(網(wǎng)絡(luò)安全論文)網(wǎng)絡(luò)安全實(shí)戰(zhàn)攻防演練防守方淺析

【網(wǎng)絡(luò)安全論文】網(wǎng)絡(luò)安全實(shí)戰(zhàn)攻防演練防守方淺析內(nèi)容摘要：利用網(wǎng)絡(luò)安全漏洞進(jìn)行有組織、有目的的網(wǎng)絡(luò)攻擊形勢愈加明顯，一方面留給應(yīng)急響應(yīng)的時間窗口越來越小，另一方面應(yīng)急響應(yīng)所需的威脅知識、專業(yè)技能、熟練程度等卻不斷增加。本文提出了網(wǎng)絡(luò)運(yùn)營者作為防守方開展應(yīng)急響應(yīng)的簡明流程及響應(yīng)步驟，為相關(guān)單位提供實(shí)踐參考。本文關(guān)鍵詞語：網(wǎng)絡(luò)安全關(guān)鍵信息基礎(chǔ)設(shè)施攻防演練伴隨著信息技術(shù)在社會發(fā)展中的重要性越來越高，網(wǎng)絡(luò)空間已經(jīng)成為大國博弈的新戰(zhàn)場。網(wǎng)絡(luò)安全攻防演練作為檢驗(yàn)關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全防護(hù)、提升網(wǎng)絡(luò)運(yùn)營者應(yīng)急響應(yīng)水平等關(guān)鍵工作的重要手段，以實(shí)戰(zhàn)和對抗的方式促進(jìn)提升網(wǎng)絡(luò)安全保障能力，具有重要意義。本文站在網(wǎng)絡(luò)運(yùn)營者視角，以參與組織的一次政府網(wǎng)站實(shí)戰(zhàn)攻防演練過程為例，簡述攻防演練中防守方如何開展工作，為相關(guān)單位提供組織應(yīng)對經(jīng)歷體驗(yàn)。2演練內(nèi)容某單位組織網(wǎng)絡(luò)安全專業(yè)技術(shù)人員組成若干攻擊隊(duì)伍，對管轄范圍內(nèi)二級機(jī)構(gòu)的官方網(wǎng)站及業(yè)務(wù)系統(tǒng)進(jìn)行持續(xù)5天的安全攻擊測試，驗(yàn)證目標(biāo)系統(tǒng)安全防護(hù)能力的有效性，每天固定時間在統(tǒng)一演練平臺提交防守方報(bào)告。筆者所在單位作為目標(biāo)網(wǎng)站及業(yè)務(wù)系統(tǒng)運(yùn)營單位，需確保目標(biāo)信息系統(tǒng)的實(shí)體安全、運(yùn)行安全和數(shù)據(jù)安全，最大限度地減輕網(wǎng)絡(luò)安全突發(fā)事件的危害。3組織架構(gòu)成立防守指揮部，由網(wǎng)絡(luò)安全主管領(lǐng)導(dǎo)擔(dān)任總指揮，成員由網(wǎng)絡(luò)安全及業(yè)務(wù)系統(tǒng)運(yùn)營部門領(lǐng)導(dǎo)組成。指揮部下設(shè)防守工作組、監(jiān)控分析組、研判處置組，總計(jì)20人。3.1防守指揮部統(tǒng)籌整體演練防守工作，負(fù)責(zé)信息系統(tǒng)攻擊防御演練的指揮、組織協(xié)調(diào)和過程控制；下達(dá)系統(tǒng)停運(yùn)、恢復(fù)關(guān)鍵操作以及對外信息報(bào)送授權(quán)指令；報(bào)告演練進(jìn)展情況和總結(jié)報(bào)告，確保演練工作達(dá)到預(yù)期目的。3.2防守工作組負(fù)責(zé)信息系統(tǒng)突發(fā)事件演練的具體工作；搭建維護(hù)演練集中監(jiān)控及處置環(huán)境；分析和評估信息系統(tǒng)突發(fā)事件對業(yè)務(wù)影響情況；收集分析信息系統(tǒng)突發(fā)事件處置過程中的數(shù)據(jù)信息和記錄；向指揮部報(bào)告演練進(jìn)展情況和事態(tài)發(fā)展情況；負(fù)責(zé)牽頭開展每日的安全事件總結(jié)和分析工作；統(tǒng)計(jì)、篩選、提交防守方報(bào)告。