以戰代訓促進網絡安全管理體系建設

文/史永飛、郭劍鋒，廈門軌道交通集團有限公司

在某次網絡安防攻防演練中，廈門軌道交通集團有限公司經過20多天的準備，最終在全省32家參演單位中得分排名第六。首次參加正式攻防演練，公司在短平快的倉促應戰過程中也收獲良多，發現了薄弱環節，驗證了應急機制，鍛煉了安全隊伍。

一、工作方案制定

廈門軌道集團領導高度重視本次攻防演習工作，董事長及網絡安全分管領導第一時間召開專題會，專題研究工作部署。接通知的第五天，經過多場技術討論和領導專題會后，公司成立了防守指揮部，制定了攻防演練專項工作方案，明確了工作目標、工作要求、戰時溝通聯絡機制、主要風險點、防護系統范圍以及備戰、臨戰、實戰各階段工作安排等。工作方案要求集團各成員單位一把手親自組織、親自過問、親自協調、親自督辦具體工作事項，按162項工作清單計劃分頭部署實施，將工作任務、工作要求層層落實到一線崗位。

二、備戰工作組織

上下一心，全員行動

只有做到了端到端的安全，網絡安全才能得以保障，做好網絡安全必須是全體總動員一致行動。在集團董事長親自主持網絡安全警示教育和攻防演練動員會議后，借領導重視的東風發起持續性的安全意識教育：通過多場次分層集中教育培訓，進行系統管理員層級技術培訓，終端使用人員操作規范培訓，對全員進行網絡安全態勢的普及教育、解釋網絡安全法的要義以及常見網絡安全錯誤行為的危害性；通過集團內部宣傳電子屏進行25天的網絡安全意識動畫滾動播放，發放網絡安全宣傳畫冊、網絡安全漫畫鼠標墊，在食堂、大廳擺放網絡安全宣傳易拉寶，將網絡安全宣傳通過各種渠道傳達到每個員工；在集團內部辦公網上發布網絡安全須知，在移動終端學習平臺上發布《網絡安全宣傳手冊》學習課程并進行網絡安全問卷調查填寫，利用信息化手段確保每個員工已閱讀相關通知內容。實戰階段的過程證明了前期的安全意識宣貫起到了效果。

知己知彼，百戰不殆

學習歷次護網的實際案例，我們發現弱口令、邊界安全防護不足、釣魚郵件、互聯網多余暴露面等是最主要的攻擊方突破口。按照指揮部的工作方案，首先必須明確信息資產情況，資產明確是一切安全工作的基礎。借助緊急部署的主機安全系統和流量監測分析系統，在資產探查過程中，我們發現系統中存在相當數量的弱口令和明文密碼傳輸情況。

在這次攻防演練開始之前，盡管集團歷經多次檢查、自查，但對于30多個系統、2000+資產及線路間的系統關系一直未有一個全貌認識，大家始終認為內網就是內網、外網就是外網，系統間的邊界、內外網的邊界是清晰的、隔離的，但事實并非如此。經過一個星期的資產盤點、拓撲梳理、業務流分析，發現綜合監控系統、票務系統、ATS系統之間甚至與辦公網之間存在著錯綜復雜互聯調用關系；為了滿足乘客移動化、電子化支付渠道的需求，我們需要與銀聯、支付寶、市民卡等多種渠道保持外部連接通道，而外部連接邊界的部分安全設備并未啟用細化防護策略；部分業務測試系統為測試方便，在公有云上“全裸”部署資產，無任何安全防護；部分測試資產已失效，但互聯網映射端口仍保留或未配置站點安全防護。

加固邊界，治理隱患

在梳理各邊界接入的情況后，按照業務需要設置最小訪問控制權限，關閉遠程連接、共享等高危端口，配置入侵監測策略；對辦公網各應用系統進行安全域細分，將原來4個C段地址擴展為21個C段地址，按照組織區分、應用區分原則進行網段隔離，細化東西向流量限制策略，對全網運維權限進行回收實施白名單策略；清除所有外單位接入系統，遷移所有公有云資產到集團數據中心；對提供互聯網web服務的系統進行全面主機、應用掃描，所有中高危漏洞整改完成，并確保包含測試業務在內的所有站點經過waf嚴格策略防護。

針對資產排查中發現的問題，為提高口令強度，首先對使用范圍最大的辦公系統進行整改，要求密碼必須設置位10位特殊字符、字母、數字組成且符合規則復雜口令，要求各非生產系統在實戰開始前完成登錄鑒權模塊改造，從系統上限制口令設置規則；其次針對資產排查中發現的主機、應用弱口令，開始每日零時自動體檢系統口令健康度專項整治，經過一個星期的持續檢查和整改，除數據庫連接的口令需應用程序調整外，其他均已完成全面整改。

在整改的過程中，意外發現殺毒軟件服務端的管理端口與終端電腦業務端口相同，且超級權限管理員的密碼無法修改，所有終端電腦均可輕易獲取管理端最高權限，經緊急聯系廠商進行了版本更新修復，解決了一個重大隱患。

三、實戰階段

通過主機安全、邊界防護、流量監控、態勢平臺，初步構建了縱深智能防御體系；通過邊界防護細化、漏洞掃描修復，我們進一步筑牢防線；通過口令排查整改，我們更有信心守好最后主機防線。隨著實戰期的臨近，態勢感知平臺上的告警數量開始飆漲，各攻擊隊已迫不及待開始外圍嗅探動作。

嚴陣以待，嚴防死守

8月30日，攻防演練實戰如期而來，按照工作計劃，值守團隊開始提前一天進駐作戰室，開始7*24小時持續駐守，各系統開發單位按照要求在攻防時段每2個小時檢查系統一次并在微信群內報送檢查情況，監測組、分析組、處置組、報告組按照既定的分工有條不紊開始監測、分析、處置、報告。

應急聯動，成功溯源

在護網的第四天上午，監測組在態勢平臺上發現有終端電腦試圖遠程連接數據中心服務器，同時作戰室收到物資部疑似釣魚文件報告，員工按照事前教育要求斷網處理。在處置組現場對文件提取排查后發現確實是木馬文件，經分析該木馬通過假冒招標合作單位名稱發送的QQ文件，經過對木馬文件威脅情況比對和發送的QQ號碼溯源分析，值守團隊成功對攻擊者進行了畫像并上報省演習指揮部，成功獲得防守加分。

四、總結階段

回顧這次護網的歷程，首先，高層重視是關鍵組織保障，信息化是一把手工程，網絡安全更是一把手工程；其次，資產清楚是基礎，清晰的互聯網暴露面、完整的資產清單和網絡拓撲是所有工作開展的基礎；其三，防御必須是縱深的體系，邊界安全、主機安全、口令安全要層層檢查確保達標，要有必要的全局態勢感知系統進行技術支撐；最后，要有足夠的人員投入，技術力量要能有效及時應對突發情況，必要時只能依靠委外力量。

護網只是網絡安全階段性的臨時任務，護網階段的運動式整改必是要以犧牲業務連續性為代價的，但網絡安全的要求是長治久安，這就要切實在日常工作中做到關口前移，確保系統在上線之前全鏈路基線合規，確保平常資產周期性盤點到位、及時查缺補漏管理漏洞，要有足夠的人力投入不斷加強自有技術人才的培養，這樣才能逐漸建立人、技術、制度三位一體的常態化管理機制。