重保工作是信息安全工作中的一项比较重要的工作,涉及到信息安全工作的甲乙双方,重保期间的工作目标:
不出安全事件
出现信息安全事件能及时发现、正确应对,最小降低损失
重保作为一项单独的信息安全工作提出来,相比于日常的信息安全工作来说有一下的特点:
重保的工作可以按照信息安全事件的生命周期做准备,简化可以分为事前、事中、事后 3 个阶段,大概的工作内容如下:
通过基础安全自查工作、互联网暴漏面自查工作确定防护的范围,攻击面分析,在重保之前完成系统加固、边界防护和漏洞修复,通过应急演练查漏补缺,在发现事件时可以从容应对。在时间充裕的情况下可以考虑做全面的风险评估或等保评估,组建重保团队。
准备周期至少1个月
参加人员:安全、业务、开发、运维关键人员
明确重保工作的范围和目标
布置工作计划
确定重保相关资产范围,网络区域,网络边界
需要做哪些安全检查项目,执行检查计划、系统加固和漏洞修复计划
是否有计划中的重要变更/上线,及相关安排
确定关键业务的监控手段和页面篡改的监控手段
确定是否要进行应急演练
确定到重保结束前的应用和数据备份计划
确定沟通计划
事前准备阶段可能需要准备的文档:
重保工作方案
信息安全事件处置策略和应急响应相关文档
重保小组通讯录和工作安排
前期准备工作总结
基础检查工作内容
检查项目 | 工作说明 |
---|---|
资产梳理 | 梳理重保范围的业务直接相关资产,包括服务器、网络设备、安全设备,包括运维区域的资产。不光是由各业务系统提交的资产,应该使用内网的资产扫描确认所有存活的IP地址。 |
边界梳理 | 确定业务的网络边界,和边界的访问控制策略。 |
漏洞扫描 | 执行重保范围的资产漏洞扫描。 |
配置/基线检查 | 执行重保范围内的配置基线检查。 |
弱口令检查 | 执行重保范围内应用服务的弱口令检查。 |
APP安全检查 | 现在使用的各种版本,包括低版本的APP安全检查。 |
渗透测试 | 执行内网的渗透测试。 |
代码审计 | 如果有条件,对重要业务系统近期的变更做代码安全审查。 |
办公网安全程序覆盖率检查 | 杀毒软件、桌面管理软件、准入等 |
内部团队
组织的关键业务人员、开发人员、运维人员和安全人员
外部团队
公司购买的安全服务
安全产品厂家支持
业务开发外包厂家支持
关键业务使用软件组件厂家支持(Oracle等)
网络设备厂家支持
其他专家支持
《重保工作联系人名单》
确定风险很大,但是来不及修复的非核心业务系统;
内部自建使用的辅助系统;
版本很老,无法维护的系统;
其他小系统
重保期间的主要工作:
发现攻击,响应和处置攻击;
确定重点监控的事件,会来自哪些安全设备上的哪种类型的告警;
最好部署集中化日志系统和SIEM系统,避免分别登录到每台安全设备上查看安全事件;
发现事件后走应急响应流程。
每天编写监控报告;
内部威胁情报(总公司、其他集团公司)
外部威胁情报
威胁情报系统
可利用一些开源的情报系统,可辅助判断安全事件的严重性
微步威胁情报:https://x.threatbook.cn/、
360威胁情报:https://ti.360.net/
IBM xforce:https://exchange.xforce.ibmcloud.com/
绿盟威胁情报中心:https://nti.nsfocus.com/
OTX:https://otx.alienvault.com/
IP查询:https://www.ipip.net/ip.html
zoomeye:https://www.zoomeye.org/
shodan:https://www.shodan.io/
圈子,建议组织每年花一部分钱采购安全专家个人的支持服务(消息服务),除重保期间外,还能及时获取高危漏洞通报等信息,另外在平时的安全工作上也能获取有益的建议。
重保期间的经验总结,更新重保方案,更新应急响应方案、安全设备防护策略等 ,重保工作最好形成标准化的文档和执行程序体系,在人员变动和系统、业务变动后及时进行更新,而不是临到活动时才做准备。
上一篇