目录
第1章 HW整体工作工作部署
1.1 工作组织架构
1.2 各部门工作职责
1.3 演练期间工作机制
1.3.1 工作汇报机制
1.3.2 应急响应机制
第2章 系统资产梳理整改
2.1 敏感信息梳理整改
2.2 互联网资产发现
2.3 第三方供应商梳理
2.4 业务连接单位梳理
第3章 网络架构梳理整改
3.1 网络访问路径梳理
3.2 运维访问路径梳理
3.3 安全架构梳理
3.4 网络策略优化
第4章 安全检查加固
4.1 网络设备检查加固
4.2 配置加固
4.3 安全设备检查加固
4.4 主机安全检查加固
4.5 应用系统安全检查加固
4.6 运维终端安全检查加固
4.7 渗透测试
4.8 代码审计
4.9 弱口令及未授权漏洞安全检查
4.10 梳理检查
4.11 数据库梳理检查加固
第5章 实战保障
5.1 建立沟通群组
5.2 安全检测
5.3 研判分析
5.4 现场组织及报告输出
本HW应用项目组接到集团通知后,成立了专项信息安全工作小组,组织各职能岗位、合作厂商统计信息资产,并制定了HW行动演习保障方案。保障方案汇报如下:
一是项目组负责人为本HW应用平台保障的第一责任人,并且内部对相关要求传达到位。按照“谁管理谁负责、谁建设谁负责、谁运维谁负责、谁使用谁负责”原则,进一步分解落实网络安全责任;相关网络安全责任须逐一细化落实,不留安全死角;采取有效措施,压紧压实各个环节和各个模块的网络安全主体责任,切实做到“守土有责、守土负责、守土尽责”。
二是加强对HW全过程的安全管控,将对所有参加HW行动的人员严格管理(包括技术支持单位及其人员) ,组织签署安全保密协议和承诺书,严格安全保密要求。
三是建立信息互通机制,本HW应用项目已经完成开会议传达相关要求,内部沟通讨论过程中可能存在的问题;大家及时做好问题反馈,发现情况第一时间报送至项目组负责人,之后统一反馈至数科公司网络安全保障工作小组指挥部。
基于集团安排的HW整体工作组织架构,本HW应用相关的HW小组分为如下三个小组。
一是HW运维专业组由数科运维同事及安全主防厂商组成,负责在一线对本HW应用进行持续安全监测,对监测发现的或客户反馈的突发安全事件及时汇报并进行处置。
二是技术专家组由本HW应用技术人员和运维厂商组成,负责对安全事件进行分析和溯源,并负责对HW中发现的安全漏洞安排修复。
三是业务专家组由本HW应用产品组成员组成,负责对系统整体影响进行评估,并支持系统账号及相关功能模块的管理。
HW期间,本HW应用所有支持成员采取现场集中办公制度,并直接像运维安全小组汇报。
HW期间,如收集疑似失陷的相关告警、日志等特征,第一时间在一线HW工作组中汇报,由二线专家组在一个小时内判断是否为误报,并指引一线人员紧急处置,阻断攻击源并告知HW领导小组。
随后一线人员应根据专家组要求,应在一个小时内完成失陷相关信息收集,交由二线专家组进行失陷原因分析。二线专家组在一个工作日内分析判断是否因产品漏洞引起,并及时联系厂商安排紧急加固。
由于互联网的开放性,使得黑客可以采用多种手段攻击邮件系统产品。目前邮件系统中,针对邮件系统常见的攻击防范手段描述如下:
1、目前存在的敏感信息
应用系统目前经梳理存在的敏感信息包括:用户账号密码、手机号码、邮箱地址、地址信息。
2、敏感信息的保护策略
加密敏感信息传输和存储,使用HTTPS协议进行数据传输,确保数据在传输过程中的安全性。
