某省政务网攻防演习县级蓝队作战计划

本文涉及敏感信息已做脱敏处理。本文蓝队服务对象为县级网络安全监管单位，这里简称xx局。

近年来，网络安全攻防演习已经成为我国每年的常态化网络安全工作之一。网络安全攻防演习的核心目的是验证各单位信息安全工作的成果，通过红蓝对抗的方式，挖掘出目标单位信息安全风险，并及时做出应对措施。和军事演习一样，网络攻防演练最终目的是提高我国网络信息安全整体水平，在未来的可能发生的信息化战争中保持竞争力。

信息安全技战不仅是技术层面，管理层面也非常重要。作为蓝队负责人，我针对本次攻防演习制定了作战计划。通过管理手段（行政控制措施）和技术手段（技术控制措施）双管齐下，为本次攻防演习保驾护航。我将攻防演习主要分为2个阶段：战前、战中。     

一、战前备战

战前的准备工作尤为重要。针对本次攻防演习我拟定了作战指南用于指导本区县政务网各单位开展防守工作。指南主要包含以下内容

1.明确安全责任、建立问责机制

平时（非攻防演练时期）各单位的安全责任大多都由安全接口人承担，不论是企业还是政府机构这已然是我国信息安全特有的找人背锅模式。然而安全做的好不好，分管信息安全的领导起着重要作用，同时也必须承担主要的安全责任，而不是出了事情找底下的员工背锅。针对本次攻防演习，我在备战指南中明确了各单位信息安全领导需要承担的职责，将压力给到了各单位领导，促使各单位积极备战本次攻防演习。

明确安全责任和问责是一体的，虽然大部分情况下信息安全领导并不直接参与安全工作，但领导的的责任是最大的。大部分安全方案、安全管理办法最终都需要领导拍板，很多时候安全团队需要领导层的大力支持安全方案才能顺利的实施。问责制的第一问责对象是信息安全分管领导，而问责的第二对象则是直接导致有效安全事件发生的工作主体，比如安全运营人员、运维公司、系统开发公司或者是被社会工程学的普通工作人员。

2.资产梳理

备战第二件事情是资产梳理，包括两块工作内容：1、确认资产范围；2、补全资产信息；资产分散是各单位存在的安全隐患之一，信息资产是红队攻击的对象，不论是云资产、业务系统、办公电脑还是其他的联网设备都会成为攻击方的狩猎目标。目前大部分单位都有安全防御与监测能力，但很多人都存在一个盲区，觉得有了防火墙、入侵检测和防御系统、态势感知、漏洞扫描系统等安全产品就很安全了，但却忽视了需要安全保护的资产范围，而在以往的网络攻防演习中，往往被攻陷的缺口是未被管理的资产。

本区县政务网有2个网络环境，政务办公网和电子政务云。政务办公网的资产主要是办公电脑、网络设备、安全设备。电子政务云资产主要是云服务器、云数据库、存储对象、负载均衡、业务系统。

我司为该县xx局针对性研发了安全运营中心SOC系统。资产分散、安全能力分散的情况得以解决。安全运营中心会周期性调用某网络准入平台接口同步办公网终端资产。但该县没有政务云平台权限（市一级管控），无法通过调用云平台接口方式获取云资产，所以资产同步的方式是通过市里工作人员定期导出Excel，县一级安全运营人员将Excel导入安全运营中心系统。

我在本次攻防演习开始之前指导xx局工作人员针对性的做了一轮资产范围检查。针对政务云资产进行了再次核对，确保了本县政务云资产全部已被管理起来。

xx局作为区县网络安全监管单位，进行了资产梳理工作，同时也通知到各单位进行自查，并要求补全资产关联人信息以便后续演习中可能出现攻陷事件能及时联系上技术人员进行应急响应，同时针对本次攻防演习专门创建了攻防演练信息互通群，提升事件响应效率。

3.安全监测和防御产品

不论是攻防演练还是平时的网络安全常态化运营，实时被动监测攻击行为或事件（入侵检测）、主动扫描脆弱性（漏洞扫描）、阻断攻击事件（入侵防御）、网络边界隔离（防火墙）等安全能力都是不可或缺的。

网络安全攻防演习中，政务云是红队首要的攻击目标，因为大部分业务系统、数据资产都在云上。然而县一级并没有政务云平台权限，以及无法在政务一朵云网络中部署自己的网络入侵检测与防御设备，所以入侵检测和防御责任由市里承担。但在云安全方面我们也自主做了一些安全工作，比如主机漏洞扫描、web漏洞扫描、高风险端口扫描、业务系统静态代码扫描。

在本次攻防演习前，我方在梳理完资产后，针对性的做了一轮漏洞扫描，将发现的高危漏洞通知相关单位修复并完成修复验收。下图是检测政务云ECS开放数据库端口的风险，并联系业务方进行白名单处理。

入侵监测和防御能力在网络安全架构中的作用非常重要。虽然政务云是红队主要攻击的目标，但也不排除攻击方围点打援，在无法直接攻陷云资产的情况下，可能会从政务办公网寻找突破口。但是本县政务办公网有较强的监测和防御能力，包括NIDPS、网络安全态势感知、终端安全助手、数据安全态势感知、NGFW、终端监管系统。

