2016年,公安部会同民航局、国家电网组织开展了 “护网2016”网络安全攻防演习活动。同年,《网络安全法》颁布,出台网络安全演练相关规定:关键信息基础设施的运营者应“制定网络安全事件应急预案,并定期进行演练”。自此“护网行动”进入人们视野,成为网络安全建设重要的一环。
具体来说,护网行动是以公安部牵头组织政府单位、事业单位,国企单位,名企单位等开展攻防两方的网络安全演习。组织攻防两方,进攻方(一般称为红队)将对防守方(一般称为蓝队)发动网络攻击,检测出防守方存在的安全漏洞。护网行动每年举办一次,大约在6月到9月之间,为期2到3周。
原则上进攻方一个月内采取不限方式对防守方展开进攻,不管任何手段只要攻破防守方的网络并且留下标记就算成功,就算直接冲到防守方的办公大楼,然后物理攻破也算成功。
实际操作中,单位一般都会提前沟通约定好,哪些时间段可以攻击,哪些手段可以使用,哪些手段不能使用等等。
单位一般作为防守方,从系统项目层面,需要在以下几个方面做好安全防护:
1,漏洞修复,包括系统漏洞、数据库漏洞、渗透测试检测出的漏洞等;
2,修复弱口令,基础的加固策略;
3,系统降权,做权限控制;
4,https改造,从访问侧做加固;
5,基线加固,如中间件tomcat加固等;
从公司安全运维部门角度,有以下几个方面:
1,安全域改造,涉及到公司安全运维团队对所有服务器的统一划分改造;
2,设置waf拦截;
3,增加代理服务;
4,设置流量控制和分析系统;
5,威胁感知系统;
6,安全审计系统;
7,统一监控系统;
8,限源,限制未知ip源的访问;
除此之外,要加强和提高公司所有信息化人员和普通员工的安全意识,对通过企业微信、微信、QQ、短信、电话及其它通讯方式索要用户名密码、账号等重要敏感信息的事件要提高警惕,对不明来源的邮件要做好甄别,防止钓鱼软件。另外,从物理层面,要严防攻击方冒充普通员工、维修人员进入公司及重要场地。
在护网行动规则上,各方都有加分项和减分项,一般要求防守方在被攻击后2小时内完成处置,如果能有效溯源,可以给防守方加分。一般有效的溯源至少要明确攻击ip,攻击方式,攻击路径等。
也可以通过蜜罐等方式,收集攻击方的有效信息,从而提前设防,提高溯源成功率。
当时我们是通过集中办公的模式,安全组和运维组24小时值班,各系统每2小时上报一次巡检记录。 集中办公大厅会有大屏实时展示网络攻击地图。为避免敏感信息,找了2张网络图,大致是这个样子,会实时展示攻击地图,攻击类型,攻击量统计等等。