云南電網公司組織ITSM系統信息安全攻防應急演練
信息系統安全、穩定運行是保障云南電網公司核心業務正常進行的重要基礎工作,然而信息安全面臨的形勢日趨嚴峻,外部面臨不同組織及勢力的持續攻擊、系統漏洞層出不窮等威脅,內部存在人員信息安全意識不強,信息
信息系統安全、穩定運行是保障云南電網公司核心業務正常進行的重要基礎工作,然而信息安全面臨的形勢日趨嚴峻,外部面臨不同組織及勢力的持續攻擊、系統漏洞層出不窮等威脅,內部存在人員信息安全意識不強,信息安全隊伍及技術力量不足等短板。加強信息化專業及管理人員對制度的理解,提高現場處置、應急能力迫在眉睫。為此,公司信息中心組織了一次“不打招呼”的ITSM系統信息安全攻防應急演練。
“馬主任您好,我是信息運維監控中心值班人員,剛才ITSM系統異常,已經通知運檢人員處理了,但是現在ITSM系統還是不能使用……”17點25分,公司信息運維監控中心值班人員向部門負責人發出了一個緊急的信息系統故障報告。此時,他并不知道這是一起“有預謀”的黑客攻擊事件。
真實模仿黑客攻擊
原來這是公司信息中心聯合云電同方公司對ITSM系統進行的模擬攻擊演練,是一次沒有劇本的實戰演練,真實地模仿黑客攻擊ITSM系統,觸發安全事件。演練負責人信息中心安全測評部主任周靖介紹:“此次演練對有關部門不事先通知攻擊內容,不事先通知演練預案,是按照實戰的方式,檢驗監控中心、系統運維人員對信息安全事件的實際處理能力和應急處理人員對南網安全事件、應急處理等制度的掌握情況。”
16:55分,監控中心值班員發現ITSM系統異常:“開始是發現ITSM系統彈窗告警,然后就讀不出數據了,系統一會兒能用一會兒又不能用,時斷時續,響應速度很慢。”立即通知運維人員進行處理。經過測試,17:15分,運維人員初步判斷ITSM系統可能遭到攻擊。監控中心迅速啟動了生產、應急兩條線的管理流程,聯系客戶服務部發布系統異常公告,通知運維責任部門及時處理,并向部門領導匯報信息,由部門領導預判并啟動應急匯報流程。“我們申請緊急運維碼登錄檢查,在數據中心ACE上發現異常連接,IP問題來源是云電同方公司二期的用戶,我們覺得事情可能不簡單就趕快向上 報。”運維人員呂垚說道。
為了讓演練更加真實,信息中心成立了演練攻擊組,和其它小組玩起了對抗賽。“我們研究了網絡拓撲架構情況,發現ITSM系統服務器均在服務器區域,邊界處有防火墻和IPS防護,登錄操作系統,必須通過堡壘機,遠程登錄的端口被封死,如果這時有黑客采用DOS和應用口令暴力破解進行攻擊的話,成功概率較高。”攻擊組組長任云翔說,信息中心編制了攻擊技術方案,并確保不中斷系統應用的情況下進行攻擊。設計了3種攻擊方式:一是DOS攻擊,掃描ITSM端口,找到薄弱點進行DOS攻擊,在持續開展10分鐘的攻擊后逐步加壓,在不影響系統業務正常開展的情況下,直到系統響應速度稍微緩慢。二是暴力破解應用用戶,掃描ITSM應用系統漏洞,找出登錄點,用專業工具分析登錄過程數據,并加載密碼字典進行暴力破解,找到帳號和密碼登錄。三是滲透測試,對ITSM應用系統進行web掃描,找出寫入點并上傳木馬病毒,獲取系統權限及其他敏感信息。攻擊組還采取了變換攻擊特征的方式,避免被運行監控組發現,可謂是費盡心思。
4個現場的實戰演練
“請馬上到應急指揮中心集合,ITSM系統遭到攻擊……”17點35分,信息中心安評、客服、運行、設備等部門和云電同方公司的有關人員在收到信息中心應急辦發來的短信后,迅速集合開展故障預判后,指揮組副組長信息中心總工程師趙凌宣布啟動Ⅲ級應急響應,成立了運行監控組和現場處置組,開展處置工作。
公司信息中心針對此次演練編制了《云南電網公司ITSM系統信息安全應急演練方案》,設置了演練指揮組、攻擊組、運行監控組、現場處置組4個小組,分別在信息中心應急指揮中心、云電同方辦公樓、信息運維監控中心和信息機房4個現場。為了體現演練的真實性,運行監控組和現場處置組不事先成立,運行監控組按日常值班要求監控系統運行狀況,及時發現攻擊事件,并按照生產運行、應急響應兩條線,起到調度指揮運維責任部門的作用;現場處置組是待接到通知后及時調配人員,負責攻擊事件現場處置具體技術操作,按照監控中心、應急指揮組要求開展工作。
