信息化時代企業網絡安全攻防演練的部署 與方案設計研究

靳 峰 張 玉

（1.中海油能源發展股份有限公司，天津 300450;2.山東省機械設計研究院，濟南 250031）

當前計算機網絡技術飛速發展，傳統辦公開始向信息化轉型，大幅提升了企業經營管理效率。但是，部分企業尚未針對計算機網絡系統做好針對性防護，導致企業辦公網絡出現了文檔竊取、系統破壞以及病毒傳播等安全問題。

1 企業網絡安全攻防演練的重要意義

在信息化背景下，開展網絡安全攻防演練已經成為維護企業信息化建設的重要手段[1]。通過網絡安全攻防演練，能夠及時發現企業信息化建設中的漏洞并及時進行修補，從而確保其能夠有效抵抗外部網絡攻擊。在開展網絡安全攻防演練過程中，針對互聯網目標業務系統模擬黑客入侵和攻擊，有助于及時發現網絡存在的安全漏洞和風險點，提升網絡安全監測能力和快速應急響應能力。

2 網絡安全攻防演練的部署

網絡安全攻防演練根據黑客思路采取非對稱對抗方式，在真實的網絡環境下高強度地發起網絡攻擊和防御，通過網絡實戰及時發現企業網絡安全管理中存在的漏洞和問題，及時查找現階段存在的網絡安全監測盲區，為提升網絡安全應急防護能力積累經驗，通過持續優化調整策略，提升整體的防護效果。對于企業網絡攻防演練來說，為了達到真實有效的演練效果，一方面要對業務系統具有一定的破壞性，另一方面不能影響整個系統的正常使用，即做到風險破壞的可控性。為了實現網絡安全攻防演練的時效性和管理可控性，需要做好前期方案部署工作，主要包括建立攻防演練組織中心、制定網絡安全攻防演練詳細方案、明確演練起始時間以及各系統功能測試等[2]。

2.1 建立攻防演練組織指揮中心

為確保攻防演練達到預期效果，需要建立統一的指揮中心，負責整個演練方案的部署協調和控制工作，推動整個攻防演練工作的安全有序推進。同時，統籌規劃，制定總體方案，并科學評估整個演練方案對企業相關業務系統的影響情況。演練工作小組負責后續具體演練實戰方案的實施，并整理收集演練過程中生成的各類數據信息，為后續科學總結奠定基礎。此外，演練工作小組應做好應急支持保障工作，保障各項工作有序推進。

2.2 制定網絡安全攻防演練方案

演練開始前，要先明確演練起始時間，然后在做好頂層規劃和統籌設計的基礎上，根據攻防演練總體實施規劃的需求制定詳細的攻防演練實施方案。方案中要充分考慮可能出現的風險情況，并有針對性地做好各項應急處理措施。同時，要明確各參加演練單位的工作任務以及攻擊方和防守方的相關職責。在實際演練過程中，指揮中心人員可結合實際情況，酌情中斷演練進程。做好各項準備工作后，明確攻防演練的開始時間和結束時間，并將詳細通知下發各參加單位[3]。

2.3 系統功能測試

網絡安全攻防演練開始前，防守方應做好各項準備工作，如網絡安全監測設備的分類梳理工作。這項工作的意義在于協助監測團隊更加清晰地了解單位產品類型和數量，并有針對性地調整網絡安全監測方式。例如：系統梳理并評估攻防演練工作量，根據統計的工作量進行人員分配，進而統計網絡安全攻防演練需要的人員數量和所需投入的資源量；做好攻擊方的攻擊路徑研判，從攻擊方的角度出發，準確判斷可能的攻擊路徑，通過安全檢查做好各項防守準備工作。攻擊人員制定攻擊方案，采用各種手段繞開防護措施，采用漏洞利用等方式對目標系統進行全面滲透。攻防演練開始后，攻擊方人員會采取一系列工具手段收集目標系統信息，包括開發語言、IP地址、服務器系統及網站架構等。通過撒網式、定點式的方式收集敏感信息，發掘目標系統中可能存在的缺陷，針對檢測到的系統漏洞進行全方面攻擊[3]。通常攻擊方多采用人工測試滲透為主、攻擊工具為輔的方式對各業務系統中的弱點進行入侵。攻防演練結束后，對企業各相關業務系統進行功能測試。攻擊方與防守方詳細記錄整個攻防演練過程中的相關數據，并向指揮中心匯報對戰過程，根據檢測的安全漏洞和安全隱患撰寫攻防演練總結報告。

