云上安全架构设计及解决方案.pptx

1、云上安全架构设计及解决方案安全趋势分析安全趋势分析XX云安全能力及云盾产品体系 基础安全解决方案 业务安全解决方案 内容安全解决方案 SAP上云安全及混合云安全解决方案 典型案例目录外部安全威胁形势严峻702861500000095105914774502000000 2053501 2500000 2533331100000015000003000000201320142015201620172013-2017 年移动互联网恶意程序捕获数量迅速增年移动互联网恶意程序捕获数量迅速增长长2016-2017 DDoS攻击流量峰值持续走高攻击流量峰值持续走高Web应用攻击形势严峻应用攻击形势严峻24

2、03436969245501675820000 201112430176389846761801000030000400002013年2014年2015年2016年境内被篡改政府网站总数2017年境内被篡改网站总数2013-2017 境内被篡改网站数居高不境内被篡改网站数居高不下下2017年以来部分重大影响漏洞内部安全漏洞问题严重漏洞数量逐年大幅增长7分以上高危漏洞占比39.3%39.5%的漏洞可公开获取利用代码2017年3月，开源框架Struts 2存在高危漏洞，全球网站受影响 2017年5月，Jenkins存在Java反序列化漏洞 2017年9月，蓝牙协议漏洞BlueBorne攻击影响数十

3、亿蓝牙设备2017年10月，KRACK攻击可劫持Wifi WPA2通信数据2017年12月，Windows自带安全软件曝出远程代码执行漏洞 2018年1月，Intel Meltdown和Spectre影响数十亿设备23.2%的漏洞没有解决方案后果：安全事件频发重大网络攻击事件利用NSA泄露工 具的Wannacry勒 索病毒爆发，全 球150个国家30 万终端受影响。2月，GitHub 遭 遇有史以来最强 DDoS 攻击，峰 值流量1.35Tbps。国际黑客组织“无 敌舰队”向国内金 融机构发起DDoS 勒索攻击。勒索病毒Bad Rabbit“坏兔子”席卷全球。重大数据泄露事件2017年10月2

4、017年11月美国第二大信用 机构Equifax被黑，1.43亿客户数据 遭泄露。CSO、CIO、CEO依次下 台。Uber发现其于 2016年泄露了5700万名乘客和 司机的信息。CSO被解雇。华住集团旗下酒 店开房记录疑似 泄露，涉及共计约5亿条客户数据。媒体曝光 Facebook五千万 客户数据被特朗 普竞选团队的数 据分析公司剑桥 分析获得，并进 行违规滥用。股 价大跌。2017年5月2017年6月2017年7月2018年3月2018年8月2018年2月数据泄露趋势分析：根据美国网络安全分析机构 Risk Based Security（RBS）发布的2017年数据泄露报告，2017年全

5、球数据泄露事件5207起，比 2016年增长了25.5%；全年数据泄露达到78.9亿条，比如2016年增长87.8%。根据Verizon 2017年数据泄露调查报告，75%的数据泄露是外部 网络攻击造成的，25%是由内部威胁造成的。网络攻击趋势分析：勒索攻击成为网络攻击的一种新常态，攻击方式不断花样翻新。针对关键基础设施的网络攻击升级，攻防两端的对抗将加剧。网络安全新常态推动政企建立重保常态化，应急小时化的安全体系。网络安全法设立7个章节，包括总则、网络安全支持与促进、网络运行安全、网络信息安全、监控预警与应急处置、法律责任，以及附则。共计79条规定要求。第一章总则第二章网络安全支持与促进第六

6、章法律责任 第七章附则第五章监测预警与应急处置第三章 网络运行安全第四章网络信息安全第一节 一般规定第二节 关键信息基础设施的 运行安全第37条 关键信息基础设施数据在 境内存储，确需出境须安 全评估第21条 网络安全总体要求第31、32和39条 国家对于关键信息基础设 施运营者的监管第2228条 网络运营者的 安全职责第4042条 个人信息保护第43、44和46条 个人与组织的 信息安全职责第47条 内容安全民事处罚刑事处罚供应链安全、漏洞管理、实名认证、网络安全事件应急预案国家实行网络安全等级保护制度。网 络运营者应当按照网络安全等级保护 制度的要求，履行安全保护义务网络运营者应当对其收集

7、的用户信息严 格保密，并建立健全用户信息保护制度。第五章第五章 监测预警与应急处置（监测预警与应急处置（8条规定）条规定）定义网络安全监测预警与汇报机制网络运营者应当加强对其用户发布的 信息的管理，发现法律、行政法规禁 止发布或者传输的信息的，应当立即 停止传输该信息，采取消除等处置措 施，防止信息扩散，保存有关记录，并向有关主管部门报告。网络安全法2017.6.1正式施行关键信息基础设施的运营者在中华人 民共和国境内运营中收集和产生的个 人信息和重要数据应当在境内存储。第六章第六章 法律责任（法律责任（17条规定）条规定）罚款、暂停相关业务、停业整顿、关闭 网站、吊销相关业务许可证或者吊销营

