来源丨深信服科技
重大活动期间,黑客攻击更加频繁,相关部门也加强网络监管力度和合规审查,各单位的网络安全保障工作时间紧任务重要求高。信服君梳理了《重大活动保障期间网络安全注意事项》,帮助重保单位有效开展安全工作,顺利完成安全保障任务。
根据深信服多年的重保经验总结,建议重保单位成立应急保障小组和安全监控小组,指定小组负责人和工作计划,从评估加固、策略强化、威胁监测及员工安全意识加强等几个方面开展相关工作,提高安全防御能力和人员安全水平。
在重保活动前通过开展安全风险评估早于攻击者发现安全问题,避免漏洞、脆弱配置、弱口令等风险被利用造成数据泄露,并进行持续修复,提升业务系统的安全性。
1.脆弱性检测修复
Web漏洞检测:通过Web漏洞扫描工具(漏洞库升级到最新),优先对暴露在互联网上的网站、办公系统进行深度扫描,发现的安全风险应尽快修复代码,活动期间非关键系统建议暂时关闭,降低被入侵的风险。
系统漏洞检测:针对操作系统、中间件、数据库、平台组件等程序进行漏洞检测,根据漏洞风险等级及优先级进行修复和规避。
口令安全评估:通过现场调研网站等业务系统密码的使用周期、密码强度等进行提前询问评估,使用工具对系统的弱口令、重复性口令、高风险口令等进行批量识别验证,根据结果升级账号安全策略。
2.集权系统评估加固
权限管控类系统:重点检查域控、堡垒机、身份管理等系统的安全漏洞和系统配置,检查对外和对内的用户权限,做到最小范围内的授权使用,并且可审计可管控可溯源,降低账号泄露或账号恶意使用的风险。
内网办公系统:互联网和内网的办公系统是账号信息、敏感数据的汇集点,针对系统的运行环境、系统漏洞、账号措施等进行重点检查评估,根据系统对内外被访问的范围、路径进行安全加固和限制。
代码管理系统:检查代码管理的环境安全,分析SVN及测试环境中的代码运行和存储的环境风险,根据代码的运行本地化、不带走、不上云的原则管控,尤其针对开发者将代码托管在GitHub上的情况应严查禁止,针对外包单位应签署保密协议,降低代码泄露和被利用的风险。
3.终端风险排查
对于办公、运维、开发等网络环境中的终端进行安全评估,检查终端的防病毒、补丁安装、账号策略等是否加固,对终端进行实名准入管控,做到用网实名,行为可控。
业务系统对内、对外的访问安全策略,保障安全策略与业务的实际需求匹配,并有效持续防御。
1.网站安全加固
检查暴露在互联网Web服务的公网IP、端口及对应的业务内网地址,与业务负责人核对系统有效性,长期不用的网站建议下线;网站的管理后台应禁止通过互联网业务直接访问,建议采用VPN进行管理。降低脆弱性服务被利用风险。
2.内外网络加固
内外边界加固:可按照以下优先级进行加固:互联网到DMZ的边界,DMZ到内网的边界,上网网段到办公网的边界,分支或外部机构到内网的边界,办公网到生产网的边界,Wi-Fi到办公网的边界,测试网与生产网的边界,GUEST网到内网的边界。以上边界在不影响业务情况下建议严格进行物理隔离或逻辑隔离。
网络控制加固:将网络访问控制精确到IP和端口,从外到内的访问要严格控制,从内到外的访问也要考虑必要性和最小化。本条适用于所有的访问控制设备,包括上网行为管理 、下一代防火墙等。
无线设备加固:考虑到攻击者利用无线网络攻击,建议对无线接入开启双因素、实名认证,对于无线信号的覆盖范围应尽可能降低。
3.运维措施加固
建议关闭不安全的远程直接访问,包括但不限于TeamView、Telnet、RDP、VPN、VNC等,并对运维人员开启更安全的运维机制,通过多因素认证,对运维行为可管控审计。非必要公开的文件共享、FTP服务等网络访问同样建议关闭,或更换更安全的资源共享机制。
加强攻击行为的监测能力,实时分析关键网络节点的攻击特征,针对互联网业务的渗透注入、漏洞扫描、恶意访问及暴力破解等攻击行为应检查安全设备的拦截能力,对于攻击者经常使用的邮箱社工攻击应加强监测防御,保障内防外控全面安全有效。
1.网站安全防控
实时监测暴露在互联网Web网站的安全状况,根据发现的安全风险及时调整安全规则和阻断策略;随时监测Web网站纵向防御和审计的设备日志告警,确保安全设备的关联准确性,保障安全防线有效。
2.内网安全管控
跨网区域间的安全访问应建立最小权限机制,尽可能建立白名单控制; 业务跨网访问的流向应清晰、可溯源。
3.主机安全防御
建立主机层面的最后一道防线,不同业务交叉访问应建立IP访问白名单机制;加强主机间纵向横向的流量可监测、可管控能力。
4.关键路径监控
监控预警机制应能覆盖到业务关键访问路径,按照(DMZ、边界)→系统→数据的集中区域(服务器区、核心交换机)等关键路径,部署相关安全监测、防御设备,实现业务风险可视可查可控。
5.恶意邮件监测
攻击者会利用撞库、钓鱼、爆破、渗透等方式,试图获得IT人员邮件内的信息。应要求全网IT人员,检查清理自己公网邮箱(优先)及内网邮箱内的敏感信息 (含垃圾箱)。
单位安全部门应发邮件或告知提醒内部同事近期攻击者会运用的攻击手段,并开展安全意识培训,将安全意识贯穿到工作行为当中。
账号安全
1.办公电脑、个人终端及个人的应用帐号应设置8位以上,并且使用“字母大小写+数字+特殊字符”的无规律组合的复杂口令。
2.办公电脑及个人终端应设置带口令的自动屏保,个人离开电脑时应手动锁屏,下班时应关闭电脑。
3.办公位置不得张贴任何系统口令,系统桌面及存储设备上不得保存有任何明文口令。
4.办公邮箱、个人邮箱、共享网盘内如有存储密码文件应彻底清除,并及时更改对应系统的账号口令。
终端安全
5.办公电脑及个人终端操作系统应升级至最新的补丁版本;无法升级的终端应关停。
6.不安装任何来路不明的软件,不使用任何来路不明的U盘。
7. 办公电脑及个人终端应安装防病毒软件,并升级最新的病毒库,做好电脑病毒查杀。
无线安全
8.关闭私自设置个人Wi-Fi,不访问任何非本单位的开放Wi-Fi,发现单位附近的无密码、开放的Wi-Fi应通知IT部门。
访问安全
9.保持良好的上网习惯,不相信任何来路不明的可疑链接、邮件、短信和电话。
10.办公室、机房的出入口应常关闭,有陌生人进出应警惕并通知门卫/保安部门核实。