本文刊登于《中國信息安全》雜志2019年第1期
文/財政部信息網絡中心 周云峰 葉大區
近期《中國信息安全》雜志開展了網絡安全演習的專題,對于各行業企業都有重要借鑒意義��,昨天分享的《網絡安全演習探索與實踐》從網絡安全演習的形式�、“攻擊”手法及管控要點上進行了討論。今天將從另一個角度來探討實戰攻防演練對政務網絡安全體系建設的價值。
組織網絡安全演習 提升網絡防御能力
國外的網絡安全演習�,包括“網絡風暴”“鎖定盾牌”“網絡歐洲”等,形成了跨域��、跨國���、跨部門的一體化模式�,反映出各國強調組織協同�����、情報共享和安全協作等網絡安全能力建設新趨勢�。根據《中華人民共和國網絡安全法》及《國家網絡安全事件應急預案》等法律法規要求,國家規模的演練已經成為檢驗網絡強國建設的重要手段�。為檢驗和完善網絡安全事件應急預案,提高應對突發網絡安全事件能力�,在主管部門的統籌協調下,各地相繼舉行了網絡安全演練���,結合“護網行動”����,成為提高參與方提升網絡安全事件協同配合能力����,加強網絡安全隊伍建設的重要支撐�。
通過實戰攻防演練審視政務網絡安全體系建設
政務網絡和政務信息系統作為國家網絡的重要組成部分�,是網絡攻擊的重點目標,由于受到利益的驅使��,網絡攻擊手段不斷翻新�����、攻擊規模不斷擴大����、攻擊鏈條不斷拓寬�����,而攻擊的成本和技術門檻日益降低�����,高級持續攻擊手段層出不窮�����,零日漏洞愈發頻發,對現有政務網絡安全防御體系能力提出了巨大挑戰�����。實戰型攻防演練�,能夠及時發現網絡安全防護、監測和處置措施中可能存在的短板����,是審視和提升政務網絡安全體系建設和保障能力的一項重要工作。
一���、實戰攻防演練的意義
黨的十八大以來���,以“建設網絡強國”為戰略目標,黨中央對網信工作提出一系列重大舉措�,完成一系列戰略部署。這些都為開展網絡安全工作提供指引�����,同時�����,也對政府部門網絡安全保障工作提出了更高要求。
(一)適應新形勢下的網絡安全戰略
習近平總書記的系列講話為我國網絡空間安全建設提供了頂層設計框架�����,包括2016年的“4·19”講話���,2016年10月的中共中央政治局第三十六次集體學習會議講話�,以及2018年4月在全國網絡安全和信息化工作會議上的講話等�。
2017年6月1日,《中華人民共和國網絡安全法》正式實施����,把建立健全網絡安全保障體系����,提高網絡安全保護能力提升到國家法律的高度�!2006-2020年國家信息化發展戰略》《國家網絡空間安全戰略》的發布,也體現我國在網絡安全方面的戰略高度����。《國家網絡安全事件應急預案》明確了國家網絡安全事件的組織�、要求和處置流程����。同時�����,《關鍵信息基礎設施保護條例》(征求意見稿)��、《網絡安全等級保護條例》(征求意見稿)向全國征求意見���,強化了國家對網絡安全工作的要求��。
(二)培養網絡安全應急保障隊伍
通過多年的建設�,政府網絡安全保障措施基本構建了積極有效的網絡安全防御體系����,但是,網絡安全的應急保障隊伍是否能夠相互協同�����,在出現網絡攻擊時是否能夠確保多部門共同參與����,相關機構是否能夠共同有效處置網絡安全攻擊事件�����,是否能夠充分讓已經建立的網絡安全保障機制���、措施在網絡安全對抗中發揮成效,需要在平時的工作中加強演練和培養�。
在政府組織內部,通過日常內部的應急演練加強應急保障機制和隊伍的培養�;在政府組織與網絡安全監管單位之間,通過網絡安全實戰演練加強應急保障隊伍的協同和機制的完善�;在政府組織、監管單位和技術支撐單位之間�,通過構建共同參與、共同提高���、攻防相長的實訓培養模式,切實強化應急保障隊伍和機制建設�。
(三)檢驗網絡安全防御體系能力
黨和國家高度重視網絡安全保障工作,在新的發展形勢下���,所建立的網絡安全體系是否能夠達到相應的防護能力�,是否能夠對抗國家級有組織的網絡攻擊��,已經部署的各類網絡安全設備設施、保障措施��、組織流程和防護能力����,是否能夠全面保障重要的信息系統安全穩定運行,已經成為當前我們面臨的一個重要問題�。實戰型攻防演練是檢驗現有網絡安全保障水平和防護能力的有效手段。
