云南電網(wǎng)公司組織ITSM系統(tǒng)信息安全攻防應(yīng)急演練
信息系統(tǒng)安全、穩(wěn)定運(yùn)行是保障云南電網(wǎng)公司核心業(yè)務(wù)正常進(jìn)行的重要基礎(chǔ)工作,然而信息安全面臨的形勢(shì)日趨嚴(yán)峻,外部面臨不同組織及勢(shì)力的持續(xù)攻擊、系統(tǒng)漏洞層出不窮等威脅,內(nèi)部存在人員信息安全意識(shí)不強(qiáng),信息
信息系統(tǒng)安全、穩(wěn)定運(yùn)行是保障云南電網(wǎng)公司核心業(yè)務(wù)正常進(jìn)行的重要基礎(chǔ)工作,然而信息安全面臨的形勢(shì)日趨嚴(yán)峻,外部面臨不同組織及勢(shì)力的持續(xù)攻擊、系統(tǒng)漏洞層出不窮等威脅,內(nèi)部存在人員信息安全意識(shí)不強(qiáng),信息安全隊(duì)伍及技術(shù)力量不足等短板。加強(qiáng)信息化專業(yè)及管理人員對(duì)制度的理解,提高現(xiàn)場(chǎng)處置、應(yīng)急能力迫在眉睫。為此,公司信息中心組織了一次“不打招呼”的ITSM系統(tǒng)信息安全攻防應(yīng)急演練。
“馬主任您好,我是信息運(yùn)維監(jiān)控中心值班人員,剛才ITSM系統(tǒng)異常,已經(jīng)通知運(yùn)檢人員處理了,但是現(xiàn)在ITSM系統(tǒng)還是不能使用……”17點(diǎn)25分,公司信息運(yùn)維監(jiān)控中心值班人員向部門(mén)負(fù)責(zé)人發(fā)出了一個(gè)緊急的信息系統(tǒng)故障報(bào)告。此時(shí),他并不知道這是一起“有預(yù)謀”的黑客攻擊事件。
真實(shí)模仿黑客攻擊
原來(lái)這是公司信息中心聯(lián)合云電同方公司對(duì)ITSM系統(tǒng)進(jìn)行的模擬攻擊演練,是一次沒(méi)有劇本的實(shí)戰(zhàn)演練,真實(shí)地模仿黑客攻擊ITSM系統(tǒng),觸發(fā)安全事件。演練負(fù)責(zé)人信息中心安全測(cè)評(píng)部主任周靖介紹:“此次演練對(duì)有關(guān)部門(mén)不事先通知攻擊內(nèi)容,不事先通知演練預(yù)案,是按照實(shí)戰(zhàn)的方式,檢驗(yàn)監(jiān)控中心、系統(tǒng)運(yùn)維人員對(duì)信息安全事件的實(shí)際處理能力和應(yīng)急處理人員對(duì)南網(wǎng)安全事件、應(yīng)急處理等制度的掌握情況。”
16:55分,監(jiān)控中心值班員發(fā)現(xiàn)ITSM系統(tǒng)異常:“開(kāi)始是發(fā)現(xiàn)ITSM系統(tǒng)彈窗告警,然后就讀不出數(shù)據(jù)了,系統(tǒng)一會(huì)兒能用一會(huì)兒又不能用,時(shí)斷時(shí)續(xù),響應(yīng)速度很慢。”立即通知運(yùn)維人員進(jìn)行處理。經(jīng)過(guò)測(cè)試,17:15分,運(yùn)維人員初步判斷ITSM系統(tǒng)可能遭到攻擊。監(jiān)控中心迅速啟動(dòng)了生產(chǎn)、應(yīng)急兩條線的管理流程,聯(lián)系客戶服務(wù)部發(fā)布系統(tǒng)異常公告,通知運(yùn)維責(zé)任部門(mén)及時(shí)處理,并向部門(mén)領(lǐng)導(dǎo)匯報(bào)信息,由部門(mén)領(lǐng)導(dǎo)預(yù)判并啟動(dòng)應(yīng)急匯報(bào)流程。“我們申請(qǐng)緊急運(yùn)維碼登錄檢查,在數(shù)據(jù)中心ACE上發(fā)現(xiàn)異常連接,IP問(wèn)題來(lái)源是云電同方公司二期的用戶,我們覺(jué)得事情可能不簡(jiǎn)單就趕快向上 報(bào)。”運(yùn)維人員呂垚說(shuō)道。
