客户是负责国家级新媒体产品的设计、研发、维护等工作，重点打造 APP、移动报道指挥系统、全媒体聚合平台、新媒体专线等融媒体产品。因公安部要求，需在 “2020 年两会期间” 做好系统的安全保障工作，我方重点保障客户 APP 系统的安全性，并做好相关应急预案，确保整个系统在两会召开期间能正常安全稳定运行。

袋鼠云运维服务团队应客户需求，制定了安全护航专项方案，具体方案如下：

一、安全护航准备

护航准备期间主要目的是通过内部自查的方式来了解自身安全现状、主动发现安全风险、提高安全防护能力、完善安全监控、减少被攻击面。袋鼠云采取了以下措施：

（一）网络安全架构梳理

发现未受安全保护的区域，然后对其进行加固，加固后的网络安全架构示意图如下：

• DNS 解析：使用 DNSPod 提供解析服务，该解析平台拥有 200G 的 DNS 攻击防护能力，并开通账号双因子认证登录功能，严防域名被恶意篡改。
• 互联网区域：在公网入口增加 DDOS 高防和 WAF 产品提高防护能力。本次护航中我们使用可抵御 300 Gbps 攻击防护的 DDoS 高防 IP，来抵御互联网服务器遭受大流量的 DDoS 攻击；使用 Web 应用防火墙来防御 SQL 注入、XSS 跨站脚本、常见 Web 服务器插件漏洞、木马上传、非授权核心资源访问等 OWASP 常见攻击，并过滤恶意 CC 攻击，避免网站资产数据泄露，保障网站的安全与可用性。同时在公网 SLB 上只授权允许 WAF 回源流量进行访问。

（二）资产梳理

对直接暴露在互联网下的资产进行严格防护。梳理过程中发现有部分 ECS 服务器使用 EIP 方式直接访问公网，属于高风险区域。我们提供的解决方案是取消这些服务器的 EIP，使用 NAT 网关出公网，屏蔽服务器直接暴露于公网。

（三）全面基线自查

对服务器 / 数据库账号、口令、权限、策略、日志、漏洞、操作安全等项进行核查加固。此次护航中我们通过堡垒机来进行账号的最小化授权管控与审计，通过云安全中心来实时监测基线、漏洞，对异常告警及时修复。

（四） 安全策略优化

对安全组、RDS 白名单、RAM 访问策略、OSS 访问策略等进行梳理。对无策略限制或者策略开放范围过大的 ip 进行优化，做到最小化授权。

（五） 数据保护

对数据库数据配置自动备份策略，每日定时备份数据。对 ECS 服务器设置好自动快照策略，定时快照以防止勒索病毒带来的巨大损失。

（六） 组建应急小组

为了在面临网络攻击时能快速响应，启动应急预案调度技术人员，在护航期间临时成立应急小组。

（七）全面的安全监控

对互联网出 / 入口网络流量、业务访问、服务器漏洞基线、数据库 SQL 等内容进行全面实时的监控预警，及时发现异常。

二、护航保障

护航期间，袋鼠云组织安全团队为客户提供全过程的安全护航工作，期间提供每日安全巡检、应急响应以及攻击阻断与策略优化相关工作。

每日安全巡检主要查看互联网出 / 入流量、DDOS 高防、WAF、SLB、云安全中心等各个重要监控指标状态有无异常，并对有异常的事件进行上报处理。

对安全预警实时响应通报并对攻击事件进行分析研判，期间我们对大量的 CC 攻击进行多次的策略优化工作对异常访问进行精准访问控制，及时封堵攻击减轻攻击带来的业务影响。

三、护航总结

护航结束后，我们对期间产生的 CC 攻击、web 入侵、异常扫描等攻击进行汇总统计：两会期间客户系统总共遭受到 700000000 + 次网络攻击。通过实时的安全预警，及时地进行防护策略优化，所有攻击均被成功拦截阻断，未对业务造成损失，两会安全护航圆满结束。

随着云计算行业的快速发展，云上企业遭受的网络攻击形式层出不穷，如果企业未建立全域的安全防护能力，没有提升安全意识，遭受攻击是在所难免的。袋鼠云可为企业提供安全加固、渗透测试、漏洞扫描、应急响应、等保、安全管家等一站式安全服务，为企业云上安全保驾护航！

想了解或咨询更多有关袋鼠云大数据产品、行业解决方案、客户案例的朋友，浏览袋鼠云官网：https://www.dtstack.com/?src=bbs

同时，欢迎对大数据开源项目有兴趣的同学加入「袋鼠云开源框架钉钉技术群」，交流最新开源技术信息，群号码：30537511，项目地址：https://github.com/DTStack