王洪川

(遼寧交通信息技術有限公司 沈陽市 110000)

1 網絡安全攻防演練的應用背景

自2020年1月1日取消高速公路省界收費站全國并網接入后，實現(xiàn)了高速公路全國“一張網”，在實現(xiàn)不停車快捷收費，減少擁堵，便利群眾的同時，也增加了網絡安全風險[1]。作為國內重要基礎設施，做好網絡安全防護、確保高速公路穩(wěn)定運行尤為重要。因此，自2020年以來，全國聯(lián)網收費系統(tǒng)就作為了網絡安全攻防演練的重點系統(tǒng)之一。

2 網絡安全攻防演練的方案

2.1 網絡安全攻防演練的指揮保障

(1)成立攻防演練領導小組

應成立攻防演練領導小組，統(tǒng)一領導和指揮調度攻防演練有關工作，做好工作的部署和信息的同步，落實演練下發(fā)的任務和要求。

(2)成立攻防演練行動工作組

應按照本單位的實際情況設置攻防演練行動工作組，負責本單位演練工作的部署和組織協(xié)調，落實本單位的整體摸排、安全整改、安全監(jiān)控與安全防護工作。

2.2 工作機制

(1)制定防守方案

根據(jù)本單位實際情況，制定防守方案，方案內容包括防守方組成各部門及合作機構的工作職責，確定主要牽頭部門和演練接口人，攻擊前對風險排查、風險處置、安全培訓等工作的計劃，對值守人員的安排，工作內容、攻擊處置及信息報告流程，以及事后的復盤工作總結等。

(2)召開演練工作啟動會

攻防演練開始前，應組織各參演部門相關人員，召開演練工作啟動會。以啟動會的形式明確本次演練防守工作的目的、工作分工、計劃安排和基本工作流程，對演練各階段參演部門人員的工作內容和職責進行宣貫 。建立演練工作中的溝通聯(lián)絡機制，并建立各參演人員的聯(lián)系清單。

2.3 保障實施方案

保障工作劃分為4個階段：啟動階段、備戰(zhàn)階段、實戰(zhàn)階段和總結階段。

2.3.1啟動階段

召開全公司網絡安全保障會議，介紹本次行動的背景、基本原則、演練保障范圍及目標，對此次攻防演練行動的重要性進行宣貫，動員信息安全力量，提高各級領導及網絡信息安全專責人員對此次攻防演練行動的重視程度，明確各部門安全職責和協(xié)作機制。

組織開展第三方技術團隊動員會，根據(jù)安全保障團隊組建分工和要求，明確集成商、軟件開發(fā)商、安全廠商、安全支撐團隊、各工作組的責任，履行崗位安全職能，簽訂保密承諾書。

組織全省各相關單位一線演練保障人員參與安全專項培訓，包含網絡安全實戰(zhàn)攻防演練介紹、防御思路和重點、演練保障工作流程、信息安全意識等的培訓。

2.3.2備戰(zhàn)階段

在安全攻防演練備戰(zhàn)階段，組織開展互聯(lián)網暴露資產排查、安全管理風險自查、系統(tǒng)安全風險自查、整體安全策略優(yōu)化、安全風險閉環(huán)管理等工作，演練前發(fā)現(xiàn)存在的安全風險問題，并完成加固、優(yōu)化等工作，實現(xiàn)風險閉環(huán)管理，提升整體安全防護能力。

(1)互聯(lián)網可見資產排查

開展互聯(lián)網可見資產排查工作，對暴露在互聯(lián)網上、具備公網地址的資產，即面向互聯(lián)網提供WEB、小程序等互聯(lián)網服務的服務器和設備進行全面梳理，包括：IP地址、端口、服務名稱及版本、操作系統(tǒng)類型及版本、應用框架類型及版本、業(yè)務系統(tǒng)歸屬、責任人等，其中“IP+端口+服務”的三元組為資產的唯一標識符，形成互聯(lián)網暴露資產清單，在保障備戰(zhàn)階段中進行重點關注、有效收斂可能的攻擊面。

(2)網絡安全管理自查

通過管理風險自查表形式開展安全管理風險自查工作，包含：工作區(qū)域安全管理、網路安全管理、存儲介質安全管理、機房管理、計算機病毒防范管理、計算機終端維護管理、賬號、口令及權限管理等，通過自查形式梳理、匯總當前安全管理風險問題，及時發(fā)現(xiàn)安全管理不符合項，并針對不合規(guī)項進行優(yōu)化整改，降低因安全管理不合規(guī)項導致的攻擊成功概率。

(3)系統(tǒng)安全管理自查

通過系統(tǒng)安全風險自查表形式開展系統(tǒng)安全風險自查工作，包含：數(shù)據(jù)安全、應用和數(shù)據(jù)安全、主機安全、網絡和通訊安全、安全運維管理、系統(tǒng)安全管理、數(shù)據(jù)備份/銷毀管理等，通過自查形式梳理、匯總當前系統(tǒng)安全風險問題。

安全技術團隊對備戰(zhàn)階段安全管理自查、系統(tǒng)風險自查工作中發(fā)現(xiàn)的風險及問題進行最終匯總整合，并且形成相應的跟蹤表，設立每項風險閉環(huán)的責任主體和負責人，并根據(jù)實際情況，選擇合適的手段，明確整改計劃，及時跟進，直至各項風險閉環(huán)處置。

