1.背景说明
近年来针对政府网站、关键信息基础设施和重要信息系统运营使用单位的攻击日趋严重, 特别在重大活动期间更有可能发生突然的网络安全事件。这些网站和系统的安全不仅关系到单位的切身利益,更是国家网络安全和国家形象的一张名片,保证其安全的重要性不言而喻。庆祝新中国成立70周年大庆活动在即,上述重点单位受到网络攻击的风险骤然增加,面对此种情形,如何制定一整套完整的网络应急方案,如何做好重点单位的网络安保工作。长沙市公安局提供几点网络安全保卫工作建议:
2.保障目标
保障各重点网络系统在此次“70周年大庆”中不出现网络安全案事件,全面防御住来自国内或者国外的网络攻击,打赢此次防御战。
3.安全保障范围
保障设备范围:各重点管辖的服务器等。
保障系统范围:各重点管辖的单位内网及外网业务资产。
4.安全保障方案
4.1保障方案整体说明
请各重点单位结合单位业务现状,同步自主开展“70周年”网络安全重点时期保障工作,整个保障工作应包含如下内容:
保障前,开展网络安全自查自纠工作。主要包括安全风险评估、安全加固、安全防护措施部署、应急预案制定、实战攻防演练、全员信息安全意识宣贯等方面的工作;
保障中,开展网络安全值守及监测工作。重点工作是对各重点整体网络安全态势进行7x24小时的实时安全监控、事件分析与事件响应;每天进行总结,对不足之处及时调整;做好突发信息安全事件的应急处置工作。
保障后,开展网络安全总结及报送工作:重点工作是对整体重点期间,包括行动前、行动中的全部工作进行全面总结最佳实践,同时梳理残余风险并对提出风险处置建议,根据处置建议进行进一步安全加固。针对发现的风险问题,报送长沙市公安局备案。
4.2“大庆安保”前(9月份)
4.2.1资产梳理
表2-1 资产梳理内容
服务内容 | 详细描述 | 评估方式 |
物料准备 | 根据单位网络实际情况,准备相关的安全防护产品和工作人员,确定项目实施进度工期。 | |
业务系统梳理 | 通过单位安全访谈调研和工具扫描测试,确定评估范围及具体系统。识别业务环境状况、排除不必要开放且存在高危风险的资产,并针对重要业务系统制定评估详细方案。针对重要的业务系统进行深度资产识别如操作系统、应用服务器、程序框架内容等信息。 | |
安全架构梳理 | 进行单位安全访谈和调研,了解单位已有的安全措施及安全建设现状。根据识别的安全体系建设(防御检测响应)及管理制度建设情况,分析安全规划/区域划分是否合理,并识别安全建设风险及调整评估方向。 |
4.2.2安全风险评估
借助半自动化工具和现场人工的方式,对内网的业务系统、网络设备、主机、数据库等分别进行网络、应用、主机以及web安全风险评估。
2.1.2.1 网络安全风险评估
表2-2 网络风险评估内容
评估内容 | 详细描述 | 评估方式 |
网络架构安全 | 通过单位访谈,从技术、策略和管理等角度更深层次地了解单位的网络安全现状,挖掘出当前网络中存在的威胁和风险 | 访谈 |
安全漏洞扫描 | 利用漏洞扫描工具对网络设备进行扫描。 | 工具 |
安全基线配置 | 利用安全基线配置核查工具对网络设备的安全配置进行全面检查。(核查结果以单位规范为准) | 工具 |
版本漏洞 | 包括但不限于设备操作系统存在的漏洞,涉及设备包括A网和B网所有在线网络设备及安全设备 | 工具 |
弱口令 | 严格禁止所有账号的弱口令、空口令情况。 | 工具 |
telnet远程登录 | 禁用Telnet进行远程管理; | 工具 |
账号、权限 | 1、检查管理员账号和权限,关闭不必要的账号和不合理的账号权限; 2、保证密码强度符合安全基线要求。 | 工具 |
远程登录白名单 | 限制可以远程管理的IP地址。 | 工具 |
开启日志审计 | 开启网络设备的日志审核功能。(配置参考安全基线配置) | 工具 |
web页面 | 路由器交换机必须禁用web管理页面 | 访谈+人工 |
配置备份 | 所有网络设备全部要做好配置备份,确认备份有效可以恢复。(根据实际情况) | 访谈+人工 |
2.1.2.2 应用安全风险评估(含APP)
表2-3 应用安全风险评估内容(含APP)
评估内容 | 详细描述 | 评估方式 |