对敏感信息进行加密存储,使用AES等强加密算法进行加密,确保数据在存储过程中的安全性。严格限制敏感信息的访问权限,建立合理的访问控制和权限管理机制,确保只有经过授权的人员能够访问和使用敏感信息。对不同级别的敏感信息设置不同的访问权限,控制信息接触范围。加强敏感信息的脱敏处理,在日志、备份等文件中,对敏感信息进行脱敏处理,防止信息泄露。使用安全的加密算法和协议,避免使用已被证明存在安全漏洞的加密算法,如MD5、SHA-1等(当前项短期内无法整改)。
优先选择使用国际公认的加密算法和协议,如AES、RSA、TLS等。
HW期间对应用系统进行安全审计和漏洞扫描。HW期间对应用系统进行安全审计和漏洞扫描,发现潜在的安全风险并及时修复。对敏感信息的访问、传输、存储和处置过程进行审计,确保符合安全要求。
参考《资源清单总台账》
系统名称:集团应用系统(本HW应用), 供应商:北京XXX科技有限公司
由于互联网的开放性,使得黑客可以采用多种手段攻击邮件系统产品。目前邮件系统中,针对邮件系统常见的攻击防范手段描述如下:
1、 各安全域业务流梳理:通过梳理出来的内外网《资产清单》,连同网络工作组、应用系统工作组、安全工作组相关人员,逐个排查每个安全域系统的业务数据流向途径的安全区域、网络安全设备、代理设备(包括地址转换)等;
2、 重要系统业务流确认:通过梳理的各安全域业务流,挑选几个重要系统确认业务流是否与安全域经过的业务流相同。
交付物:《数据流向记录表》
1、各系统运维流梳理:连同网络工作组、应用系统工作组、安全工作组相关人员,逐个排查重要系统的整个运维数据流向访问路径和方式。
2、运维流整改加固:统一使用专用堡垒机或跳板机进行运维工作,禁止非运维终端处理运维工作。使用运维 ip 网段进行运维管理,其他网段禁止访问业务后台。
交付物:《数据流向记录表》
1、 安全设备部署问题:
通过分析网络拓扑图,查看设备是否部署齐全,是否还有缺失,地址网段运维人员是否清楚;
2、 监测流量是否全问题:
通过《资产清单》及网络拓扑抽样排除每个安全域经过的流量是否存在缺失;
3、 安全策略问题:
通过分析网络拓扑图和询问客户方网络工程师,查看安全域是否划分,隔离措施是否到位;
4、 加密流量问题:
南北向流量:梳理 https 访问的业务系统
交付物:《安全设备部署拓扑示意图》
1、 删除网络设备安全设备的多余、过期策略,设置集权设备、安全设备被访问权限
2、ip 网段及服务端口最小化,禁止开放高风险端口
3、主机对外访问权限限制,登陆及访问方式限制
4、WAF仅保留内地与香港的用户访问
由于互联网的开放性,使得黑客可以采用多种手段攻击邮件系统产品。目前邮件系统中,针对邮件系统常见的攻击防范手段描述如下:
- HW期间每天检查云防火墙,检查失陷的主机,对主机进行隔离;
- HW期间每天检查网络流量,对出现异常高的流量进行预警,对暴露的漏洞进行打补丁;
- HW期间每天检查是否有威胁IP入侵,对入侵IP进行封禁。
4、HW期间检查网络设备安全基线配置
账号管理、认证授权,初始模式下,为没有密码的管理员账号添加密码,确保只能用于Console连接,不能用于远程登录。对用户自行创建本机登录账号,为其设定密码和权限。
强烈建议使用enable secret命令设置特权口令,备份系统配置文件,在进行任何加固操作之前,务必备份网络设备的系统配置文件,以防止意外情况导致数据丢失。
5、HW期间网络设备安全加固措施
限制访问相关IP,限制网络设备管理终端的访问,只允许授权用户访问网络设备。使用VPN或其他安全隧道技术,确保远程访问的安全性。漏洞扫描和修复,对网络设备进行漏洞扫描,及时发现并修复安全漏洞。关注厂商发布的安全公告和更新,及时安装补丁和更新。
