網(wǎng)絡(luò)安全實(shí)戰(zhàn)攻防演練防守方淺析

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了網(wǎng)絡(luò)安全實(shí)戰(zhàn)攻防演練防守方淺析范文，希望能給你帶來靈感和參考，敬請(qǐng)閱讀。

摘要：利用網(wǎng)絡(luò)安全漏洞進(jìn)行有組織、有目的的網(wǎng)絡(luò)攻擊形勢(shì)愈加明顯，一方面留給應(yīng)急響應(yīng)的時(shí)間窗口越來越小，另一方面應(yīng)急響應(yīng)所需的威脅知識(shí)、專業(yè)技能、熟練程度等卻不斷增加。本文提出了網(wǎng)絡(luò)運(yùn)營者作為防守方開展應(yīng)急響應(yīng)的簡明流程及響應(yīng)步驟，為相關(guān)單位提供實(shí)踐參考。

關(guān)鍵詞：網(wǎng)絡(luò)安全關(guān)鍵信息基礎(chǔ)設(shè)施攻防演練

1引言

伴隨著信息技術(shù)在社會(huì)發(fā)展中的重要性越來越高，網(wǎng)絡(luò)空間已經(jīng)成為大國博弈的新戰(zhàn)場。網(wǎng)絡(luò)安全攻防演練作為檢驗(yàn)關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全防護(hù)、提升網(wǎng)絡(luò)運(yùn)營者應(yīng)急響應(yīng)水平等關(guān)鍵工作的重要手段，以實(shí)戰(zhàn)和對(duì)抗的方式促進(jìn)提升網(wǎng)絡(luò)安全保障能力，具有重要意義。本文站在網(wǎng)絡(luò)運(yùn)營者視角，以參與組織的一次政府網(wǎng)站實(shí)戰(zhàn)攻防演練過程為例，簡述攻防演練中防守方如何開展工作，為相關(guān)單位提供組織應(yīng)對(duì)經(jīng)驗(yàn)。

2演練內(nèi)容

某單位組織網(wǎng)絡(luò)安全專業(yè)技術(shù)人員組成若干攻擊隊(duì)伍，對(duì)管轄范圍內(nèi)二級(jí)機(jī)構(gòu)的官方網(wǎng)站及業(yè)務(wù)系統(tǒng)進(jìn)行持續(xù)5天的安全攻擊測試，驗(yàn)證目標(biāo)系統(tǒng)安全防護(hù)能力的有效性，每天固定時(shí)間在統(tǒng)一演練平臺(tái)提交防守方報(bào)告。筆者所在單位作為目標(biāo)網(wǎng)站及業(yè)務(wù)系統(tǒng)運(yùn)營單位，需確保目標(biāo)信息系統(tǒng)的實(shí)體安全、運(yùn)行安全和數(shù)據(jù)安全，最大限度地減輕網(wǎng)絡(luò)安全突發(fā)事件的危害。

3組織架構(gòu)

成立防守指揮部，由網(wǎng)絡(luò)安全主管領(lǐng)導(dǎo)擔(dān)任總指揮，成員由網(wǎng)絡(luò)安全及業(yè)務(wù)系統(tǒng)運(yùn)營部門領(lǐng)導(dǎo)組成。指揮部下設(shè)防守工作組、監(jiān)控分析組、研判處置組，總計(jì)20人。

3.1防守指揮部

統(tǒng)籌整體演練防守工作，負(fù)責(zé)信息系統(tǒng)攻擊防御演練的指揮、組織協(xié)調(diào)和過程控制；下達(dá)系統(tǒng)停運(yùn)、恢復(fù)關(guān)鍵操作以及對(duì)外信息報(bào)送授權(quán)指令；報(bào)告演練進(jìn)展情況和總結(jié)報(bào)告，確保演練工作達(dá)到預(yù)期目的。

