网络安全攻防演练中的防守方案设计.docx

网络安全攻防演练中的防守方案设计没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民群众也难以得到保障。如今，网络安全已经提升到国家安全的层面，各行业在建设信息化系统中，网络安全建设成为不可忽视的重要内容。作为国家舆论宣传的主阵地，各级广播电视机构是党和人民的“喉舌”，承担着在网络空间上主流媒体阵地的重要责任。随着网络电视台、手机客户端以及IP电视等新业务和新技术的应用，广播电视台新媒体在网络空间上的业务已经逐步开展，信息安全保障工作也随之成为重要的安全播出部分。网络安全法要求各行业及网络安全主管部门应定期进行演练，攻防演练越来越成为检验网络安全防护情况的重要手段。目前，多个省市、行业已经进行了多次攻防演练工作。高质量的攻防演练具有检验和提高网络安全保障整体能力及应急响应能力，提升网络安全人才实战能力，以及强化网络安全风险意识等突出价值。攻防演练可以通过仿真、模拟、实战等多种形式进行，演练对象可以同时面向关键信息基础设施以及信息系统，由攻击方通过各种手段对防守方进行攻击，并在最后进行统一的复盘和研讨，最终将提升整体网络安全保障能力和水平。攻防双方在整个演练过程中的工作方式、目标和手段有所不同。攻击方重点是在规定时间、规定目标以及规定平台上，尽可能地对目标进行渗透攻击并获得目标的最高权限：防守方重点是做好所运营系统的网络安全工作，在攻击方进行攻击演练的同时，确保系统正常运行。一、攻防演练中的防守方案设计攻防演练的防守方可以从五个阶段进行准备和工作：准备阶段、自查整改阶段、攻防预演阶段、正式演练阶段和总结阶段。按照不同阶段的工作重点，仔细做好相关工作后，可确保最佳的演练效果。1.准备阶段准备阶段是在接到攻防演练通知后，防守方进行的相关工作，主要由以下四个部分组成。(1)前期梳理工作。包含网络安全信息事件收集工作、网络路径的梳理工作、专项应急预案的收集及整理工作、资产梳理及核对工作和监测防御体系情况检查相关工作。网络安全信息事件收集工作主要包括近期最新的网络信息安全事件，如漏洞、补丁及网络安全整体情况等风险预警相关信息：网络路径梳理应完整包含与系统相连的网络路径，包括内外网路径；应急预案的确认及完善包括系统应急预案的检查，并与运行系统进行比对；资产梳理及登记工作包含对目前系统的梳理，重点在已下线系统、测试系统等的相关资料整理；监测防御体系检查及相关规划工作主要是对现有系统进行加强和完善的规划工作。(2)演练组织架构与工作机制.可以成立演练领导小组，用于统筹和领导部门应对攻防演练。领导小组的架构应根据网络环境中在线运行的信息系统与网络、安全、监控和运维等资产系统，来确定工作涉及的单位部门，一般包括业务、物理环境、终端、应用、主机、网络和安全等方面的主管及第三方技术支持单位。(3)建立沟通机制。建立演练工作中的沟通联络机制，并建立各参演人员的联系清单，确保演练工作顺利开展。与演练组织部门沟通好本行业特殊的安全播出需求，并与业务主管部门进行充分沟通和报备。原则上应避开重保期。(4)防守应对方案编制。攻防演练工作应按计划逐步有效进行，应在演练前，根据本系统实际情况完成攻防演练防守方案编写，通过演练防守方案指导攻防演练防守工作的开展，确保演练防守工作的效果。(5)防守工作启动会.通过启动会确定演练防守工作主要牵头部门和演练接口人，明确演练时间计划和工作安排，并对演练各阶段参演部门人员的工作内容和职责进行宣贯。2.安全自查和整改阶段按照准备工作中的方案、架构和工作机制等，有针对性地围绕信息系统开展如下自查工作：(1)暴露信息检查。