国庆重保之临时抱佛脚攻略

中秋佳节过后，马上又有国庆小长假，各行各业享受假期的同时，安全从业者却不敢放松，今年是建国70周年，重保的压力比以往国庆保障要大很多。重保期间如果发生安全事件，带来的负面效应，会比平常时期放大好几倍。凡事预则立不预则废，收好这份攻略，国庆重保不再怕。

国庆需要重保的单位一般是政府机构、大型国企、重点高校等，重保的主要目标是保证国庆期间不会出现网页被篡改等安全事件，围绕重保目标，工作可以按照事前评估加固，事中值守监控，事后应急预案的思路来开展。

事前评估加固

资产梳理：

所谓兵马未动粮草先行，资产是一切安全工作之根本，重保前，需要做一次完整的资产梳理，输出如下成果：

• 先梳理出前期存在漏洞，未修复的系统，分类处理，不重要的系统，重保期间关闭系统，重要系统无法关闭的情况，可以采取先关闭存在漏洞的模块，调整WAF、防火墙策略等方式，先减少漏洞存在的影响。小编重保期间遇到过，漏洞来不及修复，又没法关闭的系统，管理员截了一张图，放在首页，以假乱真。
• 对单位信息系统进行资产划分：重保期间不能关闭的重要系统，保证没有系统漏洞。不重要的边缘系统，重保期间关闭处理。暴露在互联网的灰度测试环境系统，全部关闭。
• 邀请第三方公司进行资产发现服务，对比已有资产列表，检查是否有未记录在案的遗漏信息系统。

安全评估：

• 通过漏洞扫描、渗透测试的方式，全面评估重要系统存在的安全隐患(资产梳理工作中已经确定需要关闭的系统，不用再评估)。
• 后门排查，扫描重要信息系统网页文件、系统文件，检查是否有前期黑客留下的后门。

日志分析：

• 分析重要信息系统access日志，重点分析是否有后门连接的记录，关键字包括shell.asp，1.asp等连接日志。分析系统日志，包括history等，查看系统账号是否异常，是否存在影子账号、隐藏账号等。
• 关键目录文件分析，查看上传目录，检查是否有脚本文件。使用webshell扫描工具扫描全盘。

事中值守监控

重保开始，需要安排人员值守监控，监控工作按照如下安排：

• 网页防篡改监控，一般网页防篡改开启后，网页无法更新，重保期间，通知所有业务单位，网页停止更新，开启防篡改，前端静态页面脚本、图片，后端数据库全部锁死，如果必须要修改，业务部门通知安全部门，临时开通修改权限。重保开始后，监控网页防篡改设备运行状态，不断刷新重要信息系统首页，查看是否有异常。
• 态势感知监控，单位如果部署有态势感知，通过分析流量、日志，实时监测网络异常情况，值守人员实时关注态势感知告警，重点关注可能篡改网页的告警，如网络攻击、后门访问等，其他如流氓推广等，重保期间可以暂时不用理会。

事后应急预案

制定应急预案，重保前期与各业务部门确认：

• 发现安全事件，采取先断网后处置的方式，制定断网策略，保证监控人员在发现安全事件后，第一时间能够通知网络管理员断网。
• 应急预案通知各业务部门知晓，重保期间，安全优先，各业务部门指定对接人配合安全部门重保。

办法总是比问题多，小编见过很多重保期间脑洞大开的设计，除了上述用一张截图作为网站首页外，还见过一名管理员，在马爸爸家买了一个智能插座，接在服务器上，出现问题，手机上一键断网。

到重保前期才想到要开始干活的单位，前期网络安全工作做得都不是很充分，所以想到临时抱佛脚，借用一句鸡汤：“越努力越幸运”。与其临时抱佛脚，不如平时多烧香。收好这份攻略，今年国庆重保不再怕。

（编辑：源码网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!