当前位置:
首页
> 最新报道
网站安全,每天都是G20!——微联科技G20峰会安保纪实 发布日期:2016-09-30 字体:[ ]

举世瞩目的第十一届G20杭州峰会顺利闭幕。在本次峰会保障工作中,微联科技为承建的浙江省政务服务网集约化站群、浙江省政务服务APP、浙江省政府网站、杭州市政府网站等提供了安全保障支撑,协助用户一起,抵御了无数次黑客和境外势力的各种进攻,确保了大会期间各网的稳定运行。

在峰会结束后,微联科技收到了来自浙江省政府和杭州市政府电政办发来的感谢信。

确保网站安全是场旷日持久的任务,9月29日晚,微联科技浙江政务服务网项目总监罗玉泉分享了本次G20峰会网站安全的保障工作,以下为文字实录。

关好门窗,安全的台风来了

各位好,我是微联科技罗玉泉,作为微联科技G20峰会网站安全保障小组的副组长,主要负责在G20期间具体落实网站安全方面的保障工作。

我今天分享的主题是《网络安全,每天都是G20》。

进入9月后,秋风有点大,莫拉蒂刚走,鲇鱼又来了,刚刚过去的二十国集团领导人杭州峰会,也让我们真真切切的感受到了网络安全的台风。

台风来了,要做安全的胖子

其实从7月份开始,G20峰会网络安保的各项工作就已经开始了,我们也陆续接到浙江地区客户的安全保障需求:

浙江地区的安全保障任务重,时间紧,全国重点保障100个站点,浙江省政府门户,浙江政务服务网,杭州市政府,市政府除杭州市政府7家,19个厅委办局,55个区县政府和委办局。

同时全国其他地区的网站安全工作都要在9月份到来之前完善,时间不可谓不紧。

810测试

我们的网站系统作为安保核心,肩上的安全责任重大,为了在资源协调和信息共享上更好的应对G20的安保工作,在金总牵头下,公司成立了G20网站安全保障小组,金总担任组长,从开发部、测试部、安全部门、售后项目部门抽调了精兵强将,专门针对此次峰会做好网站安保工作。

同时省府也成立了安全小组,还有个很酷的任务代号:810测试。重点保障省府门户,政务服务网,集约化平台的安全,包括我们公司在内的参与保障单位有19家,有阿里云、移动、电信、中电长城这些省府的支撑单位,也有公安部领衔的国家队,我们是作为重点保障对象参与其中。安全的台风来了,接下来的两个月,整个810测试团队和公司团队并肩作战,荣辱与共,关窗闭门,共同守护G20网络安全的大船。

安全天团VS黑客军团

整个安全保障就是我们的安全天团对抗黑客军团的过程,敌人在暗处,我们在明处,整个保障可以分三个阶段:首先是安全扫描、发现问题;其次是查缺补漏、杜绝短板;最后是态势感知,攻防对抗;

1、 安全扫描、发现问题;

这个阶段主要是梳理自家的服务应用清单,发现和暴露存在的问题,微联在安全运维上有一个强大的秘密武器,就是Web运维实时监控平台。

该平台是一种基于白名单的木马特征识别系统,实时在系统内部对各个站点服务器进行扫描,它能根据水印特征对可疑文件进行预警,并实时通知和推送管理人员的微信。

该平台是对各种安全厂商的外部扫描系统是一种有效的补充。此时浙江100多个重点保障网站和1000多个地区性网站已在此系统的全面保障覆盖之下。

同时我们还配合安全公司进行服务器的扫描,应用扫描,网络扫描。当时扫描的阶段也是比较有意思的,区公安局、市公安局、省公安局、公安部,自身安全公司都在进行扫描,使用不同公司的不同扫描产品,可以说是浙江省的安全大检查。

每天都会收到很多的安全整改报告,我们汇总筛选,合并,再进行整改,整改也不紧限在报告的网站目录上,好的安全建议,我们都会在内部分享,制定标准,应用到其他项目上,过程中沟通畅通,信息互通,没有整改死角,取各家所长。

