杭州G20峰会9月5日在浙江杭州落下帷幕。其间，绿盟科技受主管机构指派参与G20峰会网络安全保障工作，涉及G20相关网站及系统、杭州区域内相关站点及行业客户等。绿盟科技结合历年数十次重大活动安保经验，协同多部门顺利完成峰会期间网络安全保障工作。

1.1 阵容大 勤演练 分秒盯 及时报

为保证在峰会期间绿盟科技客户的网络基础设施安全、重点网站和业务系统能够正常运行，并在各种异常情况下能快速应对，根据客户及上级部门的安全要求，绿盟科技成立G20峰会网络安全保障团队，由副总裁陈珂为总指挥，下设G20峰会网络安全应急响应小组及杭州本地服务小组。整个团队抽调了绿盟科技全国各服务及产品团队中的精英成员，共计10多个部门118人，为峰会期间的安保工作提供全力支持。

在安保过程中，绿盟科技威胁态势感知方案TSA、绿盟科技威胁情报中心NTI、绿盟威胁分析系统TAC、绿盟网站安全监测Websafe、绿盟云以及5大明星产品悉数登场。

网络信息安全保障工作是一项专业又复杂的系统性工程，涉及近百相关单位，涉及的细节更是无比繁杂，单就绿盟科技参与的部分来说，大致涉及三个方面，包括事前网站安全检测、事中网站安全监测、本地应急值守服务。

1.2 G20开幕前夕 勤演练 及时报

从7月下旬开始奔赴客户一线，全面支持保障前的评估、加固、演练等重要工作。根据以往的经验，在这些工作中着重强化两个方面的演练工作：

页面篡改应急演练

1、演练方案：首先绿盟科技提交绿盟科技提交演练方案，在客户的牵头、指导下，召集所有第三方运维团队做前期准备，包括熟悉流程、应急预案等

2、渗透测试：由绿盟科技安保团队通过模拟入侵手段，修改客户首页信息并通知客户页面已经篡改。

3、即时防御：客户得到通知后，立即指挥第三方运维团队对被篡改页面进行断网处理，同时开展各项数据被备份、查找漏洞、修补漏洞、恢复网站环节。

4、总结改善：总结演练过程，查漏补缺。

DDoS攻击应急演练

1. 建立策略：通过绿盟流量分析系统NTA对客户业务系统进行异常流量分析和建模，理解其业务特性，配置相应的抗拒绝服务系统防护策略；
2. 模拟攻击：在未开启抗拒绝服务系统ADS防护的情况下，从公网模拟各种DDoS攻击形式，测试业务系统可能遭遇到的攻击场景；
3. 防护上线：启动绿盟抗拒绝服务系统及防护策略之后，系统主机CPU、内存占用率立刻降到正常范围，异常流量被清洗，业务恢复正常。

安全检测也不能少

在G20开幕之前安全检测过程中，NTI绿盟科技威胁情报中心截获了某恶意IP，从关联数据分析这个IP在8月18-19日对外发动过DDoS攻击，安保团队随即将这个信息上报。

为行业客户进行的安全检测工作中，绿盟威胁分析系统TAC发现了一例典型的内网木马，该木马用于窃取用户账户信息、机构证书，一旦受害者执行了这个木马就会发生用户数据泄露。绿盟科技安保团队随机将这个信息上报。我们将在后续的文章中进行详细分析。

在对主管机构、党政机关单位、企事业单位的1万多个站点的安全检查中，发现了发现611356个安全漏洞。

为行业客户提供安全保障是非常必要的，其意义有两个方面，1重要行业客户在G20期间不能出问题；2运营商客户也在为G20提供通信保障，安全更不能出问题。绿盟科技安保团队共为客户防御WEB攻击事件169919次，其中运营商客户129823次，金融客户40096次。尤为重要的是，安保团队为客户清理后门及加固高危安全漏洞190处，并为客户提供产品方面的支持。

1.3 G20开幕 分秒盯 及时报

9月4日，G20开幕，万众瞩目。为了保证值守过程的工作效率和监控有效性，绿盟采用7*24小时三班倒的模式，确保监控数据精确、事件响应及时、事件处理妥当。监控过程主要依托绿盟成熟的产品体系，做到分秒盯、及时报。而这些防御工作的顺利实施，得益于事前客户侧的演练工作。

