靳 峰 張 玉

（1.中海油能源發(fā)展股份有限公司，天津 300450;2.山東省機械設(shè)計研究院，濟南 250031）

當前計算機網(wǎng)絡(luò)技術(shù)飛速發(fā)展，傳統(tǒng)辦公開始向信息化轉(zhuǎn)型，大幅提升了企業(yè)經(jīng)營管理效率。但是，部分企業(yè)尚未針對計算機網(wǎng)絡(luò)系統(tǒng)做好針對性防護，導(dǎo)致企業(yè)辦公網(wǎng)絡(luò)出現(xiàn)了文檔竊取、系統(tǒng)破壞以及病毒傳播等安全問題。

1 企業(yè)網(wǎng)絡(luò)安全攻防演練的重要意義

在信息化背景下，開展網(wǎng)絡(luò)安全攻防演練已經(jīng)成為維護企業(yè)信息化建設(shè)的重要手段[1]。通過網(wǎng)絡(luò)安全攻防演練，能夠及時發(fā)現(xiàn)企業(yè)信息化建設(shè)中的漏洞并及時進行修補，從而確保其能夠有效抵抗外部網(wǎng)絡(luò)攻擊。在開展網(wǎng)絡(luò)安全攻防演練過程中，針對互聯(lián)網(wǎng)目標業(yè)務(wù)系統(tǒng)模擬黑客入侵和攻擊，有助于及時發(fā)現(xiàn)網(wǎng)絡(luò)存在的安全漏洞和風險點，提升網(wǎng)絡(luò)安全監(jiān)測能力和快速應(yīng)急響應(yīng)能力。

2 網(wǎng)絡(luò)安全攻防演練的部署

網(wǎng)絡(luò)安全攻防演練根據(jù)黑客思路采取非對稱對抗方式，在真實的網(wǎng)絡(luò)環(huán)境下高強度地發(fā)起網(wǎng)絡(luò)攻擊和防御，通過網(wǎng)絡(luò)實戰(zhàn)及時發(fā)現(xiàn)企業(yè)網(wǎng)絡(luò)安全管理中存在的漏洞和問題，及時查找現(xiàn)階段存在的網(wǎng)絡(luò)安全監(jiān)測盲區(qū)，為提升網(wǎng)絡(luò)安全應(yīng)急防護能力積累經(jīng)驗，通過持續(xù)優(yōu)化調(diào)整策略，提升整體的防護效果。對于企業(yè)網(wǎng)絡(luò)攻防演練來說，為了達到真實有效的演練效果，一方面要對業(yè)務(wù)系統(tǒng)具有一定的破壞性，另一方面不能影響整個系統(tǒng)的正常使用，即做到風險破壞的可控性。為了實現(xiàn)網(wǎng)絡(luò)安全攻防演練的時效性和管理可控性，需要做好前期方案部署工作，主要包括建立攻防演練組織中心、制定網(wǎng)絡(luò)安全攻防演練詳細方案、明確演練起始時間以及各系統(tǒng)功能測試等[2]。

2.1 建立攻防演練組織指揮中心

為確保攻防演練達到預(yù)期效果，需要建立統(tǒng)一的指揮中心，負責整個演練方案的部署協(xié)調(diào)和控制工作，推動整個攻防演練工作的安全有序推進。同時，統(tǒng)籌規(guī)劃，制定總體方案，并科學評估整個演練方案對企業(yè)相關(guān)業(yè)務(wù)系統(tǒng)的影響情況。演練工作小組負責后續(xù)具體演練實戰(zhàn)方案的實施，并整理收集演練過程中生成的各類數(shù)據(jù)信息，為后續(xù)科學總結(jié)奠定基礎(chǔ)。此外，演練工作小組應(yīng)做好應(yīng)急支持保障工作，保障各項工作有序推進。

2.2 制定網(wǎng)絡(luò)安全攻防演練方案

演練開始前，要先明確演練起始時間，然后在做好頂層規(guī)劃和統(tǒng)籌設(shè)計的基礎(chǔ)上，根據(jù)攻防演練總體實施規(guī)劃的需求制定詳細的攻防演練實施方案。方案中要充分考慮可能出現(xiàn)的風險情況，并有針對性地做好各項應(yīng)急處理措施。同時，要明確各參加演練單位的工作任務(wù)以及攻擊方和防守方的相關(guān)職責。在實際演練過程中，指揮中心人員可結(jié)合實際情況，酌情中斷演練進程。做好各項準備工作后，明確攻防演練的開始時間和結(jié)束時間，并將詳細通知下發(fā)各參加單位[3]。

