网络安全攻防演练的部署与方案设计

网络安全攻防演练的部署与方案设计作者：刘阳来源：《网络空间安全》2017年第10期摘要：开展网络安全攻防实战演练，针对面向互联网的业务系统，模拟黑客入侵和攻击，发现安全漏洞和隐患，有效识别、分析和控制信息系统安全风险，将有效提升运维人员安全意识和安全突发事件处置能力，提升信息系统安全保障能力。论文结合面向新闻信息系统开展安全攻防演练的工作实践，对攻防实战演练的部署与方案设计进行分析与探讨。关键词：信息安全；攻防演练；部署；项目设计中图分类号：TP393.08文献标识码：B1引言安全攻防实战演练是维护网络与信息系统安全的重要手段，是有效提升网络安全事件应急响应和处置能力的基础。作为新闻媒体行业，随着新媒体事业的发展，新闻信息载体、传播渠道快速更新，移动应用、社交媒体日益成为信息传播重要阵地。在应用新技术新手段，为用户提供更加丰富的新闻产品，扩大社会影响力的同时，对有效保障新闻报道业务安全，保障网络与信息系统安全提出更高要求。开展网络安全攻防实战演练，针对面向互联网的业务系统，模拟黑客入侵和攻击，发现安全漏洞和隐患，有效识别、分析和控制信息系统安全风险。促进统一指挥、协调有序的安全应急管理机制的落实，完善安全事件防范与处置流程，提升运维人员安全意识和安全突发事件处置能力。2安全攻防演练的部署安全攻防演练是在真实的网络环境中进行攻击、防御，发现并解决存在的安全问题，为提升网络与信息安全保障能力积累经验。攻防演练既要做到对业务系统具有破坏性，又不影响整体信息系统的正常使用；既有危害性，又具有可控性。为了达到攻防演练力求实效、管控有序，造成的风险降到最低，需要对实战演练进行认真部署。(1)建立攻防演练组织指挥中心，负责演练的统一部署、组织协调和过程控制，确保演练工作安全推进，达到预期目标。成立演练工作组，负责制定演练总体方案、评估演练对业务系统的影响情况；负责攻防实战演练的实施，收集分析演练中的各项数据信息；负责指挥中心报告演练攻防进展情况，做好应急支持保障，保障演练中各系统的安全运行。(2)制定完善的网络安全攻防演练方案，充分考虑可能发生的情况，做好相应的应急处理措施。参加演练的人员分为攻击方和防守方。演练过程中，指挥中心人员可视情况暂时中断演练进程。(3)明确演练开始、结束时间，通知攻、防双方。演练前，防守方进行安全检查加固，做好防守准备。演练开始，攻击方进行安全测试，利用检测到的系统漏洞进行有效攻击，对网络设施、服务器、应用系统等方面展开进攻。(4)演练结束，攻方停止攻击。相关业务进行系统功能测试，确保经过演练，各系统使用正常。攻防双方详细记录演练过程数据，检测出的安全漏洞及隐患，向指挥人员介绍对战过程，展示各项数据信息，提交攻防演练总结报告。(5)攻击方以人工渗透测试为主，辅助以攻击工具的使用，发现目标网络和系统存在的安全弱点实施入侵。渗透测试过程中可能涉及MetasploitFramework缓冲区溢出测试使用的辅助工具、AcunetixWebVulnerabilityScanner网络漏洞扫描工具、ShadowSecurityScanner安全漏洞扫描软件、ISS漏洞扫描器、Nm叩端口扫描工具、Firewalk高级路由跟踪工具、Fragroute/Fragrouter网络入侵检测逃避工具集等测试工具，以及Whois、Nslookup.Traceroute等命令o3安全攻防实战演练项目设计随着新媒体与传统媒体的快速融合发展，面向互联网的新媒体信息系统数量越来越多，带给人们丰富快捷、多元交互的新闻信息。