基于網(wǎng)絡(luò)安全攻防演習(xí)的縱深防御體系建設(shè)

張 偉，郭衛(wèi)霞，楊國(guó)玉

(中國(guó)大唐集團(tuán)科學(xué)技術(shù)研究院，北京 100043)

0 引言

十八大以來，以習(xí)近平同志為核心的黨中央高度重視網(wǎng)絡(luò)安全和信息化工作[1]，習(xí)近平總書記強(qiáng)調(diào)“沒有網(wǎng)絡(luò)安全就沒有國(guó)家安全”，廣大人民群眾利益也難以得到保障，強(qiáng)調(diào)要把金融、能源、電力、通信、交通等領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施作為網(wǎng)絡(luò)安全防護(hù)的重中之重[2]。電力系統(tǒng)作為現(xiàn)代社會(huì)的關(guān)鍵信息基礎(chǔ)設(shè)施之一，是經(jīng)濟(jì)社會(huì)運(yùn)行的神經(jīng)中樞，也是網(wǎng)絡(luò)攻擊的重點(diǎn)目標(biāo)[3]。近年以來，國(guó)內(nèi)外網(wǎng)絡(luò)安全形勢(shì)不容樂觀，面對(duì)復(fù)雜多變的國(guó)際形勢(shì)以及國(guó)內(nèi)社會(huì)轉(zhuǎn)型期不斷產(chǎn)生的新的社會(huì)沖突和矛盾，各類敵對(duì)勢(shì)力一直妄圖對(duì)我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行破壞，以期造成不良社會(huì)影響。國(guó)外已經(jīng)有了委內(nèi)瑞拉人為造成接連兩次發(fā)生大停電的例子，給當(dāng)?shù)匕傩盏恼Ｉa(chǎn)、生活、社會(huì)穩(wěn)定、國(guó)家安全造成極大影響，所以網(wǎng)絡(luò)安全防護(hù)[4-6]迫在眉睫。對(duì)此，習(xí)近平總書記做出重要批示，要求防范電力戰(zhàn)潛在重大風(fēng)險(xiǎn)。

目前電力行業(yè)的網(wǎng)絡(luò)安全防護(hù)[7-10]仍面臨著巨大的挑戰(zhàn)。系統(tǒng)核心軟硬件設(shè)備嚴(yán)重依賴國(guó)外廠商提供的軟硬件產(chǎn)品；同時(shí)，電力監(jiān)控系統(tǒng)信息安全防護(hù)薄弱，網(wǎng)絡(luò)接入管理混亂；信息安全保障能力不足，核心系統(tǒng)依賴國(guó)外廠商運(yùn)維；一線工業(yè)控制系統(tǒng)使用人員信息系統(tǒng)及信息安全方面的知識(shí)儲(chǔ)備不足，信息安全意識(shí)淡薄，無完善的突發(fā)信息安全事件應(yīng)急響應(yīng)措施?？傮w來看，我國(guó)工業(yè)控制系統(tǒng)面臨較多問題和威脅，急需加大工業(yè)控制系統(tǒng)信息安全方面的投入，全面提升工業(yè)控制系統(tǒng)信息安全防護(hù)水平。

切實(shí)加強(qiáng)網(wǎng)絡(luò)安全防護(hù)，提高網(wǎng)絡(luò)安全防護(hù)意識(shí)，必須從實(shí)踐出發(fā)，熟知目前網(wǎng)絡(luò)安全存在的問題和防護(hù)手段，才能兵來將擋，水來土掩，見招拆招。網(wǎng)絡(luò)安全攻防演習(xí)的目的，一是及時(shí)整改深層次網(wǎng)絡(luò)安全問題和隱患，提升綜合防護(hù)能力和應(yīng)急處置能力；二是加強(qiáng)參演各單位、社會(huì)力量與公安機(jī)關(guān)協(xié)同作戰(zhàn)；三是提高攻防雙方技術(shù)能力；四是總結(jié)網(wǎng)絡(luò)安全態(tài)勢(shì)，形成網(wǎng)絡(luò)安全評(píng)估報(bào)告，供上級(jí)決策。