二��、實戰攻防演練的組織實施
實戰型攻防演練是組織攻擊方和防守方對擬定的目標系統進行真實攻擊測試的一種演練方式����,其特點是鎖定目標系統,并在真實網絡環境中進行測試�����,同時���,不限制攻擊路徑����,即可以通過任意路徑對目標系統進行攻擊�,最終檢驗目標系統的安全防護能力�。其中�����,防守方可充分利用已經建立的網絡安全監測�、防護和響應機制和措施,有效組織網絡安全事件的應急響應組織隊伍�,通過積極有效的響應流程和應對措施,強化與協防技術單位�、監管單位的組織配合等工作,實時對抗攻擊者的網絡攻擊行為���。
作為實戰攻防演練的防守方�����,在開展實戰攻防演練的過程中�����,可以通過如下工作的分階段開展組織攻防演練的具體實施。
(一)前期準備工作
由網絡安全管理部門統籌組織制定攻防演練的工作方案�,明確攻防演練的組織結構和分工,通過建立領導小組��、防護工作組、應急工作組和綜合工作組�,按照工作階段和工作崗位的劃分,確定具體工作職責�����。明確組織分工后���,需要對目標系統相關的安全監測與防護設備����、網絡路徑及相關資產梳理��,形成清晰的資產清單����,摸清網絡安全現狀,為后續有針對性的網絡安全防護和監控點部署�、安全自查和整改加固等工作,提供基礎數據�����。
(二)開展安全自查和加固
防護工作組通過進一步對目標系統關聯資產(服務器、網絡設備����、安全設備)進行安全漏洞掃描、安全基線檢查���、安全策略檢查等工作����,發現安全漏洞����、弱點和不完善的策略設置,及時進行安全加固����、策略配置優化和改進,切實加強系統的自身防護能力和安全措施的效能�����,減少安全隱患��,降低可能被外部攻擊利用的脆弱性和風險����。
(三)組織攻防預演練
在對目標系統及相關網絡路徑的資產進行安全自查和加固后,可開展一次攻防預演練����,由網絡安全管理部門牽頭組織,邀請有技術力量的安全技術支撐單位作為攻擊隊���,對目標系統進行模擬攻擊�,防護工作組和應急工作組可通過預演練查看工作職責是否落實到位�、防護設備策略是否發揮作用、監測設備是否能夠正常監測���,以及組織之間的協同和配合是否順暢等��。攻防預演練完成后�����,可針對預演練中發現的問題進一步加以完善�。
(四)正式演練和總結
網絡安全管理部門負責統一組織開展正式演練和總結工作�����,通過已確定的組織分工對網絡安全攻擊進行監測預警,及時通報安全事件��,封阻非法攻擊IP地址及攻擊行為等�,實時對抗攻擊隊的網絡攻擊。應急工作組協同技術支撐單位開展應急處置工作�。演練結束后,總結經驗并完善本部門應急響應機制及預案�,針對發現的安全漏洞及不足制定技術方案進行整改加固。
通過開展實戰攻防演練�����,可對以下方面進行檢驗:1.對政務網絡安全體系的監測���、防護和響應措施的功效進行檢驗��;2.對網絡攻擊的監測預警能力進行檢驗��,查看是否能有效發現攻擊手段和行為��;3.對已有網絡安全防護措施是否能夠對抗外部攻擊進行檢驗����,查看是否有效阻止外部攻擊���;4.對政務網絡安全組織隊伍的人員能力和協同能力加以檢驗���;5.對政務網絡安全運維管理�����、機制和流程的有效性加以檢驗;6.對政務網絡安全應急響應的機制�����、流程�����、組織和資源保障等加以檢驗��,同時��,對網絡安全應急保障組織隊伍����、機制和能力加以鍛煉和培養。
三�����、網絡安全體系建設成效和啟示
通過網絡安全實戰攻防演練,可以發現網絡安全工作的不足���,也為網絡安全防護經驗的積累提供支撐����。綜合來看��,通過實戰攻防演練���,加強網絡安全防護體系建設�����,需要在網絡安全工作領導小組的統一指揮決策下���,網絡安全各組織相互配合,有效協同����,利用現有的網絡安全防護監測、防護措施����、規范流程和運營應急管理機制�,使已建網絡安全防護體系措施發揮成效��,成功對抗網絡攻擊���。
(一)領導重視統籌指揮