2.3 系統(tǒng)功能測試

網(wǎng)絡(luò)安全攻防演練開始前，防守方應(yīng)做好各項準備工作，如網(wǎng)絡(luò)安全監(jiān)測設(shè)備的分類梳理工作。這項工作的意義在于協(xié)助監(jiān)測團隊更加清晰地了解單位產(chǎn)品類型和數(shù)量，并有針對性地調(diào)整網(wǎng)絡(luò)安全監(jiān)測方式。例如：系統(tǒng)梳理并評估攻防演練工作量，根據(jù)統(tǒng)計的工作量進行人員分配，進而統(tǒng)計網(wǎng)絡(luò)安全攻防演練需要的人員數(shù)量和所需投入的資源量；做好攻擊方的攻擊路徑研判，從攻擊方的角度出發(fā)，準確判斷可能的攻擊路徑，通過安全檢查做好各項防守準備工作。攻擊人員制定攻擊方案，采用各種手段繞開防護措施，采用漏洞利用等方式對目標系統(tǒng)進行全面滲透。攻防演練開始后，攻擊方人員會采取一系列工具手段收集目標系統(tǒng)信息，包括開發(fā)語言、IP地址、服務(wù)器系統(tǒng)及網(wǎng)站架構(gòu)等。通過撒網(wǎng)式、定點式的方式收集敏感信息，發(fā)掘目標系統(tǒng)中可能存在的缺陷，針對檢測到的系統(tǒng)漏洞進行全方面攻擊[3]。通常攻擊方多采用人工測試滲透為主、攻擊工具為輔的方式對各業(yè)務(wù)系統(tǒng)中的弱點進行入侵。攻防演練結(jié)束后，對企業(yè)各相關(guān)業(yè)務(wù)系統(tǒng)進行功能測試。攻擊方與防守方詳細記錄整個攻防演練過程中的相關(guān)數(shù)據(jù)，并向指揮中心匯報對戰(zhàn)過程，根據(jù)檢測的安全漏洞和安全隱患撰寫攻防演練總結(jié)報告。

3 網(wǎng)絡(luò)安全攻防演練設(shè)計

3.1 設(shè)計原則

對于大型國有企業(yè)來說，如果信息系統(tǒng)受到惡意攻擊，將可能造成信息泄露、服務(wù)中斷等安全事件[3-4]。 針對企業(yè)信息管理系統(tǒng)進行安全風險評價研究，對安全事件處置情況進行分析，并以此為基礎(chǔ)總結(jié)網(wǎng)絡(luò)安全系統(tǒng)中的風險漏洞和風險來源。常見的網(wǎng)絡(luò)安全脆弱點包括弱口令、用戶密碼驗證以及越權(quán)操作等。針對網(wǎng)絡(luò)安全系統(tǒng)存在的脆弱性，有針對性地設(shè)計攻防演練項目。比如，在演練過程中，通過漏洞掃描、測試滲透等多種攻擊方式對弱口令等系統(tǒng)漏洞進行攻擊，破壞網(wǎng)絡(luò)系統(tǒng)的正常運行，竊取企業(yè)敏感信息。同時，作為參加演練的防守方，應(yīng)強化網(wǎng)絡(luò)安全防護，通過修補漏洞等措施加固系統(tǒng)防護措施，不斷完善網(wǎng)絡(luò)安全處置流程。

