網(wǎng)絡(luò)安全實戰(zhàn)攻防演練防守方淺析

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了網(wǎng)絡(luò)安全實戰(zhàn)攻防演練防守方淺析范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：利用網(wǎng)絡(luò)安全漏洞進行有組織、有目的的網(wǎng)絡(luò)攻擊形勢愈加明顯，一方面留給應(yīng)急響應(yīng)的時間窗口越來越小，另一方面應(yīng)急響應(yīng)所需的威脅知識、專業(yè)技能、熟練程度等卻不斷增加。本文提出了網(wǎng)絡(luò)運營者作為防守方開展應(yīng)急響應(yīng)的簡明流程及響應(yīng)步驟，為相關(guān)單位提供實踐參考。

關(guān)鍵詞：網(wǎng)絡(luò)安全關(guān)鍵信息基礎(chǔ)設(shè)施攻防演練

1引言

伴隨著信息技術(shù)在社會發(fā)展中的重要性越來越高，網(wǎng)絡(luò)空間已經(jīng)成為大國博弈的新戰(zhàn)場。網(wǎng)絡(luò)安全攻防演練作為檢驗關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全防護、提升網(wǎng)絡(luò)運營者應(yīng)急響應(yīng)水平等關(guān)鍵工作的重要手段，以實戰(zhàn)和對抗的方式促進提升網(wǎng)絡(luò)安全保障能力，具有重要意義。本文站在網(wǎng)絡(luò)運營者視角，以參與組織的一次政府網(wǎng)站實戰(zhàn)攻防演練過程為例，簡述攻防演練中防守方如何開展工作，為相關(guān)單位提供組織應(yīng)對經(jīng)驗。

2演練內(nèi)容

某單位組織網(wǎng)絡(luò)安全專業(yè)技術(shù)人員組成若干攻擊隊伍，對管轄范圍內(nèi)二級機構(gòu)的官方網(wǎng)站及業(yè)務(wù)系統(tǒng)進行持續(xù)5天的安全攻擊測試，驗證目標(biāo)系統(tǒng)安全防護能力的有效性，每天固定時間在統(tǒng)一演練平臺提交防守方報告。筆者所在單位作為目標(biāo)網(wǎng)站及業(yè)務(wù)系統(tǒng)運營單位，需確保目標(biāo)信息系統(tǒng)的實體安全、運行安全和數(shù)據(jù)安全，最大限度地減輕網(wǎng)絡(luò)安全突發(fā)事件的危害。

3組織架構(gòu)

成立防守指揮部，由網(wǎng)絡(luò)安全主管領(lǐng)導(dǎo)擔(dān)任總指揮，成員由網(wǎng)絡(luò)安全及業(yè)務(wù)系統(tǒng)運營部門領(lǐng)導(dǎo)組成。指揮部下設(shè)防守工作組、監(jiān)控分析組、研判處置組，總計20人。

3.1防守指揮部

統(tǒng)籌整體演練防守工作，負責(zé)信息系統(tǒng)攻擊防御演練的指揮、組織協(xié)調(diào)和過程控制；下達系統(tǒng)停運、恢復(fù)關(guān)鍵操作以及對外信息報送授權(quán)指令；報告演練進展情況和總結(jié)報告，確保演練工作達到預(yù)期目的。

3.2防守工作組

負責(zé)信息系統(tǒng)突發(fā)事件演練的具體工作；搭建維護演練集中監(jiān)控及處置環(huán)境；分析和評估信息系統(tǒng)突發(fā)事件對業(yè)務(wù)影響情況；收集分析信息系統(tǒng)突發(fā)事件處置過程中的數(shù)據(jù)信息和記錄；向指揮部報告演練進展情況和事態(tài)發(fā)展情況；負責(zé)牽頭開展每日的安全事件總結(jié)和分析工作；統(tǒng)計、篩選、提交防守方報告。

3.3監(jiān)控分析組

負責(zé)攻防演練期間業(yè)務(wù)系統(tǒng)訪問監(jiān)控及網(wǎng)絡(luò)安全態(tài)勢監(jiān)控，發(fā)現(xiàn)并識別網(wǎng)絡(luò)攻擊，做好監(jiān)控過程的記錄工作，并向研判處置組發(fā)出攻擊預(yù)警；及時修補業(yè)務(wù)系統(tǒng)存在的漏洞，開展業(yè)務(wù)系統(tǒng)關(guān)停及恢復(fù)工作。

