在阿里政务云上安全产品众多,用户在面对众多安全产品时很难选择或匹配自己的场景,现将主要的安全产品进行对比分析,汇总介绍主要安全产品的描述和使用建议

安全类产品对比介绍

以下表格为各主要安全产品的对比介绍,您可仔细核对“设备及软件名称”栏中的描述是否和您的需求符合,如果符合则再参照优先级进行选择使用。其中优先级为:
  • 必备:强烈推荐购买,如无此产品则可能存在较大安全隐患
  • 极高:近期安全热点,如不选择则可能存在安全隐患
  • :安全攻防重点,如果对系统架构较为熟练则可以自行配置
  • :对业务本身没有影响,但缺少部分业务功能
表 1. 优先级:必备 云产品
序号 设备及软件名称 技术参数/配置/性能 优先级
1

态势感知(可视化分析,告警预警)

  • 规格:支持云服务器总和40台。
  • 能力:实现安全告警,病毒云查杀、网站后门查杀、异常登录提醒、肉鸡检测、数据外泄检测、安全可视化、日志分析、威胁情报。
必备
2 Web应用防火墙
  • 正常业务请求QPS:5000
  • 业务带宽(云外/云内):130 Mbps / 200 Mbps
  • 支持10个域名防护
必备
3

云堡垒机(访问管理必备)

规格:支持50资产、50并发 必备
4

安骑士(云主机安全防护,安全防护核心)

  • 防护云主机数量40台。
  • 病毒查杀:多病毒检测引擎支持一键隔离网站后门、病毒文件,并已支持自动查杀部分主流勒索病毒、DDoS木马。
  • 漏洞管理:覆盖Windows、Linux、Web-CMS漏洞,并支持一键修复。
  • 基线检查:支持弱口令、系统、账户、权限、Web服务器等安全基线一键核查,提升主机安全加固防线。
  • 入侵检测:大数据驱动,规则引擎结合机器学习算法、关联安全检测模型保障威胁检测能力。
必备
5

数据库审计(数据库业务必备)

  • 支持5个数据库实例。
  • 计策略的要素:
    • where:IP地址、用户名、端口号、数据库类型;
    • who:实例、schema;
    • what:表、字段、视图、包;
    • when:起始\结束时间、执行时长;
    • how:客户端工具;
    • Range:修改、删除或查询的行数
    • ResultSet:返回结果集
    • other:关键字、客户端工具和应用、错误码、关联表数等
  • SQL注入检测与告警:检测SQL注入行为,并进行告警。
  • 风险登录检测与告警:检测来自危险客户端IP、MAC、客户端程序并在可以时间使用可以数据库用户登录的行为,并进行告警。
  • 风险操作检测与告警:检测来自特定用户(或用户组)、针对特定数据表的高危SQL操作,并进行告警。
  • 敏感语句检测与告警:支持敏感对象检测,信任语句不告警、敏感语句告警。
必备
6

云防火墙(安全基础组件)

  • 缺省支持ECS数量200台,最大支持扩展到5000台。
  • 防护流量带宽200Mbps,支持扩展至2Gbps。
  • 支持防火墙安全控制,同时控制入流量和出流量的访问。
  • 支持基于域名的访问控制。
  • 支持ECS颗粒度的微隔离,支持业务关系可视、可控、可管。
  • 支持入侵防御(IPS)功能。
  • 支持安全事件日志,流量日志和系统日志,保存6个月。
  • 支持互联网到业务的访问流量分析。
  • 支持业务主动外联分析。
  • 支持被阻断访问的分析。
必备
表 2. 优先级:极高 云产品
序号 设备及软件名称 技术参数/配置/性能 优先级
1

DDoS高防(抗D是近期安全重点)

保底30G,弹性到300G 极高
2

网站威胁扫描(网站业务强推)

