構建大安全格局從網(wǎng)絡安全攻防演練說開去

王垚

【摘要】? ? 隨著時代發(fā)展，信息技術應用已成為不可或缺的重要組成，保障信息安全逐漸成為國家安全重要組成部分，是構建大安全格局必要元素之一。網(wǎng)信工作領域默默付出，網(wǎng)絡安全攻防演練已成為各大型企事業(yè)單位網(wǎng)信部門的必要工作，為做好演練防守工作，各關鍵部門也在為不斷提升防守水平做著積極的努力。本文立足網(wǎng)絡安全理論，用通俗易懂的語言向大眾闡述相關概念，從攻防技術介紹，到網(wǎng)絡安全防護體系構建，淺析網(wǎng)絡安全體系建設。

【關鍵詞】? ? 網(wǎng)絡安全? ? 攻防演練? ? 聯(lián)動體系? ? 安全技術大安全格局

引言：

網(wǎng)絡安全是信息時代國家安全的戰(zhàn)略基石。隨著互聯(lián)網(wǎng)化、信息技術的飛速發(fā)展，政治、經(jīng)濟等領域面臨網(wǎng)絡與信息安全等問題，構建大安全格局已正式提出。一旦信息基礎設施被破壞、信息泄露，將給國家、企業(yè)、個人帶來巨大損失和影響。維護網(wǎng)絡與信息安全是前提。網(wǎng)絡安全成為關乎全局的重大問題，信息化程度越高的行業(yè)，安全工作越重要，對相關人才需求越迫切。

近年來，網(wǎng)絡安全態(tài)勢日益嚴峻，各類網(wǎng)絡攻擊從外部轉(zhuǎn)向內(nèi)部，攻擊手段多樣。做好網(wǎng)絡安全防護工作是前提也是基礎。網(wǎng)絡安全攻防演練，是在和平時期對網(wǎng)絡安全攻防技術實戰(zhàn)型演練，也是考驗單位網(wǎng)絡安全防護水平重要契機。因此，建設立體化防護是對網(wǎng)絡安全防護的強化，通過專業(yè)人員運用軟硬件技術，來保障所使用的網(wǎng)絡和信息安全。

一、網(wǎng)絡安全現(xiàn)狀

1.1全球網(wǎng)絡安全現(xiàn)狀

國家工業(yè)信息安全發(fā)展研究中心2021年1月19日發(fā)布的《2020年工業(yè)信息安全漏洞態(tài)勢年度簡報》報告顯示，2020年國家工業(yè)信息安全漏洞庫（CICSVD）收錄工業(yè)信息安全漏洞如圖1，在收錄的通用型漏洞中，高危及以上漏洞占比62.5%。在漏洞成因分析方面，涉及31種漏洞成因類型。在受影響產(chǎn)品分類方面，涉及10大類、66小類。在受影響產(chǎn)品廠商分析方面，主要涉及德國西門子、中國臺灣摩莎等335家公司，國外廠商占比66.2%，我國占比33.8%。

據(jù)CNCERT（國家互聯(lián)網(wǎng)應急中心）在2021年5月26日發(fā)布的CNCERT互聯(lián)網(wǎng)安全威脅報告顯示，2020年CNCERT協(xié)調(diào)處置各類網(wǎng)絡安全事件約10.3萬起。同比減少4.2%，據(jù)抽樣發(fā)現(xiàn)，我國被植入后門網(wǎng)站、被篡改網(wǎng)站等均有所減少，其中被植入后門同比減少37.3%，境內(nèi)政府網(wǎng)站量大幅下降，同比減少64.3%;被篡改網(wǎng)站量同比減少45.9%。據(jù)外部報告，全年我國境內(nèi)DDoS攻擊次數(shù)減少16.16%，攻擊總量下降19.67%;僵尸網(wǎng)絡控制端量在全球占比穩(wěn)步下降至2.05%。可見，隨大安全格局構建，及近年來網(wǎng)絡安全演練舉辦，我國網(wǎng)絡安全態(tài)勢與全球態(tài)勢呈現(xiàn)反向，大安全格局構建效果初步顯現(xiàn)。

1.2網(wǎng)絡安全國家戰(zhàn)略

2018年4月20日，習總書記在第一次全國網(wǎng)絡安全和信息化工作會議上指出未來網(wǎng)絡安全工作重點，對網(wǎng)絡安全問題的核心論述轉(zhuǎn)化為具體行動。只有樹立正確網(wǎng)絡安全觀，落實基礎設施防護責任，依法打擊網(wǎng)絡違法犯罪行為，深入開展網(wǎng)絡安全知識技能宣傳普及，才能構筑強有力的網(wǎng)絡安全防護體系，提升網(wǎng)絡安全水平。

