信息化时代企业网络安全攻防演练的部署 与方案设计研究

靳 峰 张 玉

（1.中海油能源发展股份有限公司，天津 300450;2.山东省机械设计研究院，济南 250031）

当前计算机网络技术飞速发展，传统办公开始向信息化转型，大幅提升了企业经营管理效率。但是，部分企业尚未针对计算机网络系统做好针对性防护，导致企业办公网络出现了文档窃取、系统破坏以及病毒传播等安全问题。

1 企业网络安全攻防演练的重要意义

在信息化背景下，开展网络安全攻防演练已经成为维护企业信息化建设的重要手段[1]。通过网络安全攻防演练，能够及时发现企业信息化建设中的漏洞并及时进行修补，从而确保其能够有效抵抗外部网络攻击。在开展网络安全攻防演练过程中，针对互联网目标业务系统模拟黑客入侵和攻击，有助于及时发现网络存在的安全漏洞和风险点，提升网络安全监测能力和快速应急响应能力。

2 网络安全攻防演练的部署

网络安全攻防演练根据黑客思路采取非对称对抗方式，在真实的网络环境下高强度地发起网络攻击和防御，通过网络实战及时发现企业网络安全管理中存在的漏洞和问题，及时查找现阶段存在的网络安全监测盲区，为提升网络安全应急防护能力积累经验，通过持续优化调整策略，提升整体的防护效果。对于企业网络攻防演练来说，为了达到真实有效的演练效果，一方面要对业务系统具有一定的破坏性，另一方面不能影响整个系统的正常使用，即做到风险破坏的可控性。为了实现网络安全攻防演练的时效性和管理可控性，需要做好前期方案部署工作，主要包括建立攻防演练组织中心、制定网络安全攻防演练详细方案、明确演练起始时间以及各系统功能测试等[2]。

2.1 建立攻防演练组织指挥中心

为确保攻防演练达到预期效果，需要建立统一的指挥中心，负责整个演练方案的部署协调和控制工作，推动整个攻防演练工作的安全有序推进。同时，统筹规划，制定总体方案，并科学评估整个演练方案对企业相关业务系统的影响情况。演练工作小组负责后续具体演练实战方案的实施，并整理收集演练过程中生成的各类数据信息，为后续科学总结奠定基础。此外，演练工作小组应做好应急支持保障工作，保障各项工作有序推进。

2.2 制定网络安全攻防演练方案

演练开始前，要先明确演练起始时间，然后在做好顶层规划和统筹设计的基础上，根据攻防演练总体实施规划的需求制定详细的攻防演练实施方案。方案中要充分考虑可能出现的风险情况，并有针对性地做好各项应急处理措施。同时，要明确各参加演练单位的工作任务以及攻击方和防守方的相关职责。在实际演练过程中，指挥中心人员可结合实际情况，酌情中断演练进程。做好各项准备工作后，明确攻防演练的开始时间和结束时间，并将详细通知下发各参加单位[3]。

2.3 系统功能测试

网络安全攻防演练开始前，防守方应做好各项准备工作，如网络安全监测设备的分类梳理工作。这项工作的意义在于协助监测团队更加清晰地了解单位产品类型和数量，并有针对性地调整网络安全监测方式。例如：系统梳理并评估攻防演练工作量，根据统计的工作量进行人员分配，进而统计网络安全攻防演练需要的人员数量和所需投入的资源量；做好攻击方的攻击路径研判，从攻击方的角度出发，准确判断可能的攻击路径，通过安全检查做好各项防守准备工作。攻击人员制定攻击方案，采用各种手段绕开防护措施，采用漏洞利用等方式对目标系统进行全面渗透。攻防演练开始后，攻击方人员会采取一系列工具手段收集目标系统信息，包括开发语言、IP地址、服务器系统及网站架构等。通过撒网式、定点式的方式收集敏感信息，发掘目标系统中可能存在的缺陷，针对检测到的系统漏洞进行全方面攻击[3]。通常攻击方多采用人工测试渗透为主、攻击工具为辅的方式对各业务系统中的弱点进行入侵。攻防演练结束后，对企业各相关业务系统进行功能测试。攻击方与防守方详细记录整个攻防演练过程中的相关数据，并向指挥中心汇报对战过程，根据检测的安全漏洞和安全隐患撰写攻防演练总结报告。

3 网络安全攻防演练设计

3.1 设计原则

对于大型国有企业来说，如果信息系统受到恶意攻击，将可能造成信息泄露、服务中断等安全事件[3-4]。 针对企业信息管理系统进行安全风险评价研究，对安全事件处置情况进行分析，并以此为基础总结网络安全系统中的风险漏洞和风险来源。常见的网络安全脆弱点包括弱口令、用户密码验证以及越权操作等。针对网络安全系统存在的脆弱性，有针对性地设计攻防演练项目。比如，在演练过程中，通过漏洞扫描、测试渗透等多种攻击方式对弱口令等系统漏洞进行攻击，破坏网络系统的正常运行，窃取企业敏感信息。同时，作为参加演练的防守方，应强化网络安全防护，通过修补漏洞等措施加固系统防护措施，不断完善网络安全处置流程。