3.2防守工作組

負(fù)責(zé)信息系統(tǒng)突發(fā)事件演練的具體工作；搭建維護(hù)演練集中監(jiān)控及處置環(huán)境；分析和評(píng)估信息系統(tǒng)突發(fā)事件對(duì)業(yè)務(wù)影響情況；收集分析信息系統(tǒng)突發(fā)事件處置過程中的數(shù)據(jù)信息和記錄；向指揮部報(bào)告演練進(jìn)展情況和事態(tài)發(fā)展情況；負(fù)責(zé)牽頭開展每日的安全事件總結(jié)和分析工作；統(tǒng)計(jì)、篩選、提交防守方報(bào)告。

3.3監(jiān)控分析組

負(fù)責(zé)攻防演練期間業(yè)務(wù)系統(tǒng)訪問監(jiān)控及網(wǎng)絡(luò)安全態(tài)勢(shì)監(jiān)控，發(fā)現(xiàn)并識(shí)別網(wǎng)絡(luò)攻擊，做好監(jiān)控過程的記錄工作，并向研判處置組發(fā)出攻擊預(yù)警；及時(shí)修補(bǔ)業(yè)務(wù)系統(tǒng)存在的漏洞，開展業(yè)務(wù)系統(tǒng)關(guān)停及恢復(fù)工作。

3.4研判處置組

演練備戰(zhàn)階段，負(fù)責(zé)對(duì)發(fā)現(xiàn)的網(wǎng)絡(luò)安全隱患進(jìn)行整改，落實(shí)各項(xiàng)安全防護(hù)措施。演練實(shí)戰(zhàn)階段，對(duì)網(wǎng)絡(luò)攻擊流量進(jìn)行清洗，確保業(yè)務(wù)系統(tǒng)可用性；根據(jù)需要機(jī)動(dòng)、靈活調(diào)配技術(shù)資源，完成技術(shù)分析與研判、實(shí)時(shí)攻擊對(duì)抗、應(yīng)急響應(yīng)等工作。

