晚會兒更新

本來想著都四天了，落枕應該稍微好點了，所以，就沒吃布洛芬，結果，等布洛芬藥效過去之後卻發現還是跟原來一樣疼，而新的布洛芬吃下去又要一兩個小時才能起效果，所以，今天晚會兒更新，大概凌晨一兩點吧，到時候把這章重新整理一下就行了。

…………

摘要：利用網絡安全漏洞進行有組織、有目的的網絡攻擊形勢愈加明顯，一方面留給應急響應的時間視窗越來越小，另一方面應急響應所需的威脅知識、專業技能、熟練程度等卻不斷增加。本文提出了網路運營者作為防守方開展應急響應的簡明流程及響應步驟，為相關單位提供實踐參考。

關鍵詞：網絡安全關鍵資訊基礎設施攻防演練

1引言

伴隨著資訊科技在社會發展中的重要性越來越高，網絡空間已經成為大國博弈的新戰場。網絡安全攻防演練作為檢驗關鍵資訊基礎設施的網絡安全防護、提升網路運營者應急響應水平等關鍵工作的重要手段，以實戰和對抗的方式促進提升網絡安全保障能力，具有重要意義。本文站在網路運營者視角，以參與組織的一次政府網站實戰攻防演練過程為例，簡述攻防演練中防守方如何開展工作，為相關單位提供組織應對經驗。

2演練內容

某單位組織網絡安全專業技術人員組成若干攻擊隊伍，對管轄範圍內二級機構的官方網站及業務系統進行持續5天的安全攻擊測試，驗證目標系統安全防護能力的有效性，每天固定時間在統一演練平臺提交防守方報告。筆者所在單位作為目標網站及業務系統運營單位，需確保目標信息系統的實體安全、執行安全和數據安全，最大限度地減輕網絡安全突發事件的危害。

3組織架構

成立防守指揮部，由網絡安全主管領導擔任總指揮，成員由網絡安全及業務系統運營部門領導組成。指揮部下設防守工作組、監控分析組、研判處置組，總計20人。

3.1防守指揮部

統籌整體演練防守工作，負責信息系統攻擊防禦演練的指揮、組織協調和過程控制；下達系統停運、恢復關鍵操作以及對外資訊報送授權指令；報告演練進展情況和總結報告，確保演練工作達到預期目的。

3.2防守工作組

負責信息系統突發事件演練的具體工作；搭建維護演練集中監控及處置環境；分析和評估信息系統突發事件對業務影響情況；收集分析信息系統突發事件處置過程中的資料資訊和記錄；向指揮部報告演練進展情況和事態發展情況；負責牽頭開展每日的安全事件總結和分析工作；統計、篩選、提交防守方報告。

3.3監控分析組

負責攻防演練期間業務系統訪問監控及網絡安全態勢監控，發現並識別網絡攻擊，做好監控過程的記錄工作，並向研判處置組發出攻擊預警；及時修補業務系統存在的漏洞，開展業務系統關停及恢復工作。

3.4研判處置組

演練備戰階段，負責對發現的網絡安全隱患進行整改，落實各項安全防護措施。演練實戰階段，對網絡攻擊流量進行清洗，確保業務系統可用性；根據需要機動、靈活調配技術資源，完成技術分析與研判、實時攻擊對抗、應急響應等工作。

