杭州G20峰会9月5日在浙江杭州落下帷幕。其间,绿盟科技受主管机构指派参与G20峰会网络安全保障工作,涉及G20相关网站及系统、杭州区域内相关站点及行业客户等。绿盟科技结合历年数十次重大活动安保经验,协同多部门顺利完成峰会期间网络安全保障工作。
2016年9月6日星期二09时58分27秒,安保活动进入尾声,绿盟科技G20峰会网络安全保障团队进行团队内总结。本次安全保障工作共为客户监测、评估站点及重点页面1127个,梳理互联网暴露面资产359830个。从9月1日到9月6日,
绿盟科技为主管机构、党政机关单位、企事业单位发现了:
- 实时监控12728个站点,发现18436个次安全漏洞,页面篡改、黑链植入等安全事故298起。
- 检查12728个网站,发现漏洞611356个次,其中高中危漏洞24663个。
绿盟科技为客户成功防御了:
- 防御针对G20官网攻击次数为133254次,其中DDoS攻击次数为1984次,成功清洗流量41.2TB,其中成功拦截Web页面篡改行为15次。
- 防御针对杭州区域内站点的Web攻击事件2075590次。
- 防御针对行业客户的攻击次数超过194万次,其中金融客户803874次,运营商客户1134884次,能源客户3578次。
重大活动网络安保需要经验
多年来,绿盟科技针对重大活动安保工作,总结了事前网站安全检测+事中网站安全监测+本地应急值守服务的一体化安保解决方案。
在网站监测方面
重大活动安保主要包括几个方面的监测,
- 网站平稳度监测:监测网站的通断事件和高延迟事件,主要用于发现DDoS引起的业务可用性受损。
- 篡改、暗链、敏感内容:网站页面发布或被攻击者替换有色情信息、赌博信息、不良广告、反动势力或团体政治主张、邪教相关的页面。
- 挂马:网站页面被设置了含有恶意代码或恶意文件的页面
- Webshell:网站页面被加载Webshell,作为攻击者访问和控制网站系统的后门。
在应急值守方面
重大活动安保包括几十项事前、事中、事后的工作内容,细节较为复杂,这里将主要的项目介绍如下:
- 应急组织设置,需要结合实际的业务情况,协同多个部门组建应急领导小组,并落实到人员构成及职责分工;
- 应急响应体系,与实际的业务流程相结合,协同多个部门做好应急响应及执行程序,这包括信息系统监控、信息系统基线分析、事件分类分级、事件报警与通知、应急分析与恢复、紧急故障隔离;
- 通知和报告,在应急事件报告的流程中,为保证信息传递的准确性和效率,报告应简明扼要、事实清楚,报告的通讯工具需要参考实际情况明确,一般来说以如下顺序选择,办公电话、手机、短信、邮件等;
- 应急处理体系,各单位、各部门可根据自身情况,自我检查应急环境准备或者建立应急前准备措施;
- 安全故障处理手册,可以针对事前的网站安全检测中发现的问题,以及一些典型的攻击类型及场景,准备应急处置方法、流程、工具等,包括可能的二次开发;
- 故障隔离,在确认故障无法短时间内恢复和处理完毕的情况下,需要采取的临时故障隔离手段,确保不影响全面的互联网服务区系统运行或规避出现重大社会影响事件;
- 演练要求,为了提高应急处理的速度,提高应急响应工作组成员对门户网站安全事件处理的熟练程度,应定期对预案进行演练。
绿盟科技历年重大安保活动
凭借历年来数十次的重大活动网络安保中的成功经验,绿盟科技安保团队将进一步发挥自身技术优势,积极配合主管部门切实做好每一次重大活动的网络安全保障工作,更好地服务于国家网络安全工作的需要,努力维护国家、行业和用户安全,为营造健康有序的网络环境,做出积极的贡献!