但是,同时我们也发现,整个网络安全形势是不容乐观的,网络访问不安全、主机防护能力不够,应用防护体系没有,安全意识不够,责任不清,缺少安全应急方案,没有定期安全扫描,僵尸网络肉鸡行为也都被发现,安全形势,暗流涌动。这给我们敲响了警钟,也让我们在后面工作中更加认真严谨。

2、查缺补漏,杜绝短板;

找到问题就好办了,就怕找不到,我们针对发现的问题做了针对性的6点调整:1、网络层面进行安全组划分,网路隔离;

2、主机防护上部署云盾,升级操作系统补丁,防篡改软件;

3、加强服务器安全管理及降权,清理应用不常用账号,加强账号密码管理和校验;

4、网站服务最小化,高危应用来不及整改的先下线;

5、数据灾备,数据备份,应用备份,服务器延迟备份,万一出问题,我们服务也不会中断;

6、补充应急方案,做好应急演练6、整改应用安全漏洞,每次整改结束之后再进行扫描,迭代数次,整个体系的短板越高,安全的系数也就越高。

这个过程对我们是个考验,我们驻场服务的有24个同事,公司支持团队30人(其中8人负责移动端),现场24小时轮班的有13人,那段时间每天都在加班,更新部署测试,每个环节都不能少。

安全团队每天分析几百G的日志文件,要克服定制开发带来的升级困难;内网环境更新不了,我们就去现场,客户不配合,我们还要认真沟通;所有的工作都给安全让步,集约化上的项目有的还在实施,要去掉waf限制,开白名单,我们一票否决,我们要为集约化平台上的2000个站点负责,1999个站点上了waf,一个不上,系统也是相当于在裸奔。

鬼知道那段时间大家都经历了什么,但是现在想,一切都是值得。

3、模拟实战,应急演练;

经过几轮的扫描和修复,国家队组织了几波实战演练,主要就是找来大内高手帮我们检验一下成果,对系统进行模拟攻击,找到隐匿没有发现的问题,组织系统的应急演练,攻击发现的演练,攻破后的处理演练,有应急方案在手,平时虽然用不上,但是到关键时候,你知道应该找谁怎么做,这就是为什么应急预案这么重要的原因,预案在手,才不会手忙脚乱。

4、态势感知,攻防对抗

大考的日子来了,那段时间反而心理比较有底,峰会期间我们都坚信能顺利度过,这种自信来自于我们前期的充分准备。


我们在各地布置了24小时值班,省府值班我参与的,省府的大屏幕每天几十个人盯着,整个安全的态势在这里都可以被感知。

行军床搬到了值班室,天津来的郭sir,连着10几天吃睡住在会议室,每天早上在隔壁卫生间穿着大裤头冲凉,我们每天都翻墙去看fghk的网站,3天周期,都等着晚上发布了,松一口气,再交班。

应急电话每次想起来我们都非常紧张,幸好那个电话响起每次都是查值班岗.

1亿次攻击,封禁了3.16万个恶意IP,零故障,零中断,有几次小乌龙事件,也是虚惊一场:比如很多异常IP指向到武汉,后来排查是阿里在武汉的高防应用,半夜发现可疑文件,结果是渗透测试时残留下的弹壳,测试分析每天日志发现,有类似hacker的用户名登录,结果是合法进行注册的等等,G20把每个人的神经都崩的很紧,变得敏感。
G20晚会的时,保叔塔那边燃起的烟花,我们站在楼上远远的看着,也是感概颇多,要给团队点赞,给自己点赞。

未完待续,网站安全再起航

G20峰会结束了,作为微联人,承担了这份安全保障的责任,并且顺利的完成了任务,我感觉非常的自豪,是我职业生涯的一段荣耀。

经过这样一次的安全洗礼,微联在产品及安全体系建设上都向前迈了一大步,很多经验转化成我们项目的标准。

浙江省政府为微联科技发来的感谢信(点击查看原图)

杭州市政府电政办为微联科技发来的感谢信(点击查看原图)


Produced By 大汉网络 大汉版通发布系统