腾讯云安全.docx
- 文档编号:23654792
- 上传时间:2023-05-19
- 格式:DOCX
- 页数:26
- 大小:936.66KB
腾讯云安全.docx
《腾讯云安全.docx》由会员分享,可在线阅读,更多相关《腾讯云安全.docx(26页珍藏版)》请在冰豆网上搜索。
腾讯云安全
关于腾讯云安全技术及解决方案
计科1202班12281201孙杨威整理
一.什么是云安全?
“云安全”是“云计算”技术的重要分支,已经在反病毒领域当中获得了广泛应用。
云安全通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,推送到服务端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。
整个互联网,变成了一个超级大的杀毒软件,这就是云安全计划的宏伟目标。
二.腾讯云安全服务概述
腾讯云安全是由腾讯专业安全团队倾力打造,为云服务用户提供DDoS防护、DNS劫持检测、入侵检测、漏洞扫描、网页木马检测、登录防护等安全服务。
腾讯云安全服务有如下特点:
1.全方位安全防护
为云服务器提供一体化的安全服务,包括安全体检(漏洞扫描、挂马检测、网站后门检测、端口安全检测等)和安全防御(DDoS防护、入侵检测、访问控制来保证数据安全与用户隐私)。
2.实时告警定期分析
7*24小时的安全服务,第一时间发现漏洞,实时免费通知到您。
3.免费方便安全保障
无需为您的云服务购买昂贵的安全设备,购买云服务即可免费享用云安全服务。
一键开通,零部署,方便简单。
4.专业团队,可靠保障
云安全是由具备多年安全经验与历练的腾讯安全团队倾力打造,为云服务用户提供的专业安全服务,值得您的信赖。
当前,腾讯云安全主要提供DDoS防护、DNS劫持检测、入侵检测、漏洞扫描、登录防护等服务。
三.安全加固组件
安全加固组件是腾讯云提供的一套先进的主机入侵防御服务,如果您的机器被黑客入侵,安全加固组建可以实时发现并提醒您,可有效避免服务受损、核心数据被盗的风险,为您的机器打造“固若金汤”的安全防线。
安全加固组件功能
贴心的异地登录提醒:
如果您的机器被黑客或者其他未授权的用户非法登录时,安全加固组件可以实时发现并通知到您,让您快速发现并且处理非法入侵。
实时的暴力破解发现:
如果有人尝试暴力破解您的主机密码时,安全加固组件及时帮您发现并阻止恶意尝试。
专业后门、木马检测:
当黑客在您的机器上留下后门或者上传非法程序时,安全加固组件及时检测,并且实时通知到您。
四.DDoS防护
1.DDoS攻击介绍
DDoS(DistributedDenialofService)是分布式拒绝服务攻击的英文缩写,它是一种利用多台计算机向指定目标服务器发送攻击数据包,导致目标服务器系统资源或带宽耗尽,从而对正常业务请求出现拒绝服务的攻击行为。
常见的DDoS攻击分为如下两类:
协议缺陷型
利用TCP,DNS等互联网协议的缺陷,向服务器发送无用却必须处理的数据包来抢占服务器系统资源,从而达到影响正常业务服务的目的。
常见的攻击类型包括:
SYNFLOOD,ACKFLOOD,DNSFLOOD等。
流量阻塞型
通过发送大量满负载垃圾数据包到目标服务器,使链路带宽耗尽,从而达到影响正常业务服务的目的。
常见的攻击类型包括UDPFLOOD,ICMPFLOOD等。
2.DDoS攻击的影响
分布式拒绝服务攻击将会使目标服务器承载的业务处于不可用状态,直接影响业务的收入或口碑。
对于B/S类业务,用户无法打开网页,如;对于C/S类业务,如网游,就是在线用户大量掉线,同时用户无法成功登录游戏。
3.云安全DDoS防护系统特点
1.专业防护设备
