网络安全攻防演练的部署与方案设计

刘阳

摘 要：开展网络安全攻防实战演练，针对面向互联网的业务系统，模拟黑客入侵和攻击，发现安全漏洞和隐患，有效识别、分析和控制信息系统安全风险，将有效提升运维人员安全意识和安全突发事件处置能力，提升信息系统安全保障能力 。论文结合面向新闻信息系统开展安全攻防演练的工作实践，对攻防实战演练的部署与方案设计进行分析与探讨。

关键词：信息安全； 攻防演练； 部署； 项目设计

中图分类号： TP393.08 文献标识码：B

1 引言

安全攻防实战演练是维护网络与信息系统安全的重要手段，是有效提升网络安全事件应急响应和处置能力的基础。作为新闻媒体行业，随着新媒体事业的发展，新闻信息载体、传播渠道快速更新，移动应用、社交媒体日益成为信息传播重要阵地。在应用新技术新手段，为用户提供更加丰富的新闻产品，扩大社会影响力的同时，对有效保障新闻报道业务安全，保障网络与信息系统安全提出更高要求。

开展网络安全攻防实战演练，针对面向互联网的业务系统，模拟黑客入侵和攻击，发现安全漏洞和隐患，有效识别、分析和控制信息系统安全风险。促进统一指挥、协调有序的安全应急管理机制的落实，完善安全事件防范与处置流程，提升运维人员安全意识和安全突发事件处置能力。

2 安全攻防演练的部署

安全攻防演练是在真实的网络环境中进行攻击、防御，发现并解决存在的安全问题，为提升网络与信息安全保障能力积累经验。攻防演练既要做到对业务系统具有破坏性，又不影响整体信息系统的正常使用；既有危害性，又具有可控性。为了达到攻防演练力求实效、管控有序，造成的风险降到最低，需要对实战演练进行认真部署。

（1）建立攻防演练组织指挥中心，负责演练的统一部署、组织协调和过程控制，确保演练工作安全推进，达到预期目标。成立演练工作组，负责制定演练总体方案、评估演练对业务系统的影响情况；负责攻防实战演练的实施，收集分析演练中的各项数据信息；负责指挥中心报告演练攻防进展情况，做好应急支持保障，保障演练中各系统的安全运行。

（2）制定完善的网络安全攻防演练方案，充分考虑可能发生的情况，做好相应的应急处理措施。参加演练的人员分为攻击方和防守方。演练过程中，指挥中心人员可视情况暂时中断演练进程。

（3）明确演练开始、结束时间，通知攻、防双方。演练前，防守方进行安全检查加固，做好防守准备。演练开始，攻击方进行安全测试，利用检测到的系统漏洞进行有效攻击，对网络设施、服务器、应用系统等方面展开进攻。

（4）演练结束，攻方停止攻击。相关业务进行系统功能测试，确保经过演练，各系统使用正常。攻防双方详细记录演练过程数据，检测出的安全漏洞及隐患，向指挥人员介绍对战过程，展示各项数据信息，提交攻防演练总结报告。

（5）攻击方以人工渗透测试为主，辅助以攻击工具的使用，发现目标网络和系统存在的安全弱点实施入侵。渗透测试过程中可能涉及Metasploit Framework 缓冲区溢出测试使用的辅助工具、Acunetix Web Vulnerability Scanner网络漏洞扫描工具、Shadow Security Scanner安全漏洞扫描软件、ISS漏洞扫描器、Nmap端口扫描工具、Firewalk高级路由跟踪工具、Fragroute/Fragrouter网络入侵检测逃避工具集等测试工具，以及Whois、Nslookup、Traceroute等命令。

3 安全攻防實战演练项目设计

随着新媒体与传统媒体的快速融合发展，面向互联网的新媒体信息系统数量越来越多，带给人们丰富快捷、多元交互的新闻信息。由于新闻媒体具有广泛的社会影响力，如果信息系统受到恶意攻击，出现网页被篡改、信息被窃取或泄露、系统服务中断等安全事件，其恶性程度更深，影响更直接。

