王垚
【摘要】? ? 隨著時(shí)代發(fā)展,信息技術(shù)應(yīng)用已成為不可或缺的重要組成,保障信息安全逐漸成為國家安全重要組成部分,是構(gòu)建大安全格局必要元素之一。網(wǎng)信工作領(lǐng)域默默付出,網(wǎng)絡(luò)安全攻防演練已成為各大型企事業(yè)單位網(wǎng)信部門的必要工作,為做好演練防守工作,各關(guān)鍵部門也在為不斷提升防守水平做著積極的努力。本文立足網(wǎng)絡(luò)安全理論,用通俗易懂的語言向大眾闡述相關(guān)概念,從攻防技術(shù)介紹,到網(wǎng)絡(luò)安全防護(hù)體系構(gòu)建,淺析網(wǎng)絡(luò)安全體系建設(shè)。
【關(guān)鍵詞】? ? 網(wǎng)絡(luò)安全? ? 攻防演練? ? 聯(lián)動(dòng)體系? ? 安全技術(shù)大安全格局
引言:
網(wǎng)絡(luò)安全是信息時(shí)代國家安全的戰(zhàn)略基石。隨著互聯(lián)網(wǎng)化、信息技術(shù)的飛速發(fā)展,政治、經(jīng)濟(jì)等領(lǐng)域面臨網(wǎng)絡(luò)與信息安全等問題,構(gòu)建大安全格局已正式提出。一旦信息基礎(chǔ)設(shè)施被破壞、信息泄露,將給國家、企業(yè)、個(gè)人帶來巨大損失和影響。維護(hù)網(wǎng)絡(luò)與信息安全是前提。網(wǎng)絡(luò)安全成為關(guān)乎全局的重大問題,信息化程度越高的行業(yè),安全工作越重要,對(duì)相關(guān)人才需求越迫切。
近年來,網(wǎng)絡(luò)安全態(tài)勢(shì)日益嚴(yán)峻,各類網(wǎng)絡(luò)攻擊從外部轉(zhuǎn)向內(nèi)部,攻擊手段多樣。做好網(wǎng)絡(luò)安全防護(hù)工作是前提也是基礎(chǔ)。網(wǎng)絡(luò)安全攻防演練,是在和平時(shí)期對(duì)網(wǎng)絡(luò)安全攻防技術(shù)實(shí)戰(zhàn)型演練,也是考驗(yàn)單位網(wǎng)絡(luò)安全防護(hù)水平重要契機(jī)。因此,建設(shè)立體化防護(hù)是對(duì)網(wǎng)絡(luò)安全防護(hù)的強(qiáng)化,通過專業(yè)人員運(yùn)用軟硬件技術(shù),來保障所使用的網(wǎng)絡(luò)和信息安全。
一、網(wǎng)絡(luò)安全現(xiàn)狀
1.1全球網(wǎng)絡(luò)安全現(xiàn)狀
國家工業(yè)信息安全發(fā)展研究中心2021年1月19日發(fā)布的《2020年工業(yè)信息安全漏洞態(tài)勢(shì)年度簡(jiǎn)報(bào)》報(bào)告顯示,2020年國家工業(yè)信息安全漏洞庫(CICSVD)收錄工業(yè)信息安全漏洞如圖1,在收錄的通用型漏洞中,高危及以上漏洞占比62.5%。在漏洞成因分析方面,涉及31種漏洞成因類型。在受影響產(chǎn)品分類方面,涉及10大類、66小類。在受影響產(chǎn)品廠商分析方面,主要涉及德國西門子、中國臺(tái)灣摩莎等335家公司,國外廠商占比66.2%,我國占比33.8%。
據(jù)CNCERT(國家互聯(lián)網(wǎng)應(yīng)急中心)在2021年5月26日發(fā)布的CNCERT互聯(lián)網(wǎng)安全威脅報(bào)告顯示,2020年CNCERT協(xié)調(diào)處置各類網(wǎng)絡(luò)安全事件約10.3萬起。同比減少4.2%,據(jù)抽樣發(fā)現(xiàn),我國被植入后門網(wǎng)站、被篡改網(wǎng)站等均有所減少,其中被植入后門同比減少37.3%,境內(nèi)政府網(wǎng)站量大幅下降,同比減少64.3%;被篡改網(wǎng)站量同比減少45.9%。據(jù)外部報(bào)告,全年我國境內(nèi)DDoS攻擊次數(shù)減少16.16%,攻擊總量下降19.67%;僵尸網(wǎng)絡(luò)控制端量在全球占比穩(wěn)步下降至2.05%??梢?,隨大安全格局構(gòu)建,及近年來網(wǎng)絡(luò)安全演練舉辦,我國網(wǎng)絡(luò)安全態(tài)勢(shì)與全球態(tài)勢(shì)呈現(xiàn)反向,大安全格局構(gòu)建效果初步顯現(xiàn)。
