云南電網(wǎng)公司組織ITSM系統(tǒng)信息安全攻防應(yīng)急演練
信息系統(tǒng)安全、穩(wěn)定運行是保障云南電網(wǎng)公司核心業(yè)務(wù)正常進(jìn)行的重要基礎(chǔ)工作,然而信息安全面臨的形勢日趨嚴(yán)峻,外部面臨不同組織及勢力的持續(xù)攻擊、系統(tǒng)漏洞層出不窮等威脅,內(nèi)部存在人員信息安全意識不強,信息
信息系統(tǒng)安全、穩(wěn)定運行是保障云南電網(wǎng)公司核心業(yè)務(wù)正常進(jìn)行的重要基礎(chǔ)工作,然而信息安全面臨的形勢日趨嚴(yán)峻,外部面臨不同組織及勢力的持續(xù)攻擊、系統(tǒng)漏洞層出不窮等威脅,內(nèi)部存在人員信息安全意識不強,信息安全隊伍及技術(shù)力量不足等短板。加強信息化專業(yè)及管理人員對制度的理解,提高現(xiàn)場處置、應(yīng)急能力迫在眉睫。為此,公司信息中心組織了一次“不打招呼”的ITSM系統(tǒng)信息安全攻防應(yīng)急演練。
“馬主任您好,我是信息運維監(jiān)控中心值班人員,剛才ITSM系統(tǒng)異常,已經(jīng)通知運檢人員處理了,但是現(xiàn)在ITSM系統(tǒng)還是不能使用……”17點25分,公司信息運維監(jiān)控中心值班人員向部門負(fù)責(zé)人發(fā)出了一個緊急的信息系統(tǒng)故障報告。此時,他并不知道這是一起“有預(yù)謀”的黑客攻擊事件。
真實模仿黑客攻擊
原來這是公司信息中心聯(lián)合云電同方公司對ITSM系統(tǒng)進(jìn)行的模擬攻擊演練,是一次沒有劇本的實戰(zhàn)演練,真實地模仿黑客攻擊ITSM系統(tǒng),觸發(fā)安全事件。演練負(fù)責(zé)人信息中心安全測評部主任周靖介紹:“此次演練對有關(guān)部門不事先通知攻擊內(nèi)容,不事先通知演練預(yù)案,是按照實戰(zhàn)的方式,檢驗監(jiān)控中心、系統(tǒng)運維人員對信息安全事件的實際處理能力和應(yīng)急處理人員對南網(wǎng)安全事件、應(yīng)急處理等制度的掌握情況。”
16:55分,監(jiān)控中心值班員發(fā)現(xiàn)ITSM系統(tǒng)異常:“開始是發(fā)現(xiàn)ITSM系統(tǒng)彈窗告警,然后就讀不出數(shù)據(jù)了,系統(tǒng)一會兒能用一會兒又不能用,時斷時續(xù),響應(yīng)速度很慢。”立即通知運維人員進(jìn)行處理。經(jīng)過測試,17:15分,運維人員初步判斷ITSM系統(tǒng)可能遭到攻擊。監(jiān)控中心迅速啟動了生產(chǎn)、應(yīng)急兩條線的管理流程,聯(lián)系客戶服務(wù)部發(fā)布系統(tǒng)異常公告,通知運維責(zé)任部門及時處理,并向部門領(lǐng)導(dǎo)匯報信息,由部門領(lǐng)導(dǎo)預(yù)判并啟動應(yīng)急匯報流程。“我們申請緊急運維碼登錄檢查,在數(shù)據(jù)中心ACE上發(fā)現(xiàn)異常連接,IP問題來源是云電同方公司二期的用戶,我們覺得事情可能不簡單就趕快向上 報。”運維人員呂垚說道。
為了讓演練更加真實,信息中心成立了演練攻擊組,和其它小組玩起了對抗賽。“我們研究了網(wǎng)絡(luò)拓?fù)浼軜?gòu)情況,發(fā)現(xiàn)ITSM系統(tǒng)服務(wù)器均在服務(wù)器區(qū)域,邊界處有防火墻和IPS防護(hù),登錄操作系統(tǒng),必須通過堡壘機,遠(yuǎn)程登錄的端口被封死,如果這時有黑客采用DOS和應(yīng)用口令暴力破解進(jìn)行攻擊的話,成功概率較高。”攻擊組組長任云翔說,信息中心編制了攻擊技術(shù)方案,并確保不中斷系統(tǒng)應(yīng)用的情況下進(jìn)行攻擊。設(shè)計了3種攻擊方式:一是DOS攻擊,掃描ITSM端口,找到薄弱點進(jìn)行DOS攻擊,在持續(xù)開展10分鐘的攻擊后逐步加壓,在不影響系統(tǒng)業(yè)務(wù)正常開展的情況下,直到系統(tǒng)響應(yīng)速度稍微緩慢。二是暴力破解應(yīng)用用戶,掃描ITSM應(yīng)用系統(tǒng)漏洞,找出登錄點,用專業(yè)工具分析登錄過程數(shù)據(jù),并加載密碼字典進(jìn)行暴力破解,找到帳號和密碼登錄。三是滲透測試,對ITSM應(yīng)用系統(tǒng)進(jìn)行web掃描,找出寫入點并上傳木馬病毒,獲取系統(tǒng)權(quán)限及其他敏感信息。攻擊組還采取了變換攻擊特征的方式,避免被運行監(jiān)控組發(fā)現(xiàn),可謂是費盡心思。
