网络安全攻防演练在实际应用中的探索

◆赵大鹏

（长春市人事统计信息中心高级工程师 吉林 130000）

1 演练背景

面对日益严峻的网络安全形势，我国各级政府部门和单位必须积极应对、主动作为，确保网络运行环境的整体安全。为检验和提高系统监测发现、安全防护、应急处置能力，促进网络安全积极防御体系建设，组织开展网络攻防演练活动。本文以2019长春市“人社系统”网络安全攻防实战演练为实际案例，探讨网络安全攻防演练部署在实际应用中的现实意义。

2 演练组织结构部署及演练规模、形式

网络安全攻防演练组织实施过程中应预先约定参演范围，明确目标系统，建立指挥保障体系，确保演习过程可追可控。

2.1 建立指挥保障体系

2019年长春市“人社系统”网络安全攻防实战演练为保证演练顺利进行，组建了演练指挥中心，负责演练的部署、调度和全程保障，制定详细的攻防演练方案，以确保演练过程安全可控，取得预期效果。

指挥中心下设监测预警组、分析评判组、保障组等多个部门，负责追踪演练过程中攻防进展情况，收集分析各项数据信息并做好应急支撑保障，从而保证演练中各参演系统的安全运行。

2.2 明确演练时间与演练形式

在演练开始前明确演练的开始时间、结束时间、参演系统范围并通知攻、防双方。2019长春市“人社系统”网络安全攻防实战演练共设一个“攻击组”和四个“防守组”，“攻击组”成员均为业内安全领域专业技术人员。“防守组”成员分别来自参演系统所属单位的工作人员和系统运维公司技术人员。参演业务系统均为长春市“人社系统”内正在使用的业务系统。在预演前制定了详细的攻防演练方案，建立了相应的保护规则，以免造成重大的网络安全事故。

2.3 攻防规则及安全防护措施

攻击方不得使用拒绝服务类和溢出类攻击，攻击方法包括但不限于WEB类攻击、系统类漏洞利用、代码审计、逆向攻击、网络设备及安全设备漏洞利用等，不限制攻击路径。

防守方的工作重点在加固和建立防御策略，并可根据网络安全应急预案进行应急处理。

2.4 演练总结

演练结束后各参演系统所属单位编制演练总结报告，内容包括：准备阶段开展的工作；演练阶段攻击过程中发现目标系统的问题，防守过程中发现的系统问题，问题整改情况等。

指挥中心利用攻防演练平台，统计攻击方的攻击行为、攻击手段、攻击次数等，统计防守方发现、检测和拦截的攻击数量；对演练情况进行专业判别；编制攻防演练总结报告，召开攻防演练总结大会，总结经验教训。

3 攻防演练所涉及的网络安全技术

攻击演练的目的是模拟黑客可能使用的攻击技术和漏洞发现技术，对目标系统的安全做深入的探测，发现系统最脆弱的环节，能够让管理人员直观了解信息系统漏洞被利用过程和导致的后果。

3.1 网络攻击工具选择

2019长春市“人社系统”网络安全攻防实战演练过程中“攻击组”所使用的工具主要包括可以对网站等Web应用进行自动化的应用安全扫描和测试的Appscan、网络漏洞扫描工具AWVS、迪普漏扫设备Scanner 1000、SQL注入工具sqlmap、网络工具中有"瑞士军刀"美誉的NetCat、curl模拟登录和“攻击组”自主编写的脚本等。

3.2 攻击渗透手段

本次攻防演练建立在真实的系统环境下，攻防队伍实施“背靠背”的演练，通过攻防对抗，考验防守方的安全防护能力以及对安全事件的监测发现能力和应急处置能力。“攻击组”模拟各种真实环境的攻击手段对本次参演系统进行全方面的攻击测试，为增加防守难度，本次演练过程中特意安排了未告知“防守组”情况下的远程攻击测试及休息日无人值守情况下的系统攻击测试，力求在最大限度内模拟真实环境检验参演系统的网络安全状况。