采用业界主流专业DDoS防护设备,可有效抵御SYNFLOOD,UDPFLOOD,CC等常见攻击,保障用户业务的正常运作。
2.自动化防护
通过检测设备与防护设备联动,当发现攻击时,立即加入保护,无需人工介入。
3.精准的数据分析
系统实时提供流量数据,通过数据分析攻击情况;同时提供攻击类型、攻击流量、攻击时长等数据,便于取证、追溯及分析。
4.云安全DDoS防护能力
腾讯云为HTTP以及移动加速类业务提供了免费的专用防护系统-大禹系统,其提供防护能力数倍于腾讯云通用的DDoS防护方案,达到100G水平,如需进一步了解大禹系统,请进入大禹系统。
针对非HTTP类型业务(如游戏)提供高防专区,如需进一步了解高防专区,请进入DDos高级防护。
1.针对普通机房和高防专区的免费用户(未购买带宽包但是使用了高防三网IP):
外网IP被攻击峰值超过2Gbps(1核1G机型阀值为500Mbps)会执行封IP操作,三个月内所有外网IP被攻击次数之和小于3次的封堵时长为2-24小时(根据各运营商封堵策略不同,有所区分),所有外网IP被攻击次数大于等于3次的封堵时间为72小时。
2.高防带宽包付费用户:
攻击峰值超过带宽包购买值后会执行封堵,封堵时间为2小时。
五.大禹系统
腾讯大禹系统简介
针对行业面临DDoS威胁越来越严重的问题,腾讯云安全团队自研并推出了一套业界领先防护方案——腾讯云分布式DDoS防护方案(后称大禹系统)。
大禹系统专为移动端业务和HTTP类业务开发商提供的DDoS防护服务。
大禹系统在全国部署了多个攻击防护点,通过高效动态调度网络流量,有效组织起腾讯云全网各点冗余带宽和防护能力,为开发商的业务的高可用性保驾护航。
大禹系统具备如下几个特点:
免费
大禹系统为开发商提供了免费数倍于腾讯云通用DDoS系统的防护能力,满足绝大多数开发商的DDoS防护需求。
接入大禹系统后DDoS防护成本由腾讯云来垫付,开发商不必关心DDoS防护成本。
一次接入,两种能力
大禹系统的防护点是基于腾讯云移动加速服务的加速点和静态加速的节点改造而成,因此具备腾讯云移动加速服务的业务加速能力和网站静态加速的能力。
进而客户接入大禹系统后,系统就会向开发商同步提供防护DDoS和加速的能力,即被攻击的时候系统为开发商业务提供防护;不被攻击的时候系统为开发商业务提供加速服务。
业界领先的防护能力
腾讯云网络具备业界最先进的DDoS防护能力,大禹系统每个防护点均具备超大的扩容空间。
同时腾讯云安全团队会不断检测业务受攻击情况,根据行业安全现状实施扩容。
平滑的业务体验
大禹系统具备快速切换流量的能力,但某个节点出现问题后,可快速的将流量切换到其他节点上。
针对HTTP类业务,大禹系统还提供了自动更换web服务器IP的作用。
当您的web服务器被攻击出问题后可以快速更换您的web服务器外网IP,并将流量转发到新的外网IP上,保持您在被大流量攻击的情况下,业务平滑。
腾讯大禹系统技术原理
3.1腾讯大禹系统网络架构
大禹系统大致架构图如下图所示。
其中共包括如下几个主要系统:
移动加速系统、攻击防护点、源站、腾讯宙斯盾系统。
网络节点作用:
调度系统,在大禹系统中起着智能域名解析、网络监控、流量调度等作用。
源站,开发商业务服务器。
攻击防护点,主要作用是过滤攻击流量,并将正常流量转发到源站。
腾讯宙斯盾系统,是腾讯的通用DDoS防护系统,在大禹系统中会与攻击防护点配合起来,以起到超大流量的防护作用,提供双重防护的能力;另外腾讯宙斯盾系统还保护了所有腾讯的机房和系统。
3.2分布式防护点特点
腾讯云安全团队在全国多个城市搭建了高强度的攻击防护点。
分布图如下图所示:
图中的攻击防护点是腾讯云专为大禹系统搭建防护机房。
每个攻击防护点均独立部署,和其他腾讯自营业务进行完全隔离,并且为后续的防护能力升级提前进行了网络规划。