4演練實(shí)施

按照過往演練經(jīng)驗(yàn)，小規(guī)模的防守宜按照演練前、演練中、演練后三個(gè)階段開展相關(guān)工作。

4.1攻防演練前

攻防演練前建立完善的保障團(tuán)隊(duì)。從安全技術(shù)層面建立監(jiān)測預(yù)警體系，在安全制度層面建設(shè)通告預(yù)警與處置反饋機(jī)制。對(duì)本次保障范圍內(nèi)的信息系統(tǒng)進(jìn)行詳細(xì)的風(fēng)險(xiǎn)評(píng)估和安全加固，制定《網(wǎng)絡(luò)安全攻防演練實(shí)施方案》，并對(duì)相關(guān)人員進(jìn)行信息安全意識(shí)宣貫。4.1.1資產(chǎn)梳理。開展信息化資產(chǎn)梳理，主要梳理內(nèi)容包括但不限于：梳理對(duì)外發(fā)布的互聯(lián)網(wǎng)應(yīng)用系統(tǒng)；梳理互聯(lián)網(wǎng)出口及出口所使用的設(shè)備和安全措施；梳理網(wǎng)絡(luò)結(jié)構(gòu)（網(wǎng)絡(luò)拓?fù)洌?；梳理重要的或需要重點(diǎn)保護(hù)的信息系統(tǒng)、應(yīng)用系統(tǒng)各服務(wù)器之間的拓?fù)浣Y(jié)構(gòu)；梳理網(wǎng)絡(luò)安全設(shè)備及網(wǎng)絡(luò)防護(hù)情況；梳理SSLVPN和IPSecVPN接入情況。4.1.2風(fēng)險(xiǎn)評(píng)估。安全保障專家結(jié)合信息化資產(chǎn)梳理結(jié)果進(jìn)行安全風(fēng)險(xiǎn)評(píng)估。安全保障專家可使用調(diào)研問卷、人員訪談和安全技術(shù)（滲透測試、漏洞掃描、基線核查等）等方式，通過安全工具或人工方式從網(wǎng)絡(luò)安全風(fēng)險(xiǎn)、應(yīng)用安全風(fēng)險(xiǎn)、主機(jī)安全風(fēng)險(xiǎn)、終端安全風(fēng)險(xiǎn)和數(shù)據(jù)安全風(fēng)險(xiǎn)等維度進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，各部分內(nèi)容可參考如下。（1）網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估網(wǎng)絡(luò)架構(gòu)風(fēng)險(xiǎn)評(píng)估，利用人工和工具等方式從技術(shù)、策略和管理等角度更深層次挖掘出當(dāng)前網(wǎng)絡(luò)中存在的威脅和風(fēng)險(xiǎn)。安全漏洞和安全基線風(fēng)險(xiǎn)評(píng)估，利用掃描工具對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行掃描和全面檢查。弱口令風(fēng)險(xiǎn)評(píng)估，嚴(yán)格禁止所有賬號(hào)的弱口令、空口令情況。賬號(hào)、權(quán)限風(fēng)險(xiǎn)評(píng)估，檢查管理員賬號(hào)和權(quán)限，關(guān)閉不必要的賬號(hào)，取消不合理的賬號(hào)權(quán)限；保證密碼強(qiáng)度符合安全基線要求。遠(yuǎn)程登錄白名單風(fēng)險(xiǎn)評(píng)估，嚴(yán)格限制可以遠(yuǎn)程管理的IP地址，禁用Telnet進(jìn)行遠(yuǎn)程管理。配置備份風(fēng)險(xiǎn)評(píng)估，所有網(wǎng)絡(luò)設(shè)備全部要做好配置備份，確認(rèn)備份有效可以恢復(fù)。（2）應(yīng)用安全風(fēng)險(xiǎn)評(píng)估身份鑒別風(fēng)險(xiǎn)評(píng)估，評(píng)估應(yīng)用系統(tǒng)的身份標(biāo)識(shí)與鑒別功能設(shè)置和使用配置情況，應(yīng)用系統(tǒng)對(duì)用戶登錄各種情況的處理，如登錄失敗、登錄連接超時(shí)等。訪問控制風(fēng)險(xiǎn)評(píng)估，評(píng)估應(yīng)用系統(tǒng)的訪問控制功能設(shè)置情況，如訪問控制的策略、權(quán)限設(shè)置情況等。安全審計(jì)風(fēng)險(xiǎn)評(píng)估，評(píng)估應(yīng)用系統(tǒng)的安全審計(jì)配置情況，如覆蓋范圍、記錄的項(xiàng)目和內(nèi)容等。資產(chǎn)暴露面風(fēng)險(xiǎn)評(píng)估，模擬黑客進(jìn)行信息收集，獲取資產(chǎn)詳細(xì)信息（程序名稱、版本）、開放的危險(xiǎn)端口、業(yè)務(wù)管理后臺(tái)等。應(yīng)用漏洞風(fēng)險(xiǎn)評(píng)估，包括Web服務(wù)，如Apache、WebSphere、Tomcat、IIS等，其他SSH、FTP等程序的缺失補(bǔ)丁或版本漏洞檢測。滲透測試，采用適當(dāng)測試手段，發(fā)現(xiàn)測試目標(biāo)在信息系統(tǒng)認(rèn)證及授權(quán)、代碼審查等方面存在的安全漏洞,并再現(xiàn)利用該漏洞可能造成的損失，提供避免或防范此類威脅、風(fēng)險(xiǎn)或漏洞的具體改進(jìn)或加固措施。（3）主機(jī)安全風(fēng)險(xiǎn)評(píng)估WebShell風(fēng)險(xiǎn)評(píng)估，對(duì)提供Web服務(wù)的系統(tǒng)進(jìn)行WebShell后門排查，驗(yàn)證服務(wù)器的安全性，確保清除曾經(jīng)可能被入侵遺留下的后門。