中秋佳節(jié)過后，馬上又有國慶小長假，各行各業(yè)享受假期的同時，安全從業(yè)者卻不敢放松，今年是建國70周年，重保的壓力比以往國慶保障要大很多。重保期間如果發(fā)生安全事件，帶來的負面效應，會比平常時期放大好幾倍。凡事預則立不預則廢，收好這份攻略，國慶重保不再怕。

國慶需要重保的單位一般是政府機構(gòu)、大型國企、重點高校等，重保的主要目標是保證國慶期間不會出現(xiàn)網(wǎng)頁被篡改等安全事件，圍繞重保目標，工作可以按照事前評估加固，事中值守監(jiān)控，事后應急預案的思路來開展。

[[277706]]

事前評估加固

資產(chǎn)梳理：

所謂兵馬未動糧草先行，資產(chǎn)是一切安全工作之根本，重保前，需要做一次完整的資產(chǎn)梳理，輸出如下成果：

• 先梳理出前期存在漏洞，未修復的系統(tǒng)，分類處理，不重要的系統(tǒng)，重保期間關閉系統(tǒng)，重要系統(tǒng)無法關閉的情況，可以采取先關閉存在漏洞的模塊，調(diào)整WAF、防火墻策略等方式，先減少漏洞存在的影響。小編重保期間遇到過，漏洞來不及修復，又沒法關閉的系統(tǒng)，管理員截了一張圖，放在首頁，以假亂真。
• 對單位信息系統(tǒng)進行資產(chǎn)劃分：重保期間不能關閉的重要系統(tǒng)，保證沒有系統(tǒng)漏洞。不重要的邊緣系統(tǒng)，重保期間關閉處理。暴露在互聯(lián)網(wǎng)的灰度測試環(huán)境系統(tǒng)，全部關閉。
• 邀請第三方公司進行資產(chǎn)發(fā)現(xiàn)服務，對比已有資產(chǎn)列表，檢查是否有未記錄在案的遺漏信息系統(tǒng)。

安全評估：

• 通過漏洞掃描、滲透測試的方式，全面評估重要系統(tǒng)存在的安全隱患(資產(chǎn)梳理工作中已經(jīng)確定需要關閉的系統(tǒng)，不用再評估)。
• 后門排查，掃描重要信息系統(tǒng)網(wǎng)頁文件、系統(tǒng)文件，檢查是否有前期黑客留下的后門。

日志分析：

• 分析重要信息系統(tǒng)access日志，重點分析是否有后門連接的記錄，關鍵字包括shell.asp，1.asp等連接日志。分析系統(tǒng)日志，包括history等，查看系統(tǒng)賬號是否異常，是否存在影子賬號、隱藏賬號等。
• 關鍵目錄文件分析，查看上傳目錄，檢查是否有腳本文件。使用webshell掃描工具掃描全盤。

事中值守監(jiān)控

重保開始，需要安排人員值守監(jiān)控，監(jiān)控工作按照如下安排：

• 網(wǎng)頁防篡改監(jiān)控，一般網(wǎng)頁防篡改開啟后，網(wǎng)頁無法更新，重保期間，通知所有業(yè)務單位，網(wǎng)頁停止更新，開啟防篡改，前端靜態(tài)頁面腳本、圖片，后端數(shù)據(jù)庫全部鎖死，如果必須要修改，業(yè)務部門通知安全部門，臨時開通修改權限。重保開始后，監(jiān)控網(wǎng)頁防篡改設備運行狀態(tài)，不斷刷新重要信息系統(tǒng)首頁，查看是否有異常。
• 態(tài)勢感知監(jiān)控，單位如果部署有態(tài)勢感知，通過分析流量、日志，實時監(jiān)測網(wǎng)絡異常情況，值守人員實時關注態(tài)勢感知告警，重點關注可能篡改網(wǎng)頁的告警，如網(wǎng)絡攻擊、后門訪問等，其他如流氓推廣等，重保期間可以暫時不用理會。

事后應急預案

制定應急預案，重保前期與各業(yè)務部門確認：

• 發(fā)現(xiàn)安全事件，采取先斷網(wǎng)后處置的方式，制定斷網(wǎng)策略，保證監(jiān)控人員在發(fā)現(xiàn)安全事件后，第一時間能夠通知網(wǎng)絡管理員斷網(wǎng)。
• 應急預案通知各業(yè)務部門知曉，重保期間，安全優(yōu)先，各業(yè)務部門指定對接人配合安全部門重保。

辦法總是比問題多，小編見過很多重保期間腦洞大開的設計，除了上述用一張截圖作為網(wǎng)站首頁外，還見過一名管理員，在馬爸爸家買了一個智能插座，接在服務器上，出現(xiàn)問題，手機上一鍵斷網(wǎng)。

到重保前期才想到要開始干活的單位，前期網(wǎng)絡安全工作做得都不是很充分，所以想到臨時抱佛腳，借用一句雞湯：“越努力越幸運”。與其臨時抱佛腳，不如平時多燒香。收好這份攻略，今年國慶重保不再怕。