根据网络路径检查，对暴露在网络上的信息进行筛查，包含各种敏感信息等。敏感信息主要有资产信息、技术方案、网络拓扑图、系统源代码、账号、口令等。可通过技术、管理和服务等方式开展互联网暴露敏感信息的发现及清理相关工作。(2)资产发现.资产发现服务通过数据挖掘和调研的方式确定资产范围，之后基于IP或域名进行互联网资产扫描发现，通过对发现的资产进行确认，将遗漏的资产纳入保护范围。(3)等级保护测评情况及整改要求汇总。对信息系统进行等级保护测评后的测评情况进行分析，并对测评中所提出的整改项进行重新梳理。(4)网络安全检查。网络边界情况、网络架构评估、网络安全策略检查、网络安全基线检查以及安全设备基线检查。(5)主机安全检查。操作系统、数据库、中间件安全基线，主机漏洞扫描。(6)应用安全检查。应用系统合规性检杳、漏洞扫描、渗透测试。(7)运维终端安全检查.运维终端安全策略、基线，漏洞扫描。(8)可用性检查。确保网络、主机(操作系统、数据库和中间件)、应用和安全设备等可靠性及运行情况进行检查。(9)针对本次目标系统中网络设备的日志记录进行检查，确认能够对访问和操作行为进行记录；明确日志开通级别和记录情况，并对未能实施口志记录的情况进行标记，明确改进措施。检查完毕后，针对检查信息对照信息系统等级保护要求及相关行业要求，进行漏洞、问题等修复以及整改相关工作。(1)针对缺失或不适用的相关操作、记录、汇报及恢复流程或制度进行完善，对无法整改的问题制定应急预案。(2)威胁感知系统。威胁感知系统可使用多维度互联网数据进行H动化挖掘与云端关联分析，提前洞悉各种安全威胁。同时结合部署在本地的数据采集系统，进行本地流量深度分析。(3)安全加固实施。通过在网络及系统层进行攻击拦截、攻击方式捕获、漏洞发现、漏洞修复、补丁管理、系统加固、访问控制、应用隔离、威胁感知、系统资源监控以及应用性能监控等，加固网络安全。边界设备清理整改是将不符合接入要求的设备、系统断开，对Wi-Fi、VPN、远程维护、远程访问等接入途径进行排查，必要时应关闭相应入口。(4)备份有效性测试。包括备份策略检查、备份系统有效性检杳和备份数据恢夏测试。要进行至少一次的备份数据恢豆情况，并仔细检查恢复备份后的系统运行情况。(5)安全意识培训针对本次演练参与人员进行安全意识培训，明确演练工作中应注意的安全事项。基于以上安全自查发现的问题和隐患，及时进行安全加固、策略配置优化和改进，切实加强系统的自身防护能力和安全措施的效能,减少安全隐患，降低可能被外部攻击利用的脆弱性和风险。有条件的系统可以考虑部署蜜罐，并通过蜜罐对攻击者进行研究分析，为下一步工作和攻击情况的预判提供依据。3 .攻防预演练阶段攻防预演练是为了在正式演练前，检验安全自查和整改阶段的工作效果，以及演练参与人员、系统否能顺利开展防守工作。而组织模拟攻击、系统瘫痪、信号中断或者内容篡改等情况，是检验系统的处置和人员的应对情况。可以请有资质的安全厂商通过各种规定方式进行该项测试。但需注意，应在正式演练开始前三个月进行预演工作。通过攻防预演练结果，及时发现系统、人员和制度存在的安全风险，并对遗留（漏）风险进行分析和整改，确保系统、人员和制度在正式演练前，所有发现的安全问题均已得到有效的整改和处置。4 .正式演练阶段在正式防护阶段，重点加强防护过程中的安全保障工作，各参演人员各司其职，从攻击监测、攻击分析、攻击阻断、漏洞修复和追踪溯源等方面全面加强演练过程的安全防护效果。（D安全事件实时监测。借助安全防护设备（如流量分析设备、Web防火墙、IDS、IPS、数据库审计等）或监听监看设备（如信号检测仪、码流分析仪等）开展信息系统安全事件实时监测，对发现的攻击行为进行确认，详细记录攻击相关数据，为后续处置工作开展提供信息。