3.3監(jiān)控分析組負(fù)責(zé)攻防演練期間業(yè)務(wù)系統(tǒng)訪問監(jiān)控及網(wǎng)絡(luò)安全態(tài)勢監(jiān)控，發(fā)現(xiàn)并識別網(wǎng)絡(luò)攻擊，做好監(jiān)控過程的記錄工作，并向研判處置組發(fā)出攻擊預(yù)警；及時修補(bǔ)業(yè)務(wù)系統(tǒng)存在的漏洞，開展業(yè)務(wù)系統(tǒng)關(guān)停及恢復(fù)工作。3.4研判處置組演練備戰(zhàn)階段，負(fù)責(zé)對發(fā)現(xiàn)的網(wǎng)絡(luò)安全隱患進(jìn)行整改，落實(shí)各項(xiàng)安全防護(hù)措施。演練實(shí)戰(zhàn)階段，對網(wǎng)絡(luò)攻擊流量進(jìn)行清洗，確保業(yè)務(wù)系統(tǒng)可用性；根據(jù)需要機(jī)動、靈活調(diào)配技術(shù)資源，完成技術(shù)分析與研判、實(shí)時攻擊對抗、應(yīng)急響應(yīng)等工作。4演練實(shí)施按照過往演練經(jīng)歷體驗(yàn)，小規(guī)模的防守宜按照演練前、演練中、演練后三個階段開展相關(guān)工作。4.1攻防演練前攻防演練前建立完善的保障團(tuán)隊(duì)。從安全技術(shù)層面建立監(jiān)測預(yù)警體系，在安全制度層面建設(shè)通告預(yù)警與處置反饋機(jī)制。對本次保障范圍內(nèi)的信息系統(tǒng)進(jìn)行詳細(xì)的風(fēng)險(xiǎn)評估和安全加固，制定(網(wǎng)絡(luò)安全攻防演練實(shí)施方案〕，并對相關(guān)人員進(jìn)行信息安全意識宣貫。4.1.1資產(chǎn)梳理。開展信息化資產(chǎn)梳理，主要梳理內(nèi)容包括但不限于：梳理對外發(fā)布的互聯(lián)網(wǎng)應(yīng)用系統(tǒng)；梳理互聯(lián)網(wǎng)出口及出口所使用的設(shè)備和安全措施；梳理網(wǎng)絡(luò)結(jié)構(gòu)〔網(wǎng)絡(luò)拓?fù)洹常皇崂碇匾幕蛐枰攸c(diǎn)保護(hù)的信息系統(tǒng)、應(yīng)用系統(tǒng)各服務(wù)器之間的拓?fù)浣Y(jié)構(gòu)；梳理網(wǎng)絡(luò)安全設(shè)備及網(wǎng)絡(luò)防護(hù)情況；梳理SSLVPN和IPSecVPN接入情況。4.1.2風(fēng)險(xiǎn)評估。安全保障專家結(jié)合信息化資產(chǎn)梳理結(jié)果進(jìn)行安全風(fēng)險(xiǎn)評估。安全保障專家可使用調(diào)研問卷、人員訪談和安全技術(shù)〔滲透測試、漏洞掃描、基線核查等〕等方式，通過安全工具或人工方式從網(wǎng)絡(luò)安全風(fēng)險(xiǎn)、應(yīng)用安全風(fēng)險(xiǎn)、主機(jī)安全風(fēng)險(xiǎn)、終端安全風(fēng)險(xiǎn)和數(shù)據(jù)安全風(fēng)險(xiǎn)等維度進(jìn)行安全風(fēng)險(xiǎn)評估，各部分內(nèi)容可參考如下?！?〕網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估網(wǎng)絡(luò)架構(gòu)風(fēng)險(xiǎn)評估，利用人工和工具等方式從技術(shù)、策略和管理等角度更深層次挖掘出當(dāng)下網(wǎng)絡(luò)中存在的威脅和風(fēng)險(xiǎn)。安全漏洞和安全基線風(fēng)險(xiǎn)評估，利用掃描工具對網(wǎng)絡(luò)設(shè)備進(jìn)行掃描和全面檢查。弱口令風(fēng)險(xiǎn)評估，嚴(yán)格禁止所有賬號的弱口令、空口令情況。賬號、權(quán)限風(fēng)險(xiǎn)評估，檢查管理員賬號和權(quán)限，關(guān)閉不必要的賬號，取消不合理的賬號權(quán)限；保證密碼強(qiáng)度符合安全基線要求。