構(gòu)建大安全格局從網(wǎng)絡(luò)安全攻防演練說開去

王垚

【摘要】? ? 隨著時(shí)代發(fā)展，信息技術(shù)應(yīng)用已成為不可或缺的重要組成，保障信息安全逐漸成為國家安全重要組成部分，是構(gòu)建大安全格局必要元素之一。網(wǎng)信工作領(lǐng)域默默付出，網(wǎng)絡(luò)安全攻防演練已成為各大型企事業(yè)單位網(wǎng)信部門的必要工作，為做好演練防守工作，各關(guān)鍵部門也在為不斷提升防守水平做著積極的努力。本文立足網(wǎng)絡(luò)安全理論，用通俗易懂的語言向大眾闡述相關(guān)概念，從攻防技術(shù)介紹，到網(wǎng)絡(luò)安全防護(hù)體系構(gòu)建，淺析網(wǎng)絡(luò)安全體系建設(shè)。

【關(guān)鍵詞】? ? 網(wǎng)絡(luò)安全? ? 攻防演練? ? 聯(lián)動(dòng)體系? ? 安全技術(shù)大安全格局

引言：

網(wǎng)絡(luò)安全是信息時(shí)代國家安全的戰(zhàn)略基石。隨著互聯(lián)網(wǎng)化、信息技術(shù)的飛速發(fā)展，政治、經(jīng)濟(jì)等領(lǐng)域面臨網(wǎng)絡(luò)與信息安全等問題，構(gòu)建大安全格局已正式提出。一旦信息基礎(chǔ)設(shè)施被破壞、信息泄露，將給國家、企業(yè)、個(gè)人帶來巨大損失和影響。維護(hù)網(wǎng)絡(luò)與信息安全是前提。網(wǎng)絡(luò)安全成為關(guān)乎全局的重大問題，信息化程度越高的行業(yè)，安全工作越重要，對(duì)相關(guān)人才需求越迫切。

近年來，網(wǎng)絡(luò)安全態(tài)勢(shì)日益嚴(yán)峻，各類網(wǎng)絡(luò)攻擊從外部轉(zhuǎn)向內(nèi)部，攻擊手段多樣。做好網(wǎng)絡(luò)安全防護(hù)工作是前提也是基礎(chǔ)。網(wǎng)絡(luò)安全攻防演練，是在和平時(shí)期對(duì)網(wǎng)絡(luò)安全攻防技術(shù)實(shí)戰(zhàn)型演練，也是考驗(yàn)單位網(wǎng)絡(luò)安全防護(hù)水平重要契機(jī)。因此，建設(shè)立體化防護(hù)是對(duì)網(wǎng)絡(luò)安全防護(hù)的強(qiáng)化，通過專業(yè)人員運(yùn)用軟硬件技術(shù)，來保障所使用的網(wǎng)絡(luò)和信息安全。

一、網(wǎng)絡(luò)安全現(xiàn)狀

1.1全球網(wǎng)絡(luò)安全現(xiàn)狀

國家工業(yè)信息安全發(fā)展研究中心2021年1月19日發(fā)布的《2020年工業(yè)信息安全漏洞態(tài)勢(shì)年度簡(jiǎn)報(bào)》報(bào)告顯示，2020年國家工業(yè)信息安全漏洞庫（CICSVD）收錄工業(yè)信息安全漏洞如圖1，在收錄的通用型漏洞中，高危及以上漏洞占比62.5%。在漏洞成因分析方面，涉及31種漏洞成因類型。在受影響產(chǎn)品分類方面，涉及10大類、66小類。在受影響產(chǎn)品廠商分析方面，主要涉及德國西門子、中國臺(tái)灣摩莎等335家公司，國外廠商占比66.2%，我國占比33.8%。

據(jù)CNCERT（國家互聯(lián)網(wǎng)應(yīng)急中心）在2021年5月26日發(fā)布的CNCERT互聯(lián)網(wǎng)安全威脅報(bào)告顯示，2020年CNCERT協(xié)調(diào)處置各類網(wǎng)絡(luò)安全事件約10.3萬起。同比減少4.2%，據(jù)抽樣發(fā)現(xiàn)，我國被植入后門網(wǎng)站、被篡改網(wǎng)站等均有所減少，其中被植入后門同比減少37.3%，境內(nèi)政府網(wǎng)站量大幅下降，同比減少64.3%;被篡改網(wǎng)站量同比減少45.9%。據(jù)外部報(bào)告，全年我國境內(nèi)DDoS攻擊次數(shù)減少16.16%，攻擊總量下降19.67%;僵尸網(wǎng)絡(luò)控制端量在全球占比穩(wěn)步下降至2.05%?？梢?，隨大安全格局構(gòu)建，及近年來網(wǎng)絡(luò)安全演練舉辦，我國網(wǎng)絡(luò)安全態(tài)勢(shì)與全球態(tài)勢(shì)呈現(xiàn)反向，大安全格局構(gòu)建效果初步顯現(xiàn)。

