种负载均衡算法,将请求流量均衡的负载到后端防护平台。最后其还应具有强大的带宽储备,各地区服务器集群共用。
2)应用层防护云子平台
此子平台应用层防护平台的核心层,应具备对应用层协议的识别、分析,对威胁进行拦截的能力,应可拦截恶意攻击行为,包括sql注入、XSS攻击等,并可根据CC攻击的强度,分别执行不同的相应策略;应用层防护子平台还应与漏洞云端的大数据分析系统进行有机结合,在发现零日漏洞后,可以第一时间进行规则更新,以提高威胁防护能力。 3)缓存加速云子平台
这是针对静态资源的缓存平台,可全面加速各种静态资源,减低访问延迟,加速页面访问。其应对站点经常使用的静态资源进行安全缓存,包括html、css、图片等文件格式。其缓存更新周期灵活可配,以有效配合页面发布,减少页面返回错误时间。同时还应应用完善的缓存淘汰机制,以针对多种站点的不同需求,最大限度提升页面访问速度。
4)安全管控云子平台
这是对云平台进行安全管理的平台。应采用公有云的访问形式,以确保在任意地方通过网络进行访问。同时还应具有高效计算能力和策略的管控能力,以便快速输出当前威胁态势的总体报表,或对全策略进行配置以及下发。因此在功能上,管控中心可采用B/S架构,用户可以在任何时间、任何地方通过浏览器进行访问。用户修改DNS后,通过管控中心内进行站点配置,即可对防护站点进行安全策略配置。同时产品框架采用两级页面设计,以满足易用性的需求。管控中心还可根据业务要求,将安全模块进行拆分,每个功能主体均有单独的配置模块,以完成对站点的安全配置。
4一体化安全平台在广播行业内的优势
4.1技术领先
1)协同防御技。Web应用云安全管理系统以云平台的方式进行攻击防护,根据对攻击流量属性的大数据分析,自动识别攻击源头,从而实现全防护平台对攻击源的安全封锁。传统的安全防御手段依靠设备的堆叠对网站进行安全防护,这种防护方式是对单一客户进行防御,对当前攻击趋势没有任何预测。协同防御技术从实现了攻击情报共享的战略特点,消灭了安全孤岛,让联动防御成为可能。
2)快速部署上线。传统的Web安全方案通过硬件设备的方式对广播电台网站进行防护,在设备进行上线的时候,经过遇到拓扑问题、流量负载问题、业务不兼容等等问题。Web应用云安全管理系统采用公有云的部署方式,用户只需要更改DNS指向即可将流量接入云防护平台进行安全防护,用户通过登录云防护平台的管控中心进行安全管控。整个部署过程用户无需再本地部署任何软件、硬件,大大降低了部署上线成本。
3)DNS安全防护。Web攻击发展多种多样,针对DNS的攻击也越来越多,通过对攻击站点的DNS进行潮水攻击,将会导致DNS服务器无法解析正常的用户请求。传统的Web安全解决方案对用户本地进行多种安全防护,看似固若金汤,但是对企业安全覆盖范围之外的DNS服务器无能为力。Web应用云安全管理系统具有高防DNS集群,提供10G-100G不同等级的DNS流量清洗能力,可实现对DNS的攻击防护,完善网站安全方案。
4)强大的DDOS防。DDOS攻击是网站最常见的攻击方式,传统的Web安全方案通过流量清洗设备进行防护,但是在防护过程中,如果攻击流量远高于用户带宽,无论流量清洗设备在防火墙后端如何进行清洗,用户的带宽已经被打满,站点无法接受正常请求。云安全管理系统通过云平台进行安全防护,在DDOS攻击到达网站前就通过全国的负载分担进行流量清洗,同时通过云防护平台中心的流量建模算法进行流量过滤,全面防御DDOS攻击。
4.2行业价值
1)全面防御体系。传统的Web安全解决方案都是在用户本地进行安全防御体系建设,这使得本地成为安全孤岛,而且随着DNS的攻擊越来越多,本地防护对DNS攻击束手无策。Web应用云安全管理系统采用公有云的部署方式,利用协同防御技术提前预警攻击源,进行全局防护,消灭安全孤岛。同时,云防护平台具有多个高防DNS集群,提供全面的网站防御体系。
2)低运维成本。云安全管理系统采用公有云的方式部署,整个部署过程无需用户在本地部署任何的硬件、软件,只需要修改DNS指向,将流量牵引到云平台即可,用户登录云平台的管控中心即可进行安全管理。避免了传统硬件设备上线的安全风险,降低了资源消耗以及运维成本,为各个广播电台节省了大量运维人力资源,使平台在广播行业内应用具备了可能性和可行性。
3)降低安全投入。传统Web解决方案通过设备的堆叠进行网站安全防护,电台需要购买大量安全设备,总体投入巨大。Web应用云安全管理系统旨在解决广播电台网站安全问题,提供了云防护、云清洗、云加速、云服务的云安全能力,为电台提供一套“事中防护 事后服务”的网站安全解决方案,电台无需再投入其他资源。