遠(yuǎn)程登錄白名單風(fēng)險(xiǎn)評估，嚴(yán)格限制可以遠(yuǎn)程管理的IP地址，禁用Telnet進(jìn)行遠(yuǎn)程管理。配置備份風(fēng)險(xiǎn)評估，所有網(wǎng)絡(luò)設(shè)備全部要做好配置備份，確認(rèn)備份有效可以恢復(fù)?！?〕應(yīng)用安全風(fēng)險(xiǎn)評估身份鑒別風(fēng)險(xiǎn)評估，評估應(yīng)用系統(tǒng)的身份標(biāo)識與鑒別功能設(shè)置和使用配置情況，應(yīng)用系統(tǒng)對用戶登錄各種情況的處理，如登錄失敗、登錄連接超時等。訪問控制風(fēng)險(xiǎn)評估，評估應(yīng)用系統(tǒng)的訪問控制功能設(shè)置情況，如訪問控制的策略、權(quán)限設(shè)置情況等。安全審計(jì)風(fēng)險(xiǎn)評估，評估應(yīng)用系統(tǒng)的安全審計(jì)配置情況，如覆蓋范圍、記錄的項(xiàng)目和內(nèi)容等。資產(chǎn)暴露面風(fēng)險(xiǎn)評估，模擬黑客進(jìn)行信息收集，獲取資產(chǎn)詳細(xì)信息〔程序名稱、版本〕、開放的危險(xiǎn)端口、業(yè)務(wù)管理后臺等。應(yīng)用漏洞風(fēng)險(xiǎn)評估，包括Web服務(wù)，如Apache、WebSphere、Tomcat、IIS等，其他SSH、FTP等程序的缺失補(bǔ)丁或版本漏洞檢測。滲透測試，采用適當(dāng)測試手段，發(fā)現(xiàn)測試目標(biāo)在信息系統(tǒng)認(rèn)證及授權(quán)、代碼審查等方面存在的安全漏洞,并再現(xiàn)利用該漏洞可能造成的損失，提供避免或防范此類威脅、風(fēng)險(xiǎn)或漏洞的具體改進(jìn)或加固措施?！?〕主機(jī)安全風(fēng)險(xiǎn)評估WebShell風(fēng)險(xiǎn)評估，對提供Web服務(wù)的系統(tǒng)進(jìn)行WebShell后門排查，驗(yàn)證服務(wù)器的安全性，確保清除曾經(jīng)可能被入侵遺留下的后門。惡意文件風(fēng)險(xiǎn)評估，利用專業(yè)僵尸木馬蠕蟲檢測工具對操作系統(tǒng)進(jìn)行惡意文件排查，并針對惡意文件進(jìn)行行為分析，確認(rèn)病毒家族及其危害。弱口令風(fēng)險(xiǎn)評估，嚴(yán)格禁止所有賬號的弱口令、空口令情況。端口及服務(wù)風(fēng)險(xiǎn)評估，服務(wù)器只開放自身提供服務(wù)相關(guān)端口，關(guān)閉不必要的端口和對外服務(wù)。服務(wù)器防火墻風(fēng)險(xiǎn)評估，默認(rèn)禁止所有主動對外訪問行為，如有需要，需嚴(yán)格制定訪問控制策略，實(shí)行服務(wù)器對外訪問白名單。系統(tǒng)漏洞掃描風(fēng)險(xiǎn)評估，對操作系統(tǒng)、數(shù)據(jù)庫及常見應(yīng)用、協(xié)議進(jìn)行漏洞掃描。〔4〕終端安全風(fēng)險(xiǎn)評估安全基線風(fēng)險(xiǎn)評估，對終端的操作系統(tǒng)進(jìn)行安全配置基線檢查，保證終端設(shè)備安全。弱口令風(fēng)險(xiǎn)評估，嚴(yán)格禁止所有賬號的弱口令、空口令情況。防病毒軟件風(fēng)險(xiǎn)評估，檢查終端是否安裝防病毒軟件，安全策略是否開啟。非法外聯(lián)風(fēng)險(xiǎn)評估，檢查終端是否配置了雙網(wǎng)卡，是否開放或連接熱點(diǎn)。補(bǔ)丁更新風(fēng)險(xiǎn)評估，檢查補(bǔ)丁更新情況?！?〕數(shù)據(jù)安全風(fēng)險(xiǎn)評估安全基線風(fēng)險(xiǎn)評估，對數(shù)據(jù)庫的操作系統(tǒng)進(jìn)行安全配置基線檢查，保證數(shù)據(jù)庫系統(tǒng)安全。數(shù)據(jù)訪問控制風(fēng)險(xiǎn)評估，對數(shù)據(jù)的訪問、權(quán)限設(shè)置進(jìn)行評估。