本文刊登于《中國信息安全》雜志2019年第1期
文/財政部信息網(wǎng)絡(luò)中心 周云峰 葉大區(qū)
近期《中國信息安全》雜志開展了網(wǎng)絡(luò)安全演習(xí)的專題,對于各行業(yè)企業(yè)都有重要借鑒意義,昨天分享的《網(wǎng)絡(luò)安全演習(xí)探索與實踐》從網(wǎng)絡(luò)安全演習(xí)的形式、“攻擊”手法及管控要點上進行了討論。今天將從另一個角度來探討實戰(zhàn)攻防演練對政務(wù)網(wǎng)絡(luò)安全體系建設(shè)的價值。
組織網(wǎng)絡(luò)安全演習(xí) 提升網(wǎng)絡(luò)防御能力
國外的網(wǎng)絡(luò)安全演習(xí),包括“網(wǎng)絡(luò)風(fēng)暴”“鎖定盾牌”“網(wǎng)絡(luò)歐洲”等,形成了跨域、跨國、跨部門的一體化模式,反映出各國強調(diào)組織協(xié)同、情報共享和安全協(xié)作等網(wǎng)絡(luò)安全能力建設(shè)新趨勢。根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》及《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》等法律法規(guī)要求,國家規(guī)模的演練已經(jīng)成為檢驗網(wǎng)絡(luò)強國建設(shè)的重要手段。為檢驗和完善網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,提高應(yīng)對突發(fā)網(wǎng)絡(luò)安全事件能力,在主管部門的統(tǒng)籌協(xié)調(diào)下,各地相繼舉行了網(wǎng)絡(luò)安全演練,結(jié)合“護網(wǎng)行動”,成為提高參與方提升網(wǎng)絡(luò)安全事件協(xié)同配合能力,加強網(wǎng)絡(luò)安全隊伍建設(shè)的重要支撐。
通過實戰(zhàn)攻防演練審視政務(wù)網(wǎng)絡(luò)安全體系建設(shè)
政務(wù)網(wǎng)絡(luò)和政務(wù)信息系統(tǒng)作為國家網(wǎng)絡(luò)的重要組成部分,是網(wǎng)絡(luò)攻擊的重點目標(biāo),由于受到利益的驅(qū)使,網(wǎng)絡(luò)攻擊手段不斷翻新、攻擊規(guī)模不斷擴大、攻擊鏈條不斷拓寬,而攻擊的成本和技術(shù)門檻日益降低,高級持續(xù)攻擊手段層出不窮,零日漏洞愈發(fā)頻發(fā),對現(xiàn)有政務(wù)網(wǎng)絡(luò)安全防御體系能力提出了巨大挑戰(zhàn)。實戰(zhàn)型攻防演練,能夠及時發(fā)現(xiàn)網(wǎng)絡(luò)安全防護、監(jiān)測和處置措施中可能存在的短板,是審視和提升政務(wù)網(wǎng)絡(luò)安全體系建設(shè)和保障能力的一項重要工作。
一、實戰(zhàn)攻防演練的意義
黨的十八大以來,以“建設(shè)網(wǎng)絡(luò)強國”為戰(zhàn)略目標(biāo),黨中央對網(wǎng)信工作提出一系列重大舉措,完成一系列戰(zhàn)略部署。這些都為開展網(wǎng)絡(luò)安全工作提供指引,同時,也對政府部門網(wǎng)絡(luò)安全保障工作提出了更高要求。
(一)適應(yīng)新形勢下的網(wǎng)絡(luò)安全戰(zhàn)略
習(xí)近平總書記的系列講話為我國網(wǎng)絡(luò)空間安全建設(shè)提供了頂層設(shè)計框架,包括2016年的“4·19”講話,2016年10月的中共中央政治局第三十六次集體學(xué)習(xí)會議講話,以及2018年4月在全國網(wǎng)絡(luò)安全和信息化工作會議上的講話等。
