特殊时期企业如何做好重保 | FreeBuf甲方群话题讨论
2022-10-27 20:6:27 Author: www.freebuf.com(查看原文) 阅读量:4 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

重保是在重要活动或会议期间对网络基础设施、重点业务系统安全等提供更高级别的安全保障。随着网络安全已上升至国家战略层面,面对重要时期更具有目的性、针对性的网络攻击压力,重保既是抗击风险的重要举措,也是数字经济时代企业发展的“刚需”。在此背景下,企业应该如何做好重保?本期话题我们将对此就相关问题展开讨论。

在国家重大活动或会议期间,与在主要节假日期间的重保方案有何不同?各自一般有哪些侧重点?

A1:

​重保期间可以请求厂商支援,重点是主机安全临时授权上,扩大点覆盖面。重保期间一般还会封网、封版,禁止变更。我们这边就多了个值守晚上晚点,其他和平时基本一样,反正7*24。

A2:

相同点都是要保障系统的可用性,不同点前者注重防篡改(不能出现ZZ因素),后者注重业务正常使用。

A3:

重保期间,遇到周末得来公司值班,固定时间要向团队反馈信息;普通节假日,看手机通知就好,有问题群里反馈,没问题可以不发信息。

A4:

重保主要是运营干活,重点管控黄、赌、毒和有害言论,用两张HVV和重大会议期间的通知就能看出:

Q:重保安全方案可以多次直接复用吗?还是会根据实际情况做适当调整?

A1:

每一次的重保可能执行的方式都不一样,较难复用。

A2:

一般会进行复用,但是实际检查工作会做适当调整,例如普通节假日保障和重保,加强资产管理、重保监控7*24、前期做好加固工作等区别。

A3:

主要还是看重保时期领导关注的重点去调整方案,主线任务不变,输出内容做文字修饰。

Q:大家觉得重保和HVV相比,在安全保障策略上最大的区别是什么?

A1:

重保级别高于HVV。

A2:

重保期间是不是一般会尽量关闭对外开放资产,减少资产面,节假日保障一般不会关闭对外资产?

A3:

重保期间一般会尽量关闭对外开放资产,减少资产面,节假日保障一般不会不会关闭对外资产。

A4:

会考虑下线官网等,避免被篡改然后大事情了。

A5:

网页篡改重点防范。

A6:

HVV出事是假出事,重保出事是真出事;HVV没出事可能是假没出事,重保没出事是真没出事。

A7:

重保和HVV都需要提前做好自查和加固、监控工作,但是相比较于HVV,HVV更加注重实时监测分析及应急响应处置能力,具备一定对抗性。

A8:

其实落实在一线运营人员手上,没有区别。

Q:抛个问题,如果要用量化指标来定义重保时期的保障能力的话,多长时间可以发现一次成功的安全事件,对安全事件的响应时间是多久,甲方心里有数吗?

A1:

都在方案里面,实际响应时间未知。

A2:

指标主要看计算口径是什么,如果自己当裁判员和运动员,只要不被通报就问题不大。

A3:

定义就是没有出问题,安全加强保障重保活动,支撑集团安全运营,未出安全事件,分析多少具有威胁攻击,成功分析并阻断。

A4:

不被通报就算OK。

A5:

对,这是条活路,尤其是重点支撑单位,在重保前,监管会发包给这些驻场去主动探测。

A6:

你的思路不对啊,这个就是不求有功,但求无过,不出事就是最大成功。

A7:

问题是,不被爆出来的不出事不能叫不出事。

A8:

提前阻断、防范于未然。

A9:

安全重点是前期预防,事中事后都是背责。

A10:

出事了就说,安全部门及时响应,最小化安全事件影响,安全事件影响范围可控。

A11:

如何量化工作?

A12:

通过数据,安全检查次数、封堵IP次数、保障工作方案、培训、检查,都写上去;整改漏洞数量,高危数量、中危数量,全部都细化说明,针对系统为单位说明。

讨论二:一个系统如果必须要做MFA,那么适用设备绑定+账号密码的方式登录,算MFA吗?

A1:

我理解是算的,一个是有什么,一个是知道什么。

A2:

使用设备绑定,是绑定什么,MAC?

A3:

设备绑定,用的是机器码+MAC;在设备安装软件后生成,之后后台人工授权确认,这个是一个前置动作。

A4:

其实也算一个因子,类比手机终端,客户端也会扫描对应的信息生成一个指纹,零信任就是借助这种信息作为认证的一环。

Q:咨询一下,如果有敏感数据(zip文件,接近1G)要被用户下载,从数据安全合规角度,数据加密方式怎么选择?

A1:

假设前面的数据处理者义务都已经完成了,这个阶段要做的就是数据传输问题,传输加密方式可以选择非对称加密或混合加密,但是实际的做法,我们公司,就是将单个文件通过zip的方式压缩加密,然后放到一个一次性共享盘中,设置共享访问的权限和时效、频次,再将这两个密码用其他方式发送给需要下载的人。

A2:

我想的是下载的时候让用户输入一个随机密码,另外从时效性、频次做一些限制和审计。

——————————————————

本期精彩观点到此结束啦~此外,FreeBuf会定期开展不同的精彩话题讨论,想了解更多话题和观点,快来扫码免费申请加入FreeBuf甲方群吧!

加入即可获得FreeBuf月刊专辑,还有更多精彩内容尽在FreeBuf甲方会员专属社群,小助手周周送福利,社群周周有惊喜,还不赶快行动?

申请流程:扫码申请-后台审核(2-5个工作日)-邮件通知-加入会员俱乐部

如有疑问,也可扫码添加小助手微信哦!


文章来源: https://www.freebuf.com/articles/neopoints/348075.html
如有侵权请联系:admin#unsafe.sh