8、 业执照网络安全等级保护基本概念基本概念p 制度要求中中华人民华人民共共和国网和国网络络安全法安全法：“国家实行网网 络安全等级保护制度络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露 或者被窃取、篡改”。p 地位和作用 国家信息安全保障工作的基本制度、基本国策；开展信息 安全工作的基本方法；促进信息化、维护国家信息安全的 根本保障。网络安全等级保护的适适用范用范围围：中中华人华人民民共和共和国国境内境内 的计算机信息系统 网络安全等级保护的主主管单管单位位：公公安机安机关关负责网络安 全等级保护

9、工作的监督、检查、指导监管力监管力度度：二二级及级及以以上上系统均纳入公安机关监管范围，其中三级系统至少每其中三级系统至少每年年测评测评一一次次 严重性严重性：发现不符合网络安全等级保护有关管理规范 和技术标准要求，公安机关应当通知其运营使用单位 限期整改，并发送网网络安络安全全等等级级保护保护限限期整期整改改通知通知 书书，逾期不改正的，给予警告并向其上级主管部门 通报；在限期内拒不改进的，由公安机关处以警告或 者停机整顿停机整顿关注要点关注要点执法力度不断加强1 国家广播电视总局责令“今日 头条”网站永久关停“内涵段 子”客户端及相关公众号【内容违规】2 BOSS直聘被网信办责令整改【实名

10、认证，违法违规信息】3 汕头某公司未及时履行网络安全义务，网警依据网安法责令 改正【等级保护】4 重庆一网络公司未留存6个月用户登录日志被网安查处5 四川一网站因高危漏洞遭入侵被罚6 宿迁网警成功查处全省首例违反网络安全法接入违规网 站案【违法违规信息】7 山西忻州市某省直事业单位网站不履行网络安全保护义务被处罚【等级保护】不做安全的后果经济损失、民 事和刑事处罚、公司倒闭业务中 断数据泄 露网页篡 改安全趋势分析XX云安全能力及云盾产品体系云安全能力及云盾产品体系 基础安全解决方案 业务安全解决方案 内容安全解决方案 SAP上云安全及混合云安全解决方案 典型案例目录云安全与传统安全差异1：云

11、上责任共担，共建安全账账 号号 认认 证证 授授 权权 审审 计计客户客户XX云云地域（地域（Region）可用区（可用区（AZ）XX骨干传输网骨干传输网基础设施基础设施物理设备物理设备计算计算存储存储网络网络飞天分布式云操作系统飞天分布式云操作系统ECS资源抽象和资源抽象和 控制控制网络（虚拟网络）网络（虚拟网络）主机（虚拟机）主机（虚拟机）应用应用数据数据账账 号号 认认 证证 授授 权权 审审 计计RDSOSS大数据大数据云盾安云盾安 全服务全服务&云云安全安全 市场市场保障云平台安保障云平台安 全全为客户提供保为客户提供保 护云上系统的护云上系统的 安全能力安全能力云上系统的安云上系统

12、的安 全管理责任全管理责任利用云服务商利用云服务商 提供的安全能提供的安全能 力构建安全防力构建安全防 护体系护体系云安全与传统安全差异2：云上比云下更安全In 2018,the 60%of enterprises that implement appropriate cloudvisibility and control tools will experience one-third fewer security failures.2018年，实施适当的云可见性和控制工具的企业中，有60的企业安全故障将 减少三分之一。Through 2020,public cloud infrastruct

13、ure as a service(IaaS)workloads will suffer at least 60%fewer security incidents than those in traditional data centers.到2020年，与传统数据中心相比，公共云的安全能力将帮助企业减少至少60%的安全事件。Through 2022,at least 95%of cloud security failures will be the customers fault.到2022年，至少95的云安全故障将是由于客户的错误导致的。Source:Is the Cloud Secure?