身份鉴别 | 评估应用系统的身份标识与鉴别功能设置和使用配置情况;应用系统对单位登录各种情况的处理,如登录失败处理、登录连接超时、密码超时等。 | 工具 |
访问控制 | 评估应用系统的访问控制功能设置情况,如访问控制的策略、访问控制粒度、权限设置情况等。 | 人工 |
安全审计 | 评估应用系统的安全审计配置情况,如覆盖范围、记录的项目和内容等;检查应用系统安全审计进程和记录的保护情况。 | 人工 |
应用漏洞检测 | 包括但不限于数据库 Oracle、DB2、MSSQL,Web 服 务, 如 Apache、WebSphere、Tomcat、IIS 等,其他 SSH、FTP 等的缺失补丁或版本漏洞检测;组态软件存在安全漏洞。 | 工具 |
渗透测试 | 通过采用适当测试手段,发现测试目标在信息系统认证及授权、代码审查、被信任系统的测试、文件接口模块报警响应等方面存在的安全漏洞,并现场演示再现利用该漏洞可能造成的单位资金损失,并提供避免或防范此类威胁、风险或漏洞的具体改进或加固措施。 | 人工 |
2.1.2.3 主机安全风险评估
表2-4 主机安全风险评估内容
评估内容 | 详细描述 | 评估方式 |
webshell检查 | 采用专业webshell检测工具,对提供web服务的系统进行Webshell后门排查,验证服务器的安全性,确保清除曾经可能被入侵遗留下的后门。 | 工具 |
恶意文件检测 | 利用专业僵木蠕检测工具对操作系统进行恶意文件排查,并针对恶意文件进行行为分析,确认病毒家族及其危害。 | 工具 |
弱口令 | 严格禁止所有账号的弱口令、空口令情况。 | 工具 |
端口及服务 | 服务器只开放自身提供服务相关端口,关闭不必要的端口和对外服务。 | 工具 |
服务器防火墙 | 1、服务器须开启防火墙策略; 2、默认禁止所有主动对外访问行为; 3、如有需要,需严格制定访问控制策略,实行服务器对外访问白名单。 | 人工 |
系统漏洞扫描 | 操作系统、数据库及常见应用/协议漏洞扫描;支持如CVE、MS、CNVD等威胁情报机构通报的漏洞安全检查。如Bash破壳漏洞CVE-2014-6271、永恒之蓝MS17-010漏洞等 | 工具+人工 |
安全基线检查 | 对主机/数据库的操作系统进行安全配置基线检查,保证系统安全;主要包括如账户、授权、弱口令、补丁、日志和不必要的服务等(核查结果以单位规范为准) | 工具 |
2.1.2.4 Web安全风险评估
表2-5 Web安全风险评估内容
评估内容 | 详细描述 | 评估方法 |
Web安全扫描 | 通过Web扫描器对Web业务系统进行扫描,主要包含如下两大类服务 Web漏洞扫描,覆盖web通用漏洞和常规漏洞。支持SQL注入、XSS、安全配置错误、已知漏洞组件包含、敏感信息泄露等常见漏洞的检测; 信息泄漏检测,检测网站源码、数据库备份文件、SVN文件、系统重要配置、日志文件向外网泄漏 | 工具 |
资产暴露面检查 | 根据单位提供目标模拟黑客进行信息收集,如资产详细信息(程序名称,版本),开放的危险端口,业务管理后台 | 工具 |
Web攻击防护能力 | 针对单位提供的业务系统及防御体系,对业务系统发起如SQL注入、XSS、webshell上传等web攻击,验证防御体系的Web防护防护能力;单位可以针对检测结果,进行安全策略调整或安全整改 | 人工 |
4.2.3安全突发事件应急处置预案
2.1.5.1 成立应急指挥组织机构
2.1.5.2 安全突发事件分级
按照信息系统网络与信息安全事件的危害程度、影响范围和造成的损失,将分单位安全事件分为特别重大事件、重大事件、较大事件和一般事件四个级别。
事件级别 | 网络层面 | 业务系统层面 | 处理要求 |
特别重大事件 | 因网络中断,造成单位内三分之二以上部门不能正常使用;或造成一个及以上的主营业务系统,持续时间达 12小时以上的 | 因系统主要功能不可用,造成单位内三分之二以上部门不能正常使用;或造成一个及以上主营业务系统,系统瘫痪时间 12个小时以上的 | 突发事件联络员全天候值班,安全服务管理职能部门负责人、与应急相关的其他部门负责人应急服务团队主管,取消休假,处于随时待命状态。 |
