一、项目技术方案
1.1、重要时期安全保障服务
1.1.1、服务内容
重保服务整体工作分成备战阶段服务、临战阶段服务、实战阶段服务、决战阶段服务四个阶段服务,其中备战阶段服务、临战阶段服务是在重大活动或者会议开始前为安全保障工作做准备,主要负责重保期间队伍组建、重保方案设计、重保单位安全检查等工作;实战阶段服务和决战阶段服务是为重大活动或者会议过程中安全保障工作提供技术支撑,主要负责重保期间各重要单位网络安全的监测、应急值守、应急处突、攻防演习等工作,具体各阶段服务工作内容如下图所示:
备战阶段服务
备战阶段服务是重保工作的第一个阶段,主要通过互联网资产发现和自动化远程检查等手段为重保过程中人员、信息系统安全保障提供基础数据和攻击面总体安全态势,为后续重保工作方向提供决策依据,保证重保工作的有序进行。
重保队伍组建主要是成立重保领导小组,建设实体指挥中心,成立重保专家组及技术支撑组,与运营商、CERT等外部机构建立联动工作模式,依据重保监管单位的实际需求,由重保单位、远洋科技集团(以下简称远洋科技)以及第三方监管机构依据重保组织架构和重保工作需要建立相关团队,确保重大活动或者会议期间信息系统网络安全保障工作能够顺利开展。
保障方案设计是依据重保期间可能面临的安全风险,并结合实际需求对重保工作过程中所需要的服务要求、人员投入、软硬件设备使用等进行分析,形成总体的重保安全保障设计方案。
业务资产调研是根据重保单位的业务系统资产情况、网络情况以及业务安全需求等,对其进行技术和管理方面的调研,全面收集相关信息,并根据这些基础信息制定相应的资产信息列表,为后续重保安全检查工作提供支撑。
远程安全检查主要是对重保单位的信息资产、网络架构、业务流程等以远程渗透测试的方式进行安全测试,对其基本安全情况摸底调研,并就测试过程中发现的问题提供整改建议。
临战阶段服务
临战阶段服务是重大活动或者会议网络安全保障的第二阶段,通过现场检查对备战阶段发现的各种安全问题进行“清零”,根据被检查单位行业特点还会通过专项安全检查有针对性解决安全隐患。临战阶段服务主要工作内容包括:一轮或多轮的现场安全检查、专项安全检查。
现场安全检查可进行多轮检查,首轮安全检查主要采用现场访谈、人工技术检查等方式对被检查单位包括机房、网络、基础环境、应用和数据安全各层面安全措施的建设和落实情况进行安全检查,发现现场存在的安全问题。后续现场安全检查主要是对首轮安全检查发现的安全问题进行复查,可采用不同检查单位或检查队伍以交叉检查的方式进行,对各单位安全问题整改情况进行验证,并对首轮检查统计的资产信息、网络架构、业务流程等信息进行复核,排查是否出现新的安全问题。
专项安全检查是根据重保所涉及重保单位的行业和业务特点,组织专门的队伍、采用针对性的技术检查方法对重保单位相关信息系统进行专项安全检查,发现可能存在的安全问题和隐患,并对检查中发现的安全问题提供整改建议。
实战阶段服务
实战阶段服务是重大活动或者会议正式举办前的关键阶段,在前期所有安全检查及整改工作落实之后,开始对各重保单位进行重保实战阶段的工作部署,组织重要单位开展应急预案的确认与各种事件场景的应急演练,同时组织开展实战攻防演习等工作,来检验前期重保检查工作的成效。
应急预案的确认与演练是为重大活动或者会议期间保障工作的顺利进行而做的必要准备工作,由重保领导小组组织各重保单位负责人召开安全工作部署会议。要求各重保单位根据自身情况制定详细的网络安全应急预案,并根据实际工作情况形成具体的演练方案开展应急演练工作。
实战攻防演习是根据重保单位实际情况,组织一个或多个攻击队伍在安全可控的前提下,对需要保障的信息系统进行真实的渗透攻击,一方面检验临战阶段安全检查工作及整改工作的落实情况,另一方面检验在发生真实网络攻击时,网络安全保障队伍的协同配合能力和实战应对能力。
决战阶段服务
决战阶段服务是指在重大活动或者会议召开期间的现场安全保障值守阶段,本阶段服务一般要求安排专业技术人员进行现场值守,同时配备应急响应队伍,能够快速地发现并处置安全事件,防止安全事件对重大活动或者会议造成影响。主要工作内容包括:安全监测、应急值守、应急处突及总结与报告等方面工作。
安全监测是指在重保期间,通过技术手段对重要信息系统进行远程或本地的实时安全监测,对发现的各类安全事件进行告警和及时的处置,在提高重要信息系统安全性的同时,可以减少因安全事件而造成的负面影响。
应急值守工作主要是在活动现场与各岗位运维人员对保障单位网络设备、应用系统等运行状态进行检测,对出现的安全事件进行综合的研判和快速响应,在发生安全事件时,值守人员应协同配合在现场通过信息收集、流量分析、日志分析等多种技术手段对事件进行分析,确保安全事件能快速得到处置。
应急处突是当发生信息安全事件时,现场值守人员根据上报机制,上报安全事件情况,由研判专家及时对事件进行分析后,将分析结果上报重保领导小组,重保领导小组根据实际情况,安排对应的应急处置团队赶赴现场进行应急处置,减少因安全事件对重保工作造成的影响。
总结与报告是指在完成值守工作后,对重保工作全过程进行总结并形成报告,对重保工作各环节中的经验教训进行归纳总结,指导后续重保工作的优化和完善。
1.1.2、服务方法
1.1.2.1、备战阶段服务
1.1.2.1.1、重保队伍组建
为确保重保工作能够顺利开展,建议成立重保领导小组,重保领导小组由客户分管网络安全领导及远洋科技重保负责人联合组成,主要负责安全保障工作中关键问题的决策,以及为重保工作的顺利开展协调充足的资源。重保领导小组下设客户重保工作小组和远洋科技重保工作小组,主要负责重保工作中的具体安保工作的执行以及双方在重保工作中的配合与沟通。本次安全保障工作的组织架构建议如下图所示:
图表 10:重保人员组织结构图
重保领导小组
重保领导小组作为网络安全保障工作的决策与管理机构,主要由客户分管安全领导担任组长,客户相关部门负责人以及远洋科技重保负责人为小组成员,配合完成整个重保期间网络安全保障工作的指挥、领导工作。重保领导小组具体职责为:
l负责组建重保期间整体工作团队;
l负责对总体网络安全保障工作的监督、视察、指导工作;
l负责重大网络安全事件的决策、处置和督导;
l负责重大网络安全事件的事后追责;