3.2 模擬攻擊

網(wǎng)絡(luò)安全攻防演練根據(jù)黑客思路采取非對稱對抗方式，在真實的網(wǎng)絡(luò)環(huán)境下高強度地發(fā)起網(wǎng)絡(luò)攻擊。它一般多采取模擬黑客從互聯(lián)網(wǎng)滲透測試的方式挖掘系統(tǒng)存在的安全漏洞。滲透測試過程主要包括以下幾步：第一，掃描系統(tǒng)各個端口，并收集開放端口信息；第二，對開放端口的應(yīng)用服務(wù)發(fā)動攻擊；第三，掃描查找Web后臺登錄是否具有SQL漏洞，并使用SQL注入工具寫入木馬；第四，連接WebShell木馬控制系統(tǒng)服務(wù)器，并修改內(nèi)部信息。攻擊方還可以借助黑客工具批量掃描服務(wù)端口，以高危端口和弱口令為攻擊對象對其進行破解。具體破解方式主要包括以下幾步：第一，基于黑客掃描工具，批量掃描常用端口；第二，收集整理高危端口，嘗試暴力破解和登錄服務(wù)器；第三，通過安全管理平臺檢查是否具有掃描和破解的流量?；诨ヂ?lián)網(wǎng)對某一系統(tǒng)進行CC攻擊，利用多臺計算機掃描整個新系統(tǒng)，檢查攻擊操作流量在安全管理中心是否能夠被及時捕捉，并采取針對性的應(yīng)急處置方式。例如，先選定攻擊對象進行CC攻擊，再通過代理服務(wù)器等方式向系統(tǒng)發(fā)送大量數(shù)據(jù)包，以耗盡服務(wù)器資源，最后檢查安全管理平臺是否具有攻擊流量。

3.3 漏洞分析和滲透

漏洞分析和滲透是網(wǎng)絡(luò)安全攻防演練攻擊方的常用方法。通過收集目標系統(tǒng)的信息并進行綜合分析，采用合適的攻擊工具對目標系統(tǒng)的安全漏洞進行關(guān)聯(lián)分析，驗證漏洞的利用方式和難度，并采用多種攻擊方式找到潛在漏洞的攻擊路徑。基于制定的攻擊方案，采用漏洞利用和攻擊等方式進行實戰(zhàn)演習，并嘗試多種技術(shù)手段對系統(tǒng)、數(shù)據(jù)庫及中間文件進行訪問或者操作，采用編碼、加殼等方式繞過系統(tǒng)安全防護，對目標系統(tǒng)進行全面滲透。通過滲透等方式獲取相關(guān)系統(tǒng)的控制權(quán)限后，為了進一步開展內(nèi)網(wǎng)滲透，攻擊方多采用后滲透方式擴大攻擊成果。在該階段，攻擊人員進一步開發(fā)利用已經(jīng)獲取的權(quán)限，通過漏洞利用獲取服務(wù)器權(quán)限，并在此基礎(chǔ)上獲取內(nèi)部網(wǎng)絡(luò)信息尤其是內(nèi)部網(wǎng)絡(luò)拓撲結(jié)果，從而為攻擊方提供攻擊路徑。在后滲透階段，攻擊方通過內(nèi)網(wǎng)掃描等方式可以進一步獲得網(wǎng)絡(luò)設(shè)備的控制權(quán)限。當進入內(nèi)部網(wǎng)絡(luò)后，可嘗試進一步獲取集權(quán)類系統(tǒng)的后臺權(quán)限和域控制服務(wù)器權(quán)限，最大限度控制內(nèi)網(wǎng)。攻擊人員重復(fù)上述攻擊操縱，基于已經(jīng)獲取權(quán)限的服務(wù)器和網(wǎng)絡(luò)環(huán)境進行信息收集和敏感文件搜索，并綜合收集的信息，結(jié)合現(xiàn)有攻擊方式，不斷擴大攻擊成果。

4 網(wǎng)絡(luò)安全攻防演練發(fā)現(xiàn)的問題和整改建議

4.1 網(wǎng)絡(luò)安全攻防演練中存在的問題

4.1.1 弱口令方面

對于網(wǎng)絡(luò)攻擊方來說，弱口令利用難度低、出現(xiàn)頻率高，很容易帶來嚴重危害和損失。調(diào)查統(tǒng)計顯示，攻擊方通過弱口令獲取應(yīng)用權(quán)限的比例能夠達到70%。在網(wǎng)絡(luò)安全攻防演練期間，如果用戶口令復(fù)雜度較高，但是具有一定的規(guī)律性，也很容易被攻擊方破解。這種規(guī)律性的密碼設(shè)置方式可能導(dǎo)致系統(tǒng)中的其余服務(wù)器被破解。

4.1.2 安全漏洞方面

系統(tǒng)漏洞不及時更新，其中高危漏洞也是攻擊方常常利用的途徑。一般來說，高危漏洞多存在于操作系統(tǒng)、數(shù)據(jù)庫，需要及時更新這些系統(tǒng)。此外，應(yīng)加大周期性檢測、風險評估以及高危漏洞的排查力度，并及時采取措施對其進行整改修復(fù)。

