本文刊登于《中國信息安全》雜志2019年第1期
文/財(cái)政部信息網(wǎng)絡(luò)中心 周云峰 葉大區(qū)
近期《中國信息安全》雜志開展了網(wǎng)絡(luò)安全演習(xí)的專題,對于各行業(yè)企業(yè)都有重要借鑒意義,昨天分享的《網(wǎng)絡(luò)安全演習(xí)探索與實(shí)踐》從網(wǎng)絡(luò)安全演習(xí)的形式、“攻擊”手法及管控要點(diǎn)上進(jìn)行了討論。今天將從另一個(gè)角度來探討實(shí)戰(zhàn)攻防演練對政務(wù)網(wǎng)絡(luò)安全體系建設(shè)的價(jià)值。
組織網(wǎng)絡(luò)安全演習(xí) 提升網(wǎng)絡(luò)防御能力
國外的網(wǎng)絡(luò)安全演習(xí),包括“網(wǎng)絡(luò)風(fēng)暴”“鎖定盾牌”“網(wǎng)絡(luò)歐洲”等,形成了跨域、跨國、跨部門的一體化模式,反映出各國強(qiáng)調(diào)組織協(xié)同、情報(bào)共享和安全協(xié)作等網(wǎng)絡(luò)安全能力建設(shè)新趨勢。根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》及《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》等法律法規(guī)要求,國家規(guī)模的演練已經(jīng)成為檢驗(yàn)網(wǎng)絡(luò)強(qiáng)國建設(shè)的重要手段。為檢驗(yàn)和完善網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,提高應(yīng)對突發(fā)網(wǎng)絡(luò)安全事件能力,在主管部門的統(tǒng)籌協(xié)調(diào)下,各地相繼舉行了網(wǎng)絡(luò)安全演練,結(jié)合“護(hù)網(wǎng)行動(dòng)”,成為提高參與方提升網(wǎng)絡(luò)安全事件協(xié)同配合能力,加強(qiáng)網(wǎng)絡(luò)安全隊(duì)伍建設(shè)的重要支撐。
通過實(shí)戰(zhàn)攻防演練審視政務(wù)網(wǎng)絡(luò)安全體系建設(shè)
政務(wù)網(wǎng)絡(luò)和政務(wù)信息系統(tǒng)作為國家網(wǎng)絡(luò)的重要組成部分,是網(wǎng)絡(luò)攻擊的重點(diǎn)目標(biāo),由于受到利益的驅(qū)使,網(wǎng)絡(luò)攻擊手段不斷翻新、攻擊規(guī)模不斷擴(kuò)大、攻擊鏈條不斷拓寬,而攻擊的成本和技術(shù)門檻日益降低,高級持續(xù)攻擊手段層出不窮,零日漏洞愈發(fā)頻發(fā),對現(xiàn)有政務(wù)網(wǎng)絡(luò)安全防御體系能力提出了巨大挑戰(zhàn)。實(shí)戰(zhàn)型攻防演練,能夠及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)安全防護(hù)、監(jiān)測和處置措施中可能存在的短板,是審視和提升政務(wù)網(wǎng)絡(luò)安全體系建設(shè)和保障能力的一項(xiàng)重要工作。
一、實(shí)戰(zhàn)攻防演練的意義
黨的十八大以來,以“建設(shè)網(wǎng)絡(luò)強(qiáng)國”為戰(zhàn)略目標(biāo),黨中央對網(wǎng)信工作提出一系列重大舉措,完成一系列戰(zhàn)略部署。這些都為開展網(wǎng)絡(luò)安全工作提供指引,同時(shí),也對政府部門網(wǎng)絡(luò)安全保障工作提出了更高要求。
(一)適應(yīng)新形勢下的網(wǎng)絡(luò)安全戰(zhàn)略
習(xí)近平總書記的系列講話為我國網(wǎng)絡(luò)空間安全建設(shè)提供了頂層設(shè)計(jì)框架,包括2016年的“4·19”講話,2016年10月的中共中央政治局第三十六次集體學(xué)習(xí)會(huì)議講話,以及2018年4月在全國網(wǎng)絡(luò)安全和信息化工作會(huì)議上的講話等。