4個現(xiàn)場的實戰(zhàn)演練
“請馬上到應(yīng)急指揮中心集合,ITSM系統(tǒng)遭到攻擊……”17點35分,信息中心安評、客服、運行、設(shè)備等部門和云電同方公司的有關(guān)人員在收到信息中心應(yīng)急辦發(fā)來的短信后,迅速集合開展故障預(yù)判后,指揮組副組長信息中心總工程師趙凌宣布啟動Ⅲ級應(yīng)急響應(yīng),成立了運行監(jiān)控組和現(xiàn)場處置組,開展處置工作。
公司信息中心針對此次演練編制了《云南電網(wǎng)公司ITSM系統(tǒng)信息安全應(yīng)急演練方案》,設(shè)置了演練指揮組、攻擊組、運行監(jiān)控組、現(xiàn)場處置組4個小組,分別在信息中心應(yīng)急指揮中心、云電同方辦公樓、信息運維監(jiān)控中心和信息機房4個現(xiàn)場。為了體現(xiàn)演練的真實性,運行監(jiān)控組和現(xiàn)場處置組不事先成立,運行監(jiān)控組按日常值班要求監(jiān)控系統(tǒng)運行狀況,及時發(fā)現(xiàn)攻擊事件,并按照生產(chǎn)運行、應(yīng)急響應(yīng)兩條線,起到調(diào)度指揮運維責(zé)任部門的作用;現(xiàn)場處置組是待接到通知后及時調(diào)配人員,負(fù)責(zé)攻擊事件現(xiàn)場處置具體技術(shù)操作,按照監(jiān)控中心、應(yīng)急指揮組要求開展工作。
“我們中斷了問題IP的網(wǎng)絡(luò)訪問權(quán)限,在準(zhǔn)入系統(tǒng)上禁用了該用戶,并報監(jiān)控中心停止應(yīng)用服務(wù)器,防止二次攻擊。” 現(xiàn)場處置組人員陳何雄說道:“重啟服務(wù)器和應(yīng)用后,ITSM系統(tǒng)業(yè)務(wù)恢復(fù)正常。我們剛松了口氣,又發(fā)現(xiàn)有個IP可疑連接。”網(wǎng)絡(luò)監(jiān)控到版納供電局和景洪供電公司有2個帳號異常登錄。緊急禁用帳號,修改原帳號密碼后,運維組再次發(fā)現(xiàn)可疑文件。“我有點頭皮發(fā)麻,不知道那天是怎么了,會有那么多問題,還好最后都解決了。”現(xiàn)場處置組人員彭秋霞回憶道。
在整個演練過程中,指揮組職責(zé)清楚、任務(wù)明確,及時、快速有效地指揮調(diào)度各演練小組在最短的時間內(nèi)投入分析攻擊原因,開展現(xiàn)場處置,在演練中不斷積累經(jīng)驗,對演練指揮調(diào)度中發(fā)現(xiàn)的問題不斷調(diào)整和完善,使得指揮調(diào)度程序更加趨于清晰化、合理化、實效化。攻擊組設(shè)身處地,認(rèn)真研究ITSM系統(tǒng)設(shè)計、網(wǎng)絡(luò)安全防護(hù)上存在的薄弱點,為后續(xù)進(jìn)一步強化ITSM系統(tǒng)的安全性,加固操作系統(tǒng),提升系統(tǒng)可靠性和安全防護(hù)能力等方面起到了重要作用。各演練小組快速反應(yīng),分任務(wù)實施,采取了邊處置邊防范的措施,把影響范圍降到最小,演練的職責(zé)和程序更加熟悉,配合更加密切。演練各環(huán)節(jié)指令傳達(dá)、執(zhí)行、演練操作結(jié)果反饋均達(dá)到了預(yù)定的目標(biāo)。下一步,公司信息中心還將從完善應(yīng)急預(yù)案、提高應(yīng)急響應(yīng)速度和現(xiàn)場處置能力、提升信息安全防護(hù)等方面下功夫,確保各業(yè)務(wù)系統(tǒng)的安全穩(wěn)定運行。
