事后處置變事前防護，遵義市網絡安全再升級

“過去，往往是安全事件發生后，協調相應的非本地安全廠商來處理?，F在，有了我們團隊，可實時分析發現網絡安全威脅，快速處理安全事件，將過去事后處置變為如今事前防護，維護提升全市網絡及數據安全防護能力。”近日，遵義市大數據集團有限公司技術研發部負責人唐靜說起他們團隊，滿臉的自豪。

唐靜的驕傲，源于其團隊研發運營的網絡及數據安全監測運營平臺。這是遵義市大數據集團有限公司于去年3月開展全市政務信息化項目統籌建設實施以來，建設的全市唯一一個集網絡及數據安全監測的運營中心。

運營平臺具備安全威脅預警、實時分析、安全事件取證、安全事件溯源、還原攻擊軌跡等功能，可為全市用戶系統和網站提供全天候24小時實時網絡及數據安全監測服務。

在運營平臺的一塊數字化大屏上，記者看到，資產失陷態勢、資產威脅溯源、橫向威脅感知幾大版塊數據適時更新，攻擊時間、攻擊域名、攻擊類型、風險等級等信息一目了然，讓人對網絡及數據安全監測有了直觀的感受。

“你可別小看這樣一塊大屏幕，它可發揮了大作用。通過全天候24小時不間斷監測，及時發現網絡和數據安全威脅，并及時通知用戶，啟動防御措施最大化，最大程度減少網絡安全事件的發生?！碧旗o告訴記者。

今年10月30日，值班人員正在巡檢，平臺突然出現了一則高危告警。值班人員迅速響應，立即查閱了平臺提供的告警詳情。通過威脅狩獵、威脅情報等工具進行分析，疑似某單位存在主機木馬感染風險。

面對突發事件，團隊立即組織專家團隊進行深入的分析與評估，最終確認此次事件為主機木馬感染事件，隨后團隊嚴格按照事件聯動處置機制的要求，對該安全事件進行處置。從發現問題、分析判斷，到最終處置，整個流程閉環管理、科學高效，保障了用戶單位網絡安全。

今年11月5日，平臺響起了告警提示音。值班人員通過平臺查看告警詳情，通過分析工具迅速找到問題所在：某單位的系統存在一個遠程代碼執行漏洞。值班人員立即組織專家團隊進行分析和研判。經專家確認，攻擊嘗試未成功，系統也未遭受任何損害。

“當發現網絡攻擊、病毒入侵等網絡及數據安全危害事件時，通過短信、聊天工具、郵箱、特定文件傳輸系統等多種告警方式及時通知用戶，提高了對網絡安全事件的響應速度，加強了網絡安全防護能力。”唐靜說，除了及時發現網絡和數據安全威脅，他們還可提供網絡安全風險評估、代碼審計等20來項網絡安全服務，為用戶及時發現業務系統（數據）或網絡環境存在的弱點、威脅。

前不久，團隊在為某單位進行網絡安全風險評估的過程中，發現多臺服務器存在漏洞，這一漏洞允許攻擊者通過SMB協議遠程執行代碼。

隨后的日志審計進一步揭示問題的嚴重性：在凌晨2點至3點間，檢測到了多條登錄記錄。這一時間段，通常是員工的休息時間，按常理不應有正常的登錄活動。更令人擔憂的是，這些登錄記錄指向了未知的IP地址，進一步證實了非授權訪問的可能性。

種種異常跡象表明，用戶的服務器已遭受了惡意軟件的感染。針對這一情況，團隊迅速提出了一系列整改措施，為用戶構建了一個更加堅固的安全防線：為存在漏洞的服務器部署最新的安全補丁，并建立一個定期的安全更新機制；所有系統日志都被完整記錄并定期備份，部署日志監控系統，實時監控異常登錄和操作記錄，并設置告警機制；舉辦增強網絡安全意識培訓，教育引導員工如何識別和防范安全威脅，并定期進行安全應急演練，提高員工的應急處理能力……

據悉，全市目前有約2000個政務和互聯網業務系統上云。運營中心自建成投用以來，可實現對全部上云的系統進行全天候24小時安全監測。