2017年6月1日,《中華人民共和國網(wǎng)絡(luò)安全法》正式實施,把建立健全網(wǎng)絡(luò)安全保障體系,提高網(wǎng)絡(luò)安全保護能力提升到國家法律的高度。《2006-2020年國家信息化發(fā)展戰(zhàn)略》《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》的發(fā)布,也體現(xiàn)我國在網(wǎng)絡(luò)安全方面的戰(zhàn)略高度。《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》明確了國家網(wǎng)絡(luò)安全事件的組織、要求和處置流程。同時,《關(guān)鍵信息基礎(chǔ)設(shè)施保護條例》(征求意見稿)、《網(wǎng)絡(luò)安全等級保護條例》(征求意見稿)向全國征求意見,強化了國家對網(wǎng)絡(luò)安全工作的要求。
(二)培養(yǎng)網(wǎng)絡(luò)安全應(yīng)急保障隊伍
通過多年的建設(shè),政府網(wǎng)絡(luò)安全保障措施基本構(gòu)建了積極有效的網(wǎng)絡(luò)安全防御體系,但是,網(wǎng)絡(luò)安全的應(yīng)急保障隊伍是否能夠相互協(xié)同,在出現(xiàn)網(wǎng)絡(luò)攻擊時是否能夠確保多部門共同參與,相關(guān)機構(gòu)是否能夠共同有效處置網(wǎng)絡(luò)安全攻擊事件,是否能夠充分讓已經(jīng)建立的網(wǎng)絡(luò)安全保障機制、措施在網(wǎng)絡(luò)安全對抗中發(fā)揮成效,需要在平時的工作中加強演練和培養(yǎng)。
在政府組織內(nèi)部,通過日常內(nèi)部的應(yīng)急演練加強應(yīng)急保障機制和隊伍的培養(yǎng);在政府組織與網(wǎng)絡(luò)安全監(jiān)管單位之間,通過網(wǎng)絡(luò)安全實戰(zhàn)演練加強應(yīng)急保障隊伍的協(xié)同和機制的完善;在政府組織、監(jiān)管單位和技術(shù)支撐單位之間,通過構(gòu)建共同參與、共同提高、攻防相長的實訓(xùn)培養(yǎng)模式,切實強化應(yīng)急保障隊伍和機制建設(shè)。
(三)檢驗網(wǎng)絡(luò)安全防御體系能力
黨和國家高度重視網(wǎng)絡(luò)安全保障工作,在新的發(fā)展形勢下,所建立的網(wǎng)絡(luò)安全體系是否能夠達(dá)到相應(yīng)的防護能力,是否能夠?qū)箛壹売薪M織的網(wǎng)絡(luò)攻擊,已經(jīng)部署的各類網(wǎng)絡(luò)安全設(shè)備設(shè)施、保障措施、組織流程和防護能力,是否能夠全面保障重要的信息系統(tǒng)安全穩(wěn)定運行,已經(jīng)成為當(dāng)前我們面臨的一個重要問題。實戰(zhàn)型攻防演練是檢驗現(xiàn)有網(wǎng)絡(luò)安全保障水平和防護能力的有效手段。
二、實戰(zhàn)攻防演練的組織實施
實戰(zhàn)型攻防演練是組織攻擊方和防守方對擬定的目標(biāo)系統(tǒng)進行真實攻擊測試的一種演練方式,其特點是鎖定目標(biāo)系統(tǒng),并在真實網(wǎng)絡(luò)環(huán)境中進行測試,同時,不限制攻擊路徑,即可以通過任意路徑對目標(biāo)系統(tǒng)進行攻擊,最終檢驗?zāi)繕?biāo)系統(tǒng)的安全防護能力。其中,防守方可充分利用已經(jīng)建立的網(wǎng)絡(luò)安全監(jiān)測、防護和響應(yīng)機制和措施,有效組織網(wǎng)絡(luò)安全事件的應(yīng)急響應(yīng)組織隊伍,通過積極有效的響應(yīng)流程和應(yīng)對措施,強化與協(xié)防技術(shù)單位、監(jiān)管單位的組織配合等工作,實時對抗攻擊者的網(wǎng)絡(luò)攻擊行為。
