当前位置:安全服务 \ 安全征文作品展
政府行业重大活动网络安保工作实践与做法
新闻来源:宁波市规划与地理信息中心 史夏波
发布人:计算机安全协会
点击率:283
发布日期:2019.09.20

随着信息技术和网络的快速发展,移动互联、大数据、人工智能、物联网等新型信息技术得到了广泛的应用。与此同时,网络安全的风险也在不断的加剧,形形色色的网络安全事件频发,其特点日趋集团化、国家化。近年来,国内重大活动随着我国综合国力的提升不断增加,如杭州 G20 峰会、乌镇世界互联网大会、宁波中东欧博览会等,而在信息化高度融入人类社会生产活动、网络空间与现实社会逐渐融合的今天,网络安全保障已成为当前重大活动安保的重要组成部分。

通过多年来的工作实践,宁波市规划与地理信息中心在重大活动网络安保方面积累了丰富的经验,通过采取高效率管理、高科技技术、高强度保障等措施,实现了原宁波市规划局和新成立的宁波市自然资源和规划局在每次重大活动期间网络、门户网站及重要信息系统的安全稳定运行。

1 重大活动网络安保面临的安全风险和威胁

近年来,网络攻击手段不断翻新、攻击规模不断扩大、攻击链条不断拓宽,而攻击的成本和技术门槛日益降低,高级持续攻击手段层出不穷,零日漏洞愈发频发,重大活动期间面临的网络安全风险和威胁日益增加。

1.1黑客攻击异常活跃

当前的黑客组织活动异常活跃。反共黑客每三天篡改一个国内网站,挂反共标语;匿名者组织opchina行动,攻击国内政府网站,发布自由宣言;海莲花等黑客组织针对性的对国家特定行业、机构展开APT(高级持续性威胁)攻击。

1.2勒索病毒大量爆发

近些年,网络攻击型态已悄然发生转变。过去黑客多以破坏与炫技为主,近期则转向追求利益为主的攻击,以勒索病毒为例,透过勒索病毒恶意软件不断滋长蔓延,新型变种不断演进,大量应用系统、数据库和档案资料被加密锁定,加密使用了高强度的加密算法难以破解,造成企事业单位无法正常工作,影响庞大。

1.3新技术新应用给网络安全带来重大风险隐患

万物互联时代,虚拟空间与现实世界深度融合,网络安全边界变得逐渐模糊,各类已知和未知的安全威胁正在不断涌现。网络摄像头等大量设备直接暴露在互联网上,且相当大比例的设备存在弱口令或漏洞风险,物联网渐成网络安全的“重灾区”。在新的网络安全环境下,杀病毒、防火墙、入侵检测这传统的“老三样”,已经难以应对人为攻击,且容易被攻击者利用,因此,找漏洞、打补丁的传统思路已不利于整体安全。

2重大活动网络安保应对措施

目前我局有20余个信息系统,具有地理信息数据量大、网站节点多等特点。结合上述特点,通过建立立体的综合防护体系,涵盖了安全保障的事前、事中、事后三个阶段,具体包括安全渗透、安全基线检查、等保检查、安全加固、安全监控、安全审计、安全值守及安全事件应急响应等,实现了对日志分析、安全扫描、风险评估、应急处置之间的联动整合,提升重大活动期间主动防护及响应能力。

2.1精心组织,周密部署,将各项安全防护措施落实到位

每次召开重大活动前,中心都会成立网络安保工作小组,对全局安全现状情况进行系统分析和汇总,制定专项网络安全保障方案,并召开由安全服务公司、网站开发公司参加的网络安全保障工作会议进行动员和部署。

会后及时落实各项安全防护措施:一是部署安全态势玄武盾平台,严格控制部署过程风险,并落实网站访问仅限宁波本地用户访问;二是对网站进行安全优化,包括网站的静态化、限制用户对网站的搜索、限制用户对文字、图片、附件的放大和下载等;三是在玄武盾上配置策略,落实网站访问日志的留存,记录网站的访问源IP地址、端口、时间戳等信息,以便对攻击源IP地址进行落地跟踪定位。

2.2提前排查,重点加固,及时消除网络安全隐患

重大活动召开前,加大对网站及信息系统开展安全漏洞扫描、安全基线检查、安全策略检查等工作,发现安全漏洞、弱点和不完善的策略设置,及时进行安全加固、策略配置优化和改进,利用第三方公司的“探索者”平台和网站可用性监控平台对网站运行情况进行实时监测,依托玄武盾平台对网站安全态势进行实时监控,切实加强系统的自身防护能力和安全措施的效能,减少安全隐患,降低可能被外部攻击利用的脆弱性和风险。

(1)开展漏洞检测及加固

利用专业安全检测设备和技术手段对网站及信息系统提前进行安全排查:一是对网站及信息系统进行应用漏洞检测,自动检测Web应用程序,探测、分析其响应,从而发现潜在的安全问题和架构缺陷,识别因网站及信息系统变更而产生或最新出现的应用安全漏洞;二是对网站及信息系统进行安全巡检,检查服务器的运行情况、核查服务器的配置和文件变更情况、恶意代码感染情况、服务器登陆情况等多个方面的内容,基于运行异常和配置的异常变更识别可能或已经出现的安全问题或攻击事件,并通过溯源分析,识别潜在的入侵通道;三是对网站及信息系统进行主机漏洞检测,基于漏洞数据库,对指定的远程或者本地计算机系统的安全脆弱性进行检测,从而发现潜在的安全问题和系统漏洞。