重大事件 | 因网络中断,造成单位内半数以上部门不能正常使用;或造成一个及以上主营业务系统,持续时间超过 6小时以上。 | 因系统主要功能不可用,造成单位内半数以上部门不能正常使用;或造成一个及以上主营业务系统,系统瘫痪时间 6个小时以上。 | 突发事件联络员全天候值班,安全服务管理职能部门负责人、与应急相关的其他部门负责人应急服务团队主管,取消休假,处于随时待命状态。 |
较大事件 | 因综合业务数据网络中断,造成单位内四分之一以上部门不能正常使用;或者一个及以上主营业务系统,持续时间超过 2小时以上。 | 因系统主要功能不可用,造成单位内四分之一以上部门不能正常使用;或造成一个及以上主营业务系统,系统瘫痪时间 2个小时以上 | 突发事件联络员全天候值班,安全服务部管理职能部门负责人、与应急相关的其人员处于随时待命状态。 |
一般事件 | 因综合业务数据网络中断而不能正常使用网络,造成单位内 1个及以上部门不能正常使用;或者一个及以上主营业务系统,持续时间超过 1小时以上 | 因系统主要功能不可用,造成单位内 1个及以上部门不能正常使用;或者一个及以上主营业务系统,系统瘫痪时间 1个小时以上 | 突发事件联络员全天候值班 |
2.1.5.3 安全事件应急响应内容
表2-13 安全事件应急响应内容
服务内容 | 详细描述 |
0day漏洞应急 | 当高危0day漏洞爆发时,主动对所监控单位业务做扫描发现,并提供0day漏洞解决方案。如Struts 2系列漏洞,永恒之蓝等。 |
病毒和蠕虫事件 | 第一时间进行漏洞验证和病毒检测,采取行动限制病毒/蠕虫扩散和影响的范围,对异常的系统进行初步分析,定位源头位置,确定根除方案和进行相应查杀,恢复安全事件所涉及到的系统,并还原到正常状态 |
黑客入侵事件 | 接到事故报警后在服务对象的配合下对异常进行初步分析,确认其是否真正发生了信息安全事件;采取行动限制事件扩散,确保封锁方法对涉及相关业务影响最小;通过对有关事件或行为的分析结果,找出事件根源,明确相应的补救措施并彻底清除。 |
误操作或设备故障事件 | 立即将生产系统向备份系统切换,运管中心人员向运行负责人报告故障情况;切换完成后持续关注数据同步情况。 |
2.1.5.4 安全事件应急响应流程
2.1.5.5 安全事件应急处置预案
系统在应急状态下的系统恢复运行,与正常状态下的运行维护有很大的不同,按照危机或者应急状态,要求必须采取特殊的管理和技术措施,确保系统的部分和总体稳定运行。
(1)系统应急状态下的主要措施
在系统处于应急状态时,系统管理员进行维护遵从如下的原则和步骤:
l迅速成立由专家、领导组成的系统应急指挥领导小组;
l制定严密的系统恢复计划,并采取各种有效措施保证系统恢复的一次成功率;
l使用各种通信工具确保信息畅通;
l相关的各种文档准备;
l严格按照应急预案、应急计划、恢复计划等实施。
(2)应急状态下的系统恢复服务
应急状态下的系统恢复是一个复杂、繁重的系统工程,必须遵从某些原则和操作规程来确保系统恢复的有效和高效。
在系统恢复过程中,应该按照如下的顺序恢复系统的运行状态:
l恢复网络连接,测试网络系统的运行情况,及时处理各种问题,并进行记录;
l视系统应急状态,将安全系统恢复,保证系统在安全的环境中运行,并记录;
l恢复局域网内的各个单机系统,测试单机的系统运行状态,并记录;
l恢复应用系统,恢复应用系统数据、测试应用系统的运行情况、解决系统问题并记录;
l归纳总结系统应急恢复的整个过程,撰写系统应急恢复总结报告。
详见附件《安全事件应急处置预案》
5.2.4安全培训
通过定制的培训课程内容,使用相关材料讲解、案例资料等,帮助单位强化安全意识,了解信息安全攻防知识,以便更好的在攻防过程中进行有效应对。
针对组织决策者、管理者、运维人员和管理员等角色从个人电脑安全、邮件安全、移动安全、日常工作生活等维度进行强化安全意识培训。
针对运维人员、安全管理员进行安全意识培训、信息安全等级保护基础、信息安全法律和政策、信息安全标准介绍、信息安全等级保护定级指南等课程培训。
4.3“大庆安保”中(9月30日至10月7日)
4.3.1安全驻场值守工作内容
表2-12 安全驻场值守内容
服务内容 | 详细描述 |
安全威胁分析 | 综合安全检测类产品采集存储的安全日志,结合外部威胁情报,进行深度分析举证,分析网络中可疑的安全威胁,确定攻击入侵行为,并分析其影响和危害性。 |