  • 包含10个二级域名/IP的扫描授权。
  • 内容风险每日周期性检测量10万URL。
  • 支持网站深度漏洞检测和应急漏洞检测。
  • 支持网页内容风险监控,包括网页篡改、垃圾广告、挂马暗链等,支持格式包括图片、文本、源码。
极高
3

加密服务(国密加密,政务业务数据加密必备)

  • 加密服务基于国家密码局认证的硬件加密机,提供了云上数据加解密解决方案,用户能够对密钥进行安全可靠的管理,也能使用多种加密算法来对云上业务的数据进行可靠的加解密运算
  • 数据通讯协议:TCP/IP
  • 并发连接:64
  • SM1加密运算性能:4000次/秒
  • SM2签名运算性能:3000次/秒
  • SM2验签运算性能:2000次/秒
  • RSA2048公钥运算性能:3500次/秒
  • RSA2048私钥运算性能:400次/秒
  • 对称算法:SM1/SM4/DES/3DES/AES
  • 非对称算法:SM2、RSA(1024~2048)
  • 摘要算法:SM3、SH1/SHA256/SHA384
极高
表 3. 优先级:高 云产品
序号 设备及软件名称 技术参数/配置/性能 优先级
1 证书服务 HTTPS证书(推荐使用HTTPS增加安全性)
2 安全管家 应急版、护航版、企业版(根据业务规模选择不同类型)
3 渗透测试 阿里专家提供渗透测试(可以帮助客户监测出自己无法发现的漏洞)
表 4. 优先级:中 云产品
序号 设备及软件名称 技术参数/配置/性能 优先级
1 爬虫风险管理 有需求可考虑
2 实人认证 有需求可考虑
3 内容安全 有需求可考虑

客户案例一:基础安全案例

某政府单位部署了该单位的内部应用,用于处理内部工作事物,其应用通过VPN访问。对于这类场景我们可以采用以下思路来规划安全产品:

此业务所需云产品非常简单,仅2台虚拟机和1台负载均衡即可完成,访问流量每天不超过500DAU,且其上的内容并不属于保密和不可丢失范畴。

基础安全产品:Web应用防火墙、安骑士这两个安全产品即可满足需求,VPN可以采购阿里云VPN来满足需求。

客户案例二:互联网政务案例

某政府单位部署了该单位的对外职能网站,有互联网客户会对此网站上的应用访问和使用,且此功能具备一定的社会效应,故有较高的安全需求,对于这类场景我们可以采用以下思路:

此业务场景略微复杂,由虚拟机、数据库、对象存储、负载均衡等组成,所以我们需要将后台业务和前台业务做严格的安全区分,在划分不同的功能区后,后台通过堡垒机和VPN登录管理,前台着重注意防篡改和网络攻击。

  • 基础安全产品:Web应用防火墙、安骑士、堡垒机
  • 如果需要网站不被攻破和防篡改等则还可以加选:DDoS高防、网站威胁扫描、云防火墙
  • 如果数据库有审计需求则可以加选: 数据库审计

客户案例三:高等级安全架构案例

某政府单位将业务核心应用部署在阿里政务云上,其中架构较为复杂,对安全性有极高的要求,并且要求不能有业务中断的场景,对于这类场景我们可以采用以下思路:

此客户使用阿里云产品超过20款,且用量较大,并且对安全有极高的需求。在这种情况下不能仅仅使用基础安全防护的产品,一定需要根据自身业务、架构等特点,从架构层面和流程层面做严格的规划。

安全产品基本属于全选,但更重要的是选择阿里云的专家服务:
  • 专职售后团队:选择阿里云的至尊售后服务来做大客户售后支撑
  • 专职安全团队:阿里云安全专家服务来对整体架构的安全性做评估
  • 专职合规团队:阿里云合规团队为此类架构提供合规咨询和测评支撑
  • 阿里政务云重保服务:阿里云关键客户重保业务可以让客户在关键时期(特殊时间段)得到全方位的安全保障