為了讓演練更加真實(shí),信息中心成立了演練攻擊組,和其它小組玩起了對(duì)抗賽。“我們研究了網(wǎng)絡(luò)拓?fù)浼軜?gòu)情況,發(fā)現(xiàn)ITSM系統(tǒng)服務(wù)器均在服務(wù)器區(qū)域,邊界處有防火墻和IPS防護(hù),登錄操作系統(tǒng),必須通過(guò)堡壘機(jī),遠(yuǎn)程登錄的端口被封死,如果這時(shí)有黑客采用DOS和應(yīng)用口令暴力破解進(jìn)行攻擊的話,成功概率較高。”攻擊組組長(zhǎng)任云翔說(shuō),信息中心編制了攻擊技術(shù)方案,并確保不中斷系統(tǒng)應(yīng)用的情況下進(jìn)行攻擊。設(shè)計(jì)了3種攻擊方式:一是DOS攻擊,掃描ITSM端口,找到薄弱點(diǎn)進(jìn)行DOS攻擊,在持續(xù)開(kāi)展10分鐘的攻擊后逐步加壓,在不影響系統(tǒng)業(yè)務(wù)正常開(kāi)展的情況下,直到系統(tǒng)響應(yīng)速度稍微緩慢。二是暴力破解應(yīng)用用戶,掃描ITSM應(yīng)用系統(tǒng)漏洞,找出登錄點(diǎn),用專業(yè)工具分析登錄過(guò)程數(shù)據(jù),并加載密碼字典進(jìn)行暴力破解,找到帳號(hào)和密碼登錄。三是滲透測(cè)試,對(duì)ITSM應(yīng)用系統(tǒng)進(jìn)行web掃描,找出寫(xiě)入點(diǎn)并上傳木馬病毒,獲取系統(tǒng)權(quán)限及其他敏感信息。攻擊組還采取了變換攻擊特征的方式,避免被運(yùn)行監(jiān)控組發(fā)現(xiàn),可謂是費(fèi)盡心思。
4個(gè)現(xiàn)場(chǎng)的實(shí)戰(zhàn)演練
“請(qǐng)馬上到應(yīng)急指揮中心集合,ITSM系統(tǒng)遭到攻擊……”17點(diǎn)35分,信息中心安評(píng)、客服、運(yùn)行、設(shè)備等部門(mén)和云電同方公司的有關(guān)人員在收到信息中心應(yīng)急辦發(fā)來(lái)的短信后,迅速集合開(kāi)展故障預(yù)判后,指揮組副組長(zhǎng)信息中心總工程師趙凌宣布啟動(dòng)Ⅲ級(jí)應(yīng)急響應(yīng),成立了運(yùn)行監(jiān)控組和現(xiàn)場(chǎng)處置組,開(kāi)展處置工作。
公司信息中心針對(duì)此次演練編制了《云南電網(wǎng)公司ITSM系統(tǒng)信息安全應(yīng)急演練方案》,設(shè)置了演練指揮組、攻擊組、運(yùn)行監(jiān)控組、現(xiàn)場(chǎng)處置組4個(gè)小組,分別在信息中心應(yīng)急指揮中心、云電同方辦公樓、信息運(yùn)維監(jiān)控中心和信息機(jī)房4個(gè)現(xiàn)場(chǎng)。為了體現(xiàn)演練的真實(shí)性,運(yùn)行監(jiān)控組和現(xiàn)場(chǎng)處置組不事先成立,運(yùn)行監(jiān)控組按日常值班要求監(jiān)控系統(tǒng)運(yùn)行狀況,及時(shí)發(fā)現(xiàn)攻擊事件,并按照生產(chǎn)運(yùn)行、應(yīng)急響應(yīng)兩條線,起到調(diào)度指揮運(yùn)維責(zé)任部門(mén)的作用;現(xiàn)場(chǎng)處置組是待接到通知后及時(shí)調(diào)配人員,負(fù)責(zé)攻擊事件現(xiàn)場(chǎng)處置具體技術(shù)操作,按照監(jiān)控中心、應(yīng)急指揮組要求開(kāi)展工作。
“我們中斷了問(wèn)題IP的網(wǎng)絡(luò)訪問(wèn)權(quán)限,在準(zhǔn)入系統(tǒng)上禁用了該用戶,并報(bào)監(jiān)控中心停止應(yīng)用服務(wù)器,防止二次攻擊。” 現(xiàn)場(chǎng)處置組人員陳何雄說(shuō)道:“重啟服務(wù)器和應(yīng)用后,ITSM系統(tǒng)業(yè)務(wù)恢復(fù)正常。我們剛松了口氣,又發(fā)現(xiàn)有個(gè)IP可疑連接。”網(wǎng)絡(luò)監(jiān)控到版納供電局和景洪供電公司有2個(gè)帳號(hào)異常登錄。緊急禁用帳號(hào),修改原帳號(hào)密碼后,運(yùn)維組再次發(fā)現(xiàn)可疑文件。“我有點(diǎn)頭皮發(fā)麻,不知道那天是怎么了,會(huì)有那么多問(wèn)題,還好最后都解決了。”現(xiàn)場(chǎng)處置組人員彭秋霞回憶道。
