網絡安全攻防演練在實際應用中的探索

◆趙大鵬

（長春市人事統計信息中心高級工程師 吉林 130000）

1 演練背景

面對日益嚴峻的網絡安全形勢，我國各級政府部門和單位必須積極應對、主動作為，確保網絡運行環境的整體安全。為檢驗和提高系統監測發現、安全防護、應急處置能力，促進網絡安全積極防御體系建設，組織開展網絡攻防演練活動。本文以2019長春市“人社系統”網絡安全攻防實戰演練為實際案例，探討網絡安全攻防演練部署在實際應用中的現實意義。

2 演練組織結構部署及演練規模、形式

網絡安全攻防演練組織實施過程中應預先約定參演范圍，明確目標系統，建立指揮保障體系，確保演習過程可追可控。

2.1 建立指揮保障體系

2019年長春市“人社系統”網絡安全攻防實戰演練為保證演練順利進行，組建了演練指揮中心，負責演練的部署、調度和全程保障，制定詳細的攻防演練方案，以確保演練過程安全可控，取得預期效果。

指揮中心下設監測預警組、分析評判組、保障組等多個部門，負責追蹤演練過程中攻防進展情況，收集分析各項數據信息并做好應急支撐保障，從而保證演練中各參演系統的安全運行。

2.2 明確演練時間與演練形式

在演練開始前明確演練的開始時間、結束時間、參演系統范圍并通知攻、防雙方。2019長春市“人社系統”網絡安全攻防實戰演練共設一個“攻擊組”和四個“防守組”，“攻擊組”成員均為業內安全領域專業技術人員。“防守組”成員分別來自參演系統所屬單位的工作人員和系統運維公司技術人員。參演業務系統均為長春市“人社系統”內正在使用的業務系統。在預演前制定了詳細的攻防演練方案，建立了相應的保護規則，以免造成重大的網絡安全事故。

2.3 攻防規則及安全防護措施

攻擊方不得使用拒絕服務類和溢出類攻擊，攻擊方法包括但不限于WEB類攻擊、系統類漏洞利用、代碼審計、逆向攻擊、網絡設備及安全設備漏洞利用等，不限制攻擊路徑。

防守方的工作重點在加固和建立防御策略，并可根據網絡安全應急預案進行應急處理。

2.4 演練總結

演練結束后各參演系統所屬單位編制演練總結報告，內容包括：準備階段開展的工作；演練階段攻擊過程中發現目標系統的問題，防守過程中發現的系統問題，問題整改情況等。

指揮中心利用攻防演練平臺，統計攻擊方的攻擊行為、攻擊手段、攻擊次數等，統計防守方發現、檢測和攔截的攻擊數量；對演練情況進行專業判別；編制攻防演練總結報告，召開攻防演練總結大會，總結經驗教訓。

3 攻防演練所涉及的網絡安全技術

攻擊演練的目的是模擬黑客可能使用的攻擊技術和漏洞發現技術，對目標系統的安全做深入的探測，發現系統最脆弱的環節，能夠讓管理人員直觀了解信息系統漏洞被利用過程和導致的后果。

3.1 網絡攻擊工具選擇

2019長春市“人社系統”網絡安全攻防實戰演練過程中“攻擊組”所使用的工具主要包括可以對網站等Web應用進行自動化的應用安全掃描和測試的Appscan、網絡漏洞掃描工具AWVS、迪普漏掃設備Scanner 1000、SQL注入工具sqlmap、網絡工具中有"瑞士軍刀"美譽的NetCat、curl模擬登錄和“攻擊組”自主編寫的腳本等。

3.2 攻擊滲透手段

本次攻防演練建立在真實的系統環境下，攻防隊伍實施“背靠背”的演練，通過攻防對抗，考驗防守方的安全防護能力以及對安全事件的監測發現能力和應急處置能力。“攻擊組”模擬各種真實環境的攻擊手段對本次參演系統進行全方面的攻擊測試，為增加防守難度，本次演練過程中特意安排了未告知“防守組”情況下的遠程攻擊測試及休息日無人值守情況下的系統攻擊測試，力求在最大限度內模擬真實環境檢驗參演系統的網絡安全狀況。

