互聯網系統案例以及改進要求

一、典型案例回顧

（一）變更操作不當

20XX年12月1日，某系統的項目組發現其雲上系統歷史數據丟失，經查，由於另一項目組人員於11月25日執行數據刪除操作時誤刪除了該系統的歷史數據所致。由於該系統曾將數據備份到雲硬盤，並做了定期快照，通過快照數據恢復找回了歷史數據。

（二）未與關聯繫統有效協同應急

20XX年12月4日，聯通互聯網線路故障導致公有云聯通線路異常，某系統在應急處置過程中，將互聯網出訪通道從聯通地址切換至其他運營商地址，由於未進行關聯繫統協同應急，切換後的地址不在對端應用白名單範圍內，導致應用報“IP地址白名單校驗失敗”錯誤，經再次調整出訪地址後恢復。

（三）租户端網絡容量不足和配置缺陷

20XX年8月30日，某系統的用户通過互聯網辦理業務緩慢，經查，由於當天為學校新學期報到日，當天業務量約為平時的3.5倍，其申請的公有云帶寬被佔滿，導致交易緩慢。

20XX年12月6日，某租户連接私有云的PLA線路故障，導致業務受到影響，經查，由於該租户專線通道未配置BFD探測（雙向轉發檢測），無法實現故障通道的自動切換。

（四）安全風險意識不夠導致安全事件頻發。

20XX年9月11日，安全團隊在日常監控中發現某租户賬號下的三台虛機命中木馬。經查，因租户未經WAF防護將關鍵業務接口直接暴露在互聯網上，且缺失相應的權限校驗，導致黑客可直接利用該接口進行木馬植入。事後通過銷燬該集羣，徹底根除該木馬的威脅。

20XX年9月16日，安全團隊在日常監控中發現某租户賬號下的一台虛機命中木馬，經查，租户將3389端口經過映射後直接暴露在互聯網上，且登錄密碼為弱密碼，導致虛機被暴力破解成功後植入木馬，事後通過銷燬該虛機，徹底根除該木馬的威脅。

20XX年12月10日，安全團隊在日常監控中發現某租户賬號下的一台虛機命中木馬，經查，該事件為租户擅自對外開放非標端口服務，未經WAF防護，導致風險敞口直接對互聯網暴露。事後通過銷燬該虛機，徹底根除該木馬的威脅。

20XX年12月27日，某租户私自將未備案的域名通過外部DNS解析到公有云的互聯網地址，導致其地址所在的整條線路被運營商封禁。

二、風險提示及改進要求

針對上述典型案例，公有云運管中心組織了專題討論研究，在《關於進一步加強公有云上部署應用系統運維規範的函》（公有云運管中心〔20XX〕14號）基礎上，進一步明確了以下改進要求：

（一）加強配置和變更管理

項目組應加強配置管理，雲上系統應嚴格按照《建行雲產品設計指引及使用約束》（附件2）規範落實系統配置，應制定相應流程對配置進行增刪改等全流程管理，保證運維人員熟悉瞭解所轄系統配置。公有云租户控制枱、運維堡壘機的賬號權限按照最小必需原則配置。加強變更管理，系統變更內容要經過變更管理部門審核，變更操作要雙人複核，歷史變更要有記錄可供查詢。

（二）落實系統數據備份

項目組制定所轄系統的數據備份策略並落實數據備份實施工作，要求備份範圍涵蓋業務數據、配置數據、軟件介質等，能夠涵蓋系統恢復所需要的所有數據，保證備份完整；根據根據業務要求制定合理備份週期，滿足恢復需要；定期對備份數據進行恢復驗證，保證備份有效。可使用雲硬盤快照、對象存儲等產品對數據進行備份，如果在雲服務器自行安裝部署數據庫，注意做好數據庫備份工作。

（三）推進應用監控

項目組應建立並完善應用層面數據、交易、日誌等監控體系，對數據完整性、交易成功率、日誌關鍵字等重要指標異常實現主動告警。

公有云已上線應用監控系統，可為租户提供應用監控、日誌監控及相關管理功能，用户手冊請見附件3，接口規範請見附件4，請項目組積極完成相關接口改造，制定應用監控納管計劃，儘快納入公有云應用監控系統。

（四）加強應急協同

項目組應定期重檢應急預案，重點檢查並演練與關聯應用系統及公有云運管中心的協同場景，如涉及IP地址白名單等場景，需保證應急場景下本系統地址切換與關聯應用系統的白名單同步更新。

（五）優化公網及專線網絡配置

項目組完善租户端監控指標和告警策略配置，定期檢查包括租户端帶寬等資源使用情況，確保資源容量滿足運行要求。

1.對於公有云網絡產品如負載均衡、彈性公網IP等，注意設置流量下限、上限監控告警。

2.對端連接為私有云的專線通道

（1）對於29位掩碼的專線通道，應開啟BFD探測，保證故障通道自動切換，並將專線通道的宂餘模式設置為負載均衡模式。

（2）對於30位掩碼的專線通道，應儘快確定時間窗口，將專線通道改造為29位掩碼，開啟BFD探測，並將專線通道的宂餘模式設置為負載均衡模式。

2.對端連接為其他外聯單位的專線通道

（1）對於29位掩碼的專線通道，應儘快與外聯單位明確是否開啟BFD以及專線通道的宂餘模式，並約定切換策略。

（2）對於30位掩碼的專線通道，如確定不開啟BFD，則通道不具有故障自動切換能力，需將通道宂餘模式設置為主備模式，保證通道的手動切換能力。

（六）強化安全意識和安全管控

1. 除通過WAF開放的業務通道以及通過龍堡壘開放的管理通道外，禁止租户私自對互聯網開放端口和服務，如確有特殊需求，一事一批；

2.彈性公網IP（EIP）禁止直接和雲主機綁定用於業務或管理入口，如確有特殊需求，一事一批；

3.暴力破解是目前互聯網上最常見也最有效的攻擊手段，務必提高口令安全強度，規避此類攻擊風險；

4.實時關注建行雲安全產品發送的告警信息和漏洞信息，並實時進行跟蹤和處置；

5. 禁止使用NAT網關新建端口轉發規則的方式實現互聯網入訪；

6.嚴禁將未備案的域名指向公有云IP地址。