本來以為能碼完,結果最終還是並沒有碼完,所以,等會兒再更新,大概凌晨一點吧,到時候重新重新整理本章節就行了,唉,果然存稿這個東西還是非常的有必要啊。
摘要:利用網路安全漏洞進行有組織、有目的的網路攻擊形勢愈加明顯,一方面留給應急響應的時間視窗越來越小,另一方面應急響應所需的威脅知識、專業技能、熟練程度等卻不斷增加。本文提出了網路運營者作為防守方開展應急響應的簡明流程及響應步驟,為相關單位提供實踐參考。
關鍵詞:網路安全關鍵資訊基礎設施攻防演練
1引言
伴隨著資訊科技在社會發展中的重要性越來越高,網路空間已經成為大國博弈的新戰場。網路安全攻防演練作為檢驗關鍵資訊基礎設施的網路安全防護、提升網路運營者應急響應水平等關鍵工作的重要手段,以實戰和對抗的方式促進提升網路安全保障能力,具有重要意義。本文站在網路運營者視角,以參與組織的一次政府網站實戰攻防演練過程為例,簡述攻防演練中防守方如何開展工作,為相關單位提供組織應對經驗。
2演練內容
某單位組織網路安全專業技術人員組成若干攻擊隊伍,對管轄範圍內二級機構的官方網站及業務系統進行持續5天的安全攻擊測試,驗證目標系統安全防護能力的有效性,每天固定時間在統一演練平臺提交防守方報告。筆者所在單位作為目標網站及業務系統運營單位,需確保目標資訊系統的實體安全、執行安全和資料安全,最大限度地減輕網路安全突發事件的危害。
3組織架構
成立防守指揮部,由網路安全主管領導擔任總指揮,成員由網路安全及業務系統運營部門領導組成。指揮部下設防守工作組、監控分析組、研判處置組,總計20人。
3.1防守指揮部
統籌整體演練防守工作,負責資訊系統攻擊防禦演練的指揮、組織協調和過程控制;下達系統停運、恢復關鍵操作以及對外資訊報送授權指令;報告演練進展情況和總結報告,確保演練工作達到預期目的。
3.2防守工作組
負責資訊系統突發事件演練的具體工作;搭建維護演練集中監控及處置環境;分析和評估資訊系統突發事件對業務影響情況;收集分析資訊系統突發事件處置過程中的資料資訊和記錄;向指揮部報告演練進展情況和事態發展情況;負責牽頭開展每日的安全事件總結和分析工作;統計、篩選、提交防守方報告。
3.3監控分析組
負責攻防演練期間業務系統訪問監控及網路安全態勢監控,發現並識別網路攻擊,做好監控過程的記錄工作,並向研判處置組發出攻擊預警;及時修補業務系統存在的漏洞,開展業務系統關停及恢復工作。
3.4研判處置組
演練備戰階段,負責對發現的網路安全隱患進行整改,落實各項安全防護措施。演練實戰階段,對網路攻擊流量進行清洗,確保業務系統可用性;根據需要機動、靈活調配技術資源,完成技術分析與研判、實時攻擊對抗、應急響應等工作。
4演練實施
按照過往演練經驗,小規模的防守宜按照演練前、演練中、演練後三個階段開展相關工作。
4.1攻防演練前
攻防演練前建立完善的保障團隊。從安全技術層面建立監測預警體系,在安全制度層面建設通告預警與處置反饋機制。對本次保障範圍內的資訊系統進行詳細的風險評估和安全加固,制定《網路安全攻防演練實施方案》,並對相關人員進行資訊保安意識宣貫。4.1.1資產梳理。開展資訊化資產梳理,主要梳理內容包括但不限於:梳理對外發布的網際網路應用系統;梳理網際網路出口及出口所使用的裝置和安全措施;梳理網路結構(網路拓撲);梳理重要的或需要重點保護的資訊系統、應用系統各伺服器之間的拓撲結構;梳理網路安全裝置及網路防護情況;梳理SSLVPN和IPSecVPN接入情況。4.1.2風險評估。安全保障專家結合資訊化資產梳理結果進行安全風險評估。