情况,如覆盖范围、记录的项目和内容等。资产暴露面风险评估,模拟黑客进行信息收集,获取资产详细信息(程序名称、版本)、开放的危险端口、业务管理后台等。应用漏洞风险评估,包括Web服务,如Apache、WebSphere、Tomcat、IIS等,其他SSH、FTP等程序的缺失补丁或版本漏洞检测。渗透测试,采用适当测试手段,发现测试目标在信息系统认证及授权、代码审查等方面存在的安全漏洞,并再现利用该漏洞可能造成的损失,提供避免或防范此类威胁、风险或漏洞的具体改进或加固措施。(3)主机安全风险评估WebShell风险评估,对提供Web服务的系统进行WebShell后门排查,验证服务器的安全性,确保清除曾经可能被入侵遗留下的后门。恶意文件风险评估,利用专业僵尸木马蠕虫检测工具对操作系统进行恶意文件排查,并针对恶意文件进行行为分析,确认病毒家族及其危害。弱口令风险评估,严格禁止所有账号的弱口令、空口令情况。端口及服务风险评估,服务器只开放自身提供服务相关端口,关闭不必要的端口和对外服务。服务器防火墙风险评估,默认禁止所有主动对外访问行为,如有需要,需严格制定访问控制策略,实行服务器对外访问白名单。系统漏洞扫描风险评估,对操作系统、数据库及常见应用、协议进行漏洞扫描。(4)终端安全风险评估安全基线风险评估,对终端的操作系统进行安全配置基线检查,保证终端设备安全。弱口令风险评估,严格禁止所有账号的弱口令、空口令情况。防病毒软件风险评估,检查终端是否安装防病毒软件,安全策略是否开启。非法外联风险评估,检查终端是否配置了双网卡,是否开放或连接热点。补丁更新风险评估,检查补丁更新情况。(5)数据安全风险评估安全基线风险评估,对数据库的操作系统进行安全配置基线检查,保证数据库系统安全。数据访问控制风险评估,对数据的访问、权限设置进行评估。数据备份风险评估,检查数据备份策略、灾备情况。4.1.3安全加固。通过评估与检查的方式,分析信息化资产及重要信息系统的安全漏洞与风险,并有针对性地进行安全加固。网络设备、安全设备、安全系统等网络层面安全问题由基础网络运营部门负责加固;应用系统存在的漏洞、代码逻辑错误、管理员弱口令、中间件漏洞等主机和应用层问题由各相关系统负责人进行加固,由安全专家提供相关指导建议解决目标系统在安全评估中发现的技术性安全问题,对系统安全配置进行优化,杜绝系统配置不当而出现的弱点。4.1.4安全培训。为提升安全技术人员安全技术能力和非安全人员的信息安全意识,防守工作组定制培训课程内容,使用相关教材和实战案例等资料,帮助相关人员强化安全意识,强化信息安全攻防知识,以便更好地在演练过程中有效应对网络攻击。培训主要内容:针对安全技术人员、安全管理员进行安全意识、安全常识、Web构成、常见漏洞、热点0Day事件、入侵流程、恶意软件现象和防御方法培训;针对非安全技术人员从个人电脑安全、邮件安全、移动安全、日常工作生活等维度进行强化安全意识培训。4.1.5模拟攻防。完成安全加固后,为检验安全加固的成果、检验安全防护体系的健壮性和有效性,需要组织模拟攻防演练进行安全能力检验。可邀请安全公司模拟攻击小组从外部对目标单位信息化系统进行攻击演练,检验演练目标系统的防护能力,检验演练防守团队的协作保障能力。攻击小组使用的攻击手段应不影响目标单位业务的正常开展,包括但不限于渗透测试、系统漏洞攻击、钓鱼攻击/APT综合攻击、社会工程学攻击等。4.1.6环境准备。在合适的场所搭建演练集中监控及处置环境所需电力、网络设备,根据工作任务分配接入网络,保障攻防演练期间设备正常运行。
4.2攻防演练中
防守工作组指导监控分析组及研判处置组在攻防演练过程中最大力度防御来自任何攻击方的网络攻击,实时监测目标系统的攻击情况;发生网络安全事件立刻通知到防守指挥部,实时掌握演练情况,做好安全事件的分析研判,形成分析和处置报告上报。4.2.17×24小时监测预警。监控分析组通过业务系统访问日志及网站安全监测、网络安全管理中心、网络安全态势感知等通报预警平台,实现网站安全的集中监测。指派云端专人对被监测网站安全事件进行实时研判与验证,当出现安全事件时立刻上报现场研判处置组。所有监控任务分配到人,所监测到的安全事件必须留存事件记录,做好系统备份工作和故障详细记录并进行初步诊断。4.2.2技术分析。攻防演练期间,网络攻击的数量呈指数级增长。而传统的基于黑白名单、签名和规则的安全威胁发现手段,已经不能应对演练期间不断升级且有针对性的网络威胁。因此,当互联网安全监测平台和安全态势感知监测到安全事件时,监控分析组必须立刻进行安全事件分析,定位问题并溯源。确定非误报后,将详细攻击路径、攻击IP等情况反馈研判处置组及防守工作组以便上报。结合故障描述和诊断,定位安全问题后,根据情况配合输出解决思路,反馈研判处置组。无法定位分析的问题,直接反馈给防守工作组。4.2.3专家研判与实时攻击对抗。攻防演练期间最大的安全风险来自于攻击方攻击,特别是有针对性、持续性的攻击。及早发现并遏制有针对性、持续性的攻击是规避外部风险的有效手段。演练期间也是非法黑客组织的活跃期。黑客组织可能伪装成攻击队对防守单位进行攻击,监控分析组与研判处置组需实时研判安全事件,根据事件特征,在入侵防御系统、Web应用防火墙等安全设备中添加相应防护策略,对非法攻击事件分类进行实时攻击对抗。4.2.4应急响应与业务恢复。应急响应快速处置成功的关键是根据预设流程有条不紊地解决已经发生的安全事件,以保证最大限度地减少安全事件造成的损害,降低应急处置中的风险。研判处置组当接到监控分析组的预警报告后,直接定位的问题(可用性等)。
wap.biqupai.com