基于網絡安全攻防演習的縱深防御體系建設

張 偉，郭衛霞，楊國玉

(中國大唐集團科學技術研究院，北京 100043)

0 引言

十八大以來，以習近平同志為核心的黨中央高度重視網絡安全和信息化工作[1]，習近平總書記強調“沒有網絡安全就沒有國家安全”，廣大人民群眾利益也難以得到保障，強調要把金融、能源、電力、通信、交通等領域的關鍵信息基礎設施作為網絡安全防護的重中之重[2]。電力系統作為現代社會的關鍵信息基礎設施之一，是經濟社會運行的神經中樞，也是網絡攻擊的重點目標[3]。近年以來，國內外網絡安全形勢不容樂觀，面對復雜多變的國際形勢以及國內社會轉型期不斷產生的新的社會沖突和矛盾，各類敵對勢力一直妄圖對我國關鍵信息基礎設施進行破壞，以期造成不良社會影響。國外已經有了委內瑞拉人為造成接連兩次發生大停電的例子，給當地百姓的正常生產、生活、社會穩定、國家安全造成極大影響，所以網絡安全防護[4-6]迫在眉睫。對此，習近平總書記做出重要批示，要求防范電力戰潛在重大風險。

目前電力行業的網絡安全防護[7-10]仍面臨著巨大的挑戰。系統核心軟硬件設備嚴重依賴國外廠商提供的軟硬件產品；同時，電力監控系統信息安全防護薄弱，網絡接入管理混亂；信息安全保障能力不足，核心系統依賴國外廠商運維；一線工業控制系統使用人員信息系統及信息安全方面的知識儲備不足，信息安全意識淡薄，無完善的突發信息安全事件應急響應措施。總體來看，我國工業控制系統面臨較多問題和威脅，急需加大工業控制系統信息安全方面的投入，全面提升工業控制系統信息安全防護水平。

切實加強網絡安全防護，提高網絡安全防護意識，必須從實踐出發，熟知目前網絡安全存在的問題和防護手段，才能兵來將擋，水來土掩，見招拆招。網絡安全攻防演習的目的，一是及時整改深層次網絡安全問題和隱患，提升綜合防護能力和應急處置能力；二是加強參演各單位、社會力量與公安機關協同作戰；三是提高攻防雙方技術能力；四是總結網絡安全態勢，形成網絡安全評估報告，供上級決策。

1 網絡安全隱患分析

通過各種防護監測可以發現企業存在較多安全隱患問題，其中急需解決的是針對企業內所有內外網設備進行殺毒處理。因為生產和辦公的工作需要，大部分主機處于長時間運行并且防護手段甚微的狀態，所以很有可能早已通過各種方式被種下病毒，潛伏在企業的內部網絡中，時刻都可能對企業的系統造成威脅。安全防護設備還發現了各種操作系統以及個人郵箱仍存在許多弱口令現象，修改弱口令是最基本的網絡安全防護意識，弱口令也是黑客入侵最簡單常用的手段之一，從中獲取內部信息和涉密文件。同時通過對內網流量的監測，發現有利用“QQ_TIM、WeChatVioceChat”協議進行登錄外網的現象，普通員工的個人終端防護設備較低，又存在同時連接內外網的現象，很容易被黑客惡意利用并獲取利益，這也是造成主機中毒的一種原因，如果中毒主機的使用者不注意，使用普通U盤給他人傳遞資料，那么很有可能造成大部分病毒傳播。弱口令、個人終端同時連接內外網和U盤濫用的現象都可以通過提升管理手段和網絡安全意識去杜絕，加強網絡安全培訓，建設網絡安全考核制度都是有效的手段。