1 網(wǎng)絡(luò)安全隱患分析

通過各種防護(hù)監(jiān)測(cè)可以發(fā)現(xiàn)企業(yè)存在較多安全隱患問題，其中急需解決的是針對(duì)企業(yè)內(nèi)所有內(nèi)外網(wǎng)設(shè)備進(jìn)行殺毒處理。因?yàn)樯a(chǎn)和辦公的工作需要，大部分主機(jī)處于長(zhǎng)時(shí)間運(yùn)行并且防護(hù)手段甚微的狀態(tài)，所以很有可能早已通過各種方式被種下病毒，潛伏在企業(yè)的內(nèi)部網(wǎng)絡(luò)中，時(shí)刻都可能對(duì)企業(yè)的系統(tǒng)造成威脅。安全防護(hù)設(shè)備還發(fā)現(xiàn)了各種操作系統(tǒng)以及個(gè)人郵箱仍存在許多弱口令現(xiàn)象，修改弱口令是最基本的網(wǎng)絡(luò)安全防護(hù)意識(shí)，弱口令也是黑客入侵最簡(jiǎn)單常用的手段之一，從中獲取內(nèi)部信息和涉密文件。同時(shí)通過對(duì)內(nèi)網(wǎng)流量的監(jiān)測(cè)，發(fā)現(xiàn)有利用“QQ_TIM、WeChatVioceChat”協(xié)議進(jìn)行登錄外網(wǎng)的現(xiàn)象，普通員工的個(gè)人終端防護(hù)設(shè)備較低，又存在同時(shí)連接內(nèi)外網(wǎng)的現(xiàn)象，很容易被黑客惡意利用并獲取利益，這也是造成主機(jī)中毒的一種原因，如果中毒主機(jī)的使用者不注意，使用普通U盤給他人傳遞資料，那么很有可能造成大部分病毒傳播。弱口令、個(gè)人終端同時(shí)連接內(nèi)外網(wǎng)和U盤濫用的現(xiàn)象都可以通過提升管理手段和網(wǎng)絡(luò)安全意識(shí)去杜絕，加強(qiáng)網(wǎng)絡(luò)安全培訓(xùn)，建設(shè)網(wǎng)絡(luò)安全考核制度都是有效的手段。

攻擊方進(jìn)攻企業(yè)系統(tǒng)可以總結(jié)為三種方式：社工入侵、系統(tǒng)入侵和口令破解。社工入侵指的是社會(huì)工程學(xué)攻擊，企業(yè)通過日常的嚴(yán)格準(zhǔn)入把控，可以杜絕身份不明人員亂入企業(yè)等現(xiàn)象。系統(tǒng)入侵大部分可以被入侵檢測(cè)系統(tǒng)（主要為入侵檢測(cè)軟件和硬件的組合）所阻斷，針對(duì)惡意IP能夠通過各種防御設(shè)備拉黑、封禁，針對(duì)各個(gè)官網(wǎng)網(wǎng)站的攻擊及時(shí)發(fā)現(xiàn)并處置，運(yùn)維人員通過技術(shù)手段禁止遠(yuǎn)程軟件的運(yùn)行和操作，包括常用的TeamViewer、QQ遠(yuǎn)程以及系統(tǒng)自帶遠(yuǎn)程工具等，可以有效地防止攻擊者利用遠(yuǎn)程漏洞進(jìn)行非法入侵。口令破解指的是針對(duì)各個(gè)操作系統(tǒng)或者郵箱進(jìn)行口令的暴力破解，企業(yè)通過歷年來對(duì)等級(jí)保護(hù)[11-12]和風(fēng)險(xiǎn)評(píng)估的重視，可以基本上杜絕弱口令的現(xiàn)象。

2 網(wǎng)絡(luò)安全攻防演習(xí)戰(zhàn)略體系

定期進(jìn)行網(wǎng)絡(luò)安全攻防演習(xí)對(duì)于企業(yè)來說是十分必要的，通過網(wǎng)絡(luò)安全攻防演習(xí)，可以及時(shí)發(fā)現(xiàn)企業(yè)內(nèi)現(xiàn)存的網(wǎng)絡(luò)安全隱患，提上日程并及時(shí)處理，可以有效提升企業(yè)整體網(wǎng)絡(luò)的安全防護(hù)能力。

在演習(xí)期間，實(shí)現(xiàn)具備全面的信息安全保障能力，具備全面的信息安全事件監(jiān)控預(yù)警能力，在全面防護(hù)的同時(shí)實(shí)時(shí)監(jiān)控信息安全態(tài)勢(shì)[13]，發(fā)現(xiàn)安全事件立即處置，將各種威脅及風(fēng)險(xiǎn)降到最低，主要通過“人防+技防”綜合防護(hù)手段進(jìn)行保障本次工作。