“我們中斷了問題IP的網絡訪問權限,在準入系統上禁用了該用戶,并報監控中心停止應用服務器,防止二次攻擊。” 現場處置組人員陳何雄說道:“重啟服務器和應用后,ITSM系統業務恢復正常。我們剛松了口氣,又發現有個IP可疑連接。”網絡監控到版納供電局和景洪供電公司有2個帳號異常登錄。緊急禁用帳號,修改原帳號密碼后,運維組再次發現可疑文件。“我有點頭皮發麻,不知道那天是怎么了,會有那么多問題,還好最后都解決了。”現場處置組人員彭秋霞回憶道。
在整個演練過程中,指揮組職責清楚、任務明確,及時、快速有效地指揮調度各演練小組在最短的時間內投入分析攻擊原因,開展現場處置,在演練中不斷積累經驗,對演練指揮調度中發現的問題不斷調整和完善,使得指揮調度程序更加趨于清晰化、合理化、實效化。攻擊組設身處地,認真研究ITSM系統設計、網絡安全防護上存在的薄弱點,為后續進一步強化ITSM系統的安全性,加固操作系統,提升系統可靠性和安全防護能力等方面起到了重要作用。各演練小組快速反應,分任務實施,采取了邊處置邊防范的措施,把影響范圍降到最小,演練的職責和程序更加熟悉,配合更加密切。演練各環節指令傳達、執行、演練操作結果反饋均達到了預定的目標。下一步,公司信息中心還將從完善應急預案、提高應急響應速度和現場處置能力、提升信息安全防護等方面下功夫,確保各業務系統的安全穩定運行。
“馬主任您好,我是信息運維監控中心值班人員,剛才ITSM系統異常,已經通知運檢人員處理了,但是現在ITSM系統還是不能使用……”17點25分,公司信息運維監控中心值班人員向部門負責人發出了一個緊急的信息系統故障報告。此時,他并不知道這是一起“有預謀”的黑客攻擊事件。
真實模仿黑客攻擊
原來這是公司信息中心聯合云電同方公司對ITSM系統進行的模擬攻擊演練,是一次沒有劇本的實戰演練,真實地模仿黑客攻擊ITSM系統,觸發安全事件。演練負責人信息中心安全測評部主任周靖介紹:“此次演練對有關部門不事先通知攻擊內容,不事先通知演練預案,是按照實戰的方式,檢驗監控中心、系統運維人員對信息安全事件的實際處理能力和應急處理人員對南網安全事件、應急處理等制度的掌握情況。”
16:55分,監控中心值班員發現ITSM系統異常:“開始是發現ITSM系統彈窗告警,然后就讀不出數據了,系統一會兒能用一會兒又不能用,時斷時續,響應速度很慢。”立即通知運維人員進行處理。經過測試,17:15分,運維人員初步判斷ITSM系統可能遭到攻擊。監控中心迅速啟動了生產、應急兩條線的管理流程,聯系客戶服務部發布系統異常公告,通知運維責任部門及時處理,并向部門領導匯報信息,由部門領導預判并啟動應急匯報流程。“我們申請緊急運維碼登錄檢查,在數據中心ACE上發現異常連接,IP問題來源是云電同方公司二期的用戶,我們覺得事情可能不簡單就趕快向上 報。”運維人員呂垚說道。
為了讓演練更加真實,信息中心成立了演練攻擊組,和其它小組玩起了對抗賽。“我們研究了網絡拓撲架構情況,發現ITSM系統服務器均在服務器區域,邊界處有防火墻和IPS防護,登錄操作系統,必須通過堡壘機,遠程登錄的端口被封死,如果這時有黑客采用DOS和應用口令暴力破解進行攻擊的話,成功概率較高。”攻擊組組長任云翔說,信息中心編制了攻擊技術方案,并確保不中斷系統應用的情況下進行攻擊。設計了3種攻擊方式:一是DOS攻擊,掃描ITSM端口,找到薄弱點進行DOS攻擊,在持續開展10分鐘的攻擊后逐步加壓,在不影響系統業務正常開展的情況下,直到系統響應速度稍微緩慢。二是暴力破解應用用戶,掃描ITSM應用系統漏洞,找出登錄點,用專業工具分析登錄過程數據,并加載密碼字典進行暴力破解,找到帳號和密碼登錄。三是滲透測試,對ITSM應用系統進行web掃描,找出寫入點并上傳木馬病毒,獲取系統權限及其他敏感信息。攻擊組還采取了變換攻擊特征的方式,避免被運行監控組發現,可謂是費盡心思。