攻擊方進攻企業系統可以總結為三種方式：社工入侵、系統入侵和口令破解。社工入侵指的是社會工程學攻擊，企業通過日常的嚴格準入把控，可以杜絕身份不明人員亂入企業等現象。系統入侵大部分可以被入侵檢測系統（主要為入侵檢測軟件和硬件的組合）所阻斷，針對惡意IP能夠通過各種防御設備拉黑、封禁，針對各個官網網站的攻擊及時發現并處置，運維人員通過技術手段禁止遠程軟件的運行和操作，包括常用的TeamViewer、QQ遠程以及系統自帶遠程工具等，可以有效地防止攻擊者利用遠程漏洞進行非法入侵。口令破解指的是針對各個操作系統或者郵箱進行口令的暴力破解，企業通過歷年來對等級保護[11-12]和風險評估的重視，可以基本上杜絕弱口令的現象。

2 網絡安全攻防演習戰略體系

定期進行網絡安全攻防演習對于企業來說是十分必要的，通過網絡安全攻防演習，可以及時發現企業內現存的網絡安全隱患，提上日程并及時處理，可以有效提升企業整體網絡的安全防護能力。

在演習期間，實現具備全面的信息安全保障能力，具備全面的信息安全事件監控預警能力，在全面防護的同時實時監控信息安全態勢[13]，發現安全事件立即處置，將各種威脅及風險降到最低，主要通過“人防+技防”綜合防護手段進行保障本次工作。

網絡安全攻防演習[14-15]主要通過技術和管理的方式進行安全防護建設，整體戰略部署體系如圖1所示，在管理方面需要事前劃分工作小組，通過隱患排查、防護提升、實戰保障等階段各小組相互配合，保障網絡安全；在技術方面主要體現為縱深防御體系的建設，通過治、梳、查、保、警等方面實現主動防御。

圖1 網絡安全攻防演習戰略體系

3 安全防護管理體系建設

網絡安全攻防演習在管理方面的安全防護建設主要是通過事前清晰劃分工作界面，將工作小組分為監測分析組、專家研判組、應急處置組、運維保障組和通信上報組，通過自我研發的工作上報平臺，各工作小組各司其職，高效配合，以實現項目周期中有條不紊地開展工作。

3.1 隱患排查

對集團公司總部保障對象與重要信息系統進行網絡安全隱患排查，核實對于物理環境、通信網絡、區域邊界、計算環境層面的各項防護措施是否落實到位。

(1)各類場所物理防護檢查，檢查內容包括：物業、機房等場所的物理訪問控制、防盜竊及防破壞、防火、電力供應、裸露設備接口管理、U盤使用規定以及現場人員管理規定等情況。

(2)終端設備安全檢查，檢查內容包括：終端的物理防護、設備接口管控、桌面管控、防病毒軟件的部署情況、接入內網的終端殺毒情況等。

(3)網絡邊界安全檢查，檢查內容包括：各生產大區與管理大區的物理隔離情況、互聯網邊界的安全防護情況、與第三方網絡邊界的安全防護情況、各類終端的安全接入情況，重要網絡邊界的防護設備策略配置規范、設備管理規范、操作規范、系統性能、賬號與口令、日志與審計等。對互聯網服務情況進行統計分析，根據各自的網絡安全主體責任做好有效防護。

(4)系統資產的整體梳理，對內部資產情況進行摸底，重點是探知本單位資產情況，掌握資產分布情況，分別從互聯網暴露面、內網資產、重點保護資產、僵尸網站、狀態異常/不合規資產等方面進行梳理，梳理一共有多少資產(硬件資產、軟件資產、信息數據資產等)、有多少種類型的資產、誰在使用這些資產、誰能使用這些資產、資產的對應責任人信息、是否滿足等保要求、資產存在什么樣的風險點、如何規避風險、有多少臨時性資產等，通過對資產在線狀態、設備指紋信息、服務端口信息和應用指紋信息畫像，從而了解數據中心中資產分布狀況。

(5)高危漏洞發現與處理，確保本單位漏洞掃描設備漏洞庫已升級至最新，開展漏洞掃描及修復工作，對集團公司總部11個重要信息系統做了滲透測試，提供內外部攻防力量，對系統進行兩輪滲透測試，充分發現信息系統安全隱患，切實整改。

