首先先聊一下重保是什么。重保是指在重大会议、节假日等特殊时期内,对目标系统进行现场安全值守和保障,对业务系统的安全状况进行实时监控和日志分析。重保通常的防护对象包括国家政府、国企、事业单位、金融企业、信息及通讯基础设施提供商、互联网企业、能源企业、有线上数字化内容的企业。在国庆等节假日、公司IPO前后等特殊时间阶段及敏感时期,政企机构遭遇黑客和竞争对手恶意攻击的风险是明显上升的,重保可以说是数字经济时代企业发展的“刚需”。
重要时期节点,是国内外黑客组织、攻击团队和恶意人员高度活跃期,会比平时提升数倍、数十倍,从而造成各应用单位出现安全事件的概率大幅度提升。重要时期的安全事件是给上级部门或主管领导抹黑,甚至是给国家抹黑,前期付出的所有努力都被否定,甚至被上纲上线,给应用单位人员带来极大压力。
重保前期的准备工作:
资产梳理:
资产是一切安全工作之根本。重保前,需要做一次完整的资产梳理。
先梳理出前期存在漏洞,未修复的系统,分类处理,不重要的系统,重保期间关闭系统,重要系统无法关闭的情况,可以采取先关闭存在漏洞的模块,调整WAF、防火墙策略等方式,先减少漏洞存在的影响。对单位信息系统进行资产划分:重保期间不能关闭的重要系统,保证没有系统漏洞。不重要的边缘系统,重保期间关闭处理。暴露在互联网的灰度测试环境系统,全部关闭。邀请第三方公司进行资产发现服务,对比已有资产列表,检查是否有未记录在案的遗漏信息系统。
安全评估:
通过漏洞扫描、渗透测试的方式,全面评估重要系统存在的安全隐患(资产梳理工作中已经确定需要关闭的系统,不用再评估)。
后门排查,扫描重要信息系统网页文件、系统文件,检查是否有前期黑客留下的后门。
日志分析:
分析重要信息系统access日志,重点分析是否有后门连接的记录,关键字包括shell.asp,1.asp等连接日志。分析系统日志,包括history等,查看系统账号是否异常,是否存在影子账号、隐藏账号等。
关键目录文件分析,查看上传目录,检查是否有脚本文件。使用webshell扫描工具扫描全盘。
重保时的坚守工作:
重保期间需要有人7*24h安排人员值守,对需要保护的网站进行实时监控。网页防篡改监控,一般网页防篡改开启后,网页无法更新,重保期间,通知所有业务单位,网页停止更新,开启防篡改,前端静态页面脚本、图片,后端数据库全部锁死,如果必须要修改,业务部门通知安全部门,临时开通修改权限。重保开始后,监控网页防篡改设备运行状态,不断刷新重要信息系统首页,查看是否有异常。
态势感知监控,单位如果部署有态势感知,通过分析流量、日志,实时监测网络异常情况,值守人员实时关注态势感知告警,重点关注可能篡改网页的告警,如网络攻击、后门访问等,其他如流氓推广等,重保期间可以暂时不用理会。
制定紧急情况预案,出现安全事件时,及时解决:
发现安全事件,采取先断网后处置的方式,制定断网策略,保证监控人员在发现安全事件后,第一时间能够通知网络管理员断网。
应急预案通知各业务部门知晓,重保期间,安全优先,各业务部门指定对接人配合安全部门重保。
标签:网页,系统,篡改,重保,安全事件,日志,心得,小记 From: https://www.cnblogs.com/manmanwei/p/16791205.html