新形勢下開展網絡安全實戰攻防演練的探討

【摘 ?要】隨著互聯網、大數據和人工智能的迅速發展，網絡技術應用在人們生產生活各個方面，我國境內重要行業、關鍵領域的信息系統頻受攻擊，利用互聯網傳播有害信息和網絡違法犯罪的事件不斷爆發，我國網絡安全防護能力差、網絡安全管理體系不健全、網絡安全人才缺乏、全社會的網絡安全意識淡薄，同時網絡安全核心技術受制于人等現實情況造成我國網絡安全面臨嚴重的威脅。本文通過探討開展網絡安全實戰攻防演練，對關鍵信息基礎設施模擬現實網絡環境下的實戰檢驗，不斷提升網絡安全的風險意識和責任意識，保障各應用系統和數據運行安全。

【關鍵詞】互聯網;信息;網絡安全;攻防演練;攻擊

【中圖分類號】TP393.08

進入新世紀，以信息技術為核心的新一輪科技革命已經孕育興起，互聯網日益成為創新驅動發展的先導力量，深刻改變著人們的生產生活。黨的十九屆五中全會在《中共中央關于制定國民經濟和社會發展第十四個五年規劃和二〇三五年遠景目標的建議》中明確提出，要“堅定維護國家政權安全、制度安全、意識形態安全，全面加強網絡安全保障體系和能力建設”，并將其納入國家安全體系和能力建設范疇，充分體現了黨中央和國務院對網絡安全高度重視。

如何提高我國重要行業和關鍵領域的網絡安全，開展網絡安全實戰化攻防演練作為國家層面促進各個行業重要信息系統順利建設、加強關鍵信息基礎設施的網絡安全防護、提升應急響應水平等的關鍵，以實戰的方式促進網絡安全保障能力提升，具有非常重要的意義。

一、概述

網絡安全攻防演練是以獲取指定目標系統（標靶系統）的管理權限為目標的攻防演練，由攻防領域經驗豐富的紅隊專家組成攻擊隊，在保障業務系統穩定運行的前提下，采用“不限攻擊路徑，不限制攻擊手段”的貼合實戰方式，而形成的“有組織”的網絡攻擊行動。攻防演練通常是在真實網絡環境下對參演單位目標系統進行全程可控、可審計的實戰攻擊，擬通過演練檢驗參演單位的安全防護和應急處置能力，提高網絡安全的綜合防控能力。

二、演練目的

全面檢驗并提升參演單位網絡安全意識和關鍵信息基礎設施安全防護能力和水平，及時查找發現重點單位網絡安全存在的深層次問題和隱患;進一步加強重點單位各部門協調配合能力;提高攻防雙方的技術對抗和謀略斗爭能力;針對演練發現的突出問題，組織進行全面整改，舉一反三，排查化解網絡安全領域重大風險，全面提升參演單位網絡空間綜合防御和應急處置保障能力。

三、演練原則

對被選定攻擊目標系統在不通知具體時間的情況下，以模擬實戰的方式檢驗其安全防護和應急響應能力。演練期間嚴格遵循“安全可控、真實對抗”原則。一是確保攻擊通道、攻擊手段、攻擊范圍、攻擊力道受控。二是演練過程與數據安全受控。三是整體演練活動風險可控。

四、組織保障

成立網絡安全攻防演練指揮部（以下簡稱“指揮部”），負責統籌指揮協調攻防演練活動。

成立裁判組。在指揮部的領導下，負責攻防過程中實時狀態監控、及時阻斷非法操作，維護演練網絡環境和演練正常運轉，確保演練活動安全可控。在演練過程中對攻擊、防守效果進行分析研判，判定相應分數，依據公平公正的原則對參演攻守雙方排名。

成立專家組。對工作流程、攻擊、損傷效果和裁判組裁定的結果進行監督和復核，將攻防演練的過程和結果形成總結材料向指揮部報告。

成立攻擊隊。由國內頂尖網絡安全公司選派專業技術人員組成的攻擊隊，在指揮部的領導下，對選定的目標按計劃開展網絡攻擊。

成立救援組。在指揮部的領導下，參與救援和現場勘驗，并做好調查取證。負責攻防演練中被攻擊目標出現意外損失之后的應急恢復和通信聯絡。

成立后勤保障組。在指揮部的領導下，組織演練平臺搭建、系統測試、組織培訓、后勤保障，現場錄像、新聞宣傳、制作視頻資料。

五、演練階段

在確定演練時間、地點和參演單位的前提下，制定詳細的演練工作方案按規定部署開展：

第一階段：準備階段，保證演習的合法性及有效性，提前通知攻擊隊伍，讓各攻擊隊伍提前準備。包含需求調研、資產梳理、環境準備、平臺搭建、演習備案、攻防準備、預案制定、安全培訓等。

第二階段：正式演習，攻方和守方的實時狀態以及比分狀況將通過安全可靠的方式接入到攻防演習大屏，可以隨時進行指導、視察。包含：攻擊、防守、研判和分析。

第三階段：總結匯報，演習結束后，將組織專家、攻防雙方對整個演習過程進行復盤總結，并把演習成果形成最終的評估報告，評估系統的脆弱性、面臨的威脅以及脆弱性被威脅源利用的可能性，形成后續信息安全建設投資的指引文件。包括資源回收、最終報告、改進報告、總結匯報。

六、相關事項

演練過程中要保證被攻擊系統的可用性，不得采用斷網、關閉服務等方式妨礙演練活動。演練開始后應采取適當的技術措施對被攻擊系統進行監測，在監測到可疑行為時應及時保存監控視頻和截屏數據，并及時通過演練平臺上報指揮部;演練結束后應根據指揮部提供的整改報告對演練發現的安全問題進行整改。

（一）保密要求

攻擊隊員和裁判員必須簽訂保密協議，參演單位不得向攻擊隊人員提供系統安全弱點、防守措施等信息，所有參與方在未經指揮部授權的情況下，不得向外界公布演練過程和演練結果。

（二）處置要求

指揮部在演練前列出演練攻擊隊的攻擊源IP白名單，所有演練攻擊IP均備案，當發現攻擊行為后，立即通過演練平臺告知指揮部，經裁判組確認后，告知是否可以阻斷以及何時進行阻斷，不得私自阻斷攻擊源白名單IP。

（三）系統監控和應急響應

各參演單位對演練目標系統實時監控，加強人員值守，建立應急響應機制，并在演練開始前嚴格做好數據備份。在發現各應用系統被網絡攻擊后應及時啟動應急機制，快速響應、快速恢復數據和應用。如發現被攻擊目標出現嚴重損失，要及時向演練指揮部救援組報告，請求幫助。

七、結束語

總之，沒有網絡安全就沒有國家安全。要高度重視網絡安全，加強網絡安全風險評估和審查。加快網絡安全基礎設施建設，強化跨領域網絡安全信息共享和工作協同，開展網絡安全攻防演練，提升網絡安全威脅發現、監測預警、應急指揮、攻擊溯源能力，全面提高我國關鍵信息基礎設施的網絡安全。

作者簡介：

葛正新（1985-），男，漢族，湖北鄂州，本科學歷，中級職稱，長期從事網絡信息化、關鍵信息基礎設施安全及網絡系統安全的研究。