网络安全实战攻防演练防守方浅析

摘要：利用网络安全漏洞进行有组织、有目的的网络攻击形势愈加明显，一方面留给应急响应的时间窗口越来越小，另一方面应急响应所需的威胁知识、专业技能、熟练程度等却不断增加。本文提出了网络运营者作为防守方开展应急响应的简明流程及响应步骤，为相关单位提供实践参考。

关键词：网络安全关键信息基础设施攻防演练

1引言

伴随着信息技术在社会发展中的重要性越来越高，网络空间已经成为大国博弈的新战场。网络安全攻防演练作为检验关键信息基础设施的网络安全防护、提升网络运营者应急响应水平等关键工作的重要手段，以实战和对抗的方式促进提升网络安全保障能力，具有重要意义。本文站在网络运营者视角，以参与组织的一次政府网站实战攻防演练过程为例，简述攻防演练中防守方如何开展工作，为相关单位提供组织应对经验。

2演练内容

某单位组织网络安全专业技术人员组成若干攻击队伍，对管辖范围内二级机构的官方网站及业务系统进行持续5天的安全攻击测试，验证目标系统安全防护能力的有效性，每天固定时间在统一演练平台提交防守方报告。笔者所在单位作为目标网站及业务系统运营单位，需确保目标信息系统的实体安全、运行安全和数据安全，最大限度地减轻网络安全突发事件的危害。

3组织架构

成立防守指挥部，由网络安全主管领导担任总指挥，成员由网络安全及业务系统运营部门领导组成。指挥部下设防守工作组、监控分析组、研判处置组，总计20人。

3.1防守指挥部

统筹整体演练防守工作，负责信息系统攻击防御演练的指挥、组织协调和过程控制；下达系统停运、恢复关键操作以及对外信息报送授权指令；报告演练进展情况和总结报告，确保演练工作达到预期目的。

3.2防守工作组

负责信息系统突发事件演练的具体工作；搭建维护演练集中监控及处置环境；分析和评估信息系统突发事件对业务影响情况；收集分析信息系统突发事件处置过程中的数据信息和记录；向指挥部报告演练进展情况和事态发展情况；负责牵头开展每日的安全事件总结和分析工作；统计、筛选、提交防守方报告。

3.3监控分析组

负责攻防演练期间业务系统访问监控及网络安全态势监控，发现并识别网络攻击，做好监控过程的记录工作，并向研判处置组发出攻击预警；及时修补业务系统存在的漏洞，开展业务系统关停及恢复工作。

3.4研判处置组

演练备战阶段，负责对发现的网络安全隐患进行整改，落实各项安全防护措施。演练实战阶段，对网络攻击流量进行清洗，确保业务系统可用性；根据需要机动、灵活调配技术资源，完成技术分析与研判、实时攻击对抗、应急响应等工作。