作為實戰(zhàn)攻防演練的防守方,在開展實戰(zhàn)攻防演練的過程中,可以通過如下工作的分階段開展組織攻防演練的具體實施。
(一)前期準(zhǔn)備工作
由網(wǎng)絡(luò)安全管理部門統(tǒng)籌組織制定攻防演練的工作方案,明確攻防演練的組織結(jié)構(gòu)和分工,通過建立領(lǐng)導(dǎo)小組、防護工作組、應(yīng)急工作組和綜合工作組,按照工作階段和工作崗位的劃分,確定具體工作職責(zé)。明確組織分工后,需要對目標(biāo)系統(tǒng)相關(guān)的安全監(jiān)測與防護設(shè)備、網(wǎng)絡(luò)路徑及相關(guān)資產(chǎn)梳理,形成清晰的資產(chǎn)清單,摸清網(wǎng)絡(luò)安全現(xiàn)狀,為后續(xù)有針對性的網(wǎng)絡(luò)安全防護和監(jiān)控點部署、安全自查和整改加固等工作,提供基礎(chǔ)數(shù)據(jù)。
(二)開展安全自查和加固
防護工作組通過進一步對目標(biāo)系統(tǒng)關(guān)聯(lián)資產(chǎn)(服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備)進行安全漏洞掃描、安全基線檢查、安全策略檢查等工作,發(fā)現(xiàn)安全漏洞、弱點和不完善的策略設(shè)置,及時進行安全加固、策略配置優(yōu)化和改進,切實加強系統(tǒng)的自身防護能力和安全措施的效能,減少安全隱患,降低可能被外部攻擊利用的脆弱性和風(fēng)險。
(三)組織攻防預(yù)演練
在對目標(biāo)系統(tǒng)及相關(guān)網(wǎng)絡(luò)路徑的資產(chǎn)進行安全自查和加固后,可開展一次攻防預(yù)演練,由網(wǎng)絡(luò)安全管理部門牽頭組織,邀請有技術(shù)力量的安全技術(shù)支撐單位作為攻擊隊,對目標(biāo)系統(tǒng)進行模擬攻擊,防護工作組和應(yīng)急工作組可通過預(yù)演練查看工作職責(zé)是否落實到位、防護設(shè)備策略是否發(fā)揮作用、監(jiān)測設(shè)備是否能夠正常監(jiān)測,以及組織之間的協(xié)同和配合是否順暢等。攻防預(yù)演練完成后,可針對預(yù)演練中發(fā)現(xiàn)的問題進一步加以完善。
(四)正式演練和總結(jié)
網(wǎng)絡(luò)安全管理部門負(fù)責(zé)統(tǒng)一組織開展正式演練和總結(jié)工作,通過已確定的組織分工對網(wǎng)絡(luò)安全攻擊進行監(jiān)測預(yù)警,及時通報安全事件,封阻非法攻擊IP地址及攻擊行為等,實時對抗攻擊隊的網(wǎng)絡(luò)攻擊。應(yīng)急工作組協(xié)同技術(shù)支撐單位開展應(yīng)急處置工作。演練結(jié)束后,總結(jié)經(jīng)驗并完善本部門應(yīng)急響應(yīng)機制及預(yù)案,針對發(fā)現(xiàn)的安全漏洞及不足制定技術(shù)方案進行整改加固。
