本文刊登于《中国信息安全》杂志2019年第1期
文/财政部信息网络中心 周云峰 叶大区
近期《中国信息安全》杂志开展了网络安全演习的专题,对于各行业企业都有重要借鉴意义,昨天分享的《网络安全演习探索与实践》从网络安全演习的形式、“攻击”手法及管控要点上进行了讨论。今天将从另一个角度来探讨实战攻防演练对政务网络安全体系建设的价值。
组织网络安全演习 提升网络防御能力
国外的网络安全演习,包括“网络风暴”“锁定盾牌”“网络欧洲”等,形成了跨域、跨国、跨部门的一体化模式,反映出各国强调组织协同、情报共享和安全协作等网络安全能力建设新趋势。根据《中华人民共和国网络安全法》及《国家网络安全事件应急预案》等法律法规要求,国家规模的演练已经成为检验网络强国建设的重要手段。为检验和完善网络安全事件应急预案,提高应对突发网络安全事件能力,在主管部门的统筹协调下,各地相继举行了网络安全演练,结合“护网行动”,成为提高参与方提升网络安全事件协同配合能力,加强网络安全队伍建设的重要支撑。
通过实战攻防演练审视政务网络安全体系建设
政务网络和政务信息系统作为国家网络的重要组成部分,是网络攻击的重点目标,由于受到利益的驱使,网络攻击手段不断翻新、攻击规模不断扩大、攻击链条不断拓宽,而攻击的成本和技术门槛日益降低,高级持续攻击手段层出不穷,零日漏洞愈发频发,对现有政务网络安全防御体系能力提出了巨大挑战。实战型攻防演练,能够及时发现网络安全防护、监测和处置措施中可能存在的短板,是审视和提升政务网络安全体系建设和保障能力的一项重要工作。
一、实战攻防演练的意义
党的十八大以来,以“建设网络强国”为战略目标,党中央对网信工作提出一系列重大举措,完成一系列战略部署。这些都为开展网络安全工作提供指引,同时,也对政府部门网络安全保障工作提出了更高要求。
(一)适应新形势下的网络安全战略
习近平总书记的系列讲话为我国网络空间安全建设提供了顶层设计框架,包括2016年的“4·19”讲话,2016年10月的中共中央政治局第三十六次集体学习会议讲话,以及2018年4月在全国网络安全和信息化工作会议上的讲话等。
2017年6月1日,《中华人民共和国网络安全法》正式实施,把建立健全网络安全保障体系,提高网络安全保护能力提升到国家法律的高度。《2006-2020年国家信息化发展战略》《国家网络空间安全战略》的发布,也体现我国在网络安全方面的战略高度。《国家网络安全事件应急预案》明确了国家网络安全事件的组织、要求和处置流程。同时,《关键信息基础设施保护条例》(征求意见稿)、《网络安全等级保护条例》(征求意见稿)向全国征求意见,强化了国家对网络安全工作的要求。
(二)培养网络安全应急保障队伍
通过多年的建设,政府网络安全保障措施基本构建了积极有效的网络安全防御体系,但是,网络安全的应急保障队伍是否能够相互协同,在出现网络攻击时是否能够确保多部门共同参与,相关机构是否能够共同有效处置网络安全攻击事件,是否能够充分让已经建立的网络安全保障机制、措施在网络安全对抗中发挥成效,需要在平时的工作中加强演练和培养。
在政府组织内部,通过日常内部的应急演练加强应急保障机制和队伍的培养;在政府组织与网络安全监管单位之间,通过网络安全实战演练加强应急保障队伍的协同和机制的完善;在政府组织、监管单位和技术支撑单位之间,通过构建共同参与、共同提高、攻防相长的实训培养模式,切实强化应急保障队伍和机制建设。
(三)检验网络安全防御体系能力
党和国家高度重视网络安全保障工作,在新的发展形势下,所建立的网络安全体系是否能够达到相应的防护能力,是否能够对抗国家级有组织的网络攻击,已经部署的各类网络安全设备设施、保障措施、组织流程和防护能力,是否能够全面保障重要的信息系统安全稳定运行,已经成为当前我们面临的一个重要问题。实战型攻防演练是检验现有网络安全保障水平和防护能力的有效手段。