1. ADS日志监控：重点监控G20官网、各门户等，清洗异常流量；
2. NIPS日志监控：重点监测异常的网络访问，弱口令破解、非法外联等；一旦发现立即处理；
3. WAF日志监控：针对WEB漏洞利用行为、漏洞扫描行为，立即记录IP并加入黑名单处理，同时上报客户。
4. WSM日志监控：检测到页面篡改告警立即上报处理；
5. WebSafe站点监控：检测到网页篡改、黑链植入事件立刻上报；

1.4 G20尾声 快总结 及时报

2016年9月6日星期二09时58分27秒，安保活动进入尾声，绿盟科技G20峰会网络安全保障团队进行团队内总结。本次安全保障工作共为客户监测、评估站点及重点页面1127个，梳理互联网暴露面资产359830个。从9月1日到9月6日，

绿盟科技为主管机构、党政机关单位、企事业单位发现了：

1. 实时监控12728个站点，发现18436个次安全漏洞，页面篡改、黑链植入等安全事故298起。
2. 检查12728个网站，发现漏洞611356个次，其中高中危漏洞24663个。

绿盟科技为客户成功防御了：

1. 防御针对G20官网攻击次数为133254次，其中DDoS攻击次数为1984次，成功清洗流量41.2TB，其中成功拦截Web页面篡改行为15次。
2. 防御针对杭州区域内站点的Web攻击事件2075590次。
3. 防御针对行业客户的攻击次数超过194万次，其中金融客户803874次，运营商客户1134884次，能源客户3578次。

1.5 重大活动网络安保需要经验

多年来，绿盟科技针对重大活动安保工作，总结了事前网站安全检测+事中网站安全监测+本地应急值守服务的一体化安保解决方案。

在网站监测方面

重大活动安保主要包括几个方面的监测，

• 网站平稳度监测：监测网站的通断事件和高延迟事件，主要用于发现DDoS引起的业务可用性受损。
• 篡改、暗链、敏感内容：网站页面发布或被攻击者替换有色情信息、赌博信息、不良广告、反动势力或团体政治主张、邪教相关的页面。
• 挂马：网站页面被设置了含有恶意代码或恶意文件的页面
• Webshell：网站页面被加载Webshell，作为攻击者访问和控制网站系统的后门。

在应急值守方面

• 重大活动安保包括几十项事前、事中、事后的工作内容，细节较为复杂，这里将主要的项目介绍如下：

• 应急组织设置，需要结合实际的业务情况，协同多个部门组建应急领导小组，并落实到人员构成及职责分工；
• 应急响应体系，与实际的业务流程相结合，协同多个部门做好应急响应及执行程序，这包括信息系统监控、信息系统基线分析、事件分类分级、事件报警与通知、应急分析与恢复、紧急故障隔离；
• 通知和报告，在应急事件报告的流程中，为保证信息传递的准确性和效率，报告应简明扼要、事实清楚，报告的通讯工具需要参考实际情况明确，一般来说以如下顺序选择，办公电话、手机、短信、邮件等；
• 应急处理体系，各单位、各部门可根据自身情况，自我检查应急环境准备或者建立应急前准备措施；
• 安全故障处理手册，可以针对事前的网站安全检测中发现的问题，以及一些典型的攻击类型及场景，准备应急处置方法、流程、工具等，包括可能的二次开发；
• 故障隔离，在确认故障无法短时间内恢复和处理完毕的情况下，需要采取的临时故障隔离手段，确保不影响全面的互联网服务区系统运行或规避出现重大社会影响事件；
• 演练要求，为了提高应急处理的速度，提高应急响应工作组成员对门户网站安全事件处理的熟练程度，应定期对预案进行演练。

1.6 绿盟科技历年重大安保活动

凭借历年来数十次的重大活动网络安保中的成功经验，绿盟科技安保团队将进一步发挥自身技术优势，积极配合主管部门切实做好每一次重大活动的网络安全保障工作，更好地服务于国家网络安全工作的需要，努力维护国家、行业和用户安全，为营造健康有序的网络环境，做出积极的贡献！

如果您需要了解更多内容，可以
加入QQ群：486207500、570982169
直接询问：010-68438880-8669