◆趙大鵬

（長(zhǎng)春市人事統(tǒng)計(jì)信息中心高級(jí)工程師 吉林 130000）

1 演練背景

面對(duì)日益嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)，我國(guó)各級(jí)政府部門和單位必須積極應(yīng)對(duì)、主動(dòng)作為，確保網(wǎng)絡(luò)運(yùn)行環(huán)境的整體安全。為檢驗(yàn)和提高系統(tǒng)監(jiān)測(cè)發(fā)現(xiàn)、安全防護(hù)、應(yīng)急處置能力，促進(jìn)網(wǎng)絡(luò)安全積極防御體系建設(shè)，組織開展網(wǎng)絡(luò)攻防演練活動(dòng)。本文以2019長(zhǎng)春市“人社系統(tǒng)”網(wǎng)絡(luò)安全攻防實(shí)戰(zhàn)演練為實(shí)際案例，探討網(wǎng)絡(luò)安全攻防演練部署在實(shí)際應(yīng)用中的現(xiàn)實(shí)意義。

2 演練組織結(jié)構(gòu)部署及演練規(guī)模、形式

網(wǎng)絡(luò)安全攻防演練組織實(shí)施過(guò)程中應(yīng)預(yù)先約定參演范圍，明確目標(biāo)系統(tǒng)，建立指揮保障體系，確保演習(xí)過(guò)程可追可控。

2.1 建立指揮保障體系

2019年長(zhǎng)春市“人社系統(tǒng)”網(wǎng)絡(luò)安全攻防實(shí)戰(zhàn)演練為保證演練順利進(jìn)行，組建了演練指揮中心，負(fù)責(zé)演練的部署、調(diào)度和全程保障，制定詳細(xì)的攻防演練方案，以確保演練過(guò)程安全可控，取得預(yù)期效果。

指揮中心下設(shè)監(jiān)測(cè)預(yù)警組、分析評(píng)判組、保障組等多個(gè)部門，負(fù)責(zé)追蹤演練過(guò)程中攻防進(jìn)展情況，收集分析各項(xiàng)數(shù)據(jù)信息并做好應(yīng)急支撐保障，從而保證演練中各參演系統(tǒng)的安全運(yùn)行。

2.2 明確演練時(shí)間與演練形式

在演練開始前明確演練的開始時(shí)間、結(jié)束時(shí)間、參演系統(tǒng)范圍并通知攻、防雙方。2019長(zhǎng)春市“人社系統(tǒng)”網(wǎng)絡(luò)安全攻防實(shí)戰(zhàn)演練共設(shè)一個(gè)“攻擊組”和四個(gè)“防守組”，“攻擊組”成員均為業(yè)內(nèi)安全領(lǐng)域?qū)I(yè)技術(shù)人員?！胺朗亟M”成員分別來(lái)自參演系統(tǒng)所屬單位的工作人員和系統(tǒng)運(yùn)維公司技術(shù)人員。參演業(yè)務(wù)系統(tǒng)均為長(zhǎng)春市“人社系統(tǒng)”內(nèi)正在使用的業(yè)務(wù)系統(tǒng)。在預(yù)演前制定了詳細(xì)的攻防演練方案，建立了相應(yīng)的保護(hù)規(guī)則，以免造成重大的網(wǎng)絡(luò)安全事故。

2.3 攻防規(guī)則及安全防護(hù)措施

攻擊方不得使用拒絕服務(wù)類和溢出類攻擊，攻擊方法包括但不限于WEB類攻擊、系統(tǒng)類漏洞利用、代碼審計(jì)、逆向攻擊、網(wǎng)絡(luò)設(shè)備及安全設(shè)備漏洞利用等，不限制攻擊路徑。

防守方的工作重點(diǎn)在加固和建立防御策略，并可根據(jù)網(wǎng)絡(luò)安全應(yīng)急預(yù)案進(jìn)行應(yīng)急處理。

2.4 演練總結(jié)

演練結(jié)束后各參演系統(tǒng)所屬單位編制演練總結(jié)報(bào)告，內(nèi)容包括：準(zhǔn)備階段開展的工作；演練階段攻擊過(guò)程中發(fā)現(xiàn)目標(biāo)系統(tǒng)的問(wèn)題，防守過(guò)程中發(fā)現(xiàn)的系統(tǒng)問(wèn)題，問(wèn)題整改情況等。

指揮中心利用攻防演練平臺(tái)，統(tǒng)計(jì)攻擊方的攻擊行為、攻擊手段、攻擊次數(shù)等，統(tǒng)計(jì)防守方發(fā)現(xiàn)、檢測(cè)和攔截的攻擊數(shù)量；對(duì)演練情況進(jìn)行專業(yè)判別；編制攻防演練總結(jié)報(bào)告，召開攻防演練總結(jié)大會(huì)，總結(jié)經(jīng)驗(yàn)教訓(xùn)。

3 攻防演練所涉及的網(wǎng)絡(luò)安全技術(shù)

