国网福建电力离线 级别: 起跑会员 UID: 42393 精华: 0 发帖: 27 财富: 150 鼎币 威望: 2 点 贡献值: 0 点 会员币: 0 个 好评度: 0 点 在线时间: 9(时) 注册时间: 2021-04-14 最后登录: 2021-06-24

楼主 发表于: 2021-05-22   倒序阅读 ┊  只看楼主 ┊  小 中 大 【安全管理法】全环节信息安全管理策略 全环节信息安全管理策略 国网福建省电力有限公司龙岩供电公司信通公司信息运检班 一、背景 龙岩公司信息运检班作为公司信息运维的主体责任班组，承担包括信息设备维护，信息安全管理等一系列职责。当前，面临疫情防控、国际形势复杂多变大环境，信息安全形势愈加严峻，对信息安全管理提出更高要求。本文基于信息安全业务知识，结合多年攻防演练及护网经验，制定包括事前防护战术、事中预警监测以及事后应急处置方法的全环节信息安全管理策略。该策略从信息收集阶段、漏洞利用阶段、获取权限阶段、横向攻击阶段出发，统计信息收集、攻击渗透、获取权限、横向渗透等各个阶段可能使用的攻击手段，对症下药提出针对性防御方法，有效保障企业网络信息安全。 二、典型做法 （一）信息收集阶段 1.事前防护战术 （1）正面资产信息梳理、收缩保护： 一：统计互联网资产，统计诸如web、app、微信公众号等资产清单。定期扫描对外开放端口，关闭不必要服务，缩窄资产暴露面。 二：隐藏中间件、框架、服务器、WAF、蜜罐等服务器或者安全设备的Banner，防止攻击团队信息收集。 三：实现秒级自动封禁功能，将高危攻击行为的IP地址与互联网出口防火墙联动封禁，提高攻击者信息收集成本。 （2）侧面暴露信息消除、内部保护： 一：开展互联网敏感信息排查，并及时和相关平台交涉，清除敏感信息。 二：个人终端实现数据资产内容安全管理系统全覆盖，防止敏感信息对外泄露。 2.事中预警监测 基于安全厂家的全流量平台，实时全流量监控，并关注常见手工探测和攻击行为。 3.事后应急处置 开展正面资产收集，实时关注重要系统，一旦发现恶意攻击，IP自动封禁攻击，研判分析攻击行为，利用防火墙、入侵防护系统等进行防护回溯，分析攻击源IP。 对于不慎开发的端口，一经发现，及时关闭；对于不慎泄露的敏感信息，快速溯源定位发布人员并交涉。 （二）漏洞利用阶段 针对0day/Nday漏洞攻击： 0day漏洞指还没有补丁、尚未公开的漏洞。Nday漏洞指曝光时间极短的漏洞，针对上述漏洞的防御检测措施不足，危害性极大，需要重点防范。 1.事前防护战术 前期做好详细资产收集，包括并不限于主机系统、开发端口、数据库应用、Web应用、Web框架、常见中间件等。 2.事中预警监测 持续关注各大安全厂商中台信息支持，及时响应排查，部署互联网仿真蜜罐，构建欺骗防御体系诱导攻击，围绕蜜罐配置全流量监测。 3.事后应急处置 建立应急反应机制，一旦有0day/Nday漏洞曝光，迅速定位受影响系统、主机、应用。制定自定义过滤功能，有效拦截过滤攻击行为；分析漏洞原理，对相关应用实施安全加固、升级版本、删除组件等；及时补丁升级，修复漏洞。 （三）获取权限阶段 攻击者发现真实存在漏洞并进一步利用漏洞来获取目标服务器的权限开展恶意活动的行为。 1.事前防护战术 一：部署安全设备对账号、端口、进程、应用、web、数据库等集中管理。配置入侵检测规则，对诸如暴力破解、异常登录、反弹shell等可疑操作，第一时间告警。 二：通过安全设备以及安全终端防病毒软件加强目标终端防护力量，有效监测各类恶意程序。 三：每日对DNS服务器解析记录统计分析，及时排除定位异常的DNS解析主机。 四：全流量分析优化设置，对CS流量特征、冰蝎连接特征等恶意特征，重点监控。 2.事中预警监测 通过全流量分析设备，提供全数据包抓取、存储、回溯、重放等能力。对报文载荷进行多种方式解码，协助研判人员提取攻击向量特征，根据状态返回码判定攻击成功与否。 3.事后应急处置 开展实时监控，一旦发现漏洞，迅速定位主机，采取隔离措施，切断入侵网络连接，终止入侵活动，实施研判分析，还原攻击路径，及时修复漏洞，进一步溯源反制。 （四）横向攻击阶段 由于内部网络通信的阻断不能像边界那样可以快速隔离、有效拦截，所以提升内网横向行为的监测尤为重要。 1.事前防护战术 一：建立举手报备机制，对未报备行为进行告警，同时对与往常登录时间、登录次数有出入的行为进行确认跟进。 二：核心区、DMZ区、外联区部署蜜罐系统，监测同网段的异常探测和访问，及时发现内网横向攻击征兆。 2.事中预警监测 通过全流量分析设备，提供全数据包抓取、存储、回溯、重放等能力。对报文载荷进行多种方式解码，协助研判人员提取攻击向量特征，尤其重点监控横向行为，如远程登录、远程管理、哈希传递攻击、SSH劫持、票据传递攻击等。 3.事后应急处置 一旦发现横向攻击，迅速定位该主机，采取隔离措施，断开相应网络连接，终止入侵活动，避免入侵者破坏证据，研判分析攻击行为，还原攻击者的攻击路径，及时修复漏洞，进一步溯源反制。 （五）以攻为守、请君入瓮 知己知彼百战不殆，更要以攻为守，请君入瓮。围绕蜜罐系统配置全流量监测， 对攻击行为“瓮中捉鳖”。 三 实施成效 本文针对信息安全管理实际工作提出一种全环节信息安全管理策略，该策略部署事前、事中、事后多重安全机制，构建一体化防守平台，实现全流量全方位实时监测。此外，转变传统防守思维，以攻为守，主动出击，借助蜜罐系统，诱捕攻击，溯源反制，有效威慑攻击者的同时也极大节省人力成本。在本次护网2021行动中，该策略的实施有效保障公司的网络信息安全。

评价一下你浏览此帖子的感受 精彩 感动 搞笑 开心 愤怒 无聊 灌水 回复 引用 举报顶端

林矩鸿离线 级别: 杂志编辑 UID: 40872 精华: 2 发帖: 1100 财富: 11434 鼎币 威望: 4 点 贡献值: 4 点 会员币: 0 个 好评度: 6 点 在线时间: 200(时) 注册时间: 2018-04-16 最后登录: 2024-03-28	沙发 发表于: 2021-05-31   只看该作者 ┊  小 中 大 全环节信息安全管理策略
	回复 引用 举报顶端

描述