“馬主任您好,我是信息運維監(jiān)控中心值班人員,剛才ITSM系統(tǒng)異常,已經(jīng)通知運檢人員處理了,但是現(xiàn)在ITSM系統(tǒng)還是不能使用……”17點25分,公司信息運維監(jiān)控中心值班人員向部門負(fù)責(zé)人發(fā)出了一個緊急的信息系統(tǒng)故障報告。此時,他并不知道這是一起“有預(yù)謀”的黑客攻擊事件。
真實模仿黑客攻擊
原來這是公司信息中心聯(lián)合云電同方公司對ITSM系統(tǒng)進(jìn)行的模擬攻擊演練,是一次沒有劇本的實戰(zhàn)演練,真實地模仿黑客攻擊ITSM系統(tǒng),觸發(fā)安全事件。演練負(fù)責(zé)人信息中心安全測評部主任周靖介紹:“此次演練對有關(guān)部門不事先通知攻擊內(nèi)容,不事先通知演練預(yù)案,是按照實戰(zhàn)的方式,檢驗監(jiān)控中心、系統(tǒng)運維人員對信息安全事件的實際處理能力和應(yīng)急處理人員對南網(wǎng)安全事件、應(yīng)急處理等制度的掌握情況。”
16:55分,監(jiān)控中心值班員發(fā)現(xiàn)ITSM系統(tǒng)異常:“開始是發(fā)現(xiàn)ITSM系統(tǒng)彈窗告警,然后就讀不出數(shù)據(jù)了,系統(tǒng)一會兒能用一會兒又不能用,時斷時續(xù),響應(yīng)速度很慢。”立即通知運維人員進(jìn)行處理。經(jīng)過測試,17:15分,運維人員初步判斷ITSM系統(tǒng)可能遭到攻擊。監(jiān)控中心迅速啟動了生產(chǎn)、應(yīng)急兩條線的管理流程,聯(lián)系客戶服務(wù)部發(fā)布系統(tǒng)異常公告,通知運維責(zé)任部門及時處理,并向部門領(lǐng)導(dǎo)匯報信息,由部門領(lǐng)導(dǎo)預(yù)判并啟動應(yīng)急匯報流程。“我們申請緊急運維碼登錄檢查,在數(shù)據(jù)中心ACE上發(fā)現(xiàn)異常連接,IP問題來源是云電同方公司二期的用戶,我們覺得事情可能不簡單就趕快向上 報。”運維人員呂垚說道。
為了讓演練更加真實,信息中心成立了演練攻擊組,和其它小組玩起了對抗賽。“我們研究了網(wǎng)絡(luò)拓?fù)浼軜?gòu)情況,發(fā)現(xiàn)ITSM系統(tǒng)服務(wù)器均在服務(wù)器區(qū)域,邊界處有防火墻和IPS防護(hù),登錄操作系統(tǒng),必須通過堡壘機,遠(yuǎn)程登錄的端口被封死,如果這時有黑客采用DOS和應(yīng)用口令暴力破解進(jìn)行攻擊的話,成功概率較高。”攻擊組組長任云翔說,信息中心編制了攻擊技術(shù)方案,并確保不中斷系統(tǒng)應(yīng)用的情況下進(jìn)行攻擊。設(shè)計了3種攻擊方式:一是DOS攻擊,掃描ITSM端口,找到薄弱點進(jìn)行DOS攻擊,在持續(xù)開展10分鐘的攻擊后逐步加壓,在不影響系統(tǒng)業(yè)務(wù)正常開展的情況下,直到系統(tǒng)響應(yīng)速度稍微緩慢。二是暴力破解應(yīng)用用戶,掃描ITSM應(yīng)用系統(tǒng)漏洞,找出登錄點,用專業(yè)工具分析登錄過程數(shù)據(jù),并加載密碼字典進(jìn)行暴力破解,找到帳號和密碼登錄。三是滲透測試,對ITSM應(yīng)用系統(tǒng)進(jìn)行web掃描,找出寫入點并上傳木馬病毒,獲取系統(tǒng)權(quán)限及其他敏感信息。攻擊組還采取了變換攻擊特征的方式,避免被運行監(jiān)控組發(fā)現(xiàn),可謂是費盡心思。
4個現(xiàn)場的實戰(zhàn)演練
“請馬上到應(yīng)急指揮中心集合,ITSM系統(tǒng)遭到攻擊……”17點35分,信息中心安評、客服、運行、設(shè)備等部門和云電同方公司的有關(guān)人員在收到信息中心應(yīng)急辦發(fā)來的短信后,迅速集合開展故障預(yù)判后,指揮組副組長信息中心總工程師趙凌宣布啟動Ⅲ級應(yīng)急響應(yīng),成立了運行監(jiān)控組和現(xiàn)場處置組,開展處置工作。
