HW技戰(zhàn)法-全面自查輔助全方位監(jiān)測防守技戰(zhàn)法

全面自查輔助全方位監(jiān)測----防護(hù)技戰(zhàn)術(shù)針對2022年護(hù)網(wǎng)安全專項工作內(nèi)容，集團(tuán)以針對性重點(diǎn)安全設(shè)備，進(jìn)行合理安全監(jiān)控監(jiān)測。在護(hù)網(wǎng)保障前對網(wǎng)絡(luò)安全現(xiàn)狀展開分析，進(jìn)行全面自查，確認(rèn)當(dāng)前防護(hù)能力現(xiàn)狀，重點(diǎn)關(guān)注關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)通過配置安全設(shè)備進(jìn)行安全監(jiān)測。安全監(jiān)測檢測是護(hù)網(wǎng)值守人員發(fā)現(xiàn)網(wǎng)絡(luò)安全攻擊事件的必要條件，是安全保障工作的前提，對安全監(jiān)測能力進(jìn)行分析，評估確認(rèn)安全監(jiān)測的有效性（策略、告警、日志、系統(tǒng)授權(quán)等），典型設(shè)備包括流量分析設(shè)備、態(tài)勢感知、入侵檢測設(shè)備、Web入侵檢測系統(tǒng)等。并進(jìn)行安全防護(hù)，保障人員處置安全事件的主要手段和工具，有效利用安全防護(hù)設(shè)備包括防火墻、入侵防御、上網(wǎng)行為管理、主機(jī)防護(hù)軟件、Web防火墻、網(wǎng)頁防篡改、抗DDOS等。對整個網(wǎng)絡(luò)進(jìn)行全面安全實(shí)現(xiàn)有效性監(jiān)測，發(fā)現(xiàn)問題可以進(jìn)行快速徹底的定位處置，并制定對應(yīng)方案，采取有效的防護(hù)措施，確保了不會發(fā)生直接和間接影響業(yè)務(wù)運(yùn)行的網(wǎng)絡(luò)安全事件，針對安全能力缺陷問題，集團(tuán)攻速做了對應(yīng)的針對性進(jìn)行能力建設(shè)補(bǔ)足。護(hù)網(wǎng)前全面自查護(hù)網(wǎng)前進(jìn)行全面自查工作，以集團(tuán)信息中心為主導(dǎo)，聘請具有相關(guān)資質(zhì)的公司協(xié)助，對全公司信息系統(tǒng)進(jìn)行安全檢查，網(wǎng)絡(luò)安全系統(tǒng)節(jié)點(diǎn)全面自查，確認(rèn)公司護(hù)網(wǎng)期間的防護(hù)能力現(xiàn)狀，重點(diǎn)排查關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)安全監(jiān)測問題、安全防護(hù)能力、區(qū)域邊界訪問控制與策略、弱口令檢測，配置安全檢查，執(zhí)行漏洞掃描等。針對護(hù)網(wǎng)自查發(fā)現(xiàn)的問題全面整改；全面防御加固，主要包括入侵路徑加固，網(wǎng)絡(luò)架構(gòu)優(yōu)化，設(shè)備降噪策略和設(shè)備防護(hù)策優(yōu)化，互聯(lián)網(wǎng)暴漏面收斂，安全漏洞修復(fù)等。