构建大安全格局从网络安全攻防演练说开去
2021-11-05王垚
王垚
【摘要】 随着时代发展,信息技术应用已成为不可或缺的重要组成,保障信息安全逐渐成为国家安全重要组成部分,是构建大安全格局必要元素之一。网信工作领域默默付出,网络安全攻防演练已成为各大型企事业单位网信部门的必要工作,为做好演练防守工作,各关键部门也在为不断提升防守水平做着积极的努力。本文立足网络安全理论,用通俗易懂的语言向大众阐述相关概念,从攻防技术介绍,到网络安全防护体系构建,浅析网络安全体系建设。
【关键词】 网络安全 攻防演练 联动体系 安全技术大安全格局
引言:
网络安全是信息时代国家安全的战略基石。随着互联网化、信息技术的飞速发展,政治、经济等领域面临网络与信息安全等问题,构建大安全格局已正式提出。一旦信息基础设施被破坏、信息泄露,将给国家、企业、个人带来巨大损失和影响。维护网络与信息安全是前提。网络安全成为关乎全局的重大问题,信息化程度越高的行业,安全工作越重要,对相关人才需求越迫切。
近年来,网络安全态势日益严峻,各类网络攻击从外部转向内部,攻击手段多样。做好网络安全防护工作是前提也是基础。网络安全攻防演练,是在和平时期对网络安全攻防技术实战型演练,也是考验单位网络安全防护水平重要契机。因此,建设立体化防护是对网络安全防护的强化,通过专业人员运用软硬件技术,来保障所使用的网络和信息安全。
一、网络安全现状
1.1全球网络安全现状
国家工业信息安全发展研究中心2021年1月19日发布的《2020年工业信息安全漏洞态势年度简报》报告显示,2020年国家工业信息安全漏洞库(CICSVD)收录工业信息安全漏洞如图1,在收录的通用型漏洞中,高危及以上漏洞占比62.5%。在漏洞成因分析方面,涉及31种漏洞成因类型。在受影响产品分类方面,涉及10大类、66小类。在受影响产品厂商分析方面,主要涉及德国西门子、中国台湾摩莎等335家公司,国外厂商占比66.2%,我国占比33.8%。
据CNCERT(国家互联网应急中心)在2021年5月26日发布的CNCERT互联网安全威胁报告显示,2020年CNCERT协调处置各类网络安全事件约10.3万起。同比减少4.2%,据抽样发现,我国被植入后门网站、被篡改网站等均有所减少,其中被植入后门同比减少37.3%,境内政府网站量大幅下降,同比减少64.3%;被篡改网站量同比减少45.9%。据外部报告,全年我国境内DDoS攻擊次数减少16.16%,攻击总量下降19.67%;僵尸网络控制端量在全球占比稳步下降至2.05%。可见,随大安全格局构建,及近年来网络安全演练举办,我国网络安全态势与全球态势呈现反向,大安全格局构建效果初步显现。
1.2网络安全国家战略
2018年4月20日,习总书记在第一次全国网络安全和信息化工作会议上指出未来网络安全工作重点,对网络安全问题的核心论述转化为具体行动。只有树立正确网络安全观,落实基础设施防护责任,依法打击网络违法犯罪行为,深入开展网络安全知识技能宣传普及,才能构筑强有力的网络安全防护体系,提升网络安全水平。
1.3行业内外网络安全现状
十九大以来,有关部委多次组织网络安全机构对国内开展网络安全的实战攻击演练。在此,各行业表现相对较好防护能力,同时也暴露出在攻击期间部分行业外部应用出现系统无法正常使用,多数行业通过“断桥堵路”方式应对攻击,在一定程度上制约了线上服务的便捷和高效性。
反观业内,随行业领导对网络安全和信息化工作的高度重视,各级主管部门通过配置各类安全设备、收紧互联网出口等有效防止了外部攻击,形成良好的运行环境。但由于设备分散化配置,各厂商设备繁杂交错,多处于各管一块状态,设备间联动性差,自动发起系统性处理能力一般。
二、网络攻防实战演练技术探析
2.1攻防双方技术分析
在网络攻防实战演练中,必然存在着攻击和防守方对抗,攻击方往往掌握主动性,而防守方须做出更多网络规划和安全策略才能应对攻击威胁。通常攻击和防守技术是相辅相成,往往防守技术会落后于攻击技术发展。攻击队可以通过信息收集技术、漏洞扫描技术等多种手段进行攻击。因攻击种类多增加了防守难度。但防守技术也在不断发展,从监控技术、防火墙技术等到态势感知技术、APT防御技术等,使得防守能力不断增强。
2.2攻击过程
攻击方以入侵目标网络系统为主要目的,通常采取各种手段,最终实现盗用、篡改或破坏。经研究,防范其攻击手段,在关键节点做好部署,对于了解攻击意图、更加精准的对其进行监测和响应具有重大意义。
2.2.1攻击前准备
通常,攻击开始前以信息收集为主,通过系统所暴露的脆弱性或安全漏洞信息进行对应攻击,分攻击技术和信息利用技术。信息收集技术包括技术和非技术手段。技术手段含公开信息收集、网络扫描等;非技术手段主利用社会工程学对目标系统实施入侵。在攻防演练中常用技术手段入侵,但也有通过社会工程学手段入侵成功的案例。通过端口扫描技术,攻击方可获取目标主机的端口使用清单,通常要求个人终端要关闭135、139等非必要端口,也是从终端角度防范攻击端口扫描的例证。而漏洞扫描技术则建立在端口扫描技术基础上,通过漏洞信息特征的识别和匹配检测方法或模拟攻击方法来检查目标设备是否存在漏洞。此外,攻击方还可通过对会话劫持、电磁泄露等手段进行信息收集。
