护网介绍

​ 每至年中,安全圈最热闹那当属网络安全行业最喜闻乐见的护网行动了。国家护网是由公安部举办的一场国家级网络安全实战攻防演练。其目标是希望通过模拟实际的黑客攻击来检验企业单位的网络安全防护能力,并且不限制攻击手段。这就使得每年护网都能出现一些极为精彩的黑客高手操作,羡煞旁人。当然护网中除了技术的比拼,对于安全负责人、管理来说也是一场极大的能力考验。下面将从护网前、护网后两个维度来分别介绍该如何进行护网工作。

护网前夕

1、明确责任

我目前是一名安全服务工程师,其实作为一名工程师明面上只需做好防守工作即可。但是我希望我们也能多多理解这个护网行动中的整个流水线。清楚至上而下各个节点的所有工作,这样对于护网不仅能够拥有一个更清晰的认识、还能使安全机制在攻防中更加完善健全。

那么对于安全负责人或者说高级蓝队应该如何明确安全责任呢?首先,在攻防中的安全建设,分管领导是起着重要作用的,同时分管领导也应该承担护网风险的主要安全责任。针对攻防演习,需要做出一份“工作职责清单”,明确各个部门、领导应该不同突发事件时需要承担的职责。同时需要让单位领导作为总指挥,积极督促护网中的各组成员行动。

安全责任与问责是一体化的,虽然在护网及攻防演练中安全领导不会直接参与到防守的工作当中,但是安全领导要承担的责任是最大的。因为大部分的安全建设方案、管理办法是需要领导最终确定下来的。同事安全团队的行动及计划需要得到部门领导的积极支持才能更加顺利的进行。所以在明确问责机制时,第一的问责对象应该是信息部门的分管领导,第二问责的对象才是直接参与到安全工作的成员。比如研发部门、安服团队、网络管理员等。

下发通知:

@所有人 温馨提示:
市政数局将于本月24—28日开展本年度“深蓝”攻防演练活动,为确保我中心网络与数据安全,顺利完成攻防演练防守任务,请各供应商加强监督管理,做好以下事项:
1、演练期间停止代码版本更新操作,防止测试阶段代码存在安全漏洞被攻击利用。在收到业务功能调整需求通知时,核实是否由中心业务接口人发起,以避免攻击者冒充中心人员获取系统控制权限或敏感信息;
2、运维和开发人员应加密存储密码,可以使用密码管理工具如Keepass,实现密码密文存储和每次调用前的二次验证,防止终端被控导致业务系统权限被盗取;
3、演练前对负责的服务器进行文件清理,不得在系统目录中存在临时备份文件(如*.bak、*.tar),以防止攻击者扫描并下载代码或数据库备份文件;
4、演练前确保各业务系统组件的版本已更新至最新(如中间件、开发框架),以防止存在版本漏洞被攻击者利用入侵中心业务系统;
5、演练期间应进行有效的应急响应工作,安排人员提供7*24小时支持。对于攻击者已发现的安全漏洞,立即修复并进行全局整改;
6、演练期间中心会建立保障沟通群,届时需安排人员进群提供应急支撑。
7、各供应商应加强人员保密意识,不定期开展企业内部安全意识培训,企业与员工内部应签署保密协议,协助中心开发的源码等敏感信息不得私自泄漏到互联网上;
8、各供应商应加强人员安全编码意识,制定企业内部安全编码规范,代码提交前应由专人进行审查,避免存在代码层面的逻辑漏洞等安全隐患;
9、各供应商在业务开发时应注意环境安全问题,原则上开发人员只能接触测试环境,且测试环境不得使用生产数据,因运维需求需要接触生产环境,应获得IT部门许可;
10、各供应商提交的交付物应进行预加密压缩,必要时可通过邮件方式传输,不得明文传输或通过互联网应用(如:微信、QQ等)传输;
11、各供应商应关注业界安全走向,了解最新的漏洞预警,不断更新内部使用的开发组件版本,避免因公开漏洞导致中心业务系统被攻陷;
12、各供应商不得在未获得中心授权情况下,在开发的系统页面展示企业联系方式,避免攻击者利用此类信息进行钓鱼诈骗;
13、各供应商在项目实施时应接受中心的统一监管,因供应商工作疏忽或交付质量导致中心承受财产损失或绩效考核扣分的,中心有权追究其责任采取相应处罚措施。