1.2網(wǎng)絡(luò)安全國家戰(zhàn)略

2018年4月20日，習(xí)總書記在第一次全國網(wǎng)絡(luò)安全和信息化工作會(huì)議上指出未來網(wǎng)絡(luò)安全工作重點(diǎn)，對(duì)網(wǎng)絡(luò)安全問題的核心論述轉(zhuǎn)化為具體行動(dòng)。只有樹立正確網(wǎng)絡(luò)安全觀，落實(shí)基礎(chǔ)設(shè)施防護(hù)責(zé)任，依法打擊網(wǎng)絡(luò)違法犯罪行為，深入開展網(wǎng)絡(luò)安全知識(shí)技能宣傳普及，才能構(gòu)筑強(qiáng)有力的網(wǎng)絡(luò)安全防護(hù)體系，提升網(wǎng)絡(luò)安全水平。

1.3行業(yè)內(nèi)外網(wǎng)絡(luò)安全現(xiàn)狀

十九大以來，有關(guān)部委多次組織網(wǎng)絡(luò)安全機(jī)構(gòu)對(duì)國內(nèi)開展網(wǎng)絡(luò)安全的實(shí)戰(zhàn)攻擊演練。在此，各行業(yè)表現(xiàn)相對(duì)較好防護(hù)能力，同時(shí)也暴露出在攻擊期間部分行業(yè)外部應(yīng)用出現(xiàn)系統(tǒng)無法正常使用，多數(shù)行業(yè)通過“斷橋堵路”方式應(yīng)對(duì)攻擊，在一定程度上制約了線上服務(wù)的便捷和高效性。

反觀業(yè)內(nèi)，隨行業(yè)領(lǐng)導(dǎo)對(duì)網(wǎng)絡(luò)安全和信息化工作的高度重視，各級(jí)主管部門通過配置各類安全設(shè)備、收緊互聯(lián)網(wǎng)出口等有效防止了外部攻擊，形成良好的運(yùn)行環(huán)境。但由于設(shè)備分散化配置，各廠商設(shè)備繁雜交錯(cuò)，多處于各管一塊狀態(tài)，設(shè)備間聯(lián)動(dòng)性差，自動(dòng)發(fā)起系統(tǒng)性處理能力一般。

二、網(wǎng)絡(luò)攻防實(shí)戰(zhàn)演練技術(shù)探析

2.1攻防雙方技術(shù)分析

在網(wǎng)絡(luò)攻防實(shí)戰(zhàn)演練中，必然存在著攻擊和防守方對(duì)抗，攻擊方往往掌握主動(dòng)性，而防守方須做出更多網(wǎng)絡(luò)規(guī)劃和安全策略才能應(yīng)對(duì)攻擊威脅。通常攻擊和防守技術(shù)是相輔相成，往往防守技術(shù)會(huì)落后于攻擊技術(shù)發(fā)展。攻擊隊(duì)可以通過信息收集技術(shù)、漏洞掃描技術(shù)等多種手段進(jìn)行攻擊。因攻擊種類多增加了防守難度。但防守技術(shù)也在不斷發(fā)展，從監(jiān)控技術(shù)、防火墻技術(shù)等到態(tài)勢(shì)感知技術(shù)、APT防御技術(shù)等，使得防守能力不斷增強(qiáng)。

2.2攻擊過程

攻擊方以入侵目標(biāo)網(wǎng)絡(luò)系統(tǒng)為主要目的，通常采取各種手段，最終實(shí)現(xiàn)盜用、篡改或破壞。經(jīng)研究，防范其攻擊手段，在關(guān)鍵節(jié)點(diǎn)做好部署，對(duì)于了解攻擊意圖、更加精準(zhǔn)的對(duì)其進(jìn)行監(jiān)測(cè)和響應(yīng)具有重大意義。

2.2.1攻擊前準(zhǔn)備

通常，攻擊開始前以信息收集為主，通過系統(tǒng)所暴露的脆弱性或安全漏洞信息進(jìn)行對(duì)應(yīng)攻擊，分攻擊技術(shù)和信息利用技術(shù)。信息收集技術(shù)包括技術(shù)和非技術(shù)手段。技術(shù)手段含公開信息收集、網(wǎng)絡(luò)掃描等;非技術(shù)手段主利用社會(huì)工程學(xué)對(duì)目標(biāo)系統(tǒng)實(shí)施入侵。在攻防演練中常用技術(shù)手段入侵，但也有通過社會(huì)工程學(xué)手段入侵成功的案例。通過端口掃描技術(shù)，攻擊方可獲取目標(biāo)主機(jī)的端口使用清單，通常要求個(gè)人終端要關(guān)閉135、139等非必要端口，也是從終端角度防范攻擊端口掃描的例證。而漏洞掃描技術(shù)則建立在端口掃描技術(shù)基礎(chǔ)上，通過漏洞信息特征的識(shí)別和匹配檢測(cè)方法或模擬攻擊方法來檢查目標(biāo)設(shè)備是否存在漏洞。此外，攻擊方還可通過對(duì)會(huì)話劫持、電磁泄露等手段進(jìn)行信息收集。

