云安全
态势感知
物联网安全
工业互联网安全
安全管理
数据安全
网络安全
应用安全
商用密码
端点安全
新型智慧城市
开发安全
云原生安全
网络空间靶场
运营管理服务
公司
这些口述故事,让我们看到了2024新奥门资料重保的成长
国家重大活动网络安保服务均具有任务重、要求高、影响大的特点。从2008年北京奥运会开始,2024新奥门资料凭借丰富的经验和一支融合专业技术精、素质高、有经验、能打持久战、能打胜仗的网络安保队伍,和国内各个大型活动、赛事结下了不解之缘。一次次重保工作圆满完成的历程,也是2024新奥门资料十五年成长的历程。
作为资深安全服务人,老袁可以说是身经百战,让我们来听听他和2024新奥门资料的重保实战故事。
世界互联网大会
重保服务逐渐形成体系
从第一届世界互联网大会开始,主管单位对网络安全提出更高要求,我们的重保服务也是从那个时候开始形成体系,可以说我们一次很好的练兵。到第二届的时候,网络安全受重视程度更甚。
通过亲历历届世界互联网大会,我们总结了重保期间攻击手段的发展,比如简单来讲,第一届的攻击较零散;从第二届开始,就有专业人士开始针对性攻击;第三届就开始出现比如DDOS攻击、洪水攻击;第四届有针对联网的摄像头、公共自行车、充电桩等IoT设备的攻击,发现了许多攻击痕迹……攻击手段不断迭代更新,我们也锤炼自己安保服务能力,确保万无一失。
某重大安保场景案例
重保服务获得里程碑式发展
这一次,国家正式把网络安全列入到了整体安保体系,对重保提出了最高级别的要求——万无一失。当时网络安全尚未形成规范化的打法和标准,也没有太多可借鉴的经验。我们的董事长范总带着大家一起开会讨论,抱着势必圆满完成任务的决心,开始了紧张有序的筹备。筹备工作大概持续了有两年时间,包括官方网站、各式各样的系统陆续上线。
1
小故事一
●
这次大会开幕当天,我们接到消息,有黑客组织向高校的系统发起攻击并在网上传播已成功攻破高校系统的图片。
当天下午我们组织八人小组赶赴现场,从下午3点到次日早7点,我们对所有访问过该高校网站的日志进行了审核,筛选出所有IP,我们通过手写的一套程序去分析哪些IP是境外的。那个黑客组织活跃地是在加拿大,我们就把加拿大的IP挑出来。这个事情影响较大,因为当时涉及到的邮箱系统是全国范围的,一旦被入侵,就意味着当晚可能全国所有的这些系统都会被黑客入侵。
当时,问询电话一个一个打过来问分析的结果,但是我们看不到任何症状,看不到任何攻击痕迹。但谁都不敢百分之百保证说没攻进来。最终半夜3点多我们查到1条访问记录是来自加拿大的,访问时间是在某媒体平台上发出照片的前三分钟。之后我们联合公安来对图片真伪加以甄别,发现图片是经过PS的,其实他们并没有入侵成功。
原来,这是一次5W美金境外悬赏行动,这个黑客之前是有在高校网站中留了后门,但因为我们已经对全省特别是当地相关的系统,教育、政府机关单位以及其他的各式各样的平台,花了将近半年时间在各条线监管机构的指导下做了一个排雷行动,把所有可能存在木马的网站彻查了3-4遍,已经把很多雷都排掉了。所以,黑客忽然发现后门没有,为了赏金他就做了PS这么一件事,最终听说只拿到了很小额的赏金。
2
小故事二
●
这次大会整体的防护体系框架,我们设置得非常严格。我们当时是反复做了6轮检测。
针对一套核心系统我们做了强隔离的措施,所有的数据就只能发进到这台服务器上,而且有各式各样的网闸也好,操作审计也好,每一个变化都会有非常强的监控和反篡改的措施。进来的数据均需通过无数道防护设备,而且所有机器无法连接互联网,只能接收数据。