2017年6月1日,《中華人民共和國網(wǎng)絡(luò)安全法》正式實(shí)施,把建立健全網(wǎng)絡(luò)安全保障體系,提高網(wǎng)絡(luò)安全保護(hù)能力提升到國家法律的高度。《2006-2020年國家信息化發(fā)展戰(zhàn)略》《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》的發(fā)布,也體現(xiàn)我國在網(wǎng)絡(luò)安全方面的戰(zhàn)略高度。《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》明確了國家網(wǎng)絡(luò)安全事件的組織、要求和處置流程。同時(shí),《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例》(征求意見稿)、《網(wǎng)絡(luò)安全等級保護(hù)條例》(征求意見稿)向全國征求意見,強(qiáng)化了國家對網(wǎng)絡(luò)安全工作的要求。
(二)培養(yǎng)網(wǎng)絡(luò)安全應(yīng)急保障隊(duì)伍
通過多年的建設(shè),政府網(wǎng)絡(luò)安全保障措施基本構(gòu)建了積極有效的網(wǎng)絡(luò)安全防御體系,但是,網(wǎng)絡(luò)安全的應(yīng)急保障隊(duì)伍是否能夠相互協(xié)同,在出現(xiàn)網(wǎng)絡(luò)攻擊時(shí)是否能夠確保多部門共同參與,相關(guān)機(jī)構(gòu)是否能夠共同有效處置網(wǎng)絡(luò)安全攻擊事件,是否能夠充分讓已經(jīng)建立的網(wǎng)絡(luò)安全保障機(jī)制、措施在網(wǎng)絡(luò)安全對抗中發(fā)揮成效,需要在平時(shí)的工作中加強(qiáng)演練和培養(yǎng)。
在政府組織內(nèi)部,通過日常內(nèi)部的應(yīng)急演練加強(qiáng)應(yīng)急保障機(jī)制和隊(duì)伍的培養(yǎng);在政府組織與網(wǎng)絡(luò)安全監(jiān)管單位之間,通過網(wǎng)絡(luò)安全實(shí)戰(zhàn)演練加強(qiáng)應(yīng)急保障隊(duì)伍的協(xié)同和機(jī)制的完善;在政府組織、監(jiān)管單位和技術(shù)支撐單位之間,通過構(gòu)建共同參與、共同提高、攻防相長的實(shí)訓(xùn)培養(yǎng)模式,切實(shí)強(qiáng)化應(yīng)急保障隊(duì)伍和機(jī)制建設(shè)。
(三)檢驗(yàn)網(wǎng)絡(luò)安全防御體系能力
黨和國家高度重視網(wǎng)絡(luò)安全保障工作,在新的發(fā)展形勢下,所建立的網(wǎng)絡(luò)安全體系是否能夠達(dá)到相應(yīng)的防護(hù)能力,是否能夠?qū)箛壹売薪M織的網(wǎng)絡(luò)攻擊,已經(jīng)部署的各類網(wǎng)絡(luò)安全設(shè)備設(shè)施、保障措施、組織流程和防護(hù)能力,是否能夠全面保障重要的信息系統(tǒng)安全穩(wěn)定運(yùn)行,已經(jīng)成為當(dāng)前我們面臨的一個(gè)重要問題。實(shí)戰(zhàn)型攻防演練是檢驗(yàn)現(xiàn)有網(wǎng)絡(luò)安全保障水平和防護(hù)能力的有效手段。
二、實(shí)戰(zhàn)攻防演練的組織實(shí)施
實(shí)戰(zhàn)型攻防演練是組織攻擊方和防守方對擬定的目標(biāo)系統(tǒng)進(jìn)行真實(shí)攻擊測試的一種演練方式,其特點(diǎn)是鎖定目標(biāo)系統(tǒng),并在真實(shí)網(wǎng)絡(luò)環(huán)境中進(jìn)行測試,同時(shí),不限制攻擊路徑,即可以通過任意路徑對目標(biāo)系統(tǒng)進(jìn)行攻擊,最終檢驗(yàn)?zāi)繕?biāo)系統(tǒng)的安全防護(hù)能力。其中,防守方可充分利用已經(jīng)建立的網(wǎng)絡(luò)安全監(jiān)測、防護(hù)和響應(yīng)機(jī)制和措施,有效組織網(wǎng)絡(luò)安全事件的應(yīng)急響應(yīng)組織隊(duì)伍,通過積極有效的響應(yīng)流程和應(yīng)對措施,強(qiáng)化與協(xié)防技術(shù)單位、監(jiān)管單位的組織配合等工作,實(shí)時(shí)對抗攻擊者的網(wǎng)絡(luò)攻擊行為。