4個現場的實戰演練
“請馬上到應急指揮中心集合,ITSM系統遭到攻擊……”17點35分,信息中心安評、客服、運行、設備等部門和云電同方公司的有關人員在收到信息中心應急辦發來的短信后,迅速集合開展故障預判后,指揮組副組長信息中心總工程師趙凌宣布啟動Ⅲ級應急響應,成立了運行監控組和現場處置組,開展處置工作。
公司信息中心針對此次演練編制了《云南電網公司ITSM系統信息安全應急演練方案》,設置了演練指揮組、攻擊組、運行監控組、現場處置組4個小組,分別在信息中心應急指揮中心、云電同方辦公樓、信息運維監控中心和信息機房4個現場。為了體現演練的真實性,運行監控組和現場處置組不事先成立,運行監控組按日常值班要求監控系統運行狀況,及時發現攻擊事件,并按照生產運行、應急響應兩條線,起到調度指揮運維責任部門的作用;現場處置組是待接到通知后及時調配人員,負責攻擊事件現場處置具體技術操作,按照監控中心、應急指揮組要求開展工作。
“我們中斷了問題IP的網絡訪問權限,在準入系統上禁用了該用戶,并報監控中心停止應用服務器,防止二次攻擊。” 現場處置組人員陳何雄說道:“重啟服務器和應用后,ITSM系統業務恢復正常。我們剛松了口氣,又發現有個IP可疑連接。”網絡監控到版納供電局和景洪供電公司有2個帳號異常登錄。緊急禁用帳號,修改原帳號密碼后,運維組再次發現可疑文件。“我有點頭皮發麻,不知道那天是怎么了,會有那么多問題,還好最后都解決了。”現場處置組人員彭秋霞回憶道。
在整個演練過程中,指揮組職責清楚、任務明確,及時、快速有效地指揮調度各演練小組在最短的時間內投入分析攻擊原因,開展現場處置,在演練中不斷積累經驗,對演練指揮調度中發現的問題不斷調整和完善,使得指揮調度程序更加趨于清晰化、合理化、實效化。攻擊組設身處地,認真研究ITSM系統設計、網絡安全防護上存在的薄弱點,為后續進一步強化ITSM系統的安全性,加固操作系統,提升系統可靠性和安全防護能力等方面起到了重要作用。各演練小組快速反應,分任務實施,采取了邊處置邊防范的措施,把影響范圍降到最小,演練的職責和程序更加熟悉,配合更加密切。演練各環節指令傳達、執行、演練操作結果反饋均達到了預定的目標。下一步,公司信息中心還將從完善應急預案、提高應急響應速度和現場處置能力、提升信息安全防護等方面下功夫,確保各業務系統的安全穩定運行。
責任編輯:葉雨田
免責聲明:本文僅代表作者個人觀點,與本站無關。其原創性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關內容。
我要收藏
個贊
-
中央廣播電視總臺專訪國網董事長毛偉明:盡快形成能源互聯網的產業鏈
2020-10-10國家電網,毛偉明,5G -
人民日報刊載|國家電網董事長毛偉明:為做好“六穩”“六保”提供可靠電力支撐
2020-10-10國家電網,毛偉明,電氣裝備 -
南方供暖路徑初探——剛性需求下的順勢而為
2020-09-24清潔供暖,綜合能源服務,清潔供熱
-
中央廣播電視總臺專訪國網董事長毛偉明:盡快形成能源互聯網的產業鏈
2020-10-10國家電網,毛偉明,5G -
人民日報刊載|國家電網董事長毛偉明:為做好“六穩”“六保”提供可靠電力支撐
2020-10-10國家電網,毛偉明,電氣裝備 -
國家電網:光伏扶貧總關情
2020-08-14國家電網,電網企業,電網,能源電力
-
南方供暖路徑初探——剛性需求下的順勢而為
2020-09-24清潔供暖,綜合能源服務,清潔供熱 -
南方電網公司召開黨建工作領導小組會議 學習中央有關文件和會議精神 部署推進黨建重點工作
2020-06-28南方電網,能源,中央文件 -
云南電網大理供電局建設南網首個230MHz無線物聯專網
-
如何讓風電機組更聰明、更智能?
2020-06-28中國海裝,智能風機,智慧風電 -
蒙西電網:穩推電力現貨市場建設 助力電力多邊交易
2019-01-30蒙西電網 -
除了國網、南網 我們國家還有哪些地方獨立電網企業?