l负责领导重保工作完成后的总结与回顾。
客户重保工作小组
客户重保工作小组是客户网络安全保障工作的管理执行机构,负责整个重保期间网络安全保障工作的执行管理和沟通协调。客户重保工作小组由客户项目负责人、各运维部门负责人组成,根据具体的运维分工和组织结构,下设主机运维组、网络运维组、应用运维组以及其他运维组。
项目负责人
项目负责人作为客户现场网络安全保障具体执行过程中的总协调人,负责重保期间现场的协调、监督工作。项目负责人具体职责为:
l组织运维人员做好网络安全保障工作;
l组织与远洋科技确定安全保障方案、工作计划等;
l具体安全保障工作的人员协调和工作沟通;
l监督安全保障工作的工作进度和执行质量。
运维部门负责人
运维部门负责人作为客户运维部门安全运维工作的管理、协调人员,主要负责组织部门运维人员开展网络安全保障工作,运维部门负责人具体职责为:
l组织部门运维人员做好网络安全保障工作;
l组织运维人员配合远洋科技开展安全检查工作,并做好安全加固整改工作;
l组织运维人员做好安全攻防演练的防守工作和分析总结工作;
l组织运维人员在安全保障期间开展安全值守工作;
l组织运维人员做好应急事件的处置工作。
主机运维组
主机运维组主要负责重保过程中各重要安全保障单位服务器主机相关安全保障工作,主机运维组具体职责为:
l配合远洋科技技术人员开展主机相关的安全检查工作;
l积极做好主机相关安全问题的整改工作;
l负责安全保障期间的主机维护工作,定期数据备份、升级补丁;
l负责主机相关安全事件的分析、处置等工作。
网络运维组
网络运维组主要负责重保期间各重要单位网络链路、网络设备、安全设备的安全保障工作,网络运维组具体职责为:
l配合远洋科技技术人员开展网络相关的安全检查工作;
l积极做好网络相关安全问题的整改工作;
l负责安全保障期间的网络设备和安全设备维护工作,定期进行数据备份、升级补丁和特征库;
l负责网络相关安全事件的分析、处置等工作。
应用运维组
应用运维组主要负责重保期间各重要单位的应用系统及中间件、数据库等相关安全保障工作,应用运维组具体职责为:
l配合远洋科技技术人员开展应用相关的安全检查工作;
l积极做好应用相关安全问题的整改工作;
l负责安全保障期间的应用相关维护工作,定期数据备份、升级补丁;
l负责应用相关安全事件的分析、处置等工作。
其他运维组
其他运维组是指除以上运维组之外的其他运维岗位人员(例如:第三方单位运维人员),主要负责重保期间按约定需完成的运维工作,其他运维组具体职责为:
l按约定需完成的运维工作;
l配合远洋科技技术人员开展应用相关的安全检查工作;
l积极做好应用相关安全问题的整改工作;
l负责安全保障期间的业务系统的相关维护工作,定期数据备份、升级补丁;
l负责应用相关安全事件的分析、处置等工作。
远洋科技重保工作小组
远洋科技重保工作小组是远洋科技重保工作的具体管理执行机构,负责整个重保期间远洋科技职责范围内的所有网络安全保障工作的执行管理和沟通协调。
远洋科技重保工作小组由项目经理、技术专家团队组成,根据工作内容不同,下设安全检查组、攻防演习组、驻场保障组、远程监测组和应急响应组。
项目经理
项目经理主要负责重保期间重保项目的全面管理和协调工作,组织召开重保工作会议、制定重保工作计划以及对重保工作进展进行汇报,对不明确环境或不明确问题组织集体讨论决策,并在必要时进行谈判以解决冲突。把握项目的进度,协调各方面关系,保障项目的顺利实施。项目经理具体职责如下:
l保证项目的成功,有效保障客户信息系统的安全稳定运行;
l对各种项目资源进行适当的管理和充分有效的使用;
l进行及时有效的沟通,商讨项目进展状况,以及对可能发生的问题进行预测;
l保证项目的整体性,协调项目中各角色关系,为项目成员创造良好的工作环境;
l负责组织规划、设计重保各阶段服务的工作内容、工作要求、完成时间、实施方式等。
技术专家组
技术专家组由远洋科技威胁情报、网站安全、内容安全、病毒蠕虫等各部门的技术专家组成,作为重保安全保障的技术专家支撑团队,技术专家组具体职责如下:
l对重保期间各重要单位工作提供技术支撑和人员支撑;
l参与各类专业安全保障方案的制定;
l在重保期内发生安全事件时提供专业人员现场支撑。
安全检查组
安全检查组负责在重保工作检查阶段开展基础设施、应用系统等的安全检查工作,安全检查组主要职责为:
l负责对应用系统开展风险评估和渗透测试;
l负责对系统运行的支撑环境的风险评估,包括服务器、网络设备等;
l负责对系统及系统运行环境进行漏洞扫描及结果汇报;
l负责配合客户对发现的安全问题进行整改并复测。
攻防演习组
攻防演习组负责在正式进入重保前针对各重要单位组织开展网络安全攻防演习工作,攻防演习组主要职责为:
l编写攻防演习方案,制定攻防演习计划;
l明确攻守双方的演习目标和工作原则;
l组织攻守双方开展实际攻防演习工作,并指导整个演习过程;
l组织攻守双方对演习工作进行总结,对发现的问题和缺陷及时整改。
驻场保障组
驻场保障组负责在重保期间对各重要单位现场进行7×24小时驻场保障工作,驻场保障组主要职责为:
l负责驻场范围内的安全监测、安全防护和安全事件处置等安全保障工作;
l负责定期开展安全漏洞扫描,对发现的漏洞及时配合整改;
l负责实时监测网络安全攻击情况,对告警事件进行分析处置;
l负责定期开展失陷检测工作,及时发现应用入侵行为;
l负责上报重保期间每日安全保障情况;
l负责对提供系统安全防护措施的策略有效性进行监控及策略优化;
l负责定期对系统源代码进行审计分析,发现系统代码级问题。
远程监测组
远程监测组利用远洋科技的云端监测平台和威胁情报数据对重保目标进行远程安全监测,远程监测组主要职责为:
l负责监测网站安全状态,及时发现网站不可用、挂马、篡改等安全事件并告警;
l负责对重保重要单位网站进行云端安全防护,监测并防护DDoS攻击;
l负责监测重保重要单位相关的威胁情报数据,与驻场保障组同步,分析潜在或已发生的安全威胁并及时处置。
应急响应组
应急响应组为远洋科技二线应急响应团队,应急响应组主要职责为:
l负责配合驻场保障组远程分析处置一般安全事件;
l负责在系统出现紧急安全事件时及时到达现场进行处置;