4演练实施

按照过往演练经验，小规模的防守宜按照演练前、演练中、演练后三个阶段开展相关工作。

4.1攻防演练前

攻防演练前建立完善的保障团队。从安全技术层面建立监测预警体系，在安全制度层面建设通告预警与处置反馈机制。对本次保障范围内的信息系统进行详细的风险评估和安全加固，制定《网络安全攻防演练实施方案》，并对相关人员进行信息安全意识宣贯。4.1.1资产梳理。开展信息化资产梳理，主要梳理内容包括但不限于：梳理对外的互联网应用系统；梳理互联网出口及出口所使用的设备和安全措施；梳理网络结构（网络拓扑）；梳理重要的或需要重点保护的信息系统、应用系统各服务器之间的拓扑结构；梳理网络安全设备及网络防护情况；梳理SSLVPN和IPSecVPN接入情况。4.1.2风险评估。安全保障专家结合信息化资产梳理结果进行安全风险评估。安全保障专家可使用调研问卷、人员访谈和安全技术（渗透测试、漏洞扫描、基线核查等）等方式，通过安全工具或人工方式从网络安全风险、应用安全风险、主机安全风险、终端安全风险和数据安全风险等维度进行安全风险评估，各部分内容可参考如下。（1）网络安全风险评估网络架构风险评估，利用人工和工具等方式从技术、策略和管理等角度更深层次挖掘出当前网络中存在的威胁和风险。安全漏洞和安全基线风险评估，利用扫描工具对网络设备进行扫描和全面检查。弱口令风险评估，严格禁止所有账号的弱口令、空口令情况。账号、权限风险评估，检查管理员账号和权限，关闭不必要的账号，取消不合理的账号权限；保证密码强度符合安全基线要求。远程登录白名单风险评估，严格限制可以远程管理的IP地址，禁用Telnet进行远程管理。配置备份风险评估，所有网络设备全部要做好配置备份，确认备份有效可以恢复。（2）应用安全风险评估身份鉴别风险评估，评估应用系统的身份标识与鉴别功能设置和使用配置情况，应用系统对用户登录各种情况的处理，如登录失败、登录连接超时等。访问控制风险评估，评估应用系统的访问控制功能设置情况，如访问控制的策略、权限设置情况等。安全审计风险评估，评估应用系统的安全审计配置情况，如覆盖范围、记录的项目和内容等。资产暴露面风险评估，模拟黑客进行信息收集，获取资产详细信息（程序名称、版本）、开放的危险端口、业务管理后台等。应用漏洞风险评估，包括Web服务，如Apache、WebSphere、Tomcat、IIS等，其他SSH、FTP等程序的缺失补丁或版本漏洞检测。渗透测试，采用适当测试手段，发现测试目标在信息系统认证及授权、代码审查等方面存在的安全漏洞,并再现利用该漏洞可能造成的损失，提供避免或防范此类威胁、风险或漏洞的具体改进或加固措施。（3）主机安全风险评估WebShell风险评估，对提供Web服务的系统进行WebShell后门排查，验证服务器的安全性，确保清除曾经可能被入侵遗留下的后门。恶意文件风险评估，利用专业僵尸木马蠕虫检测工具对操作系统进行恶意文件排查，并针对恶意文件进行行为分析，确认病毒家族及其危害。弱口令风险评估，严格禁止所有账号的弱口令、空口令情况。端口及服务风险评估，服务器只开放自身提供服务相关端口，关闭不必要的端口和对外服务。服务器防火墙风险评估，默认禁止所有主动对外访问行为，如有需要，需严格制定访问控制策略，实行服务器对外访问白名单。系统漏洞扫描风险评估，对操作系统、数据库及常见应用、协议进行漏洞扫描。（4）终端安全风险评估安全基线风险评估，对终端的操作系统进行安全配置基线检查，保证终端设备安全。弱口令风险评估，严格禁止所有账号的弱口令、空口令情况。防病毒软件风险评估，检查终端是否安装防病毒软件，安全策略是否开启。非法外联风险评估，检查终端是否配置了双网卡，是否开放或连接热点。补丁更新风险评估，检查补丁更新情况。（5）数据安全风险评估安全基线风险评估，对数据库的操作系统进行安全配置基线检查，保证数据库系统安全。数据访问控制风险评估，对数据的访问、权限设置进行评估。数据备份风险评估，检查数据备份策略、灾备情况。4.1.3安全加固。通过评估与检查的方式，分析信息化资产及重要信息系统的安全漏洞与风险，并有针对性地进行安全加固。网络设备、安全设备、安全系统等网络层面安全问题由基础网络运营部门负责加固；应用系统存在的漏洞、代码逻辑错误、管理员弱口令、中间件漏洞等主机和应用层问题由各相关系统负责人进行加固，由安全专家提供相关指导建议解决目标系统在安全评估中发现的技术性安全问题，对系统安全配置进行优化，杜绝系统配置不当而出现的弱点。4.1.4安全培训。为提升安全技术人员安全技术能力和非安全人员的信息安全意识，防守工作组定制培训课程内容，使用相关教材和实战案例等资料，帮助相关人员强化安全意识，强化信息安全攻防知识，以便更好地在演练过程中有效应对网络攻击。培训主要内容：针对安全技术人员、安全管理员进行安全意识、安全常识、Web构成、常见漏洞、热点0Day事件、入侵流程、恶意软件现象和防御方法培训；针对非安全技术人员从个人电脑安全、邮件安全、移动安全、日常工作生活等维度进行强化安全意识培训。4.1.5模拟攻防。完成安全加固后，为检验安全加固的成果、检验安全防护体系的健壮性和有效性，需要组织模拟攻防演练进行安全能力检验。可邀请安全公司模拟攻击小组从外部对目标单位信息化系统进行攻击演练，检验演练目标系统的防护能力，检验演练防守团队的协作保障能力。攻击小组使用的攻击手段应不影响目标单位业务的正常开展，包括但不限于渗透测试、系统漏洞攻击、钓鱼攻击/APT综合攻击、社会工程学攻击等。4.1.6环境准备。在合适的场所搭建演练集中监控及处置环境所需电力、网络设备，根据工作任务分配接入网络，保障攻防演练期间设备正常运行。