1.2網(wǎng)絡(luò)安全國家戰(zhàn)略
2018年4月20日,習(xí)總書記在第一次全國網(wǎng)絡(luò)安全和信息化工作會(huì)議上指出未來網(wǎng)絡(luò)安全工作重點(diǎn),對(duì)網(wǎng)絡(luò)安全問題的核心論述轉(zhuǎn)化為具體行動(dòng)。只有樹立正確網(wǎng)絡(luò)安全觀,落實(shí)基礎(chǔ)設(shè)施防護(hù)責(zé)任,依法打擊網(wǎng)絡(luò)違法犯罪行為,深入開展網(wǎng)絡(luò)安全知識(shí)技能宣傳普及,才能構(gòu)筑強(qiáng)有力的網(wǎng)絡(luò)安全防護(hù)體系,提升網(wǎng)絡(luò)安全水平。
1.3行業(yè)內(nèi)外網(wǎng)絡(luò)安全現(xiàn)狀
十九大以來,有關(guān)部委多次組織網(wǎng)絡(luò)安全機(jī)構(gòu)對(duì)國內(nèi)開展網(wǎng)絡(luò)安全的實(shí)戰(zhàn)攻擊演練。在此,各行業(yè)表現(xiàn)相對(duì)較好防護(hù)能力,同時(shí)也暴露出在攻擊期間部分行業(yè)外部應(yīng)用出現(xiàn)系統(tǒng)無法正常使用,多數(shù)行業(yè)通過“斷橋堵路”方式應(yīng)對(duì)攻擊,在一定程度上制約了線上服務(wù)的便捷和高效性。
反觀業(yè)內(nèi),隨行業(yè)領(lǐng)導(dǎo)對(duì)網(wǎng)絡(luò)安全和信息化工作的高度重視,各級(jí)主管部門通過配置各類安全設(shè)備、收緊互聯(lián)網(wǎng)出口等有效防止了外部攻擊,形成良好的運(yùn)行環(huán)境。但由于設(shè)備分散化配置,各廠商設(shè)備繁雜交錯(cuò),多處于各管一塊狀態(tài),設(shè)備間聯(lián)動(dòng)性差,自動(dòng)發(fā)起系統(tǒng)性處理能力一般。
二、網(wǎng)絡(luò)攻防實(shí)戰(zhàn)演練技術(shù)探析
2.1攻防雙方技術(shù)分析
在網(wǎng)絡(luò)攻防實(shí)戰(zhàn)演練中,必然存在著攻擊和防守方對(duì)抗,攻擊方往往掌握主動(dòng)性,而防守方須做出更多網(wǎng)絡(luò)規(guī)劃和安全策略才能應(yīng)對(duì)攻擊威脅。通常攻擊和防守技術(shù)是相輔相成,往往防守技術(shù)會(huì)落后于攻擊技術(shù)發(fā)展。攻擊隊(duì)可以通過信息收集技術(shù)、漏洞掃描技術(shù)等多種手段進(jìn)行攻擊。因攻擊種類多增加了防守難度。但防守技術(shù)也在不斷發(fā)展,從監(jiān)控技術(shù)、防火墻技術(shù)等到態(tài)勢(shì)感知技術(shù)、APT防御技術(shù)等,使得防守能力不斷增強(qiáng)。
2.2攻擊過程
攻擊方以入侵目標(biāo)網(wǎng)絡(luò)系統(tǒng)為主要目的,通常采取各種手段,最終實(shí)現(xiàn)盜用、篡改或破壞。經(jīng)研究,防范其攻擊手段,在關(guān)鍵節(jié)點(diǎn)做好部署,對(duì)于了解攻擊意圖、更加精準(zhǔn)的對(duì)其進(jìn)行監(jiān)測(cè)和響應(yīng)具有重大意義。
2.2.1攻擊前準(zhǔn)備
通常,攻擊開始前以信息收集為主,通過系統(tǒng)所暴露的脆弱性或安全漏洞信息進(jìn)行對(duì)應(yīng)攻擊,分攻擊技術(shù)和信息利用技術(shù)。信息收集技術(shù)包括技術(shù)和非技術(shù)手段。技術(shù)手段含公開信息收集、網(wǎng)絡(luò)掃描等;非技術(shù)手段主利用社會(huì)工程學(xué)對(duì)目標(biāo)系統(tǒng)實(shí)施入侵。在攻防演練中常用技術(shù)手段入侵,但也有通過社會(huì)工程學(xué)手段入侵成功的案例。通過端口掃描技術(shù),攻擊方可獲取目標(biāo)主機(jī)的端口使用清單,通常要求個(gè)人終端要關(guān)閉135、139等非必要端口,也是從終端角度防范攻擊端口掃描的例證。而漏洞掃描技術(shù)則建立在端口掃描技術(shù)基礎(chǔ)上,通過漏洞信息特征的識(shí)別和匹配檢測(cè)方法或模擬攻擊方法來檢查目標(biāo)設(shè)備是否存在漏洞。此外,攻擊方還可通過對(duì)會(huì)話劫持、電磁泄露等手段進(jìn)行信息收集。