（2）事件分析与处置.根据监测到的安全事件，进行协同分析和确认。如有必要，可通过主机口志、网络设备口志、入侵检测设备日志等信息对攻击行为进行分析，以找到攻击者的源IP地址、攻击服务器IP地址、邮件地址等信息，并对攻击方法、攻击方式、攻击路径和工具等进行分析研判。(3)威胁情报共享。对于已经分析确认的攻击事件，将攻击事件涉及的IP地址、攻击方式、攻击行为和相关威胁情报等整理后进行共享，可根据提供的IP地址等信息进行针对性的日志或流量查询和分析，判断本地是否发生此类攻击行为，共同打造攻击防护情报网。5 .总结阶段全面总结本次攻防演练各阶段的工作情况，包括组织队伍、攻击情况、防守情况、安全防护措施、监测手段、响应和协同处置等，形成总结报告并向演练组织单位、上级主管部门等有关单位进行汇报。依据演练结果，对在演练过程中还存在的脆弱点开展整改工作,进一步提高目标系统的安全防护能力。二、应对工作注意事项1 .重视资产情况自查信息系统资产情况自查能及时发现系统情况，对系统资产进行完整摸底有助于领导小组、信息系统管理部门或安全部门掌握整体系统情况。资产情况自查是网络安全工作的基础和重中之重，完整排查资产情况能够更准确和高效地建立防守方案，指导相关部门和参演人员做好攻防演练工作。资产情况H查应详细检查核对如下内容：信息系统所连接的所有软硬件设备，包括主要业务系统和周边支撵系统；使用、维护和管理的相关人员身份核对，账号密码及登录权限核对：软硬件系统的固件、中间件、系统、应用等的版本情况:信息系统的边界情况等关键信息。2 .重视弱口令漏洞需要重视可以通过互联网访问的网站系统、应用系统、测试系统或管理后台等，如果其用户使用弱口令或默认口令，可以轻易被攻击者猜测、破解，进而上传后门、获取权限，获得互联网攻击入口。所有用户的弱口令和默认口令都存在风险，包括系统业务用户、管理员用户、后台管理用户、中间件用户等。建议在演练开始前，修改所有用户弱口令和默认口令，要求应用系统和中间件等开启口令策略，口令须满足熨杂度要求并定期进行更换。3 .避免应用和中间件管理后台暴露网站应用系统后台或中间件管理后台如果对互联网开放，那么可能会给攻击者实施攻击的机会。攻击者利用漏洞或破解口令获取后台权限，进而获得互联网攻击入口。建议全面排查向互联网暴露的资产是否存在管理后台，可利用防火墙等关闭管理后台互联网访问，并按照最小化原则开放后台访问权限。4 .采用合理的攻击事件处理思路攻击事件处理思路应按“事件监测一初步处置一反查一处置一恢更上线”的基础思路开展防护工作。(1)事件监测。通过WAF、IPS、FH以及云监测等各类监测设备，对安全事件进行监测，发现攻击行为或疑似攻击行为。(2)初步处置.在发现疑似攻击行为时，不管是否已经攻击成功，直接协调防火墙或WAF维护人员进行IP(端口封堵处理，避免进一步攻击行为的发生。(3)攻击行为反查。在初步处置的同时，利用数据分析系统对攻击行为进行反查，确认攻击事件及影响范围，以协调进一步处理线索，并协调人员对事件进行上报。(4)应用及主机处如通过反查确认有主机或应用被攻击，应第一时间将应用和主机下线，通过人员分析或失陷监测工具分析的方式，确认系统被攻击的情况，按照演习方案进行进一步处置。三、结语从整个互联网的攻防实践来看，黑客攻击和传统的渗透测试完全是两回事。黑客攻击的目的性很强,“利用一切短板，拿下目标系统”；而通过攻防演练，防守方能在可控的情况下，最大限度地发现系统漏洞和问题，结合自身的系统情况、业务特点和运营能力，有效提升系统安全性。各信息系统运营人员应积极配合演练，及时发现威胁，这样才能有足够的信心、能力和经验，在攻击到来时做出正确的处置。