3.4研判處置組

演練備戰(zhàn)階段，負責(zé)對發(fā)現(xiàn)的網(wǎng)絡(luò)安全隱患進行整改，落實各項安全防護措施。演練實戰(zhàn)階段，對網(wǎng)絡(luò)攻擊流量進行清洗，確保業(yè)務(wù)系統(tǒng)可用性；根據(jù)需要機動、靈活調(diào)配技術(shù)資源，完成技術(shù)分析與研判、實時攻擊對抗、應(yīng)急響應(yīng)等工作。

4演練實施

按照過往演練經(jīng)驗，小規(guī)模的防守宜按照演練前、演練中、演練后三個階段開展相關(guān)工作。

4.1攻防演練前

攻防演練前建立完善的保障團隊。從安全技術(shù)層面建立監(jiān)測預(yù)警體系，在安全制度層面建設(shè)通告預(yù)警與處置反饋機制。對本次保障范圍內(nèi)的信息系統(tǒng)進行詳細的風(fēng)險評估和安全加固，制定《網(wǎng)絡(luò)安全攻防演練實施方案》，并對相關(guān)人員進行信息安全意識宣貫。4.1.1資產(chǎn)梳理。開展信息化資產(chǎn)梳理，主要梳理內(nèi)容包括但不限于：梳理對外發(fā)布的互聯(lián)網(wǎng)應(yīng)用系統(tǒng)；梳理互聯(lián)網(wǎng)出口及出口所使用的設(shè)備和安全措施；梳理網(wǎng)絡(luò)結(jié)構(gòu)（網(wǎng)絡(luò)拓撲）；梳理重要的或需要重點保護的信息系統(tǒng)、應(yīng)用系統(tǒng)各服務(wù)器之間的拓撲結(jié)構(gòu)；梳理網(wǎng)絡(luò)安全設(shè)備及網(wǎng)絡(luò)防護情況；梳理SSLVPN和IPSecVPN接入情況。4.1.2風(fēng)險評估。安全保障專家結(jié)合信息化資產(chǎn)梳理結(jié)果進行安全風(fēng)險評估。安全保障專家可使用調(diào)研問卷、人員訪談和安全技術(shù)（滲透測試、漏洞掃描、基線核查等）等方式，通過安全工具或人工方式從網(wǎng)絡(luò)安全風(fēng)險、應(yīng)用安全風(fēng)險、主機安全風(fēng)險、終端安全風(fēng)險和數(shù)據(jù)安全風(fēng)險等維度進行安全風(fēng)險評估，各部分內(nèi)容可參考如下。（1）網(wǎng)絡(luò)安全風(fēng)險評估網(wǎng)絡(luò)架構(gòu)風(fēng)險評估，利用人工和工具等方式從技術(shù)、策略和管理等角度更深層次挖掘出當(dāng)前網(wǎng)絡(luò)中存在的威脅和風(fēng)險。安全漏洞和安全基線風(fēng)險評估，利用掃描工具對網(wǎng)絡(luò)設(shè)備進行掃描和全面檢查。弱口令風(fēng)險評估，嚴格禁止所有賬號的弱口令、空口令情況。賬號、權(quán)限風(fēng)險評估，檢查管理員賬號和權(quán)限，關(guān)閉不必要的賬號，取消不合理的賬號權(quán)限；保證密碼強度符合安全基線要求。遠程登錄白名單風(fēng)險評估，嚴格限制可以遠程管理的IP地址，禁用Telnet進行遠程管理。配置備份風(fēng)險評估，所有網(wǎng)絡(luò)設(shè)備全部要做好配置備份，確認備份有效可以恢復(fù)。（2）應(yīng)用安全風(fēng)險評估身份鑒別風(fēng)險評估，評估應(yīng)用系統(tǒng)的身份標(biāo)識與鑒別功能設(shè)置和使用配置情況，應(yīng)用系統(tǒng)對用戶登錄各種情況的處理，如登錄失敗、登錄連接超時等。訪問控制風(fēng)險評估，評估應(yīng)用系統(tǒng)的訪問控制功能設(shè)置情況，如訪問控制的策略、權(quán)限設(shè)置情況等。安全審計風(fēng)險評估，評估應(yīng)用系統(tǒng)的安全審計配置情況，如覆蓋范圍、記錄的項目和內(nèi)容等。資產(chǎn)暴露面風(fēng)險評估，模擬黑客進行信息收集，獲取資產(chǎn)詳細信息（程序名稱、版本）、開放的危險端口、業(yè)務(wù)管理后臺等。應(yīng)用漏洞風(fēng)險評估，包括Web服務(wù)，如Apache、WebSphere、Tomcat、IIS等，其他SSH、FTP等程序的缺失補丁或版本漏洞檢測。滲透測試，采用適當(dāng)測試手段，發(fā)現(xiàn)測試目標(biāo)在信息系統(tǒng)認證及授權(quán)、代碼審查等方面存在的安全漏洞,并再現(xiàn)利用該漏洞可能造成的損失，提供避免或防范此類威脅、風(fēng)險或漏洞的具體改進或加固措施。