安全保障專家可使用調研問卷、人員訪談和安全技術(滲透測試、漏洞掃描、基線核查等)等方式,透過安全工具或人工方式從網路安全風險、應用安全風險、主機安全風險、終端安全風險和資料安全風險等維度進行安全風險評估,各部分內容可參考如下。(1)網路安全風險評估網路架構風險評估,利用人工和工具等方式從技術、策略和管理等角度更深層次挖掘出當前網路中存在的威脅和風險。安全漏洞和安全基線風險評估,利用掃描工具對網路裝置進行掃描和全面檢查。弱口令風險評估,嚴格禁止所有賬號的弱口令、空口令情況。賬號、許可權風險評估,檢查管理員賬號和許可權,關閉不必要的賬號,取消不合理的賬號許可權;保證密碼強度符合安全基線要求。遠端登入白名單風險評估,嚴格限制可以遠端管理的IP地址,禁用Telnet進行遠端管理。配置備份風險評估,所有網路裝置全部要做好配置備份,確認備份有效可以恢復。(2)應用安全風險評估身份鑑別風險評估,評估應用系統的身份標識與鑑別功能設定和使用配置情況,應用系統對使用者登入各種情況的處理,如登入失敗、登入連線超時等。訪問控制風險評估,評估應用系統的訪問控制功能設定情況,如訪問控制的策略、許可權設定情況等。安全審計風險評估,評估應用系統的安全審計配置情況,如覆蓋範圍、記錄的專案和內容等。資產暴露面風險評估,模擬駭客進行資訊收集,獲取資產詳細資訊(程式名稱、版本)、開放的危險埠、業務管理後臺等。應用漏洞風險評估,包括Web服務,如Apache、WebSphere、Tomcat、IIS等,其他SSH、FTP等程式的缺失補丁或版本漏洞檢測。滲透測試,採用適當測試手段,發現測試目標在資訊系統認證及授權、程式碼審查等方面存在的安全漏洞,並再現利用該漏洞可能造成的損失,提供避免或防範此類威脅、風險或漏洞的具體改進或加固措施。(3)主機安全風險評估WebShell風險評估,對提供Web服務的系統進行WebShell後門排查,驗證伺服器的安全性,確保清除曾經可能被入侵遺留下的後門。惡意檔案風險評估,利用專業殭屍木馬蠕蟲檢測工具對作業系統進行惡意檔案排查,並針對惡意檔案進行行為分析,確認病毒家族及其危害。弱口令風險評估,嚴格禁止所有賬號的弱口令、空口令情況。埠及服務風險評估,伺服器只開放自身提供服務相關埠,關閉不必要的埠和對外服務。伺服器防火牆風險評估,預設禁止所有主動對外訪問行為,如有需要,需嚴格制定訪問控制策略,實行伺服器對外訪問白名單。系統漏洞掃描風險評估,對作業系統、資料庫及常見應用、協議進行漏洞掃描。(4)終端安全風險評估安全基線風險評估,對終端的作業系統進行安全配置基線檢查,保證終端裝置安全。弱口令風險評估,嚴格禁止所有賬號的弱口令、空口令情況。防病毒軟體風險評估,檢查終端是否安裝防病毒軟體,安全策略是否開啟。非法外聯風險評估,檢查終端是否配置了雙網絡卡,是否開放或連線熱點。補丁更新風險評估,檢查補丁更新情況。(5)資料安全風險評估安全基線風險評估,對資料庫的作業系統進行安全配置基線檢查,保證資料庫系統安全。資料訪問控制風險評估,對資料的訪問、許可權設定進行評估。資料備份風險評估,檢查資料備份策略、災備情況。4.1.3安全加固。透過評估與檢查的方式,分析資訊化資產及重要資訊系統的安全漏洞與風險,並有針對性地進行安全加固。網路裝置、安全裝置、安全系統等網路層面安全問題由基礎網路運營部門負責加固;應用系統存在的漏洞、程式碼邏輯錯誤、管理員弱口令、中介軟體漏洞等主機和應用層問題由各相關係統負責人進行加固,由安全專家提供相關指導建議解決目標系統在安全評估中發現的技術性安全問題,對系統安全配置進行最佳化,杜絕系統配置不當而出現的弱點。4.1.4安全培訓。