网络通信加密,采用加密传输技术,如SSL/TLS协议,对网络通信进行加密,确保数据在传输过程中不被窃取或篡改。
评估系统可定制组件的状态和依赖关系,找到安全和功能之间的“契合点”。
关闭不必要的端口和服务,降低安全风险。
使用强密码策略,并定期更换密码。
应用程序加固,对于运行在网络设备上的应用程序,采取加固措施,如使用防火墙、安装自动更新和补丁、使用防病毒软件等。
进行静态应用程序安全测试(SAST)和持续的动态应用程序安全测试(DAST),确保应用程序的安全性。
数据备份与恢复,定期备份网络设备上的重要数据,并验证备份数据的完整性和可用性。
制定数据恢复计划,确保在发生数据丢失或损坏时能够迅速恢复数据。
HW期间通过安全设备对系统进行基线扫描,找到存在的基线漏洞;
HW期间对基线漏洞进行修复,提交安全设备扫描,持续修复发现漏洞。
如:CentOS Linux 7/8安全基线修复
`使用非密码登陆方式如密钥对,请忽略此项。`在 `/etc/login.defs `中将 PASS_MAX_DAYS 参数设置为 60-180之间,如:
PASS_MAX_DAYS 90
需同时执行命令设置root密码失效时间:
chage --maxdays 90 root
1、创建新账号 ecs-user
adduser ecs-user
2、为新账户设置密码
passwd ecs-user
3、确认ecs-user账户可正常登录使用
4、给新帐号添加免密sudo权限
vim /etc/sudoers
在root ALL=(ALL) ALL 下面一行添加一行
ecs-user ALL=(ALL) NOPASSWD:ALL
5、限制root 登陆
编辑SSH 的配置文件 /etc/ssh/sshd_config
找到 'PermitRootLogin' 配置项
设置为 'PermitRootLogin no'
若没有则手动新增
如:Docker安全基线修复
- 要在bash shell中启用内容信任,请输入以下命令:`export DOCKER_CONTENT_TRUST=1`
- 添加“ --read-only”标志,以允许将容器的根文件系统挂载为只读。 可以将其与卷结合使用,以强制容器的过程仅写入要保留的位置。
- Nginx SSL协议采用TLSv1.2:等
HW期间每天检查主机安装杀毒软件情况
1、HW期间检查主机硬件安全:涉及对主机的物理硬件进行定期检查,确保内存、CPU、电源及硬盘等不会在使用过程中突发损坏。
2、HW期间检查主机系统安全:包括系统漏洞的更新和维护,确保运行系统的安全性。
3、HW期间检查主机软件安全:除了硬件和系统方面,还包括附加的安全技术和安全管理措施,如控制访问权限、报警机制、日志审计和统一管理等。
4、HW期间检查主机网络安全:主机应具备一定的防火墙和网络安全策略,以禁止未经授权的访问,并监控和过滤网络流量。
5、HW期间检查主机操作系统安全:主机的操作系统应经过安全配置,包括加强密码策略、禁用不必要的服务和功能、限制用户访问权限等。
6、HW期间检查主机应用程序安全:主机上的应用程序应经过安全配置,包括漏洞扫描和修复、限制应用程序的访问权限、加强应用程序的认证和授权管理等。
7、HW期间检查主机数据安全:主机上的敏感数据应加密存储,确保数据不会被非法访问、篡改或泄露。
8、HW期间检查主机维护与更新:主机应经常进行安全维护和更新,包括系统补丁、安全软件更新、日志审计和监控等。