14、Gartner,2017Cloud environments are more secure than organizations think.The perceived loss of control may be a good thing or a bad thing.More mature cloud service providers are constantly driven by customers to provide strong levels of security while ensuring compliance with all applicable regulatio

15、ng.Organizations can be,and probably will be,more secure in the cloud and ultimately lead to lower risk.Source：Assessing the Risk：Yes，the Cloud Can Be More Secure Than Your On-Premises Environment，IDC，2015云计算比企业想像中的更安全。企业可以或将在云上获得更安全的保护。云服务商安全要求更高云服务商经受过更多安全 考验云服务商有更好的基础设 施XX云安全 中国云服务商的安全领导者2017中国云服

16、务商安全评估第一第一（IDC，2017）XX云云全球进入S ST TR RO ON NG G P PE ER RF FO OR RM ME ER R（FORRESTER，2017）丰富的行业安全解决方案较为完善的安全服务体系高可用自动化的安全服务模式PCI DSS（支付卡行业数据安全标准）2016.05SOC 审计 2016.04HIPPA 2016.10MPAA2016.08TRUSTe2017.05ISO 270012012.07CSA STAR 2013.05ISO 200002016.03ISO 223012016.04德国C5数据保护 2017.12Trusted Cloud会员20

17、17.01SCOPE创始会员2017.02工信部云服务能力测评 等级保护测评（4级）2016.10CNAS云测评大满贯 2018.01PDPA2017.04MTCS T32016.062016.11发起“数 据 保护 倡 议”2015.07倡议发布XX云安全 白皮书 2017.09白皮书中央网信办党政部门云服 务网络安全审查2016.09隐私盾 2018.3ISO 90012017.11全球数据安全领域公认的领先云服务商合合规领域的规领域的“全全满满贯贯”合合规时间领规时间领先其他主先其他主流流云服云服务务商商 XXXX云云电子政电子政务云首务云首批批通通过中央过中央网网 信信办云安全办云安全

18、审查（增审查（增强强级）级）作作为公安部为公安部首个首个试点试点通通过过云等级云等级保保 护四级测评护四级测评XX云安全 中国云服务商的安全领导者保护中国超过40%的网站每天成功防御36亿次攻击防护国内50%大流量DDoS攻击17年帮助用户修复超过648万漏洞17年全年79次安全应急响应为超过100万万企业提供安全服务XX云安全 中国云服务商的安全领导者安全核心能力产品合作|渠道合作|白帽子生态|云安全数据API云安全生态云安全生态云安全服务云安全服务Security Service虚拟化安全租户隔离|补丁热修复|逃逸检测硬件安全硬件固件安全|加密计算|可信计算物理安全机房容灾|人员管理|运维

19、审计|数据擦除云产品安全ECS安全|OSS安全|RDS安全|大数据平台安全安全解决方案安全解决方案Security Solutions等保合规安全解决方案政务云安全解决方案新零售安全解决方案互联网金融安全解决方案混合云态势感知解决方案游戏安全解决方案SAP上云安全解决方案ZStack安全解决方案数据防泄漏安全解决方案大数据安全解决方案企业预防勒索解决方案云安全产品与能力云安全产品与能力Security Products&Cabability安全众测 等保测评 漏洞扫描服务 安全培训 安全评估 代码审计网站安全监测服务 安全加固 安全保障服务 现场值守服务 安全通告服务 安全应急演练服务 PCI

20、 DSS合规咨询数据安全数据安全加密服务|SSL证书|数据库审计|数据盾|文件盾|KMS数据分类|全栈加密|数据脱敏 数据防泄密（DLP）密钥管理应用安全应用安全WAF|网站威胁扫描系统Web应用防护 黑白盒安全测试 应用威胁评估安全运营安全运营态势感知|安全管家|堡垒机态势感知|操作审计|应急响应 蓝军渗透|威胁情报RAM|操作审计(ActionTrail)强访问控制|帐户认证PAM权限管理|日志审计身份认证身份认证业务风控业务风控实人认证|内容安全|智能风控|防爬 业务反欺诈|金融风控实人认证|内容风控网络安全网络安全DDoS高防IP|游戏盾|云防火墙 SCDN|容器安全虚拟专用网络(VP

21、N)|专有网络(VPC)防火墙|DDoS防御容器安全主机安全主机安全安骑士入侵检测|漏洞管理 自动宕机迁移 安全基线检查云盾产品与服务Family态势感知态势感知安全管理安全管理堡垒机堡垒机安骑士安骑士主机安全主机安全云防火墙云防火墙网络安全网络安全高防高防IPXX云云.云盾云盾安全众测安全众测应用安全应用安全Web应用防火墙应用防火墙证书服务证书服务数据安全数据安全加密服务加密服务业务安全业务安全风险识别风险识别内容安全内容安全安全管家安全管家数据库审计数据库审计 数据脱敏数据脱敏实人认证实人认证容器安全容器安全数据防泄漏数据防泄漏网站威胁扫描网站威胁扫描等保合规等保合规应急响应应急响应安全