l负责将最新发现的安全漏洞同步到驻场保障组,确认重保重要保障系统是否受影响。
1.1.2.1.2、业务资产调研
备战阶段服务会对重保重要单位的信息系统、业务及资产基本情况及承载系统运行的基础设施环境等进行安全调研,以了解重保重要单位相关信息系统、组织机构和已有安全措施的基本情况。
业务资产调研工作的开展主要以现场访谈和资产发现的方式进行。现场访谈主要是针对重保重要单位的基本信息,对组织管理单位接口人、系统管理和运维人员等进行现场访谈,通过访谈充分掌握组织管理和业务应用系统现状及特点。
资产发现则是基于网络扫描、搜索引擎、互联网基础数据引擎主动探测用户在互联网上暴露的资产,结合人工梳理的方式形成明确的资产清单,进一步发现重保重要单位可能暴露在互联网的高风险资产以及一些未知资产。
业务资产调研工作具体调研内容可以考虑从以下方面进行:
l物理和网络结构调研
物理和网络结构调研主要工作内容为收集物理机房建设以及安全防护体系、网络环境网络拓扑、访问控制、安全审计等网络结构安全情况,对重保重要单位基础建设情况进行摸底调研,为后续安全检查以及攻防演习等工作提供依据。
l信息资产调研
信息资产调研主要是对信息系统内的主机/服务器、安全设备、网络设备、工控设备、WEB应用、中间件、数据库、邮件系统和DNS系统等进行主动发现,并生成资产及应用列表,列表中不仅包括设备类型、域名、IP、端口,更可深入识别运行在资产上的中间件、应用、技术架构的详细情况(类型、版本、服务名称等)进行调研。
l业务安全调研
业务安全调研主要工作是收集并了解重保重要单位业务系统的整体业务流程、数据流以及相关用户访问的信息,分析系统运行中可能面临的安全风险等,形成业务的安全需求。
l组织机构和管理要求调研
组织机构和管理要求调研工作主要内容为收集重保重要单位信息,了解组织职责分工以及详细工作流程,了解信息系统相关的管理要求以及管理制度等信息。
1.1.2.1.3、保障方案设计
重保方案设计应根据重大活动或者会议安全关注侧重点,根据以往重保经验、重保能力需求分析、重保工作的队伍组建情况以及调研结果,结合重保期间可能面临的安全风险,采用积极防御体系建设和主动安全运营机制的工作思路,形成的重保服务的网络安全保障设计实施方案。方案中要明确有效的安全产品、安全措施、安全服务、安全管理流程和安全保障机制等,同时根据信息系统开发及实际运行环境部署实施计划,制定合理的网络安全实施方案,明确在不同阶段的主要工作内容、人员投入、实施计划和风险控制措施,将重保工作内容分为备战、临战、实战、决战四个阶段服务
重保方案设计主要由客户安全专家以及重保支撑团队编制完成重保方案的设计与实施,由客户安全专家与重保重要单位负责人以及重保支撑团队依据现场实际环境对方案进行评审,以评审结果为标准逐步落实重保工作,确保后期重保工作的有效实施。
1.1.2.1.4、远程安全检查
重大活动或者会议安全保障工作开展前期,为全面了解各重保重要单位业务系统情况,需要进行远程安全检查工作。主要工作内容为通过远程扫描渗透方式对重保重要单位业务系统进行安全测试,发现应用安全漏洞,提出整改建议,协助被检测单位及时修复业务系统安全漏洞,保障业务系统安全运行。
远程扫描渗透工作,主要分为漏洞扫描与人工验证两方面内容,漏洞扫描主要是通过主流和自研的漏洞扫描工具,通过远程接入的方式,对目标范围内的IP,在规定的时间内,开展远程漏洞扫描工作。由于扫描器通过各类扫描方法获得的扫描结果有可能存在1定的误报,为确保扫描结果的准确性,通过人工验证,来保障所提交的扫描结果均准确有效。通过以上工作最终形成扫描渗透报告。人工验证测试内容包括但不限于以下方面:
lWeb安全渗透测试:Web安全测试范围包括SQL注入、XSS、XXE、CSRF、RFI、上传漏洞、信息泄露、远程命令执行、反序列化漏洞等;
l业务逻辑安全渗透测试:业务逻辑安全测试范围包括用户或口令枚举、弱口令测试、平行/垂直越权、未授权访问、验证缺陷、业务逻辑限制缺陷等;
l中间件安全渗透测试:中间件安全测试范围包括配置缺陷、中间件弱口令、反序列化漏洞、代码执行漏洞等;
l服务器安全渗透测试: 服务器安全测试范围包括域传送漏洞、弱口令漏洞、未授权访问漏洞、脚本密码检查、本地提权漏洞、应用防护软硬件缺陷等。
1.1.2.2、临战阶段服务
1.1.2.2.1、现场安全检查
根据监管单位的工作安排要求,对重保重要单位进行现场安全检查。主要通过现场漏洞扫描、安全风险评估、渗透测试、策略优化等多种技术手段,充分发现被检查单位信息系统所存在的安全风险,为后续安全整改提供依据。
1.1.2.2.1.1、现场漏洞扫描
现场漏洞扫描工作主要依靠带有安全漏洞知识库的网络安全扫描工具对信息资产进行特定数据包的探测,根据返回结果来判断系统是否存在相应漏洞。根据扫描所得主机系统、网络设备、应用系统所存在的安全问题和面临的安全威胁,给出修复的指导意见。
扫描工具
扫描工具主要使用业界比较常用的漏洞扫描器或扫描软件,例如Nessus Professional(商用版)、绿盟漏洞扫描器等。
扫描策略
l扫描过程使用全局策略,最大限度发现目标系统安全漏洞。
l扫描过程使用的扫描策略禁止使用带有攻击性、破坏性影响正常业务的扫描方式,例如内存溢出、数据改写等。
l扫描特征库在扫描前均会升级至最新,可匹配到扫描前公布的最新漏洞。
扫描步骤
l将扫描器接入到被扫描的网段;
l测试扫描器与被扫描设备之间的网络连通情况;
l按照标准扫描策略对相关设备进行扫描;扫描过程中,远洋科技、重大活动相关负责人实时对业务运行状况进行监测;
l扫描结束后,远洋科技、重大活动相关单位负责人再次确认业务运行无异常;
l扫描完成后下载原始扫描报告,并且将扫描器上的数据删除。
l扫描结束后,3-5个工作日内提交安全扫描报告以及安全加固建议。
1.1.2.2.1.2、安全风险评估
安全风险评估主要是依据风险评估相关标准,通过人工配置检查、访谈、漏洞扫描和渗透测试等技术方法,对重保重要单位的信息系统、网络设备、安全设备、基础软件、平台和应用等进行安全风险评估,找出并发现信息系统存在的安全漏洞或在安全配置层面存在的安全问题,及可能造成的安全风险。根据发现的安全问题和可能存在的安全风险进行安全加固,提高信息系统各层面抵抗风险的能力。