开会前的三四天,我们又做了一次测试,在这个真空的环境下面,我们突然发现出现了境外特别著名的一个攻击组织的一个木马特征的样本在里面。当时就一下子很紧张,就赶紧去查,也正是因为我们做了强隔离措施,木马虽然在里边,但它出不去,无法往外传播内容。这样可以把风险降到最低。
后来我们排查原因,所有厂家都知道这些服务器很重要,他们在把设备搬到现场的时候,也是担心机器损坏,或者补丁没打好,所以他们在运送进来之前插了U盘想把该打补丁都打上。问题就出现在这里,其中有一个U盘里边就带了这个木马病毒,导致那一台机器在内网里边有个病毒一直尝试往外连,一直连不出去。但是那个流量包特征被抓到了。
如果没有做强隔离措施,木马会不会往外传什么东西是完全不确定的。因此把严格的流程制度定好,经过反复七轮检查,不存有任何侥幸心理,把所有的可能性都要考虑到,做到极致,才避免了这次意外。
优势凸显
重保需求找上门
做了这么多年重保,我们将所经历的风险事件的处理方式,汇总成全新方案,建立起应急处置机制。随着经验的不断传递,我们建立了同行无可比拟的经验优势。
经历着这次的重大安保场景,一系列重要赛事主办机构开始主动找我们,因此我们陆续参与到诸如金砖国家峰会、进博会、上合组织峰会、联合国世界地理信息大会,世界军人运动会等赛事活动的安全保障中去。这些赛事里边最核心的重要系统,包括场馆、官方网站、注册网站等等,最重要安保项目基本上都是由我们承接。
不断进化
从托管运营服务到打造网络安全共同体
从第二届世界互联网大会开始,某市当时大半个城市,所有的政府网站,我们都放到了玄武盾去集中防护,这就不需要每个地方放一台设备,放一个人了,只要有一个云端的防护,然后几百家、上千家的政府单位都在我们一个指挥中心,就可以整体帮他们防护,去做分析研判。投入重保的产品,基本上囊括全线产品,部分产品需还做了专门的定制化匹配。
今年我们计划推出托管运营服务,尝试去推整个城市的保护计划。但是我们在面临更多更复杂的攻击场景下,把整个城市核心需要防护的阵线纳入到统一平台去进行防御监测、监测预警、通知响应,推出一整套的城市级的集中防护平台。
我们针对亚运会的口号是“打造网络安全的共同体”,让整个城市能有一套共同防御平台,除了安全产品外,还包括我们和政府各部门如何快速协同、能力共享、集中防护的平台化机制。这其中,还有一些其他企业的安全人员也愿意为亚运会、大运会去输出自己的经验,我们就需要把这些人整合起来,集中力量帮助我们去排查和发现更多问题。同时,通过一套平台连通监管部门的情报、处置能力,让每个板块的安全能力都能为整个城市赋能。涉及人才培养,我们通过整套防护体系完成人才能力提升,通过建立一套持续成长的人才培养梯队机制进行集中培训,把一些实战场景、先进安全知识进行定向输送,让人才在一线能更快速地提高自身能力。包括整个城市的CIO层面,组织定期技能分享,对新出台的网络安全相关法律法规、标准进行宣贯。
如果没有重保,
会是什么结果?
在重大活动中攻击者可能有这三类。
一类是国家行动黑客攻击者,它是带着政治目的,这是影响最大的。其次是为了获取利润的职业黑客。还有一类可能这就是凑热闹蹭热度,证明自己厉害的业余黑客。
国家行动黑客攻击者是有政府背景的,他们设法黑掉水利、工控、电力等,危害这些关键基础设施。很多境外黑客最想干的事情是在一个特定吸引眼球的时间,能去证明他们的摧毁实力,或者进而达到一些其他目的诉求。之前乌克兰的电站,还有一些太阳能公司、水利公司都出现过类似事情。虽然这类事件可能一年全世界就那么几例,但一旦发生,对整个国家、整个社会民生都会产生很大影响。因此,重保不可或缺,且会越来越受到重视。
