中秋过后,马上就是国庆小长假了。在各行各业欢度佳节的同时,安全从业人员也不敢松懈。今年是中华民国成立70周年。过去,国庆保底要大得多。如果在重保期间发生安全事件,其负面影响将是正常期间的数倍。如果一切都被预先警告,它将被放弃。保持这个攻略,国庆节就不怕了。国庆期间需要分保的单位一般是政府机关、大型国有企业、重点高校等,分保的主要目标是保证国庆期间不发生网页被篡改等安全事件。开展值班监测和事后应急预案。资产整理的预评估和强化:所谓兵马未用粮草先。资产是一切安全工作的基础。重保前需要做一次完整的资产整理,输出结果如下:分类处理,不重要的系统,重保期间关掉系统,重要的系统不能关掉,可以首先关闭易受攻击的模块,调整WAF、防火墙策略等,先降低漏洞的影响。在重保期间,小编遇到了一个系统bug来不及修复,无法关闭。管理员截图放在首页,以假乱真。单位信息系统资产划分:重保期间不能关停的重要系统,确保系统无漏洞。非必要的边缘系统,rebase期间的关闭处理。暴露在互联网上的灰度测试环境系统全部关闭。邀请第三方公司进行资产发现服务,比对现有资产清单,检查是否存在遗漏信息系统未备案的情况。安全评估:通过漏洞扫描和渗透测试,全面评估重要系统的潜在安全风险(需要关闭的系统在资产整理工作中已经确定,无需进一步评估)。后门筛查,扫描重要的信息系统网页文件和系统文件,检查是否有之前黑客留下的后门。日志分析:分析重要信息系统的访问日志,重点关注是否有后门连接记录。关键字包括连接日志,例如shell.asp和1.asp。分析系统日志,包括历史记录等,查看系统账户是否异常,是否存在影子账户、隐藏账户等。重点目录文件分析,查看上传目录,查看是否存在脚本文件。使用webshel??l扫描工具扫描整个磁盘。值班监控和重保启动时,需要安排人员值班和监控。监控工作安排如下:网页防篡改监控。一般网页防篡改开启后,网页无法更新。重保期间,通知各业务单位网页停止更新。防篡改,前端静态页面脚本和图片,后端数据库全部锁定。如需修改,业务部将通知安全部门暂时开放修改权限。重保启动后,通过网页监控防篡改器的运行状态,并不断刷新重要信息系统首页,检查是否有异常。态势感知监测。如果单位部署态势感知,可以通过分析流量和日志,实时监控网络异常情况。值班人员会实时关注态势感知告警,重点关注可能篡改网页的告警,如网络攻击、后门访问等,其他如流氓推广等,期间可暂时忽略再保险期。事后应急预案制定应急预案,分保前期与各业务部门确认:发现安全事件时,采用先断网后处置的方式,断网策略制定是为了保证监控人员在发现安全事件后,能第一时间通知网管人员断网。应急预案通知各业务部门知悉,在重保期间,安全优先,各业务部门指定对接人配合保卫部门进行重保。解决办法总是多于问题。小编在重保期间见过不少脑洞大开的设计。除了用截图作为网站首页,我还认识了一位在马爸爸家买了智能插座的管理员,连接服务器,出现问题,手机一键断网。直到分保前期,我才想到开始工作。前期的网络安全工作不是很充分,于是想到了临时抱佛脚借鸡汤:“越努力越幸运”。与其暂时抱佛脚,不如平时多烧香。守好这份指南,今年国庆再保再保也不怕了。
