【文章內(nèi)容簡介】 析 和預(yù) 處 理 ？接 收 E O M S 工單 ， 處 理 完 畢后 回 復(fù) 工 單通 過 郵 件 投訴 處 理 系 統(tǒng)自 動(dòng) 轉(zhuǎn) 發(fā) 相應(yīng) 省 公 司 處理支 撐 崗 判 斷 能否 自 行 處 理 ？歸 檔 工 單回 復(fù) 工 單歸 檔 工 單完 善 安 全 事 件 處 理預(yù) 案 和 處 理 手 冊整 理 安 全 告 警 處 理手 冊 和 網(wǎng) 管 安 全 監(jiān)控 操 作 手 冊 ， 并 培訓(xùn) 監(jiān) 控 崗 使 用是否 ， 轉(zhuǎn) 發(fā)至 支 撐 崗是 ， 指 導(dǎo) 監(jiān)控 崗 進(jìn) 行 分析 及 預(yù) 處 理否是否E O M S 派 發(fā) 工 單至 告 警 涉 及 系統(tǒng) 負(fù) 責(zé) 人 處 理將 處 理 情 況 在 E O M S維 護(hù) 作 業(yè) 記 錄圖 例 ：文 檔 、 模 板活 動(dòng) 流 轉(zhuǎn)流 程 活 動(dòng)選 擇 判 斷轉(zhuǎn) 其 他 流程 ， 結(jié) 束流 程 觸 發(fā) 項(xiàng)21 目錄 ?安全基本概念 ?安全事件分類分級 ?安全事件監(jiān)控和處理流程 ?安全監(jiān)控工作思路 ?信息安全基礎(chǔ)知識(shí) ?安全事件案例 22 ? 2022年，總部組織全網(wǎng)開展了以“風(fēng)險(xiǎn)管理”為核心的安全監(jiān)控。 ? 按照網(wǎng)絡(luò)與信息安全“風(fēng)險(xiǎn)管理”的本質(zhì)，對風(fēng)險(xiǎn)進(jìn)行有效的控制，要著眼損失和影響，首要保護(hù)高價(jià)值的資產(chǎn)，關(guān)注危害較高的威脅。 ? 圍繞“重要資產(chǎn)，重要告警，重點(diǎn)監(jiān)控”的工作目標(biāo)，以安全告警和資產(chǎn)的關(guān)聯(lián)為重點(diǎn)開展工作 。 – 整理資產(chǎn)基礎(chǔ)信息，列出資產(chǎn)的重要程度，包括 IP地址等信息。制定資產(chǎn)信息收集和更新的流程。 – 制定告警預(yù)處理手冊、安全事件處理及上報(bào)流程、安全監(jiān)控作業(yè)計(jì)劃，優(yōu)化安全系統(tǒng)的告警配置。將安全告警分類分級，手冊標(biāo)準(zhǔn)化。 – 將告警信息與資產(chǎn)信息進(jìn)行關(guān)聯(lián)，實(shí)現(xiàn)對重要系統(tǒng)，重要告警的重點(diǎn)監(jiān)控。 ? 實(shí)現(xiàn)了具備安全監(jiān)控手段的一干和省網(wǎng)重要系統(tǒng) 5 8小時(shí)的重點(diǎn)安全監(jiān)控，有效提升了全網(wǎng)安全監(jiān)控能力 。 安全監(jiān)控工作思路（ 1） 23 ? 目前， 多數(shù)省還存在以下問題： – 大多數(shù)省份由維護(hù)人員分別對自己負(fù)責(zé)維護(hù)的網(wǎng)絡(luò)和系統(tǒng)的進(jìn)行安全監(jiān)控，或者由 1名安全專業(yè)技術(shù)人員負(fù)責(zé)監(jiān)控，未實(shí)現(xiàn)由網(wǎng)管中心監(jiān)控室實(shí)施集中安全監(jiān)控。 – 上述方式下，各省做到了 5 8小時(shí)的安全監(jiān)控，但大多數(shù)難以開展 7 24小時(shí)的安全監(jiān)控； – 各類安全監(jiān)控手段較為分散，未實(shí)現(xiàn)安全監(jiān)控手段的集中化。 ? 2022年為奧運(yùn)之年，網(wǎng)絡(luò)工作會(huì)上，公司領(lǐng)導(dǎo)對奧運(yùn)期間安全監(jiān)控工作的要求為： “網(wǎng)絡(luò)安全的攻防人員要建立起來， 特別是奧運(yùn)期間有 24小時(shí)值班，要保證我們的網(wǎng)絡(luò)處在可以管理、可以監(jiān)控的情況下。 ” ? 按照上述要求， 2022年在全網(wǎng)推行集中化的 7 24小時(shí)安全監(jiān)控的工作勢在必行。 安全監(jiān)控工作思路（ 2） 24 ? 總部正組織各省開展集中化的 7 24小時(shí)網(wǎng)絡(luò)與信息安全監(jiān)控工作。 ? 對具備基礎(chǔ)安全監(jiān)控手段的一干和省網(wǎng)重要系統(tǒng)實(shí)現(xiàn)集中化的7 24小時(shí)安全監(jiān)控，重要系統(tǒng)中實(shí)現(xiàn)集中化安全監(jiān)控的比例要達(dá)到 80%，保證網(wǎng)絡(luò)在可管、可控的情況下安全運(yùn)營。 ? 奧運(yùn)期間加強(qiáng)安全監(jiān)控，重點(diǎn)監(jiān)控奧運(yùn)產(chǎn)品和奧運(yùn)專項(xiàng)網(wǎng)絡(luò)保障所涉及的網(wǎng)絡(luò)和系統(tǒng)發(fā)生的重要事件，及時(shí)處理安全問題。 – 制定標(biāo)準(zhǔn)化的集中化安全監(jiān)控工作流程，操作手冊，針對奧運(yùn)保障完善預(yù)處理手冊，制定 7*24小時(shí)安全監(jiān)控作業(yè)計(jì)劃，安全告警派單的模板。 – 對于不具備集中化安全監(jiān)控手段的省公司，應(yīng)采用將各類基礎(chǔ)安全監(jiān)控手段的操作終端集中、分別查看各終端安全事件的過度方式，開展集中化安全監(jiān)控；省公司應(yīng)通過集中化安全監(jiān)控手段開展集中安全監(jiān)控，實(shí)現(xiàn)高效的一站式安全監(jiān)控。 – 各省公司也要組織必要的培訓(xùn)，確保安全監(jiān)控崗位人員具備安全監(jiān)控技能，熟悉掌握監(jiān)控工作手冊，并可熟練執(zhí)行安全監(jiān)控作業(yè)。 安全監(jiān)控工作思路（ 3） 25 目錄 ?安全基本概念 ?安全事件分類分級 ?安全事件監(jiān)控和處理流程 ?安全監(jiān)控工作思路 ?信息安全基礎(chǔ)知識(shí) ?安全事件案例 26 防火墻 ? 防火墻是在不同安全區(qū)域之間進(jìn)行訪問控制的一種措施。 Firewall Inter DMZ Internal Network 27 什么是防火墻 ? 防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。 ? 在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和 Inter 之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全。 28 防火墻工作原理 P C 客 戶 機(jī) 防 火 墻U N I X? 對 IP地址和某些端口進(jìn)行過濾 29 防火墻不是萬能的 ? 防火墻僅僅是網(wǎng)絡(luò)安全體系的一個(gè)組件 ? 防火墻通常是抵御攻擊的第一道防線，經(jīng)常被有經(jīng)驗(yàn)的入侵者繞過 ? 防火墻中的“開放”策略通常被利用 ? 防火墻不能安全過濾應(yīng)用層的非法攻擊，如 unicode攻擊； ? 防火墻對不通過它的連接無能為力，如內(nèi)網(wǎng)攻擊等； ? 防火墻采用靜態(tài)安全策略技術(shù)，因此自身無法動(dòng)態(tài)防御新的非法攻擊。 30 入侵檢測系統(tǒng) 入侵檢測（ Intrusion Detection），顧名思義，是對入侵行為的發(fā)覺。它通過對計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)。 （ Intrusion Detection System,簡稱IDS）。 假如說防火墻是一幢大樓的門鎖，那入侵監(jiān)測系統(tǒng)就是這幢大樓里的監(jiān)視系統(tǒng)。 31 IDS工作流程示意 數(shù)據(jù)采集 數(shù)據(jù)過濾 事件報(bào)警/響應(yīng) 攻擊檢測/分析