网络攻防演习的防守方案研究

自古以来，讲究不打无准备之仗，备战阶段是整个攻防演习非常重要的一个阶段。组织领导是攻防演习备战阶段的极其重要一部分，因为网络攻防演习是个系统性工作，期间需要各部门齐心协力配合，各司其职，只有高层领导高度重视网络攻防演习，才能保证在演习的各个阶段工作顺利开展。备战阶段还需要开展信息系统梳理、网络安全架构评估、渗透测试、信息安全培训、弱口令风险排查及完善沟通协作机制。

1.组织架构方面

企业参加网络攻防演习，必须将此次网络攻防演习工作列入信息科技风险防范年度重点工作。企业主要负责人要多次听取网络攻防演习工作汇报，要求各部门全力做好该项工作。此外，需成立网络攻防演习领导小组，由分管信息科技的领导担任领导小组组长，设立技术组、业务组、保障组等。

2.信息系统梳理方面

从近几年攻防演习结果看，面向公共服务的互联网系统极易成为攻击目标，横向移动也是常见的攻击方式。只有掌握家底才能在攻防演习过程中做到胸有成竹，对一个大型企业来说，企业内部分工较细，信息系统梳理工作量较大，系统数量越多，防守难度越大。安全工作遵循木桶理论，安全能力往往不取决于安全防护最强的环节，而取决于薄弱项。若薄弱点被攻破，攻击方可通过横向移动进入其他系统，获得系统权限，进行恶意活动。梳理清楚企业内的互联网资产，理顺合作单位与企业的互联出入口，包括企业分支机构的业务系统出入口情况是备战阶段的第一步。

3.网络安全架构评估方面

开展一次全面的网络安全架构评估，排查是否有安全设备部署不全面或性能不足的情况，清楚自身薄弱点才能针对性做好加固工作。

需在互联网系统安全区域及外部合作业务安全区域增加安全设备，做到安全防护全覆盖，对系统进行安全加固，将所有安全防护设备的规则升级到最新，优化安全设备的防护策略，准确阻断各种攻击。尤其是部分企业分支机构自建业务系统存在安全设备不足的情况，应及时完成安全加固，避免被攻击方通过分支机构攻击入企业内网，并横向移动至企业重要业务系统，造成重大损失。

4.渗透测试方面

渗透测试是模拟攻击者，通过工具和人工结合的方式发现系统漏洞，并尝试利用漏洞获取系统权限，达到开展恶意活动的条件。资产梳理完成后，需要对面向公众服务的互联网系统逐一开展安全渗透测试，渗透测试面达100%，以便主动发现系统存在的安全漏洞，及时修复发现的漏洞，消除隐患，提升信息系统安全稳定性，降低演习期间被攻陷的概率。

5.安全策略梳理方面

安全和效率是矛盾的，在业务发展过程中不可避免地为了提升效率会牺牲安全。攻防演习前需开展一次全面的安全策略梳理，优化网络权限和系统权限，实现权限最小化，避免因权限过大带来安全风险。

6.信息安全培训情况

为加强信息系统全生命周期的风险管控力度，落实开发环节中代码安全规范，备战阶段需组织企业内部负责研发的员工，开展应用开发安全培训，提升技术人员的代码安全规范和信息安全意识。

近年来网络攻防演习中，社会工程学攻击是一种常见攻击方式，也是防范难度较大的攻击。为提升所有员工安全防范意识，需开展一次覆盖面较广的信息安全培训，开展信息安全科普教育，让员工掌握常见黑客攻击方式，培养良好的信息安全习惯。鉴于攻击队攻击目标较多，钓鱼邮件是一种常见的社会工程学攻击。为提升员工钓鱼邮件防范水平，需在企业内外网邮箱开展一次钓鱼邮件测试，通过模拟攻击者向员工内外网邮箱发送钓鱼邮件，评估员工信息安全意识。钓鱼邮件测试后，向员工发送警示提示，要求修改密码，通过真实案例提升员工信息安全防护意识。