領導的高度重視為開展相關工作提供方向和資源保障����。針對開展網絡安全攻防演練�����,網絡安全部門需向上級領導進行專項匯報����,引起上級領導重視�����,同時���,指示各相關部門要重視此項工作�����,加強領導�,有效保障,為此����,可以專門成立領導該項工作的領導小組,總體領導和管理攻防演練工作���。
(二)組織成員通力協作
網絡安全攻防演練期間的組織管理如同真正的“戰時”組織��,領導小組要對網絡安全攻防演練工作進行統一指揮決策���,同時,要建立完善的資源保障和協同小組�,在攻防演練期間加強防護工作和應急工作的組織協調。在攻防演練期間�����,明確攻防演練的綜合工作組��、防護工作組和應急工作組,按照工作階段和工作崗位的劃分����,確定具體工作職責和內容;組織不同領域的網絡安全技術支撐單位和應用系統技術支撐單位共同開展相關工作����。按照網絡攻防演練的工作職責與流程進行具體的工作任務分工,為開展網絡攻防演練作好組織保障�����。
(三)管理制度規范執行
在網絡安全組織保障的基礎上���,日常所建立的網絡安全管理機制、制度流程和規范也是有效對抗網絡攻擊的重要屏障����。在這方面,可以通過加強網絡安全的頂層設計��,圍繞總體工作目標的落實����,制定并發布一系列流程、標準和規范�����,強化網絡安全政策、規章��、知識和技能的培訓教育和宣傳����,切實提升網絡安全風險管控能力和主動防御能力,為在網絡安全攻防演練中有效對抗網絡攻擊奠定基礎�����。
(四)防護措施有效對抗
依托已經建立的網絡安全防護體系措施�����,在網絡攻防演練期間�,防護工作組通過采用網絡全流量安全感知平臺、未知威脅分析系統����、IDS、安全日志審計系統��、主機入侵檢測系統對網絡攻擊行為進行監測、分析和預警��,同時�����,配合網絡流量監測�����、IT運維監控系統��、服務器運行狀態監控����,以及應用系統運行狀態監測、日志審計等及時發現異常情況并進行預警通告���。通過多種方式的網絡安全監測和綜合分析判定網絡安全攻擊情況,及時阻止網絡攻擊行為的進一步蔓延���,抑制并控制網絡安全攻擊行為的進一步深入���,有效對抗網絡攻擊。
(五)態勢感知能力凸顯
網絡安全態勢感知是對網絡攻擊進行檢測的重要手段,在實戰攻擊演練過程中�����,通過網絡安全威脅監測和分析����,可以發現網絡掃描、探測���、注入�����、跨站腳本等多種攻擊行為�,并將這些攻擊行為定位到資產對象�,及時抑制和處置攻擊行為。網絡安全態勢感知系統對攻擊行為實時的監測記錄����,可以讓防護工作組、應急工作組的技術人員進行深入的溯源分析和研判����,針對潛在的安全隱患���,及時修復,并結合威脅情報信息�����,深入檢驗威脅的類型和影響范圍��,為后續的防護策略優化提供依據�����,在網絡攻擊對抗的過程中發揮其應有的能力�����。
(六)運營服務保障得力
通過對網絡安全攻擊告警及統計的分析發現���,攻擊隊的行為在攻擊初期主要是進行掃描��、爆破���、探測�,企圖發現可利用安全漏洞進行入侵獲取目標系統權限����。而到后期���,攻擊隊將攻擊重點調整到攻擊路徑上的邊緣系統�����,企圖尋找突破口再通過局域網內部滲透橫移獲取攻擊路徑上其他系統的控制權限����,并通過代理跳板最終獲取目標系統權限����。網絡安全運營團隊可以針對這些攻擊特征,通過各工作組安全監測�����、分析處置和漏洞修復�,有效地抑制攻擊行為,阻斷攻擊隊的利用途徑�。
(七)意識技能持續加強
真實的網絡攻擊往往是攻擊網絡安全防護中的最短板,而這些短板恰恰是由于人們的意識不足造成��,可以被攻擊者直接利用,例如明文存放口令���、用公共郵箱處理工作文檔�����、打開不明郵件和弱口令等常見問題�,需要通過不斷加強意識教育工作來提高對網絡安全的認識程度���。同時���,各級政務工作人員,也要有一定的網絡安全操作技能�����,專業崗位要有專業的安全知識�,非專業崗位也要了解一些安全的操作行為,加強與網絡安全專職人員的配合����、協作和溝通,綜合構筑網絡安全的防線�����。
(公號頭圖源于網絡)