二、实战攻防演练的组织实施
实战型攻防演练是组织攻击方和防守方对拟定的目标系统进行真实攻击测试的一种演练方式,其特点是锁定目标系统,并在真实网络环境中进行测试,同时,不限制攻击路径,即可以通过任意路径对目标系统进行攻击,最终检验目标系统的安全防护能力。其中,防守方可充分利用已经建立的网络安全监测、防护和响应机制和措施,有效组织网络安全事件的应急响应组织队伍,通过积极有效的响应流程和应对措施,强化与协防技术单位、监管单位的组织配合等工作,实时对抗攻击者的网络攻击行为。
作为实战攻防演练的防守方,在开展实战攻防演练的过程中,可以通过如下工作的分阶段开展组织攻防演练的具体实施。
(一)前期准备工作
由网络安全管理部门统筹组织制定攻防演练的工作方案,明确攻防演练的组织结构和分工,通过建立领导小组、防护工作组、应急工作组和综合工作组,按照工作阶段和工作岗位的划分,确定具体工作职责。明确组织分工后,需要对目标系统相关的安全监测与防护设备、网络路径及相关资产梳理,形成清晰的资产清单,摸清网络安全现状,为后续有针对性的网络安全防护和监控点部署、安全自查和整改加固等工作,提供基础数据。
(二)开展安全自查和加固
防护工作组通过进一步对目标系统关联资产(服务器、网络设备、安全设备)进行安全漏洞扫描、安全基线检查、安全策略检查等工作,发现安全漏洞、弱点和不完善的策略设置,及时进行安全加固、策略配置优化和改进,切实加强系统的自身防护能力和安全措施的效能,减少安全隐患,降低可能被外部攻击利用的脆弱性和风险。
(三)组织攻防预演练
在对目标系统及相关网络路径的资产进行安全自查和加固后,可开展一次攻防预演练,由网络安全管理部门牵头组织,邀请有技术力量的安全技术支撑单位作为攻击队,对目标系统进行模拟攻击,防护工作组和应急工作组可通过预演练查看工作职责是否落实到位、防护设备策略是否发挥作用、监测设备是否能够正常监测,以及组织之间的协同和配合是否顺畅等。攻防预演练完成后,可针对预演练中发现的问题进一步加以完善。
(四)正式演练和总结
网络安全管理部门负责统一组织开展正式演练和总结工作,通过已确定的组织分工对网络安全攻击进行监测预警,及时通报安全事件,封阻非法攻击IP地址及攻击行为等,实时对抗攻击队的网络攻击。应急工作组协同技术支撑单位开展应急处置工作。演练结束后,总结经验并完善本部门应急响应机制及预案,针对发现的安全漏洞及不足制定技术方案进行整改加固。
通过开展实战攻防演练,可对以下方面进行检验:1.对政务网络安全体系的监测、防护和响应措施的功效进行检验;2.对网络攻击的监测预警能力进行检验,查看是否能有效发现攻击手段和行为;3.对已有网络安全防护措施是否能够对抗外部攻击进行检验,查看是否有效阻止外部攻击;4.对政务网络安全组织队伍的人员能力和协同能力加以检验;5.对政务网络安全运维管理、机制和流程的有效性加以检验;6.对政务网络安全应急响应的机制、流程、组织和资源保障等加以检验,同时,对网络安全应急保障组织队伍、机制和能力加以锻炼和培养。
三、网络安全体系建设成效和启示
通过网络安全实战攻防演练,可以发现网络安全工作的不足,也为网络安全防护经验的积累提供支撑。综合来看,通过实战攻防演练,加强网络安全防护体系建设,需要在网络安全工作领导小组的统一指挥决策下,网络安全各组织相互配合,有效协同,利用现有的网络安全防护监测、防护措施、规范流程和运营应急管理机制,使已建网络安全防护体系措施发挥成效,成功对抗网络攻击。
