信息化观察网

经验分享：

为了落实国家和教育部关于网络信息安全保障的相关政策和要求，加强学校网络信息安全工作的建设，提升学校网络信息安全的检测、预警和防护能力，针对学校数百个网站信息系统，数百台托管服务器以及数据库、专用和通用IT设备、安全专用设备开展全面的定期安全自查和运行维护、渗透测试、威胁情报分析和预警，同时开展网络安全事件应急处置、安全值守；对学校的核心服务器提供专业的防病毒服务，为学校开展相关的网络安全宣传和培训提供专业的组织、展示，最终通过建立的网络安全保障体系，最大限度提升学校安全防护能力，保障校园网和业务系统安全稳定运行，更好提升广大师生的网络安全意识，培养网络安全习惯，满足广大师生安全用网的基础需求。

成果展示：

在学校的网络安全保障过程中，通过安全运维、安全威胁分析、安全预警及安全培训值守有效的构筑了学校的网络安全保障体系，同时结合近几年公安部护网的实际要求和需求，针对护网制订了行之有效的符合学校实际的护网保障方案，具体如下：

护网期间间，重点开展网站安全监测及远程安全值守工作，如发现安全事件及时进行事件的响应及分析；常态化开展日常安全巡检、防病毒定期巡检及维护以及安全威胁分析工作。

(一)安全威胁分析

·工作内容：

通过对网内关键节点的流量进行全面镜像分析研判，对发现的外部攻击行为（如漏洞利用、持续性攻击等）及时反馈处理建议，精准发现内部失陷主机（主机被非授权登录，或被植入木马后门等），快速并准确定位安全威胁所在，提供威胁相关的丰富的内外部信息以供分析和响应。

·工作报告：

每日反馈发现的安全风险，每周提交《安全威胁分析周报》。

(二)防病毒定期安全巡检及维护

·工作内容：

防病毒安全巡检主要工作内容是对防病毒软件控制中心的告警信息进行分析跟踪。

防病毒控制中心安全检查，主要检查设备连通性、CPU使用率、内存使用情况、磁盘使用情况、特征库是否为最新和是否有高风险的告警，并对高风险告警信息进行分析排查，确认的攻击行为要及时应对，进入应急响应流程；

·工作成果：

每日反馈发现的安全风险，每周提交《防病毒巡检报告》。

(三)网站安全监测

·配合准备工作：

提供护网期间对互联网开放的需要监控的网站列表

·工作内容：

通过网站安全监测平台，对学校提供的网站进行7x24小时全面的安全监测。网站监控系统主要对网站的运行情况，服务中断，内容更改、挂马病毒、敏感词、应用漏洞、性能故障、入侵进程、舆情检测等恶意行为进行实时监控，当网站出现网站中断，内容更改、挂马病毒、敏感词、应用漏洞、性能故障、入侵进程、舆情检测等异常状况时，发现安全问题及时告警，由监控人员对网站类安全事件进行处置和跟踪，从而提升网站安全监控系统对网站安全事件的可知、可控和可管理能力。

·工作交付：

发现网站安全风险及时反馈，每日反馈整体情况，最终提交《网站安全监测报告》

(四)应急响应及重点保障

·准备工作：

1)发现安全事件后及时告知

2)建立应急处理通讯录

·工作内容：

安排安全服务人员进行7*24远程值守，紧急情况及时预警，并且协助应对突发情况，进行应急处置，及时解决安全风险。

事件响应时间：

重大安全事件需在1小时内响应，需要现场支持的时候2小时内到现场，按要求提供技术支持和解决方案并协助处理。

普通安全事件4小时内响应，按要求提供技术支持并协助处理。

通常信息系统可能发生的安全事件主要可以分为以下几大类：

√拒绝服务：通过占用网络/系统资源使计算机或网络无法提供正常的服务。

√恶意代码：病毒、蠕虫、木马等会给计算机带来不良影响的代码。

√未授权访问：某人在没有得到允许的情况下，获得对网络、系统、应用、数据，以及其它信息资源的访问权限。

√攻击篡改：黑客攻击控制服务器权限或篡改页面。

√上述几种安全事件的结合。

安全事件主要可以分为以下三个级别：

√一般安全事件；

一般安全事件是指出现安全事件的特征，小范围影响到网络或业务系统性能，但是不影响骨干网络和业务系统的正常可用。

√严重安全事件；

严重安全事件是指造成网络骨干节点或者业务系统中断30分钟以上；

√重大安全事件。

重大安全事件是指造成网络骨干节点或者业务系统中断60分钟以上。

当出现安全事件时，禹宏信安将提供应急响应技术支持服务，服务的方式如下：

一般安全事件：

支持人员：现场运维工程师、技术顾问；

响应方式：电话/VPN远程/现场支持

响应时间：半小时内电话/VPN远程；4小时内到现场，巡检工程师现场支持，技术顾问远程支持。

严重安全事件：

支持人员：现场运维工程师巡检工程师、技术顾问、技术专家和资深顾问

响应方式：电话/VPN远程/现场支持

响应时间：4小时内到现场，技术顾问现场支持，技术专家和资深顾问提供远程支持；

重大安全事件：

支持人员：现场运维工程师巡检工程师、技术顾问、技术专家和资深顾问

响应方式：电话/VPN远程/现场支持，相关部门资源；

响应时间：2小时内到现场，技术顾问技术专家和资深顾问提供现场支持；项目经理协调有关外部相关部门资源。

·工作成果：

《应急响应报告》（如发生安全事件）

《7*24小时远程值班表》