当前系统中的攻击防护点具备攻击防护影响的最小化,以及防护能力升级的便捷化。
大禹系统中的攻击防护点借助了腾讯云移动加速服务的全网流量调度能力,并针对DDoS攻击的流量特点自研了一套高效流量调度算法,将保证开发商业务的高可用性作为最重要的算法效果指标。
3.3系统适用场景
大禹系统支持如下业务场景:
支持基于TCP,HTTP协议的移动端业务;支持基于HTTP协议的业务
支持安卓/IOS系统;
支持各类主流游戏开发框架,例如cocos2d-x,unity3D等;
支持防护业界主流的各种攻击类型,例如TCPSYN、TCPACK、TCPFIN、UDP、ICMP、DNS、CC攻击等。
六.网站入侵
1.网站入侵介绍
网站入侵是指黑客利用网站和系统的各种安全漏洞对网站以及其服务器进行各种非法操作,对网站造成破坏的行为。
网站入侵轻则影响到网站的正常运行,重则可以导致敏感数据泄漏,资金被盗等,对网站的危害非常大。
2.网站后门木马说明
网站后门木马又叫webshell,一般是黑客通过漏洞入侵网站后放置的PHP,JSP等动态脚本,黑客可以通过这个后门木马持续地控制服务器,进行文件上传下载,执行命令等各种破坏行为,是黑客常用的入侵工具,对网站安全危害巨大。
3.云安全网站反入侵系统介绍
腾讯云安全团队针对常见的网站入侵行为,提供专业的网站后门木马检测等安全功能,通过专业分析模型,定期检测网站,及早发现木马并通知到您,为您的网站安全运行保驾护航。
1.LocalDNS劫持介绍
LocalDNS劫持是一种通过改变指定域名在运营商侧LocalDNS配置的正确解析指向,将该域名的解析结果重定向到劫持IP的劫持行为。
LocalDNS劫持类型可大致分为运营商缓存,广告,恶意劫持等类别。
其中运营商缓存是运营商侧为了降低跨网流量及用户访问速度进行的一种良性劫持;广告劫持是运营商或恶意团体将用户正常页面指向到广告页面或在正常页面中插入第三方广告的劫持行为;恶意劫持是指通过改变域名指向IP,将用户访问流量引到挂马,盗号等对用户有害页面的劫持。
七.DNS劫持
2.DNS劫持的影响
DNS劫持的目的就是改变业务原有的域名指向,将用户引导到劫持者指定IP,从而实现劫持者的种种目的。
DNS劫持会直接改变业务希望呈现在用户面前的信息,降低用户体验,使业务和用户的利益都受到损失。
3.云安全DNS劫持检测系统特点
1.突破运营商地域限制
采用多点部署原则,有效解决运营商DNS解析服务地域限制带来的影响,最大限度提升域名检测的准确性。
2.快速发现劫持行为
采用高效的域名探测调度策略,确保60分钟内发现域名被劫持。
3.细粒度的日志审计
为用户保存劫持IP及其省份、ISP等信息,便于后续的分析与审计,同时提供精细化的劫持分析,了解劫持威胁。
4.DNS劫持修复建议
LocalDNS劫持类型可大致分为运营商缓存、运营商广告、恶意劫持等类型,当出现运营商缓存和运营商广告等方式的劫持时,请您联系运营商进行处理;当出现恶意劫持时,请联系域名服务商或者运营商进行处理。
八.漏洞扫描
1.网站漏洞说明
网站漏洞主要指由于客户未对用户输入数据进行必要的合法性校验及安全过滤,导致了攻击者可以利用漏洞来盗取用户信息,入侵并控制网站服务器等。
2.云安全漏洞扫描服务介绍
1.全方位漏洞检测
采用分布式扫描系统,支持检测SQL注入,XSS等各种常见的网页漏洞及第三方应用漏洞,发现能力强,误报率低。
2.实时反馈
当发现存在网站漏洞时,会通过站内信件或者手机短信及时通知到您。
3.专业漏洞修复指引
通过简洁专业的修复指引,三分钟轻松修复网站漏洞。
漏洞类型
风险等级
漏洞危害
修复方案
SQL注入
高风险
恶意用户可以利用该漏洞执行任意SQL语句,可以造成如下危害:
未经过授权操作数据库中的数据恶意篡改数据库内容添加系统帐号或数据库帐号,进行提权,进而导致网站服务器被入侵,数据库数据被盗取等
在服务器端对用户提交的所有表单、参数进行合法性判断和非法字符过滤。
例如:
使用正则表达式限制输入的数据长度和类型;过滤非法字符,例如:
单引号、双引号、空格、等号等
远程任意命令执行
高风险
执行任意系统命令,例如systerm(),eval(),exec()等命令,可以导致网站服务器被入侵,服务器数据被偷取等
校验程序的参数输入,通过白名单的方式允许用户输入字符和命令
struts远程命令执行
高风险
struts.xml配置中使用${}形式来配置action的redirect地址,例如:
var=${userInput},可能触发命令执行漏洞,进而导致网站服务器被入侵,服务器数据被盗取等
修改struts.xml配置,设置${}中的参数需要编码。
如:
test=${userName}
Struts低版本
高风险
struts2.3.15.2以下版本存在任意代码执行漏洞,可导致网站服务器被入侵,服务器数据被盗取等
请将struts、xwork库文件升级到最新版,并删除旧库。
官网下载http:
//struts.apache.org/
php代码执行
高风险
执行任意php代码,可导致网站服务器被入侵,服务器数据被盗取等
禁止危险函数php.inidisable_functions="eval,phpinfo"或者对用户输入做过滤
thinkphp代码执行
高风险
可执行任意命令,导致网站服务器被入侵,服务器数据被盗取等
谨慎使用thinkphp,对于线上的Thinkphp要升级到安全版本,相关信息链接如下:
任意文件读取
高风险
泄漏服务器上的任意文件内容,暴露web服务器的文件系统结构和内容,可导致网站服务器被入侵,服务器数据被盗取等
对参数进行校验通过白名单的方式验证用户输入,同时检验路径是否在规定的路径之下,禁止跳出范围访问
nginx任意文件解析
高风险
nginx解析漏洞,危害服务器安全,导致服务器被入侵,服务器数据被盗取等
php配置文件php.ini中配置cgi.fix_pathinfo=0
管理后台对外
高风险
后台入口泄漏,可导致网站服务器被入侵,服务器数据被盗取等
1:
使用iptables限制访问权限,禁止不合法的内外网访问;2:
不允许上传文件;3:
记录并保存webserver的访问日志文件;4:
禁止使用脚本或程序管理系统文件
文件包含
高风险
程序服务器上的文件可任意读取,包含可运行木马,或其他用户上传的文件,造成服务器敏感信息泄漏
采用白名单的方式校验用户输入
对外开放高危端口(服务)
高风险
高危端口对外开发,可导致服务器被入侵,服务数据被盗取等
请关闭对外开放的端口
目录遍历
中风险
导致服务器文件泄漏
Web服务器配置中去掉非业务必要的目录浏览项
普通xss
中风险
黑客可以利用该漏洞执行任意HTML/JS代码,可导致如下危害:
窃取用户cookie信息,传播蠕虫等
将特殊字符',",>,<展示时转义为html实体
utf7-xss
中风险
黑客可以利用该漏洞执行任意HTML/JS代码,可导致如下危害:
窃取用户cookie信息,传播蠕虫等
CGI中指定Content-Type的属性为JSON
CSRF
中风险
用户敏感信息泄露
请求中添加Token或进行referrer验证
任意跳转
中风险
页面中引入非公司的URL,导致恶意钓鱼出现
控制页面转向的地方对传入的URL进行校验
CRLF头部注入
中风险
黑客可以利用该漏洞来注入HTTP响应头,攻击者可以构建任意HTTP响应,从而发起多种形式的攻击,包括:
cross-userdefacement、网络和浏览器cachepoisoning、cross-sitescripting和pagehijacking
设置HTTP响应头的代码中,过滤回车换行字符
配置不当
中风险
php错误信息回显,导致敏感信息外泄
修改php.ini配置,禁止显示错误信息和调试信息
crossdomain配置不当
中风险
配置不当,可能引入CSRF攻击
clientaccesspolicy.xml中更改allow-access-form的domain属性为域名白名单,例如:
*
源代码泄漏
中风险
源代码任意下载,可导致服务器文件泄漏,危害到服务器安全
请删除
测试文件未删除
中风险
测试或其他敏感文件对外,导致敏感信息泄漏
请删除
IIS短文件泄漏
中风险
因为IIS版本低问题,导致使用get方式可以获取web目录下的所有文件
升级并使用.NetFramework4
九.登录防护
1.登录防护说明
客户购买了腾讯云服务器,则可以通过公共网络登录并使用所购买的服务器。
其中,可能会出现一些安全风险问题,如密码泄露导致的非法用户访问云服务器,或者密码过于简单导致的被恶意探测破解等。
登录防护就是在客户登录的渠道,通过信息对比与分析,及时发现异常登录风险问题并进行告警,引导客户完成风险修复,保护客户对云服务器的所有权。
2.云安全登录防护功能介绍
1.登录流水查询
提供客户登录云服务器的流水查询功能,用户可以对比流水与自己登录行为的差异,得出是否有异常登录行为,并采取相应的安全措施。
2.暴力破解告警
通过多纬度多种手段,检测云服务器是否被尝试暴力破解其密码。
检测有异常,会通过站内信或者短信等渠道对用户进行告知。
3.异地登录告警
通过对比客户当前登录地区与日常登录地区的差异,对异地登录行为进行一定的告警。
十.网站安全防护
1、网站安全防护(WAF)说明
网站安全防护(WAF)一款通过对http请求的检测分析,为Web应用提供实时防护的安全产品。
腾讯云安全的网站安全防护主要提供以下功能:
漏洞攻击防护:
网站安全防护目前可拦截常见的web漏洞攻击,例如SQL注入、XSS跨站、获取敏感信息、利用开源组件漏洞的攻击等常见的攻击行为。
虚拟补丁:
网站安全防护可提供0Day,NDay漏洞防护。
当发现有未公开的0Day漏洞,或者刚公开但未修复的NDay漏洞被利用时,WAF可以在发现漏洞到用户修复漏洞这段空档期对漏洞增加虚拟补丁,抵挡黑客的攻击,防护网站安全。
2、网站安全防护(WAF)系统特点
实时防护:
网站安全防护可以实时阻断黑客通过web漏洞试图入侵服务器、危害用户等恶意行为;可以实时屏蔽恶意扫描程序爬虫,为您的系统节省带宽和资源。
零成本开通:
网站安全防护无需配置DNS指向及其他网络配置,一键开通,不影响业务的正常运作。
3、常见问题
Q:
网站安全防护(WAF)能够提供什么样的安全保护?
A:
网站安全防护(WAF)专门保护网站免受黑客攻击,能有效阻挡黑客拖库、恶意扫描等行为;同时在0day漏洞爆发时,可以快速响应,拦截针对此类漏洞的攻击请求。
Q:
网站安全防护(WAF)的工作原理是什么样的?
A:
网站安全防护(WAF)基于对http请求的分析,如果检测到请求是攻击行为,则会对请求进行阻断,不会让请求到业务的机器上去,提高业务的安全性,为web应用提供实时的防护。
Q:
怎样开通网站安全防护(WAF)?
A:
目前是部分开放阶段,需要邀请才能体验;如有需要可联系客服经理开通。
Q:
网站安全防护(WAF)能够防护哪些漏洞类型的攻击?
A:
网站安全防护(WAF)目前可拦截常见的web漏洞攻击,例如SQL注入,XSS跨站、获取敏感信息、利用开源组件漏洞的攻击等常见的攻击行为。
Q:
网站安全防护(WAF)能够防护哪些端口的攻击?
