信息系统安全、稳定运行是保障云南电网公司核心业务正常进行的重要基础工作,然而信息安全面临的形势日趋严峻,外部面临不同组织及势力的持续攻击、系统漏洞层出不穷等威胁,内部存在人员信息安全意识不强,信息安全队伍及技术力量不足等短板。加强信息化专业及管理人员对制度的理解,提高现场处置、应急能力迫在眉睫。为此,公司信息中心组织了一次“不打招呼”的ITSM系统信息安全攻防应急演练。
“马主任您好,我是信息运维监控中心值班人员,刚才ITSM系统异常,已经通知运检人员处理了,但是现在ITSM系统还是不能使用……”17点25分,公司信息运维监控中心值班人员向部门负责人发出了一个紧急的信息系统故障报告。此时,他并不知道这是一起“有预谋”的黑客攻击事件。
真实模仿黑客攻击
原来这是公司信息中心联合云电同方公司对ITSM系统进行的模拟攻击演练,是一次没有剧本的实战演练,真实地模仿黑客攻击ITSM系统,触发安全事件。演练负责人信息中心安全测评部主任周靖介绍:“此次演练对有关部门不事先通知攻击内容,不事先通知演练预案,是按照实战的方式,检验监控中心、系统运维人员对信息安全事件的实际处理能力和应急处理人员对南网安全事件、应急处理等制度的掌握情况。”
16:55分,监控中心值班员发现ITSM系统异常:“开始是发现ITSM系统弹窗告警,然后就读不出数据了,系统一会儿能用一会儿又不能用,时断时续,响应速度很慢。”立即通知运维人员进行处理。经过测试,17:15分,运维人员初步判断ITSM系统可能遭到攻击。监控中心迅速启动了生产、应急两条线的管理流程,联系客户服务部发布系统异常公告,通知运维责任部门及时处理,并向部门领导汇报信息,由部门领导预判并启动应急汇报流程。“我们申请紧急运维码登录检查,在数据中心ACE上发现异常连接,IP问题来源是云电同方公司二期的用户,我们觉得事情可能不简单就赶快向上 报。”运维人员吕垚说道。
为了让演练更加真实,信息中心成立了演练攻击组,和其它小组玩起了对抗赛。“我们研究了网络拓扑架构情况,发现ITSM系统服务器均在服务器区域,边界处有防火墙和IPS防护,登录操作系统,必须通过堡垒机,远程登录的端口被封死,如果这时有黑客采用DOS和应用口令暴力破解进行攻击的话,成功概率较高。”攻击组组长任云翔说,信息中心编制了攻击技术方案,并确保不中断系统应用的情况下进行攻击。设计了3种攻击方式:一是DOS攻击,扫描ITSM端口,找到薄弱点进行DOS攻击,在持续开展10分钟的攻击后逐步加压,在不影响系统业务正常开展的情况下,直到系统响应速度稍微缓慢。二是暴力破解应用用户,扫描ITSM应用系统漏洞,找出登录点,用专业工具分析登录过程数据,并加载密码字典进行暴力破解,找到帐号和密码登录。三是渗透测试,对ITSM应用系统进行web扫描,找出写入点并上传木马病毒,获取系统权限及其他敏感信息。攻击组还采取了变换攻击特征的方式,避免被运行监控组发现,可谓是费尽心思。
4个现场的实战演练
“请马上到应急指挥中心集合,ITSM系统遭到攻击……”17点35分,信息中心安评、客服、运行、设备等部门和云电同方公司的有关人员在收到信息中心应急办发来的短信后,迅速集合开展故障预判后,指挥组副组长信息中心总工程师赵凌宣布启动Ⅲ级应急响应,成立了运行监控组和现场处置组,开展处置工作。
公司信息中心针对此次演练编制了《云南电网公司ITSM系统信息安全应急演练方案》,设置了演练指挥组、攻击组、运行监控组、现场处置组4个小组,分别在信息中心应急指挥中心、云电同方办公楼、信息运维监控中心和信息机房4个现场。为了体现演练的真实性,运行监控组和现场处置组不事先成立,运行监控组按日常值班要求监控系统运行状况,及时发现攻击事件,并按照生产运行、应急响应两条线,起到调度指挥运维责任部门的作用;现场处置组是待接到通知后及时调配人员,负责攻击事件现场处置具体技术操作,按照监控中心、应急指挥组要求开展工作。
“我们中断了问题IP的网络访问权限,在准入系统上禁用了该用户,并报监控中心停止应用服务器,防止二次攻击。” 现场处置组人员陈何雄说道:“重启服务器和应用后,ITSM系统业务恢复正常。我们刚松了口气,又发现有个IP可疑连接。”网络监控到版纳供电局和景洪供电公司有2个帐号异常登录。紧急禁用帐号,修改原帐号密码后,运维组再次发现可疑文件。“我有点头皮发麻,不知道那天是怎么了,会有那么多问题,还好最后都解决了。”现场处置组人员彭秋霞回忆道。
在整个演练过程中,指挥组职责清楚、任务明确,及时、快速有效地指挥调度各演练小组在最短的时间内投入分析攻击原因,开展现场处置,在演练中不断积累经验,对演练指挥调度中发现的问题不断调整和完善,使得指挥调度程序更加趋于清晰化、合理化、实效化。攻击组设身处地,认真研究ITSM系统设计、网络安全防护上存在的薄弱点,为后续进一步强化ITSM系统的安全性,加固操作系统,提升系统可靠性和安全防护能力等方面起到了重要作用。各演练小组快速反应,分任务实施,采取了边处置边防范的措施,把影响范围降到最小,演练的职责和程序更加熟悉,配合更加密切。演练各环节指令传达、执行、演练操作结果反馈均达到了预定的目标。下一步,公司信息中心还将从完善应急预案、提高应急响应速度和现场处置能力、提升信息安全防护等方面下功夫,确保各业务系统的安全稳定运行。