安全运营中心作为分散的安全能力的粘合剂。上面的安全产品是单个的，也可以理解为安全能力分散。我司研发的安全运营中心则是诸多安全能力的粘合剂。将安全产品、安全运营人员、资产粘合起来，实现集中化运营，达到安全提效的目的。

4.软件供应链Nday排查

Nday指的是已经被公开的漏洞，通常会录入CNVD库或者CVE库中。软件供应链指的是能直接部署使用的软件系统，或者是被其他软件调用的子软件。由于软件供应链系统或者组建使用者多，影响范围广，所以很多安全研究员会针对这些软件供应链找漏洞。通过代码审计的方式往往比黑盒测试更容易发现系统漏洞（0day），所以软件供应链系统或组件会比定制化开发的软件存在更多漏洞，红队在打点阶段也更倾向于去找供应链系统，一旦找到某个存在高危漏洞的软件供应链系统或组件，那系统被入侵成功的概率会非常大。

在历年攻防演练中，有些软件供应链是被利用的常客，比如泛微OA、通达OA、致远OA、深信服VPN、齐治堡垒机、fastjson、Log4j、Spring框架、Thinkphp框架等等。

针对软件供应链的漏洞排查，我方通知到各单位，要求各单位上报在使用的软件供应链系统或组件。单位上报的信息中有些包含了当前系统/组件版本，而有些无法确认版本。我方根据上报的业务系统清单，针对有系统版本的进行核查是否为安全版本（通过CNVD库和CVE库核查当前版本是否有漏洞），针对没有系统版本的系统使用Xpoc进行软件供应链漏扫。XPoc是长亭科技Xray系列衍生产品，主要针对软件供应链漏洞检测。下图可以看到，Xpoc社区有很多白帽子在维护poc库。

下图是正在执行Xpoc扫描云上业务系统

二、战中

1. 安全监测

关于安全监测，在上面作战前准备第3条中已经提到。首先必须有安全监测能力才有后续的安全事件应急响应工作。没有安全监测能力的话，我们甚至都不知道哪个IP在攻击，什么时候被攻陷的，通过什么方式攻陷的等都无法排查。

针对政务办公网，县里有自己的NIDPS、终端安全助手检测攻击事件，而针对政务云，我们只需做好响应工作。

2. 应急响应

早在此次攻防演习之前，我已经针对该县政务网建立了一套完善的信息安全事件响应体系。在之前就制定了安全事件响应标准和流程，在标准中规定了不同事件等级的最长响应时间（RMT）和最长处置时间（HMT）。将各单位安全事件响应效率作为绩效考核材料提供给网信办，在一定程度上能够激发单位安全接口人处理安全事件的积极性。

攻防演练期间，RMT和HMT的要求比平时要高，RMT为10分钟，HMT为30分钟，考核占比也会比平时更高，也就是说平时如果超过RMT还没响应，或者超过HMT没完成处置可能给涉事单位扣1分，但攻防演习期间则会根据情况加大扣分力度，比如机密数据被红队获取可能会扣2分。

针对政务办公网安全事件，我方响应流程：soc系统从安全监测产品中采集日志与去重->通过浙政钉告警机器人发送告警信息->安全工作人员进行研判->有效事件推送至工单系统中发起流转，无效事件忽略->事件闭环。以下是安全风险与事件处置流程

soc系统中告警功能与之前其他公司开发的工单系统联动实现了安全事件响应闭环。当NIDPS检测到攻击事件时，推送给soc系统告警服务进行去重以及其他逻辑判断，最终过滤出有效的安全事件并实施告警。

在浙政钉告警群可以点击告警消息，弹出安全事件详情，经过研判后可以一键推送至工单系统，提高了事件处置效率。以下是工单系统

当事件状态发生变更时告警机器人会同步事件状态。比如已推送至工单系统、处理中、处理完成、忽略。

而针对政务云，我们通过攻防演练区县对接群同步安全事件。而由于攻防演习对RMT和HMT的要求比平时高，所以不走工单系统，而是直接浙政钉或者电话与单位和技术公司联系，加快处置效率。

AB角协同值班。很多情况下，单人做某些操作变更的时候可能不一定是正确的或者是有其他负面影响的。攻防演练期间，配置AB角双人协同值班，可以避免一些个人主观判断导致的负面影响，在A做某些操作前需要经过B核查，核查没问题后才能执行该操作，比如防火墙添加错误策略不会达到预期防御效果，而有B进行核查能在一定程度上降低添加错误策略的概率。不仅仅是在安全领域，AB角协同办公适用于任何领域需要操作变更的场景以此来降低错误变更概率。

如果由soc系统定制化开发、攻防演练防守或培训、信息安全体系建设规划、网络安全比赛培训或外援等安全需求可以公众号留言。

原文始发于微信公众号（信息安全笔记）：某省政务网攻防演习县级蓝队作战计划