網(wǎng)絡(luò)安全攻防演習(xí)[14-15]主要通過技術(shù)和管理的方式進(jìn)行安全防護(hù)建設(shè)，整體戰(zhàn)略部署體系如圖1所示，在管理方面需要事前劃分工作小組，通過隱患排查、防護(hù)提升、實(shí)戰(zhàn)保障等階段各小組相互配合，保障網(wǎng)絡(luò)安全；在技術(shù)方面主要體現(xiàn)為縱深防御體系的建設(shè)，通過治、梳、查、保、警等方面實(shí)現(xiàn)主動(dòng)防御。

圖1 網(wǎng)絡(luò)安全攻防演習(xí)戰(zhàn)略體系

3 安全防護(hù)管理體系建設(shè)

網(wǎng)絡(luò)安全攻防演習(xí)在管理方面的安全防護(hù)建設(shè)主要是通過事前清晰劃分工作界面，將工作小組分為監(jiān)測(cè)分析組、專家研判組、應(yīng)急處置組、運(yùn)維保障組和通信上報(bào)組，通過自我研發(fā)的工作上報(bào)平臺(tái)，各工作小組各司其職，高效配合，以實(shí)現(xiàn)項(xiàng)目周期中有條不紊地開展工作。

3.1 隱患排查

對(duì)集團(tuán)公司總部保障對(duì)象與重要信息系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全隱患排查，核實(shí)對(duì)于物理環(huán)境、通信網(wǎng)絡(luò)、區(qū)域邊界、計(jì)算環(huán)境層面的各項(xiàng)防護(hù)措施是否落實(shí)到位。

(1)各類場(chǎng)所物理防護(hù)檢查，檢查內(nèi)容包括：物業(yè)、機(jī)房等場(chǎng)所的物理訪問控制、防盜竊及防破壞、防火、電力供應(yīng)、裸露設(shè)備接口管理、U盤使用規(guī)定以及現(xiàn)場(chǎng)人員管理規(guī)定等情況。

(2)終端設(shè)備安全檢查，檢查內(nèi)容包括：終端的物理防護(hù)、設(shè)備接口管控、桌面管控、防病毒軟件的部署情況、接入內(nèi)網(wǎng)的終端殺毒情況等。

(3)網(wǎng)絡(luò)邊界安全檢查，檢查內(nèi)容包括：各生產(chǎn)大區(qū)與管理大區(qū)的物理隔離情況、互聯(lián)網(wǎng)邊界的安全防護(hù)情況、與第三方網(wǎng)絡(luò)邊界的安全防護(hù)情況、各類終端的安全接入情況，重要網(wǎng)絡(luò)邊界的防護(hù)設(shè)備策略配置規(guī)范、設(shè)備管理規(guī)范、操作規(guī)范、系統(tǒng)性能、賬號(hào)與口令、日志與審計(jì)等。對(duì)互聯(lián)網(wǎng)服務(wù)情況進(jìn)行統(tǒng)計(jì)分析，根據(jù)各自的網(wǎng)絡(luò)安全主體責(zé)任做好有效防護(hù)。

(4)系統(tǒng)資產(chǎn)的整體梳理，對(duì)內(nèi)部資產(chǎn)情況進(jìn)行摸底，重點(diǎn)是探知本單位資產(chǎn)情況，掌握資產(chǎn)分布情況，分別從互聯(lián)網(wǎng)暴露面、內(nèi)網(wǎng)資產(chǎn)、重點(diǎn)保護(hù)資產(chǎn)、僵尸網(wǎng)站、狀態(tài)異常/不合規(guī)資產(chǎn)等方面進(jìn)行梳理，梳理一共有多少資產(chǎn)(硬件資產(chǎn)、軟件資產(chǎn)、信息數(shù)據(jù)資產(chǎn)等)、有多少種類型的資產(chǎn)、誰在使用這些資產(chǎn)、誰能使用這些資產(chǎn)、資產(chǎn)的對(duì)應(yīng)責(zé)任人信息、是否滿足等保要求、資產(chǎn)存在什么樣的風(fēng)險(xiǎn)點(diǎn)、如何規(guī)避風(fēng)險(xiǎn)、有多少臨時(shí)性資產(chǎn)等，通過對(duì)資產(chǎn)在線狀態(tài)、設(shè)備指紋信息、服務(wù)端口信息和應(yīng)用指紋信息畫像，從而了解數(shù)據(jù)中心中資產(chǎn)分布狀況。

(5)高危漏洞發(fā)現(xiàn)與處理，確保本單位漏洞掃描設(shè)備漏洞庫已升級(jí)至最新，開展漏洞掃描及修復(fù)工作，對(duì)集團(tuán)公司總部11個(gè)重要信息系統(tǒng)做了滲透測(cè)試，提供內(nèi)外部攻防力量，對(duì)系統(tǒng)進(jìn)行兩輪滲透測(cè)試，充分發(fā)現(xiàn)信息系統(tǒng)安全隱患，切實(shí)整改。