安全风险评估工作可以通过资产识别、脆弱性识别、威胁识别、风险评估等四方面进行。
资产识别主要是对重保重要单位资产进行评估,了解其资产组成情况,并对业务流程与资产的相关性进行梳理,根据信息资产在业务流程中作用对信息资产进行分组,根据信息资产对信息系统的影响情况,对信息资产进行等级划分。
脆弱性识别是指采用网络扫描、人工现场检查评估、渗透测试、资料查阅、人工访谈等方式对系统进行评估。评估会对脆弱性进行量化,即对脆弱性严重程度进行等级化处理,不同的等级分别代表资产脆弱性严重程度的高低。
脆弱性识别主要包括技术脆弱性识别和管理脆弱性识别两方面:
技术脆弱性识别
l物理环境:从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行识别;
l网络结构:从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别;
l系统软件:从补丁安装、物理保护、用户账号、口令策略、资源共享、事件审计、访问控制、新系统配置、注册表加固、网络安全、系统管理等方面进行识别;
l应用中间件:从协议安全、配置安全、冗余环境、交易完整性、数据完整性等方面进行识别;
l应用系统:从审计机制、审计存储、访问控制策略、数据完整性、通信可靠性、鉴别机制、密码保护等方面进行识别。
管理脆弱性识别
l技术管理:从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性等方面进行识别;
l组织管理:从安全策略、组织安全、资产分类与控制、人员安全、符合性等方面进行识别。
威胁识别是对信息系统安全事故潜在起因进行分析评估。威胁识别的赋值主要来源于查看部署在信息系统中的IDS日志和管理员访谈两种方式。威胁识别会根据威胁严重情况对威胁情况进行等级划分,不同的等级分别代表威胁严重程度的高低。
威胁识别工作可以从环境因素识别与人为因素识别两方面进行:
环境因素识别
对信息系统可能存在的环境安全事故进行威胁风险评估,评估内容包括断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震、意外事故等环境危害或自然灾害,以及软件、硬件、数据、通讯线路等方面的故障造成的威胁;
人为因素识别
人为因素识别分为恶意人员评估与非恶意人员评估,具体评估内容如下:
l恶意人员评估:指对不满的或有预谋的内部人员对信息系统进行恶意破坏;采用自主或内外勾结的方式盗窃机密信息或进行篡改,获取利益。外部人员利用信息系统的脆弱性,对网络或系统的保密性、完整性和可用性进行破坏,以获取利益或炫耀能力造成的威胁进行评估。
l非恶意人员评估:指内部人员由于缺乏责任心,或者没有遵循规章制度和操作流程而导致故障或信息损坏;内部人员由于缺乏培训、专业技能不足、不具备岗位技能要求而导致信息系统故障或被攻击造成的威胁进行评估。
风险评估是在完成资产识别、威胁识别、脆弱性识别后,下一步需要确定威胁利用脆弱性对资产产生危害而导致安全事件发生的可能性。综合安全事件所作用的资产价值及脆弱性的严重程度,判断安全事件造成的损失对组织的影响,最终向客户提交完整的风险评估报告。
1.1.2.2.1.3、渗透测试
渗透测试主要依据已经发现的安全漏洞,模拟入侵者的攻击方法对系统(包括主机系统和应用系统等)和网络进行非破坏性质的攻击性测试。由于采用可控制的、非破坏性质的渗透测试,因此不会对被评估的系统造成严重的影响。在渗透测试结束后,系统与测试之前将基本保持1致。
渗透测试的内容包含外部渗透和基于业务流程的深入渗透测试,包括:Web应用系统的渗透测试主要是对操作系统及服务漏洞、应用系统漏洞、安全配置缺陷、功能逻辑缺陷等方面进行全面测试,APP应用系统还需要对APP客户端漏洞进行针对性测试。具体测试方法可以考虑从以下方面进行:身份验证突破、策略配置漏洞、Web服务漏洞利用、访问控制突破、系统用户提权、内外网混联检测、网页代码漏洞、溢出漏洞攻击等。
1.1.2.2.1.4、策略优化
策略优化是指安全控制策略是否起到作用、是否能够合理高效的对信息系统进行检查和改进,能够及时发现和控制风险。在重保服务的过程中,我们将持续地对信息系统各个层面的安全策略进行优化,以确保重保期间安全策略的效能发挥作用。
安全策略优化主要通过调研、制定方案、策略优化和安全报告几个环节来完成,同时,针对安全评估、渗透测试中发现的问题也会进行局部策略优化。安全策略优化具体流程如下:
图表 11:安全策略优化流程图
现场调研
本阶段主要工作为收集安全设备、网络环境、运维权限及现有安全策略等信息。
制定方案
本阶段主要工作是在完成信息收集后,结合用户实际业务安全需求,对现有安全策略进行差距分析,发现策略缺失、策略冗余、策略未废止等问题,并制定相应工作方案开展进一步工作。
策略优化
本阶段主要工作是在确定巡检对象信息后,依据巡检服务表对设备进行物理巡检及远程巡检,并做好相关记录工作。
编制报告
本阶段主要工作是结合策略优化结果,编制相关安全策略优化报告,并对策略优化过程中发现的重点问题及时通报用户。
1.1.2.2.2、专项安全检查
专项安全检查是对重保期间涉及电网、地铁、水电厂、环保、医疗等具有不同特点的行业业务系统在常规安全检查的基础上,结合行业关注侧重点开展专项安全检查工作。专项安全检查工作根据不同行业业务特点可以大致分为以下几类:酒店安全检查、工控系统安全检查、云平台安全检查、移动互联安全检查以及物联网安全检查。
1.1.2.2.2.1、酒店安全检查
酒店安全检查主要对重保重要酒店各信息系统进行安全检查,以保证重保期间酒店各信息系统的安全运行。酒店安全检查主要通过现场访谈、人工技术检查等方式进行,检查内容主要包含以下方面:
l检查酒店网络划分情况
1般酒店有办公网和客房网,检查两网是否物理隔离,酒馆系统是否在办公网内。
l检查酒店上网情况
检查公共区域无线和客房网上网,上网是否有身份实名认证(两种方式1种手机号,另一种身份证)。
l检查酒店公共设施情况
通过外观检查电子屏幕、终端设备、公共区域的USB接口、网口是否暴露。
l检查酒店终端安全
检查酒店管理系统终端和前台业务办理终端的终端安全。