22、培训安全培训安全服务安全服务安全安全CDN可以纯线下部署，不依赖飞天，支持可以纯线下部署，不依赖飞天，支持Vmware、华为、华三的云安全防护、华为、华三的云安全防护XX云的安全能力输出全景基础安全基础安全构筑防御体系构筑防御体系 满足合规要求满足合规要求业务安全业务安全引入对抗能力引入对抗能力,增强运营健壮性增强运营健壮性数据安全数据安全保护核心资产保护核心资产,降低风险水平降低风险水平高防高防W WA AF F安骑士安骑士态势感知态势感知云防火墙云防火墙容器安全容器安全漏洞扫描漏洞扫描S SC CD DN N堡垒机堡垒机数据库审计数据库审计S SD DL L安全众测安全众测安全管家安全管家

23、数据防泄漏数据防泄漏 数据脱敏数据脱敏 加密服务加密服务 证书服务证书服务账号安全信息防爬活动作弊风险识别风险识别 虚假交易人脸识别实人认证实名核验身份核验身份核验 四要素验证OCR涉黄涉政垃圾文本内容安全内容安全 广告识别情报服情报服务务手机情报重点热点下一个热点游戏服务器电高高防防高防高防游戏服务器防护游戏服务器防护p 高性能DDoS防护p 秒级攻击响应互联互联网网互联网互联网p 精准全面：100+种攻击防护应用 场景口防护口防护企业互联网出口DoS攻击游戏服务 器企业互联网出口云外企业云外企业IDC出出p 清洗外部进入的Dp 防止内部主机服务器感染被 黑客控制发起DDoS攻击p 进行业务

24、流量模型学习金融、电商、门户类网站防金融、电商、门户类网站防护护p 业界最高1Tbps性能DDoS防护p 秒级攻击响应p 精准全面：100+种攻击防护政府金融互联网+云外用户商高防高防高防高防XX云高防保护业务高可用适用行业DDoS高防进入全球第一阵营全球第一阵营，国内唯一一家电商、金融、企业网站被电商、金融、企业网站被DDoS攻击，业务中断攻击，业务中断政府政府互联网出口网出口防护，门户与开放平台防护游戏上线、推广、活动促销媒体、电视、跨年晚会，重大直播创业初期被竞争对手恶意攻击、勒索移动APP被恶意注册、刷单、刷流量被恶意注册、刷单、刷流量WAF保护网站安全Y漏洞规则更新黑客&机器爬虫牛刷

25、票、商品秒杀、薅羊毛党作弊云WAF市场份额大中华地区第一大中华地区第一，亚太地区第二亚太地区第二缓解CC攻击、避免业务瘫痪0DA防恶意爬虫、短信炸弹、网站防黄 暴力破解等InternetDNS解析恶意访Web业务服务器SLB、ECS、IDC机房 问过滤浏览器、手机、搜索引擎防数据泄露、防Web攻击威胁情报库安骑士主机入侵防护提供安全最后一道防线找漏洞实施入侵系统破坏、资源窃取黑客安骑 士 漏 洞 扫描 基 线 检查 一 键 修复 可 疑 进 程 云查 杀 入 侵 行 为分 析 异 常 秒 级告 警 进 程 实 时阻 断 木 马 一 键隔 离 日 志 回溯层层布防，全面解决沦陷态势沦陷态势IOC

26、A AK K泄露泄露恶意软件主动外联主动外联云上数据泄露.肉鸡检测肉鸡检测风险态势风险态势IOR攻击态势攻击态势IOA以 IOC、IOA、IOR 三个维度，全面建立检测体系 网络攻击网络攻击一览无遗一览无遗 150150+检测模型检测模型 覆盖覆盖云产品云产品、主流操作系主流操作系统统端口开放过度0 0 D Da ay y主机配置主机配置云产品配置弱口令弱口令.暴力破解暴力破解SSSSH H、R RD DP P、F FT TP P、S SQ QL LS Se er rv ve er r、S SM MB B、M MY YS SQ QL LSQL注入X XSSSS攻击攻击CSRFCRLF代码执行拒

27、绝服务.W We eb bS Sh he el ll l22态势感知全面检测云上安全威胁云防火墙全方位控制网络流量S SaaaaS S化产品形态化产品形态-使用简单，即开启即使用-内置集群，稳定可靠，性能可平滑扩展统一的策略管控统一的策略管控-全局视角，统一管理。-全方位控制互联网到业务的南北向 流量，及业务间的东西向流量。智能的入侵阻断智能的入侵阻断-无需客户编辑复杂的检测规则。-根据云上业务特点，内置虚拟补丁-精准的智能阻断入侵。全网可视全网可视-全网流量可视。-网络拓扑可视。-业务访问关系可视。X安全组：拒绝安全组：允许SSH登录RDP登录不经过堡垒机堡垒机VPC/经典网络价值：（1）登