1.3行業(yè)內(nèi)外網(wǎng)絡安全現(xiàn)狀

十九大以來，有關部委多次組織網(wǎng)絡安全機構對國內(nèi)開展網(wǎng)絡安全的實戰(zhàn)攻擊演練。在此，各行業(yè)表現(xiàn)相對較好防護能力，同時也暴露出在攻擊期間部分行業(yè)外部應用出現(xiàn)系統(tǒng)無法正常使用，多數(shù)行業(yè)通過“斷橋堵路”方式應對攻擊，在一定程度上制約了線上服務的便捷和高效性。

反觀業(yè)內(nèi)，隨行業(yè)領導對網(wǎng)絡安全和信息化工作的高度重視，各級主管部門通過配置各類安全設備、收緊互聯(lián)網(wǎng)出口等有效防止了外部攻擊，形成良好的運行環(huán)境。但由于設備分散化配置，各廠商設備繁雜交錯，多處于各管一塊狀態(tài)，設備間聯(lián)動性差，自動發(fā)起系統(tǒng)性處理能力一般。

二、網(wǎng)絡攻防實戰(zhàn)演練技術探析

2.1攻防雙方技術分析

在網(wǎng)絡攻防實戰(zhàn)演練中，必然存在著攻擊和防守方對抗，攻擊方往往掌握主動性，而防守方須做出更多網(wǎng)絡規(guī)劃和安全策略才能應對攻擊威脅。通常攻擊和防守技術是相輔相成，往往防守技術會落后于攻擊技術發(fā)展。攻擊隊可以通過信息收集技術、漏洞掃描技術等多種手段進行攻擊。因攻擊種類多增加了防守難度。但防守技術也在不斷發(fā)展，從監(jiān)控技術、防火墻技術等到態(tài)勢感知技術、APT防御技術等，使得防守能力不斷增強。

2.2攻擊過程

攻擊方以入侵目標網(wǎng)絡系統(tǒng)為主要目的，通常采取各種手段，最終實現(xiàn)盜用、篡改或破壞。經(jīng)研究，防范其攻擊手段，在關鍵節(jié)點做好部署，對于了解攻擊意圖、更加精準的對其進行監(jiān)測和響應具有重大意義。

2.2.1攻擊前準備

通常，攻擊開始前以信息收集為主，通過系統(tǒng)所暴露的脆弱性或安全漏洞信息進行對應攻擊，分攻擊技術和信息利用技術。信息收集技術包括技術和非技術手段。技術手段含公開信息收集、網(wǎng)絡掃描等;非技術手段主利用社會工程學對目標系統(tǒng)實施入侵。在攻防演練中常用技術手段入侵，但也有通過社會工程學手段入侵成功的案例。通過端口掃描技術，攻擊方可獲取目標主機的端口使用清單，通常要求個人終端要關閉135、139等非必要端口，也是從終端角度防范攻擊端口掃描的例證。而漏洞掃描技術則建立在端口掃描技術基礎上，通過漏洞信息特征的識別和匹配檢測方法或模擬攻擊方法來檢查目標設備是否存在漏洞。此外，攻擊方還可通過對會話劫持、電磁泄露等手段進行信息收集。

2.2.2攻擊階段

攻擊方通過前期收集技術得來的信息，運用相對應手段對目標系統(tǒng)實施攻擊。攻擊技術類別多，例如，高級持續(xù)性威脅攻擊（APT）、惡意代碼攻擊等等。高級持續(xù)性威脅攻擊不僅通過網(wǎng)絡進行攻擊，還能通過智能終端、移動存儲設備等設備進行攻擊。常具有長期隱蔽和潛伏性，持續(xù)性可達數(shù)年之久。可以針對目標系統(tǒng)所屬網(wǎng)絡內(nèi)的用戶終端寄送可以以假亂真的惡意郵件，用戶一旦點擊附件，就有可能被利用，潛伏入目標系統(tǒng)網(wǎng)絡之內(nèi)，其高度隱蔽性很難被網(wǎng)絡安全防御方發(fā)現(xiàn)。在單點攻破后，攻擊方可以建立類似僵尸網(wǎng)絡的遠程控制模型，定期傳送重要文件的給命令和控制服務器（C&C Server），并將過濾后的重要信息數(shù)據(jù)利用加密手段外傳。惡意代碼攻擊是我們所熟知的電腦病毒和木馬攻擊手段，病毒通過不斷自我復制來感染其他終端主機及主機程序，有極強傳染和不可預見性，因其種類多，所造成危害也不同，在病毒防護方面也是重視的工作之一。木馬程序是帶有隱藏功能的程序，它含有隱蔽代碼，可以通過隱蔽端口進行通信，多數(shù)木馬是客戶端Client/服務器Server架構。這樣攻擊方可以通過病毒程序?qū)δ繕讼到y(tǒng)進行破壞，再通過木馬程序留下后門，以便對目標系統(tǒng)的隨時訪問和權限獲取操作。

