重保工作思路 - BITHACK .docxVIP

2019/5/20 重保工作思路-BITHACK.IO

首页漏洞社区工具招聘帮助中心加入我们搜索 登录

重保工作思路 目录

04-0316:25363 1.重保工作概述

1.重保工作概述

1.1工作目标

重保工作是信息安全工作中的一项比较重要的工作，涉及到信息安全工作的甲乙双方，重保期间的工作目标：

不出安全事件出现信息安全事件能及时发现、正确应对，最小降低损失

1.2重保信息安全工作特点

重保作为一项单独的信息安全工作提出来，相比于日常的信息安全工作来说有一下的特点：

1.时间短；

2.前期准备越充分，后期应对越容易；3.响应攻击事件的时间要求更短。

因网络安全法的颁布和平时信息安全工作能出彩的地方不多，所以重保期间的信息安全工作压力也越来越大，重保也需

要一套策略和流程来支持，以便更好的完成重保工作。

1.1工作目标

1.2重保信息安全工作

2重保工作内容

2.1事前准备

2.1.1项目启动会

2.1.2基础检查工作

2.1.3团队组建

2.2事中防护/监控/应急

2.2.1临时关闭业务系

2.2.2安全事件监控和

2.2.3威胁情报收集和

3事后总结

2重保工作内容

重保的工作可以按照信息安全事件的生命周期做准备，简化可以分为事前、事中、事后3个阶段，大概的工作内容如下：

http 1/4

201

2.1事前准备

通过基础安全自查工作、互联网暴漏面自查工作确定防护的范围，攻击面分析，在重保之前完成系统加固、边界防护和漏洞修复，通过应急演练查漏补缺，在发现事件时可以从容应对。在时间充裕的情况下可以考虑做全面的风险评估或等保评估，组建重保团队。

2.1.1项目启动会准备周期至少1个月

参加人员：安全、业务、开发、运维关键人员明确重保工作的范围和目标

布置工作计划确定重保相关资产范围，网络区域，网络边界

需要做哪些安全检查项目，执行检查计划、系统加固和漏洞修复计划是否有计划中的重要变更/上线，及相关安排确定关键业务的监控手段和页面篡改的监控手段确定是否要进行应急演练

确定到重保结束前的应用和数据备份计划确定沟通计划

事前准备阶段可能需要准备的文档：

重保工作方案信息安全事件处置策略和应急响应相关文档重保小组通讯录和工作安排前期准备工作总结

2.1.2基础检查工作

基础检查工作内容

检查项目

资产梳理

边界梳理

漏洞扫描

配置/基线检查

弱口令检查

APP安全检查

工作说明

梳理重保范围的业务直接相关资产，包括服务器、网络设备、安全设备，包括运维区域的资产。不光是由各业务系统提交的资产，应该使用内网的资产扫描确认所有存活的IP地址。

确定业务的网络边界，和边界的访问控制策略。

执行重保范围的资产漏洞扫描。

执行重保范围内的配置基线检查。

执行重保范围内应用服务的弱口令检查。

现在使用的各种版本，包括低版本的APP安全检查。

https://bithack.io/forum/76?from=timeline 2/4

2019/5/20 重保工作思路-BITHACK.IO

渗透测试 执行内网的渗透测试。

代码审计

办公网安全程序

覆盖率检查

如果有条件，对重要业务系统近期的变更做代码安全审查。

杀毒软件、桌面管理软件、准入等

2.1.3团队组建内部团队

组织的关键业务人员、开发人员、运维人员和安全人员外部团队

公司购买的安全服务安全产品厂家支持业务开发外包厂家支持

关键业务使用软件组件厂家支持（Oracle等）网络设备厂家支持

其他专家支持《重保工作联系人名单》

2.2事中防护/监控/应急

2.2.1临时关闭业务系统确定风险很大，但是来不及修复的非核心业务系统；内部自建使用的辅助系统；版本很老，无法维护的系统；

其他小系统

2.2.2安全事件监控和响应重保期间的主要工作：

发现攻击，响应和处置攻击；确定重点监控的事件，会来自哪些安全设备上的哪种类型的告警；最好部署集中化日志系统和SIEM系统，避免分别登录到每台安全设备上查看安全事件；发现事件后走应急响应流程。

每天编写监控报告；

2.2.3威胁情报收集和响应内部威胁情报（总公司、其他集团公司）外部威胁情报

威胁情报系统可利用一些开源的情报系统，可辅助判断安全事件的严重性

微步威胁情报：/、360威胁情报：/

IBMxforce：/绿盟威胁情报中心：/OTX：/IP查询：/ip.htmlzo