（3）主機安全風(fēng)險評估WebShell風(fēng)險評估，對提供Web服務(wù)的系統(tǒng)進行WebShell后門排查，驗證服務(wù)器的安全性，確保清除曾經(jīng)可能被入侵遺留下的后門。惡意文件風(fēng)險評估，利用專業(yè)僵尸木馬蠕蟲檢測工具對操作系統(tǒng)進行惡意文件排查，并針對惡意文件進行行為分析，確認病毒家族及其危害。弱口令風(fēng)險評估，嚴格禁止所有賬號的弱口令、空口令情況。端口及服務(wù)風(fēng)險評估，服務(wù)器只開放自身提供服務(wù)相關(guān)端口，關(guān)閉不必要的端口和對外服務(wù)。服務(wù)器防火墻風(fēng)險評估，默認禁止所有主動對外訪問行為，如有需要，需嚴格制定訪問控制策略，實行服務(wù)器對外訪問白名單。系統(tǒng)漏洞掃描風(fēng)險評估，對操作系統(tǒng)、數(shù)據(jù)庫及常見應(yīng)用、協(xié)議進行漏洞掃描。（4）終端安全風(fēng)險評估安全基線風(fēng)險評估，對終端的操作系統(tǒng)進行安全配置基線檢查，保證終端設(shè)備安全。弱口令風(fēng)險評估，嚴格禁止所有賬號的弱口令、空口令情況。防病毒軟件風(fēng)險評估，檢查終端是否安裝防病毒軟件，安全策略是否開啟。非法外聯(lián)風(fēng)險評估，檢查終端是否配置了雙網(wǎng)卡，是否開放或連接熱點。補丁更新風(fēng)險評估，檢查補丁更新情況。（5）數(shù)據(jù)安全風(fēng)險評估安全基線風(fēng)險評估，對數(shù)據(jù)庫的操作系統(tǒng)進行安全配置基線檢查，保證數(shù)據(jù)庫系統(tǒng)安全。數(shù)據(jù)訪問控制風(fēng)險評估，對數(shù)據(jù)的訪問、權(quán)限設(shè)置進行評估。數(shù)據(jù)備份風(fēng)險評估，檢查數(shù)據(jù)備份策略、災(zāi)備情況。4.1.3安全加固。通過評估與檢查的方式，分析信息化資產(chǎn)及重要信息系統(tǒng)的安全漏洞與風(fēng)險，并有針對性地進行安全加固。網(wǎng)絡(luò)設(shè)備、安全設(shè)備、安全系統(tǒng)等網(wǎng)絡(luò)層面安全問題由基礎(chǔ)網(wǎng)絡(luò)運營部門負責(zé)加固；應(yīng)用系統(tǒng)存在的漏洞、代碼邏輯錯誤、管理員弱口令、中間件漏洞等主機和應(yīng)用層問題由各相關(guān)系統(tǒng)負責(zé)人進行加固，由安全專家提供相關(guān)指導(dǎo)建議解決目標(biāo)系統(tǒng)在安全評估中發(fā)現(xiàn)的技術(shù)性安全問題，對系統(tǒng)安全配置進行優(yōu)化，杜絕系統(tǒng)配置不當(dāng)而出現(xiàn)的弱點。4.1.4安全培訓(xùn)。為提升安全技術(shù)人員安全技術(shù)能力和非安全人員的信息安全意識，防守工作組定制培訓(xùn)課程內(nèi)容，使用相關(guān)教材和實戰(zhàn)案例等資料，幫助相關(guān)人員強化安全意識，強化信息安全攻防知識，以便更好地在演練過程中有效應(yīng)對網(wǎng)絡(luò)攻擊。培訓(xùn)主要內(nèi)容：針對安全技術(shù)人員、安全管理員進行安全意識、安全常識、Web構(gòu)成、常見漏洞、熱點0Day事件、入侵流程、惡意軟件現(xiàn)象和防御方法培訓(xùn)；針對非安全技術(shù)人員從個人電腦安全、郵件安全、移動安全、日常工作生活等維度進行強化安全意識培訓(xùn)。4.1.5模擬攻防。完成安全加固后，為檢驗安全加固的成果、檢驗安全防護體系的健壯性和有效性，需要組織模擬攻防演練進行安全能力檢驗。可邀請安全公司模擬攻擊小組從外部對目標(biāo)單位信息化系統(tǒng)進行攻擊演練，檢驗演練目標(biāo)系統(tǒng)的防護能力，檢驗演練防守團隊的協(xié)作保障能力。攻擊小組使用的攻擊手段應(yīng)不影響目標(biāo)單位業(yè)務(wù)的正常開展，包括但不限于滲透測試、系統(tǒng)漏洞攻擊、釣魚攻擊/APT綜合攻擊、社會工程學(xué)攻擊等。4.1.6環(huán)境準(zhǔn)備。在合適的場所搭建演練集中監(jiān)控及處置環(huán)境所需電力、網(wǎng)絡(luò)設(shè)備，根據(jù)工作任務(wù)分配接入網(wǎng)絡(luò)，保障攻防演練期間設(shè)備正常運行。

