中秋佳節過后，馬上又有國慶小長假，各行各業享受假期的同時，安全從業者卻不敢放松，今年是建國70周年，重保的壓力比以往國慶保障要大很多。重保期間如果發生安全事件，帶來的負面效應，會比平常時期放大好幾倍。凡事預則立不預則廢，收好這份攻略，國慶重保不再怕。

國慶需要重保的單位一般是政府機構、大型國企、重點高校等，重保的主要目標是保證國慶期間不會出現網頁被篡改等安全事件，圍繞重保目標，工作可以按照事前評估加固，事中值守監控，事后應急預案的思路來開展。

[[277706]]

事前評估加固

資產梳理：

所謂兵馬未動糧草先行，資產是一切安全工作之根本，重保前，需要做一次完整的資產梳理，輸出如下成果：

• 先梳理出前期存在漏洞，未修復的系統，分類處理，不重要的系統，重保期間關閉系統，重要系統無法關閉的情況，可以采取先關閉存在漏洞的模塊，調整WAF、防火墻策略等方式，先減少漏洞存在的影響。小編重保期間遇到過，漏洞來不及修復，又沒法關閉的系統，管理員截了一張圖，放在首頁，以假亂真。
• 對單位信息系統進行資產劃分：重保期間不能關閉的重要系統，保證沒有系統漏洞。不重要的邊緣系統，重保期間關閉處理。暴露在互聯網的灰度測試環境系統，全部關閉。
• 邀請第三方公司進行資產發現服務，對比已有資產列表，檢查是否有未記錄在案的遺漏信息系統。

安全評估：

• 通過漏洞掃描、滲透測試的方式，全面評估重要系統存在的安全隱患(資產梳理工作中已經確定需要關閉的系統，不用再評估)。
• 后門排查，掃描重要信息系統網頁文件、系統文件，檢查是否有前期黑客留下的后門。

日志分析：

• 分析重要信息系統access日志，重點分析是否有后門連接的記錄，關鍵字包括shell.asp，1.asp等連接日志。分析系統日志，包括history等，查看系統賬號是否異常，是否存在影子賬號、隱藏賬號等。
• 關鍵目錄文件分析，查看上傳目錄，檢查是否有腳本文件。使用webshell掃描工具掃描全盤。

事中值守監控

重保開始，需要安排人員值守監控，監控工作按照如下安排：

• 網頁防篡改監控，一般網頁防篡改開啟后，網頁無法更新，重保期間，通知所有業務單位，網頁停止更新，開啟防篡改，前端靜態頁面腳本、圖片，后端數據庫全部鎖死，如果必須要修改，業務部門通知安全部門，臨時開通修改權限。重保開始后，監控網頁防篡改設備運行狀態，不斷刷新重要信息系統首頁，查看是否有異常。
• 態勢感知監控，單位如果部署有態勢感知，通過分析流量、日志，實時監測網絡異常情況，值守人員實時關注態勢感知告警，重點關注可能篡改網頁的告警，如網絡攻擊、后門訪問等，其他如流氓推廣等，重保期間可以暫時不用理會。

事后應急預案

制定應急預案，重保前期與各業務部門確認：

• 發現安全事件，采取先斷網后處置的方式，制定斷網策略，保證監控人員在發現安全事件后，第一時間能夠通知網絡管理員斷網。
• 應急預案通知各業務部門知曉，重保期間，安全優先，各業務部門指定對接人配合安全部門重保。

辦法總是比問題多，小編見過很多重保期間腦洞大開的設計，除了上述用一張截圖作為網站首頁外，還見過一名管理員，在馬爸爸家買了一個智能插座，接在服務器上，出現問題，手機上一鍵斷網。

到重保前期才想到要開始干活的單位，前期網絡安全工作做得都不是很充分，所以想到臨時抱佛腳，借用一句雞湯：“越努力越幸運”。與其臨時抱佛腳，不如平時多燒香。收好這份攻略，今年國慶重保不再怕。