2.2.2攻击阶段
攻击方通过前期收集技术得来的信息,运用相对应手段对目标系统实施攻击。攻击技术类别多,例如,高级持续性威胁攻击(APT)、恶意代码攻击等等。高级持续性威胁攻击不仅通过网络进行攻击,还能通过智能终端、移动存储设备等设备进行攻击。常具有长期隐蔽和潜伏性,持续性可达数年之久。可以针对目标系统所属网络内的用户终端寄送可以以假乱真的恶意邮件,用户一旦点击附件,就有可能被利用,潜伏入目标系统网络之内,其高度隐蔽性很难被网络安全防御方发现。在单点攻破后,攻击方可以建立类似僵尸网络的远程控制模型,定期传送重要文件的给命令和控制服务器(C&C Server),并将过滤后的重要信息数据利用加密手段外传。恶意代码攻击是我们所熟知的电脑病毒和木马攻击手段,病毒通过不断自我复制来感染其他终端主机及主机程序,有极强传染和不可预见性,因其种类多,所造成危害也不同,在病毒防护方面也是重视的工作之一。木马程序是带有隐藏功能的程序,它含有隐蔽代码,可以通过隐蔽端口进行通信,多数木马是客户端Client/服务器Server架构。这样攻击方可以通过病毒程序对目标系统进行破坏,再通过木马程序留下后门,以便对目标系统的随时访问和权限获取操作。
2.3防守过程
防守方采用防御技术是针对攻击方攻击技術而产生。从现状来,相对于攻击方而言,多数防守方专业技术能力相对偏弱,防守方多采取聘请第三方专业团队,购买各类安全设备以及人防战术进行防守。这样就引起前文所说的在攻防期间相关网络服务受到影响情况。
1.防守前准备。攻防演练之前,防守方应当对管辖网络进行系统漏洞修复,严格开启防火墙策略、缩紧IPS特征库识别规则、启用态势感知平台最高等级监测等。有条件的可以使用蜜罐技术固牢防线,降低安全威胁做好溯源准备。
2.防守阶段。在防守方面,以监控网络状态为主,通过监控数据包的详细信息,防止来自攻击方的信息探测,也可以对目标系统的服务器进程、访问日志进行监控,通过是否存在异常而进行研判。检测技术是随国家网络强国战略逐步成熟的一项防守技术,通过监测网络和设备系统的异常特征信息来判定是否存在被入侵的可能。其区别于监控技术,主要是对全网监听。目前来讲,防守方因技术劣势,处于相对被动地位。依靠安全设备以及大量人员值守进行防守。但往往技术成熟的攻击者会使用云空间、跳板机等发起攻击,很难得到有效溯源结果。
三、改变现状构建体系
防守方被动局面需要改变现状,网络安全防护体系不是战时任务体系,应是常态、日常化的防护措施。通过人防应对攻击方运用计算机技术的攻击行为,无疑是人与机器比拼,结果可想而知。构建一套长期、有效的网络安全体系是改变的重要手段。
3.1打造专业技术团队
通过激活“内部专家红利”来打造专业技术团队。所谓内部专家红利,指企业内部复杂劳动者或智力劳动者资源优势。从外部经验看,世界500强企业崛起以及地位巩固,都伴随“内部专家红利”。我们熟知的华为、阿里巴巴等国内知名企业的发展也同样依靠的是内部专家人才。阿里巴巴有ASRC安全响应中心,主要针对各种漏洞和入侵者的一套方案。有漏洞补之,有入侵者招安之,阿里对内部专家人才的重视可见一斑。较行业而言,招安网络安全专家不符合人力资源管理制度,但在行业现有网络安全和信息化队伍中,针对性培养内部专家是可行的,在职业生涯规划上向内部专家方面进行调整,也会涌现出内部专家。从而为企业改革、融合创新、网络安全防护提供人才保障。
3.2由人防向技防的转变
从现阶段看取得了一定效果,但也遇到发展瓶颈,单纯通过购买安全设备已不能有效提升,需进提升水平同时积极开展主动防御的技术能力建设。因增加非特征技术检测能力的投入,及事件响应分析能力建设;通过对事件深度分析及信息情报共享,建立预测预警并针对性改善安全系统,最终达到有效检测、防御新型攻击威胁目的。通过设备联动释放人力资源。
四、结束语
网络安全体系构建是时代发展必然产物,从发展规律来看,是一个综合、动态的安全体系,是融合多种安全技术集合和安全产品之间的联动。需要正确认识和运用技术手段从整体和设备联动方向解决网络安全。同时,建设网络安全防护体系是构建大安全格局、网络强国战略重要手段,正确处理网络安全防护和融合创新关系是主要方向。融合创新是高质量发展的路径、网络安全是高质量发展的保障,二者必同步推进,相辅相承。
参 考 文 献
[1]2020年工业信息安全漏洞态势年度简报.国家工业信息安全发展中心,2021,1:1-2.
[2]2020年我国互联网网络安全态势综述.国家计算机网络应急技术处理协调中心,2021,5