(一)领导重视统筹指挥
领导的高度重视为开展相关工作提供方向和资源保障。针对开展网络安全攻防演练,网络安全部门需向上级领导进行专项汇报,引起上级领导重视,同时,指示各相关部门要重视此项工作,加强领导,有效保障,为此,可以专门成立领导该项工作的领导小组,总体领导和管理攻防演练工作。
(二)组织成员通力协作
网络安全攻防演练期间的组织管理如同真正的“战时”组织,领导小组要对网络安全攻防演练工作进行统一指挥决策,同时,要建立完善的资源保障和协同小组,在攻防演练期间加强防护工作和应急工作的组织协调。在攻防演练期间,明确攻防演练的综合工作组、防护工作组和应急工作组,按照工作阶段和工作岗位的划分,确定具体工作职责和内容;组织不同领域的网络安全技术支撑单位和应用系统技术支撑单位共同开展相关工作。按照网络攻防演练的工作职责与流程进行具体的工作任务分工,为开展网络攻防演练作好组织保障。
(三)管理制度规范执行
在网络安全组织保障的基础上,日常所建立的网络安全管理机制、制度流程和规范也是有效对抗网络攻击的重要屏障。在这方面,可以通过加强网络安全的顶层设计,围绕总体工作目标的落实,制定并发布一系列流程、标准和规范,强化网络安全政策、规章、知识和技能的培训教育和宣传,切实提升网络安全风险管控能力和主动防御能力,为在网络安全攻防演练中有效对抗网络攻击奠定基础。
(四)防护措施有效对抗
依托已经建立的网络安全防护体系措施,在网络攻防演练期间,防护工作组通过采用网络全流量安全感知平台、未知威胁分析系统、IDS、安全日志审计系统、主机入侵检测系统对网络攻击行为进行监测、分析和预警,同时,配合网络流量监测、IT运维监控系统、服务器运行状态监控,以及应用系统运行状态监测、日志审计等及时发现异常情况并进行预警通告。通过多种方式的网络安全监测和综合分析判定网络安全攻击情况,及时阻止网络攻击行为的进一步蔓延,抑制并控制网络安全攻击行为的进一步深入,有效对抗网络攻击。
(五)态势感知能力凸显
网络安全态势感知是对网络攻击进行检测的重要手段,在实战攻击演练过程中,通过网络安全威胁监测和分析,可以发现网络扫描、探测、注入、跨站脚本等多种攻击行为,并将这些攻击行为定位到资产对象,及时抑制和处置攻击行为。网络安全态势感知系统对攻击行为实时的监测记录,可以让防护工作组、应急工作组的技术人员进行深入的溯源分析和研判,针对潜在的安全隐患,及时修复,并结合威胁情报信息,深入检验威胁的类型和影响范围,为后续的防护策略优化提供依据,在网络攻击对抗的过程中发挥其应有的能力。
(六)运营服务保障得力
通过对网络安全攻击告警及统计的分析发现,攻击队的行为在攻击初期主要是进行扫描、爆破、探测,企图发现可利用安全漏洞进行入侵获取目标系统权限。而到后期,攻击队将攻击重点调整到攻击路径上的边缘系统,企图寻找突破口再通过局域网内部渗透横移获取攻击路径上其他系统的控制权限,并通过代理跳板最终获取目标系统权限。网络安全运营团队可以针对这些攻击特征,通过各工作组安全监测、分析处置和漏洞修复,有效地抑制攻击行为,阻断攻击队的利用途径。
(七)意识技能持续加强
真实的网络攻击往往是攻击网络安全防护中的最短板,而这些短板恰恰是由于人们的意识不足造成,可以被攻击者直接利用,例如明文存放口令、用公共邮箱处理工作文档、打开不明邮件和弱口令等常见问题,需要通过不断加强意识教育工作来提高对网络安全的认识程度。同时,各级政务工作人员,也要有一定的网络安全操作技能,专业岗位要有专业的安全知识,非专业岗位也要了解一些安全的操作行为,加强与网络安全专职人员的配合、协作和沟通,综合构筑网络安全的防线。
(公号头图源于网络)