9、HW期间检查主机物理安全:主机应放置在安全的地方,防止被盗或损坏,并采取措施防止未经授权的物理访问。
1、对应用进行范围和边界评估
明确要评估的应用系统范围,包括相关的硬件、软件和网络环境。
确定评估的时间和资源,确保评估工作的顺利进行。
2、对系统资产清单梳理
对应用系统的硬件、软件和网络资产进行识别,包括服务器、数据库、应用程序、网络设备等。
确定每个资产的价值和重要性,为后续的评估工作提供依据。
3、应用系统风险评估
通过分析应用系统的风险,确定潜在的威胁和漏洞。
使用风险评估工具、技术规范和安全标准等方法进行评估,对系统进行全面的审查。
4、应用脆弱性分析
检查应用系统中可能存在的脆弱性和漏洞,包括操作系统、应用程序、网络协议等方面。
使用漏洞扫描工具、代码审核工具等进行分析,确保全面发现潜在的安全问题。
5、对应用系统进行安全性测试
根据应用系统的需求和风险评估结果,进行安全性测试,包括渗透测试、密码破解测试等。
测试系统的身份认证、访问控制、数据保护等方面,确保系统的安全性。
6、加固措施
更新和补丁管理:
及时更新操作系统、应用程序和安全补丁,修补已知的安全漏洞。
定期检查并应用最新的安全补丁和更新。
访问控制和身份认证:
建立合理的访问控制策略,确保只有授权用户能够访问系统。
采用强密码策略,如要求密码长度、复杂度等。
使用多因素身份认证等方式提高安全性。
安全策略和审计日志:
制定和执行安全策略,监控和审计系统操作。
及时发现异常行为,并记录和分析审计日志。
追踪安全事件和威胁,确保及时响应和处理。
数据保护和备份策略:
加密、备份和安全存储重要数据,确保数据不被未经授权的人员访问和篡改。
1、HW期间准备
确定检查范围:明确需要检查的运维终端范围,包括物理终端、虚拟终端等。
收集信息:收集运维终端的相关信息,如型号、配置、操作系统版本、已安装软件等。
2、安全检查
操作系统安全:
检查操作系统补丁更新情况,确保已安装所有关键安全补丁。
禁用不必要的服务和端口,减少潜在的安全风险。
HW期间启用防火墙和入侵检测系统(IDS/IPS),监控和防御潜在的网络攻击。
账号与权限管理:
审查运维终端的账号和权限设置,确保没有非法的账号和权限过高的账号。
强制使用强密码策略,并定期更换密码。
HW期间启用账号锁定和登录失败锁定策略,防止暴力破解。
软件安全:
检查已安装的软件是否存在已知的安全漏洞,并更新或卸载不安全的软件。
HW期间禁止安装未经授权的软件和插件,防止恶意软件的入侵。
数据安全:
检查运维终端上的数据备份和恢复策略,确保数据的安全性。
加密存储敏感数据,防止数据泄露。
HW期间清理不必要的文件和日志,减少潜在的安全风险。
3、加固措施
配置加固:
根据安全检查结果,对运维终端的配置进行加固,如禁用不必要的服务和端口、限制账号权限等。
启用操作系统的安全特性,如强制访问控制、审计和日志记录等。
软件加固:
安装防病毒软件和恶意软件防护工具,防止恶意软件的入侵。
启用软件的安全特性,如自动更新、漏洞修复等。
数据加固:
HW期间加强数据的加密和备份策略,确保数据的安全性和可用性。
HW期间对数据进行备份和恢复测试,确保备份的有效性。
4、安全审计和监控
安全审计:
HW期间对运维终端进行安全审计,检查是否存在潜在的安全风险。
审查运维人员的操作记录,确保合规性和安全性。
监控与日志:
启用操作系统的监控和日志记录功能,记录所有重要的系统事件和操作。
HW期间检查和分析日志记录,发现异常行为和潜在的安全风险。
1、信息收集
通过公开渠道(如搜索引擎、社交媒体、公共数据库等)收集关于应用系统的信息。
