網(wǎng)絡(luò)安全應(yīng)急

1、XXXX信息系統(tǒng)防護方案2020年5月30日 TOC o 1-5 h z HYPERLINK l bookmark9 o Current Document 1信息系統(tǒng)防護概述3 HYPERLINK l bookmark12 o Current Document 2準備階段32.1團隊組建3 HYPERLINK l bookmark15 o Current Document 3 自查階段43.1資產(chǎn)梳理4風險排查43.2.1漏洞掃描4 HYPERLINK l bookmark22 o Current Document 弱口令檢查5 HYPERLINK l bookmark25 o Current

2、 Document 滲透測試5 HYPERLINK l bookmark28 o Current Document 入侵痕跡檢查5安全加固5 HYPERLINK l bookmark31 o Current Document 4護網(wǎng)階段64.1監(jiān)控分析64.2應(yīng)急處置7事件上報7安全守護7 HYPERLINK l bookmark39 o Current Document 5總結(jié)階段81信息系統(tǒng)防護概述信息系統(tǒng)防護是針對XXXX期間，對相關(guān)信息系統(tǒng)進行網(wǎng)絡(luò)安 全保障，切實做好“XXXX”期間各單位網(wǎng)絡(luò)安全監(jiān)測和應(yīng)急保障 工作，及時發(fā)現(xiàn)安全事件并向各防護單位預(yù)警和確認，確保各單 位信息系統(tǒng)安全穩(wěn)

3、定運行。本方案主要包括如下4個階段：準備階段團隊組建自查階段資產(chǎn)梳理風險排查安全加固護網(wǎng)階段監(jiān)控分析應(yīng)急處置事件上報安全守護總結(jié)階段護網(wǎng)總結(jié)匯報護網(wǎng)成果復(fù)盤與安全建設(shè)規(guī) 劃2準備階段此階段主要為護網(wǎng)防護準備資源，建立護網(wǎng)防護團隊。2.1團隊組建針對防護工作要求，成立護網(wǎng)工作臨時小組，確定小組的關(guān) 鍵人員及崗位，明確崗位職責，在防護期間遵守崗位職責配合完 成重大活動期間網(wǎng)絡(luò)安全防護工作。工作人名單3自查階段此階段為護網(wǎng)工作前的基礎(chǔ)工作，將進行資產(chǎn)梳理，風險排 查和安全加固三部分工作。31資產(chǎn)梳理遠程資產(chǎn)收集收集官網(wǎng)域名和IP地址，進行子域名挖掘，然后對對應(yīng)的資產(chǎn)進行端口和服務(wù)探測。本地資產(chǎn)收集現(xiàn)

4、場對系統(tǒng)進行設(shè)備掃描，整理出現(xiàn)有資產(chǎn)表32風險排查3.2.1漏洞掃描對于已經(jīng)發(fā)現(xiàn)的資產(chǎn)，使用自動化掃描工具，檢查系統(tǒng)中是 否有中、高危漏洞，并結(jié)合人工檢查進行確認；漏洞掃描范圍包 括對服務(wù)器、網(wǎng)絡(luò)設(shè)備、業(yè)務(wù)終端，完成對整個掃描工作以及系 統(tǒng)運行狀態(tài)確認后，按系統(tǒng)維度輸出漏洞掃描結(jié)果。3.2.2弱口令檢查針對發(fā)現(xiàn)的資產(chǎn)的應(yīng)用進行弱口令檢查。結(jié)合企業(yè)運維常用關(guān)鍵字，定制字典；使用自動化工具對常見應(yīng)用進行弱口令探測；部分無法利用自動化工具完成的應(yīng)用將檢查任務(wù)下發(fā)到負 責人，負責人利用字段進行自查。3.2.3滲透測試進行現(xiàn)場滲透測試，檢查是否存在潛在風險隱患。3.2.4入侵痕跡檢查排查web應(yīng)用的后門

5、文件，檢查是否存在入侵痕跡， webshello33安全加固根據(jù)基礎(chǔ)安全自查工作結(jié)果的具體情況，制定加固方案，針 對不同類型的目標系統(tǒng)，通過打補丁、修改安全配置、增加安全 機制、建議用戶單位添置安全設(shè)備等方法，合理加強服務(wù)目標的 安全性。在加固完成后，對加固的漏洞信息進行復(fù)查，驗證漏洞是否 被修補，安全隱患是否被排除。安全加固范圍：主要為設(shè)備層和系統(tǒng)層，設(shè)備層的安全策略 加固，系統(tǒng)層的安全補丁等。4護網(wǎng)階段護網(wǎng)階段為重大活動期間對重要信息系統(tǒng)，開展防護工作的 階段，該階段防護工作主要為監(jiān)控分析，應(yīng)急響應(yīng)，事件上報； 提供7*24小時的安全值守。4.1監(jiān)控分析重大活動期間的安全事件監(jiān)控和響應(yīng)主要

6、依托于設(shè)備對重 點事件的監(jiān)控，包括網(wǎng)站入侵事件、網(wǎng)頁篡改事件、DDOS事件、 DNS篡改事件、勒索病毒事件、APT攻擊事件等。具備應(yīng)對措施 如下：A發(fā)現(xiàn)攻擊，響應(yīng)和處置攻擊；部署安全監(jiān)控設(shè)備，監(jiān)控和查看安全事件；發(fā)現(xiàn)事件后啟動應(yīng)急響應(yīng)流程。每天編寫監(jiān)控報告；4.2應(yīng)急處置對入侵行為及時響應(yīng)，并開展阻斷工作，協(xié)助客戶排查服務(wù) 器上的木馬程序，分析攻擊者入侵途徑并溯源。安全事件的處置步驟如下：1、根據(jù)攻擊者入侵痕跡及告警詳情，判斷攻擊者的入侵途 徑。2、排查服務(wù)器上是否留下后門，若存在后門，在客戶的陪 同下清理后門。3、分析攻擊者入侵之后在服務(wù)器上的詳細操作。4、根據(jù)排查過程中的信息進行溯源。5、梳理應(yīng)急處置過程，輸出安全建議。4.3事件上報對發(fā)現(xiàn)確認的入侵事件，快速編寫事件報告，上報給管理部 門。4.4安全守護安全值守服務(wù)主要是針對在XXXX期間對信息系統(tǒng)及網(wǎng)絡(luò)進 行7*24小時監(jiān)控值守，在值守期間對整個網(wǎng)絡(luò)系統(tǒng)進行監(jiān)控包 括對安全設(shè)備進行巡檢、協(xié)助進行設(shè)備故障處置、安全設(shè)備防護 告警監(jiān)測、安全漏洞整改跟蹤、安全運行統(tǒng)計分析等。在值守期間采取遠程或現(xiàn)場的方式對網(wǎng)絡(luò)進行監(jiān)測，保障整個網(wǎng)絡(luò)穩(wěn)定運行。5總結(jié)階段護網(wǎng)階段結(jié)束后，開展護