所使用的攻击手段包括：

（1）对参演系统利用端口扫描工具收集系统开放的端口信息。（2）针对参演系统所开放端口信息进行尝试性攻击测试。

（3）对参演系统所使用的操作系统、web服务器、中间件、数据库等可能存在的中、高危漏洞进行扫描测试，并对可能存在的漏洞进行尝试性攻击。

（4）针对服务器常用部署进行“猜解攻击”，包括服务器存在的默认配置、默认登录账户、弱口令等现象。

（5）利用目标系统的反射型、存储型“跨站”脚本漏洞构造Script脚本，在目标网站页面构造不良提示信息，严重的可获得后台管理员权限对网站进行管理。

（6）利用暴露在公共区域的自助设备、网络接口等进行内网侵入攻击测试。通过获取内部IP访问规则，取得内网访问权限。

（7）运用社会工程学手段，利用用户的信任、贪财、猎奇等人性弱点，进行诸如发送钓鱼邮件、钓鱼短信等办法套取相关敏感信息，从而进行社工入侵。

（8）利用监控、门禁、机顶盒等大批量部署的物联网设备进行入侵。由于批量部署的设备极容易存在默认口令、弱口令等问题，通过对单点设备的入侵，获取对整个网络系统的管理权限。

3.3 防御加固措施

面对复杂的网络安全形势，我们要做好重点防护，建立完整的防御体系，完善安全机制。

（1）加强网络边界管理，通过部署IPS、WAF、FW等安全设备增强外网检测保护能力。再通过部署“堡垒机”、“诱饵机”等方式对异常流量进行监测和引流。

（2）关闭非必要服务端口，尽量降低外网访问风险。尤其注意系统默认开放的诸如21、139、445、3389等高危服务端口，如有必要开放所属服务建议修改为其他端口。

（3）对网络内所有服务器的操作系统、中间件、数据库等及时更新漏洞补丁，修改默认设置，强化系统防御能力。

（4）彻底清理系统内存在的弱口令、默认账号密码等问题。要求使用复杂密码格式，建议要包含数字、大小写字母和特殊符号四类字符，长度不小于8位。

（5）将部署在公共服务区域的自助终端机锁死页面权限，禁止直接访问后台系统。暴露在外的公共服务区网口进行及时处理，加入访问限制，避免私接设备随意进入内部网络。

（6）加强系统“运维人员”的网络安全知识培训，针对最新的病毒及网络攻击手段不断改进应对措施，切实保证整体网络运行环境的安全。

（7）加强全员的社会工程学防范意识，对不明来源的信息做好审核验证，不要轻信通过微信、QQ、邮件、飞书等网络渠道传递的信息内容，严防个人敏感信息泄露。

（8）完善网络安全制度，明确责任主体。对重点防护设施要做到责任到人，签订网络安全责任承诺书。

4 网络攻防实战演练的现实意义

通过演练提高了“运维人员”的网络安全意识，让以前一直忽视的诸多网络安全问题得到了一次系统性的检测，基本理清了整个网络的安全运行状况，对未来的网络安全建设指明了方向，提供了切实可靠的重要依据。

网络安全建设具有持续性、发展性、相对性、突变性等特点，随着一些新型的病毒、系统漏洞、攻击手段、甚至是硬件漏洞的不断披露，网络安全形势会不断地发生变化。今天我们在现有条件下可能是相对安全的，明天可能随着一个高危漏洞或病毒的发布，我们以前辛苦搭建的网络安全体系就面临着全面崩溃，需要马上调整安全策略，重新构筑更为安全的防御体系。比如2017年影响最恶劣的“永恒之蓝”漏洞攻击工具、2018年微软的芯片漏洞等等，每一个新的高危漏洞被发现，我们的网络安全措施都将进行全面的修正。

所以我们的网络安全建设任重而道远，需要全员建立良好的网络安全意识，常抓不懈。由于网络安全建设具有很强的木桶效应，网络中的任何一个节点存在安全风险就会导致整个网络的安全建设毁于一旦。所以整个建设过程中人人都是参与者，到处都是关键点，不存在一劳永逸的建设方案。这就要求我们必须真抓实干，建立完备的网络应急响应预案，随时准备应对突发的网络安全事件。