作為實(shí)戰(zhàn)攻防演練的防守方,在開展實(shí)戰(zhàn)攻防演練的過程中,可以通過如下工作的分階段開展組織攻防演練的具體實(shí)施。
(一)前期準(zhǔn)備工作
由網(wǎng)絡(luò)安全管理部門統(tǒng)籌組織制定攻防演練的工作方案,明確攻防演練的組織結(jié)構(gòu)和分工,通過建立領(lǐng)導(dǎo)小組、防護(hù)工作組、應(yīng)急工作組和綜合工作組,按照工作階段和工作崗位的劃分,確定具體工作職責(zé)。明確組織分工后,需要對目標(biāo)系統(tǒng)相關(guān)的安全監(jiān)測與防護(hù)設(shè)備、網(wǎng)絡(luò)路徑及相關(guān)資產(chǎn)梳理,形成清晰的資產(chǎn)清單,摸清網(wǎng)絡(luò)安全現(xiàn)狀,為后續(xù)有針對性的網(wǎng)絡(luò)安全防護(hù)和監(jiān)控點(diǎn)部署、安全自查和整改加固等工作,提供基礎(chǔ)數(shù)據(jù)。
(二)開展安全自查和加固
防護(hù)工作組通過進(jìn)一步對目標(biāo)系統(tǒng)關(guān)聯(lián)資產(chǎn)(服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備)進(jìn)行安全漏洞掃描、安全基線檢查、安全策略檢查等工作,發(fā)現(xiàn)安全漏洞、弱點(diǎn)和不完善的策略設(shè)置,及時(shí)進(jìn)行安全加固、策略配置優(yōu)化和改進(jìn),切實(shí)加強(qiáng)系統(tǒng)的自身防護(hù)能力和安全措施的效能,減少安全隱患,降低可能被外部攻擊利用的脆弱性和風(fēng)險(xiǎn)。
(三)組織攻防預(yù)演練
在對目標(biāo)系統(tǒng)及相關(guān)網(wǎng)絡(luò)路徑的資產(chǎn)進(jìn)行安全自查和加固后,可開展一次攻防預(yù)演練,由網(wǎng)絡(luò)安全管理部門牽頭組織,邀請有技術(shù)力量的安全技術(shù)支撐單位作為攻擊隊(duì),對目標(biāo)系統(tǒng)進(jìn)行模擬攻擊,防護(hù)工作組和應(yīng)急工作組可通過預(yù)演練查看工作職責(zé)是否落實(shí)到位、防護(hù)設(shè)備策略是否發(fā)揮作用、監(jiān)測設(shè)備是否能夠正常監(jiān)測,以及組織之間的協(xié)同和配合是否順暢等。攻防預(yù)演練完成后,可針對預(yù)演練中發(fā)現(xiàn)的問題進(jìn)一步加以完善。
(四)正式演練和總結(jié)
網(wǎng)絡(luò)安全管理部門負(fù)責(zé)統(tǒng)一組織開展正式演練和總結(jié)工作,通過已確定的組織分工對網(wǎng)絡(luò)安全攻擊進(jìn)行監(jiān)測預(yù)警,及時(shí)通報(bào)安全事件,封阻非法攻擊IP地址及攻擊行為等,實(shí)時(shí)對抗攻擊隊(duì)的網(wǎng)絡(luò)攻擊。應(yīng)急工作組協(xié)同技術(shù)支撐單位開展應(yīng)急處置工作。演練結(jié)束后,總結(jié)經(jīng)驗(yàn)并完善本部門應(yīng)急響應(yīng)機(jī)制及預(yù)案,針對發(fā)現(xiàn)的安全漏洞及不足制定技術(shù)方案進(jìn)行整改加固。