所使用的攻擊手段包括：

（1）對參演系統利用端口掃描工具收集系統開放的端口信息。（2）針對參演系統所開放端口信息進行嘗試性攻擊測試。

（3）對參演系統所使用的操作系統、web服務器、中間件、數據庫等可能存在的中、高危漏洞進行掃描測試，并對可能存在的漏洞進行嘗試性攻擊。

（4）針對服務器常用部署進行“猜解攻擊”，包括服務器存在的默認配置、默認登錄賬戶、弱口令等現象。

（5）利用目標系統的反射型、存儲型“跨站”腳本漏洞構造Script腳本，在目標網站頁面構造不良提示信息，嚴重的可獲得后臺管理員權限對網站進行管理。

（6）利用暴露在公共區域的自助設備、網絡接口等進行內網侵入攻擊測試。通過獲取內部IP訪問規則，取得內網訪問權限。

（7）運用社會工程學手段，利用用戶的信任、貪財、獵奇等人性弱點，進行諸如發送釣魚郵件、釣魚短信等辦法套取相關敏感信息，從而進行社工入侵。

（8）利用監控、門禁、機頂盒等大批量部署的物聯網設備進行入侵。由于批量部署的設備極容易存在默認口令、弱口令等問題，通過對單點設備的入侵，獲取對整個網絡系統的管理權限。

3.3 防御加固措施

面對復雜的網絡安全形勢，我們要做好重點防護，建立完整的防御體系，完善安全機制。

（1）加強網絡邊界管理，通過部署IPS、WAF、FW等安全設備增強外網檢測保護能力。再通過部署“堡壘機”、“誘餌機”等方式對異常流量進行監測和引流。

（2）關閉非必要服務端口，盡量降低外網訪問風險。尤其注意系統默認開放的諸如21、139、445、3389等高危服務端口，如有必要開放所屬服務建議修改為其他端口。

（3）對網絡內所有服務器的操作系統、中間件、數據庫等及時更新漏洞補丁，修改默認設置，強化系統防御能力。

（4）徹底清理系統內存在的弱口令、默認賬號密碼等問題。要求使用復雜密碼格式，建議要包含數字、大小寫字母和特殊符號四類字符，長度不小于8位。

（5）將部署在公共服務區域的自助終端機鎖死頁面權限，禁止直接訪問后臺系統。暴露在外的公共服務區網口進行及時處理，加入訪問限制，避免私接設備隨意進入內部網絡。

（6）加強系統“運維人員”的網絡安全知識培訓，針對最新的病毒及網絡攻擊手段不斷改進應對措施，切實保證整體網絡運行環境的安全。

（7）加強全員的社會工程學防范意識，對不明來源的信息做好審核驗證，不要輕信通過微信、QQ、郵件、飛書等網絡渠道傳遞的信息內容，嚴防個人敏感信息泄露。

（8）完善網絡安全制度，明確責任主體。對重點防護設施要做到責任到人，簽訂網絡安全責任承諾書。

4 網絡攻防實戰演練的現實意義

通過演練提高了“運維人員”的網絡安全意識，讓以前一直忽視的諸多網絡安全問題得到了一次系統性的檢測，基本理清了整個網絡的安全運行狀況，對未來的網絡安全建設指明了方向，提供了切實可靠的重要依據。

網絡安全建設具有持續性、發展性、相對性、突變性等特點，隨著一些新型的病毒、系統漏洞、攻擊手段、甚至是硬件漏洞的不斷披露，網絡安全形勢會不斷地發生變化。今天我們在現有條件下可能是相對安全的，明天可能隨著一個高危漏洞或病毒的發布，我們以前辛苦搭建的網絡安全體系就面臨著全面崩潰，需要馬上調整安全策略，重新構筑更為安全的防御體系。比如2017年影響最惡劣的“永恒之藍”漏洞攻擊工具、2018年微軟的芯片漏洞等等，每一個新的高危漏洞被發現，我們的網絡安全措施都將進行全面的修正。

所以我們的網絡安全建設任重而道遠，需要全員建立良好的網絡安全意識，常抓不懈。由于網絡安全建設具有很強的木桶效應，網絡中的任何一個節點存在安全風險就會導致整個網絡的安全建設毀于一旦。所以整個建設過程中人人都是參與者，到處都是關鍵點，不存在一勞永逸的建設方案。這就要求我們必須真抓實干，建立完備的網絡應急響應預案，隨時準備應對突發的網絡安全事件。