上述网站应用漏洞检测和服务器漏洞检测采用两种以上权威工具进行交叉比对测试,测试结果必须经过验证分析,确保结果的准确性。依据安全检测结果,对系统中存在的脆弱性和安全威胁进行加固优化,按照加固实施流程,详细记录判断依据、实施步骤、测试与回退等内容,确保加固过程安全、有效、可控,将加固存在的风险控制到最低,减少系统存在的安全风险。

(2)开展远程安全及态势监控

远程网站安全监控的对象是网站服务状态,监控内容包括网站的访问情况、网站的响应速度、网站内容情况三个方面。利用第三方公司的“探索者”平台和网站可用性监控平台对网站运行情况进行实时监测。一旦发现异常以邮件告警的方式通知管理员;网站安全态势监控主要依托“玄武盾”对网站安全态势进行实时监控,通过对网站安全态势进行实时监控发现多种类型的安全攻击,及时采取技术措施对攻击IP地址进行封禁,提高网站运行环境的安全性。

(3)开展安全审计及策略优化

根据信息安全基线规范,对网络运行情况、系统配置情况、安全设备防护日志进行审计、分析,核查是否关闭对外不安全端口和服务(如ftp、telnet、远程控制等服务,21、43、45、1433等一系列不安全端口)、是否关闭和禁用不安全用户(如GUEST、IUSR等用户组)等,识别信息系统中潜在的威胁源和攻击方式,针对性的调整安全设备的防护策略,提高设备的安全防护能力,实现信息系统的动态防护。

2.3加强值守,启动预案,实时防御黑客攻击

重大活动召开期间,重点建立健全值班值守制度、监测报告制度和应急处置制度,并制定形成专项应急预案和作业手册,并随着安全保障工作的深入,结合实际,不断进行完善。

(1)落实7*24小时值班制度

安排专业的应急响应团队,严格落实7*24小时现场值班值守制度,并确保值守力量到位,值班人员手机保持通畅,一旦发生重大安全事件,第一时间进行处置恢复。

(2)制定专项应急手册

手册中建立了网站主备切换方案,包括首选方案和备选方案。明确了具体安全事件的处置流程,包括网站被篡改、数据被破坏、遭受拒绝服务、黑客入侵、恶意代码感染及日常安全事件的处置步骤。

(3)启动应急预案

根据《浙江省网络安全事件应急预案》的处置指南和流程,完善网站安全应急预案。整个应急响应流程包含信息安全事件通告、信息安全事件评估、应急启动、应急处置和后期处置几个部分,并组建成立由信息中心、第三方运维公司、云办组成的安全应急支撑组,每隔三天做好黑客攻击安全预警跟踪、监测及结果反馈,及时有效处置网络突发事件。

3重大活动网络安保成效和启示

通过近些年重大活动网络安保工作实践,加强了网络安全防护体系建设,提高了信息安全防护能力、隐患发现能力和应急处置能力,实现了网络安全保障工作的常态化、制度化和规范化管理,确保了网络、网站及信息系统在重大活动期间的安全平稳运行。

3.1领导重视责任到人

市局领导高度重视重大活动网络安保工作,把该项工作作为当年全局信息化工作的重点任务来抓,将安全工作层层细化。每次召开重大活动前,均会组织召开网络安全工作专项会议,对各处室、分局、局属事业单位相关负责人明确任务和工作,要求责任到人,确保网站及信息系统安全。

3.2技术团队通力协作

重大活动前组建成立由软硬件集成、信息安全服务、系统应用开发、运维管理等相关技术人员组成的安全技术保障团队。根据工作分工,实时落实网络安全扫描、监测、加固整改及应急处置。部分技术人员由第三方服务公司派驻,多方位的实时协作,在提升安全管理工作水平和工作效率的同时,也提高了在面临网络安全事件时的应变处置能力。

3.3应急预案灵活启用

重大活动期间制定了多层次的网络安全应急预案,在非工作时段启用安全版网站,指定应急静态页面,关闭所有互动交流功能,确保网站页面不被篡改。在黑客攻击敏感时段启用二级预案。在关闭网站的同时,切断机房内互联网服务器的网络连接,确保安全无盲点。

3.4态势感知能力凸显

网络安全态势感知是对网络攻击进行检测的重要手段,在网络安保中,通过网络安全威胁监测和分析,可以发现网络扫描、探测、注入、跨站脚本等多种攻击行为,并将这些攻击行为定位到资产对象,及时抑制和处置攻击行为。玄武盾平台对攻击行为实时的监测记录,可以让技术人员进行深入的溯源分析和研判,针对潜在的安全隐患,及时修复,并结合威胁情报信息,深入检验威胁的类型和影响范围,为后续的防护策略优化提供依据,在网络安保过程中发挥其应有的能力。

3.5安全意识持续提升

加强对员工的意识和技能培训提升,通过实际案例分享,提升队伍安全意识、风险防范、应急响应、通报预警、安全值守等技能,并重点围绕实时监测、快速响应、主动防御、积极反制的应知应会和网络安保工作的各项规章制度等内容对相关人员进行强化培训,提高网络安保工作的主观能动性和实战能力。

4结语

本文以宁波市规划与地理信息中心在重大活动网络安保期间的工作经历为例,结合实际情况,分析了目前面临的安全风险及威胁,描述了具体的网络安全保障措施以及相关经验,希望能够为政府行业信息安全工作的从业者提供一点思路,对今后整个政府行业进一步做好重大活动期间的网络安全保障工作提供参考。

 

上一篇:没有了
下一篇:中国光大银行宁波分行重大节假日活动网络安全保障经验交流
【打印此页】【返回顶部】【关闭本页】
宁波市计算机信息网络安全协会   版权所有 2011-2016   ICP备案号:浙ICP备06028402号   网站维护商:宁波公众
联系电话:0574-87815766/87815706    传真:0574-87815706
EMAIL:nbaqxh@163.com