使用扫描工具(如Nmap、Zenmap等)对应用系统网络进行扫描,发现开放的端口和服务。
2、 漏洞分析
分析收集到的信息,识别潜在的安全漏洞。
使用自动化工具(如Metasploit、BurpSuite等)和手动方法验证漏洞的存在。
3、 报告和修复
编写详细的渗透测试报告,包括发现的漏洞、利用方法、潜在风险和修复建议。
将报告提交给开发团队和安全团队。
组织修复已发现的漏洞,并提供后续的安全咨询服务。
1、代码安全审计的内容
源代码分析:对软件系统的源代码进行逐条检查和分析,查找潜在的安全缺陷和编码不规范的地方。
安全漏洞检测:利用自动化工具或人工审查的方式,发现源代码中可能存在的安全漏洞,如SQL注入、跨站脚本攻击(XSS)、文件上传漏洞等。
编码规范检查:检查代码是否符合编程规范和安全最佳实践,如密码存储加密、输入验证、错误处理等方面的规范。
2、代码安全审计的方法
通读全文法:对整个程序的代码进行阅读,从而发现问题。这种方法虽然全面,但耗时较长,适用于小型程序源码或企业对自己产品的审计。
函数回溯法:通过寻找使用不当的函数,快速发现潜在的漏洞。这种方法可以利用工具进行审计,提高审计效率。
定向功能分析法:根据程序的业务逻辑和业务功能进行审计,先浏览网站页面,猜测可能存在的漏洞,然后针对猜测结果进行定向分析。
1、弱口令安全检查
使用弱口令检查工具:Nessus、Nmap、Wfuzz等工具自动扫描系统中的账号密码,识别出存在弱口令的账号,并给出改进建议。这些工具通常结合内部词典和黑名单进行检查,提供高效率和准确性。
执行步骤
收集口令信息:首先收集系统中的所有用户账号和密码信息。
创建口令字典:根据已知的弱口令特征和常见的密码组合规律,创建一个弱口令字典。
弱口令检测:使用创建的字典和算法,对系统中的密码进行弱口令检测。
弱口令处理:对于检测到的弱口令,系统管理员应及时通知用户更改密码并加强安全性。
2、未授权漏洞安全检查
端口扫描:使用如Nmap等工具扫描目标系统的端口开放情况,发现可能存在未授权访问的端口。
服务测试:对发现的开放端口进行服务测试,如Redis服务的未授权访问漏洞测试,通过redis-cli等工具连接并尝试进行未授权操作。
执行步骤:
确定目标:明确要检查未授权漏洞的目标系统或服务。
端口扫描:使用端口扫描工具对目标系统进行扫描,发现开放的端口。
服务测试:针对开放的端口,使用相应的工具或命令进行测试,检查是否存在未授权访问的漏洞。
漏洞处理:对于发现的未授权漏洞,及时采取相应的安全措施进行修补或加固。
1、检查措施
检查API是否公开了不应该公开的敏感端点。
确保API只提供必要的功能,避免暴露过多信息。
检查API请求参数是否可以被篡改,以及是否有适当的验证机制。
使用HTTPS来加密传输的数据,防止中间人攻击。
验证API是否容易受到CSRF攻击,并采取相应的防护措施,如使用验证码或Token。
检查API是否容易受到文件包含漏洞的攻击,如远程文件包含(RFI)或本地文件包含(LFI)。
审查API是否容易受到命令注入攻击,并确保输入验证和过滤机制的有效性。
验证API是否使用了适当的身份验证机制(如OAuth、API密钥等)。
确保只有授权用户才能访问API,并精细控制用户权限。
2、API清单
本次护网行动中,对数据库的梳理、检查和加固是关键步骤,数据库存储着敏感和关键的数据,是网络攻击的主要目标之一。以下是进行数据库梳理、检查和加固的行动方案:
1.梳理数据库资产:
梳理公司内所有数据库的类型、版本、用途和存储的数据类型。记录数据库的位置、访问权限和使用情况。
2.访问控制和权限管理:
审核并限制对数据库的访问,确保只有授权用户才能访问,对开发环境和测试环境的数据库进行停用关闭,禁止IP访问及账户登录,对生产环境固定IP白名单进行访问,并修改原有账户的密码,关停非必要使用的账户。
3.数据分类和敏感性评估:
对存储在数据库中的数据进行分类,识别敏感数据。根据数据的敏感性,确定保护措施的优先级,生产环境对涉及到有用户数据未加密且未被应用系统实时调用的表进行数据备份及迁移。
4.漏洞扫描和安全检查:
使用自动化工具对数据库进行定期的安全扫描,发现潜在的安全漏洞。手动检查数据库配置,确保没有配置错误。
5.更新和补丁管理:
检查数据库软件的更新,及时应用安全补丁。测试补丁以确保它们不会影响数据库的性能或功能。
6.加密和数据保护:
对敏感数据进行加密存储,使用强加密算法,确保数据在传输过程中也进行加密。
7.备份和恢复计划:
实施定期的数据库备份,并确保备份数据的安全。制定并测试数据库恢复计划,以应对数据丢失或损坏的情况。
8.监控和审计:
启用数据库的监控和审计功能,记录所有关键操作。分析审计日志,以便及时发现异常行为。
9.断开与外部直连的库连接,并清理连接信息。
10.制定数据库安全事件的应急响应计划。准备应对数据库被攻击或数据泄露的措施。
以下是数据库资产梳理及处理应对方案
由于互联网的开放性,使得黑客可以采用多种手段攻击邮件系统产品。目前邮件系统中,针对邮件系统常见的攻击防范手段描述如下:
HW期间,除现场按统一组织架构部署外,建立和本HW应用相关的虚拟群主,主要包括各相关事业群的技术与业务群组,及和本HW应用有关的外部企业群组。
1、资产梳理:基于组织架构,资产类型,资产重要性进行梳理,包括外网资产,内网资产;对IP,系统,服务器,数据库,端口,域名,厂商,名称,开放服务,中间件,部署位置,系统版本,负责人,漏洞,弱口令,边界完整性等进行安全检测;
2、漏洞检测:利用漏扫工具,检测业务系统漏洞,检查弱口令,高危端口,高危漏洞,违规外联,违规内联,双网卡等;
3、及时加固:对漏洞及时解决加固,关闭漏洞端口及服务,补丁包进行升级,过滤IP地址及端口;对口令进行加固,增加复杂度,缩短使用周期;对服务器安全配置进行升级,包括操作系统,数据库,中间件,网络安全配置等。
在实战防护中,研判分析是整个防护工作的大脑,需要具备攻防技术能力,熟悉网络和业务,以充分发挥专家和指挥棒的作用。其中,监测预警、研判分析、追踪溯源是护网演练过程中最为核心的三个能力,也是最关键的三个工作流程,相互关联,共同构建起一个有效的防御体系。
本次护网行动的研判分析的流程一般包括六个步骤:攻击告警真实性研判、攻击事件调查、攻击行为特征分析、攻击意图研判、处置方式判断以及后续的追踪溯源。工作组快速识别攻击行为,并采取有效的防御措施。
实战过程中,需要将工作组拆分为几个小组,包括:安全运营中心,研判分析团队及管理团队,并参考按照以下步骤和方法进行协同:
1. 安全告警的接收与初步分类:
安全运营中心负责监控网络安全设备,接收来自各种安全工具(如SIEM、EDR、防火墙等)的告警。对告警进行初步分类,判断其紧急性和重要性。
2. 告警的详细分析:
对于初步分类后的告警,研判分析团队深入分析,确定告警的真实性,评估攻击的性质和严重程度。使用各种工具和技术,如流量分析、日志审查、威胁情报等支持分析。
3. 信息共享与沟通:
研判分析团队与安全运营中心之间需要有高效的沟通机制,确保信息的实时共享,包括告警详情、分析结果、攻击者的策略和技术(TTPs)等。