為提升安全技術人員安全技術能力和非安全人員的資訊保安意識,防守工作組定製培訓課程內容,使用相關教材和實戰案例等資料,幫助相關人員強化安全意識,強化資訊保安攻防知識,以便更好地在演練過程中有效應對網路攻擊。培訓主要內容:針對安全技術人員、安全管理員進行安全意識、安全常識、Web構成、常見漏洞、熱點0Day事件、入侵流程、惡意軟體現象和防禦方法培訓;針對非安全技術人員從個人電腦安全、郵件安全、移動安全、日常工作生活等維度進行強化安全意識培訓。4.1.5模擬攻防。完成安全加固後,為檢驗安全加固的成果、檢驗安全防護體系的健壯性和有效性,需要組織模擬攻防演練進行安全能力檢驗。可邀請安全公司模擬攻擊小組從外部對目標單位資訊化系統進行攻擊演練,檢驗演練目標系統的防護能力,檢驗演練防守團隊的協作保障能力。攻擊小組使用的攻擊手段應不影響目標單位業務的正常開展,包括但不限於滲透測試、系統漏洞攻擊、釣魚攻擊/APT綜合攻擊、社會工程學攻擊等。4.1.6環境準備。在合適的場所搭建演練集中監控及處置環境所需電力、網路裝置,根據工作任務分配接入網路,保障攻防演練期間裝置正常執行。ET
4.2攻防演練中
防守工作組指導監控分析組及研判處置組在攻防演練過程中最大力度防禦來自任何攻擊方的網路攻擊,實時監測目標系統的攻擊情況;發生網路安全事件立刻通知到防守指揮部,實時掌握演練情況,做好安全事件的分析研判,形成分析和處置報告上報。×24小時監測預警。監控分析組透過業務系統訪問日誌及網站安全監測、網路安全管理中心、網路安全態勢感知等通報預警平臺,實現網站安全的集中監測。指派雲端專人對被監測網站安全事件進行實時研判與驗證,當出現安全事件時立刻上報現場研判處置組。所有監控任務分配到人,所監測到的安全事件必須留存事件記錄,做好系統備份工作和故障詳細記錄並進行初步診斷。4.2.2技術分析。攻防演練期間,網路攻擊的數量呈指數級增長。而傳統的基於黑白名單、簽名和規則的安全威脅發現手段,已經不能應對演練期間不斷升級且有針對性的網路威脅。因此,當網際網路安全監測平臺和安全態勢感知監測到安全事件時,監控分析組必須立刻進行安全事件分析,定位問題並溯源。確定非誤報後,將詳細攻擊路徑、攻擊IP等情況反饋研判處置組及防守工作組以便上報。結合故障描述和診斷,定位安全問題後,根據情況配合輸出解決思路,反饋研判處置組。無法定位分析的問題,直接反饋給防守工作組。4.2.3專家研判與實時攻擊對抗。攻防演練期間最大的安全風險來自於攻擊方攻擊,特別是有針對性、持續性的攻擊。及早發現並遏制有針對性、持續性的攻擊是規避外部風險的有效手段。演練期間也是非法駭客組織的活躍期。駭客組織可能偽裝成攻擊隊對防守單位進行攻擊,監控分析組與研判處置組需實時研判安全事件,根據事件特徵,在入侵防禦系統、Web應用防火牆等安全裝置中新增相應防護策略,對非法攻擊事件分類進行實時攻擊對抗。4.2.4應急響應與業務恢復。應急響應快速處置成功的關鍵是根據預設流程有條不紊地解決已經發生的安全事件,以保證最大限度地減少安全事件造成的損害,降低應急處置中的風險。研判處置組當接到監控分析組的預警報告後,直接定位的問題(可用性等)。二十兩銀子少是少了點,但放到現代也是八千到一萬塊。
而目前大虞朝一名普通士兵每月最多也就一兩銀子,一名百夫長每個月三兩銀子。
也許他會收吧。
另外,秦虎還準備給李孝坤畫一張大餅,畢竟秦虎以前可有的是錢。
現在就看他和秦安能不能熬得過今夜了。
“小侯爺我可能不行了,我好餓,手腳都凍的僵住了。”秦安迷迷糊糊的說道。
“小安子,小安子,堅持住,堅持住,你不能待著,起來跑,只有這樣才能活。”
其實秦虎自己也夠嗆了,雖然他前生是特種戰士,可這副身體不是他以前那副,他目前有的只是堅韌不拔的精神。
“慢著!”