攻擊演練的目的是模擬黑客可能使用的攻擊技術(shù)和漏洞發(fā)現(xiàn)技術(shù)，對(duì)目標(biāo)系統(tǒng)的安全做深入的探測(cè)，發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)，能夠讓管理人員直觀了解信息系統(tǒng)漏洞被利用過(guò)程和導(dǎo)致的后果。

3.1 網(wǎng)絡(luò)攻擊工具選擇

2019長(zhǎng)春市“人社系統(tǒng)”網(wǎng)絡(luò)安全攻防實(shí)戰(zhàn)演練過(guò)程中“攻擊組”所使用的工具主要包括可以對(duì)網(wǎng)站等Web應(yīng)用進(jìn)行自動(dòng)化的應(yīng)用安全掃描和測(cè)試的Appscan、網(wǎng)絡(luò)漏洞掃描工具AWVS、迪普漏掃設(shè)備Scanner 1000、SQL注入工具sqlmap、網(wǎng)絡(luò)工具中有"瑞士軍刀"美譽(yù)的NetCat、curl模擬登錄和“攻擊組”自主編寫的腳本等。

3.2 攻擊滲透手段

本次攻防演練建立在真實(shí)的系統(tǒng)環(huán)境下，攻防隊(duì)伍實(shí)施“背靠背”的演練，通過(guò)攻防對(duì)抗，考驗(yàn)防守方的安全防護(hù)能力以及對(duì)安全事件的監(jiān)測(cè)發(fā)現(xiàn)能力和應(yīng)急處置能力?！肮艚M”模擬各種真實(shí)環(huán)境的攻擊手段對(duì)本次參演系統(tǒng)進(jìn)行全方面的攻擊測(cè)試，為增加防守難度，本次演練過(guò)程中特意安排了未告知“防守組”情況下的遠(yuǎn)程攻擊測(cè)試及休息日無(wú)人值守情況下的系統(tǒng)攻擊測(cè)試，力求在最大限度內(nèi)模擬真實(shí)環(huán)境檢驗(yàn)參演系統(tǒng)的網(wǎng)絡(luò)安全狀況。

所使用的攻擊手段包括：

（1）對(duì)參演系統(tǒng)利用端口掃描工具收集系統(tǒng)開放的端口信息。（2）針對(duì)參演系統(tǒng)所開放端口信息進(jìn)行嘗試性攻擊測(cè)試。

（3）對(duì)參演系統(tǒng)所使用的操作系統(tǒng)、web服務(wù)器、中間件、數(shù)據(jù)庫(kù)等可能存在的中、高危漏洞進(jìn)行掃描測(cè)試，并對(duì)可能存在的漏洞進(jìn)行嘗試性攻擊。

（4）針對(duì)服務(wù)器常用部署進(jìn)行“猜解攻擊”，包括服務(wù)器存在的默認(rèn)配置、默認(rèn)登錄賬戶、弱口令等現(xiàn)象。

（5）利用目標(biāo)系統(tǒng)的反射型、存儲(chǔ)型“跨站”腳本漏洞構(gòu)造Script腳本，在目標(biāo)網(wǎng)站頁(yè)面構(gòu)造不良提示信息，嚴(yán)重的可獲得后臺(tái)管理員權(quán)限對(duì)網(wǎng)站進(jìn)行管理。

（6）利用暴露在公共區(qū)域的自助設(shè)備、網(wǎng)絡(luò)接口等進(jìn)行內(nèi)網(wǎng)侵入攻擊測(cè)試。通過(guò)獲取內(nèi)部IP訪問(wèn)規(guī)則，取得內(nèi)網(wǎng)訪問(wèn)權(quán)限。

（7）運(yùn)用社會(huì)工程學(xué)手段，利用用戶的信任、貪財(cái)、獵奇等人性弱點(diǎn)，進(jìn)行諸如發(fā)送釣魚郵件、釣魚短信等辦法套取相關(guān)敏感信息，從而進(jìn)行社工入侵。

（8）利用監(jiān)控、門禁、機(jī)頂盒等大批量部署的物聯(lián)網(wǎng)設(shè)備進(jìn)行入侵。由于批量部署的設(shè)備極容易存在默認(rèn)口令、弱口令等問(wèn)題，通過(guò)對(duì)單點(diǎn)設(shè)備的入侵，獲取對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)的管理權(quán)限。

3.3 防御加固措施

面對(duì)復(fù)雜的網(wǎng)絡(luò)安全形勢(shì)，我們要做好重點(diǎn)防護(hù)，建立完整的防御體系，完善安全機(jī)制。

（1）加強(qiáng)網(wǎng)絡(luò)邊界管理，通過(guò)部署IPS、WAF、FW等安全設(shè)備增強(qiáng)外網(wǎng)檢測(cè)保護(hù)能力。再通過(guò)部署“堡壘機(jī)”、“誘餌機(jī)”等方式對(duì)異常流量進(jìn)行監(jiān)測(cè)和引流。