28、录统一（2）身份鉴别（3）权限分配（4）操作管控（5）传输控制（6）行为审计（7）满足等保合规堡垒机提供云上运维统一入口持续监控资产变化网络漏洞扫描系统（AVDS）全面检测网站风险有效评估业务风险快速响应修复验证l 自主常态扫描实时监控l 黑客渗透思维l 自适应资产深度挖掘l 检测并发现网站安全风险，包括漏洞、涉政暴恐色情 内容、网页篡改、挂马暗 链、垃圾广告等l 自适应，智能的检测规则l 完整详细的修复方案l 主动修复验证l XX云安全运维专业咨询安全趋势分析XX云安全能力及云盾产品体系 基础基础安全解决方案安全解决方案 业务安全解决方案 内容安全解决方案 SAP上云安全及混合云安全解决方案

29、 典型案例目录“互联网+”业务形态及风险分析黑客入侵造成网页篡改、数据泄露、资金损失和公 关危机黑客入侵涉黄、涉政、涉恐文字、图片或音视频导致的监管 风险恶意内容黑客发起DDoS攻击导致业务中断DDoS攻击垃圾注册、刷粉、刷票、刷 积分、黄牛党、羊毛党等欺 诈行为造成的业务损失业务欺诈投票、积 分、红 包、抢票用户生成 内容（U GC）新闻、敏 感数据、资金在线服务移动App漏洞，仿冒移动App客户端服务端浏览器流量劫持互联网+基本威胁场景威胁场景威胁场景安全解决方案安全解决方案被DDoS攻击导致业务瘫痪防DDoS方案：DDoS高防、游戏盾被频繁爆漏洞引发公共危机 被黑客入侵导致数据泄露、资金

30、损失防入侵方案：WAF、安骑士、先知计划、态势感知、安全管家服务网站内容需要加密传输，防钓鱼、防流量劫持 敏感数据需要加密存储；敏感数据需要识别 分类分级、保护、审计；数据加密方案：证书服务、加密服务数据防泄漏、数据脱敏因为账号被盗、垃圾注册、拖库撞库、营 销作弊、羊毛党黄牛党导致业务损失业务风控方案：WAF集成的风控能力，风险识别系统因为文字、图片、视频内容违规导致监管风险内容安全方案：内容安全安全运维审计和管理安全运维方案：堡垒机、数据库审计每天定期对服务器和每天定期对服务器和 部署应用进行漏洞扫部署应用进行漏洞扫 描、配置和弱口令检描、配置和弱口令检 查，防范入侵；查，防范入侵；VPC业

31、务和逻辑处理ECSSLB负载均衡WAFOSS安骑士安骑士高防高防IP应用扫描应用扫描运维人员安全管家安全管家SSL证书证书堡垒机堡垒机移动用户内容安全内容安全互联网公司云安全体系架构：基础安全MySQL数据库数据库审计数据库审计安全管家服务协助用户安全管家服务协助用户 对系统进行日常安全监对系统进行日常安全监 控和应急响应；控和应急响应；对用户自定义头像和昵对用户自定义头像和昵 称进行违禁识别；称进行违禁识别；每周对所有域名扫描漏每周对所有域名扫描漏 洞并输出扫描报告；洞并输出扫描报告；对开发和运维人员进对开发和运维人员进 行合理授权和操作行行合理授权和操作行 为审计；为审计；防御扫描、防御扫

32、描、WEB攻攻 击、击、刷接口、刷红包，刷接口、刷红包，可可按地域封禁请求；按地域封禁请求；加密加密HTTP通信，通信，APP 强制校验强制校验HTTPS证证 书，书，提高提高APP破解难破解难 度；度；将所有业务域名都置将所有业务域名都置 于高防之后，并按照于高防之后，并按照 业务安全等级分配到业务安全等级分配到 多组高防，防御来自多组高防，防御来自 黑客和竞争对手的黑客和竞争对手的DD oS攻击，保证业务正攻击，保证业务正 常可用；常可用；调用人脸识别服务，增调用人脸识别服务，增 加风控能力，增强用户加风控能力，增强用户 体验；体验；实人认证实人认证对新注册的用户通过智对新注册的用户通过智

33、 能风控进行打标，针对能风控进行打标，针对 性投放营销费用；性投放营销费用；风险识别风险识别态势感知态势感知对业务整体风险进行可对业务整体风险进行可 视化管控，安全的大脑视化管控，安全的大脑云防火墙云防火墙管理互联网到业务的管理互联网到业务的 南北向访问策略和业南北向访问策略和业 务与业务之间的东西务与业务之间的东西 向微隔离策略，主动向微隔离策略，主动 防护恶意入侵行为防护恶意入侵行为(IP S)；数据库数据库SQL注入、风注入、风 险操作等数据库风险险操作等数据库风险 操作行为进行记录与操作行为进行记录与 告警；告警；第 I 阶段，构建基础防御体系安骑士服务器安全安全运维安全组账户管理RA