公司信息中心針對此次演練編制了《云南電網(wǎng)公司ITSM系統(tǒng)信息安全應(yīng)急演練方案》,設(shè)置了演練指揮組、攻擊組、運行監(jiān)控組、現(xiàn)場處置組4個小組,分別在信息中心應(yīng)急指揮中心、云電同方辦公樓、信息運維監(jiān)控中心和信息機房4個現(xiàn)場。為了體現(xiàn)演練的真實性,運行監(jiān)控組和現(xiàn)場處置組不事先成立,運行監(jiān)控組按日常值班要求監(jiān)控系統(tǒng)運行狀況,及時發(fā)現(xiàn)攻擊事件,并按照生產(chǎn)運行、應(yīng)急響應(yīng)兩條線,起到調(diào)度指揮運維責(zé)任部門的作用;現(xiàn)場處置組是待接到通知后及時調(diào)配人員,負(fù)責(zé)攻擊事件現(xiàn)場處置具體技術(shù)操作,按照監(jiān)控中心、應(yīng)急指揮組要求開展工作。
“我們中斷了問題IP的網(wǎng)絡(luò)訪問權(quán)限,在準(zhǔn)入系統(tǒng)上禁用了該用戶,并報監(jiān)控中心停止應(yīng)用服務(wù)器,防止二次攻擊。” 現(xiàn)場處置組人員陳何雄說道:“重啟服務(wù)器和應(yīng)用后,ITSM系統(tǒng)業(yè)務(wù)恢復(fù)正常。我們剛松了口氣,又發(fā)現(xiàn)有個IP可疑連接。”網(wǎng)絡(luò)監(jiān)控到版納供電局和景洪供電公司有2個帳號異常登錄。緊急禁用帳號,修改原帳號密碼后,運維組再次發(fā)現(xiàn)可疑文件。“我有點頭皮發(fā)麻,不知道那天是怎么了,會有那么多問題,還好最后都解決了。”現(xiàn)場處置組人員彭秋霞回憶道。
在整個演練過程中,指揮組職責(zé)清楚、任務(wù)明確,及時、快速有效地指揮調(diào)度各演練小組在最短的時間內(nèi)投入分析攻擊原因,開展現(xiàn)場處置,在演練中不斷積累經(jīng)驗,對演練指揮調(diào)度中發(fā)現(xiàn)的問題不斷調(diào)整和完善,使得指揮調(diào)度程序更加趨于清晰化、合理化、實效化。攻擊組設(shè)身處地,認(rèn)真研究ITSM系統(tǒng)設(shè)計、網(wǎng)絡(luò)安全防護(hù)上存在的薄弱點,為后續(xù)進(jìn)一步強化ITSM系統(tǒng)的安全性,加固操作系統(tǒng),提升系統(tǒng)可靠性和安全防護(hù)能力等方面起到了重要作用。各演練小組快速反應(yīng),分任務(wù)實施,采取了邊處置邊防范的措施,把影響范圍降到最小,演練的職責(zé)和程序更加熟悉,配合更加密切。演練各環(huán)節(jié)指令傳達(dá)、執(zhí)行、演練操作結(jié)果反饋均達(dá)到了預(yù)定的目標(biāo)。下一步,公司信息中心還將從完善應(yīng)急預(yù)案、提高應(yīng)急響應(yīng)速度和現(xiàn)場處置能力、提升信息安全防護(hù)等方面下功夫,確保各業(yè)務(wù)系統(tǒng)的安全穩(wěn)定運行。
責(zé)任編輯:葉雨田
免責(zé)聲明:本文僅代表作者個人觀點,與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實,對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關(guān)內(nèi)容。
我要收藏
個贊
-
中央廣播電視總臺專訪國網(wǎng)董事長毛偉明:盡快形成能源互聯(lián)網(wǎng)的產(chǎn)業(yè)鏈
2020-10-10國家電網(wǎng),毛偉明,5G -
人民日報刊載|國家電網(wǎng)董事長毛偉明:為做好“六穩(wěn)”“六保”提供可靠電力支撐
2020-10-10國家電網(wǎng),毛偉明,電氣裝備 -
南方供暖路徑初探——剛性需求下的順勢而為
2020-09-24清潔供暖,綜合能源服務(wù),清潔供熱
-
中央廣播電視總臺專訪國網(wǎng)董事長毛偉明:盡快形成能源互聯(lián)網(wǎng)的產(chǎn)業(yè)鏈
2020-10-10國家電網(wǎng),毛偉明,5G -
人民日報刊載|國家電網(wǎng)董事長毛偉明:為做好“六穩(wěn)”“六保”提供可靠電力支撐
2020-10-10國家電網(wǎng),毛偉明,電氣裝備 -
國家電網(wǎng):光伏扶貧總關(guān)情
2020-08-14國家電網(wǎng),電網(wǎng)企業(yè),電網(wǎng),能源電力