通過開展實(shí)戰(zhàn)攻防演練,可對以下方面進(jìn)行檢驗(yàn):1.對政務(wù)網(wǎng)絡(luò)安全體系的監(jiān)測、防護(hù)和響應(yīng)措施的功效進(jìn)行檢驗(yàn);2.對網(wǎng)絡(luò)攻擊的監(jiān)測預(yù)警能力進(jìn)行檢驗(yàn),查看是否能有效發(fā)現(xiàn)攻擊手段和行為;3.對已有網(wǎng)絡(luò)安全防護(hù)措施是否能夠?qū)雇獠抗暨M(jìn)行檢驗(yàn),查看是否有效阻止外部攻擊;4.對政務(wù)網(wǎng)絡(luò)安全組織隊(duì)伍的人員能力和協(xié)同能力加以檢驗(yàn);5.對政務(wù)網(wǎng)絡(luò)安全運(yùn)維管理、機(jī)制和流程的有效性加以檢驗(yàn);6.對政務(wù)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的機(jī)制、流程、組織和資源保障等加以檢驗(yàn),同時(shí),對網(wǎng)絡(luò)安全應(yīng)急保障組織隊(duì)伍、機(jī)制和能力加以鍛煉和培養(yǎng)。
三、網(wǎng)絡(luò)安全體系建設(shè)成效和啟示
通過網(wǎng)絡(luò)安全實(shí)戰(zhàn)攻防演練,可以發(fā)現(xiàn)網(wǎng)絡(luò)安全工作的不足,也為網(wǎng)絡(luò)安全防護(hù)經(jīng)驗(yàn)的積累提供支撐。綜合來看,通過實(shí)戰(zhàn)攻防演練,加強(qiáng)網(wǎng)絡(luò)安全防護(hù)體系建設(shè),需要在網(wǎng)絡(luò)安全工作領(lǐng)導(dǎo)小組的統(tǒng)一指揮決策下,網(wǎng)絡(luò)安全各組織相互配合,有效協(xié)同,利用現(xiàn)有的網(wǎng)絡(luò)安全防護(hù)監(jiān)測、防護(hù)措施、規(guī)范流程和運(yùn)營應(yīng)急管理機(jī)制,使已建網(wǎng)絡(luò)安全防護(hù)體系措施發(fā)揮成效,成功對抗網(wǎng)絡(luò)攻擊。
(一)領(lǐng)導(dǎo)重視統(tǒng)籌指揮
領(lǐng)導(dǎo)的高度重視為開展相關(guān)工作提供方向和資源保障。針對開展網(wǎng)絡(luò)安全攻防演練,網(wǎng)絡(luò)安全部門需向上級領(lǐng)導(dǎo)進(jìn)行專項(xiàng)匯報(bào),引起上級領(lǐng)導(dǎo)重視,同時(shí),指示各相關(guān)部門要重視此項(xiàng)工作,加強(qiáng)領(lǐng)導(dǎo),有效保障,為此,可以專門成立領(lǐng)導(dǎo)該項(xiàng)工作的領(lǐng)導(dǎo)小組,總體領(lǐng)導(dǎo)和管理攻防演練工作。
(二)組織成員通力協(xié)作
網(wǎng)絡(luò)安全攻防演練期間的組織管理如同真正的“戰(zhàn)時(shí)”組織,領(lǐng)導(dǎo)小組要對網(wǎng)絡(luò)安全攻防演練工作進(jìn)行統(tǒng)一指揮決策,同時(shí),要建立完善的資源保障和協(xié)同小組,在攻防演練期間加強(qiáng)防護(hù)工作和應(yīng)急工作的組織協(xié)調(diào)。在攻防演練期間,明確攻防演練的綜合工作組、防護(hù)工作組和應(yīng)急工作組,按照工作階段和工作崗位的劃分,確定具體工作職責(zé)和內(nèi)容;組織不同領(lǐng)域的網(wǎng)絡(luò)安全技術(shù)支撐單位和應(yīng)用系統(tǒng)技術(shù)支撐單位共同開展相關(guān)工作。按照網(wǎng)絡(luò)攻防演練的工作職責(zé)與流程進(jìn)行具體的工作任務(wù)分工,為開展網(wǎng)絡(luò)攻防演練作好組織保障。
(三)管理制度規(guī)范執(zhí)行
在網(wǎng)絡(luò)安全組織保障的基礎(chǔ)上,日常所建立的網(wǎng)絡(luò)安全管理機(jī)制、制度流程和規(guī)范也是有效對抗網(wǎng)絡(luò)攻擊的重要屏障。在這方面,可以通過加強(qiáng)網(wǎng)絡(luò)安全的頂層設(shè)計(jì),圍繞總體工作目標(biāo)的落實(shí),制定并發(fā)布一系列流程、標(biāo)準(zhǔn)和規(guī)范,強(qiáng)化網(wǎng)絡(luò)安全政策、規(guī)章、知識(shí)和技能的培訓(xùn)教育和宣傳,切實(shí)提升網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管控能力和主動(dòng)防御能力,為在網(wǎng)絡(luò)安全攻防演練中有效對抗網(wǎng)絡(luò)攻擊奠定基礎(chǔ)。