（2）關(guān)閉非必要服務(wù)端口，盡量降低外網(wǎng)訪問(wèn)風(fēng)險(xiǎn)。尤其注意系統(tǒng)默認(rèn)開放的諸如21、139、445、3389等高危服務(wù)端口，如有必要開放所屬服務(wù)建議修改為其他端口。

（3）對(duì)網(wǎng)絡(luò)內(nèi)所有服務(wù)器的操作系統(tǒng)、中間件、數(shù)據(jù)庫(kù)等及時(shí)更新漏洞補(bǔ)丁，修改默認(rèn)設(shè)置，強(qiáng)化系統(tǒng)防御能力。

（4）徹底清理系統(tǒng)內(nèi)存在的弱口令、默認(rèn)賬號(hào)密碼等問(wèn)題。要求使用復(fù)雜密碼格式，建議要包含數(shù)字、大小寫字母和特殊符號(hào)四類字符，長(zhǎng)度不小于8位。

（5）將部署在公共服務(wù)區(qū)域的自助終端機(jī)鎖死頁(yè)面權(quán)限，禁止直接訪問(wèn)后臺(tái)系統(tǒng)。暴露在外的公共服務(wù)區(qū)網(wǎng)口進(jìn)行及時(shí)處理，加入訪問(wèn)限制，避免私接設(shè)備隨意進(jìn)入內(nèi)部網(wǎng)絡(luò)。

（6）加強(qiáng)系統(tǒng)“運(yùn)維人員”的網(wǎng)絡(luò)安全知識(shí)培訓(xùn)，針對(duì)最新的病毒及網(wǎng)絡(luò)攻擊手段不斷改進(jìn)應(yīng)對(duì)措施，切實(shí)保證整體網(wǎng)絡(luò)運(yùn)行環(huán)境的安全。

（7）加強(qiáng)全員的社會(huì)工程學(xué)防范意識(shí)，對(duì)不明來(lái)源的信息做好審核驗(yàn)證，不要輕信通過(guò)微信、QQ、郵件、飛書等網(wǎng)絡(luò)渠道傳遞的信息內(nèi)容，嚴(yán)防個(gè)人敏感信息泄露。

（8）完善網(wǎng)絡(luò)安全制度，明確責(zé)任主體。對(duì)重點(diǎn)防護(hù)設(shè)施要做到責(zé)任到人，簽訂網(wǎng)絡(luò)安全責(zé)任承諾書。

4 網(wǎng)絡(luò)攻防實(shí)戰(zhàn)演練的現(xiàn)實(shí)意義

通過(guò)演練提高了“運(yùn)維人員”的網(wǎng)絡(luò)安全意識(shí)，讓以前一直忽視的諸多網(wǎng)絡(luò)安全問(wèn)題得到了一次系統(tǒng)性的檢測(cè)，基本理清了整個(gè)網(wǎng)絡(luò)的安全運(yùn)行狀況，對(duì)未來(lái)的網(wǎng)絡(luò)安全建設(shè)指明了方向，提供了切實(shí)可靠的重要依據(jù)。

網(wǎng)絡(luò)安全建設(shè)具有持續(xù)性、發(fā)展性、相對(duì)性、突變性等特點(diǎn)，隨著一些新型的病毒、系統(tǒng)漏洞、攻擊手段、甚至是硬件漏洞的不斷披露，網(wǎng)絡(luò)安全形勢(shì)會(huì)不斷地發(fā)生變化。今天我們?cè)诂F(xiàn)有條件下可能是相對(duì)安全的，明天可能隨著一個(gè)高危漏洞或病毒的發(fā)布，我們以前辛苦搭建的網(wǎng)絡(luò)安全體系就面臨著全面崩潰，需要馬上調(diào)整安全策略，重新構(gòu)筑更為安全的防御體系。比如2017年影響最惡劣的“永恒之藍(lán)”漏洞攻擊工具、2018年微軟的芯片漏洞等等，每一個(gè)新的高危漏洞被發(fā)現(xiàn)，我們的網(wǎng)絡(luò)安全措施都將進(jìn)行全面的修正。

所以我們的網(wǎng)絡(luò)安全建設(shè)任重而道遠(yuǎn)，需要全員建立良好的網(wǎng)絡(luò)安全意識(shí)，常抓不懈。由于網(wǎng)絡(luò)安全建設(shè)具有很強(qiáng)的木桶效應(yīng)，網(wǎng)絡(luò)中的任何一個(gè)節(jié)點(diǎn)存在安全風(fēng)險(xiǎn)就會(huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)的安全建設(shè)毀于一旦。所以整個(gè)建設(shè)過(guò)程中人人都是參與者，到處都是關(guān)鍵點(diǎn)，不存在一勞永逸的建設(shè)方案。這就要求我們必須真抓實(shí)干，建立完備的網(wǎng)絡(luò)應(yīng)急響應(yīng)預(yù)案，隨時(shí)準(zhǔn)備應(yīng)對(duì)突發(fā)的網(wǎng)絡(luò)安全事件。