HVV技战法|全面自查辅助全方位监测

在2024年的护网安全专项工作中，集团针对安全设备进行了合理的安全监控和监测。通过全面自查，确认当前防护能力现状，并重点关注关键网络节点，配置安全设备进行监测，确保在护网期间能够有效抵御各种网络安全攻击。

一、护网前全面自查

在护网保障前，集团信息中心主导，聘请专业公司对全公司信息系统进行安全检查。网络安全节点全面自查，确认公司护网期间的防护能力现状，重点排查关键网络节点的安全监测问题、安全防护能力、区域边界访问控制与策略、弱口令检测、配置安全检查等。

1.1 核心步骤

- 全方位自查：对全公司信息系统进行全面安全检查，包括网络安全系统节点的自查，确认护网期间的防护能力现状。

- 重点排查：关注关键网络节点的安全监测问题、安全防护能力、区域边界访问控制与策略等。

- 整改优化：针对护网自查发现的问题，进行全面整改和防御加固，如入侵路径加固、网络架构优化、设备降噪策略和防护策略优化等。

二、护网期间全方位监测战术

2.1 设备运行监控

针对安全产品、网络产品、主机服务器等设备进行日志及告警信息的安全监控，及时发现设备（系统）运行过程中出现的问题，并协助处理安全事件。监控指标涵盖设备功能、设备性能、应用服务情况、连通性、操作审计等。

2.2 安全事件监控

通过人工和工具对安全设备告警数据进行二次分析，排除误报，定位真实的内外部攻击行为。监控告警类型包括DDoS攻击、Web攻击、信息破坏、口令猜测、僵尸主机、木马病毒、非授权访问等。

2.3 安全异常监控

通过搜索外网搜索引擎、交易平台、即时通信平台等，综合评价客户资料信息、漏洞信息、源代码信息等，及时发现社会盗卖集团内用户信息、系统漏洞等行为，并提出整改建议。

2.4 高危设备监控

针对历年演练期间爆发过高危漏洞的设备或尚未修复漏洞的安全设备，进行针对性安全监控，及时发现异常并妥善处置。

2.5 分析研判

综合研判组根据监测到的安全事件，结合主机日志、网络设备日志、入侵检测设备日志等信息，对安全事件的攻击方法、攻击方式、攻击路径和工具进行分析判断，并协同安全处置小组进行反制、溯源等工作。

2.6 安全事件分类

根据安全事件原因，对监测到的安全事件进行分类，有效提高应急处置速度。主要分类包括拒绝服务类、系统漏洞类、网络欺骗类、网络窃听类、数据库注入类和恶意代码类安全事件。

2.7 安全处置

安全处置组根据分析结果，快速找到并采取相应的处置措施，确保系统安全。通过遏制攻击行为，使其不再危害目标系统，并记录详细的攻击事件处置操作。

三、事件上报

在护网实战演习期间，防守方对检测到的告警信息进行研判分析，对确属攻击行为的安全事件，及时编写防守方成果报告，提交至保障领导组，由安全负责人统一上报。

四、全方位监测战术优点

护网防守保障期间，通过建立合理的沟通汇报措施，值守人员每日进行事件上报，全天候值班值守，确保一旦发生网络安全事件，可以以最快速度开展应急处置和事件调查工作，最大限度降低风险隐患。

通过建立完善的“监测+研判+处置”工作流程，提高了网络综合防控防御能力。7*24小时的监测值守，确保可以第一时间观测到安全攻击行为，快速构建出针对攻击事件的防控战术，极大程度减少和避免了网络安全攻击的成功几率。

全面自查和全方位监测不仅提升了集团的安全防护能力，还为业务的正常运行提供了强有力的保障。我们将继续强化安全监控和防护措施，确保集团网络安全无虞。关注我们，获取更多网络安全最新动态和防护技巧，共同守护网络安全。

欢迎喜欢文章的朋友点赞、转发、赞赏，你的每一次鼓励，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：HVV技战法|全面自查辅助全方位监测