2019年京洲市政务云安全事件分析与建议.pdf

1、事件现象：气象局门户网站被入侵，并被篡改了首页B局、C局、D局信息系统也发生数据泄露黑客攻击NGFW/IPSSLBVMVMVMDBDBDBWeb攻击SLBVMVMVMDBDBDB用户访问流合法用户WAF设备系统攻击web访问DDOS设备Web攻击系统攻击web访问1、黑客发起多种攻击2、出口安全设备阻断了部分攻击，没挡住struts23、直接进入到气象局系统，入侵成功4、通过气象局主机进行内网扫描5、发现很多有漏洞的系统和主机6、进一步入侵A/B/C/D局事件回放事件原因分析（技术）气象局门户网站存在Struts S2-045漏洞云平台安全设备策略比较简单云租户之间的东西向隔离不太完善多个租户

2、的web系统、Db存在漏洞事件原因分析（综合）云租户信任云平台安全对政务云的安全监管不足云服务商急于推广，轻视了安全业务上云流程缺乏安全评估安全加固建议理清安全责任边界，制定业务上云流程和安全规范；构建全局监控能力，总览政务云安全；构建三级等保安全资源池，为租户提供自服务安全能力；保障云平台通过等级保护三级测评；云监测应用监测系统监测DB监测安全事件监测可用性监测知识库云审计DB审计web审计SOC运维审计云服务渗透测试安全加固云上合规API接口监测预警防御日志采集加固天池云安全运营平台用户管理权限管理统一认证安全市场订单与计费云平台安全视图大数据安全分析云租户安全视图云防御VFW抗DDOSV

3、PN网络层防病毒EDR主机层WAF防篡改应用层云堡垒管理层云控制平台云资源调度云平台管理云资源平台自助开通智能引流统一管理租户隔离云平台自身防御动态云租户安全威胁总览云上合规符合性分析全局感知京洲政务云安全态势为京洲政务云构建三级等保安全资源池SAAS模式（软件即服务模式）NFV镜像模式玄武盾态势感知云WAF漏洞扫描云DB审计安全审计防篡改云堡垒机云防火墙云租户按需自助选用为京洲政务云提供业务上云全生命周期服务等保V2.0定级和上云安全评估业务系统上云需求安全加固和等保建设方案业务上线前流程云安全监测扫描云安全审计分析云安全实时防御业务上线后流程按需申请云资源和云安全资源云安全策略指导安全工单流程业务上线流程等保预测评服务评估系统原有漏洞提供安全加固建议构建安全拓扑架构落实安全架构，定制安全策略，协助业务上线实时扫描监测动态防御阻断及时审计分析天池已经成功对接：