4.2攻防演练中

防守工作组指导监控分析组及研判处置组在攻防演练过程中最大力度防御来自任何攻击方的网络攻击，实时监测目标系统的攻击情况；发生网络安全事件立刻通知到防守指挥部，实时掌握演练情况，做好安全事件的分析研判，形成分析和处置报告上报。4.2.17×24小时监测预警。监控分析组通过业务系统访问日志及网站安全监测、网络安全管理中心、网络安全态势感知等通报预警平台，实现网站安全的集中监测。指派云端专人对被监测网站安全事件进行实时研判与验证，当出现安全事件时立刻上报现场研判处置组。所有监控任务分配到人，所监测到的安全事件必须留存事件记录，做好系统备份工作和故障详细记录并进行初步诊断。4.2.2技术分析。攻防演练期间，网络攻击的数量呈指数级增长。而传统的基于黑白名单、签名和规则的安全威胁发现手段，已经不能应对演练期间不断升级且有针对性的网络威胁。因此，当互联网安全监测平台和安全态势感知监测到安全事件时，监控分析组必须立刻进行安全事件分析，定位问题并溯源。确定非误报后，将详细攻击路径、攻击IP等情况反馈研判处置组及防守工作组以便上报。结合故障描述和诊断，定位安全问题后，根据情况配合输出解决思路，反馈研判处置组。无法定位分析的问题，直接反馈给防守工作组。4.2.3专家研判与实时攻击对抗。攻防演练期间最大的安全风险来自于攻击方攻击，特别是有针对性、持续性的攻击。及早发现并遏制有针对性、持续性的攻击是规避外部风险的有效手段。演练期间也是非法黑客组织的活跃期。黑客组织可能伪装成攻击队对防守单位进行攻击，监控分析组与研判处置组需实时研判安全事件，根据事件特征，在入侵防御系统、Web应用防火墙等安全设备中添加相应防护策略，对非法攻击事件分类进行实时攻击对抗。4.2.4应急响应与业务恢复。应急响应快速处置成功的关键是根据预设流程有条不紊地解决已经发生的安全事件，以保证最大限度地减少安全事件造成的损害，降低应急处置中的风险。研判处置组当接到监控分析组的预警报告后，直接定位的问题（可用性等）可直接处置，处置前做好数据备份和处置方法论证。无法直接定位的问题，与监控分析组进行详细分析，得出详细分析结果后，制定出相应解决方案，处置前做好数据备份和处置方法论证；存在风险的处置，必须上报防守工作组，统一论证后进行。

4.3攻防演练后

防守单位对整个演练防守工作进行总结，针对演练期间暴露出的安全问题，分别在技术和制度层面制订有效且具有前瞻性的信息安全建设规划。4.3.1输出成果文档。根据攻防演练防守情况，及时输出防守报告、应急处置记录、安全漏洞跟踪等成果文档。4.3.2工作总结。演练结束后对安全保障效果和成果、工作存在的问题和改进计划、业务和系统遗留风险及持续控制计划等工作进行总结，为后期安全建设工作总结最佳实践。4.3.3安全规划建议。根据攻防演练的最佳实践、国家的相关法律法规要求和行业发展态势，制订科学、有效的信息安全建设规划，建立安全风险评估行业安全监测预警体系。5结语本次演练仅在正式开始2天前通知，对防守组织来讲是一次考验，最终能有条不紊地完成防守任务，与经常性地开展推演有着密切联系。因为时间有限，并未开展演练前的模拟攻防，在事后来看，由于未进行模拟，导致一部分涉及白名单的业务受到短暂影响。演练前的工作对应着网络运营者的日常主要工作，可以看到演练前的准备工作内容非常丰富，只有准备充分，在演练中（面对真实攻击时）才能做到游刃有余、轻松应对。同时要注意到，集中时间、力量的持续性攻防演练对各方压力都是巨大的，作为防守方组织者，既要关注网络安全防守监测处置的状态，也要注重高强度工作状态下技术人员的身体、精神状态。积极做好各方面后勤保障，把技术人员的状态调整并维持在一个较高水平，最终就能取得防守方的胜利。

作者:韩冰 单位:国家广播电视总局信息中心