第839章 职业等级LV.40!四阶巅峰!(1/2)
…………
摘要:利用网络安全漏洞进行有组织、有目的的网络攻击形势愈加明显,一方面留给应急响应的时间窗口越来越小,另一方面应急响应所需的威胁知识、专业技能、熟练程度等却不断增加。本文提出了网络运营者作为防守方开展应急响应的简明流程及响应步骤,为相关单位提供实践参考。
关键词:网络安全关键信息基础设施攻防演练
1引言
伴随着信息技术在社会发展中的重要性越来越高,网络空间已经成为大国博弈的新战场。网络安全攻防演练作为检验关键信息基础设施的网络安全防护、提升网络运营者应急响应水平等关键工作的重要手段,以实战和对抗的方式促进提升网络安全保障能力,具有重要意义。本文站在网络运营者视角,以参与组织的一次政府网站实战攻防演练过程为例,简述攻防演练中防守方如何开展工作,为相关单位提供组织应对经验。
2演练内容
某单位组织网络安全专业技术人员组成若干攻击队伍,对管辖范围内二级机构的官方网站及业务系统进行持续5天的安全攻击测试,验证目标系统安全防护能力的有效性,每天固定时间在统一演练平台提交防守方报告。笔者所在单位作为目标网站及业务系统运营单位,需确保目标信息系统的实体安全、运行安全和数据安全,最大限度地减轻网络安全突发事件的危害。
3组织架构
成立防守指挥部,由网络安全主管领导担任总指挥,成员由网络安全及业务系统运营部门领导组成。指挥部下设防守工作组、监控分析组、研判处置组,总计20人。
3.1防守指挥部
统筹整体演练防守工作,负责信息系统攻击防御演练的指挥、组织协调和过程控制;下达系统停运、恢复关键操作以及对外信息报送授权指令;报告演练进展情况和总结报告,确保演练工作达到预期目的。
3.2防守工作组
负责信息系统突发事件演练的具体工作;搭建维护演练集中监控及处置环境;分析和评估信息系统突发事件对业务影响情况;收集分析信息系统突发事件处置过程中的数据信息和记录;向指挥部报告演练进展情况和事态发展情况;负责牵头开展每日的安全事件总结和分析工作;统计、筛选、提交防守方报告。
3.3监控分析组
负责攻防演练期间业务系统访问监控及网络安全态势监控,发现并识别网络攻击,做好监控过程的记录工作,并向研判处置组发出攻击预警;及时修补业务系统存在的漏洞,开展业务系统关停及恢复工作。
3.4研判处置组
演练备战阶段,负责对发现的网络安全隐患进行整改,落实各项安全防护措施。演练实战阶段,对网络攻击流量进行清洗,确保业务系统可用性;根据需要机动、灵活调配技术资源,完成技术分析与研判、实时攻击对抗、应急响应等工作。
4演练实施
按照过往演练经验,小规模的防守宜按照演练前、演练中、演练后三个阶段开展相关工作。
4.1攻防演练前
攻防演练前建立完善的保障团队。从安全技术层面建立监测预警体系,在安全制度层面建设通告预警与处置反馈机制。对本次保障范围内的信息系统进行详细的风险评估和安全加固,制定《网络安全攻防演练实施方案》,并对相关人员进行信息安全意识宣贯。4.1.1资产梳理。开展信息化资产梳理,主要梳理内容包括但不限于:梳理对外发布的互联网应用系统;梳理互联网出口及出口所使用的设备和安全措施;梳理网络结构(网络拓扑);梳理重要的或需要重点保护的信息系统、应用系统各服务器之间的拓扑结构;梳理网络安全设备及网络防护情况;梳理SSLVPN和IPSecVPN接入情况。4.1.2风险评估。安全保障专家结合信息化资产梳理结果进行安全风险评估。安全保障专家可使用调研问卷、人员访谈和安全技术(渗透测试、漏洞扫描、基线核查等)等方式,通过安全工具或人工方式从网络安全风险、应用安全风险、主机安全风险、终端安全风险和数据安全风险等维度进行安全风险评估,各部分内容可参考如下。(1)网络安全风险评估网络架构风险评估,利用人工和工具等方式从技术、策略和管理等角度更深层次挖掘出当前网络中存在的威胁和风险。安全漏洞和安全基线风险评估,利用扫描工具对网络设备进行扫描和全面检查。弱口令风险评估,严格禁止所有账号的弱口令、空口令情况。账号、权限风险评估,检查管理员账号和权限,关闭不必要的账号,取消不合理的账号权限;保证密码强度符合安全基线要求。远程登录白名单风险评估,严格限制可以远程管理的IP地址,禁用Telnet进行远程管理。配置备份风险评估,所有网络设备全部要做好配置备份,确认备份有效可以恢复。(2)应用安全风险评估身份鉴别风险评估,评估应用系统的身份标识与鉴别功能设置和使用配置情况,应用系统对用户登录各种情况的处理,如登-->>
本章未完,点击下一页继续阅读