7.专项开展系统弱口令风险排查

弱口令攻击是攻击成本最低的攻击方式，通过爆破字典很容易获得系统权限，进入系统后开展恶意活动。运维过程中，较多企业为了方便，在系统内网甚至面向公众服务的互联网系统均采用弱口令，安全风险极大。近几年攻防演习过程中，出现多次由于互联网系统存在弱口令，导致系统被攻击，造成重大损失。开展一次账号弱口令风险的全面排查，主动发现系统的弱口令情况，逐一进行安全整改，并对系统再次开展账号弱口令测试，验证所有系统口令复杂度，确保口令安全，降低被爆破风险。

8.完善沟通协作机制情况

为同步威胁情报，我们需加强与公安部门、网信部门、各监管单位、各同行业单位及安全合作伙伴的沟通协调，及时了解最新信息安全监管政策和国内外信息安全态势，学习最新安全防护技术，借鉴安全建设方案，加强情报共享，提升企业自身的安全防护水平。

临战阶段是攻防演习的热身阶段，防守方通过在演习前邀请业内专业安全机构作为攻击方，对防守方信息系统开展安全攻击，由防守方安全团队开展安全防守，一方面可通过实战的方式发现防守方信息系统的安全问题，另一方面可加强防守方安全团队的协同作战水平。

临战阶段应对防守团队技术人员妥善安排轮班，确保在攻防演习过程中技术人员不打疲劳战，时刻保持作战状态，充分保障演习过程中信息系统安全稳定运行，杜绝一切安全隐患。

临战阶段任务主要有安全事件监控、安全事件研判处置、网络监控和业务监控。

1. 安全事件监控

临战期间安全监控组负责实时监控安全防护日志，重点监测互联网和外联业务系统，及时发现演习攻击方或其它组织、个人通过网络攻击的行为。通过实时监测安全日志、安全流量分析平台、安全威胁情报平台，分析攻击行为特征，监测攻击事件，并将攻击事件情况实时上报。

2. 安全事件研判和处置

临战期间应急响应组负责对安全事件进行攻击源地域分布分析、攻击类型分析、攻击链阶段分析、溯源分析、全流量安全分析和大数据威胁情报分析，评估事件等级，制定处置方法，并开展封禁IP及攻击取证等工作。

3.网络监控

攻防演习期间网络监控组负责监控业务系统流量情况，发现异常情况立即排查，并及时反馈至演习指挥部。临战阶段保障网络运行正常，带宽充足，保障信息系统安全稳定运行。

4.业务监控

业务监控组负责监控临战期间各业务系统运行情况，包括业务系统是否正常，CPU、内存、用户账号、进程是否有异常，协助应急响应组判断是否存在被攻击或入侵情况。

决战阶段就是正式的网络攻防演习，按照临战阶段岗位分工各司其职。演习期间，外部攻击会从最初的扫描探测类，逐步转为多手段组合攻击，包括SQL注入、暴力破解、远程命令执行、Webshell木马、目录遍历、XSS跨站脚本攻击及钓鱼邮件等攻击方式。我们需通过各种安全监控手段，准确识别外部攻击，精准对外部攻击进行阻断，有效取证攻击行为，完整溯源攻击路径，有条件的话就反制攻击者IP地址，反查攻击者身份，多措并举，在保障信息系统安全稳定运行的前提下，争取多得分。   

1.多种安全监控手段协同准确识别外部攻击

（1）攻防演习期间，通过多套安全设备，全方位立体化识别并阻断外部攻击，记录下攻击日志。

（2）通过对攻击源进行分析，识别国内和国外的攻击源IP地址分布情况，若企业的正常业务基本上没有国外业务，那么国外攻击源IP地址即可直接封禁。

（3）通过对攻击方式进行分析，识别演习期间攻击事件中批量扫描和占比，针对漏洞利用类型的攻击，需识别出例如SQL注入攻击、命令注入攻击、跨站脚本攻击等漏洞攻击行为的比例，为后期攻击溯源做好准备。

2.精准阻断攻击者攻击

针对外部攻击事件，由安全监控组进行攻击行为及攻击危害分析。针对判断为恶意攻击的攻击事件，第一时间反馈至应急响应组进行处置，处置方式包括安全设备拦截IP地址，攻击溯源等。