A:
目前网站安全防护(WAF)只支持80、8080端口的http请求,不支持https和其他端口的请求。
Q:
如何关闭网站安全防护(WAF)功能?
A:
目前是部分开放阶段,可直接联系客服经理关闭。
十一.云安全认证
什么是腾讯云安全认证?
腾讯云安全认证是腾讯云提供的免费安全认证服务,通过申请审核的用户将获得权威的腾讯云认证展示,让您的业务获得腾讯亿万用户的认可。
1)免费安全服务:
腾讯云提供多项免费安全保障,全方位为您的业务保驾护航。
具体如下:
DDoS防护:
专业的DDoS防护服务,让您远离DDoS攻击影响。
DNS劫持检测:
提供域名在LocalDNS上的解析监控,及时发现域名指向异常。
后门木马检测:
通过专业的分析模型,帮您及早发现网站后门木马。
暴力破解告警:
全方位的登录防护,防止您的服务器被暴力破解。
异地登录提醒:
全方位的登录防护,及时帮您发现异地登录行为。
服务器登录流水查询:
提供详细的登录流水,及时发现异常登录行为。
漏洞扫描:
查漏洞防黑客,为您的网站提供最贴心的保护。
组件状态查询:
轻松掌握安全加固组件的运行状态,及时修复异常组件。
网站安全防护(WAF):
精准实时的Web安全防护服务,为你的云服务保驾护航。
2)权威认证展示:
您的网站/应用将在腾讯各渠道获得专属腾讯云认证展示,让您的业务获得腾讯亿万用户的认可。
具体如下:
QQ对话框安全链接认证展示:
网站认证展示:
申请流程
1)托管腾讯云:
注册腾讯云成为腾讯云用户(如已有腾讯云账户无需重复注册),业务托管至腾讯云服务器,安装安全加固组件,并开启使用所有的云安全服务。
立即购买云服务器 (
立即开启云安全 (
2)完成备案:
若您的域名没有办理备案,请在腾讯云进行备案;若您的域名在其他服务商办理过备案,请将备案转入腾讯云。
立即备案 (
3)页面申请:
当您完成上述步骤后,请您到 管理中心>云安全>安全服务详情>安全认证>认证管理 (
4)认证成功:
认证成功后,腾讯云将在认证管理页面展示认证结果,您认证的站点将会获得腾讯云安全认证展示。
注:
1)目前暂不支持香港地域申请
2)目前暂不支持中文域名申请
申请要求
1)托管腾讯云:
您的业务需全部托管至腾讯云服务器,安装安全加固组件,并开启使用所有的云安全服务。
2)完成工信部备案:
您的业务需已获得工信部ICP备案,且备案信息需转入腾讯云。
3)业务内容合法:
您的业务内容需在法律许可范围内,无政治敏感、色情、赌博、违法违规等不合法内容和记录。
4)无安全风险:
您的网站/应用无重大安全隐患,无用户隐私泄漏、木马病毒,钓鱼欺诈等安全风险。
腾讯云安全产品介绍:
1)云服务器
产品特点
节约成本,适用多场景
1.仅需30元/月起,支持包年包月购买或按实际使用量付费方式。
2.您只需关注云服务器操作系统内容的业务运维,由腾讯云专人团队维护物理服务器,省力省心
3.云服务器提供丰富配置类型虚拟机,您可以便捷地进行数据缓存、数据库处理与搭建web服务器等工作,快捷方便
简单易用,界面直观
4.您可以快速搭建专属服务器,配置操作简单,轻松搭建专属您的各种应用
5.提供直观可视化的管理页面,开发者可方便地进行服务器日常管理
2)云数据库
产品特点
便捷易用,一键搞定
1.开发者可快速在腾讯云中申请云服务器实例资源,通过IP/PORT直接访问MySQL实例
2.完全无需再安装MySQL实例,一键迁移原有SQL应用到腾讯云平台,节省人力成本
3.完全兼容MySQL协议,可便捷通过基于MySQL协议的客户端或API访问实例
多维度监控,全方位保证安全
4.每天免费为您的数据提供多点备份
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 腾讯 云安