3 網絡安全攻防演練設計

3.1 設計原則

對于大型國有企業來說，如果信息系統受到惡意攻擊，將可能造成信息泄露、服務中斷等安全事件[3-4]。 針對企業信息管理系統進行安全風險評價研究，對安全事件處置情況進行分析，并以此為基礎總結網絡安全系統中的風險漏洞和風險來源。常見的網絡安全脆弱點包括弱口令、用戶密碼驗證以及越權操作等。針對網絡安全系統存在的脆弱性，有針對性地設計攻防演練項目。比如，在演練過程中，通過漏洞掃描、測試滲透等多種攻擊方式對弱口令等系統漏洞進行攻擊，破壞網絡系統的正常運行，竊取企業敏感信息。同時，作為參加演練的防守方，應強化網絡安全防護，通過修補漏洞等措施加固系統防護措施，不斷完善網絡安全處置流程。

3.2 模擬攻擊

網絡安全攻防演練根據黑客思路采取非對稱對抗方式，在真實的網絡環境下高強度地發起網絡攻擊。它一般多采取模擬黑客從互聯網滲透測試的方式挖掘系統存在的安全漏洞。滲透測試過程主要包括以下幾步：第一，掃描系統各個端口，并收集開放端口信息；第二，對開放端口的應用服務發動攻擊；第三，掃描查找Web后臺登錄是否具有SQL漏洞，并使用SQL注入工具寫入木馬；第四，連接WebShell木馬控制系統服務器，并修改內部信息。攻擊方還可以借助黑客工具批量掃描服務端口，以高危端口和弱口令為攻擊對象對其進行破解。具體破解方式主要包括以下幾步：第一，基于黑客掃描工具，批量掃描常用端口；第二，收集整理高危端口，嘗試暴力破解和登錄服務器；第三，通過安全管理平臺檢查是否具有掃描和破解的流量?；诨ヂ摼W對某一系統進行CC攻擊，利用多臺計算機掃描整個新系統，檢查攻擊操作流量在安全管理中心是否能夠被及時捕捉，并采取針對性的應急處置方式。例如，先選定攻擊對象進行CC攻擊，再通過代理服務器等方式向系統發送大量數據包，以耗盡服務器資源，最后檢查安全管理平臺是否具有攻擊流量。

3.3 漏洞分析和滲透

漏洞分析和滲透是網絡安全攻防演練攻擊方的常用方法。通過收集目標系統的信息并進行綜合分析，采用合適的攻擊工具對目標系統的安全漏洞進行關聯分析，驗證漏洞的利用方式和難度，并采用多種攻擊方式找到潛在漏洞的攻擊路徑?；谥贫ǖ墓舴桨?，采用漏洞利用和攻擊等方式進行實戰演習，并嘗試多種技術手段對系統、數據庫及中間文件進行訪問或者操作，采用編碼、加殼等方式繞過系統安全防護，對目標系統進行全面滲透。通過滲透等方式獲取相關系統的控制權限后，為了進一步開展內網滲透，攻擊方多采用后滲透方式擴大攻擊成果。在該階段，攻擊人員進一步開發利用已經獲取的權限，通過漏洞利用獲取服務器權限，并在此基礎上獲取內部網絡信息尤其是內部網絡拓撲結果，從而為攻擊方提供攻擊路徑。在后滲透階段，攻擊方通過內網掃描等方式可以進一步獲得網絡設備的控制權限。當進入內部網絡后，可嘗試進一步獲取集權類系統的后臺權限和域控制服務器權限，最大限度控制內網。攻擊人員重復上述攻擊操縱，基于已經獲取權限的服務器和網絡環境進行信息收集和敏感文件搜索，并綜合收集的信息，結合現有攻擊方式，不斷擴大攻擊成果。

