經(jīng)驗分享:
為了落實國家和教育部關(guān)于網(wǎng)絡(luò)信息安全保障的相關(guān)政策和要求,加強(qiáng)學(xué)校網(wǎng)絡(luò)信息安全工作的建設(shè),提升學(xué)校網(wǎng)絡(luò)信息安全的檢測、預(yù)警和防護(hù)能力,針對學(xué)校數(shù)百個網(wǎng)站信息系統(tǒng),數(shù)百臺托管服務(wù)器以及數(shù)據(jù)庫、專用和通用IT設(shè)備、安全專用設(shè)備開展全面的定期安全自查和運行維護(hù)、滲透測試、威脅情報分析和預(yù)警,同時開展網(wǎng)絡(luò)安全事件應(yīng)急處置、安全值守;對學(xué)校的核心服務(wù)器提供專業(yè)的防病毒服務(wù),為學(xué)校開展相關(guān)的網(wǎng)絡(luò)安全宣傳和培訓(xùn)提供專業(yè)的組織、展示,最終通過建立的網(wǎng)絡(luò)安全保障體系,最大限度提升學(xué)校安全防護(hù)能力,保障校園網(wǎng)和業(yè)務(wù)系統(tǒng)安全穩(wěn)定運行,更好提升廣大師生的網(wǎng)絡(luò)安全意識,培養(yǎng)網(wǎng)絡(luò)安全習(xí)慣,滿足廣大師生安全用網(wǎng)的基礎(chǔ)需求。
成果展示:
在學(xué)校的網(wǎng)絡(luò)安全保障過程中,通過安全運維、安全威脅分析、安全預(yù)警及安全培訓(xùn)值守有效的構(gòu)筑了學(xué)校的網(wǎng)絡(luò)安全保障體系,同時結(jié)合近幾年公安部護(hù)網(wǎng)的實際要求和需求,針對護(hù)網(wǎng)制訂了行之有效的符合學(xué)校實際的護(hù)網(wǎng)保障方案,具體如下:
護(hù)網(wǎng)期間間,重點開展網(wǎng)站安全監(jiān)測及遠(yuǎn)程安全值守工作,如發(fā)現(xiàn)安全事件及時進(jìn)行事件的響應(yīng)及分析;常態(tài)化開展日常安全巡檢、防病毒定期巡檢及維護(hù)以及安全威脅分析工作。
(一)安全威脅分析
·工作內(nèi)容:
通過對網(wǎng)內(nèi)關(guān)鍵節(jié)點的流量進(jìn)行全面鏡像分析研判,對發(fā)現(xiàn)的外部攻擊行為(如漏洞利用、持續(xù)性攻擊等)及時反饋處理建議,精準(zhǔn)發(fā)現(xiàn)內(nèi)部失陷主機(jī)(主機(jī)被非授權(quán)登錄,或被植入木馬后門等),快速并準(zhǔn)確定位安全威脅所在,提供威脅相關(guān)的豐富的內(nèi)外部信息以供分析和響應(yīng)。
·工作報告:
每日反饋發(fā)現(xiàn)的安全風(fēng)險,每周提交《安全威脅分析周報》。
(二)防病毒定期安全巡檢及維護(hù)
·工作內(nèi)容:
防病毒安全巡檢主要工作內(nèi)容是對防病毒軟件控制中心的告警信息進(jìn)行分析跟蹤。
防病毒控制中心安全檢查,主要檢查設(shè)備連通性、CPU使用率、內(nèi)存使用情況、磁盤使用情況、特征庫是否為最新和是否有高風(fēng)險的告警,并對高風(fēng)險告警信息進(jìn)行分析排查,確認(rèn)的攻擊行為要及時應(yīng)對,進(jìn)入應(yīng)急響應(yīng)流程;
·工作成果:
每日反饋發(fā)現(xiàn)的安全風(fēng)險,每周提交《防病毒巡檢報告》。
(三)網(wǎng)站安全監(jiān)測
·配合準(zhǔn)備工作:
提供護(hù)網(wǎng)期間對互聯(lián)網(wǎng)開放的需要監(jiān)控的網(wǎng)站列表
·工作內(nèi)容:
通過網(wǎng)站安全監(jiān)測平臺,對學(xué)校提供的網(wǎng)站進(jìn)行7x24小時全面的安全監(jiān)測。網(wǎng)站監(jiān)控系統(tǒng)主要對網(wǎng)站的運行情況,服務(wù)中斷,內(nèi)容更改、掛馬病毒、敏感詞、應(yīng)用漏洞、性能故障、入侵進(jìn)程、輿情檢測等惡意行為進(jìn)行實時監(jiān)控,當(dāng)網(wǎng)站出現(xiàn)網(wǎng)站中斷,內(nèi)容更改、掛馬病毒、敏感詞、應(yīng)用漏洞、性能故障、入侵進(jìn)程、輿情檢測等異常狀況時,發(fā)現(xiàn)安全問題及時告警,由監(jiān)控人員對網(wǎng)站類安全事件進(jìn)行處置和跟蹤,從而提升網(wǎng)站安全監(jiān)控系統(tǒng)對網(wǎng)站安全事件的可知、可控和可管理能力。
