回顾金砖重保，看绿盟安全保障新思路！

举世瞩目的金砖国家领导人厦门会晤2017年9月5日在厦门落下帷幕。其间，绿盟科技受主管机构指派参与厦门会晤安全保障工作，涉及厦门会晤相关网站及系统、厦门区域内相关站点及行业客户等。绿盟科技结合历年数十次重大活动安保经验，协同多部门顺利完成会晤期间网络安全保障工作。

勒索软件的故事

1、异常发现

2017年9月x日13时，绿盟科技安全态势感知平台产生大量告警，保障值守人员针对平台攻击链中安装工具和命令控制阶段的事件进行分析，发现10.x.x.x，较为可疑。

2、数据分析及病毒发现

持续针对平台攻击链告警进行下钻分析10.x.x.x原始日志，定位该IP地址对大量内网IP地址进行SMB登录尝试并认证成功，且存在利用 【Microsoft Windows SMB Server信息泄露漏洞(CVE-2017-0147)】漏洞提权行为，立刻与应急小组确认该IP是某服务器。

2017年9月x日13时20分，将该可疑事件上报应急小组，由应急小组协助绿盟安全值守人员一同排查，并针对该IP进行回溯分析，以及横向传播分析，详细比对每一条可疑事件和详细日志，发现由该IP发起的攻击事件均包含三条日志：

• 【Windows SMB登录尝试】

• 【Windows SMB协议用户认证成功】

• 【Microsoft Windows SMB Server信息泄露漏洞(CVE-2017-0147)】

2017年9月x日14时00分，基于上述的分析，以及服务器端的分析，判断为2017年5月份爆发的蠕虫病毒，并已经开始进行内部的横向传播。

3、事件上报

正式汇报到应急小组，并发起紧急预警。应急人员立刻赶往现场配合，对服务器进行深入检查、样本分析，并上报上级部门。

“DDoS”的故事

有人把DDoS攻击比作互联网“核武器”，一旦调动足够数量遍布互联网的“肉鸡”和存在各种协议漏洞的开放服务器，就可以瘫痪掉任何互联网业务。在信息安全的三要素——“保密性”、“完整性”和“可用性”中，DDoS针对的目标正是“可用性”。

在会议保障期间，DDoS攻击更是暗流涌动。8月底至9月x日，某客户处部署的溯源平台监测到来自全球DDoS攻击的分布情况如下：

DDoS事件总览数据，攻击总次数： 2.4万次，攻击总流量：867.37T

DDoS攻击协议类型分布及比例：

DDoS攻击流量分布及比例：

防御DDoS攻击，重点监控相关会议官网、各门户等流量，过程做到分秒盯、及时报，而这些防御工作的顺利实施，也得益于事前的全面安全应急演练工作。

金砖安全保障获得的荣誉

重大安全保障经验

多年来，绿盟科技针对重大活动安保工作，总结了事前建设阶段+事中防护阶段+事后总结阶段的一体化安保解决方案。

1、事前建设阶段

事前建设阶段为重重之重，直接决定后续安全保障所具备的基础和安全能力，包含安全团队组建、等保测评整改、互联网暴露资产自查、基础安全自查、应急演练等内容，针对其中重点内容进行简单介绍。

安全保障团队的组建是整个安保工作首先要做的事情，团队的成员应包含公司内部人员与外部人员两个部分。

针对企业外网，公网资产数量巨大，安全控制措施少，对内关注度低，对外风险大，往往容易发生各类信息安全事件，需要具备快速全面的资产梳理能力。

针对企业内网，需要提供平台化的工具，对系统、设备、应用的脆弱性进行自动化检测，帮助企业或者组织来侦测、扫描和改善其信息系统面临的风险隐患。

安全域的设计必须以信息系统提供的业务服务为中心，以业务安全需求为根本出发点，特别是重保期间需要梳理重保业务系统，加强不同等级业务系统的差异化安全检测和防护能力，为事中防护阶段提供全面的安全支撑手段。

2、事中防护阶段

事中防护阶段首先围绕人员、安全设备及平台、安全能力三个层面进行规划，需要具备多维度、可视化的安全保障支撑能力，以及快速处置能力。

围绕人员再细分各自人员的具体保障方式及职责，分为：现场保障、远程保障、紧急响应3个小组，各组成员根据自身安全技术优势各司其职，全力进行安全保障。

3、事后总结阶段

页面被篡改0次；网站被入侵0次

围绕现有的安全服务、安全产品、安全平台等能力，在本次保障过程中，从资产梳理、漏洞加固、安全数据分析、安全事件处置及安全应急响应等维度，结合具体维度数据，总结在本次安全保障中做出的成绩与不足，并形成知识库，为后续的安全规划及保障打下良好的基础。

“2017年重保年”

各类全球峰会、党政会议、行业盛会、维稳事件中，互联网已经成为最为重要的发布、宣传以及公众开放渠道，其中相关的网络基础设施安全、重点Web系统、各核心业务系统也成为恶意攻击者首要的破坏路径。

网络信息安全保障工作是一项专业又复杂的系统性工程，涉及较多部门和厂商，涉及的细节更是无比繁杂。对网络信息安全保障工作总结有如下3点：

• 防范未然，远胜亡羊补牢

• 千里之堤毁于蚁穴，细节决定成败

• 安全防护不是靠一个点，而需形成一个体系

凭借历年来数十次的重大活动网络安保中的成功经验，绿盟科技安保团队将进一步发挥自身技术优势，积极配合主管部门切实做好每一次重大活动的网络安全保障工作，更好地服务于国家网络安全工作的需要，努力维护国家、行业和用户安全，为营造健康有序的网络环境，做出积极的贡献！

	请点击屏幕右上方“…” 关注绿盟科技公众号 NSFOCUS-weixin

↑↑↑长按二维码，下载绿盟云APP