4.1.3 集權(quán)類設(shè)備安全隱患等方面

集權(quán)類設(shè)備安全隱患也是網(wǎng)絡(luò)安全攻擊人員較為關(guān)注的目標之一。在運維管理方面，集權(quán)類設(shè)備的出現(xiàn)大幅提升了管理的便捷性，但也帶來了安全隱患。部分集權(quán)類設(shè)備設(shè)置有默認的最高權(quán)限和密碼，如果被黑客利用，可能會造成全網(wǎng)失控。

4.1.4 資產(chǎn)管理和安全整改方面

云計算等技術(shù)極大地方便了服務(wù)器資源的分配和系統(tǒng)的部署，但隨之而來的是資產(chǎn)管理方面的安全隱患。部分人員不及時回收資源和更新資產(chǎn)，形成網(wǎng)內(nèi)的“僵尸主機”，很容易成為攻擊人員的“肉機”。為有效保障企業(yè)各項工作的開展，相關(guān)法規(guī)明確要求網(wǎng)絡(luò)管理人員及時處理系統(tǒng)漏洞、病毒及攻擊等安全風險。但是，實際中，部分人員安全意識缺失，對安全漏洞的重視程度不夠，部分企業(yè)缺乏足夠的技術(shù)能力進行修復(fù)，均會導(dǎo)致上述安全風險沒有得到及時 修復(fù)。

4.2 網(wǎng)絡(luò)安全攻防演練整改建議

4.2.1 實施全周期的安全監(jiān)測服務(wù)

系統(tǒng)上線前進行安全監(jiān)測，當出現(xiàn)問題后及時整改并復(fù)測，確保系統(tǒng)不存在高危、中危風險漏洞后才能進行上線試運行。系統(tǒng)運行期間，定期進行安全監(jiān)測，將新發(fā)現(xiàn)的安全風險記錄到《安全隱患告知書》，并通知相關(guān)單位修復(fù)[4-5]。企業(yè)網(wǎng)絡(luò)安全工作人員應(yīng)實施全周期的安全監(jiān)測服務(wù)，定期開展安全監(jiān)測、研判分析以及應(yīng)急響應(yīng)處置等，通過全天候管理加強監(jiān)測和監(jiān)控的力度。建議每月組織一次應(yīng)急演練，并對安全事件進行應(yīng)急處置，以此為基礎(chǔ)修訂應(yīng)急預(yù)案。建議應(yīng)急演練以實戰(zhàn)攻防的形式開展，主題可以為勒索病毒、網(wǎng)絡(luò)攻擊等。

4.2.2 實施全流程的安全監(jiān)督管理

根據(jù)網(wǎng)絡(luò)安全攻防演練結(jié)果，針對弱口令、安全漏洞以及集權(quán)類設(shè)備安全隱患等方面的問題及時進行整改。比如，增強用戶口令復(fù)雜度的設(shè)置，增加用戶登錄驗證碼功能，提升攻擊者破解用戶口令的難度；加大網(wǎng)絡(luò)端口開放審查的力度，避免攻擊者利用該通道入侵主機；強化風險評估和測試，避免攻擊者利用安全漏洞控制服務(wù)器獲取敏感信息；加大對網(wǎng)絡(luò)安全設(shè)備和管理平臺的監(jiān)控力度，確保系統(tǒng)能夠及時檢測到攻擊行為，并快速定位受到攻擊的IP地址，確保管理人員能夠快速給予應(yīng)急響應(yīng)。

5 結(jié)語

為了營造安全的網(wǎng)絡(luò)環(huán)境，應(yīng)科學部署網(wǎng)絡(luò)安全攻防演練方案，主動檢測現(xiàn)有網(wǎng)絡(luò)安全技術(shù)防護能力，并針對演練結(jié)果科學總結(jié)、公布問題和及時整改。企業(yè)網(wǎng)絡(luò)安全保障能力的提升，還需要不斷強化全員安全意識，加強不同部門之間的合作，逐步打造從演練方案設(shè)計到組織實施再到評價整改的一整套攻防演練體系，從而在不斷的循環(huán)中優(yōu)化完善，確保網(wǎng)絡(luò)安全防護工作發(fā)揮更大的作用。