通過開展實戰(zhàn)攻防演練,可對以下方面進行檢驗:1.對政務(wù)網(wǎng)絡(luò)安全體系的監(jiān)測、防護和響應(yīng)措施的功效進行檢驗;2.對網(wǎng)絡(luò)攻擊的監(jiān)測預(yù)警能力進行檢驗,查看是否能有效發(fā)現(xiàn)攻擊手段和行為;3.對已有網(wǎng)絡(luò)安全防護措施是否能夠?qū)雇獠抗暨M行檢驗,查看是否有效阻止外部攻擊;4.對政務(wù)網(wǎng)絡(luò)安全組織隊伍的人員能力和協(xié)同能力加以檢驗;5.對政務(wù)網(wǎng)絡(luò)安全運維管理、機制和流程的有效性加以檢驗;6.對政務(wù)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的機制、流程、組織和資源保障等加以檢驗,同時,對網(wǎng)絡(luò)安全應(yīng)急保障組織隊伍、機制和能力加以鍛煉和培養(yǎng)。
三、網(wǎng)絡(luò)安全體系建設(shè)成效和啟示
通過網(wǎng)絡(luò)安全實戰(zhàn)攻防演練,可以發(fā)現(xiàn)網(wǎng)絡(luò)安全工作的不足,也為網(wǎng)絡(luò)安全防護經(jīng)驗的積累提供支撐。綜合來看,通過實戰(zhàn)攻防演練,加強網(wǎng)絡(luò)安全防護體系建設(shè),需要在網(wǎng)絡(luò)安全工作領(lǐng)導(dǎo)小組的統(tǒng)一指揮決策下,網(wǎng)絡(luò)安全各組織相互配合,有效協(xié)同,利用現(xiàn)有的網(wǎng)絡(luò)安全防護監(jiān)測、防護措施、規(guī)范流程和運營應(yīng)急管理機制,使已建網(wǎng)絡(luò)安全防護體系措施發(fā)揮成效,成功對抗網(wǎng)絡(luò)攻擊。
(一)領(lǐng)導(dǎo)重視統(tǒng)籌指揮
領(lǐng)導(dǎo)的高度重視為開展相關(guān)工作提供方向和資源保障。針對開展網(wǎng)絡(luò)安全攻防演練,網(wǎng)絡(luò)安全部門需向上級領(lǐng)導(dǎo)進行專項匯報,引起上級領(lǐng)導(dǎo)重視,同時,指示各相關(guān)部門要重視此項工作,加強領(lǐng)導(dǎo),有效保障,為此,可以專門成立領(lǐng)導(dǎo)該項工作的領(lǐng)導(dǎo)小組,總體領(lǐng)導(dǎo)和管理攻防演練工作。
(二)組織成員通力協(xié)作
網(wǎng)絡(luò)安全攻防演練期間的組織管理如同真正的“戰(zhàn)時”組織,領(lǐng)導(dǎo)小組要對網(wǎng)絡(luò)安全攻防演練工作進行統(tǒng)一指揮決策,同時,要建立完善的資源保障和協(xié)同小組,在攻防演練期間加強防護工作和應(yīng)急工作的組織協(xié)調(diào)。在攻防演練期間,明確攻防演練的綜合工作組、防護工作組和應(yīng)急工作組,按照工作階段和工作崗位的劃分,確定具體工作職責(zé)和內(nèi)容;組織不同領(lǐng)域的網(wǎng)絡(luò)安全技術(shù)支撐單位和應(yīng)用系統(tǒng)技術(shù)支撐單位共同開展相關(guān)工作。按照網(wǎng)絡(luò)攻防演練的工作職責(zé)與流程進行具體的工作任務(wù)分工,為開展網(wǎng)絡(luò)攻防演練作好組織保障。
(三)管理制度規(guī)范執(zhí)行
在網(wǎng)絡(luò)安全組織保障的基礎(chǔ)上,日常所建立的網(wǎng)絡(luò)安全管理機制、制度流程和規(guī)范也是有效對抗網(wǎng)絡(luò)攻擊的重要屏障。在這方面,可以通過加強網(wǎng)絡(luò)安全的頂層設(shè)計,圍繞總體工作目標(biāo)的落實,制定并發(fā)布一系列流程、標(biāo)準(zhǔn)和規(guī)范,強化網(wǎng)絡(luò)安全政策、規(guī)章、知識和技能的培訓(xùn)教育和宣傳,切實提升網(wǎng)絡(luò)安全風(fēng)險管控能力和主動防御能力,為在網(wǎng)絡(luò)安全攻防演練中有效對抗網(wǎng)絡(luò)攻擊奠定基礎(chǔ)。