秦虎目光猶如寒星,突然低聲喊出來,剛剛距離營寨十幾米處出現的一道反光,以及悉悉索索的聲音,引起了他的警覺。
憑著一名特種偵察兵的職業嗅覺,他覺得那是敵人。
可是要不要通知李孝坤呢?
秦虎有些猶豫,萬一他要是看錯了怎麼辦?要知道,他現在的身體狀況,跟以前可是雲泥之別。
萬一誤報引起了夜驚或者營嘯,給人抓住把柄,那就會被名正言順的殺掉。
“小安子,把弓箭遞給我。”
秦虎匍匐在車轅下面,低聲的說道。
可是秦安下面的一句話,嚇的他差點跳起來。
“弓箭,弓箭是何物?”
甚麼,這個時代居然沒有弓箭?
秦虎左右環顧,發現車輪下面放著一根頂端削尖了的木棍,兩米長,手柄處很粗,越往上越細。
越看越像是一種武器。
木槍,這可是炮灰兵的標誌性建築啊。
“靠近點,再靠近點……”幾個呼吸之後,秦虎已經確定了自己沒有看錯。
對方可能是敵人的偵察兵,放在這年代叫做斥候,他們正試圖進入營寨,進行偵查。
當然如果條件允許,也可以順便投個毒,放個火,或者執行個斬首行動啥的。
“一二三……”
他和秦安趴在地上一動不動,直到此時,他突然跳起來,把木槍當做標槍投擲了出去。
“噗!”
斥候是不可能穿鎧甲的,因為行動不便,所以這一槍,直接洞穿了他的胸膛。
跟著秦虎提起屬於秦安的木槍,跳出車轅,拼命的向反方向追去。
為了情報的可靠性,斥候之間要求相互監視,不允許單獨行動,所以最少是兩名。
沒有幾下,秦虎又把一道黑色的影子撲倒在地上。
而後拿著木槍勒到他的脖子上,嘎巴一聲脆響,那人的腦袋低垂了下來。
“呼呼,呼呼!”秦虎大汗淋漓,差點虛脫,躺在地上大口喘氣,這副身體實在是太虛弱了。
網頁版章節內容慢,請下載閱讀最新內容
就說剛剛扭斷敵人的脖子,放在以前只用雙手就行,可剛才他還要藉助木槍的力量。
“秦安,過來,幫我搜身。”
秦虎熟悉戰場規則,他必須在最快的時間內,把這兩個傢伙身上所有的戰利品收起來。
“兩把匕首,兩把橫刀,水準儀,七八兩碎銀子,兩個糧食袋,斥候五方旗,水壺,兩套棉衣,兩個鍋盔,醃肉……”
“秦安,兄弟,快,快,快吃東西,你有救了……”
秦虎顫抖著從糧食袋裡抓了一把炒豆子塞進秦安的嘴裡,而後給他灌水,又把繳獲的棉衣給他穿上。
請退出轉碼頁面,請下載 閱讀最新章節。
天還沒亮,秦虎趕在換班的哨兵沒來之前,砍下了斥候的腦袋,拎著走進了什長的營寨,把昨天的事情稟報了一遍。
這樣做是為了防止別人冒功,他知道自己現在身處何種環境。
“一顆人頭三十兩銀子,你小子發財了。”
什長名叫高達,是個身高馬大,體型健壯,長著絡腮鬍子的壯漢。
剛開始的時候,他根本不信,直到他看到了秦虎繳獲的戰利品,以及兩具屍體。
此刻他的眼神裡面充滿了羨慕嫉妒恨的神色。
“不是我發財,是大家發財,這是咱們十個人一起的功勞。”
為您提供大神就是要叫白熊的灰燼神主最快更新
第770章 【炎陽之神·克羅蒂娜】降臨!免費閱讀.