中秋佳节过后,马上又有国庆小长假,各行各业享受假期的同时,安全从业者却不敢放松,今年是建国70周年,重保的压力比以往国庆保障要大很多。重保期间如果发生安全事件,带来的负面效应,会比平常时期放大好几倍。凡事预则立不预则废,收好这份攻略,国庆重保不再怕。
国庆需要重保的单位一般是政府机构、大型国企、重点高校等,重保的主要目标是保证国庆期间不会出现网页被篡改等安全事件,围绕重保目标,工作可以按照事前评估加固,事中值守监控,事后应急预案的思路来开展。
事前评估加固资产梳理:
所谓兵马未动粮草先行,资产是一切安全工作之根本,重保前,需要做一次完整的资产梳理,输出如下成果:
先梳理出前期存在漏洞,未修复的系统,分类处理,不重要的系统,重保期间关闭系统,重要系统无法关闭的情况,可以采取先关闭存在漏洞的模块,调整WAF、防火墙策略等方式,先减少漏洞存在的影响。小编重保期间遇到过,漏洞来不及修复,又没法关闭的系统,管理员截了一张图,放在首页,以假乱真。
对单位信息系统进行资产划分:重保期间不能关闭的重要系统,保证没有系统漏洞。不重要的边缘系统,重保期间关闭处理。暴露在互联网的灰度测试环境系统,全部关闭。
邀请第三方公司进行资产发现服务,对比已有资产列表,检查是否有未记录在案的遗漏信息系统。
安全评估:通过漏洞扫描、渗透测试的方式,全面评估重要系统存在的安全隐患(资产梳理工作中已经确定需要关闭的系统,不用再评估)。
后门排查,扫描重要信息系统网页文件、系统文件,检查是否有前期黑客留下的后门。
日志分析:分析重要信息系统access日志,重点分析是否有后门连接的记录,关键字包括shell.asp,1.asp等连接日志。分析系统日志,包括history等,查看系统账号是否异常,是否存在影子账号、隐藏账号等。
关键目录文件分析,查看上传目录,检查是否有脚本文件。使用webshell扫描工具扫描全盘。
事中值守监控重保开始,需要安排人员值守监控,监控工作按照如下安排:
网页防篡改监控,一般网页防篡改开启后,网页无法更新,重保期间,通知所有业务单位,网页停止更新,开启防篡改,前端静态页面脚本、图片,后端数据库全部锁死,如果必须要修改,业务部门通知安全部门,临时开通修改权限。重保开始后,监控网页防篡改设备运行状态,不断刷新重要信息系统首页,查看是否有异常。
态势感知监控,单位如果部署有态势感知,通过分析流量、日志,实时监测网络异常情况,值守人员实时关注态势感知告警,重点关注可能篡改网页的告警,如网络攻击、后门访问等,其他如流氓推广等,重保期间可以暂时不用理会。
事后应急预案制定应急预案,重保前期与各业务部门确认:
发现安全事件,采取先断网后处置的方式,制定断网策略,保证监控人员在发现安全事件后,第一时间能够通知网络管理员断网。
应急预案通知各业务部门知晓,重保期间,安全优先,各业务部门指定对接人配合安全部门重保。
办法总是比问题多,小编见过很多重保期间脑洞大开的设计,除了上述用一张截图作为网站首页外,还见过一名管理员,在马爸爸家买了一个智能插座,接在服务器上,出现问题,手机上一键断网。
到重保前期才想到要开始干活的单位,前期网络安全工作做得都不是很充分,所以想到临时抱佛脚,借用一句鸡汤:“越努力越幸运”。与其临时抱佛脚,不如平时多烧香。收好这份攻略,今年国庆重保不再怕。