淺述如何做好網絡攻防演練應對措施

張劍峰

(廣東順暢科技有限公司,廣東江門 529000)

0 引言

網絡攻防實戰演練是以實際運行的信息系統作為演練標靶,通過不限制攻擊路徑、攻擊時間、攻擊目標,以提權、控制業務、獲取數據為演習目的的方式開展攻、防對抗,最大限度地模擬真實的網絡攻擊,進一步驗證企業內部整體信息系統的可靠性和運維保障的穩定性,并檢驗其內部網絡空間安全的整體防御能力。本文主要根據政企、國有等大型企業內部演練,并以下級單位應對上級的攻防為課題進行論述,重點以預防階段、實戰保護、總結回顧等階段的關鍵要點進行分析。

1 建立健全組織架構,明確職責分工

網絡攻防演練的有效開展,需具備健全的組織架構,并明確具體機構、人員職責分工,強化各業務領域網絡安全防御與態勢感知,確保網邊界不失守、標靶系統不被控、敏感數據不泄露、業務系統不失控。同時,通過完善的組織架構及利用攻防演練期間的過程監控,全面發現網絡安全隱患并實現整改,擬提升企業內部網絡安全防護及應急處理能力。組織架構的建立應在攻防演練開展前完成,并以演練領導小組或指揮中心為核心,分別設置現場指揮中心、專業工作組、專家監控組等如圖1所示。其中專業工作組包括:攻擊專業組、防守專業組。

圖1 組織架構圖Fig.1 Organization chart

2 預防階段有效覆蓋,加強縱深防御能力

2.1 摸清網絡資產底數、收斂標靶系統攻擊面

通過對IT設備資產進行梳理,摸清網絡資產底數、完善信息資產臺賬統計。通過自動化掃描工具,識別無主、不明IP設備資產,理清相關已停止補丁更新服務的老舊設備及應用系統,做到按需上線或直接停止服務。同時,摸清暴露于互聯網上的應用系統、APP,完善互聯網應用系統臺賬信息,識別、停用在線測試、演示類系統。統計、梳理清查各類邊界、基礎平臺等設備已有策略列表清單,確保網絡拓撲圖與實際應用的一致性,核查已上線的相關防護策略與文檔列表清單記錄的一致性,參照《信息安全技術網絡安全等級保護基本要求》[1],清理無效或者過于寬泛的策略,并按企業系統定級標準進行安全基線整改。

2.2 評估威脅,落實網絡加固修補措施

識有、評估自有IT設備面臨的風險威脅,通過漏洞掃描、安全策略及安全基線測試、攻擊滲透、現場檢查、專項討論等方式開展風險自查,分析及指出有關網絡的安全漏洞及各應用系統的薄弱環節,制定詳細的自檢報告及問題清單,針對查找發現的網絡安全隱患制定相應的修補策略和反措措施。同時,檢驗網絡安全防御措施、運行監測、事件處理等管理機制,完善防御能力。針對所識別的網絡安全風險威脅,結合所識別的自檢報告及問題清單,對互聯網應用系統、內部應用系統、服務器、數據庫、網絡安全設備以及終端設備等進行安全加固及策略防護優化,必要時通過增加部署專業的安全防護設備,加強對互聯網出口、關鍵應用系統及其主機、數據庫進行重點監測。同時,監測、清理互聯網所存在的敏感數據源。其中,重點關注防護措施應包括但不限于如下:

(1)互聯網應用系統安全監控及防護方面。互聯網應用系統應落實網頁防篡改、應用防火墻、智能動態監控等防護措施,并在出口邊界部署審計及流量分析系統、防御系統等安全防護設備。同時,針對互聯網應用系統開展源代碼審查及滲透測試,對發現的高中危漏洞及時進行修復。(2)服務器、主機設備安全防護方面。服務器、主機設備應參照安全基線要求,須全面做好主機內核加固、病毒防護、補丁更新等。同時,分析其已有安全基線庫是否滿足《信息安全技術絡安全等級保護實施指南》要求[2]。運維審計系統、網管平臺、應用系統等集權類管理平臺應加強防護,以最小化權限對權限賬號進行管理。(3)數據庫、中間件安全防護方面。排查、梳理數據庫及中間件相關賬號權限,以最小化權限的管理原則開通訪問、維護賬號,對于測試類賬號需及時整理、清除。同時,部署及完善數據庫審計、數據庫防護等系統,并優化相關安全防護策略,對數據庫操作進行實時過濾、監控和審計。(4)網絡安全設備安防防護方面。梳理已有安全策略,測試、核實策略的可用性,進一步優化、完善相關安全策略及設備的部署架構。同時,參照安全級別重要性及業務特性對網絡架構實行區域化管理,完善、優化網絡各區域、各應用系統的安全防控措施,確保所在區域擁有獨立的安全防護設備,并已采取隔離控制手段和訪問控制策略。

