一.目的
本项工作流程主要目的为明确学校重要信息资产安全监测和预警通报服务过程。通过高级威胁检测安全托管平台对校内信息系统提供脆弱性监测、可用性监测、DNS 解析监测、挂马和暗链等安全事件的监测,为信息系统提供安全事件的及时告警服务,并根据监测内容输出相应的报告文档,定期梳理学校信息资产安全状态。
二.监测预警通报流程
第一步 接入安全平台
高级威胁检测安全平台和 7*24 小时安全专家值守团队,为校内提供实时准确的信息系统服务质量、安全事件、安全漏洞等多个维度的监控,快速准确的发现暗链、黑页等事件和业务系统的安全漏洞、安全隐患。站点接入监测平台后将立刻开始执行第一次监测扫描,并按设定执行周期性扫描监测任务。
第二步 威胁发现
高级威胁检测安全平台通过多节点引擎,可识别主机漏洞、弱口令及端口暴露,通过周期性扫描任务对多个站点同步扫描,或选择自定义站点和时间扫描,针对扫描监测到的事件及漏洞,准确定位站点是否存在威胁,并截取展示对应的 POC 字段及扫描测试包供漏洞真实性判断及参考。
平台会定期输出日报、周报、月报和年报,记录学校整体安全形势和最新的安全咨询。
第三步 威胁确认
高级威胁检测安全平台服务专家根据扫描结果进行下一步的研判,确认该漏洞或者安全事件是否存在,当威胁真实有效时,将保留带时间痕迹的威胁证明截图,输出一份具有漏洞详情、漏洞分析、漏洞风险等级修复建议的风险报告文档。
平台会对互联网中最新出现的安全威胁进行深入的分析, 0day 漏洞爆发时,进行 24 小时内的快速检测预警并提供解决方案和《信息系统预警报告》。
第四步 威胁处置通报
确认威胁后会将发现相关漏洞的报告以及取证截图汇总生成报告,导入本地预警监测平台,通过本地平台关联信息系统所属单位和联系人。图文信息中心确认后将漏洞详情报告发送至相对应单位进行通报整改。各单位在收到通报后的三天内完成整改并上报整改详情。
第五步 处置闭环
被通报单位执行漏洞修复动作后,高级威胁检测安全平台服务专家将针对存在风险站点再次进行扫描并进行初步审核,审核通过之后上报网信办终审,若风险未消除,将初审不通过的回退给原单位再次处置。直至风险处置完毕,消除闭环。
在大规模 0day 漏洞或者其他重大安全事件爆发期间,可提供云防护服务,避免在安全风险修复期间学校信息系统(信息系统)遭受更大的损失。