入侵路徑加固在通過減少網(wǎng)絡(luò)入侵途徑，降低被攻擊可能性；針對網(wǎng)絡(luò)架構(gòu)及業(yè)務(wù)流向分析存在的風(fēng)險，對目前網(wǎng)絡(luò)架構(gòu)及業(yè)務(wù)流向進(jìn)行可控范圍內(nèi)的優(yōu)化調(diào)整，降低或轉(zhuǎn)移網(wǎng)絡(luò)架構(gòu)問題直接引入的風(fēng)險；及時將發(fā)現(xiàn)的誤攔誤報及時進(jìn)行處理，對網(wǎng)絡(luò)設(shè)備策略、安全設(shè)備策略、主機(jī)策略等進(jìn)行進(jìn)一步調(diào)整和優(yōu)化；針對服務(wù)器、操作系統(tǒng)、數(shù)據(jù)庫及應(yīng)用中間件等軟件系統(tǒng)，通過打補(bǔ)丁、強(qiáng)化帳號安全、加固服務(wù)、修改安全配置、優(yōu)化訪問控制策略、增加安全機(jī)制等方法，堵塞漏洞“后門”，合理進(jìn)行安全性加強(qiáng)，提高其健壯性和安全性，增加攻擊者入侵的難度。護(hù)網(wǎng)期間全方位監(jiān)測戰(zhàn)術(shù)設(shè)備運(yùn)行監(jiān)控針對安全產(chǎn)品、網(wǎng)絡(luò)產(chǎn)品、主機(jī)服務(wù)器等設(shè)備進(jìn)行日志及告警信息安全監(jiān)控，及時發(fā)現(xiàn)設(shè)備（系統(tǒng)）運(yùn)行過程中出現(xiàn)的問題并協(xié)助除之組進(jìn)行事件處置，安全設(shè)備全方位監(jiān)測各種內(nèi)外部攻擊事件。監(jiān)控指標(biāo)可涵蓋設(shè)備功能、設(shè)備性能、應(yīng)用服務(wù)情況、連通性、操作審計等。安全事件監(jiān)控針對xx公司現(xiàn)場部署的各類安全設(shè)備中告警數(shù)據(jù)進(jìn)行監(jiān)控，通過人工進(jìn)行告警研判的方式對安全設(shè)備告警進(jìn)行二次分析，排除告警中的誤報，定位內(nèi)外部攻擊行為的真實(shí)。監(jiān)控告警類型可涵蓋不限與：DDoS攻擊、Web攻擊、信息破壞、口令猜測、僵尸主機(jī)、木馬病毒、非授權(quán)訪問、漏洞利用、網(wǎng)頁篡改、SQL注入、非法連接、惡意掃描探測、網(wǎng)頁篡改、網(wǎng)站敏感內(nèi)容、網(wǎng)頁掛馬等。安全異常監(jiān)控針對外網(wǎng)搜索引擎、交易平臺、即時通信平臺等進(jìn)行客觀、綜合評價，通過人工和工具搜索客戶資料信息、漏洞信息、源代碼信息等，然后通過各種渠道獲取的相關(guān)信息，以便及時發(fā)現(xiàn)社會盜賣集團(tuán)內(nèi)用戶信息、系統(tǒng)漏洞、系統(tǒng)源代碼等行為，若有相關(guān)行為提供并建立祥光改建議，結(jié)合業(yè)務(wù)與管理機(jī)制，有效隔絕和阻斷這一類信息泄露危害，為集團(tuán)業(yè)務(wù)正常運(yùn)行提供良好支撐。高危設(shè)備監(jiān)控高危設(shè)備指歷年演練期間爆發(fā)過高危安全漏洞的設(shè)備，或直到護(hù)網(wǎng)演習(xí)之前尚未修復(fù)漏洞的安全設(shè)備、重要的集權(quán)系統(tǒng)等，護(hù)網(wǎng)階段需對這些高危設(shè)備進(jìn)行針對性安全監(jiān)控工作，及時發(fā)現(xiàn)異常并妥善處置。分析研判綜合研判組根據(jù)監(jiān)測到的安全事件，并結(jié)合主機(jī)日志、網(wǎng)絡(luò)設(shè)備日志、入侵檢測設(shè)備日志等信息對安全事件攻擊方法、攻擊方式、攻擊路徑和工具等進(jìn)行分析判斷，分析確定為攻擊行為的安全事件，協(xié)同安全處置小組進(jìn)行反制處置、溯源等，并提供事件處置建議，提交事件處置報告。