2.3 強化防御,做好重點防護策略

結合網絡安全風險庫要求,雖已完成各設備的安全加固,但為進一步強化防御功能,應對網絡區域等級劃分、網絡準入控制、攻擊鏈防護、基礎平臺加固等已有的安全策略進行分析、研討,完善、優化監測、防護、審計等安全設備的部署,切實降低、收縮網絡風險點及攻擊面。同時,網絡攻防實戰演練期間,應前提制定特殊的運行計劃及加強區域中心安全防護,各專業小組應結合已梳理的信息資產,分析各系統及各設備的風險評估結果、系統安全防護能力,確保實戰演練前及演練期間按照“缺陷問題早解決”“專項整改不安排”“事件處理強審批”等原則制定特殊的運行維護計劃。

2.4 提高意識,加強網絡安全培訓

(1)專業技術人員方面。加強服務器主機、數據庫及中間件、應用系統、網絡及安全防護、終端桌面等專業技術人員的網絡安全防護意識、事件處理機制流程、技術技能等培訓,進一步提高技術人員處置能力以及突發事件的應變能力。同時通過專業培訓,查漏補缺,識別自有技術團隊的短板,并對其加強培訓或補充。(2)安保及業務開放場所方面。業務開放場所方面,如營業廳、自助終端、公共交易服務廳等場所應同步加強安保人員網絡安全防范意識培訓,清楚并熟悉“社工”防范攻擊的方式及產生的效果。另外,提供對外服務的終端設備及場所,應全面做好隱患排查,識別不明IP地址,并對已有的網絡接口、應用系統執行更嚴格的網絡準入控制,動態監控異常數據的接入。

2.5 開展模擬預演,實現大練兵

攻防演練前應制定內部模擬演練方案,組建攻擊及防守專業組開展內部模擬演練,進一步檢驗事件應急處理機制及信息報送流程、設備運行的可靠性、監控預警等整體防御能力的有效性。通過模擬演練,及時發現問題缺陷并形成問題報告及問題清單,采取有效的反措措施。同時,按照模擬演練方案開展網絡安全監控值守,提前熟悉流程、加強安全監控。特別針對于測試環境、測試應用等系統,應加強對其攻擊,尋找漏洞及缺陷所在。其次,以演練結果為目的,檢測日常系統維護過程中其標準、制度的執行情況,分析網絡安全風險隱患。

3 實戰防護,著力開展安全態勢監控

3.1 全面實現安全態勢監控,做好防守聯動

全面迎戰階段,應在演練領導小組或指揮中心引領下,結合模擬演練的值守機制建立不間斷的值班制度,根據專業技術類別劃分組建技術小組團隊,明確具體值班要求及職責。同時,制定每日動態巡檢監控內容及信息報送流程。其次,設定專職人員動態跟蹤系統補丁、安全設備特征庫、防病毒系統病毒庫的動態更新,并按需開展漏洞修補。

3.2 加強防守,實時開展安全數據分析

實戰期間,在建立值守團隊做好網絡安全監控動態值守之余,應同步加強對所監控異常數據的分析。主要措施可通過在原有的值守團隊上,組建涵蓋各專業核心技術骨干、設備廠家等核心骨干技術組,針對攻擊誘捕、流量監測分析等相關安全防護設備所收集的信息,通過安全分析工具對其攻擊行為及相關數據開展聯動分析,針對一些潛在、正在或已成功攻擊的相關數據進行追蹤、分析,實現對各類攻擊源、攻擊模式、攻擊路徑、攻擊結果等進行溯源。

3.3 做好應急保障,實時應對突發事件

攻防演習期間,如相關信息系統被攻破,并由此發生系統宕機、業務中斷等緊急事件,監控現場應立即要啟動應急預案,上報至現場指揮中心及上級單位。同時,各專業小組需充分應用協同工作機制,診斷攻擊點及可修復方案,按最小影響原則在修補漏洞的基礎上盡快恢復業務。其次,監控組針對被攻破的系統及攻擊方式應加強其監控范圍及監控力度。

4 清理戰場,落實問題整改反措

4.1 全面總結,清理遺留風險

實戰演練結束后,各專業工作小組應組織開展演練總結大會,分析演練過程中其攻擊方法、攻擊路徑、存在的風險漏洞以及演練過程中仍需改善的環節,并形成總結報告。同時,對于現場所遺留的信息進行清理,如現場指揮中心相關報表數據、風險報告等。

4.2 分析漏洞,落實問題整改反措

結合日常的運行維護,各運維小組應按照演練總結報告深入分析漏洞薄弱點以及可采取的修補措施,通過優化策略或增加部署相應的安全防護設備進一步提升企業內部整個網絡空間的安全防護。同時,通過不斷的安全培訓,讓各級員工始終保持高度的敏感性,簽訂網絡安全責任書,全面完善整個的網絡安全防御能力。

5 結語

網絡攻防演練是最終以通過奪權、業務控制,獲取信息系統控制權限為目標,并采取以不明確攻擊源、攻擊鏈、攻擊時間及攻擊方法的模式進行深度滲透攻擊。同時,通過企業內部的自查自糾以及其攻防演練的實戰結果,有效檢驗了企業內部存在風險漏洞,進一步提升了企業內部整體的網絡安全防御能力。