34、M访问控制Actiontrail审计日志快照备份 云盾基础版数据安全 基础安全WAF高防高防IP应用扫描应用扫描 风险识别风险识别态势感知安全管家安全管家内容安全内容安全堡垒机实人认证实人认证SSL证书证书数据库审计第 III 阶段，构建业务安全体系第 II 阶段，构建安全运营体系网络安全or边界安全Web安全态势监控安全基础建设云上安全三部曲云防火墙安全审计数据库审计VPC订票系统RDS堡垒机Web应用 防火墙安骑士高防IP态势感知运维人员数据库审计ECS信息发布RDS安骑士ECS线路查询RDS安骑士数据库审计ECS认证系统RDS安骑士数据库审计ECS专线防火墙I ID DC C内网数据中心

35、内网数据中心前置机数据采 集站点系 统闸机系 统地铁专网地铁专网地铁运营系统专线网闸用户基础安全方案：等保合规证书服务云防火墙安全领域安全领域服务名称服务名称网络安全高防IP网络安全云防火墙主机安全安骑士应用安全Web应用防火墙数据安全证书服务安全审计数据库审计堡垒机安全管理态势感知安全趋势分析XX云安全能力及云盾产品体系 基础安全解决方案 业务安全解决方案业务安全解决方案 内容安全解决方案 SAP上云安全及混合云安全解决方案 典型案例目录业务安全方案：风险识别注册登录支付领券订票 业务-服务端XX云风险识别-服务端垃圾账户识别垃圾账户识别活动作弊识别活动作弊识别邮箱风险画像邮箱风险画像虚假地

36、址识别虚假地址识别 api识别结果正常可疑恶意极简接入式产品服务：以API为基础的SaaS云平台服务能力，面向企业用户提供快速接入快速风控的赋能。XX云-风险识别（Smart Anti-fraud）业务行为业务运营/安全运营识 别 结 果对环境无依赖，对公有云、专有云、混合云 甚至自建机房客户均支持服务用户业务行为数据毫秒级风险分析，甄别风 险行为与正常行为识别准确率高于95%（内部场景测试数据）风险率下降90%（内部场景测试数据）腰斩传统安全审核人力成本黑产情报动态更新多源黑产情报数据 多年众多业务场景风险沉淀样本位置网络亿级IP库，拥有20多项标签画像 地理位置冲突分析时序分析时间序列异常

37、检测 多维区分异常高频行为行为/关系垃圾注册行为特征模型预测 关系网络团伙发现量化风险风险分值 风险标签 建议动作数据输入手机号 邮箱IP操作时间 UA设备token注册风险识别主要针对企业在会员账户管理过程中出现的大量恶意用户风险注册风险识别主要针对企业在会员账户管理过程中出现的大量恶意用户风险，XXXX云风险识别通过行为异常、风险网络、地理位置等策云风险识别通过行为异常、风险网络、地理位置等策 略模型识别量化风险程度，助力于企业平台有效打击垃圾注册风险，减少因垃圾账户引发的平台资损及声誉品牌影响略模型识别量化风险程度，助力于企业平台有效打击垃圾注册风险，减少因垃圾账户引发的平台资损及声誉品

38、牌影响注册风险识别业务安全方案：风险识别注册风险识别放行阻断语音实名实人业务安全方案：爬虫风险管理Anti-bot Service（爬虫风险管理），致力提供从Web、APP到到 API接口的一整套全面的恶意接口的一整套全面的恶意Bot防护解决方案防护解决方案，避免某一环节防 护薄弱导致的安全短板。基于反向代理的部署结构，以SAAS的产品形态的产品形态面向用户，用户在 控制台可以选择合适的对抗策略来识别及管控bot流量，保证正常 流量到达源站。WebAppAPIAnti-bot Service提供完整的端解决方案 防止单一环节方案缺失造成的防控短板云上标准化接入模式，共享海量威胁情报，恶意流量不

39、会到达源站威胁系统可用性高效的对抗响应服务和可视化的数据报表业务安全：爬虫风险管理防爬方案PC/H5APP黑白名单精准访问控制频率统计封禁威胁情报SDK防护机器学习算法SDK采集（非必须）JS采集（自动种入；非必须）策略引擎源站业务外部策略引擎签名合法性校验风险设备识别（猫池牧场等）黑灰产设备指纹情报设备级别的限速浏览器挑战：JS挑战 交互挑战：验证码滑块生态风控能力云盾保护xx航空在线订票业务，每月挽回经济损失上千万 OTA以及黄牛党采用变换IP、伪造乘客信息等手段，使用自动化工具批量爬取xx 航空低价机票并恶意占座，导致xx航空官网低价票买不到，高价票卖不动，上座 率降低，造成的业务损失每

