客户负责国家级新媒体产品的设计、研发、维护等工作，重点打造APP、移动报道指挥系统、全媒体聚合平台、新媒体专线等融媒体产品。因公安部要求，需在“2020年两会期间”做好系统的安全保障工作，我方重点保障客户APP系统的安全性，并做好相关应急预案，确保整个系统在两会召开期间能正常安全稳定运行。

袋鼠云运维服务团队应客户需求，制定了安全护航专项方案，具体方案如下：

安全护航准备

护航准备期间主要目的是通过内部自查的方式来了解自身安全现状、主动发现安全风险、提高安全防护能力、完善安全监控、减少被攻击面。袋鼠云采取了以下措施：

1) 网络安全架构梳理

发现未受安全保护的区域，然后对其进行加固，加固后的网络安全架构示意图如下：

DNS解析：使用DNSPod提供解析服务，该解析平台拥有200G的DNS攻击防护能力，并开通账号双因子认证登录功能，严防域名被恶意篡改。

互联网区域：在公网入口增加DDOS高防和WAF产品提高防护能力。本次护航中我们使用可抵御300 Gbps 攻击防护的DDoS高防IP，来抵御互联网服务器遭受大流量的DDoS攻击；使用Web应用防火墙来防御SQL注入、XSS跨站脚本、常见Web服务器插件漏洞、木马上传、非授权核心资源访问等OWASP常见攻击，并过滤恶意CC攻击，避免网站资产数据泄露，保障网站的安全与可用性。同时在公网SLB上只授权允许WAF回源流量进行访问。

2) 资产梳理

对直接暴露在互联网下的资产进行严格防护。梳理过程中发现有部分ECS服务器使用EIP方式直接访问公网，属于高风险区域。我们提供的解决方案是取消这些服务器的EIP，使用NAT网关出公网，屏蔽服务器直接暴露于公网。

3) 全面基线自查

对服务器/数据库账号、口令、权限、策略、日志、漏洞、操作安全等项进行核查加固。此次护航中我们通过堡垒机来进行账号的最小化授权管控与审计，通过云安全中心来实时监测基线、漏洞，对异常告警及时修复。

4) 安全策略优化

对安全组、RDS白名单、RAM访问策略、OSS访问策略等进行梳理。对无策略限制或者策略开放范围过大的ip进行优化，做到最小化授权。

5) 数据保护

对数据库数据配置自动备份策略，每日定时备份数据。对ECS服务器设置好自动快照策略，定时快照以防止勒索病毒带来的巨大损失。

6) 组建应急小组

为了在面临网络攻击时能快速响应，启动应急预案调度技术人员，在护航期间临时成立应急小组。

7) 全面的安全监控

对互联网出/入口网络流量、业务访问、服务器漏洞基线、数据库SQL等内容进行全面实时的监控预警，及时发现异常。

护航保障

护航期间，袋鼠云组织安全团队为客户提供全过程的安全护航工作，期间提供每日安全巡检、应急响应以及攻击阻断与策略优化相关工作。

每日安全巡检主要查看互联网出/入流量、DDOS高防、WAF、SLB、云安全中心等各个重要监控指标状态有无异常，并对有异常的事件进行上报处理。

对安全预警实时响应通报并对攻击事件进行分析研判，期间我们对大量的CC攻击进行多次的策略优化工作对异常访问进行精准访问控制，及时封堵攻击减轻攻击带来的业务影响。

护航总结

护航结束后，我们对期间产生的CC攻击、web入侵、异常扫描等攻击进行汇总统计：两会期间客户系统总共遭受到700000000+次网络攻击。通过实时的安全预警，及时地进行防护策略优化，所有攻击均被成功拦截阻断，未对业务造成损失，两会安全护航圆满结束。

随着云计算行业的快速发展，云上企业遭受的网络攻击形式层出不穷，如果企业未建立全域的安全防护能力，没有提升安全意识，遭受攻击是在所难免的。袋鼠云可为企业提供安全加固、渗透测试、漏洞扫描、应急响应、等保、安全管家等一站式安全服务，为企业云上安全保驾护航！