【目前用下來，聽書聲音最全最好用的App，集成4大語音合成引擎，超100種音色，更是支持離線朗讀的換源神器，huanyuanapp.org 換源App】

4演練實施

按照過往演練經驗，小規模的防守宜按照演練前、演練中、演練後三個階段開展相關工作。

4.1攻防演練前

攻防演練前建立完善的保障團隊。從安全技術層面建立監測預警體系，在安全制度層面建設通告預警與處置反饋機制。對本次保障範圍內的信息系統進行詳細的風險評估和安全加固，制定《網絡安全攻防演練實施方桉》，並對相關人員進行資訊保安意識宣貫。4.1.1資產梳理。開展信息化資產梳理，主要梳理內容包括但不限於：梳理對外釋出的網際網路應用系統；梳理網際網路出口及出口所使用的裝置和安全措施；梳理網絡結構（網絡拓撲）；梳理重要的或需要重點保護的信息系統、應用系統各服務器之間的拓撲結構；梳理網絡安全裝置及網路防護情況；梳理SSLVPN和IPSe接入情況。4.1.2風險評估。安全保障專家結合信息化資產梳理結果進行安全風險評估。安全保障專家可使用調研問卷、人員訪談和安全技術（滲透測試、漏洞掃描、基線核查等）等方式，透過安全工具或人工方式從網絡安全風險、應用安全風險、主機安全風險、終端安全風險和數據安全風險等維度進行安全風險評估，各部分內容可參考如下。（1）網絡安全風險評估網路架構風險評估，利用人工和工具等方式從技術、策略和管理等角度更深層次挖掘出當前網路中存在的威脅和風險。安全漏洞和安全基線風險評估，利用掃描工具對網絡設備進行掃描和全面檢查。弱口令風險評估，嚴格禁止所有賬號的弱口令、空口令情況。賬號、許可權風險評估，檢查管理員賬號和許可權，關閉不必要的賬號，取消不合理的賬號許可權；保證密碼強度符合安全基線要求。遠端登入白名單風險評估，嚴格限制可以遠程管理的IP地址，禁用Tel進行遠程管理。配置備份風險評估，所有網絡設備全部要做好配置備份，確認備份有效可以恢復。（2）應用安全風險評估身份鑑別風險評估，評估應用系統的身份標識與鑑別功能設定和使用配置情況，應用系統對使用者登入各種情況的處理，如登入失敗、登入連線超時等。訪問控制風險評估，評估應用系統的訪問控制功能設定情況，如訪問控制的策略、許可權設定情況等。安全審計風險評估，評估應用系統的安全審計配置情況，如覆蓋範圍、記錄的專案和內容等。資產暴露面風險評估，模擬駭客進行資訊收集，獲取資產詳細信息（程式名稱、版本）、開放的危險埠、業務管理後臺等。應用漏洞風險評估，包括here、Tomcat、IIS等，其他SSH、FTP等程式的缺失補丁或版本漏洞檢測。滲透測試，採用適當測試手段，發現測試目標在信息系統認證及授權、程式碼審查等方面存在的安全漏洞，並再現利用該漏洞可能造成的損失，提供避免或防範此類威脅、風險或漏洞的具體改進或加固措施。（3）主機安全風險評估WebShell風險評估，對提供Web服務的系統進行WebShell後門排查，驗證伺服器的安全性，確保清除曾經可能被入侵遺留下的後門。惡意檔案風險評估，利用專業殭屍木馬蠕蟲檢測工具對作業系統進行惡意檔案排查，並針對惡意檔案進行行為分析，確認病毒家族及其危害。弱口令風險評估，嚴格禁止所有賬號的弱口令、空口令情況。埠及服務風險評估，伺服器只開放自身提供服務相關埠，關閉不必要的埠和對外服務。伺服器防火牆風險評估，預設禁止所有主動對外訪問行為，如有需要，需嚴格制定訪問控制策略，實行伺服器對外訪問白名單。系統漏洞掃描風險評估，對作業系統、資料庫及常見應用、協議進行漏洞掃描。（4）終端安全風險評估安全基線風險評估，對終端的作業系統進行安全配置基線檢查，保證終端設備安全。弱口令風險評估，嚴格禁止所有賬號的弱口令、空口令情況。防病毒軟體風險評估，檢查終端是否安裝防病毒軟體，安全策略是否開啟。非法外聯風險評估，檢查終端是否配置了雙網卡，是否開放或連線熱點。補丁更新風險評估，檢查補丁更新情況。（5）數據安全風險評估安全基線風險評估，對資料庫的作業系統進行安全配置基線檢查，保證數據庫系統安全。資料訪問控制風險評估，對資料的訪問、許可權設定進行評估。數據備份風險評估，檢查數據備份策略、災備情況。4.1.3安全加固。透過評估與檢查的方式，分析信息化資產及重要信息系統的安全漏洞與風險，並有針對性地進行安全加固。網絡設備、安全設備、安全系統等網路層面安全問題由基礎網路運營部門負責加固；應用系統存在的漏洞、程式碼邏輯錯誤、管理員弱口令、中介軟體漏洞等主機和應用層問題由各相關系統負責人進行加固，由安全專家提供相關指導建議解決目標系統在安全評估中發現的技術性安全問題，對系統安全配置進行最佳化，杜絕系統配置不當而出現的弱點。4.1.4安全培訓。為提升安全技術人員安全技術能力和非安全人員的資訊保安意識，防守工作組定製培訓課程內容，使用相關教材和實戰桉例等資料，幫助相關人員強化安全意識，強化資訊保安攻防知識，以便更好地在演練過程中有效應對網絡攻擊。培訓主要內容：針對安全技術人員、安全管理員進行安全意識、安全常識、Web構成、常見漏洞、熱點0Day事件、入侵流程、惡意軟件現象和防禦方法培訓；針對非安全技術人員從個人電腦安全、郵件安全、移動安全、日常工作生活等維度進行強化安全意識培訓。4.1.5模擬攻防。完成安全加固後，為檢驗安全加固的成果、檢驗安全防護體系的健壯性和有效性，需要組織模擬攻防演練進行安全能力檢驗。可邀請安全公司模擬攻擊小組從外部對目標單位信息化系統進行攻擊演練，檢驗演練目標系統的防護能力，檢驗演練防守團隊的協作保障能力。攻擊小組使用的攻擊手段應不影響目標單位業務的正常開展，包括但不限於滲透測試、系統漏洞攻擊、釣魚攻擊/APT綜合攻擊、社會工程學攻擊等。4.1.6環境準備。在合適的場所搭建演練集中監控及處置環境所需電力、網絡設備，根據工作任務分配接入網路，保障攻防演練期間裝置正常執行。