·工作交付:
發(fā)現(xiàn)網(wǎng)站安全風(fēng)險及時反饋,每日反饋整體情況,最終提交《網(wǎng)站安全監(jiān)測報告》
(四)應(yīng)急響應(yīng)及重點保障
·準(zhǔn)備工作:
1)發(fā)現(xiàn)安全事件后及時告知
2)建立應(yīng)急處理通訊錄
·工作內(nèi)容:
安排安全服務(wù)人員進(jìn)行7*24遠(yuǎn)程值守,緊急情況及時預(yù)警,并且協(xié)助應(yīng)對突發(fā)情況,進(jìn)行應(yīng)急處置,及時解決安全風(fēng)險。
事件響應(yīng)時間:
重大安全事件需在1小時內(nèi)響應(yīng),需要現(xiàn)場支持的時候2小時內(nèi)到現(xiàn)場,按要求提供技術(shù)支持和解決方案并協(xié)助處理。
普通安全事件4小時內(nèi)響應(yīng),按要求提供技術(shù)支持并協(xié)助處理。
通常信息系統(tǒng)可能發(fā)生的安全事件主要可以分為以下幾大類:
√拒絕服務(wù):通過占用網(wǎng)絡(luò)/系統(tǒng)資源使計算機(jī)或網(wǎng)絡(luò)無法提供正常的服務(wù)。
√惡意代碼:病毒、蠕蟲、木馬等會給計算機(jī)帶來不良影響的代碼。
√未授權(quán)訪問:某人在沒有得到允許的情況下,獲得對網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù),以及其它信息資源的訪問權(quán)限。
√攻擊篡改:黑客攻擊控制服務(wù)器權(quán)限或篡改頁面。
√上述幾種安全事件的結(jié)合。
安全事件主要可以分為以下三個級別:
√一般安全事件;
一般安全事件是指出現(xiàn)安全事件的特征,小范圍影響到網(wǎng)絡(luò)或業(yè)務(wù)系統(tǒng)性能,但是不影響骨干網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)的正??捎谩?/p>
√嚴(yán)重安全事件;
嚴(yán)重安全事件是指造成網(wǎng)絡(luò)骨干節(jié)點或者業(yè)務(wù)系統(tǒng)中斷30分鐘以上;
√重大安全事件。
重大安全事件是指造成網(wǎng)絡(luò)骨干節(jié)點或者業(yè)務(wù)系統(tǒng)中斷60分鐘以上。
當(dāng)出現(xiàn)安全事件時,禹宏信安將提供應(yīng)急響應(yīng)技術(shù)支持服務(wù),服務(wù)的方式如下:
一般安全事件:
支持人員:現(xiàn)場運維工程師、技術(shù)顧問;
響應(yīng)方式:電話/VPN遠(yuǎn)程/現(xiàn)場支持
響應(yīng)時間:半小時內(nèi)電話/VPN遠(yuǎn)程;4小時內(nèi)到現(xiàn)場,巡檢工程師現(xiàn)場支持,技術(shù)顧問遠(yuǎn)程支持。
嚴(yán)重安全事件:
支持人員:現(xiàn)場運維工程師巡檢工程師、技術(shù)顧問、技術(shù)專家和資深顧問
響應(yīng)方式:電話/VPN遠(yuǎn)程/現(xiàn)場支持
響應(yīng)時間:4小時內(nèi)到現(xiàn)場,技術(shù)顧問現(xiàn)場支持,技術(shù)專家和資深顧問提供遠(yuǎn)程支持;
重大安全事件:
支持人員:現(xiàn)場運維工程師巡檢工程師、技術(shù)顧問、技術(shù)專家和資深顧問
響應(yīng)方式:電話/VPN遠(yuǎn)程/現(xiàn)場支持,相關(guān)部門資源;
響應(yīng)時間:2小時內(nèi)到現(xiàn)場,技術(shù)顧問技術(shù)專家和資深顧問提供現(xiàn)場支持;項目經(jīng)理協(xié)調(diào)有關(guān)外部相關(guān)部門資源。
·工作成果:
《應(yīng)急響應(yīng)報告》(如發(fā)生安全事件)
《7*24小時遠(yuǎn)程值班表》