政务云 电子政务外网的一些安全思考

 电子政务外网

举例：国家统计局，总局、地方分局等

以前是自建系统，自己有对外门户系统。和总局孤立，需要vpn互通。没有统一管理。——当然，由于各自为政，好多站点都是第三方外包开发，漏洞很多，非常容易遭受攻击。

 

政务云以后现在是统一管控，统一的云服务提供。老的电子政务系统都统一迁移上去。

现在所有地方上的页面底层用的数据库、中间件也都是一样。并且所有的站点登录几乎都是统一身份认证。（所有站点的登录，都全部是一样的！！！！）

分局和总局的安全性是一样的。分局不需要考虑公共的安全问题，分局和总局用的一套系统、组件。

 

因此在护网的适合，从分局打到总局：困难，因为安全级别都一样；现在能够直接通过RCE漏洞进去的很少。

只能从增值业务、第三方系统、开放平台泄露的员工vpn账号等去做突破。

 

此外，政务云站点部署底层都是虚拟机，只能先做虚拟机逃逸，再去横向扩散，进一步加大了攻击难度。（公有云云主机，EIP，对于门户站点，性能要求低的，使用的虚拟机，少数对于高性能要求的其他场景有可能是物理机。）

 

 

致远OA、帆软等RCE，本质上没有区别。