4.2攻防演練中

防守工作組指導監控分析組及研判處置組在攻防演練過程中最大力度防禦來自任何攻擊方的網絡攻擊，實時監測目標系統的攻擊情況；發生網絡安全事件立刻通知到防守指揮部，實時掌握演練情況，做好安全事件的分析研判，形成分析和處置報告上報。4.2.17×24小時監測預警。監控分析組透過業務系統訪問日誌及網站安全監測、網絡安全管理中心、網絡安全態勢感知等通報預警平臺，實現網站安全的集中監測。指派雲端專人對被監測網站安全事件進行實時研判與驗證，當出現安全事件時立刻上報現場研判處置組。所有監控任務分配到人，所監測到的安全事件必須留存事件記錄，做好系統備份工作和故障詳細記錄並進行初步診斷。4.2.2技術分析。攻防演練期間，網絡攻擊的數量呈指數級增長。而傳統的基於黑白名單、簽名和規則的安全威脅發現手段，已經不能應對演練期間不斷升級且有針對性的網路威脅。因此，當互聯網安全監測平臺和安全態勢感知監測到安全事件時，監控分析組必須立刻進行安全事件分析，定位問題並朔源。確定非誤報後，將詳細攻擊路徑、攻擊IP等情況反饋研判處置組及防守工作組以便上報。結合故障描述和診斷，定位安全問題後，根據情況配合輸出解決思路，反饋研判處置組。無法定位分析的問題，直接反饋給防守工作組。4.2.3專家研判與實時攻擊對抗。攻防演練期間最大的安全風險來自於攻擊方攻擊，特別是有針對性、持續性的攻擊。及早發現並遏制有針對性、持續性的攻擊是規避外部風險的有效手段。演練期間也是非法駭客組織的活躍期。駭客組織可能偽裝成攻擊隊對防守單位進行攻擊，監控分析組與研判處置組需實時研判安全事件，根據事件特徵，在入侵防禦系統、Web應用防火牆等安全設備中新增相應防護策略，對非法攻擊事件分類進行實時攻擊對抗。4.2.4應急響應與業務恢復。應急響應快速處置成功的關鍵是根據預設流程有條不紊地解決已經發生的安全事件。