(四)防護措施有效對抗
依托已經(jīng)建立的網(wǎng)絡(luò)安全防護體系措施,在網(wǎng)絡(luò)攻防演練期間,防護工作組通過采用網(wǎng)絡(luò)全流量安全感知平臺、未知威脅分析系統(tǒng)、IDS、安全日志審計系統(tǒng)、主機入侵檢測系統(tǒng)對網(wǎng)絡(luò)攻擊行為進行監(jiān)測、分析和預(yù)警,同時,配合網(wǎng)絡(luò)流量監(jiān)測、IT運維監(jiān)控系統(tǒng)、服務(wù)器運行狀態(tài)監(jiān)控,以及應(yīng)用系統(tǒng)運行狀態(tài)監(jiān)測、日志審計等及時發(fā)現(xiàn)異常情況并進行預(yù)警通告。通過多種方式的網(wǎng)絡(luò)安全監(jiān)測和綜合分析判定網(wǎng)絡(luò)安全攻擊情況,及時阻止網(wǎng)絡(luò)攻擊行為的進一步蔓延,抑制并控制網(wǎng)絡(luò)安全攻擊行為的進一步深入,有效對抗網(wǎng)絡(luò)攻擊。
(五)態(tài)勢感知能力凸顯
網(wǎng)絡(luò)安全態(tài)勢感知是對網(wǎng)絡(luò)攻擊進行檢測的重要手段,在實戰(zhàn)攻擊演練過程中,通過網(wǎng)絡(luò)安全威脅監(jiān)測和分析,可以發(fā)現(xiàn)網(wǎng)絡(luò)掃描、探測、注入、跨站腳本等多種攻擊行為,并將這些攻擊行為定位到資產(chǎn)對象,及時抑制和處置攻擊行為。網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)對攻擊行為實時的監(jiān)測記錄,可以讓防護工作組、應(yīng)急工作組的技術(shù)人員進行深入的溯源分析和研判,針對潛在的安全隱患,及時修復(fù),并結(jié)合威脅情報信息,深入檢驗威脅的類型和影響范圍,為后續(xù)的防護策略優(yōu)化提供依據(jù),在網(wǎng)絡(luò)攻擊對抗的過程中發(fā)揮其應(yīng)有的能力。
(六)運營服務(wù)保障得力
通過對網(wǎng)絡(luò)安全攻擊告警及統(tǒng)計的分析發(fā)現(xiàn),攻擊隊的行為在攻擊初期主要是進行掃描、爆破、探測,企圖發(fā)現(xiàn)可利用安全漏洞進行入侵獲取目標(biāo)系統(tǒng)權(quán)限。而到后期,攻擊隊將攻擊重點調(diào)整到攻擊路徑上的邊緣系統(tǒng),企圖尋找突破口再通過局域網(wǎng)內(nèi)部滲透橫移獲取攻擊路徑上其他系統(tǒng)的控制權(quán)限,并通過代理跳板最終獲取目標(biāo)系統(tǒng)權(quán)限。網(wǎng)絡(luò)安全運營團隊可以針對這些攻擊特征,通過各工作組安全監(jiān)測、分析處置和漏洞修復(fù),有效地抑制攻擊行為,阻斷攻擊隊的利用途徑。
(七)意識技能持續(xù)加強
真實的網(wǎng)絡(luò)攻擊往往是攻擊網(wǎng)絡(luò)安全防護中的最短板,而這些短板恰恰是由于人們的意識不足造成,可以被攻擊者直接利用,例如明文存放口令、用公共郵箱處理工作文檔、打開不明郵件和弱口令等常見問題,需要通過不斷加強意識教育工作來提高對網(wǎng)絡(luò)安全的認(rèn)識程度。同時,各級政務(wù)工作人員,也要有一定的網(wǎng)絡(luò)安全操作技能,專業(yè)崗位要有專業(yè)的安全知識,非專業(yè)崗位也要了解一些安全的操作行為,加強與網(wǎng)絡(luò)安全專職人員的配合、協(xié)作和溝通,綜合構(gòu)筑網(wǎng)絡(luò)安全的防線。
(公號頭圖源于網(wǎng)絡(luò))