在整個(gè)演練過(guò)程中,指揮組職責(zé)清楚、任務(wù)明確,及時(shí)、快速有效地指揮調(diào)度各演練小組在最短的時(shí)間內(nèi)投入分析攻擊原因,開(kāi)展現(xiàn)場(chǎng)處置,在演練中不斷積累經(jīng)驗(yàn),對(duì)演練指揮調(diào)度中發(fā)現(xiàn)的問(wèn)題不斷調(diào)整和完善,使得指揮調(diào)度程序更加趨于清晰化、合理化、實(shí)效化。攻擊組設(shè)身處地,認(rèn)真研究ITSM系統(tǒng)設(shè)計(jì)、網(wǎng)絡(luò)安全防護(hù)上存在的薄弱點(diǎn),為后續(xù)進(jìn)一步強(qiáng)化ITSM系統(tǒng)的安全性,加固操作系統(tǒng),提升系統(tǒng)可靠性和安全防護(hù)能力等方面起到了重要作用。各演練小組快速反應(yīng),分任務(wù)實(shí)施,采取了邊處置邊防范的措施,把影響范圍降到最小,演練的職責(zé)和程序更加熟悉,配合更加密切。演練各環(huán)節(jié)指令傳達(dá)、執(zhí)行、演練操作結(jié)果反饋均達(dá)到了預(yù)定的目標(biāo)。下一步,公司信息中心還將從完善應(yīng)急預(yù)案、提高應(yīng)急響應(yīng)速度和現(xiàn)場(chǎng)處置能力、提升信息安全防護(hù)等方面下功夫,確保各業(yè)務(wù)系統(tǒng)的安全穩(wěn)定運(yùn)行。
“馬主任您好,我是信息運(yùn)維監(jiān)控中心值班人員,剛才ITSM系統(tǒng)異常,已經(jīng)通知運(yùn)檢人員處理了,但是現(xiàn)在ITSM系統(tǒng)還是不能使用……”17點(diǎn)25分,公司信息運(yùn)維監(jiān)控中心值班人員向部門(mén)負(fù)責(zé)人發(fā)出了一個(gè)緊急的信息系統(tǒng)故障報(bào)告。此時(shí),他并不知道這是一起“有預(yù)謀”的黑客攻擊事件。
真實(shí)模仿黑客攻擊
原來(lái)這是公司信息中心聯(lián)合云電同方公司對(duì)ITSM系統(tǒng)進(jìn)行的模擬攻擊演練,是一次沒(méi)有劇本的實(shí)戰(zhàn)演練,真實(shí)地模仿黑客攻擊ITSM系統(tǒng),觸發(fā)安全事件。演練負(fù)責(zé)人信息中心安全測(cè)評(píng)部主任周靖介紹:“此次演練對(duì)有關(guān)部門(mén)不事先通知攻擊內(nèi)容,不事先通知演練預(yù)案,是按照實(shí)戰(zhàn)的方式,檢驗(yàn)監(jiān)控中心、系統(tǒng)運(yùn)維人員對(duì)信息安全事件的實(shí)際處理能力和應(yīng)急處理人員對(duì)南網(wǎng)安全事件、應(yīng)急處理等制度的掌握情況。”
16:55分,監(jiān)控中心值班員發(fā)現(xiàn)ITSM系統(tǒng)異常:“開(kāi)始是發(fā)現(xiàn)ITSM系統(tǒng)彈窗告警,然后就讀不出數(shù)據(jù)了,系統(tǒng)一會(huì)兒能用一會(huì)兒又不能用,時(shí)斷時(shí)續(xù),響應(yīng)速度很慢。”立即通知運(yùn)維人員進(jìn)行處理。經(jīng)過(guò)測(cè)試,17:15分,運(yùn)維人員初步判斷ITSM系統(tǒng)可能遭到攻擊。監(jiān)控中心迅速啟動(dòng)了生產(chǎn)、應(yīng)急兩條線的管理流程,聯(lián)系客戶服務(wù)部發(fā)布系統(tǒng)異常公告,通知運(yùn)維責(zé)任部門(mén)及時(shí)處理,并向部門(mén)領(lǐng)導(dǎo)匯報(bào)信息,由部門(mén)領(lǐng)導(dǎo)預(yù)判并啟動(dòng)應(yīng)急匯報(bào)流程。“我們申請(qǐng)緊急運(yùn)維碼登錄檢查,在數(shù)據(jù)中心ACE上發(fā)現(xiàn)異常連接,IP問(wèn)題來(lái)源是云電同方公司二期的用戶,我們覺(jué)得事情可能不簡(jiǎn)單就趕快向上 報(bào)。”運(yùn)維人員呂垚說(shuō)道。