數(shù)據(jù)備份風(fēng)險(xiǎn)評估，檢查數(shù)據(jù)備份策略、災(zāi)備情況。4.1.3安全加固。通過評估與檢查的方式，分析信息化資產(chǎn)及重要信息系統(tǒng)的安全漏洞與風(fēng)險(xiǎn)，并有針對性地進(jìn)行安全加固。網(wǎng)絡(luò)設(shè)備、安全設(shè)備、安全系統(tǒng)等網(wǎng)絡(luò)層面安全問題由基礎(chǔ)網(wǎng)絡(luò)運(yùn)營部門負(fù)責(zé)加固；應(yīng)用系統(tǒng)存在的漏洞、代碼邏輯錯誤、管理員弱口令、中間件漏洞等主機(jī)和應(yīng)用層問題由各相關(guān)系統(tǒng)負(fù)責(zé)人進(jìn)行加固，由安全專家提供相關(guān)指導(dǎo)建議解決目標(biāo)系統(tǒng)在安全評估中發(fā)現(xiàn)的技術(shù)性安全問題，對系統(tǒng)安全配置進(jìn)行優(yōu)化，杜絕系統(tǒng)配置不當(dāng)而出現(xiàn)的弱點(diǎn)。4.1.4安全培訓(xùn)。為提升安全技術(shù)人員安全技術(shù)能力和非安全人員的信息安全意識，防守工作組定制培訓(xùn)課程內(nèi)容，使用相關(guān)教學(xué)資料和實(shí)戰(zhàn)案例等資料，幫助相關(guān)人員強(qiáng)化安全意識，強(qiáng)化信息安全攻防知識，以便更好地在演練過程中有效應(yīng)對網(wǎng)絡(luò)攻擊。培訓(xùn)主要內(nèi)容：針對安全技術(shù)人員、安全管理員進(jìn)行安全意識、安全常識、Web構(gòu)成、常見漏洞、熱點(diǎn)0Day事件、入侵流程、惡意軟件現(xiàn)象和防御方法培訓(xùn)；針對非安全技術(shù)人員從個人電腦安全、郵件安全、移動安全、日常工作生活等維度進(jìn)行強(qiáng)化安全意識培訓(xùn)。4.1.5模擬攻防。完成安全加固后，為檢驗(yàn)安全加固的成果、檢驗(yàn)安全防護(hù)體系的健壯性和有效性，需要組織模擬攻防演練進(jìn)行安全能力檢驗(yàn)?？裳埌踩灸M攻擊小組從外部對目標(biāo)單位信息化系統(tǒng)進(jìn)行攻擊演練，檢驗(yàn)演練目標(biāo)系統(tǒng)的防護(hù)能力，檢驗(yàn)演練防守團(tuán)隊(duì)的協(xié)作保障能力。攻擊小組使用的攻擊手段應(yīng)不影響目標(biāo)單位業(yè)務(wù)的正常開展，包括但不限于滲透測試、系統(tǒng)漏洞攻擊、釣魚攻擊/APT綜合攻擊、社會工程學(xué)攻擊等。4.1.6環(huán)境準(zhǔn)備。在合適的場所搭建演練集中監(jiān)控及處置環(huán)境所需電力、網(wǎng)絡(luò)設(shè)備，根據(jù)工作任務(wù)分配接入網(wǎng)絡(luò)，保障攻防演練期間設(shè)備正常運(yùn)行。4.2攻防演練中防守工作組指導(dǎo)監(jiān)控分析組及研判處置組在攻防演練過程中最大力度防御來自任何攻擊方的網(wǎng)絡(luò)攻擊，實(shí)時監(jiān)測目標(biāo)系統(tǒng)的攻擊情況；發(fā)生網(wǎng)絡(luò)安全事件立刻通知到防守指揮部，實(shí)時掌握演練情況，做好安全事件的分析研判，形成分析和處置報(bào)告上報(bào)。4.2.17×24小時監(jiān)測預(yù)警。監(jiān)控分析組通過業(yè)務(wù)系統(tǒng)訪問日志及網(wǎng)站安全監(jiān)測、網(wǎng)絡(luò)安全管理中心、網(wǎng)絡(luò)安全態(tài)勢感悟等通報(bào)預(yù)警平臺，實(shí)現(xiàn)網(wǎng)站安全的集中監(jiān)測。指派云端專人對被監(jiān)測網(wǎng)站安全事件進(jìn)行實(shí)時研判與驗(yàn)證，當(dāng)出現(xiàn)安全事件時立刻上報(bào)現(xiàn)場研判處置組。