2.2.2攻擊階段
攻擊方通過前期收集技術(shù)得來的信息,運(yùn)用相對(duì)應(yīng)手段對(duì)目標(biāo)系統(tǒng)實(shí)施攻擊。攻擊技術(shù)類別多,例如,高級(jí)持續(xù)性威脅攻擊(APT)、惡意代碼攻擊等等。高級(jí)持續(xù)性威脅攻擊不僅通過網(wǎng)絡(luò)進(jìn)行攻擊,還能通過智能終端、移動(dòng)存儲(chǔ)設(shè)備等設(shè)備進(jìn)行攻擊。常具有長期隱蔽和潛伏性,持續(xù)性可達(dá)數(shù)年之久??梢葬槍?duì)目標(biāo)系統(tǒng)所屬網(wǎng)絡(luò)內(nèi)的用戶終端寄送可以以假亂真的惡意郵件,用戶一旦點(diǎn)擊附件,就有可能被利用,潛伏入目標(biāo)系統(tǒng)網(wǎng)絡(luò)之內(nèi),其高度隱蔽性很難被網(wǎng)絡(luò)安全防御方發(fā)現(xiàn)。在單點(diǎn)攻破后,攻擊方可以建立類似僵尸網(wǎng)絡(luò)的遠(yuǎn)程控制模型,定期傳送重要文件的給命令和控制服務(wù)器(C&C Server),并將過濾后的重要信息數(shù)據(jù)利用加密手段外傳。惡意代碼攻擊是我們所熟知的電腦病毒和木馬攻擊手段,病毒通過不斷自我復(fù)制來感染其他終端主機(jī)及主機(jī)程序,有極強(qiáng)傳染和不可預(yù)見性,因其種類多,所造成危害也不同,在病毒防護(hù)方面也是重視的工作之一。木馬程序是帶有隱藏功能的程序,它含有隱蔽代碼,可以通過隱蔽端口進(jìn)行通信,多數(shù)木馬是客戶端Client/服務(wù)器Server架構(gòu)。這樣攻擊方可以通過病毒程序?qū)δ繕?biāo)系統(tǒng)進(jìn)行破壞,再通過木馬程序留下后門,以便對(duì)目標(biāo)系統(tǒng)的隨時(shí)訪問和權(quán)限獲取操作。
2.3防守過程
防守方采用防御技術(shù)是針對(duì)攻擊方攻擊技術(shù)而產(chǎn)生。從現(xiàn)狀來,相對(duì)于攻擊方而言,多數(shù)防守方專業(yè)技術(shù)能力相對(duì)偏弱,防守方多采取聘請(qǐng)第三方專業(yè)團(tuán)隊(duì),購買各類安全設(shè)備以及人防戰(zhàn)術(shù)進(jìn)行防守。這樣就引起前文所說的在攻防期間相關(guān)網(wǎng)絡(luò)服務(wù)受到影響情況。
1.防守前準(zhǔn)備。攻防演練之前,防守方應(yīng)當(dāng)對(duì)管轄網(wǎng)絡(luò)進(jìn)行系統(tǒng)漏洞修復(fù),嚴(yán)格開啟防火墻策略、縮緊IPS特征庫識(shí)別規(guī)則、啟用態(tài)勢(shì)感知平臺(tái)最高等級(jí)監(jiān)測(cè)等。有條件的可以使用蜜罐技術(shù)固牢防線,降低安全威脅做好溯源準(zhǔn)備。
2.防守階段。在防守方面,以監(jiān)控網(wǎng)絡(luò)狀態(tài)為主,通過監(jiān)控?cái)?shù)據(jù)包的詳細(xì)信息,防止來自攻擊方的信息探測(cè),也可以對(duì)目標(biāo)系統(tǒng)的服務(wù)器進(jìn)程、訪問日志進(jìn)行監(jiān)控,通過是否存在異常而進(jìn)行研判。檢測(cè)技術(shù)是隨國家網(wǎng)絡(luò)強(qiáng)國戰(zhàn)略逐步成熟的一項(xiàng)防守技術(shù),通過監(jiān)測(cè)網(wǎng)絡(luò)和設(shè)備系統(tǒng)的異常特征信息來判定是否存在被入侵的可能。其區(qū)別于監(jiān)控技術(shù),主要是對(duì)全網(wǎng)監(jiān)聽。目前來講,防守方因技術(shù)劣勢(shì),處于相對(duì)被動(dòng)地位。依靠安全設(shè)備以及大量人員值守進(jìn)行防守。但往往技術(shù)成熟的攻擊者會(huì)使用云空間、跳板機(jī)等發(fā)起攻擊,很難得到有效溯源結(jié)果。
