本文目录导读:

关基(关键信息基础设施)安全的重保期间值守,是一项系统性、高强度的对抗任务,这不仅仅是“有人盯着屏幕”那么简单,而是一场需要预防、监测、研判、处置、协同五位一体的实战。
以下是针对关基重保值守的标准化、实战化操作指南,分为三大阶段和五大核心环节。
第一阶段:战前准备(保障期前1-2周)
核心目标: 消除存量风险,确保监测系统灵敏,人员账号权限到位。
-
资产与漏洞清零
- 资产盘点: 确认所有暴露面(IP、域名、API、端口),确保影子资产(无人认领的服务器、测试系统)已下线或纳管。
- 漏洞加固: 对所有在期漏洞(高中危)进行硬闭环,对于无法修补的,必须设置严格的访问控制(ACL)或WAF规则进行虚拟补丁。
- 入口收敛: 关闭非必要的远程管理端口(如22、3389),强制使用堡垒机或VPN。
-
监测与响应链路测试
- 验证告警: 使用白帽工具或安全厂商确认入侵检测、流量分析、日志平台是否正常告警。
- 规则优化: 根据近期威胁情报,开启或调整特定攻击特征(如Log4j2、供应链攻击、钓鱼邮件)的检测规则。
- 流程演练: 进行一次实战化桌面推演,拉通所有相关部门(安全部门、业务部门、网络部门、法务、公关),确保所有人知道自己该找谁、该说什么、该做什么。
-
人员与权限准备
- 双人双岗: 建立“主班+副班”机制,避免单人决策疲劳或失误。
- 紧急权限: 为值守人员预提权,确保在发现漏洞或攻击时,有权限紧急封禁IP、暂停服务或切换架构(无需走3天的审批流)。
- 后勤保障: 准备好备用网络、备用电源、红牛、行军床,确保人员能24小时高强度运转。
第二阶段:值守实战(保障期间)
核心目标: 防攻击、防篡改、防瘫痪、防数据泄露,做到“分钟级发现,小时级处置”。
监测与研判(眼要快,手要准)
- 分层监测:
- 高一/基线层(重点): 持续监控CPU、内存、流量异常陡增或陡降,这是DDoS或业务逻辑攻击的先兆。
- 网络流量层: 监控C2(命令与控制)回连、DNS隧道、异常端口扫描。
- 应用层: 监控WAF日志,重点看绕过类(SQL注入、XSS、SSRF) 和越权类告警。
- 主机层: 监控进程异常启动、系统文件变更、注册表修改。
- 研判原则: “宁可错杀,不可放过”,在重保期间,任何无法解释的告警都应升级处置,服务器莫名向海外IP发包,哪怕IP看起来是正常的CDN,也应立即阻断。
值班制度与流程(严格纪律)
- “零报告”制度: 每2小时或每1小时,通过工作群汇报如下内容:
当前告警数、已处置数、高危告警数、安全状态(正常/异常)。 - 三级响应机制:
- 一级(蓝队值班员): 处理常规告警(暴力破解、扫描尝试),权限:自行封禁IP。
- 二级(安全组长): 处理有明确攻击意图的中危告警(如发现渗透测试行为、弱口令登录),权限:启动阻断、上报领导。
- 三级(指挥部): 发生业务瘫痪、数据泄露、勒索病毒,权限:启动应急预案,决定是否断网、关机、启动异地灾备。
- 交接班制度: “站式交接”,交班人必须把未完结的告警、风险点、已采取的措施当面讲清,签字确认,不清不接,严禁“人来了,事说一半就走”。
重点攻击应对(红蓝对抗核心)
- 应对DDoS/CC攻击:
- 分钟级触发: 发现流量异常,立即联动云清洗服务商(如8秒内启动清洗)。
- 源端口控: 在CDN或负载均衡层面,启用IP黑白名单(针对已知攻击源)和频率限制(针对CC攻击)。
- 应对Web应用漏洞攻击:
- 发现新漏洞(如0day): 立即启动虚拟补丁(WAF规则),如果WAF无规则,则紧急下线该业务或切换至备用页面。
- 应对勒索病毒/蠕虫:
- 第一动作: 网络断连。不是杀毒,是切网,在主机层,立即拔网线;在网络层,封禁所有连接。
- 第二动作: 提取样本(镜像磁盘),联系应急响应团队(安服)。
内部协同与指挥
- 信息共享群: 建立包含安全、运维、网络、业务、法务、高层领导在内的“重保指挥群”。不要在群里讨论技术细节,只发结论和指令。
【指令】由于发现目标攻击,现决定关闭XX系统的外网访问,已通知业务部门,预计恢复时间1小时。 - 低级别人员保护: 重保期间,严禁上线任何未经安全测试的新功能、新插件、配置变更,如有紧急需求,须经安全总监“一票否决”或特批。
第三阶段:战后总结(保障期结束后3天内)
核心目标: 复盘问题、追根溯源、固化能力。
- 攻击溯源分析: 解析所有高危告警背后的攻击手法、攻击链路、攻击源IP(是否APT组织)、最终目标。
- 漏洞与事件复盘:
- 为什么这些攻击能到达内网?是我们的防火墙/ACL配置有缺陷?还是内部人员失误?
- 处置流程是否高效?从发现到阻断用了多久?
- 遗留问题清单: 对于重保期间发现但未处理的漏洞(如通过WAF临时打补丁的漏洞),必须在规定时间内(如30天内) 彻底修复。
- 人员表彰与改进: 表彰有功人员,将此次重保期间暴露出的流程问题、技术短板写入安全改进计划,纳入下一个周期的安全建设。
值守人员高阶心法
- 不要过度相信自动化: 自动化工具可能会产生海量告警(告警疲劳),也可能漏掉真正的高级攻击(误报/漏报),值守人员的眼神和经验不可替代。
- 警惕“灯下黑”: 最危险的时间段是凌晨3-5点(人体疲倦期) 和午餐时间(注意力分散期),应安排精力最好的人员值班。
- “断舍离”思维: 当业务安全与系统稳定性发生冲突时,安全优先,在重保期间,业务暂时中断好过数据被盗,领导层必须给予安全部门“断网”的权限。
- 情报领先: 密切关注网络安全行业社区(如看雪、先知、X社区)以及各大安全厂商(如奇安信、深信服、绿盟)发布的重保期间高威胁攻击预警。
还有一个通俗的比喻:重保值守就像守一座孤岛,敌人(红队/黑客)在海上不停地放冷枪、挖地道、派间谍,而你(蓝队)的任务不是抓住所有敌人,而是确保岛上的“灯塔(核心业务)”24小时一直亮着,并且不被插上敌人的旗子(数据泄露/篡改)。
把流程做到“肌肉记忆”级别,把工具练到“心手合一”状态,这就是关基重保值守的核心。