40、月都在上千万人民币。由于黑客攻击手段极其隐蔽，传统安全防御手段完全失效，而一些国外的防爬技 术只能拦截50%左右的恶意爬虫。解决方案 云盾基于威胁情报和机器学习算法构建了多层智能防爬系统，综合使用爬虫库及 恶意指纹库等威胁情报、人机识别、基于频率的统计分析、精准访问控制、用户 行为分析等技术，有效防御恶意爬虫，并且通过持续的技术升级对抗黑产。客户收益无需修改任何代码，5分钟接入云盾防爬系统。分析出xx航空网络流量的85.7%是恶意爬虫流量，拦截了几乎全部恶意流量。xx航空官网客户满意度提高，航班上座率大幅提升，每月挽回业务损失数百万元。安全痛点实人认证实人认证（人脸识别）（人脸识别）实人认证实

41、人认证支持微信支持微信H5接入接入支持纯服务端接入支持纯服务端接入人脸验证人脸验证支持手机支持手机app接入接入支持纯服务端接入支持纯服务端接入支持线下设备离线接入支持线下设备离线接入人脸识别人脸识别1:1人脸识别人脸识别1:N支持纯服务端接入支持纯服务端接入支持专有云部署支持专有云部署实人认证产品基于人脸识别1：1算法或1：N算法的衍生出不同的产品变种，主打实人认证产品功能（比对公安的底库）和离 线授权sdk（license下发）的接入方式，同时价格和服务在市场有很强的竞争优势。支持手机支持手机app接入接入支持线下设备离线接入支持线下设备离线接入业务安全方案：实人认证业务安全方案：实人认证

42、实测流程：实测流程：1、人脸活体检测2、证件正反面照片3、OCR算法自动回 填信息4、比对权威库出综 合结果活体检测身份证照 片OCR算法认证结果痛点：痛点：面对众多管理人身份真实性和流动性的问题（比如小区的进出、企业职工进出工作楼、教育行业学生安全管理等），传统做法是耗费人力（面签核实、登记等）、定 制复杂的流程（打卡、下发证件等）来解决，费时费力。今年国家政策对流动性人口的管理进一步加强，因此这个痛点需要尽快解决。解决方案：解决方案：基于人脸识别1：1或1：N的生物识别算法，可以实现对人身份的验证，线下进一步结合硬件实体，比如人脸闸机、访客机、门禁考勤机等硬件设备，轻松便捷的实 现身份核实

43、、门禁出入，可广泛应用于视频监控、出入口控制、门禁等主要安防领域，有效解决政府、企业、公民个人等对于人员流动性基本管控、真实身份认证、可疑身份确认等安全性、便捷性。办公楼宇政府机构教育行业酒店前台业务安全：实人认证一体化硬件需求大在智慧小区、建筑工地等领域，我们提供人脸出入小区、人脸单元门禁、人脸开锁等能力；在企业考勤领域，我们提供人脸出入单位门禁、人脸考勤 打卡能力；在教育园区领域，我们提供人脸出入校园门禁、电子班牌 考勤能力；在交通出行领域，我们提供人脸识别出入地铁、车站、机 场闸机能力；地产 楼宇企业 园区教育 园区交通交通 出行出行大在宾馆、网吧、ktv等公安监管领域，我们提供人证比对

44、、无证比对等对身份真实性要求验证等能力；宾馆 网吧业务安全：实人认证适用行业和场景底库建设底库建设静态活体检测静态活体检测客户痛点：写字楼、小区楼的入口装有门禁，需要刷 卡才能进入，但经常会有忘记带卡的情况 发生，另外遗失卡也会产生安全问题。我们的方案（如右图）：采集和录入人脸底库，通过静态、动态人 脸识别技术，比对留在底库的人脸，找到 你是谁，刷脸进门，再也不担心忘带或者 丢失门禁卡的问题。适合行业场景：住宅小区单元门禁 写字楼门禁 政府机关门禁 景区门禁比对通过比对通过实人认证离线sdk人脸闸机场景案例客户痛点：传统访客预约都是手写登记，效率不高，也无法确认访客身份证真实性问题。我们的方案