3.2 防護提升

安全設備上線運行后，以最小化原則對所有安全設備防護策略進行梳理，重點核查遠程連接等高危策略，去除冗余、過期、無效、重復的安全策略，加強內外網雙向防護。建議對各單位強化公網準入控制，強化SIM卡準入機制，做好APN設置，針對遺失終端、嫌疑終端及時斷網。

(1)采取縱深防御策略，綜合利用多樣化的防御手段，網絡威脅情報聯防處置平臺(網盾K01)—防火墻—Web應用防護系統(Web Application Firewall，WAF)，在多樣化的縱深維度上布置層層防線，構建有效的縱深防御能力體系。

(2)構建合理的網絡架構，通過合理的網絡分區及在其上疊加的區域間數據流控制機制，可以有效防止惡意代碼在網內的橫向滲透與傳播，也可以有效避免存在風險的終端或服務器被攻擊者利用作為跳板對網內其他系統進行攻擊試探。

(3)補丁管理，通過漏洞修復和補丁管理的動態機制，給出具體的建議操作和對應操作的預期結果，可有效同步漏洞信息、感知漏洞存在，進而實施漏洞修復和補丁管理，防御和緩解漏洞利用。

(4)通信傳輸安全，為保障數據通信傳輸安全，在通信前應當基于密碼技術對通信的雙方進行驗證或認證；在數據的通信傳輸過程中，應當采用密碼技術保證通信過程中數據的完整性、保密性。

(5)設備加固，網絡層安全加固：主要從通信協議和服務、邊界防護兩方面進行加固。通信協議和服務：關閉網絡不必用的功能和端口，關閉所有默認開啟但是非必需的服務；常用協議的對應的端口要嚴格把控，避免未經授權的調用。邊界防護：部署流量過濾設備，制定過濾策略，嚴格把控進出流量；部署流量監測設備，針對異常流量需及時報警、響應。無論是采用傳統防火墻還是多重安全網關，抑或是網閘技術，都需要根據業務需求和實際網絡情況及時更新規則和策略。

(6)日志記錄，對所有網絡設備及網絡安全設備的運行情況、管理登錄與操作情況、網絡通信情況等信息進行日志記錄，提供數據輸出。對主機系統運行情況、用戶訪問情況等信息進行日志記錄，并提供數據輸出。對應用系統運行情況、用戶訪問情況等信息進行日志記錄，并提供數據輸出。日志需存儲在指定位置，不得被越權訪問。

(7)基礎應用安全加固，基礎應用（如郵件、Web服務器）加固需要制定一套總領的安全加固規范，遵循安裝與加固一體化的原則。

(8)高級威脅檢測，采用高級威脅檢測設備(APT)，對網絡中存在的各種病毒傳輸、攻擊事件、可疑流量等進行實時監測，并輸出網絡流量日志與威脅檢測結果。實現了基于網絡的全局威脅檢測，及對網絡威脅行為的精細定位與溯源，快速處理網絡威脅事件。

3.3 實戰保障

各級指揮部集中監控指揮，各單位落實全天候重保工作要求，制定人員排班計劃。

(1)落實特殊時段系統關停/隔離措施，根據前期制定的系統關停/隔離策略，結合特保時段和攻擊強度對信息內、外網以及相關系統按照計劃完成關停/隔離。

(2)全天候值守和應急響應，落實監控、應急方案和全天候值班計劃，全力做好正式演習過程中的安全防護工作。各部門加強物理場所的安全巡視，尤其是戶外場所、戶外設備的安全巡視，確保萬無一失，嚴格控制辦公場所、營業場所中辦公區域的人員出入，執行出入登記、人員接送制度，關鍵部位由安保部門確保安防措施到位、防范物理入侵。

(3)加強互聯網邊界、內外網邊界、內網第三方邊界等邊界處的監測，具備異常流量發現能力。監控人員應具有基于流量的安全分析能力、具有對APT等特殊攻擊行為的安全監測能力，確保網絡攻擊行為能夠被記錄，能夠及時發現。第一時間收集網絡攻擊信息，通過錄屏、截屏等方式保存證據，并及時通報應急處置組和通信上報組，落實“零匯報”、事件快報制度，在每日攻擊結束時以日報形式報送當天工作情況。