3.2 防護(hù)提升

安全設(shè)備上線運(yùn)行后，以最小化原則對(duì)所有安全設(shè)備防護(hù)策略進(jìn)行梳理，重點(diǎn)核查遠(yuǎn)程連接等高危策略，去除冗余、過期、無效、重復(fù)的安全策略，加強(qiáng)內(nèi)外網(wǎng)雙向防護(hù)。建議對(duì)各單位強(qiáng)化公網(wǎng)準(zhǔn)入控制，強(qiáng)化SIM卡準(zhǔn)入機(jī)制，做好APN設(shè)置，針對(duì)遺失終端、嫌疑終端及時(shí)斷網(wǎng)。

(1)采取縱深防御策略，綜合利用多樣化的防御手段，網(wǎng)絡(luò)威脅情報(bào)聯(lián)防處置平臺(tái)(網(wǎng)盾K01)—防火墻—Web應(yīng)用防護(hù)系統(tǒng)(Web Application Firewall，WAF)，在多樣化的縱深維度上布置層層防線，構(gòu)建有效的縱深防御能力體系。

(2)構(gòu)建合理的網(wǎng)絡(luò)架構(gòu)，通過合理的網(wǎng)絡(luò)分區(qū)及在其上疊加的區(qū)域間數(shù)據(jù)流控制機(jī)制，可以有效防止惡意代碼在網(wǎng)內(nèi)的橫向滲透與傳播，也可以有效避免存在風(fēng)險(xiǎn)的終端或服務(wù)器被攻擊者利用作為跳板對(duì)網(wǎng)內(nèi)其他系統(tǒng)進(jìn)行攻擊試探。

(3)補(bǔ)丁管理，通過漏洞修復(fù)和補(bǔ)丁管理的動(dòng)態(tài)機(jī)制，給出具體的建議操作和對(duì)應(yīng)操作的預(yù)期結(jié)果，可有效同步漏洞信息、感知漏洞存在，進(jìn)而實(shí)施漏洞修復(fù)和補(bǔ)丁管理，防御和緩解漏洞利用。

(4)通信傳輸安全，為保障數(shù)據(jù)通信傳輸安全，在通信前應(yīng)當(dāng)基于密碼技術(shù)對(duì)通信的雙方進(jìn)行驗(yàn)證或認(rèn)證；在數(shù)據(jù)的通信傳輸過程中，應(yīng)當(dāng)采用密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性、保密性。

(5)設(shè)備加固，網(wǎng)絡(luò)層安全加固：主要從通信協(xié)議和服務(wù)、邊界防護(hù)兩方面進(jìn)行加固。通信協(xié)議和服務(wù)：關(guān)閉網(wǎng)絡(luò)不必用的功能和端口，關(guān)閉所有默認(rèn)開啟但是非必需的服務(wù)；常用協(xié)議的對(duì)應(yīng)的端口要嚴(yán)格把控，避免未經(jīng)授權(quán)的調(diào)用。邊界防護(hù)：部署流量過濾設(shè)備，制定過濾策略，嚴(yán)格把控進(jìn)出流量；部署流量監(jiān)測(cè)設(shè)備，針對(duì)異常流量需及時(shí)報(bào)警、響應(yīng)。無論是采用傳統(tǒng)防火墻還是多重安全網(wǎng)關(guān)，抑或是網(wǎng)閘技術(shù)，都需要根據(jù)業(yè)務(wù)需求和實(shí)際網(wǎng)絡(luò)情況及時(shí)更新規(guī)則和策略。

(6)日志記錄，對(duì)所有網(wǎng)絡(luò)設(shè)備及網(wǎng)絡(luò)安全設(shè)備的運(yùn)行情況、管理登錄與操作情況、網(wǎng)絡(luò)通信情況等信息進(jìn)行日志記錄，提供數(shù)據(jù)輸出。對(duì)主機(jī)系統(tǒng)運(yùn)行情況、用戶訪問情況等信息進(jìn)行日志記錄，并提供數(shù)據(jù)輸出。對(duì)應(yīng)用系統(tǒng)運(yùn)行情況、用戶訪問情況等信息進(jìn)行日志記錄，并提供數(shù)據(jù)輸出。日志需存儲(chǔ)在指定位置，不得被越權(quán)訪問。