l安全扫描和渗透测试
通过安全扫描和渗透测试工作检查酒店应用系统的安全性。
1.1.2.2.2.2、工控系统安全检查
工控系统安全检查主要是针对重保重要单位工业控制系统进行专项安全检查,主要从工控系统网络结构、系统安全防护情况以及设备安全等方面开展检查工作,并对检查中发现的问题提供整改建议。
工业控制系统的安全检查主要通过访谈和技术检查两种方式,检查内容包括对工业控制系统与公共网络之间的连接情况;是否有针对工业控制系统的远程控制安全防护措施;工业控制系统的安全配置;设备补丁升级情况等,具体检查项如下:
l网络连接检查
检查工业控制系统网络连接情况,是否采取响应防护设备对系统网络进行防护等情况。
l组网安全措施检查
检查是否采取虚拟专用网络(VPN)、线路冗余备份、数据加密等措施,对无线网组是否采取严格的身份认证、安全监测等防护措施,防止恶意程序通过侵入远程终端单元(RTU)进而控制部分或整个工业控制系统。
l配置管理检查
对工控系统关键设备账户口令、端口以及开放服务等安全配置以及审计制度进行安全检查。
l设备选择与升级管理检查
对工控系统是否在供货合同中或以其他方式明确供应商应承担的信息安全责任和义务,是否加强对技术服务的信息安全管理,是否密切关注产品漏洞和补丁发布,严格对软件升级、补丁安装管理,严防病毒、木马等恶意代码侵入等进行安全检查。
l数据安全检查
对数据的采集、传输、存储、利用等,是否采取访问权限控制、数据加密、安全审计、灾难备份等措施加以保护进行安全检查。
l应急管理检查
检查是否制定工业控制系统信息安全应急预案,明确应急处置流程和临机处置权限,落实应急技术支撑队伍,根据实际情况采取必要的备机备件等容灾备份措施。
1.1.2.2.2.3、云平台安全检查
云平台安全检查主要是对各重保重要单位政务云平台进行专项安全检查,检查云平台的安全防护措施是否有效,并对检查中发现的问题提供整改建议。
云平台安全检查主要通过访谈和技术检测两种方式对云平台的网络通讯安全、设备和计算安全和应用和数据安全3个方面进行安全检查,具体检查项如下:
网络通讯安全
l云平台网络架构
对云平台网络拓扑、虚拟化网络资源以及云平台对业务支撑提供的服务进行安全检查。
l云平台访问控制
对云平台虚拟机、虚拟化网络边界、区域边界访问控制策略等进行安全检查。
l云平台远程接入
对云计算平台管理终端以及平台边界设备远程访问控制策略进行安全检查。
l云平台入侵防范
对云平台是否对云租户提供网络攻击行为分析、监测功能进行安全检查。
l云平台安全审计
对云平台是否能够将安全审计数据的汇集提供接口,并可供第三方审计进行安全检查。
设备和计算安全
l访问控制
检查是否对云计算平台远程管控行为部署访问控制策略。
l入侵防范
检查虚拟机在对宿主机资源进行异常访问、非授权新建或重启虚拟机时是否能够提出告警。
l恶意代码防范
检查是否能够检测恶意代码感染及在虚拟机间蔓延的情况,并提出告警。
l镜像和快照保护
对虚拟机镜像完整性校验、虚拟机镜像快照中敏感资源加密情况以及对重要业务系统是否能够提供加固的操作系统镜像进行安全检查。
应用和数据安全
l数据完整性
对是否能够确保在虚拟机迁移过程中,重要数据的完整性,检测到完整性受到破坏时采取必要的恢复措施进行安全检查。
l数据保密性
对是否能够确保虚拟机迁移过程中,重要数据的保密性以及是否支持云租户部署密钥管理解决方案,确保云租户自行实现数据的加解密过程进行安全检查。
l数据备份恢复
对云租户备份数据存储形式以及审计数据是否隔离存放进行安全检查。
1.1.2.2.2.4、移动互联安全检查
移动互联安全检查主要是针对重保重要单位移动终端、无线网络等移动互联系统进行专项安全检查,对其安全防护措施的有效性进行检查,并对检查中发现的问题提供整改建议。
移动互联安全检查工作主要通过访谈和技术检测两种方式对移动互联系统基础安全、区域边界安全、网络通讯安全方面进行安全检查,具体检查项如下:
系统基础安全检查
l在基础环境安全检查基础上对移动互联系统的身份鉴别、访问控制以及系统安全进行安全检查;
l从操作系统到上层应用的信任链,检查系统运行过程中可执行程序的完整性校验,并在数据遭到破坏时采取必要的恢复措施。
区域边界安全检查
l区域边界访问控制
检查在安全区域边界是否设备访问控制机制、对进出安全区域的数据信息以及非授权访问进行控制。
l区域边界安全审计
检查安全区域边界是否对违规行为进行审计以及审计信息的关联分析。
l区域边界入侵防范
检查区域边界在受到网络入侵和恶意代码入侵时是否会有告警以及防范措施。
l区域边界完整性
检查是否有区域边界出入信息完整性保护措施,在发生非授权私自外联情况时,是否有相应措施对数据进行保护。
网络通讯安全检查
检查网络通信过程中网络数据的完整性以及保密性校验,以及在网络设备非法接入时是否有验证机制。
1.1.2.2.2.5、物联网安全检查
物联网安全检查主要是对重保服务期间涉及气象、环保等重保重要单位感知节点设备进行专项安全检查,对其安全防护措施的有效性进行检查,并对检查中发现的问题提供整改建议。
物联网安全检查主要通过访谈和技术检测两种方式对物联网系统可信、区域边界安全、感知层网络安全3方面进行安全检查,具体检查项如下:
系统可信安全检查
l程序可信检查
检查系统在运行过程中可执行程序的完整性,并在检测到其完整性受到破坏时采取措施恢复。
l网络可信检查
检查在设备连接网络时,是否对源和目标进行平台身份鉴别、平台完整性校验、数据传输的保密性和完整性保护。
l配置可信检查
检查在配置信息被修改时,是否能够对修改行为进行监控并对和基准库中内容不符的配置信息进行修复。
区域边界安全检查
l区域边界包过滤安全检查
检查数据包的源地址、目的地址、传输层协议、请求的服务等,是否允许该数据包进出该区域边界。
l区域边界准入控制安全检查
在恶意设备接入时是否对设备安全性进行认证,保证设备合法接入。
l区域边界协议过滤安全检查
检查是否对物联网通信内容设置协议过滤机制。
感知层网络安全检查
l感知层网络数据传输安全检查
对感知层网络传输过程中数据的完整性、保密性以及新鲜性进行安全检查。
l异构网接入安全检查
检查是否有相关机制保证异构网接入数据的完整性以及保密性保护。