三、改變現(xiàn)狀構(gòu)建體系
防守方被動(dòng)局面需要改變現(xiàn)狀,網(wǎng)絡(luò)安全防護(hù)體系不是戰(zhàn)時(shí)任務(wù)體系,應(yīng)是常態(tài)、日常化的防護(hù)措施。通過人防應(yīng)對(duì)攻擊方運(yùn)用計(jì)算機(jī)技術(shù)的攻擊行為,無疑是人與機(jī)器比拼,結(jié)果可想而知。構(gòu)建一套長期、有效的網(wǎng)絡(luò)安全體系是改變的重要手段。
3.1打造專業(yè)技術(shù)團(tuán)隊(duì)
通過激活“內(nèi)部專家紅利”來打造專業(yè)技術(shù)團(tuán)隊(duì)。所謂內(nèi)部專家紅利,指企業(yè)內(nèi)部復(fù)雜勞動(dòng)者或智力勞動(dòng)者資源優(yōu)勢(shì)。從外部經(jīng)驗(yàn)看,世界500強(qiáng)企業(yè)崛起以及地位鞏固,都伴隨“內(nèi)部專家紅利”。我們熟知的華為、阿里巴巴等國內(nèi)知名企業(yè)的發(fā)展也同樣依靠的是內(nèi)部專家人才。阿里巴巴有ASRC安全響應(yīng)中心,主要針對(duì)各種漏洞和入侵者的一套方案。有漏洞補(bǔ)之,有入侵者招安之,阿里對(duì)內(nèi)部專家人才的重視可見一斑。較行業(yè)而言,招安網(wǎng)絡(luò)安全專家不符合人力資源管理制度,但在行業(yè)現(xiàn)有網(wǎng)絡(luò)安全和信息化隊(duì)伍中,針對(duì)性培養(yǎng)內(nèi)部專家是可行的,在職業(yè)生涯規(guī)劃上向內(nèi)部專家方面進(jìn)行調(diào)整,也會(huì)涌現(xiàn)出內(nèi)部專家。從而為企業(yè)改革、融合創(chuàng)新、網(wǎng)絡(luò)安全防護(hù)提供人才保障。
3.2由人防向技防的轉(zhuǎn)變
從現(xiàn)階段看取得了一定效果,但也遇到發(fā)展瓶頸,單純通過購買安全設(shè)備已不能有效提升,需進(jìn)提升水平同時(shí)積極開展主動(dòng)防御的技術(shù)能力建設(shè)。因增加非特征技術(shù)檢測(cè)能力的投入,及事件響應(yīng)分析能力建設(shè);通過對(duì)事件深度分析及信息情報(bào)共享,建立預(yù)測(cè)預(yù)警并針對(duì)性改善安全系統(tǒng),最終達(dá)到有效檢測(cè)、防御新型攻擊威脅目的。通過設(shè)備聯(lián)動(dòng)釋放人力資源。
四、結(jié)束語
網(wǎng)絡(luò)安全體系構(gòu)建是時(shí)代發(fā)展必然產(chǎn)物,從發(fā)展規(guī)律來看,是一個(gè)綜合、動(dòng)態(tài)的安全體系,是融合多種安全技術(shù)集合和安全產(chǎn)品之間的聯(lián)動(dòng)。需要正確認(rèn)識(shí)和運(yùn)用技術(shù)手段從整體和設(shè)備聯(lián)動(dòng)方向解決網(wǎng)絡(luò)安全。同時(shí),建設(shè)網(wǎng)絡(luò)安全防護(hù)體系是構(gòu)建大安全格局、網(wǎng)絡(luò)強(qiáng)國戰(zhàn)略重要手段,正確處理網(wǎng)絡(luò)安全防護(hù)和融合創(chuàng)新關(guān)系是主要方向。融合創(chuàng)新是高質(zhì)量發(fā)展的路徑、網(wǎng)絡(luò)安全是高質(zhì)量發(fā)展的保障,二者必同步推進(jìn),相輔相承。
參? 考? 文? 獻(xiàn)
[1]2020年工業(yè)信息安全漏洞態(tài)勢(shì)年度簡(jiǎn)報(bào).國家工業(yè)信息安全發(fā)展中心,2021,1:1-2.
[2]2020年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)綜述.國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心,2021,5