2.2.2攻擊階段

攻擊方通過前期收集技術(shù)得來的信息，運(yùn)用相對(duì)應(yīng)手段對(duì)目標(biāo)系統(tǒng)實(shí)施攻擊。攻擊技術(shù)類別多，例如，高級(jí)持續(xù)性威脅攻擊（APT）、惡意代碼攻擊等等。高級(jí)持續(xù)性威脅攻擊不僅通過網(wǎng)絡(luò)進(jìn)行攻擊，還能通過智能終端、移動(dòng)存儲(chǔ)設(shè)備等設(shè)備進(jìn)行攻擊。常具有長期隱蔽和潛伏性，持續(xù)性可達(dá)數(shù)年之久?？梢葬槍?duì)目標(biāo)系統(tǒng)所屬網(wǎng)絡(luò)內(nèi)的用戶終端寄送可以以假亂真的惡意郵件，用戶一旦點(diǎn)擊附件，就有可能被利用，潛伏入目標(biāo)系統(tǒng)網(wǎng)絡(luò)之內(nèi)，其高度隱蔽性很難被網(wǎng)絡(luò)安全防御方發(fā)現(xiàn)。在單點(diǎn)攻破后，攻擊方可以建立類似僵尸網(wǎng)絡(luò)的遠(yuǎn)程控制模型，定期傳送重要文件的給命令和控制服務(wù)器（C&C Server），并將過濾后的重要信息數(shù)據(jù)利用加密手段外傳。惡意代碼攻擊是我們所熟知的電腦病毒和木馬攻擊手段，病毒通過不斷自我復(fù)制來感染其他終端主機(jī)及主機(jī)程序，有極強(qiáng)傳染和不可預(yù)見性，因其種類多，所造成危害也不同，在病毒防護(hù)方面也是重視的工作之一。木馬程序是帶有隱藏功能的程序，它含有隱蔽代碼，可以通過隱蔽端口進(jìn)行通信，多數(shù)木馬是客戶端Client/服務(wù)器Server架構(gòu)。這樣攻擊方可以通過病毒程序?qū)δ繕?biāo)系統(tǒng)進(jìn)行破壞，再通過木馬程序留下后門，以便對(duì)目標(biāo)系統(tǒng)的隨時(shí)訪問和權(quán)限獲取操作。

2.3防守過程

防守方采用防御技術(shù)是針對(duì)攻擊方攻擊技術(shù)而產(chǎn)生。從現(xiàn)狀來，相對(duì)于攻擊方而言，多數(shù)防守方專業(yè)技術(shù)能力相對(duì)偏弱，防守方多采取聘請(qǐng)第三方專業(yè)團(tuán)隊(duì)，購買各類安全設(shè)備以及人防戰(zhàn)術(shù)進(jìn)行防守。這樣就引起前文所說的在攻防期間相關(guān)網(wǎng)絡(luò)服務(wù)受到影響情況。

1.防守前準(zhǔn)備。攻防演練之前，防守方應(yīng)當(dāng)對(duì)管轄網(wǎng)絡(luò)進(jìn)行系統(tǒng)漏洞修復(fù)，嚴(yán)格開啟防火墻策略、縮緊IPS特征庫識(shí)別規(guī)則、啟用態(tài)勢(shì)感知平臺(tái)最高等級(jí)監(jiān)測(cè)等。有條件的可以使用蜜罐技術(shù)固牢防線，降低安全威脅做好溯源準(zhǔn)備。

2.防守階段。在防守方面，以監(jiān)控網(wǎng)絡(luò)狀態(tài)為主，通過監(jiān)控?cái)?shù)據(jù)包的詳細(xì)信息，防止來自攻擊方的信息探測(cè)，也可以對(duì)目標(biāo)系統(tǒng)的服務(wù)器進(jìn)程、訪問日志進(jìn)行監(jiān)控，通過是否存在異常而進(jìn)行研判。檢測(cè)技術(shù)是隨國家網(wǎng)絡(luò)強(qiáng)國戰(zhàn)略逐步成熟的一項(xiàng)防守技術(shù)，通過監(jiān)測(cè)網(wǎng)絡(luò)和設(shè)備系統(tǒng)的異常特征信息來判定是否存在被入侵的可能。其區(qū)別于監(jiān)控技術(shù)，主要是對(duì)全網(wǎng)監(jiān)聽。目前來講，防守方因技術(shù)劣勢(shì)，處于相對(duì)被動(dòng)地位。依靠安全設(shè)備以及大量人員值守進(jìn)行防守。但往往技術(shù)成熟的攻擊者會(huì)使用云空間、跳板機(jī)等發(fā)起攻擊，很難得到有效溯源結(jié)果。

