重保支撑服务
l服务简介
通过资产排查,帮助用户了解目前关键网络资产的安全状况、面临的威胁、资产的价值和敏感性、威胁可能导致的资产损失、网络架构的合理性和安全性、安全制度的完整性和必要性,并根据自查情况进行安全加固整改。使用户重保期间面临的网络安全风险保持在可控、可接受的程度,完成重保保障工作。
l服务内容
Ø安全事件实时监测
当重保行动正式开启后,组织开展安全事件实时监测工作。检测小组成员借助安全防护设备(全流量分析设备、Web防火墙、IDS、IPS、数据库审计等)开展攻击安全事件实时监测,对发现的攻击行为进行确认,详细记录攻击相关数据,为后续处置工作、溯源工作的开展提供信息。
Ø监测值守
根据重保行动时间要求,可按需实行7×24小时现场值守,通过采用三班倒方式,确保团队所有工作人员保证休息,确保各网络安全设备、系统持续监控,驻守人员等能够精力充沛实时开展现场处置工作,确保用户的其他第三方保障人员也在现场,在发生安全事件时,要保证随叫随到,具备快速响应处理能力,保障各项工作正常运作。
Ø应急响应处置
根据监测到安全事件,协同进行分析和确认。针对攻击来源,应采取“非白即黑”、“先阻断,再处置上报”的策略;根据分析结果,应采取相应的处置措施,来确保目标系统安全。通过遏制攻击行为,使其不再危害目标系统和网络,依据攻击行为的具体特点实时制定攻击阻断的安全措施,详细记录攻击阻断操作。业务主管单位对业务稳定性进行监测,工作接口人及时通报相关信息。
Ø攻击分析与溯源
采用主动和被动两种追踪溯源技术,包括针对潜在恶意行为警报进行取证调查和攻击假设测试、依靠网络威胁情报产生攻击假设,主动搜索潜在的恶意行为。在这两种情况下使用安全信息及事件管理中存储的数据进行调查,帮助安全分析师、安全专家更好地发现正在进行的APT攻击。
Ø复盘总结
重保后回顾保障工作,总结经验,并提出针对性的建议。