通过对我们开展的新闻信息系统安全风险评估，以及网络安全事件处置情况进行分析，可以总结出业务系统的脆弱性是安全风险的主要来源。系统脆弱性主要包括SQL注入、弱口令、敏感信息泄露、用户密码认证、越权操作等，这些漏洞被利用对信息系统安全构成威胁。

针对系统存在的脆弱性，对安全攻防演练项目进行了详细设计。演练中攻击方利用漏洞扫描、暴力破解、渗透测试等手段，对存在配置错误、缓存溢出、拒绝服务、弱口令等漏洞的系统实施攻击，以便获取系统权限，破坏系统及网络正常运行，窃取系统敏感信息。防守方加强安全防护，加固系统、修补漏洞，完善安全事件处置流程，提高应急处置能力。

3.1 模拟黑客从互联网渗透测试

模拟黑客对面向互联网的业务系统进行渗透攻击，挖掘系统存在的漏洞，寻找可以进一步控制目标的安全漏洞。演练过程中尝试完成几项操作。

（1）对系统进行端口扫描，收集开放的端口。

（2）针对开放端口对应的应用服务进行针对性攻击尝试。

（3）如发现Web网站后台登录具有SQL注入漏洞，查看数据库使用版本。使用SQL注入工具写入脚本木马。

（4）连接WebShell木马控制服务器，尝试修改网页内容或添加黑页。

3.2 批量扫描服务端口破解弱口令

使用黑客工具对各业务进行批量服务端口扫描，收集整理高危端口和弱口令，并在测试同时观察这些攻击动作的流量在安全管理中心是否有体现。

（1）使用端口扫描工具批量扫描常用端口。

（2）暴力破解开放21端口的主机，并尝试登陆服务器。

（3）暴力破解开放3389远程桌面的主机，并尝试登录服务器。

（4）在安全管理平台检查是否有相关扫描和破解的流量。

3.3 模拟黑客从互联网对某一系统进行CC攻击

使用多台计算机对系统进行大规模扫描，同时观察这些攻击动作的流量在安全管理中心是否能及时捕获，并做出应急处置。

（1）选定目标为某一系统，使用CC攻击方式对该系统进行测试。

（2）使用代理服务器或者受控机向该系统发大量数据包，使服务器资源耗尽。

（3）进行攻击的同时在安全管理平台检查是否有相关的攻击流量。

4 安全攻防实战演练发现的问题与整改

演练结束，指挥中心需要组织对网络攻防演练进行全面总结，公布问题、分析原因、加强整改。业务系统要增强用户密码复杂度限制，加强用户登录验证码功能，防止持续账号密码破解，利用抓包工具进行抓包，爆破出用户口令。严格审查业务系统申请开放的网络端口，防止被攻击者利用，成为入侵主机的通道。进一步开展信息系统安全风险评估和渗透测试，消除系统存在安全漏洞，防止攻击者利用这些漏洞，获取敏感信息，控制服务器，造成数据泄露、网页被篡改等危害。加强安全设备和网管平台的监控，当攻击者利用受控机对互联网业务系统进行TCP多连接攻击，造成系统无法访问时，确保网络安全管理中心及时监测到攻击行为，确定被攻击的IP地址，系统管理人员启动应急响应预案，有效处置。

5 安全攻防实战演练的意义

通过安全攻防实战演练能够发现系统安全运维中存在的安全意识、技术措施和应急协调等方面的不足，树立互联网安全防护一盘棋的意识，促进网络安全与应用安全的融合、促进网络安全运维部门与应用系统运维部门的合作，逐步制定和完善从演练策划、组织实施、评价总结、案例分析和持续优化的一整套网络安全攻防演练体系。增强应急响应意识，进一步完善安全事件应急处置预案，提升安全事件应急处置能力，以达到快速响应、准确定位、及时恢复的高效处置目标，有效提升新闻信息系统安全保障能力。

参考文献

[1] 济南时代确信信息安全测评有限公司.渗透测试技术[J].2011-10.

[2] 宋莉雅.信息安全实战演练方案设计分析[J].企业导报， 2012-01-28.