安全事件分類針對可疑攻擊、失陷等開展應(yīng)急響應(yīng)工作，應(yīng)急響應(yīng)場景主要包括Windows主機(jī)排查、Linux主機(jī)排查、Unix主機(jī)排查、網(wǎng)絡(luò)設(shè)備應(yīng)急排查、安全設(shè)備應(yīng)急排查、DDOS攻擊應(yīng)急響應(yīng)、Web攻擊及篡改應(yīng)急響應(yīng)、惡意代碼傳播應(yīng)急響應(yīng)、網(wǎng)絡(luò)攻擊事件響應(yīng)等，參照護(hù)網(wǎng)前期的應(yīng)急演練流程及相關(guān)響應(yīng)指南開展應(yīng)急工作?；诎踩录虻姆诸愒瓌t，對監(jiān)測到的安全事件進(jìn)行分類，安全事件有效分類，可以很大程度提高安全事件發(fā)生后的應(yīng)急處置速度，以下為安全事件詳細(xì)分類：1、拒絕服務(wù)類安全事件拒絕服務(wù)類安全事件是指由于惡意用戶利用擠占帶寬、消耗系統(tǒng)資源等攻擊方法使系統(tǒng)無法為正常用戶提供服務(wù)所引起的安全事件。2、系統(tǒng)漏洞類安全事件系統(tǒng)漏洞類安全事件是指由于惡意用戶利用系統(tǒng)的安全漏洞對系統(tǒng)進(jìn)行未授權(quán)的訪問或破壞所引起的安全事件。3、網(wǎng)絡(luò)欺騙類安全事件網(wǎng)絡(luò)欺騙類安全事件是指由于惡意用戶利用發(fā)送虛假電子郵件、建立虛假服務(wù)網(wǎng)站、發(fā)送虛假網(wǎng)絡(luò)消息等方法對系統(tǒng)或用戶進(jìn)行未授權(quán)的訪問或破壞所引起的安全事件。4、網(wǎng)絡(luò)竊聽類安全事件網(wǎng)絡(luò)竊聽類安全事件是指由于惡意用戶利用以太網(wǎng)監(jiān)聽、鍵盤記錄等方法獲取未授權(quán)的信息或資料所引起的安全事件。5、數(shù)據(jù)庫注入類安全事件數(shù)據(jù)庫注入類安全事件是指由于惡意用戶通過提交特殊的參數(shù)從而達(dá)到獲取數(shù)據(jù)庫中存儲的數(shù)據(jù)、得到數(shù)據(jù)庫用戶的權(quán)限所引起的安全事件。6、惡意代碼類安全事件惡意代碼類安全事件是指惡意用戶利用病毒、蠕蟲、特洛伊木馬等其他惡意代碼破壞網(wǎng)絡(luò)可用性或竊取網(wǎng)絡(luò)中數(shù)據(jù)所引起的安全事件。安全處置安全處置組根據(jù)分析結(jié)果以及安全事件所分類別，可以快速找到和采取相應(yīng)的處置措施，來確保目標(biāo)系統(tǒng)安全。通過遏制攻擊行為，使其不再危害目標(biāo)系統(tǒng)和集團(tuán)網(wǎng)絡(luò)，依據(jù)攻擊行為的具體特點(diǎn)實(shí)時制定攻擊阻斷和溯源反制的安全措施，通過溯源報告、事件處置報告詳細(xì)記錄攻擊事件處置操作。對發(fā)現(xiàn)的攻擊行為協(xié)同監(jiān)控組進(jìn)行第一時間處置，進(jìn)行及時的封堵有效的攻擊地址，分析其攻擊路徑，并進(jìn)行后續(xù)的取證工作。三、事件上報在攻防演習(xí)實(shí)戰(zhàn)期間，防守方對檢測到的告警信息進(jìn)行研判分析，對確屬攻擊行為的安全事件，及時根據(jù)規(guī)定格式編寫防守方成果報告，提交至保障領(lǐng)導(dǎo)組，由安全負(fù)責(zé)人統(tǒng)一上報。四、全方位監(jiān)測戰(zhàn)術(shù)優(yōu)點(diǎn)在護(hù)網(wǎng)防守保障期間，建立合理的溝通匯報措施，值守人員每日進(jìn)行事件上報，全天候值班值守，按照7*24小時模式開展值守，確保一但發(fā)生網(wǎng)絡(luò)安全事件，通過全方位監(jiān)測可以以最快速度開展應(yīng)急處置和事件調(diào)查等工作，最大限度降低風(fēng)險隱患。通過建立完善的“監(jiān)測+研判+處置”的工作流程，是提高