(4)系統(tǒng)漏洞檢查和加固

開展系統(tǒng)漏洞檢查工作，通過漏洞檢查工具對省級收費系統(tǒng)進行安全檢查，包含網絡設備、操作系統(tǒng)、應用軟件、中間件和服務等進行安全漏洞識別[2]。開展弱口令檢查工作，降低攻擊方可通過口令爆破、弱口令掃描等方式破解賬號口令，進而獲取主機、服務器的管理權限，從而進一步滲透的風險。利用技術手段嚴格排查弱口令、空口令、默認口令等問題，及時進行安全加固，避免演練期間發(fā)生相關事件。

開展高危端口、不必要服務檢查工作，關閉高危、不必要的端口和服務，漏洞檢查人員、技術專家協(xié)助系統(tǒng)運維人員、開發(fā)人員關閉不必要的端口、服務。

(5)入侵痕跡排查和修復

開展入侵痕跡排查工作，對現(xiàn)有主機、設備、應用、服務等模塊排查是否存在隱藏創(chuàng)建賬號、未知網絡連接、非法創(chuàng)建進程、webshell、僵木蠕蟲等問題，及時封堵已存在入侵后門。

(6)策略優(yōu)化

針對數(shù)據(jù)庫、操作系統(tǒng)、應用軟件自身安全策略進行優(yōu)化，配置合理、有效的安全策略，保證相關安全機制有效開啟。

對網絡設備策略、安全設備策略、主機防護策略等進行進一步調整和優(yōu)化。如安全設備針對業(yè)務系統(tǒng)技術架構，添加臨時自定義攔截規(guī)則；針對高風險漏洞開啟相應監(jiān)測和防護策略；網絡設備開啟白名單機制并設置限制來源等。

(7)社工排查

開展社工抽查工作，包含如下內容：

①移動存儲介質管理意識排查與演練。

②機房及業(yè)務區(qū)管理身份冒用識別、防尾隨演練。

③管理員口令權限索要或套取演練。

④檢驗機房、業(yè)務區(qū)門禁、移動存儲介質等安全管理職責落實情況，同時檢驗員工安全意識。

2.3.3實戰(zhàn)階段

(1)安全值守監(jiān)控

在攻防演練實戰(zhàn)期間，監(jiān)測分析組將對外部安全威脅情報、安全漏洞情報及外部披露情報等安全情報進行實時監(jiān)控，通過對部署在網內的監(jiān)測預警平臺、安全設備進行監(jiān)控預警，日志分析，實時從設備告警日志中捕獲異常攻擊行為或操作行為，通過策略調優(yōu)、誤攔分析，及時封堵異常攻擊行為，對安全風險進行閉環(huán)等。

(2)安全事件處置

處置組對真實入侵行為及時響應，并開展阻斷工作，協(xié)助應用組、應用支撐組排查服務器上的木馬程序，分析攻擊者入侵途徑并溯源，并協(xié)助進行防護處置；協(xié)助網絡組、網絡支撐組排查網絡設備上的攻擊告警，分析攻擊者入侵途徑并溯源，并協(xié)助進行防護處置。處置流程見圖1。

圖1 安全事件處置流程

(3)研判預警通告

在攻防演練保障期間，技術專家組將對監(jiān)測分析組上報事件進行研判分析，對符合預警條件的事件進行通知處理。

安全預警通告主要類型包括安全風險預警通告、安全事件應急通告、可疑安全行為通告，當技術專家組收到上述通告時，及時研判被通告事件與保障目標資產吻合度，對風險內容進行定位分析，確認實際影響范圍、威脅程度、緊急程度等，并協(xié)調處置組進行處理，以達到快速閉環(huán)安全風險目的。

(4)威脅情報收集

情報收集組收集各渠道上報、通告的漏洞預警信息、惡意IP信息、事件處置信息以及其它針對攻防演練的有效信息，并將情報信息傳遞給技術專家組。

(5)演練事件上報

在攻防演練實戰(zhàn)期間，演練防守方對檢測到的告警信息進行研判分析，對確屬攻擊行為的安全事件，技術專家組、處置組提供相應證據(jù)，并由事件上報組及時根據(jù)規(guī)定格式編寫防守方成果報告，提交至指揮聯(lián)絡組，由專人統(tǒng)一上報。

2.3.4總結階段

實戰(zhàn)階段結束后，開展攻防演練總結會議，對整個安全保障工作進行總結，包括安全保障效果和成果、工作存在的問題和改進計劃、業(yè)務和系統(tǒng)遺留風險及持續(xù)控制計劃等。待到交通部成果下發(fā)之后，對攻防演習行動進行復盤，分析攻擊者入侵途徑，檢查防護漏洞，結合當前防護能力提出可落地的后續(xù)能力建設方案，為后期保障工作總結最佳實踐。

3 高速公路聯(lián)網收費系統(tǒng)攻防演練效果

撤站后高速公路聯(lián)網收費系統(tǒng)經過連續(xù)兩年的攻防演練，系統(tǒng)的安全性得到明顯提高。首先從業(yè)人員的網絡安全意識得到了顯著提高，從管理和技術兩個方面都有了較為明顯的改善；其次是在應對網絡安全突發(fā)事件時，系統(tǒng)維護人員和管理人員能夠更加從容應對，更加熟悉應急處置流程。因此，高速公路聯(lián)網收費系統(tǒng)網絡安全攻防演練達到了既定目標，取得了較好的社會效益和經濟效益，對全國高速公路運行起到了重要的現(xiàn)實意義。