2.3防守過程

防守方采用防御技術是針對攻擊方攻擊技術而產(chǎn)生。從現(xiàn)狀來，相對于攻擊方而言，多數(shù)防守方專業(yè)技術能力相對偏弱，防守方多采取聘請第三方專業(yè)團隊，購買各類安全設備以及人防戰(zhàn)術進行防守。這樣就引起前文所說的在攻防期間相關網(wǎng)絡服務受到影響情況。

1.防守前準備。攻防演練之前，防守方應當對管轄網(wǎng)絡進行系統(tǒng)漏洞修復，嚴格開啟防火墻策略、縮緊IPS特征庫識別規(guī)則、啟用態(tài)勢感知平臺最高等級監(jiān)測等。有條件的可以使用蜜罐技術固牢防線，降低安全威脅做好溯源準備。

2.防守階段。在防守方面，以監(jiān)控網(wǎng)絡狀態(tài)為主，通過監(jiān)控數(shù)據(jù)包的詳細信息，防止來自攻擊方的信息探測，也可以對目標系統(tǒng)的服務器進程、訪問日志進行監(jiān)控，通過是否存在異常而進行研判。檢測技術是隨國家網(wǎng)絡強國戰(zhàn)略逐步成熟的一項防守技術，通過監(jiān)測網(wǎng)絡和設備系統(tǒng)的異常特征信息來判定是否存在被入侵的可能。其區(qū)別于監(jiān)控技術，主要是對全網(wǎng)監(jiān)聽。目前來講，防守方因技術劣勢，處于相對被動地位。依靠安全設備以及大量人員值守進行防守。但往往技術成熟的攻擊者會使用云空間、跳板機等發(fā)起攻擊，很難得到有效溯源結果。

三、改變現(xiàn)狀構建體系

防守方被動局面需要改變現(xiàn)狀，網(wǎng)絡安全防護體系不是戰(zhàn)時任務體系，應是常態(tài)、日常化的防護措施。通過人防應對攻擊方運用計算機技術的攻擊行為，無疑是人與機器比拼，結果可想而知。構建一套長期、有效的網(wǎng)絡安全體系是改變的重要手段。

3.1打造專業(yè)技術團隊

通過激活“內(nèi)部專家紅利”來打造專業(yè)技術團隊。所謂內(nèi)部專家紅利，指企業(yè)內(nèi)部復雜勞動者或智力勞動者資源優(yōu)勢。從外部經(jīng)驗看，世界500強企業(yè)崛起以及地位鞏固，都伴隨“內(nèi)部專家紅利”。我們熟知的華為、阿里巴巴等國內(nèi)知名企業(yè)的發(fā)展也同樣依靠的是內(nèi)部專家人才。阿里巴巴有ASRC安全響應中心，主要針對各種漏洞和入侵者的一套方案。有漏洞補之，有入侵者招安之，阿里對內(nèi)部專家人才的重視可見一斑。較行業(yè)而言，招安網(wǎng)絡安全專家不符合人力資源管理制度，但在行業(yè)現(xiàn)有網(wǎng)絡安全和信息化隊伍中，針對性培養(yǎng)內(nèi)部專家是可行的，在職業(yè)生涯規(guī)劃上向內(nèi)部專家方面進行調(diào)整，也會涌現(xiàn)出內(nèi)部專家。從而為企業(yè)改革、融合創(chuàng)新、網(wǎng)絡安全防護提供人才保障。

3.2由人防向技防的轉(zhuǎn)變

從現(xiàn)階段看取得了一定效果，但也遇到發(fā)展瓶頸，單純通過購買安全設備已不能有效提升，需進提升水平同時積極開展主動防御的技術能力建設。因增加非特征技術檢測能力的投入，及事件響應分析能力建設;通過對事件深度分析及信息情報共享，建立預測預警并針對性改善安全系統(tǒng)，最終達到有效檢測、防御新型攻擊威脅目的。通過設備聯(lián)動釋放人力資源。

四、結束語

網(wǎng)絡安全體系構建是時代發(fā)展必然產(chǎn)物，從發(fā)展規(guī)律來看，是一個綜合、動態(tài)的安全體系，是融合多種安全技術集合和安全產(chǎn)品之間的聯(lián)動。需要正確認識和運用技術手段從整體和設備聯(lián)動方向解決網(wǎng)絡安全。同時，建設網(wǎng)絡安全防護體系是構建大安全格局、網(wǎng)絡強國戰(zhàn)略重要手段，正確處理網(wǎng)絡安全防護和融合創(chuàng)新關系是主要方向。融合創(chuàng)新是高質(zhì)量發(fā)展的路徑、網(wǎng)絡安全是高質(zhì)量發(fā)展的保障，二者必同步推進，相輔相承。

參? 考? 文? 獻

[1]2020年工業(yè)信息安全漏洞態(tài)勢年度簡報.國家工業(yè)信息安全發(fā)展中心，2021，1：1-2.

[2]2020年我國互聯(lián)網(wǎng)網(wǎng)絡安全態(tài)勢綜述.國家計算機網(wǎng)絡應急技術處理協(xié)調(diào)中心，2021，5