4 網絡安全攻防演練發現的問題和整改建議

4.1 網絡安全攻防演練中存在的問題

4.1.1 弱口令方面

對于網絡攻擊方來說，弱口令利用難度低、出現頻率高，很容易帶來嚴重危害和損失。調查統計顯示，攻擊方通過弱口令獲取應用權限的比例能夠達到70%。在網絡安全攻防演練期間，如果用戶口令復雜度較高，但是具有一定的規律性，也很容易被攻擊方破解。這種規律性的密碼設置方式可能導致系統中的其余服務器被破解。

4.1.2 安全漏洞方面

系統漏洞不及時更新，其中高危漏洞也是攻擊方常常利用的途徑。一般來說，高危漏洞多存在于操作系統、數據庫，需要及時更新這些系統。此外，應加大周期性檢測、風險評估以及高危漏洞的排查力度，并及時采取措施對其進行整改修復。

4.1.3 集權類設備安全隱患等方面

集權類設備安全隱患也是網絡安全攻擊人員較為關注的目標之一。在運維管理方面，集權類設備的出現大幅提升了管理的便捷性，但也帶來了安全隱患。部分集權類設備設置有默認的最高權限和密碼，如果被黑客利用，可能會造成全網失控。

4.1.4 資產管理和安全整改方面

云計算等技術極大地方便了服務器資源的分配和系統的部署，但隨之而來的是資產管理方面的安全隱患。部分人員不及時回收資源和更新資產，形成網內的“僵尸主機”，很容易成為攻擊人員的“肉機”。為有效保障企業各項工作的開展，相關法規明確要求網絡管理人員及時處理系統漏洞、病毒及攻擊等安全風險。但是，實際中，部分人員安全意識缺失，對安全漏洞的重視程度不夠，部分企業缺乏足夠的技術能力進行修復，均會導致上述安全風險沒有得到及時 修復。

4.2 網絡安全攻防演練整改建議

4.2.1 實施全周期的安全監測服務

系統上線前進行安全監測，當出現問題后及時整改并復測，確保系統不存在高危、中危風險漏洞后才能進行上線試運行。系統運行期間，定期進行安全監測，將新發現的安全風險記錄到《安全隱患告知書》，并通知相關單位修復[4-5]。企業網絡安全工作人員應實施全周期的安全監測服務，定期開展安全監測、研判分析以及應急響應處置等，通過全天候管理加強監測和監控的力度。建議每月組織一次應急演練，并對安全事件進行應急處置，以此為基礎修訂應急預案。建議應急演練以實戰攻防的形式開展，主題可以為勒索病毒、網絡攻擊等。

4.2.2 實施全流程的安全監督管理

根據網絡安全攻防演練結果，針對弱口令、安全漏洞以及集權類設備安全隱患等方面的問題及時進行整改。比如，增強用戶口令復雜度的設置，增加用戶登錄驗證碼功能，提升攻擊者破解用戶口令的難度；加大網絡端口開放審查的力度，避免攻擊者利用該通道入侵主機；強化風險評估和測試，避免攻擊者利用安全漏洞控制服務器獲取敏感信息；加大對網絡安全設備和管理平臺的監控力度，確保系統能夠及時檢測到攻擊行為，并快速定位受到攻擊的IP地址，確保管理人員能夠快速給予應急響應。

5 結語

為了營造安全的網絡環境，應科學部署網絡安全攻防演練方案，主動檢測現有網絡安全技術防護能力，并針對演練結果科學總結、公布問題和及時整改。企業網絡安全保障能力的提升，還需要不斷強化全員安全意識，加強不同部門之間的合作，逐步打造從演練方案設計到組織實施再到評價整改的一整套攻防演練體系，從而在不斷的循環中優化完善，確保網絡安全防護工作發揮更大的作用。