3.2 模拟攻击

网络安全攻防演练根据黑客思路采取非对称对抗方式，在真实的网络环境下高强度地发起网络攻击。它一般多采取模拟黑客从互联网渗透测试的方式挖掘系统存在的安全漏洞。渗透测试过程主要包括以下几步：第一，扫描系统各个端口，并收集开放端口信息；第二，对开放端口的应用服务发动攻击；第三，扫描查找Web后台登录是否具有SQL漏洞，并使用SQL注入工具写入木马；第四，连接WebShell木马控制系统服务器，并修改内部信息。攻击方还可以借助黑客工具批量扫描服务端口，以高危端口和弱口令为攻击对象对其进行破解。具体破解方式主要包括以下几步：第一，基于黑客扫描工具，批量扫描常用端口；第二，收集整理高危端口，尝试暴力破解和登录服务器；第三，通过安全管理平台检查是否具有扫描和破解的流量。基于互联网对某一系统进行CC攻击，利用多台计算机扫描整个新系统，检查攻击操作流量在安全管理中心是否能够被及时捕捉，并采取针对性的应急处置方式。例如，先选定攻击对象进行CC攻击，再通过代理服务器等方式向系统发送大量数据包，以耗尽服务器资源，最后检查安全管理平台是否具有攻击流量。

3.3 漏洞分析和渗透

漏洞分析和渗透是网络安全攻防演练攻击方的常用方法。通过收集目标系统的信息并进行综合分析，采用合适的攻击工具对目标系统的安全漏洞进行关联分析，验证漏洞的利用方式和难度，并采用多种攻击方式找到潜在漏洞的攻击路径。基于制定的攻击方案，采用漏洞利用和攻击等方式进行实战演习，并尝试多种技术手段对系统、数据库及中间文件进行访问或者操作，采用编码、加壳等方式绕过系统安全防护，对目标系统进行全面渗透。通过渗透等方式获取相关系统的控制权限后，为了进一步开展内网渗透，攻击方多采用后渗透方式扩大攻击成果。在该阶段，攻击人员进一步开发利用已经获取的权限，通过漏洞利用获取服务器权限，并在此基础上获取内部网络信息尤其是内部网络拓扑结果，从而为攻击方提供攻击路径。在后渗透阶段，攻击方通过内网扫描等方式可以进一步获得网络设备的控制权限。当进入内部网络后，可尝试进一步获取集权类系统的后台权限和域控制服务器权限，最大限度控制内网。攻击人员重复上述攻击操纵，基于已经获取权限的服务器和网络环境进行信息收集和敏感文件搜索，并综合收集的信息，结合现有攻击方式，不断扩大攻击成果。

4 网络安全攻防演练发现的问题和整改建议

4.1 网络安全攻防演练中存在的问题

4.1.1 弱口令方面

对于网络攻击方来说，弱口令利用难度低、出现频率高，很容易带来严重危害和损失。调查统计显示，攻击方通过弱口令获取应用权限的比例能够达到70%。在网络安全攻防演练期间，如果用户口令复杂度较高，但是具有一定的规律性，也很容易被攻击方破解。这种规律性的密码设置方式可能导致系统中的其余服务器被破解。

4.1.2 安全漏洞方面

系统漏洞不及时更新，其中高危漏洞也是攻击方常常利用的途径。一般来说，高危漏洞多存在于操作系统、数据库，需要及时更新这些系统。此外，应加大周期性检测、风险评估以及高危漏洞的排查力度，并及时采取措施对其进行整改修复。

4.1.3 集权类设备安全隐患等方面

集权类设备安全隐患也是网络安全攻击人员较为关注的目标之一。在运维管理方面，集权类设备的出现大幅提升了管理的便捷性，但也带来了安全隐患。部分集权类设备设置有默认的最高权限和密码，如果被黑客利用，可能会造成全网失控。

4.1.4 资产管理和安全整改方面

云计算等技术极大地方便了服务器资源的分配和系统的部署，但随之而来的是资产管理方面的安全隐患。部分人员不及时回收资源和更新资产，形成网内的“僵尸主机”，很容易成为攻击人员的“肉机”。为有效保障企业各项工作的开展，相关法规明确要求网络管理人员及时处理系统漏洞、病毒及攻击等安全风险。但是，实际中，部分人员安全意识缺失，对安全漏洞的重视程度不够，部分企业缺乏足够的技术能力进行修复，均会导致上述安全风险没有得到及时 修复。

4.2 网络安全攻防演练整改建议

4.2.1 实施全周期的安全监测服务

系统上线前进行安全监测，当出现问题后及时整改并复测，确保系统不存在高危、中危风险漏洞后才能进行上线试运行。系统运行期间，定期进行安全监测，将新发现的安全风险记录到《安全隐患告知书》，并通知相关单位修复[4-5]。企业网络安全工作人员应实施全周期的安全监测服务，定期开展安全监测、研判分析以及应急响应处置等，通过全天候管理加强监测和监控的力度。建议每月组织一次应急演练，并对安全事件进行应急处置，以此为基础修订应急预案。建议应急演练以实战攻防的形式开展，主题可以为勒索病毒、网络攻击等。

4.2.2 实施全流程的安全监督管理

根据网络安全攻防演练结果，针对弱口令、安全漏洞以及集权类设备安全隐患等方面的问题及时进行整改。比如，增强用户口令复杂度的设置，增加用户登录验证码功能，提升攻击者破解用户口令的难度；加大网络端口开放审查的力度，避免攻击者利用该通道入侵主机；强化风险评估和测试，避免攻击者利用安全漏洞控制服务器获取敏感信息；加大对网络安全设备和管理平台的监控力度，确保系统能够及时检测到攻击行为，并快速定位受到攻击的IP地址，确保管理人员能够快速给予应急响应。

5 结语

为了营造安全的网络环境，应科学部署网络安全攻防演练方案，主动检测现有网络安全技术防护能力，并针对演练结果科学总结、公布问题和及时整改。企业网络安全保障能力的提升，还需要不断强化全员安全意识，加强不同部门之间的合作，逐步打造从演练方案设计到组织实施再到评价整改的一整套攻防演练体系，从而在不断的循环中优化完善，确保网络安全防护工作发挥更大的作用。