专题｜在攻防演练中提升网络防御能力

2017年6月1日，网络安全法的正式实施，为网络攻防演练提供了重要的法律依据，使国家网络空间安全体系建设进入了快车道。网络安全法明确规定，关键基础设施应制定网络安全事件应急预案，并定期开展网络攻防演练。水利专网作为国家重要的网络关键基础设施，关乎国计民生，一旦受到非法网络攻击将会对有关重要业务系统构成严重的影响，甚至会危害到国家安全。

网络实战攻防演练，是新形势下关键信息系统网络安全保护工作的重要组成部分。演练通常是以实际运行的信息系统为保护目标，通过有监督的攻防对抗，尽可能地模拟真实的网络攻击，以此来检验信息系统的实际安全性和运维保障的实际有效性。

自2017年开始，各行业先后举办过多次网络攻防演练演练，通过网络对抗，极大地提高了网络防御攻击的应急处置能力、专业技能人员的技术水平。在近几年的网络攻防演练中，从防火墙、IPS、WAF上封堵IP是各级防守人员的主要响应手段，同时也是无奈之举，这种手段相对来讲简单、粗暴，极容易对相关业务系统的可用性造成影响。

网络攻防演练中急需防守方建立精准快速防御的应急响应能力，针对不同性质的攻击源地址，采用低细粒度、高精准及快速响应的防御措施。尽量避免配置安全策略一刀切的情况对业务系统可用性造成的影响，同时确保安全性不降低标准。为防止网络多次被入侵的情况发生，除进行必要的阻断外，还必须具备网络反击能力——溯源分析，防守方能够在发生安全事件后第一时间启动应急响应机制，快速查清入侵人员的真实身份，并及时调整防护策略，防止攻击再次入侵。

1.事前

在实战攻防工作开始之前，首先应当充分地了解自身安全防护状况与存在的不足，做好资产自查，做到心中有底、心里有数，对高危资产做好妥善的加固措施；其次从管理组织架构、技术防护措施、安全事件应急处置等各方面能进行整体的安全评估，确定自身的安全防护能力和工作协作默契程度，为后续工作提供能力支撑。

在网络攻防演练前，攻击方首先会使用一切手段并通过各种渠道收集目标单位的各种信息，借助各种方式悄无声息地攻入防守方网络内部，从而得到所需要的信息。因此，在攻防演练以前，防守方要对防护的资产情况进行深入排查，详细了解资产软硬件信息、部署情况、访问用户情况、资产的安全性等信息，并使用漏洞扫描系统对网络内部的各节点设备进行安全漏洞及系统弱口令扫描、无线接入设备统一加固处理，攻防演练期间不改变网络配置等，对发现的安全隐患及时处置，做到设备不留安全隐患，让网络系统安全地参与网络攻防演练。只有深入了解资产相关信息，才能在后期进行针对性的防护。

2.事中

攻守双方在实战阶段正式展开全面对抗。防护方必须依据演练前明确的组织和职责，用攻击方的思维构建防守体系。集中精力和人力，做到监测及时、分析准确、处置高效，力求系统不破，破而数据不失。

在网络攻防演练的过程中，利用各种安全设备构建大纵深立体化防御体系，对攻防的入侵蛛丝马迹进行检测分析，及时阻断攻防的入侵行为。时刻关注内网业务系统、各个网络节点的安全状况，任何一个网络节点被攻击都可能带来整个演练防守工作的失败。

防守方如不能及时准确地对安全事件进行事前预判、事中检测，就无法进行有效的防范。利用IDS、TAC、WAF、态势感知系统多设备日志源进行综合分析，结合安全设备厂家的云端威胁情报数据，让防御体系中的检测设备和防护设备发现更多的攻击行为，并通过网络安全态势感知系统的设备联动功能，对安全阻断设备的策略作出动态的响应处置，及时将攻击方阻挡在防守网络之外。

3.事后

演练的结束也是防护工作改进的开始。在实战工作完成后，应进行充分、全面复盘分析，总结经验、教训。

一是通过复盘，找出攻防演练备战阶段、临战阶段、实战阶段中的工作方案、组织管理、工作启动会、系统资产梳理、安全自查及优化、基础安全监测与防护设备的部署、安全意识、应急预案及演练、注意事项、队伍协同、情报共享和使用等过程还存在哪些纰漏和不足，分析技术和管理两方面问题整改措施计划。

二是网络攻防演练活动不是一次性保障活动，其最终目的是单位通过演练发现网络安全建设存在的不足，改进和提升整体安全防御能力，通过相对独立的安全运营思路，以数据为中心建立整体网络安全防护体系，进而发挥出最有效的安全能力。

1.人员

网络攻防演练归根到底是攻守双方人员高技能的较量，双方都在对抗过程中不断提升各自的攻防能力。对于防守方人员，不断地进行专业知识更新，通过攻防演练达到知识经验合一，是至关重要的。最近几年的网络攻防演练目标已经从传统的网络，演变到对云资源、工控资源、AI资源、供应链资源为主的攻击，这对防守人员的技能水平也有了新的提高，不光要求防守人员懂得传统网络知识，还要了解云技术、工控技术、AI技术等新兴技术。俗话说“知己知彼，百战不殆”，防守人员要实施高水平的防御，具备攻击思维也是很有必要的。站在攻击方的思维角度进行防守策略的制定，会对实战中的防御起到事半功倍的效果。

2.技术手段

网络安全“三分技术，七分管理”，除了必要的管理手段，“三分技术”在网络攻防演练中也是不可或缺的重要因素。要想进行有效的防守，手中没有必要的技术手段是万万不行的。要做好网络边界安全防护、内网异常攻击流、攻击行为实时检测、安全日志审计、弱口令及系统漏洞扫描等技术手段，具备了这些技术手段，基本上能做到事前知己弱项进行针对性地技术加固、事中及时发现攻击事件，并进行全方位阻断，防止事态进一步扩大，事后进行准确溯源，进行攻防演练的复盘工作。此外，保持相关安全设备的特征库及时升级至最新版本也相当重要，使用一台特征库过服务期限的安全设备，将无法发挥其原有的作用，甚至还会对网络安全造成重大隐患。因此，必要的技术保障手段对攻防演练的成败起着至关重要的作用。

网络攻防演练的本质归根到底是信息安全体系的对抗，是攻防专业技能人才的对抗。通过网络攻防演练，不仅可以发现存在的安全隐患并及时得到修补，还可以检验安全技术人员的监测预警、分析研判和处置溯源的能力，提升全员安全意识，更可以综合检验协同响应能力，提升各防守队信息共享及联动能力。通过网络攻防演练，可以使防守方从攻击方视角改善以后的网络防御工作，从根本上强化网络安全防护能力，对提升网络安全防御水平具有重要的意义。

来源：《网络安全和信息化》杂志

作者：河南瑞达信息技术有限公司 马宜东