網絡安全攻防演練的部署與方案設計

劉陽

摘 要：開展網絡安全攻防實戰演練，針對面向互聯網的業務系統，模擬黑客入侵和攻擊，發現安全漏洞和隱患，有效識別、分析和控制信息系統安全風險，將有效提升運維人員安全意識和安全突發事件處置能力，提升信息系統安全保障能力 。論文結合面向新聞信息系統開展安全攻防演練的工作實踐，對攻防實戰演練的部署與方案設計進行分析與探討。

關鍵詞：信息安全； 攻防演練； 部署； 項目設計

中圖分類號： TP393.08 文獻標識碼：B

1 引言

安全攻防實戰演練是維護網絡與信息系統安全的重要手段，是有效提升網絡安全事件應急響應和處置能力的基礎。作為新聞媒體行業，隨著新媒體事業的發展，新聞信息載體、傳播渠道快速更新，移動應用、社交媒體日益成為信息傳播重要陣地。在應用新技術新手段，為用戶提供更加豐富的新聞產品，擴大社會影響力的同時，對有效保障新聞報道業務安全，保障網絡與信息系統安全提出更高要求。

開展網絡安全攻防實戰演練，針對面向互聯網的業務系統，模擬黑客入侵和攻擊，發現安全漏洞和隱患，有效識別、分析和控制信息系統安全風險。促進統一指揮、協調有序的安全應急管理機制的落實，完善安全事件防范與處置流程，提升運維人員安全意識和安全突發事件處置能力。

2 安全攻防演練的部署

安全攻防演練是在真實的網絡環境中進行攻擊、防御，發現并解決存在的安全問題，為提升網絡與信息安全保障能力積累經驗。攻防演練既要做到對業務系統具有破壞性，又不影響整體信息系統的正常使用；既有危害性，又具有可控性。為了達到攻防演練力求實效、管控有序，造成的風險降到最低，需要對實戰演練進行認真部署。

（1）建立攻防演練組織指揮中心，負責演練的統一部署、組織協調和過程控制，確保演練工作安全推進，達到預期目標。成立演練工作組，負責制定演練總體方案、評估演練對業務系統的影響情況；負責攻防實戰演練的實施，收集分析演練中的各項數據信息；負責指揮中心報告演練攻防進展情況，做好應急支持保障，保障演練中各系統的安全運行。

（2）制定完善的網絡安全攻防演練方案，充分考慮可能發生的情況，做好相應的應急處理措施。參加演練的人員分為攻擊方和防守方。演練過程中，指揮中心人員可視情況暫時中斷演練進程。

（3）明確演練開始、結束時間，通知攻、防雙方。演練前，防守方進行安全檢查加固，做好防守準備。演練開始，攻擊方進行安全測試，利用檢測到的系統漏洞進行有效攻擊，對網絡設施、服務器、應用系統等方面展開進攻。

（4）演練結束，攻方停止攻擊。相關業務進行系統功能測試，確保經過演練，各系統使用正常。攻防雙方詳細記錄演練過程數據，檢測出的安全漏洞及隱患，向指揮人員介紹對戰過程，展示各項數據信息，提交攻防演練總結報告。

（5）攻擊方以人工滲透測試為主，輔助以攻擊工具的使用，發現目標網絡和系統存在的安全弱點實施入侵。滲透測試過程中可能涉及Metasploit Framework 緩沖區溢出測試使用的輔助工具、Acunetix Web Vulnerability Scanner網絡漏洞掃描工具、Shadow Security Scanner安全漏洞掃描軟件、ISS漏洞掃描器、Nmap端口掃描工具、Firewalk高級路由跟蹤工具、Fragroute/Fragrouter網絡入侵檢測逃避工具集等測試工具，以及Whois、Nslookup、Traceroute等命令。

3 安全攻防實戰演練項目設計

隨著新媒體與傳統媒體的快速融合發展，面向互聯網的新媒體信息系統數量越來越多，帶給人們豐富快捷、多元交互的新聞信息。由于新聞媒體具有廣泛的社會影響力，如果信息系統受到惡意攻擊，出現網頁被篡改、信息被竊取或泄露、系統服務中斷等安全事件，其惡性程度更深，影響更直接。