1.1.2.3、实战阶段服务
1.1.2.3.1、应急预案与演练
在多轮重保检查以及整改结束后,各重保重要单位安全负责人应该根据重大活动或者会议网络安全保障工作部署会议要求,结合自身实际情况编写《网络安全应急预案》以对重保期间可能出现的安全事件及时响应,并开展应急演练工作,就演练过程中发现的问题进行限期整改。同时,需要各重保重要单位签署《安全责任承诺书》、准备《值班应急联系表》以及《重保单位责任领导和联络员通讯录》,以达到重保期间责任分工明确,快速处置安全事件,降低影响等要求。
1.1.2.3.1.1、应急预案制定
为有效保障重保范围内的重要信息系统安全性和可用性,减少因发生安全事件对重大活动或者会议造成的影响,需要制定网络安全应急预案,明确在发生安全事件时采取的处理措施。
应急预案制定步骤
l确定编制计划
依据国家及行业标准,结合本期重保任务的信息系统、组织流程等安全技术和管理现状,制定合理的网络与信息安全事件应急预案编制计划。
l编制应急预案
分析重保期间重要业务系统的安全威胁,有针对性制定网络与信息安全事件应急预案及网络安全事件处置方案。
l应急预案审核
编制完成后需经过重保相关内外部人员的评审,评审后可正式发布,确保应急预案的有效性。
l培训及演练
编制的网络安全事件应急预案发布后,需要进行必要的人员培训工作,并在此基础上组织开展应急演练,再次检验应急预案的有效性。
重要应急预案
根据以往安全保障工作经验,应急预案至少制定以下应急处置预案:
l快速断网方案
在重要信息系统发生重大安全事件并无法短时间解决的情况下,如页面被篡改为反动言论、系统被黑客控制等,为减小损失、降低不良影响,可采用一键断网的方案进行处理,断网后尽快对安全事件进行分析、处置,待系统恢复、漏洞修复后再进行网络恢复。
l静态页面开发方案
在重要信息系统发生重大安全事件并无法短时间解决的情况下,如页面被篡改为反动言论、系统被黑客控制等,为减小损失、降低不良影响,可采用停止注册平台服务、切断网络访问并启用静态页面的方案进行处理,切换为静态页面后,尽快对安全事件进行分析、处置,待系统恢复、漏洞修复后再进行网络和系统恢复。
l主备生产环境切换方案
在重要信息系统发生重大安全事件并无法短时间解决,主要生产环境无法正常提供服务的情况下,如遭受大流量DDoS攻击并无法有效清洗、系统被恶意攻击无法短时间恢复等,为保障系统的可用性和安全性,可将应用服务切换到备用生产环境,尽快对安全事件进行分析、处置,待攻击消除、系统恢复、漏洞修复后再切换回主要生产环境。
lDDoS事件应急处置方案
在重保期间,发现DDoS事件时,由指定的运营商、DNS服务商、远洋科技安域和重保领导小组共同配合完成,职责划分如下:运营商提供针对大规模DDoS流量攻击的近源压制与清洗服务,保证用户本地节点带宽和目标站点的持续可用,DNS服务商提供被保护站点的DNS解析和DNS基础设施的全面安全防护,针对DNS系统的洪水攻击、缓存投毒和域名劫持等攻击进行有效防范,保护目标站点的公信力及严肃性,远洋科技安域负责为目标站点提供云防护服务,针对注入攻击、跨站攻击、漏洞攻击、恶意扫描、恶意上传下载、网页挂马、网页篡改、CC等攻击事件进行有效防范,保障目标站点内容的完整性,重保指挥组负责重保过程中的资源协调保障工作。
1.1.2.3.1.2、应急预案演练
针对已制定的应急处置预案,需要在重保实战阶段进行应急预案的演练,应急演练工作的开展主要是对应急预案的验证,也是提高对突发事件响应的能力验证,通过演练找出问题再进行相应的调整、优化,确保安全事件发生时,应急响应流程切实有效。
演练规模
根据不同规模的应急演练方法对应急处置预案进行评估,可以分为全面演练和局部演练。
l全面演练
指针对应急处置预案中全部或大部分应急响应功能,检验、评价应急组织应急运行能力的演练活动。全面演练要求时间长,采取交互式方式进行。演练过程要求尽量真实,调用更多的应急人员和资源,并开展人员、设备及其他资源的实战性演练,以检验相互协调的应急响应能力。
l局部演练
指针对某项应急响应功能或其中某些应急响应行动举行的演练活动,主要目的是针对应急响应功能,检验应急人员以及应急体系的策划和响应能力。
演练方式
从演练方式来分,可以分为沙盘推演、模拟演练和实际演练等等。
l沙盘推演
沙盘推演的特点是对演练情景进行口头演练,一般是在会议室内举行。其主要目的是锻炼参演人员解决问题的能力,以及解决应急组织相互协作和职责划分的问题。沙盘推演一般仅限于有限的应急响应和内部协调活动,应急人员主要来自部门内部。
l模拟演练
模拟演练的特点是参与演练人员涉及面广,均坚守各自工作岗位,应急流程与联系的指令是真实的,实际技术操作步骤是模拟的。模拟演练的主要目的是检验应急管理流程是否通畅以及对应急预案步骤的了解是否清晰。
l实际演练
指完全按照实际情况,进行实战演练,演练对象可以是真实的运行系统,也可以是完全按照真实系统临时搭建的系统,网络环境均为实际运行的网络环境,从各方面对应急体系进行检验。
演练流程
应急演练工作主要从确定演练目标及涉及范围、确定演练方案、协调演练部门及资源、组织演练、评估演练结果、演练结果通报、总结演练经验、改进优化演练等方面工作逐步开展。
应急演练流程如下图所示:
图表 12:应急演练流程图
1.1.2.3.2、实战攻防演习
在重保实战阶段服务,通过对重要信息系统开展实战型安全攻防演习,全面检测重大活动或者会议的网络和信息系统的综合安全防护能力,并根据演习结果进行总结,以检验应急预案的合理性、应急保障队伍和所有相关人员的专业素质以及管理组织的有效性,提高处理应急事件的能力,确保重保期间重要信息系统的安全稳定运行能得到保障。
1.1.2.3.2.1、演习工作内容
整个攻防演习基于远洋科技攻防演习平台实施,从攻击终端、网络通道、数据分析等各个环节充分保障竞演的安全性、可靠性、时效性和灵活性。
根据实际演习参与的角色和特点,按照阶段划分的原则,实战攻防演习分为四个阶段,即:调研阶段,准备阶段,演习阶段和总结阶段。各阶段所需进行的工作如图所示:
图表 13:攻防演习各阶段
需求调研是攻防演习的首要环节,决定后续的工作方向。需求调研主要针对此次攻防演习的背景、组织单位、参与部门、演习目标及演习时间等内容进行明确,并对后续的工作内容进行职责划分。