4. 决策支持:
研判分析团队提供决策支持,向安全运营中心提出建议,如是否需要进一步调查、是否需要采取特定的防御措施等。
管理团队在这一过程中扮演协调角色,确保决策的一致性和执行。
5. 应急响应与处置:
一旦研判分析团队确定了攻击的性质,安全运营中心将采取相应的应急响应措施,如封禁IP、隔离受感染的系统等。
处置团队根据研判分析团队的指导,执行具体的技术操作。
6. 持续监控与反馈:
安全运营中心持续监控网络状态,确保处置措施有效,并提供反馈给研判分析团队。
研判分析团队根据反馈调整分析策略,优化响应流程。
7. 跨团队协作:
在需要时,研判分析团队会与其他团队(如安全专家团队、威胁狩猎团队等)协作,共同应对复杂的安全挑战。有助于从不同角度分析问题,提供更全面的解决方案。
1、现场组织
现场组织按责任分工,包括指挥组、研判组、应急响应组、技术支持组等,并建立通信机制,确保所有团队成员能够通过电话、邮件、即时通讯工具等方式快速沟通;根据护网行动的目标和预期威胁,制定详细的行动计划和应急响应流程;科信部指挥组负责现场的协调工作,确保各团队按照计划行动,并实时监控网络状态和行动进展,记录所有关键活动和决策。
2、报告输出
通过有效的现场组织,及时出具相应的分析报告,能够确保网络安全事件得到及时和专业的处理,为后续的安全工作积累宝贵的经验和数据支持,主要输出的报告如下:
(1).事件报告:对发生的安全事件进行详细记录,包括时间、地点、影响、处理措施等。
(2).研判分析报告:研判团队对事件进行深入分析,输出研判分析报告,包括攻击手段、攻击者可能的身份、潜在影响等。
(3).应急响应报告:记录应急响应过程中的关键决策和行动,以及实施效果。
(4).技术报告:技术支持团队提供技术层面的分析和建议,如系统加固、漏洞修复等。
(5).总结报告:行动结束后,编写总结报告,总结经验教训,提出改进建议。
(6).保密和合规:确保报告内容符合保密要求和法律法规。
(7).后续跟踪:根据报告中的建议,进行后续的跟踪和改进工作。
应急预案
一旦研判分析团队确定了攻击的性质,安全运营中心将采取相应的应急响应措施,如封禁IP、隔离受感染的系统等。
技术团队根据研判分析团队的指导,执行具体的技术操作。
建立沟通群组
HW期间,除现场按统一组织架构部署外,建立应急处理组,应急指挥部,应急响应小组,技术支持团队。
小组职责
应急指挥部:
统一指挥网络安全攻防演练的应急响应工作。
确定应急响应级别,启动应急预案。
协调各部门、各团队开展应急响应工作。
向上级报告网络安全事件及应急响应情况。
应急响应小组:
负责网络安全事件的具体处理。
分析网络安全事件原因,提出解决方案。
向应急指挥部报告事件处理情况。
技术支持团队:
提供网络安全技术支持,协助应急响应小组进行事件处理。
负责网络安全设备的维护和升级。
参与网络安全攻防演练的技术准备和演练过程。
应急措施
- 采取技术措施,阻止或缓解网络攻击,如:应用系统服务停机,网络断通联,中间件断联通,数据库端口关闭访问,数据库服务器关机,尽可能减少攻击传播和扩散。
- 发现异常IP访问服务器或对服务器进行读写时,立即将该IP加入防火墙黑名单隔离。
3、被攻击后马上组织分析事件原因,确定漏洞或攻击手段。如有漏洞,尽可能修复漏洞,加强安全防护。
4、排查攻击后如对系统无影响则恢复系统正常运行,开放相应网络访问和功能模块。
5、应急响应小组向应急指挥部报告事件处理情况,包括事件原因、处理措施、影响评估等。