重保的的心得小记

首先先聊一下重保是什么。重保是指在重大会议、节假日等特殊时期内，对目标系统进行现场安全值守和保障，对业务系统的安全状况进行实时监控和日志分析。重保通常的防护对象包括国家政府、国企、事业单位、金融企业、信息及通讯基础设施提供商、互联网企业、能源企业、有线上数字化内容的企业。在国庆等节假日、公司IPO前后等特殊时间阶段及敏感时期，政企机构遭遇黑客和竞争对手恶意攻击的风险是明显上升的，重保可以说是数字经济时代企业发展的“刚需”。

重要时期节点，是国内外黑客组织、攻击团队和恶意人员高度活跃期，会比平时提升数倍、数十倍，从而造成各应用单位出现安全事件的概率大幅度提升。重要时期的安全事件是给上级部门或主管领导抹黑，甚至是给国家抹黑，前期付出的所有努力都被否定，甚至被上纲上线，给应用单位人员带来极大压力。

重保前期的准备工作：

资产梳理：

资产是一切安全工作之根本。重保前，需要做一次完整的资产梳理。

先梳理出前期存在漏洞，未修复的系统，分类处理，不重要的系统，重保期间关闭系统，重要系统无法关闭的情况，可以采取先关闭存在漏洞的模块，调整WAF、防火墙策略等方式，先减少漏洞存在的影响。对单位信息系统进行资产划分：重保期间不能关闭的重要系统，保证没有系统漏洞。不重要的边缘系统，重保期间关闭处理。暴露在互联网的灰度测试环境系统，全部关闭。邀请第三方公司进行资产发现服务，对比已有资产列表，检查是否有未记录在案的遗漏信息系统。

安全评估：

通过漏洞扫描、渗透测试的方式，全面评估重要系统存在的安全隐患（资产梳理工作中已经确定需要关闭的系统，不用再评估）。

后门排查，扫描重要信息系统网页文件、系统文件，检查是否有前期黑客留下的后门。

日志分析：

分析重要信息系统access日志，重点分析是否有后门连接的记录，关键字包括shell.asp，1.asp等连接日志。分析系统日志，包括history等，查看系统账号是否异常，是否存在影子账号、隐藏账号等。

关键目录文件分析，查看上传目录，检查是否有脚本文件。使用webshell扫描工具扫描全盘。

重保时的坚守工作：

重保期间需要有人7*24h安排人员值守，对需要保护的网站进行实时监控。网页防篡改监控，一般网页防篡改开启后，网页无法更新，重保期间，通知所有业务单位，网页停止更新，开启防篡改，前端静态页面脚本、图片，后端数据库全部锁死，如果必须要修改，业务部门通知安全部门，临时开通修改权限。重保开始后，监控网页防篡改设备运行状态，不断刷新重要信息系统首页，查看是否有异常。

态势感知监控，单位如果部署有态势感知，通过分析流量、日志，实时监测网络异常情况，值守人员实时关注态势感知告警，重点关注可能篡改网页的告警，如网络攻击、后门访问等，其他如流氓推广等，重保期间可以暂时不用理会。

制定紧急情况预案，出现安全事件时，及时解决：

发现安全事件，采取先断网后处置的方式，制定断网策略，保证监控人员在发现安全事件后，第一时间能够通知网络管理员断网。

应急预案通知各业务部门知晓，重保期间，安全优先，各业务部门指定对接人配合安全部门重保。