安全事件处置 | 根据问题现象,对发现的异常事件协助处置清除恶意文件,快速业务恢复 |
事件溯源分析 | 深入调查,分析事件形成的原因,找出信息系统中存在的薄弱点形成攻击路径; |
网络攻击告警 | 针对网络攻击,实时发现报警,告警方式包括电话、短信、微信等方式; |
非法入侵告警 | 针对非法入侵攻击现象,支持实时发现报警,告警方式包括电话、短信、微信等方式; |
高危0day事件告警 | 出现0DAY漏洞时,如有影响范围大、破坏性高的重要网络安全事件和安全漏洞快速预警通告和检测,检测结果第一时间定向推送到单位 |
应急响应事件处置 | 针对单位突发的安全事件,如网页篡改,暗链,恶意程序,Dos攻击等,提供问题应急处置清除威胁协助恢复系统,并针对问题进行溯源分析入侵原因。 |
4.3.2安全驻场值守威胁管理流程
项目阶段 | 工作内容 | 说明 | 参考工具 | 交付物 |
准备阶段 | 实施完成 | 按照常规项目支持流程完成设备的上架实施工作。 | 态势感知标准化交付 | 《单位安全威胁访谈表》 《失陷主机报告》 《根因分析报告》 《业务危害报告》 《安全威胁处置报告》 《业务威胁分析与加固建议》 《安全服务承诺》 |
单位建档 | 工程师完成产品实施后,完成单位建档。 | |||
服务开始 | 实施完成后1周,准备首次主动安全威胁分析与处置服务 | 《安全服务承诺》 | ||
保障服务 | 服务预约 | 电话与单位取得联系,判断平台是否有有效日志,并预约首次上门分析事件。 | ||
单位访谈 | 通过访谈,了解单位平台使用情况,近期是否安全事件爆发,关注的安全问题,以及安全建设的一些需求和痛点。 | 《单位安全威胁访谈表》 | ||
全网威胁分析与处置 | 综合分析态势感知呈现的数据,发现风险,对失陷主机类的事件做处置。 | 《安全威胁分析与处置指南》 | ||
问题总结 | 就发现的风险进行总结,并面向单位进行汇报。 | |||
高层汇报 | 按需进行,面向单位高层进行较正式的汇报。 | |||
事件抑制&根除 | 对无法远程响应的态势感知安全事件进行响应,消除或减轻影响,并对恶意文件、代码进行根除 | 《安全事件响应指南》 | ||
根因分析&加固 | 对事件进行根因分析,并提供加固方案。 | |||
响应服务 | 事件响应 | 对单位上报的安全事件进行响应 | ||
事件抑制&根除 | 对可以远程响应态势感知安全事件进行响应,消除或减轻影响,并对恶意文件、代码进行根除 | 《安全事件响应指南》 | ||
根因分析&加固 | 对事件进行根因分析,并提供加固方案。 | |||
服务结束 | 单位归档 | 对响应的事件编写报告并归档;对威胁分析与处置编写的报告进行归档 | ||
质量监督 | 对服务进行回访,了解单位满意度,保障交付质量。 |
4.4“大庆安保”后(10月8日)
4.4.1安全保障总结
对整个安全保障工作进行总结,包括安全保障效果和成果、工作存在的问题和改进计划、业务和系统遗留风险及持续控制计划等,为后期保障工作总结最佳实践。
工作项 | 详细内容 |
安全保障总结 | 1、整理70周年大庆过程中所有过程文档; |
2、对本次保障工作进行全面总结; | |
3、对于前期的分析评估结论以及缺失,完善内容; | |
4、对保障期间的成果进行总结,形成70周年大庆总结报告。 | |
制定风险处置方案 | 针对70周年大庆过程中发现的未知风险,及判断可能存在的残余风险,制定风险处置方案。 |
4.4.2安全整改规划及备案
根据单位的信息化建设情况,结合国家的《网络安全法》和等级保护相关法律法规要求,制定科学、有效的信息安全建设规划,建立反应迅速的信息安全应急工作机制,确保重要计算机信息系统的实体安全、运行安全和数据安全,提高单位处置信息安全突发事件的能力。针对等级保护相关内容向市公安局进行定级备案。
备注:该网络安全技术方案,来自某网络安全公司的培训课件,供各单位开展网络安全保障工作参考。
2019年9月12日
声明:本文来自长沙网络与信息安全信息通报中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