為了讓演練更加真實(shí),信息中心成立了演練攻擊組,和其它小組玩起了對(duì)抗賽。“我們研究了網(wǎng)絡(luò)拓?fù)浼軜?gòu)情況,發(fā)現(xiàn)ITSM系統(tǒng)服務(wù)器均在服務(wù)器區(qū)域,邊界處有防火墻和IPS防護(hù),登錄操作系統(tǒng),必須通過(guò)堡壘機(jī),遠(yuǎn)程登錄的端口被封死,如果這時(shí)有黑客采用DOS和應(yīng)用口令暴力破解進(jìn)行攻擊的話,成功概率較高。”攻擊組組長(zhǎng)任云翔說(shuō),信息中心編制了攻擊技術(shù)方案,并確保不中斷系統(tǒng)應(yīng)用的情況下進(jìn)行攻擊。設(shè)計(jì)了3種攻擊方式:一是DOS攻擊,掃描ITSM端口,找到薄弱點(diǎn)進(jìn)行DOS攻擊,在持續(xù)開(kāi)展10分鐘的攻擊后逐步加壓,在不影響系統(tǒng)業(yè)務(wù)正常開(kāi)展的情況下,直到系統(tǒng)響應(yīng)速度稍微緩慢。二是暴力破解應(yīng)用用戶,掃描ITSM應(yīng)用系統(tǒng)漏洞,找出登錄點(diǎn),用專業(yè)工具分析登錄過(guò)程數(shù)據(jù),并加載密碼字典進(jìn)行暴力破解,找到帳號(hào)和密碼登錄。三是滲透測(cè)試,對(duì)ITSM應(yīng)用系統(tǒng)進(jìn)行web掃描,找出寫(xiě)入點(diǎn)并上傳木馬病毒,獲取系統(tǒng)權(quán)限及其他敏感信息。攻擊組還采取了變換攻擊特征的方式,避免被運(yùn)行監(jiān)控組發(fā)現(xiàn),可謂是費(fèi)盡心思。
4個(gè)現(xiàn)場(chǎng)的實(shí)戰(zhàn)演練
“請(qǐng)馬上到應(yīng)急指揮中心集合,ITSM系統(tǒng)遭到攻擊……”17點(diǎn)35分,信息中心安評(píng)、客服、運(yùn)行、設(shè)備等部門(mén)和云電同方公司的有關(guān)人員在收到信息中心應(yīng)急辦發(fā)來(lái)的短信后,迅速集合開(kāi)展故障預(yù)判后,指揮組副組長(zhǎng)信息中心總工程師趙凌宣布啟動(dòng)Ⅲ級(jí)應(yīng)急響應(yīng),成立了運(yùn)行監(jiān)控組和現(xiàn)場(chǎng)處置組,開(kāi)展處置工作。
公司信息中心針對(duì)此次演練編制了《云南電網(wǎng)公司ITSM系統(tǒng)信息安全應(yīng)急演練方案》,設(shè)置了演練指揮組、攻擊組、運(yùn)行監(jiān)控組、現(xiàn)場(chǎng)處置組4個(gè)小組,分別在信息中心應(yīng)急指揮中心、云電同方辦公樓、信息運(yùn)維監(jiān)控中心和信息機(jī)房4個(gè)現(xiàn)場(chǎng)。為了體現(xiàn)演練的真實(shí)性,運(yùn)行監(jiān)控組和現(xiàn)場(chǎng)處置組不事先成立,運(yùn)行監(jiān)控組按日常值班要求監(jiān)控系統(tǒng)運(yùn)行狀況,及時(shí)發(fā)現(xiàn)攻擊事件,并按照生產(chǎn)運(yùn)行、應(yīng)急響應(yīng)兩條線,起到調(diào)度指揮運(yùn)維責(zé)任部門(mén)的作用;現(xiàn)場(chǎng)處置組是待接到通知后及時(shí)調(diào)配人員,負(fù)責(zé)攻擊事件現(xiàn)場(chǎng)處置具體技術(shù)操作,按照監(jiān)控中心、應(yīng)急指揮組要求開(kāi)展工作。
