重保工作思路

固若金汤 (4427) 2023-11-03 15:11:01

1. 重保工作概述

1.1 工作目标

重保工作是信息安全工作中的一项比较重要的工作,涉及到信息安全工作的甲乙双方,重保期间的工作目标:
不出安全事件

出现信息安全事件能及时发现、正确应对,最小降低损失

1.2 重保信息安全工作特点

重保作为一项单独的信息安全工作提出来,相比于日常的信息安全工作来说有一下的特点:

  • 时间短;
  • 前期准备越充分,后期应对越容易;
  • 响应攻击事件的时间要求更短。
  • 因网络安全法的颁布和平时信息安全工作能出彩的地方不多,所以重保期间的信息安全工作压力也越来越大,重保也需要一套策略和流程来支持,以便更好的完成重保工作。

2 重保工作内容

重保的工作可以按照信息安全事件的生命周期做准备,简化可以分为事前、事中、事后 3 个阶段,大概的工作内容如下:
重保工作思路_https://www.tiejiang.org_固若金汤_第1张

2.1 事前准备

通过基础安全自查工作、互联网暴漏面自查工作确定防护的范围,攻击面分析,在重保之前完成系统加固、边界防护和漏洞修复,通过应急演练查漏补缺,在发现事件时可以从容应对。在时间充裕的情况下可以考虑做全面的风险评估或等保评估,组建重保团队。

2.1.1 项目启动会

准备周期至少1个月

参加人员:安全、业务、开发、运维关键人员

明确重保工作的范围和目标

布置工作计划

确定重保相关资产范围,网络区域,网络边界

需要做哪些安全检查项目,执行检查计划、系统加固和漏洞修复计划

是否有计划中的重要变更/上线,及相关安排

确定关键业务的监控手段和页面篡改的监控手段

确定是否要进行应急演练

确定到重保结束前的应用和数据备份计划

确定沟通计划

事前准备阶段可能需要准备的文档:

重保工作方案

信息安全事件处置策略和应急响应相关文档

重保小组通讯录和工作安排

前期准备工作总结

2.1.2 基础检查工作

基础检查工作内容

检查项目 工作说明
资产梳理 梳理重保范围的业务直接相关资产,包括服务器、网络设备、安全设备,包括运维区域的资产。不光是由各业务系统提交的资产,应该使用内网的资产扫描确认所有存活的IP地址。
边界梳理 确定业务的网络边界,和边界的访问控制策略。
漏洞扫描 执行重保范围的资产漏洞扫描。
配置/基线检查 执行重保范围内的配置基线检查。
弱口令检查 执行重保范围内应用服务的弱口令检查。
APP安全检查 现在使用的各种版本,包括低版本的APP安全检查。
渗透测试 执行内网的渗透测试。
代码审计 如果有条件,对重要业务系统近期的变更做代码安全审查。
办公网安全程序覆盖率检查 杀毒软件、桌面管理软件、准入等

2.1.3 团队组建

内部团队

组织的关键业务人员、开发人员、运维人员和安全人员

外部团队

公司购买的安全服务

安全产品厂家支持

业务开发外包厂家支持

关键业务使用软件组件厂家支持(Oracle等)

网络设备厂家支持

其他专家支持

《重保工作联系人名单》
重保工作思路_https://www.tiejiang.org_固若金汤_第2张

2.2 事中防护/监控/应急

2.2.1 临时关闭业务系统

确定风险很大,但是来不及修复的非核心业务系统;

内部自建使用的辅助系统;

版本很老,无法维护的系统;

其他小系统

2.2.2 安全事件监控和响应

重保期间的主要工作:

发现攻击,响应和处置攻击;

确定重点监控的事件,会来自哪些安全设备上的哪种类型的告警;

最好部署集中化日志系统和SIEM系统,避免分别登录到每台安全设备上查看安全事件;

发现事件后走应急响应流程。

每天编写监控报告;

2.2.3 威胁情报收集和响应

内部威胁情报(总公司、其他集团公司)

外部威胁情报

威胁情报系统

可利用一些开源的情报系统,可辅助判断安全事件的严重性

微步威胁情报:https://x.threatbook.cn/

360威胁情报:https://ti.360.net/

IBM xforce:https://exchange.xforce.ibmcloud.com/

绿盟威胁情报中心:https://nti.nsfocus.com/

OTX:https://otx.alienvault.com/

IP查询:https://www.ipip.net/ip.html

zoomeye:https://www.zoomeye.org/

shodan:https://www.shodan.io/

圈子,建议组织每年花一部分钱采购安全专家个人的支持服务(消息服务),除重保期间外,还能及时获取高危漏洞通报等信息,另外在平时的安全工作上也能获取有益的建议。

3 事后总结

重保期间的经验总结,更新重保方案,更新应急响应方案、安全设备防护策略等 ,重保工作最好形成标准化的文档和执行程序体系,在人员变动和系统、业务变动后及时进行更新,而不是临到活动时才做准备。

THE END

发表评论