惡意文件風(fēng)險(xiǎn)評(píng)估，利用專業(yè)僵尸木馬蠕蟲檢測工具對(duì)操作系統(tǒng)進(jìn)行惡意文件排查，并針對(duì)惡意文件進(jìn)行行為分析，確認(rèn)病毒家族及其危害。弱口令風(fēng)險(xiǎn)評(píng)估，嚴(yán)格禁止所有賬號(hào)的弱口令、空口令情況。端口及服務(wù)風(fēng)險(xiǎn)評(píng)估，服務(wù)器只開放自身提供服務(wù)相關(guān)端口，關(guān)閉不必要的端口和對(duì)外服務(wù)。服務(wù)器防火墻風(fēng)險(xiǎn)評(píng)估，默認(rèn)禁止所有主動(dòng)對(duì)外訪問行為，如有需要，需嚴(yán)格制定訪問控制策略，實(shí)行服務(wù)器對(duì)外訪問白名單。系統(tǒng)漏洞掃描風(fēng)險(xiǎn)評(píng)估，對(duì)操作系統(tǒng)、數(shù)據(jù)庫及常見應(yīng)用、協(xié)議進(jìn)行漏洞掃描。（4）終端安全風(fēng)險(xiǎn)評(píng)估安全基線風(fēng)險(xiǎn)評(píng)估，對(duì)終端的操作系統(tǒng)進(jìn)行安全配置基線檢查，保證終端設(shè)備安全。弱口令風(fēng)險(xiǎn)評(píng)估，嚴(yán)格禁止所有賬號(hào)的弱口令、空口令情況。防病毒軟件風(fēng)險(xiǎn)評(píng)估，檢查終端是否安裝防病毒軟件，安全策略是否開啟。非法外聯(lián)風(fēng)險(xiǎn)評(píng)估，檢查終端是否配置了雙網(wǎng)卡，是否開放或連接熱點(diǎn)。補(bǔ)丁更新風(fēng)險(xiǎn)評(píng)估，檢查補(bǔ)丁更新情況。（5）數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估安全基線風(fēng)險(xiǎn)評(píng)估，對(duì)數(shù)據(jù)庫的操作系統(tǒng)進(jìn)行安全配置基線檢查，保證數(shù)據(jù)庫系統(tǒng)安全。數(shù)據(jù)訪問控制風(fēng)險(xiǎn)評(píng)估，對(duì)數(shù)據(jù)的訪問、權(quán)限設(shè)置進(jìn)行評(píng)估。數(shù)據(jù)備份風(fēng)險(xiǎn)評(píng)估，檢查數(shù)據(jù)備份策略、災(zāi)備情況。4.1.3安全加固。通過評(píng)估與檢查的方式，分析信息化資產(chǎn)及重要信息系統(tǒng)的安全漏洞與風(fēng)險(xiǎn)，并有針對(duì)性地進(jìn)行安全加固。網(wǎng)絡(luò)設(shè)備、安全設(shè)備、安全系統(tǒng)等網(wǎng)絡(luò)層面安全問題由基礎(chǔ)網(wǎng)絡(luò)運(yùn)營部門負(fù)責(zé)加固；應(yīng)用系統(tǒng)存在的漏洞、代碼邏輯錯(cuò)誤、管理員弱口令、中間件漏洞等主機(jī)和應(yīng)用層問題由各相關(guān)系統(tǒng)負(fù)責(zé)人進(jìn)行加固，由安全專家提供相關(guān)指導(dǎo)建議解決目標(biāo)系統(tǒng)在安全評(píng)估中發(fā)現(xiàn)的技術(shù)性安全問題，對(duì)系統(tǒng)安全配置進(jìn)行優(yōu)化，杜絕系統(tǒng)配置不當(dāng)而出現(xiàn)的弱點(diǎn)。4.1.4安全培訓(xùn)。為提升安全技術(shù)人員安全技術(shù)能力和非安全人員的信息安全意識(shí)，防守工作組定制培訓(xùn)課程內(nèi)容，使用相關(guān)教材和實(shí)戰(zhàn)案例等資料，幫助相關(guān)人員強(qiáng)化安全意識(shí)，強(qiáng)化信息安全攻防知識(shí)，以便更好地在演練過程中有效應(yīng)對(duì)網(wǎng)絡(luò)攻擊。培訓(xùn)主要內(nèi)容：針對(duì)安全技術(shù)人員、安全管理員進(jìn)行安全意識(shí)、安全常識(shí)、Web構(gòu)成、常見漏洞、熱點(diǎn)0Day事件、入侵流程、惡意軟件現(xiàn)象和防御方法培訓(xùn)；針對(duì)非安全技術(shù)人員從個(gè)人電腦安全、郵件安全、移動(dòng)安全、日常工作生活等維度進(jìn)行強(qiáng)化安全意識(shí)培訓(xùn)。4.1.5模擬攻防。完成安全加固后，為檢驗(yàn)安全加固的成果、檢驗(yàn)安全防護(hù)體系的健壯性和有效性，需要組織模擬攻防演練進(jìn)行安全能力檢驗(yàn)?？裳?qǐng)安全公司模擬攻擊小組從外部對(duì)目標(biāo)單位信息化系統(tǒng)進(jìn)行攻擊演練，檢驗(yàn)演練目標(biāo)系統(tǒng)的防護(hù)能力，檢驗(yàn)演練防守團(tuán)隊(duì)的協(xié)作保障能力。攻擊小組使用的攻擊手段應(yīng)不影響目標(biāo)單位業(yè)務(wù)的正常開展，包括但不限于滲透測試、系統(tǒng)漏洞攻擊、釣魚攻擊/APT綜合攻擊、社會(huì)工程學(xué)攻擊等。4.1.6環(huán)境準(zhǔn)備。在合適的場所搭建演練集中監(jiān)控及處置環(huán)境所需電力、網(wǎng)絡(luò)設(shè)備，根據(jù)工作任務(wù)分配接入網(wǎng)絡(luò)，保障攻防演練期間設(shè)備正常運(yùn)行。