由于新闻媒体具有广泛的社会影响力，如果信息系统受到恶意攻击，出现网页被篡改、信息被窃取或泄露、系统服务中断等安全事件，其恶性程度更深，影响更直接。通过对我们开展的新闻信息系统安全风险评估，以及网络安全事件处置情况进行分析，可以总结出业务系统的脆弱性是安全风险的主要来源。系统脆弱性主要包括SQL注入、弱口令、敏感信息泄露、用户密码认证、越权操作等，这些漏洞被利用对信息系统安全构成威胁。针对系统存在的脆弱性，对安全攻防演练项目进行了详细设计。演练中攻击方利用漏洞扫描、暴力破解、渗透测试等手段，对存在配置错误、缓存溢出、拒绝服务、弱口令等漏洞的系统实施攻击，以便获取系统权限，破坏系统及网络正常运行，窃取系统敏感信息。防守方加强安全防护，加固系统、修补漏洞，完善安全事件处置流程，提高应急处置能力。模拟黑客从互联网渗透测试模拟黑客对面向互联网的业务系统进行渗透攻击，挖掘系统存在的漏洞，寻找可以进一步控制目标的安全漏洞。演练过程中尝试完成几项操作。(1)对系统进行端口扫描，收集开放的端口。(2)针对开放端口对应的应用服务进行针对性攻击尝试。(3)如发现Web网站后台登录具有SQL注入漏洞，查看数据库使用版本。使用SQL注入工具写入脚本木马。(4)连接WebShell木马控制服务器，尝试修改网页内容或添加黑页。批量扫描服务端口破解弱口令使用黑客工具对各业务进行批量服务端口扫描，收集整理高危端口和弱口令，并在测试同时观察这些攻击动作的流量在安全管理中心是否有体现。(1)使用端口扫描工具批量扫描常用端口。(2)暴力破解开放21端口的主机，并尝试登陆服务器。(3)暴力破解开放3389远程桌面的主机，并尝试登录服务器。(4)在安全管理平台检查是否有相关扫描和破解的流量。模拟黑客从互联网对某一系统进行CC攻击使用多台计算机对系统进行大规模扫描，同时观察这些攻击动作的流量在安全管理中心是否能及时捕获，并做出应急处置。(1)选定目标为某一系统，使用CC攻击方式对该系统进行测试。(2)使用代理服务器或者受控机向该系统发大量数据包，使服务器资源耗尽。(3)进行攻击的同时在安全管理平台检查是否有相关的攻击流量。4安全攻防实战演练发现的问题与整改演练结束，指挥中心需要组织对网络攻防演练进行全面总结，公布问题、分析原因、加强整改。业务系统要增强用户密码复杂度限制，加强用户登录验证码功能，防止持续账号密码破解，利用抓包工具进行抓包，爆破出用户口令。严格审查业务系统申请开放的网络端口，防止被攻击者利用，成为入侵主机的通道。进一步开展信息系统安全风险评估和渗透测试，消除系统存在安全漏洞，防止攻击者利用这些漏洞，获取敏感信息，控制服务器，造成数据泄露、网页被篡改等危害。加强安全设备和网管平台的监控，当攻击者利用受控机对互联网业务系统进行TCP多连接攻击，造成系统无法访问时，确保网络安全管理中心及时监测到攻击行为，确定被攻击的IP地址，系统管理人员启动应急响应预案，有效处置。5安全攻防实战演练的意义通过安全攻防实战演练能够发现系统安全运维中存在的安全意识、技术措施和应急协调等方面的不足，树立互联网安全防护一盘棋的意识，促进网络安全与应用安全的融合、促进网络安全运维部门与应用系统运维部门的合作，逐步制定和完善从演练策划、组织实施、评价总结、案例分析和持续优化的一整套网络安全攻防演练体系。增强应急响应意识，进一步完善安全事件应急处置预案，提升安全事件应急处置能力，以达到快速响应、准确定位、及时恢复的高效处置目标，有效提升新闻信息系统安全保障能力。参考文献⑴济南时代确信信息安全测评有限公司.渗透测试技术J.2011-10.⑵宋莉雅.信息安全实战演练方案设计分析企业导报，2012-01-28.