45、（如右图）：通过对访客的提前录入人脸，与身份证图 像信息精准比对，从而辨别持证人与证件 是否为同一人。并且访客系统可连接人脸识别门禁系统，录入人脸与门禁打通设置进出权限，即可 进入指定区域。适合行业场景：住宅小区单元门禁 写字楼门禁 政府机关门禁1.被访人被访人 手机发起手机发起 通知通知2.访客收访客收 到到信息，信息，上传人脸上传人脸3.访客到访客到 达现场，达现场，进行人脸进行人脸 识别识别4.识别成功识别成功 后，自动通后，自动通 知知被访人被访人 5.进入访问进入访问 环节环节6.访问结束，访问结束，登记离开登记离开实人认证离线sdk访客机场景案例XX网络科技网吧实人认证安全痛点安全

46、痛点国家规定凡进入网吧从事上网的消费者均须凭个人有效证件进行登记，经网吧管理人员审 验后方可上机，无有效证件及18周岁以下未成年人一律不予接纳。XX网络科技是网吧管理平台ISV，在给网吧和用户提供丰富便捷服务的同时，也需要严格 遵守监管要求，同时面临因客户忘带身份证、身份证消磁、人证不一致等问题带来的业务 风险和损失。解决方案解决方案XX网络科技2C的App“去上网”是一款为新时代网民打造的一款网吧应用APP，提供网吧 搜索预定、身份证绑定、扫码上机、在线充值、红包福利等服务。XX网络科技在“去 上 网”App中引入XX云实人认证系统，在会员注册授权身份绑定、扫 描二维码上机等环节进行生物识别

47、人脸比对身份认证，扫码开机+实人认证一站搞定。客户收益客户收益XX云实人认证具有专业和权威性，授权对接公安部身份证系统，帮助客户满足国家对网 吧行业的监管要求，避免业务风险，获得网吧的信赖。忘带身份证？找去上网啊！“以后上网再有不用带身份证了”，刷脸扫码上网成为“去上 网”App的一大亮点，显著提升竞争力，吸引更多的上网用户使用。业务安全方案：二要素验证业务需求验证结果二要素二要素 验证验证结合云盾的身份验证能力、及优秀供应商的权威数据，为客户提供姓名+身份证的真实性验证。用户 确认结果 反馈发起 调用协议 弹出合规性好通道稳定用户打扰低业务安全方案：三要素验证业务需求验证结果三要素三要素 验

48、证验证结果 反馈发起 调用结合云盾的身份验证能力、及优秀供应商的权威数据，为客户提供姓名+身份证+手机号的真实 性验证。用户 确认协议 弹出合规性好通道稳定用户打扰低同类产品对比以二要素验证为例，合规性对比：市面一般产品XX云产品用户信息采集调用API用户信息采集用户确认调用API结果返回无用户授权！不合法！违反网络安全法结果返回弹出用授权协议安全趋势分析XX云安全能力及云盾产品体系 基础安全解决方案 业务安全解决方案 内内容安全解决方案容安全解决方案 SAP上云安全及混合云安全解决方案 典型案例目录内容安全方案：安全架构CDN通用能力文本产品嵌入OSS视频云WAF内容安全API自有渠道广告识

49、别色情识别高级定制能力文本游戏枪支过滤动漫卡通识别指定人脸识别无意义弹幕过滤竞品评论过滤结合行为策略管控自定义黑名单应用场景垃圾弹幕/评论色情直播/视频暴恐涉政直播/视频广告图片/视频暴恐识别视频/图片色情识别广告识别辱骂识别暴恐识别不良场景视频/图片语音自定义关键词方言识别热词增强识别语音色情识别暴恐识别辱骂识别呻吟声识别爆咋声识别广告识别快速迭代体系数据回流数据打标模型自学习数据扩源数据贡献度筛选自动测试内容安全方案：线上场景会员区域昵称 头像 签名聊天区域语音聊天内容文字聊天内容论坛区域发帖内容资讯转载内容直播区域直 播 封 面 直 播 内 容 直播弹幕商城商品内容商品评论内容风险色情涉

50、政暴恐诈骗信息垃圾广告辱骂竞品内容知识产权侵 权不良内容（自杀、暴 力、纹身等）无意义内容灌水违禁品（武 器、毒品）儿童邪典刷单文本图片视频语音XX云安全帮助XX网盘规避内容安全风险以云存储为核心的互联网服务提供商，集社交联络、文件共享、即时交流等功能于一体。在网络安全法的高压严管下，需要加大力度对违法内容进行管控；保证网盘不被用于传 播、下载、分享违规内容。解决方案借助内容安全的机器学习技术，为XX网盘提供图片、文字等内容风险识别服务，帮助用户降低 色情、暴恐、涉政等违规风险。图片：识别云盘存储的图片及视频内容（用户自截帧），实现内容风险量化度量。文字：识别云盘文件夹名称及文本内容。客户收益