4.2攻防演練中

防守工作組指導(dǎo)監(jiān)控分析組及研判處置組在攻防演練過程中最大力度防御來自任何攻擊方的網(wǎng)絡(luò)攻擊，實時監(jiān)測目標(biāo)系統(tǒng)的攻擊情況；發(fā)生網(wǎng)絡(luò)安全事件立刻通知到防守指揮部，實時掌握演練情況，做好安全事件的分析研判，形成分析和處置報告上報。4.2.17×24小時監(jiān)測預(yù)警。監(jiān)控分析組通過業(yè)務(wù)系統(tǒng)訪問日志及網(wǎng)站安全監(jiān)測、網(wǎng)絡(luò)安全管理中心、網(wǎng)絡(luò)安全態(tài)勢感知等通報預(yù)警平臺，實現(xiàn)網(wǎng)站安全的集中監(jiān)測。指派云端專人對被監(jiān)測網(wǎng)站安全事件進行實時研判與驗證，當(dāng)出現(xiàn)安全事件時立刻上報現(xiàn)場研判處置組。所有監(jiān)控任務(wù)分配到人，所監(jiān)測到的安全事件必須留存事件記錄，做好系統(tǒng)備份工作和故障詳細記錄并進行初步診斷。4.2.2技術(shù)分析。攻防演練期間，網(wǎng)絡(luò)攻擊的數(shù)量呈指數(shù)級增長。而傳統(tǒng)的基于黑白名單、簽名和規(guī)則的安全威脅發(fā)現(xiàn)手段，已經(jīng)不能應(yīng)對演練期間不斷升級且有針對性的網(wǎng)絡(luò)威脅。因此，當(dāng)互聯(lián)網(wǎng)安全監(jiān)測平臺和安全態(tài)勢感知監(jiān)測到安全事件時，監(jiān)控分析組必須立刻進行安全事件分析，定位問題并溯源。確定非誤報后，將詳細攻擊路徑、攻擊IP等情況反饋研判處置組及防守工作組以便上報。結(jié)合故障描述和診斷，定位安全問題后，根據(jù)情況配合輸出解決思路，反饋研判處置組。無法定位分析的問題，直接反饋給防守工作組。4.2.3專家研判與實時攻擊對抗。攻防演練期間最大的安全風(fēng)險來自于攻擊方攻擊，特別是有針對性、持續(xù)性的攻擊。及早發(fā)現(xiàn)并遏制有針對性、持續(xù)性的攻擊是規(guī)避外部風(fēng)險的有效手段。演練期間也是非法黑客組織的活躍期。黑客組織可能偽裝成攻擊隊對防守單位進行攻擊，監(jiān)控分析組與研判處置組需實時研判安全事件，根據(jù)事件特征，在入侵防御系統(tǒng)、Web應(yīng)用防火墻等安全設(shè)備中添加相應(yīng)防護策略，對非法攻擊事件分類進行實時攻擊對抗。4.2.4應(yīng)急響應(yīng)與業(yè)務(wù)恢復(fù)。應(yīng)急響應(yīng)快速處置成功的關(guān)鍵是根據(jù)預(yù)設(shè)流程有條不紊地解決已經(jīng)發(fā)生的安全事件，以保證最大限度地減少安全事件造成的損害，降低應(yīng)急處置中的風(fēng)險。研判處置組當(dāng)接到監(jiān)控分析組的預(yù)警報告后，直接定位的問題（可用性等）可直接處置，處置前做好數(shù)據(jù)備份和處置方法論證。無法直接定位的問題，與監(jiān)控分析組進行詳細分析，得出詳細分析結(jié)果后，制定出相應(yīng)解決方案，處置前做好數(shù)據(jù)備份和處置方法論證；存在風(fēng)險的處置，必須上報防守工作組，統(tǒng)一論證后進行。