所有監(jiān)控任務(wù)分配到人，所監(jiān)測到的安全事件必須留存事件記錄，做好系統(tǒng)備份工作和故障詳細(xì)記錄并進(jìn)行初步診斷。4.2.2技術(shù)分析。攻防演練期間，網(wǎng)絡(luò)攻擊的數(shù)量呈指數(shù)級增長。而傳統(tǒng)的基于黑白名單、簽名和規(guī)則的安全威脅發(fā)現(xiàn)手段，已經(jīng)不能應(yīng)對演練期間不斷升級且有針對性的網(wǎng)絡(luò)威脅。因此，當(dāng)互聯(lián)網(wǎng)安全監(jiān)測平臺和安全態(tài)勢感悟監(jiān)測到安全事件時，監(jiān)控分析組必須立刻進(jìn)行安全事件分析，定位問題并溯源。確定非誤報(bào)后，將詳細(xì)攻擊路徑、攻擊IP等情況反饋研判處置組及防守工作組以便上報(bào)。結(jié)合故障描繪敘述和診斷，定位安全問題后，根據(jù)情況配合輸出解決思路，反饋研判處置組。無法定位分析的問題，直接反饋給防守工作組。4.2.3專家研判與實(shí)時攻擊對抗。攻防演練期間最大的安全風(fēng)險(xiǎn)來自于攻擊方攻擊，十分是有針對性、持續(xù)性的攻擊。及早發(fā)現(xiàn)并遏制有針對性、持續(xù)性的攻擊是規(guī)避外部風(fēng)險(xiǎn)的有效手段。演練期間也是非法黑客組織的活潑踴躍期。黑客組織可能偽裝成攻擊隊(duì)對防守單位進(jìn)行攻擊，監(jiān)控分析組與研判處置組需實(shí)時研判安全事件，根據(jù)事件特征，在入侵防御系統(tǒng)、Web應(yīng)用防火墻等安全設(shè)備中添加相應(yīng)防護(hù)策略，對非法攻擊事件分類進(jìn)行實(shí)時攻擊對抗。4.2.4應(yīng)急響應(yīng)與業(yè)務(wù)恢復(fù)。應(yīng)急響應(yīng)快速處置成功的關(guān)鍵是根據(jù)預(yù)設(shè)流程有條不紊地解決已經(jīng)發(fā)生的安全事件，以保證最大限度地減少安全事件造成的損害，降低應(yīng)急處置中的風(fēng)險(xiǎn)。研判處置組當(dāng)接到監(jiān)控分析組的預(yù)警報(bào)告后，直接定位的問題〔可用性等〕可直接處置，處置前做好數(shù)據(jù)備份和處置方法論證。無法直接定位的問題，與監(jiān)控分析組進(jìn)行詳細(xì)分析，得出詳細(xì)分析結(jié)果后，制定出相應(yīng)解決方案，處置前做好數(shù)據(jù)備份和處置方法論證；存在風(fēng)險(xiǎn)的處置，必須上報(bào)防守工作組，統(tǒng)一論證后進(jìn)行。4.3攻防演練后防守單位對整個演練防守工作進(jìn)行總結(jié)，針對演練期間暴露出的安全問題，分別在技術(shù)和制度層面制訂有效且具有前瞻性的信息安全建設(shè)規(guī)劃。4.3.1輸出成果文檔。根據(jù)攻防演練防守情況，及時輸出防守報(bào)告、應(yīng)急處置記錄、安全漏洞跟蹤等成果文檔。4.3.2工作總結(jié)。演練結(jié)束后對安全保障效果和成果、工作存在的問題和改進(jìn)計(jì)劃、業(yè)務(wù)和系統(tǒng)遺留風(fēng)險(xiǎn)及持續(xù)控制計(jì)劃等工作進(jìn)行總結(jié)，為后期安全建設(shè)工作總結(jié)最佳實(shí)踐。4.3.3安全規(guī)劃建議。根據(jù)攻防演練的最佳實(shí)踐、國家的相關(guān)法律法規(guī)要求和行業(yè)發(fā)展態(tài)勢，制訂科學(xué)、有效的信息安全建設(shè)規(guī)劃，建立安全風(fēng)險(xiǎn)評估行業(yè)安全監(jiān)測預(yù)警體系。5結(jié)束語本次演練僅在正式開始2天前發(fā)布通知，對防守組織來講是一次考驗(yàn)，最終能有條不紊地完成防守任務(wù)，與經(jīng)常性地開展推演有著密切聯(lián)系。因?yàn)闀r間有限，并