4.2攻防演練中

防守工作組指導(dǎo)監(jiān)控分析組及研判處置組在攻防演練過程中最大力度防御來自任何攻擊方的網(wǎng)絡(luò)攻擊，實(shí)時(shí)監(jiān)測目標(biāo)系統(tǒng)的攻擊情況；發(fā)生網(wǎng)絡(luò)安全事件立刻通知到防守指揮部，實(shí)時(shí)掌握演練情況，做好安全事件的分析研判，形成分析和處置報(bào)告上報(bào)。4.2.17×24小時(shí)監(jiān)測預(yù)警。監(jiān)控分析組通過業(yè)務(wù)系統(tǒng)訪問日志及網(wǎng)站安全監(jiān)測、網(wǎng)絡(luò)安全管理中心、網(wǎng)絡(luò)安全態(tài)勢(shì)感知等通報(bào)預(yù)警平臺(tái)，實(shí)現(xiàn)網(wǎng)站安全的集中監(jiān)測。指派云端專人對(duì)被監(jiān)測網(wǎng)站安全事件進(jìn)行實(shí)時(shí)研判與驗(yàn)證，當(dāng)出現(xiàn)安全事件時(shí)立刻上報(bào)現(xiàn)場研判處置組。所有監(jiān)控任務(wù)分配到人，所監(jiān)測到的安全事件必須留存事件記錄，做好系統(tǒng)備份工作和故障詳細(xì)記錄并進(jìn)行初步診斷。4.2.2技術(shù)分析。攻防演練期間，網(wǎng)絡(luò)攻擊的數(shù)量呈指數(shù)級(jí)增長。而傳統(tǒng)的基于黑白名單、簽名和規(guī)則的安全威脅發(fā)現(xiàn)手段，已經(jīng)不能應(yīng)對(duì)演練期間不斷升級(jí)且有針對(duì)性的網(wǎng)絡(luò)威脅。因此，當(dāng)互聯(lián)網(wǎng)安全監(jiān)測平臺(tái)和安全態(tài)勢(shì)感知監(jiān)測到安全事件時(shí)，監(jiān)控分析組必須立刻進(jìn)行安全事件分析，定位問題并溯源。確定非誤報(bào)后，將詳細(xì)攻擊路徑、攻擊IP等情況反饋研判處置組及防守工作組以便上報(bào)。結(jié)合故障描述和診斷，定位安全問題后，根據(jù)情況配合輸出解決思路，反饋研判處置組。無法定位分析的問題，直接反饋給防守工作組。4.2.3專家研判與實(shí)時(shí)攻擊對(duì)抗。攻防演練期間最大的安全風(fēng)險(xiǎn)來自于攻擊方攻擊，特別是有針對(duì)性、持續(xù)性的攻擊。及早發(fā)現(xiàn)并遏制有針對(duì)性、持續(xù)性的攻擊是規(guī)避外部風(fēng)險(xiǎn)的有效手段。演練期間也是非法黑客組織的活躍期。黑客組織可能偽裝成攻擊隊(duì)對(duì)防守單位進(jìn)行攻擊，監(jiān)控分析組與研判處置組需實(shí)時(shí)研判安全事件，根據(jù)事件特征，在入侵防御系統(tǒng)、Web應(yīng)用防火墻等安全設(shè)備中添加相應(yīng)防護(hù)策略，對(duì)非法攻擊事件分類進(jìn)行實(shí)時(shí)攻擊對(duì)抗。4.2.4應(yīng)急響應(yīng)與業(yè)務(wù)恢復(fù)。應(yīng)急響應(yīng)快速處置成功的關(guān)鍵是根據(jù)預(yù)設(shè)流程有條不紊地解決已經(jīng)發(fā)生的安全事件，以保證最大限度地減少安全事件造成的損害，降低應(yīng)急處置中的風(fēng)險(xiǎn)。研判處置組當(dāng)接到監(jiān)控分析組的預(yù)警報(bào)告后，直接定位的問題（可用性等）可直接處置，處置前做好數(shù)據(jù)備份和處置方法論證。無法直接定位的問題，與監(jiān)控分析組進(jìn)行詳細(xì)分析，得出詳細(xì)分析結(jié)果后，制定出相應(yīng)解決方案，處置前做好數(shù)據(jù)備份和處置方法論證；存在風(fēng)險(xiǎn)的處置，必須上報(bào)防守工作組，統(tǒng)一論證后進(jìn)行。

