安全分析
安全分析人员对非预警安全事件进行分析,排除误警虚警信息,尝试解决可处理安全事件。判断为不能处理的安全事件和经尝试不能解决的安全事件,提交运维经理,请经理协调各方资源协助解决。如资源难以协调则继续向上一级主管领导发起协调资源请求,直至问题解决。
经过安全分析人员对攻击数据包进行分析,迅速判断出此次攻击主要针对80端口的Ddos攻击,遭受攻击的网站由于资源消耗过大而无法再给用户提供正常的页面访问。由于世博业务可持续性运行的重要性,于是决定本着“先抢通后修复”的原则,先利用防火墙、UTM制定相应的安全策略协助该单位恢复系统正常工作。
同时运维人员根据安全事件对该风险进行评估,确定攻击类型、波及范围及造成的影响,并制定都详细的加固解决方案。
安全预警
安全监控平台发现客户网络出现高危安全事件时,安全专家团队子系统的安全分析人员,根据事件信息确定预警级别,通过工单系统向网络管理员提交预警信息。若预警级别较高,则通报给相关主管领导、同时发起预警,同时派遣专业人员协助处理安全事件。
事件分析报告
安全运维小组事后向用户提交了一份详细的事件分析报告,其中包括工程记录文档和安全策略建议,建议中提到还存在安全技术手段使用不足的问题,虽然采用了防火墙和防毒系统,但是却没有充分利用好保护网络安全的工具和资源。报告的目的是让用户知道怎么出的问题、问题出在哪里、怎么解决的问题、今后该注意什么?
加固测试
根据安全评估报告协助用户对系统自身的安全漏洞进行修补,并对加固后的系统,进行模拟测试。安全专家模拟黑客攻击的方式对用户指定的IP地址采用工具和人工检查相结合的办法进行远程安全测试,评估加固后的系统是否达到安全要求。
防火墙策略生效之后,攻击逐渐减弱,通过外网访问web服务器,速度正常。至此初步判断,由于防火墙、UMT的防护和安全监控平台监测,已经令恶意攻击者知难而退,暂时停止实施攻击。经过现场一段时间的观察客户网络正常运行,后期运维小组重点对该网络进行远程监控跟踪。
形成知识库
将此次安全事件发现、分析、解决的过程以知识库的形式保存,以便下次同类问题的快速处理及客户人员的自学习。
世博会已经结束,一改以往被动响应的安全运维服务模式,安全运维小组通过智能化神经安全监控平台帮助用户迅速、全面、细致的提前感知和掌控到网络安全运行情况,及时解决各类出现的网络安全问题。与此同时安全运维小组始终坚持全过程流程化安全服务理念,全程提供安全监控、网络评估、安全处理、安全培训和安全咨询服务,真正做到由被动响应到主动服务,让众多的世博系统供应商得到专业的安全趋势分析与建议,对于安全事件有据可查,做到安全工作有的放矢,协助世博组委会全面夺取了世博会的网络安全保障任务。
