用戶對云計算缺乏安全感是我們從事云安全工作以來一直從客戶角度所獲得的一個直觀感受，而這種不安全感的產生固然和云計算的多租戶的技術特點有關系，但在數據就是生產力的當下，這種不安全感可以進一步解讀為對數據上云的安全顧慮。

　　先簡單介紹下阿里云的業(yè)務現狀。得益于云計算的低成本、高彈性和按需付費模式的產業(yè)特點，目前基于阿里云云計算服務所構建的網站用戶已達到60多萬，這個其中不但有中小網站站長也有各類行業(yè)用戶，其中行業(yè)用戶涉及金融、政府、游戲、中小企業(yè)、電商等各個領域，考慮到政務行業(yè)在中國不但是云計算的推動者也是使用者，今天我將從政務行業(yè)用戶視角解讀下對制約其選擇和使用云計算服務的安全困惑以及我們的安全實踐。

　　作為一個云服務商，我們在和政務客戶交流中被問的最多的就是云端的數據安全如何保證，用戶是否有效隔離，最好每個級別的地方政府、甚至政府里面的每個機構都能給他一個單獨的物理空間、物理資源去放他的數據，這種對云端數據安全的要求可能源自于對云計算多租戶業(yè)務模式的安全顧慮，但這種安全要求到底是不是政務類客戶最實際的安全需求呢？我們看一組數據：

　　根據CNCERT發(fā)布的《2013 年我國互聯網面臨的安全形勢和威脅報告》中“第五點、政府網站面臨威脅依然嚴重，地方政府網站成為“重災區(qū)”。報告中的數據顯示我國境內被篡改網站數量為 24034 個，這些網站中有90%為省市級以下的地方政府，據CNCER分析這些入侵事件發(fā)生一方面是由于地方政府網站存在技術和管理水平有限、網絡安全防護能力薄弱、人員和資金投入不足等問題，另一方面是越來越多的有組織高級持續(xù)性威脅（APT）攻擊事件發(fā)生在我國政務類網站上，記得2013年 3 月 20 日，美、韓軍事演習期間，韓國多家廣播電視臺和銀行等金融機構遭受歷史上最大規(guī)模的惡意代碼攻擊，導致系統癱瘓，引發(fā)韓國社會一度混亂。韓國媒體不約而同的把攻擊的發(fā)起說成是中國干的，后來經過CNCERT的協助調查，才澄清了相關謠言，但是APT攻擊帶來的攻擊目標聚焦、攻擊手段隱蔽、攻擊規(guī)模巨大等特點的確不是每個地方政府靠有限的人力、物力能夠應對的。所以如何運用有限的人力、物力防御基于篡改網站數據為目的的安全攻擊就是當下電子政務類業(yè)務最為迫切的安全需求。

　　根據我們云平臺的安全運營數據，篡改網站數據攻擊途徑主要有以下兩種：

　　1、 利用Web安全漏洞寫入Webshell后門；

　　2、 通過破解主機管理賬戶密碼實現入侵；

　　前者我們月均掃描發(fā)現高危漏洞近100萬、檢測出webshell后門10000個以上；后者月均防御密碼暴力破解行為10億次以上。從入侵的途徑上可以得出一個結論，真正要有效的防御網站入侵，需要全面部署應用、系統、網絡等方面防入侵產品或服務，那傳統安全和云安全分別是如何實現上述安全需求呢？

　　很明顯，云安全的解決方案具有低成本和安全運營的優(yōu)勢，但政務行業(yè)在面對大規(guī)模的復雜模式DDoS攻擊和以國家為單位發(fā)動的APT攻擊面前，安全防御的考量對象就不應該僅僅局限于產品和服務的安全攻防，而更應該補上IT架構這個考量對象。下面以一個實際發(fā)生的DDoS流量攻擊防御案例來做下說明，如下圖所示：

　　這是今年2月發(fā)生在阿里云的典型DDoS攻防案例，19點14分，在這個晚飯時間點，黑客發(fā)起DDoS攻擊，攻擊類型為SYN大包、攻擊流量從30Gbps迅速上升到60Gbps，在19點20分黑客察覺攻擊無效后變換策略，攻擊類型變?yōu)镾YN小包攻擊、攻擊流量從200萬PPS升到到700萬PPS，在19點27分黑客察覺到攻擊依然無效后再次變換策略，攻擊類型變?yōu)镃C攻擊、攻擊流量表現為每秒HTTP請求升到到5萬。但依然被我們云安全服務（云盾）自動防御成功。我今天講這個案例是想請大家注意到當前來自于互聯網大流量攻擊的特點，因為這樣的攻擊我們每周就要防御數千起：