一、网络安全检查主要工作内容
1、前期自查
对平台的日常安全运维包含以下两个周期的任务
① 按周提交安全隐患报告
② 按月进行漏洞扫描,渗透测试,日志审查,篡改监测,挂马监测,钓鱼监测,可用性监测,敏感信息监测并提交报告
2、整改复查
通过前期自查发现的问题,在规定的周期内进行整改,整改后及时进行复查保证问题得到解决。
3、攻防演练
调集技术手段,进行应急演练,对登记的网站、应用系统及服务器等,演练中都要涉及。
4、策略调整
通过演练发现问题,进行安全策略调整。
5、应急响应
发生网络与信息安全突发事件后,成立由中心各处室有关人员及各运维单位技术人员组成的应急处置小组,由领导小组有关领导带队,督促、指导、协调、安排应急处置工作。处置小组根据事态发展和处置工作需要,及时联系有关专家和应急支援单位,并有权临时调动系统内必要的物资、设备,开展应急支援。
具体处置方法:
①有害信息处置
中心信息系统出现非法信息时,应确定专人全时监控网站、网页及邮件信息,对有害信息采取屏蔽、删除等措施;清理有害信息,并做好相关记录;协助、配合有关部门采取技术手段追查有害信息来源;发现涉及国家安全、稳定的重大有害信息,及时向公安部门网络监察机构报告。
②网络遇到DDOS攻击处置
当发现信息系统遭受网络攻击时,首先将被攻击服务器等设备从网络中隔离;协助、配合有关部门采取技术手段追查非法攻击来源;评估破坏程度;恢复或重建被破坏的系统。
③病毒入侵处置
当发现信息系统感染病毒后,立即寻找并断开传播源,同时备份相关数据,必要时可断开相应端口或网络;判断病毒的类型、性质、可能的危害范围,启用防病毒软件进行杀毒处理,并使用病毒检测软件对系统内其他设备进行病毒扫描和清除;一时无法查杀的新病毒,迅速与相关防病毒软件供应商联系解决。
④网页篡改处置
检查网页防篡改系统能否及时提供监控及阻断功能,保证网页内容无法被恶意篡改,防止恶意篡改的信息被发布出去
⑤数据库安全防范处置
各数据库系统至少要准备两个以上数据库备份;一旦数据库崩溃,立即通知有关单位暂缓上传、上报数据;组织对主机系统进行维修,如遇无法解决的问题,立即请求软硬件供应商协助解决;系统修复启动后,立即对数据进行恢复。
⑥网络中断处置
发生信息系统网络中断后,应迅速判断故障节点,查明故障原因;如属中心内部线路故障,应立即协调市信息中心组织恢复;如属通信部门管辖的线路,立即与通信维护部门联系,及时进行修复;如属路由器、交换机等网络设备故障,立即与设备供应商联系修复;如属路由器、交换机配置文件破坏,迅速按照要求重新配置;如遇无法解决的技术问题,立即向有关厂商请求支援。
⑦设备安全处置
发现服务器等关键设备损坏,应立即查明设备故障原因;能自行恢复的,立即用备件替换受损部件;难以自行恢复的,立即与设备供应商联系,请求派维修人员前来维修;若设备一时不能修复,应及时采取必要措施,并告知有关单位暂缓上传、上报数据。
其他没有列出的不确定因素造成的灾害,可根据总的安全原则,结合具体情况做出相应处理;不能处理的可咨询相关专业人员。
二、应急演练
通过实战化、体系化的网络实战攻防演习方式,推动单位安全防御体系的建设,确保日常系统平稳运行。
实战攻防演习旨在推动关键基础设施运营单位在实战中全面提升威胁应对能力,提升纵深防御能力、动态防御能力,构建主动防御能力,形成整体防控、精准防控和联防联控的安全运营体系。发现漏洞和安全隐患,有效识别、分析和控制信息系统安全风险,有效提升运维人员安全意识和安全突发事件处置能力,提升信息系统安全保障能力。
三、攻防演练工作方案
Ø 准备阶段
建立应急演练组织指挥中心,负责演练的统一部署、组织协调和过程控制,确保演练工作安全推进,达到预期目标。成立演练工作组,评估演练对业务系统的影响情况,负责攻防实战演练的实施,收集分析演练中的各项数据信息,负责指挥中心报告演练攻防进展情况,做好应急支持保障,保障演练中各系统的安全运行。
Ø 演习阶段
明确演练开始、结束时间,演练开始,攻击方进行安全测试,利用检测到的系统漏洞进行有效攻击,对网络设施、服务器、应用系统等方面展开攻击。
攻击方以人工渗透测试为主,辅助以攻击工具的使用,发现目标网络和系统存在的安全弱点实施入侵,演练过程中尝试完成几项操作:
1、 对系统进行端口扫描,收集开放的端口;
2、 针对开放端口对应的应用服务进行针对性攻击尝试,破解弱口令;
3、 如发现web网站后台登录具有SQL注入漏洞,查看数据库使用版本,使用SQL注入工具写入脚本木马;
4、 连接WebShell木马控制服务器,尝试修改内容;
防守方采取实时监控异常流量及告警信息,及时对失陷主机或被攻击成功的系统启动响应处置流程:检测阶段、系统隔离、问题定位、调查取证、木马清除、主机修复及恢复。当安全监控人员发现因漏洞导致的攻击事件时,必须及时进行漏洞修复,以防止问题进一步扩大。漏洞修复的主要流程为:封堵攻击IP以及非正常请求的IP,监控被攻击的流量数据,制定漏洞修复方案,完成漏洞修复。
四、收尾阶段
演练结束,攻方停止攻击。相关业务进行系统功能测试,确保经过演练,各系统使用正常。攻防双方详细记录演练过程数据,检测出的安全漏洞及隐患,向指挥人员介绍对战过程,展示各项数据信息,提交攻防演练总结报告。
五、安全攻防实战演练发现的问题与整改
演练结束,指挥中心需要组织对网络攻防演练进行全面总结,公布问题、分析原因、加强整改。业务系统要增强用户密码复杂度限制,加强用户登录验证码功能,防止持续帐号密码破解。严格审查业务系统申请开放的网络端口,防止被攻击者利用。进一步开展信息系统安全漏洞扫描和渗透测试,消除系统存在的安全漏洞,防止攻击者利用这些漏洞,获取敏感信息控制服务器,造成数据泄露,网页被篡改等危害。
解决方案联系人:
秦经理 15510432003 微信 234455956