“马主任您好,我是信息运维监控中心值班人员,刚才ITSM系统异常,已经通知运检人员处理了,但是现在ITSM系统还是不能使用……”17点25分,公司信息运维监控中心值班人员向部门负责人发出了一个紧急的信息系统故障报告。此时,他并不知道这是一起“有预谋”的黑客攻击事件。
真实模仿黑客攻击
原来这是公司信息中心联合云电同方公司对ITSM系统进行的模拟攻击演练,是一次没有剧本的实战演练,真实地模仿黑客攻击ITSM系统,触发安全事件。演练负责人信息中心安全测评部主任周靖介绍:“此次演练对有关部门不事先通知攻击内容,不事先通知演练预案,是按照实战的方式,检验监控中心、系统运维人员对信息安全事件的实际处理能力和应急处理人员对南网安全事件、应急处理等制度的掌握情况。”
16:55分,监控中心值班员发现ITSM系统异常:“开始是发现ITSM系统弹窗告警,然后就读不出数据了,系统一会儿能用一会儿又不能用,时断时续,响应速度很慢。”立即通知运维人员进行处理。经过测试,17:15分,运维人员初步判断ITSM系统可能遭到攻击。监控中心迅速启动了生产、应急两条线的管理流程,联系客户服务部发布系统异常公告,通知运维责任部门及时处理,并向部门领导汇报信息,由部门领导预判并启动应急汇报流程。“我们申请紧急运维码登录检查,在数据中心ACE上发现异常连接,IP问题来源是云电同方公司二期的用户,我们觉得事情可能不简单就赶快向上 报。”运维人员吕垚说道。
为了让演练更加真实,信息中心成立了演练攻击组,和其它小组玩起了对抗赛。“我们研究了网络拓扑架构情况,发现ITSM系统服务器均在服务器区域,边界处有防火墙和IPS防护,登录操作系统,必须通过堡垒机,远程登录的端口被封死,如果这时有黑客采用DOS和应用口令暴力破解进行攻击的话,成功概率较高。”攻击组组长任云翔说,信息中心编制了攻击技术方案,并确保不中断系统应用的情况下进行攻击。设计了3种攻击方式:一是DOS攻击,扫描ITSM端口,找到薄弱点进行DOS攻击,在持续开展10分钟的攻击后逐步加压,在不影响系统业务正常开展的情况下,直到系统响应速度稍微缓慢。二是暴力破解应用用户,扫描ITSM应用系统漏洞,找出登录点,用专业工具分析登录过程数据,并加载密码字典进行暴力破解,找到帐号和密码登录。三是渗透测试,对ITSM应用系统进行web扫描,找出写入点并上传木马病毒,获取系统权限及其他敏感信息。攻击组还采取了变换攻击特征的方式,避免被运行监控组发现,可谓是费尽心思。
4个现场的实战演练
“请马上到应急指挥中心集合,ITSM系统遭到攻击……”17点35分,信息中心安评、客服、运行、设备等部门和云电同方公司的有关人员在收到信息中心应急办发来的短信后,迅速集合开展故障预判后,指挥组副组长信息中心总工程师赵凌宣布启动Ⅲ级应急响应,成立了运行监控组和现场处置组,开展处置工作。
公司信息中心针对此次演练编制了《云南电网公司ITSM系统信息安全应急演练方案》,设置了演练指挥组、攻击组、运行监控组、现场处置组4个小组,分别在信息中心应急指挥中心、云电同方办公楼、信息运维监控中心和信息机房4个现场。为了体现演练的真实性,运行监控组和现场处置组不事先成立,运行监控组按日常值班要求监控系统运行状况,及时发现攻击事件,并按照生产运行、应急响应两条线,起到调度指挥运维责任部门的作用;现场处置组是待接到通知后及时调配人员,负责攻击事件现场处置具体技术操作,按照监控中心、应急指挥组要求开展工作。
“我们中断了问题IP的网络访问权限,在准入系统上禁用了该用户,并报监控中心停止应用服务器,防止二次攻击。” 现场处置组人员陈何雄说道:“重启服务器和应用后,ITSM系统业务恢复正常。我们刚松了口气,又发现有个IP可疑连接。”网络监控到版纳供电局和景洪供电公司有2个帐号异常登录。紧急禁用帐号,修改原帐号密码后,运维组再次发现可疑文件。“我有点头皮发麻,不知道那天是怎么了,会有那么多问题,还好最后都解决了。”现场处置组人员彭秋霞回忆道。
在整个演练过程中,指挥组职责清楚、任务明确,及时、快速有效地指挥调度各演练小组在最短的时间内投入分析攻击原因,开展现场处置,在演练中不断积累经验,对演练指挥调度中发现的问题不断调整和完善,使得指挥调度程序更加趋于清晰化、合理化、实效化。攻击组设身处地,认真研究ITSM系统设计、网络安全防护上存在的薄弱点,为后续进一步强化ITSM系统的安全性,加固操作系统,提升系统可靠性和安全防护能力等方面起到了重要作用。各演练小组快速反应,分任务实施,采取了边处置边防范的措施,把影响范围降到最小,演练的职责和程序更加熟悉,配合更加密切。演练各环节指令传达、执行、演练操作结果反馈均达到了预定的目标。下一步,公司信息中心还将从完善应急预案、提高应急响应速度和现场处置能力、提升信息安全防护等方面下功夫,确保各业务系统的安全稳定运行。