“我們中斷了問(wèn)題IP的網(wǎng)絡(luò)訪問(wèn)權(quán)限,在準(zhǔn)入系統(tǒng)上禁用了該用戶,并報(bào)監(jiān)控中心停止應(yīng)用服務(wù)器,防止二次攻擊。” 現(xiàn)場(chǎng)處置組人員陳何雄說(shuō)道:“重啟服務(wù)器和應(yīng)用后,ITSM系統(tǒng)業(yè)務(wù)恢復(fù)正常。我們剛松了口氣,又發(fā)現(xiàn)有個(gè)IP可疑連接。”網(wǎng)絡(luò)監(jiān)控到版納供電局和景洪供電公司有2個(gè)帳號(hào)異常登錄。緊急禁用帳號(hào),修改原帳號(hào)密碼后,運(yùn)維組再次發(fā)現(xiàn)可疑文件。“我有點(diǎn)頭皮發(fā)麻,不知道那天是怎么了,會(huì)有那么多問(wèn)題,還好最后都解決了。”現(xiàn)場(chǎng)處置組人員彭秋霞回憶道。
在整個(gè)演練過(guò)程中,指揮組職責(zé)清楚、任務(wù)明確,及時(shí)、快速有效地指揮調(diào)度各演練小組在最短的時(shí)間內(nèi)投入分析攻擊原因,開(kāi)展現(xiàn)場(chǎng)處置,在演練中不斷積累經(jīng)驗(yàn),對(duì)演練指揮調(diào)度中發(fā)現(xiàn)的問(wèn)題不斷調(diào)整和完善,使得指揮調(diào)度程序更加趨于清晰化、合理化、實(shí)效化。攻擊組設(shè)身處地,認(rèn)真研究ITSM系統(tǒng)設(shè)計(jì)、網(wǎng)絡(luò)安全防護(hù)上存在的薄弱點(diǎn),為后續(xù)進(jìn)一步強(qiáng)化ITSM系統(tǒng)的安全性,加固操作系統(tǒng),提升系統(tǒng)可靠性和安全防護(hù)能力等方面起到了重要作用。各演練小組快速反應(yīng),分任務(wù)實(shí)施,采取了邊處置邊防范的措施,把影響范圍降到最小,演練的職責(zé)和程序更加熟悉,配合更加密切。演練各環(huán)節(jié)指令傳達(dá)、執(zhí)行、演練操作結(jié)果反饋均達(dá)到了預(yù)定的目標(biāo)。下一步,公司信息中心還將從完善應(yīng)急預(yù)案、提高應(yīng)急響應(yīng)速度和現(xiàn)場(chǎng)處置能力、提升信息安全防護(hù)等方面下功夫,確保各業(yè)務(wù)系統(tǒng)的安全穩(wěn)定運(yùn)行。
責(zé)任編輯:葉雨田
免責(zé)聲明:本文僅代表作者個(gè)人觀點(diǎn),與本站無(wú)關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí),對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾,請(qǐng)讀者僅作參考,并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。
我要收藏
個(gè)贊
- 相關(guān)閱讀
- 國(guó)家電網(wǎng)
- 南方電網(wǎng)
- 地方電網(wǎng)
-
中央廣播電視總臺(tái)專訪國(guó)網(wǎng)董事長(zhǎng)毛偉明:盡快形成能源互聯(lián)網(wǎng)的產(chǎn)業(yè)鏈
2020-10-10國(guó)家電網(wǎng),毛偉明,5G -
人民日?qǐng)?bào)刊載|國(guó)家電網(wǎng)董事長(zhǎng)毛偉明:為做好“六穩(wěn)”“六保”提供可靠電力支撐
2020-10-10國(guó)家電網(wǎng),毛偉明,電氣裝備 -
南方供暖路徑初探——?jiǎng)傂孕枨笙碌捻槃?shì)而為
2020-09-24清潔供暖,綜合能源服務(wù),清潔供熱
-
中央廣播電視總臺(tái)專訪國(guó)網(wǎng)董事長(zhǎng)毛偉明:盡快形成能源互聯(lián)網(wǎng)的產(chǎn)業(yè)鏈
2020-10-10國(guó)家電網(wǎng),毛偉明,5G -
人民日?qǐng)?bào)刊載|國(guó)家電網(wǎng)董事長(zhǎng)毛偉明:為做好“六穩(wěn)”“六保”提供可靠電力支撐
2020-10-10國(guó)家電網(wǎng),毛偉明,電氣裝備 -
國(guó)家電網(wǎng):光伏扶貧總關(guān)情