通過對我們開展的新聞信息系統安全風險評估，以及網絡安全事件處置情況進行分析，可以總結出業務系統的脆弱性是安全風險的主要來源。系統脆弱性主要包括SQL注入、弱口令、敏感信息泄露、用戶密碼認證、越權操作等，這些漏洞被利用對信息系統安全構成威脅。

針對系統存在的脆弱性，對安全攻防演練項目進行了詳細設計。演練中攻擊方利用漏洞掃描、暴力破解、滲透測試等手段，對存在配置錯誤、緩存溢出、拒絕服務、弱口令等漏洞的系統實施攻擊，以便獲取系統權限，破壞系統及網絡正常運行，竊取系統敏感信息。防守方加強安全防護，加固系統、修補漏洞，完善安全事件處置流程，提高應急處置能力。

3.1 模擬黑客從互聯網滲透測試

模擬黑客對面向互聯網的業務系統進行滲透攻擊，挖掘系統存在的漏洞，尋找可以進一步控制目標的安全漏洞。演練過程中嘗試完成幾項操作。

（1）對系統進行端口掃描，收集開放的端口。

（2）針對開放端口對應的應用服務進行針對性攻擊嘗試。

（3）如發現Web網站后臺登錄具有SQL注入漏洞，查看數據庫使用版本。使用SQL注入工具寫入腳本木馬。

（4）連接WebShell木馬控制服務器，嘗試修改網頁內容或添加黑頁。

3.2 批量掃描服務端口破解弱口令

使用黑客工具對各業務進行批量服務端口掃描，收集整理高危端口和弱口令，并在測試同時觀察這些攻擊動作的流量在安全管理中心是否有體現。

（1）使用端口掃描工具批量掃描常用端口。

（2）暴力破解開放21端口的主機，并嘗試登陸服務器。

（3）暴力破解開放3389遠程桌面的主機，并嘗試登錄服務器。

（4）在安全管理平臺檢查是否有相關掃描和破解的流量。

3.3 模擬黑客從互聯網對某一系統進行CC攻擊

使用多臺計算機對系統進行大規模掃描，同時觀察這些攻擊動作的流量在安全管理中心是否能及時捕獲，并做出應急處置。

（1）選定目標為某一系統，使用CC攻擊方式對該系統進行測試。

（2）使用代理服務器或者受控機向該系統發大量數據包，使服務器資源耗盡。

（3）進行攻擊的同時在安全管理平臺檢查是否有相關的攻擊流量。

4 安全攻防實戰演練發現的問題與整改

演練結束，指揮中心需要組織對網絡攻防演練進行全面總結，公布問題、分析原因、加強整改。業務系統要增強用戶密碼復雜度限制，加強用戶登錄驗證碼功能，防止持續賬號密碼破解，利用抓包工具進行抓包，爆破出用戶口令。嚴格審查業務系統申請開放的網絡端口，防止被攻擊者利用，成為入侵主機的通道。進一步開展信息系統安全風險評估和滲透測試，消除系統存在安全漏洞，防止攻擊者利用這些漏洞，獲取敏感信息，控制服務器，造成數據泄露、網頁被篡改等危害。加強安全設備和網管平臺的監控，當攻擊者利用受控機對互聯網業務系統進行TCP多連接攻擊，造成系統無法訪問時，確保網絡安全管理中心及時監測到攻擊行為，確定被攻擊的IP地址，系統管理人員啟動應急響應預案，有效處置。

5 安全攻防實戰演練的意義

通過安全攻防實戰演練能夠發現系統安全運維中存在的安全意識、技術措施和應急協調等方面的不足，樹立互聯網安全防護一盤棋的意識，促進網絡安全與應用安全的融合、促進網絡安全運維部門與應用系統運維部門的合作，逐步制定和完善從演練策劃、組織實施、評價總結、案例分析和持續優化的一整套網絡安全攻防演練體系。增強應急響應意識，進一步完善安全事件應急處置預案，提升安全事件應急處置能力，以達到快速響應、準確定位、及時恢復的高效處置目標，有效提升新聞信息系統安全保障能力。

參考文獻

[1] 濟南時代確信信息安全測評有限公司.滲透測試技術[J].2011-10.

[2] 宋莉雅.信息安全實戰演練方案設計分析[J].企業導報， 2012-01-28.