(四)防護(hù)措施有效對抗
依托已經(jīng)建立的網(wǎng)絡(luò)安全防護(hù)體系措施,在網(wǎng)絡(luò)攻防演練期間,防護(hù)工作組通過采用網(wǎng)絡(luò)全流量安全感知平臺(tái)、未知威脅分析系統(tǒng)、IDS、安全日志審計(jì)系統(tǒng)、主機(jī)入侵檢測系統(tǒng)對網(wǎng)絡(luò)攻擊行為進(jìn)行監(jiān)測、分析和預(yù)警,同時(shí),配合網(wǎng)絡(luò)流量監(jiān)測、IT運(yùn)維監(jiān)控系統(tǒng)、服務(wù)器運(yùn)行狀態(tài)監(jiān)控,以及應(yīng)用系統(tǒng)運(yùn)行狀態(tài)監(jiān)測、日志審計(jì)等及時(shí)發(fā)現(xiàn)異常情況并進(jìn)行預(yù)警通告。通過多種方式的網(wǎng)絡(luò)安全監(jiān)測和綜合分析判定網(wǎng)絡(luò)安全攻擊情況,及時(shí)阻止網(wǎng)絡(luò)攻擊行為的進(jìn)一步蔓延,抑制并控制網(wǎng)絡(luò)安全攻擊行為的進(jìn)一步深入,有效對抗網(wǎng)絡(luò)攻擊。
(五)態(tài)勢感知能力凸顯
網(wǎng)絡(luò)安全態(tài)勢感知是對網(wǎng)絡(luò)攻擊進(jìn)行檢測的重要手段,在實(shí)戰(zhàn)攻擊演練過程中,通過網(wǎng)絡(luò)安全威脅監(jiān)測和分析,可以發(fā)現(xiàn)網(wǎng)絡(luò)掃描、探測、注入、跨站腳本等多種攻擊行為,并將這些攻擊行為定位到資產(chǎn)對象,及時(shí)抑制和處置攻擊行為。網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)對攻擊行為實(shí)時(shí)的監(jiān)測記錄,可以讓防護(hù)工作組、應(yīng)急工作組的技術(shù)人員進(jìn)行深入的溯源分析和研判,針對潛在的安全隱患,及時(shí)修復(fù),并結(jié)合威脅情報(bào)信息,深入檢驗(yàn)威脅的類型和影響范圍,為后續(xù)的防護(hù)策略優(yōu)化提供依據(jù),在網(wǎng)絡(luò)攻擊對抗的過程中發(fā)揮其應(yīng)有的能力。
(六)運(yùn)營服務(wù)保障得力
通過對網(wǎng)絡(luò)安全攻擊告警及統(tǒng)計(jì)的分析發(fā)現(xiàn),攻擊隊(duì)的行為在攻擊初期主要是進(jìn)行掃描、爆破、探測,企圖發(fā)現(xiàn)可利用安全漏洞進(jìn)行入侵獲取目標(biāo)系統(tǒng)權(quán)限。而到后期,攻擊隊(duì)將攻擊重點(diǎn)調(diào)整到攻擊路徑上的邊緣系統(tǒng),企圖尋找突破口再通過局域網(wǎng)內(nèi)部滲透橫移獲取攻擊路徑上其他系統(tǒng)的控制權(quán)限,并通過代理跳板最終獲取目標(biāo)系統(tǒng)權(quán)限。網(wǎng)絡(luò)安全運(yùn)營團(tuán)隊(duì)可以針對這些攻擊特征,通過各工作組安全監(jiān)測、分析處置和漏洞修復(fù),有效地抑制攻擊行為,阻斷攻擊隊(duì)的利用途徑。
(七)意識(shí)技能持續(xù)加強(qiáng)
真實(shí)的網(wǎng)絡(luò)攻擊往往是攻擊網(wǎng)絡(luò)安全防護(hù)中的最短板,而這些短板恰恰是由于人們的意識(shí)不足造成,可以被攻擊者直接利用,例如明文存放口令、用公共郵箱處理工作文檔、打開不明郵件和弱口令等常見問題,需要通過不斷加強(qiáng)意識(shí)教育工作來提高對網(wǎng)絡(luò)安全的認(rèn)識(shí)程度。同時(shí),各級政務(wù)工作人員,也要有一定的網(wǎng)絡(luò)安全操作技能,專業(yè)崗位要有專業(yè)的安全知識(shí),非專業(yè)崗位也要了解一些安全的操作行為,加強(qiáng)與網(wǎng)絡(luò)安全專職人員的配合、協(xié)作和溝通,綜合構(gòu)筑網(wǎng)絡(luò)安全的防線。
(公號頭圖源于網(wǎng)絡(luò))