准备阶段是对攻防演习前期工作的准备,根据本次攻防演习预期达到的目标,梳理出前期需完成的工作,为后续演习正式开展提供保障。准备阶段主要完成平台搭建、演习授权和保密协议签署等方面工作。
演习阶段作为实战攻防演习的重要阶段,主要包括攻击过程、过程监控、成果提交、应急处置和成果研判等工作。在前期准备工作基础上,对真实网络环境中的系统开展攻击和防守,以获取目标系统的最高控制权为目标,检验客户人机结合、协同处置等方面的综合防护能力,同时通过对攻击过程的监控和应急处置,保障整个攻击过程的安全。
总结阶段是远洋科技利用攻防演习平台,统计攻击方的攻击行为、攻击手段、攻击次数等,同时也统计防守方发现、检测和拦截的攻击数量,并且结合远洋科技自身发现的攻入的攻击行为,对本次演习进行全方位的总结。并将发现的问题按照应用开发问题、安全管理问题、防护体系问题进行分类。
1.1.2.3.2.2、演习支撑平台
远洋科技可提供攻防演习平台搭建和调试,平台首选为客户提供互联网云服务方式,也可以提供本地化部署方式,可以为攻击人员分配网络资源,可以通过展示大屏,展示整个攻击过程,同时可以对攻击方技术人员行为做审计,防止攻击方人员越界做破坏行为,以保证整个攻防演习过程的安全。攻防演习平台可以为客户提供云平台方式,客户不需要部署任何设备即可随时展开真实的攻防演习,也可以帮助客户在其自身网络环境内搭建演习平台。
平台网络拓扑图:
图表 14:平台网络拓扑图
l指挥大厅
演习过程中,攻击方和防守方的实时状态将接入到指挥大厅的监控大屏,领导可以随时进行指导、视察。
l攻击目标信息系统
攻击目标信息系统即企业的网络资产系统,防守方在被攻击系统开展相应的防御工作。
l攻击行为分析中心
攻击行为分析中心通过部署网络安全审计设备对攻击者攻击行为进行收集及分析,由日志分析得出攻击步骤,溯源完整的攻击过程,能够直观地反应目标主机受攻击的状况,实时监控攻击过程,并通过可视化大屏实时展现。
l攻击场地
攻击场地可分为场内攻击和场外攻击,通过搭建专用的网络环境并配以充足的攻击资源。正式攻击阶段,攻击小组在对应场所内实施真实性网络攻击。场地内部署攻防演习监控系统,协助技术专家监控攻击行为和流量,以确保演习中攻击的安全可控。
1.1.2.4、决战阶段服务
1.1.2.4.1、安全监测
重保决战期间,为了及时掌握重保重要信息系统运行情况,降低因安全问题而造成的负面影响,可对重保重要信息系统进行多方位的安全监测工作,以便能够及时发现并处理系统存在的安全问题,防止事态的蔓延。安全监测工作主要通过网站安全监测,全流量威胁监测两方面工作来开展。
1.1.2.4.1.1、网站安全监测
重保期间,重要网站可能面临着响应速度慢、网页被篡改、网站被挂马、网页的反动和色情内容等风险,同时,黑客也可能通过Web攻击入侵网站系统,篡改网站网页或数据库的内容,甚至植入各种各样的病毒代码。一旦发生这些问题,除了对网站的运营和使用单位造成信息泄漏和财产损失外,还将对重大活动或者会议产生不同程度的负面影响。
平台支撑
网站安全监测工作将采用远洋科技网站云监测系统(简称“云监测”)提供服务。该系统可以通过互联网远程监测目标网站系统的安全情况,能够及时进行报警,并经人工确认后,向被监测网站的运营单位相关负责人下发预警通告。
云监测服务平台架构如下:
图表 15:云监测服务平台架构图
远洋科技网站云监测系统搭建在远洋科技自建的安全云中心,由设备监测和人工服务两个部分组成:
设备监测内容
通过专用的网站安全监测设备,可以持续不间断地监测重保范围内的网站应用,监测内容可包括:
l网站可用性监测:首页访问时间、断网时间、DNS解析时间等;
l网站安全事件监测:挂马、篡改、暗链和敏感词等;
l网站漏洞监测:网站存在的常见安全漏洞如SQL注入、跨站等。
为了减少误报,对于网站监测发现的事件或信息,远洋科技提供了7×24小时的人工验证服务,经人工验证的信息将通过邮件、短信等方式发送给重保重要单位网站安全责任人。
人工服务内容
为了加强重保重要单位网站的安全管理,对网站进行实施安全监测,及时发现并处理网站安全问题,有利于提高网站的安全性,同时可以减少因网站安全问题而造成的负面影响。通过云监测服务可以提供以下服务:
l7×24小时网站安全监测;
l安全事件及时通告;
l编制安全监测报告。
1.1.2.4.1.2、全流量威胁监测
针对重保期间业务系统面临的高级网络攻击和威胁,远洋科技可提供基于持续性监测和分析的高级安全数据分析服务,结合原有的安全防护体系,提升客户环境中所面临的内部和外部威胁攻击的检测、分析和溯源处置能力,实现“预测->发现->检测->响应”的闭环防护能力。
l平台支撑
全流量威胁监测工作主要通过远洋科技天眼新一代威胁感知系统(简称“天眼”)来开展。天眼设备分为天眼传感器和分析平台两部分,天眼传感器主要负责对网络流量的镜像流量进行采集并还原,还原后的流量日志会加密传输给天眼分析平台,分析平台用于存储传感器提交的流量日志、告警日志以及文件威胁鉴定器提交的告警日志。同时结合远洋科技强大的威胁情报能力,引入APT攻击、新型木马、特种免杀木马等新规则,并与重保重要单位信息系统中的流量进行特征匹配,通过天眼分析平台进行告警展示。
l监测分析
重保期间在客户现场部署天眼设备,对重保重要单位业务系统的全流量实时监测和分析,并对攻击行为进行监测告警。远洋科技安全服务人员采用攻防思路构建的分析模型,为重保重要单位提供内部失陷主机、外部攻击、内部违规和内部风险等关键信息安全问题的实时检测、发现、响应服务。
整个分析过程,采用人工和专有工具进行实时、动态监测,实现以资产为核心,通过识别资产属性、监测资产安全状态、分析研判内外部攻击事件以及内部违规操作行为等要素全面结合数据进行资产脆弱性和威胁的研判,真正做到动态持续主动检测与防御,反应出当前重要信息系统实际存在或是已经发生的安全问题。
1.1.2.4.2、安全值守
根据各重保重要单位值守需求情况,在重保决战阶段,远洋科技重保安全服务人员会根据重保工作安排,协助各单位运维值守人员,在现场进行7×24安全值守。主要通过现场监测,定期巡检,排障处理,事件上报,应急处置,监督整改等方面工作来保障值守单位信息系统的安全运行。具体工作内容如下:
l告警监测处理
值守人员根据现场提供的安全设备,定期监测告警情况,对监测到不同级别和类型的告警进行分析,发现可能存在的网络攻击行为进行上报和处置。
l定期安全巡检
重保期间,各单位运维值守人员以及安全值守人员需定期对重保重要单位相关设备以及系统进行巡检,并填写《安全巡检表》,对重保重要单位网络安全状况随时监督。
l故障定位及处理
根据安全监测告警,及时判断问题,定位故障,并进行处理。必要时,协调更多的资源进行支持,确保按照安全运维要求及时处理故障,保障系统的正常运行。
l监督整改
在会议期间的值守服务过程中,对发现安全问题并需要尽快整改的信息系统,安全值守人员应监督并协助运维值守人员对问题及时进行整改处理,防止事态扩大造成更严重的影响。
l编制日报
在重保决战阶段的安全值守过程中,持续地进行安全监测与处置,值守人员应每天编制监测和处置报告,报告概要性地提出监测结论,并对出现的问题进行列举,同时对整体安全态势进行评价,为重保领导小组提供详细而准确的1线信息资料。
1.1.2.4.3、应急处突
应急处突小组由专家团队、重保单位主管领导和应急团队构成。应急处突小组现场值守,一旦发生突发安全事件应立即组织专人应对,快速决策、协调资源、迅速处置。主要工作包括:分析安全事件原因,对攻击进行溯源,基于安全事件提供安全解决方案,协助安全事件的后续处置等。通过应急处突工作,降低突发网络安全事件对重保工作造成的影响。
重保决战期间应急处突小组应进行现场值守待命,负责所有突发安全事件的处置工作。发生突发安全事件后,由专家团队和相关重保单位领导现场立即组织分析并作出决策,下发应急处置任务,重保单位领导协调本单位技术人员开展应急处置;应急处突小组接到应急处置任务立即赶赴现场配合重保重要单位进行应急处置。
应急处突各阶段
应急处突处理工作主要分为六个阶段,包括响应阶段、检查阶段、抑制阶段、根除阶段、恢复阶段和总结阶段:
l响应阶段
在实施应急处突工作前,应急处突小组收到网络重保指挥组指令,在重保相关负责人的带领下,立即赶往事发现场,开展应急处突工作。
l检测阶段
应急处突实施人员通过现场进行信息收集,使用检测搜集流量信息、检测搜集系统信息及主机检测等多种技术手段对事件进行详细分析,并查找入侵痕迹。
l抑制阶段
应急处突实施人员及时采取行动限制事件扩散和影响的范围,限制潜在的损失与破坏,同时要与相关系统负责人沟通,确保抑制方法对重保涉及相关业务系统影响最小。
抑制阶段通常采用的技术手段如下:
1)确定受害系统的范围后,将被害系统和正常的系统进行隔离,断开或暂时关闭被攻击的系统,使攻击先彻底停止;
2)持续监视系统和网络活动,记录异常流量的远程IP、域名、端口;
3)停止或删除系统非正常账号,隐藏账号,更改口令,加强口令的安全级别;
4)挂起或结束未被授权的、可疑的应用程序和进程;
5)关闭存在的非法服务和不必要的服务;
6)使用反病毒软件或其他安全工具检查文件,扫描硬盘上所有的文件,隔离或清除病毒、木马、蠕虫、后门等可疑文件;
l根除阶段
应急处突实施人员协助重保重要单位检查所有受影响的系统,在准确判断安全事件原因的基础上,提出基于安全事件整体安全解决方案,排除系统安全风险。
l恢复阶段
应急处突实施人员协助重保单位恢复安全事件所涉及到的系统,并还原到正常状态,使业务能够正常进行,恢复工作应避免出现误操作导致数据的丢失。
l总结阶段
在本阶段,所有参与应急的人员回顾并完善应急过程,完成记录表单填写并按流程提交至指定人员,并最终形成应急报告。
各类事件处理流程
l网页篡改事件应急处置流程
1) 事件定义
网站运行过程中,发现网站页面被篡改;
2) 事件处置流程
图表 16:应急处突事件处置流程
lDDoS攻击事件应急处置流程
1) 事件定义
网站运行过程中,发现网站访问缓慢、DDoS设备告警,网站遭受DDoS攻击;
2) 事件处置流程
图表 17:DDoS攻击事件应急处置流程
l网络攻击事件应急处置流程
1) 事件定义
网站运行过程中,发现有针对网站相关IP或域名的扫描攻击等行为;
2) 事件处置流程
图表 18:网络攻击事件应急处置流程
lDNS攻击事件应急处置流程
1) 事件定义
网站运行过程中,发现网站域名解析出现异常,如域名劫持;
2) 事件处置流程
图表 19:DNS攻击事件应急处置流程
l设备故障事件应急处置流程
1) 事件定义
因设备故障引起网络中断等故障。
2) 事件处置流程
图表 20:设备故障事件应急处置流程
l机房故障事件应急处置流程
1) 事件定义
运行过程中,机房发生断电、链路等故障,造成机房无法提供服务;
2) 事件处置流程
图表 21:机房故障事件应急处置流程
1.1.2.4.4、总结与报告
每次重保活动结束后,应该召集参与重保工作的各类人员,对重保工作全过程的工作内容进行信息收集和经验报告总结,通过总结与报告工作,发现重保工作中还存在问题的地方,积累经验,为下一次的重保工作提供更有力的支撑。
重保支撑团队根据客户需求进行重保各项工作内容总结,重保领导小组通过召开重保工作经验教训总结大会,对成果进行表彰,对经验进行分享,对不足进行反思,对下次类似重保工作提出指导建议。
1.1.3、交付成果
u工作输入
《重要时期安全保障服务方案》
u工作输出
服务成果为:
《重要时期安全保障服务工作总结》
u工作输出物样例
无
1.1.4、服务范围
重保对象即对重大活动或者会议圆满成功有帮助的需要保护的信息系统。根据以往重保工作经验表明,所有与重要活动或者会议的正常举办有关的,面临特殊时期安全风险的信息系统都应纳入重保范围。根据信息系统所属的单位及重要程度,可大致分为三类:一是与重大活动或者会议主办方相关的信息系统;二是与负责重保工作的监管机构(例如网安、网信办等)相关的信息系统;三是其他重点保障单位相关的信息系统。另外,根据活动或者会议举办方需求,当临时有新业务系统进行设计和建设时,也应及时纳入重保整体解决方案中进行保护。
同时,各类与重点民生、能源、事业单位、政府机构有关的信息系统保障也是重保工作中的保护对象,是重保工作顺利进行的支撑性设施。具体分类如下表:
客服