三、改變現(xiàn)狀構(gòu)建體系

防守方被動(dòng)局面需要改變現(xiàn)狀，網(wǎng)絡(luò)安全防護(hù)體系不是戰(zhàn)時(shí)任務(wù)體系，應(yīng)是常態(tài)、日常化的防護(hù)措施。通過人防應(yīng)對(duì)攻擊方運(yùn)用計(jì)算機(jī)技術(shù)的攻擊行為，無疑是人與機(jī)器比拼，結(jié)果可想而知。構(gòu)建一套長期、有效的網(wǎng)絡(luò)安全體系是改變的重要手段。

3.1打造專業(yè)技術(shù)團(tuán)隊(duì)

通過激活“內(nèi)部專家紅利”來打造專業(yè)技術(shù)團(tuán)隊(duì)。所謂內(nèi)部專家紅利，指企業(yè)內(nèi)部復(fù)雜勞動(dòng)者或智力勞動(dòng)者資源優(yōu)勢(shì)。從外部經(jīng)驗(yàn)看，世界500強(qiáng)企業(yè)崛起以及地位鞏固，都伴隨“內(nèi)部專家紅利”。我們熟知的華為、阿里巴巴等國內(nèi)知名企業(yè)的發(fā)展也同樣依靠的是內(nèi)部專家人才。阿里巴巴有ASRC安全響應(yīng)中心，主要針對(duì)各種漏洞和入侵者的一套方案。有漏洞補(bǔ)之，有入侵者招安之，阿里對(duì)內(nèi)部專家人才的重視可見一斑。較行業(yè)而言，招安網(wǎng)絡(luò)安全專家不符合人力資源管理制度，但在行業(yè)現(xiàn)有網(wǎng)絡(luò)安全和信息化隊(duì)伍中，針對(duì)性培養(yǎng)內(nèi)部專家是可行的，在職業(yè)生涯規(guī)劃上向內(nèi)部專家方面進(jìn)行調(diào)整，也會(huì)涌現(xiàn)出內(nèi)部專家。從而為企業(yè)改革、融合創(chuàng)新、網(wǎng)絡(luò)安全防護(hù)提供人才保障。

3.2由人防向技防的轉(zhuǎn)變

從現(xiàn)階段看取得了一定效果，但也遇到發(fā)展瓶頸，單純通過購買安全設(shè)備已不能有效提升，需進(jìn)提升水平同時(shí)積極開展主動(dòng)防御的技術(shù)能力建設(shè)。因增加非特征技術(shù)檢測(cè)能力的投入，及事件響應(yīng)分析能力建設(shè);通過對(duì)事件深度分析及信息情報(bào)共享，建立預(yù)測(cè)預(yù)警并針對(duì)性改善安全系統(tǒng)，最終達(dá)到有效檢測(cè)、防御新型攻擊威脅目的。通過設(shè)備聯(lián)動(dòng)釋放人力資源。

四、結(jié)束語

網(wǎng)絡(luò)安全體系構(gòu)建是時(shí)代發(fā)展必然產(chǎn)物，從發(fā)展規(guī)律來看，是一個(gè)綜合、動(dòng)態(tài)的安全體系，是融合多種安全技術(shù)集合和安全產(chǎn)品之間的聯(lián)動(dòng)。需要正確認(rèn)識(shí)和運(yùn)用技術(shù)手段從整體和設(shè)備聯(lián)動(dòng)方向解決網(wǎng)絡(luò)安全。同時(shí)，建設(shè)網(wǎng)絡(luò)安全防護(hù)體系是構(gòu)建大安全格局、網(wǎng)絡(luò)強(qiáng)國戰(zhàn)略重要手段，正確處理網(wǎng)絡(luò)安全防護(hù)和融合創(chuàng)新關(guān)系是主要方向。融合創(chuàng)新是高質(zhì)量發(fā)展的路徑、網(wǎng)絡(luò)安全是高質(zhì)量發(fā)展的保障，二者必同步推進(jìn)，相輔相承。

參? 考? 文? 獻(xiàn)

[1]2020年工業(yè)信息安全漏洞態(tài)勢(shì)年度簡(jiǎn)報(bào).國家工業(yè)信息安全發(fā)展中心，2021，1：1-2.

[2]2020年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)綜述.國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心，2021，5