4.3攻防演練后

防守單位對(duì)整個(gè)演練防守工作進(jìn)行總結(jié)，針對(duì)演練期間暴露出的安全問題，分別在技術(shù)和制度層面制訂有效且具有前瞻性的信息安全建設(shè)規(guī)劃。4.3.1輸出成果文檔。根據(jù)攻防演練防守情況，及時(shí)輸出防守報(bào)告、應(yīng)急處置記錄、安全漏洞跟蹤等成果文檔。4.3.2工作總結(jié)。演練結(jié)束后對(duì)安全保障效果和成果、工作存在的問題和改進(jìn)計(jì)劃、業(yè)務(wù)和系統(tǒng)遺留風(fēng)險(xiǎn)及持續(xù)控制計(jì)劃等工作進(jìn)行總結(jié)，為后期安全建設(shè)工作總結(jié)最佳實(shí)踐。4.3.3安全規(guī)劃建議。根據(jù)攻防演練的最佳實(shí)踐、國家的相關(guān)法律法規(guī)要求和行業(yè)發(fā)展態(tài)勢(shì)，制訂科學(xué)、有效的信息安全建設(shè)規(guī)劃，建立安全風(fēng)險(xiǎn)評(píng)估行業(yè)安全監(jiān)測預(yù)警體系。5結(jié)語本次演練僅在正式開始2天前發(fā)布通知，對(duì)防守組織來講是一次考驗(yàn)，最終能有條不紊地完成防守任務(wù)，與經(jīng)常性地開展推演有著密切聯(lián)系。因?yàn)闀r(shí)間有限，并未開展演練前的模擬攻防，在事后來看，由于未進(jìn)行模擬，導(dǎo)致一部分涉及白名單的業(yè)務(wù)受到短暫影響。演練前的工作對(duì)應(yīng)著網(wǎng)絡(luò)運(yùn)營者的日常主要工作，可以看到演練前的準(zhǔn)備工作內(nèi)容非常豐富，只有準(zhǔn)備充分，在演練中（面對(duì)真實(shí)攻擊時(shí)）才能做到游刃有余、輕松應(yīng)對(duì)。同時(shí)要注意到，集中時(shí)間、力量的持續(xù)性攻防演練對(duì)各方壓力都是巨大的，作為防守方組織者，既要關(guān)注網(wǎng)絡(luò)安全防守監(jiān)測處置的狀態(tài)，也要注重高強(qiáng)度工作狀態(tài)下技術(shù)人員的身體、精神狀態(tài)。積極做好各方面后勤保障，把技術(shù)人員的狀態(tài)調(diào)整并維持在一個(gè)較高水平，最終就能取得防守方的勝利。

作者:韓冰 單位:國家廣播電視總局信息中心