4.3攻防演練后

防守單位對整個演練防守工作進行總結(jié)，針對演練期間暴露出的安全問題，分別在技術(shù)和制度層面制訂有效且具有前瞻性的信息安全建設(shè)規(guī)劃。4.3.1輸出成果文檔。根據(jù)攻防演練防守情況，及時輸出防守報告、應(yīng)急處置記錄、安全漏洞跟蹤等成果文檔。4.3.2工作總結(jié)。演練結(jié)束后對安全保障效果和成果、工作存在的問題和改進計劃、業(yè)務(wù)和系統(tǒng)遺留風(fēng)險及持續(xù)控制計劃等工作進行總結(jié)，為后期安全建設(shè)工作總結(jié)最佳實踐。4.3.3安全規(guī)劃建議。根據(jù)攻防演練的最佳實踐、國家的相關(guān)法律法規(guī)要求和行業(yè)發(fā)展態(tài)勢，制訂科學(xué)、有效的信息安全建設(shè)規(guī)劃，建立安全風(fēng)險評估行業(yè)安全監(jiān)測預(yù)警體系。5結(jié)語本次演練僅在正式開始2天前發(fā)布通知，對防守組織來講是一次考驗，最終能有條不紊地完成防守任務(wù)，與經(jīng)常性地開展推演有著密切聯(lián)系。因為時間有限，并未開展演練前的模擬攻防，在事后來看，由于未進行模擬，導(dǎo)致一部分涉及白名單的業(yè)務(wù)受到短暫影響。演練前的工作對應(yīng)著網(wǎng)絡(luò)運營者的日常主要工作，可以看到演練前的準(zhǔn)備工作內(nèi)容非常豐富，只有準(zhǔn)備充分，在演練中（面對真實攻擊時）才能做到游刃有余、輕松應(yīng)對。同時要注意到，集中時間、力量的持續(xù)性攻防演練對各方壓力都是巨大的，作為防守方組織者，既要關(guān)注網(wǎng)絡(luò)安全防守監(jiān)測處置的狀態(tài)，也要注重高強度工作狀態(tài)下技術(shù)人員的身體、精神狀態(tài)。積極做好各方面后勤保障，把技術(shù)人員的狀態(tài)調(diào)整并維持在一個較高水平，最終就能取得防守方的勝利。

作者:韓冰 單位:國家廣播電視總局信息中心