3.有效取证攻击行为

通过安全设备监控攻击者对防守方信息系统的攻击行为，进一步进行跟踪取证，将取证信息保留，便于向裁判组上报攻击方攻击行为。

4.溯源攻击方身份

溯源是个难度较大的工作，应调动一切能调动的技术人员开展攻击溯源，成功溯源后得分较多，对提升演习成绩具有较大优势。

5.及时上报攻击事件

演习期间整理当天安全监控情况，并对当天发现的攻击事件进行分析形成报告，提交演习指挥部。同时，将攻击行为监控、溯源、应急处置等防守成果报告提交至演习裁判组。

6.实时监控演习得分情况

演习得分情况代表着防守方防守结果，实时监控得分情况便于掌握系统运行情况。若发现失分情况应立即开展排查系统是否被成功入侵，并开展应急处置和攻击溯源。若得分则说明防守方案得当，应继续保持并持续优化防守方案，便于得到更好的成绩。

如若演习过程中未得分也未失分，则总结报告是唯一的得分项，条理清晰、论据充分的总结报告可在演习过程中得到较好的成绩。

通过网络安全攻防演习，防守方锻炼了网络安全队伍，积累了有效应对网络安全攻击和威胁的实战经验，进一步提升了网络安全防护保障能力。网络攻防演习是一次实战演习，演习的目标是为了提升安全防护水平。演习结束后，防守方需进一步提高风险认识，优化机制，完善网络安全基础设施，加强技术队伍建设，深化与相关机构的安全合作，进一步提升网络安全防护水平，才能保障信息系统安全稳定运行。

1.提高认识，是化解安全风险的前提条件

随着各大企业由互联网、大数据、云计算、区块链、人工智能等构成的信息科技快速发展，潜在的风险越来越多，一旦爆发，比传统风险传播范围更广、扩散速度更快、溢出效应更强，回旋余地更小，加大了信息科技风险的扩散面积和补救成本，要居安思危，未雨绸缪，紧绷安全无小事这根弦，牢固树立安全意识，始终牢记信息安全风险是唯一可能使业务系统瞬间瘫痪的风险。加大对企业客户的安全意识教育，加强客户安全意识的提升，帮助企业树立依法经营的良好形象。

2.优化机制，是化解信息科技风险的组织保障

切实提高信息科技治理水平，认真落实信息科技风险“三道防线”建设。

一是制定信息科技风险管理策略。坚持安全与发展并举，管理与服务并重，实行风险分级管理，系统分级保护，全面筑实“三道防线”，明确 “三道防线”的责任分工，构建“事前预防、事中控制、事后审计”的“三重控制”机制，不断提升信息科技风险管理水平。

二是健全信息科技治理体系。从信息科技风险管理策略、信息科技风险控制、信息系统安全等级保护、业务连续性管理等方面落实信息科技风险“三道防线”的工作职能。

三是完善信息科技管理制度。积极建立长效机制，全面展开信息安全管理制度梳理工作，突出强化制度的执行，努力做到维护系统安全与科技风险可控，促进各项业务持续稳健发展。

3. 完善基础设施，是化解信息科技风险的坚实后盾

弥补在网络攻防演习过程中出现的安全短板，同时开展“扫雷”排查行动。确保机房、UPS、供电、通信、网络等环境全覆盖，制度、流程执行等管理全覆盖，制定风险排查计划表，落实责任人和工作措施，并对排查整改进度情况及时跟进，确保风险排查和整改工作成效。

4. 加强队伍建设，是化解金融科技风险的力量源泉

提升自身攻防能力水平，加强安全队伍建设。加大企业内部从管理层到基层员工全方位的宣传和培训，认真做好相关专业人员的安全意识教育，而且常抓不懈，通过宣传和培训，提高所有参与管理的人员信息安全和风险防范意识，重点培养一批信息安全的业务骨干。

5.深化安全联动，是化解金融风险的重要渠道

进一步处理好业务发展与信息科技风险防范之间的关系，建立全系统自上而下的信息科技风险管理体系，实现对信息科技风险的识别、计量、监测和控制，严格落实相关责任制度和事故追究责任制，积极采取措施消除信息科技风险重大隐患。进一步夯实企业信息安全工作，强化与网信办、公安、监管部门等机构的合作，建立安全情报共享、安全技术交流、安全事件联动处置等机制，共筑安全防线，保障信息系统安全稳定运行。