(4)充分研究攻擊特征，精準定位攻擊行為，加強對攻擊事件的監測分析和應急處置。應急處置組對于發現的攻擊行為通過網絡阻斷、物理隔離等方式及時處置各類攻擊事件，對發現的問題及時處置整改。應急處置組根據發現的設備運行基線越限情況，及時進行比對、查殺、處理，將破環降低到最小，避免數據泄露。同時做好內外部溝通聯動工作。演習全程做好監控和應急工作的全過程記錄。

(5)實施聯絡上報機制，信息中心做好與公安機關的對接與交流工作，對于非本次演習內的攻擊行為聯合公安機關做好發現攻擊后的證據收集和舉證。信息中心與公安機關保持密切聯系，學習往年演習工作經驗，向公司各單位實時通報演習注意事項、演習最新情報，合理利用演習規則，讓公司在演習中掌握主動權。

4 縱深防御體系建設

網絡安全攻防演習在技術方面的安全防護建設主要體現為縱深防御體系的建設[16-17]，分為事前和事中，事前通過“治”、“梳”、“查”，事中通過“保”、“警”，實現防御能力的建設。同時，結合后端情報系統提供的信息進行聯動防御，主動封鎖入侵路徑。

(1)資產治理(治)。Web應用安全綜合治理系統利用被動自學習方式針對內部資產進行高效快速梳理，通過自動化檢測僵尸網站、Webshell等安全隱患，并利用應用間業務關系，關閉不必要的信息系統。

(2)策略梳理(梳)。梳理業務邏輯，規范安全設備防護策略配置，開展檢查、監測、整改工作，針對邊界防護策略進行梳理，原則上使用端口級的防火墻策略進行開放。

(3)風險排查(查)。采用一體化漏洞掃描開展高危端口治理排查梳理工作，形成高危端口臺賬，加強端口管控；開展操作系統及應用系統漏洞掃描和挖掘工作，建立漏洞隱患庫，落實閉環整改要求。開展賬號實名制、業務及平臺類賬號弱口令及權限最小化專項排查治理工作，包括但不限于辦公終端、打印機等啞終端、自建系統、網絡設備等。

(4)安全保障(保)。高級威脅分析系統、攻擊防護、安全掃描、主機加固、失控主機發現、防火墻策略加固，信息安全評估、安全咨詢、安全值守、資產梳理，應急響應、安全培訓。

(5)攻擊預警(警)。基于部署的高級可持續性威脅檢測系統針實時監測發現的惡意文件、遠程控制、僵尸網絡、Webshell探測等風險狀況，針對攻擊事件一點發現，通過利用Web應用防火墻和K01等安全防護產品實現全網阻斷。

通過“資產治理，外防內控”達到實現信息安全的動態防御及主動防護要求(主動出擊)，實現將信息安全運維服務和安全設備能力進行有機融和，提升整體系統的信息安全運維服務的能力，切實保障信息安全和各業務系統能安全可靠運行，通過專業安全服務力量提供針對信息系統保障安全解決方案，最大限度降低業務的安全風險，提高業務系統安全運營和防護水平。

5 結論

本文對目前電力企業存在的網絡安全問題進行了剖析，總結分析出企業在安全設備維護不到位、人員行為操作不規范以及安全防護意識薄弱等方面存在的安全隱患，使得企業存在可能會被黑客或病毒入侵的風險。同時，針對于上述安全風險和隱患，本文提出了一種基于網絡安全攻防演習的縱深防御體系，主要體現在管理和技術兩方面，通過“人防+技防”進行綜合的安全防護建設，保障企業網絡安全。

網絡安全攻防演習對于企業來說不能僅僅只是一次演習行動，更應該對未來的安全生產運行提供前車之鑒和保底機制，將通過網絡安全攻防演習發現的問題提上日程并及時處理才是網絡安全攻防演習的目的所在。通過網絡安全攻防演習，可以有效提升企業整體網絡的安全防護能力，為今后的安全生產和實戰奠定良好的基礎。