(7)基礎(chǔ)應(yīng)用安全加固，基礎(chǔ)應(yīng)用（如郵件、Web服務(wù)器）加固需要制定一套總領(lǐng)的安全加固規(guī)范，遵循安裝與加固一體化的原則。

(8)高級(jí)威脅檢測(cè)，采用高級(jí)威脅檢測(cè)設(shè)備(APT)，對(duì)網(wǎng)絡(luò)中存在的各種病毒傳輸、攻擊事件、可疑流量等進(jìn)行實(shí)時(shí)監(jiān)測(cè)，并輸出網(wǎng)絡(luò)流量日志與威脅檢測(cè)結(jié)果。實(shí)現(xiàn)了基于網(wǎng)絡(luò)的全局威脅檢測(cè)，及對(duì)網(wǎng)絡(luò)威脅行為的精細(xì)定位與溯源，快速處理網(wǎng)絡(luò)威脅事件。

3.3 實(shí)戰(zhàn)保障

各級(jí)指揮部集中監(jiān)控指揮，各單位落實(shí)全天候重保工作要求，制定人員排班計(jì)劃。

(1)落實(shí)特殊時(shí)段系統(tǒng)關(guān)停/隔離措施，根據(jù)前期制定的系統(tǒng)關(guān)停/隔離策略，結(jié)合特保時(shí)段和攻擊強(qiáng)度對(duì)信息內(nèi)、外網(wǎng)以及相關(guān)系統(tǒng)按照計(jì)劃完成關(guān)停/隔離。

(2)全天候值守和應(yīng)急響應(yīng)，落實(shí)監(jiān)控、應(yīng)急方案和全天候值班計(jì)劃，全力做好正式演習(xí)過程中的安全防護(hù)工作。各部門加強(qiáng)物理場(chǎng)所的安全巡視，尤其是戶外場(chǎng)所、戶外設(shè)備的安全巡視，確保萬無一失，嚴(yán)格控制辦公場(chǎng)所、營(yíng)業(yè)場(chǎng)所中辦公區(qū)域的人員出入，執(zhí)行出入登記、人員接送制度，關(guān)鍵部位由安保部門確保安防措施到位、防范物理入侵。

(3)加強(qiáng)互聯(lián)網(wǎng)邊界、內(nèi)外網(wǎng)邊界、內(nèi)網(wǎng)第三方邊界等邊界處的監(jiān)測(cè)，具備異常流量發(fā)現(xiàn)能力。監(jiān)控人員應(yīng)具有基于流量的安全分析能力、具有對(duì)APT等特殊攻擊行為的安全監(jiān)測(cè)能力，確保網(wǎng)絡(luò)攻擊行為能夠被記錄，能夠及時(shí)發(fā)現(xiàn)。第一時(shí)間收集網(wǎng)絡(luò)攻擊信息，通過錄屏、截屏等方式保存證據(jù)，并及時(shí)通報(bào)應(yīng)急處置組和通信上報(bào)組，落實(shí)“零匯報(bào)”、事件快報(bào)制度，在每日攻擊結(jié)束時(shí)以日?qǐng)?bào)形式報(bào)送當(dāng)天工作情況。

(4)充分研究攻擊特征，精準(zhǔn)定位攻擊行為，加強(qiáng)對(duì)攻擊事件的監(jiān)測(cè)分析和應(yīng)急處置。應(yīng)急處置組對(duì)于發(fā)現(xiàn)的攻擊行為通過網(wǎng)絡(luò)阻斷、物理隔離等方式及時(shí)處置各類攻擊事件，對(duì)發(fā)現(xiàn)的問題及時(shí)處置整改。應(yīng)急處置組根據(jù)發(fā)現(xiàn)的設(shè)備運(yùn)行基線越限情況，及時(shí)進(jìn)行比對(duì)、查殺、處理，將破環(huán)降低到最小，避免數(shù)據(jù)泄露。同時(shí)做好內(nèi)外部溝通聯(lián)動(dòng)工作。演習(xí)全程做好監(jiān)控和應(yīng)急工作的全過程記錄。

(5)實(shí)施聯(lián)絡(luò)上報(bào)機(jī)制，信息中心做好與公安機(jī)關(guān)的對(duì)接與交流工作，對(duì)于非本次演習(xí)內(nèi)的攻擊行為聯(lián)合公安機(jī)關(guān)做好發(fā)現(xiàn)攻擊后的證據(jù)收集和舉證。信息中心與公安機(jī)關(guān)保持密切聯(lián)系，學(xué)習(xí)往年演習(xí)工作經(jīng)驗(yàn)，向公司各單位實(shí)時(shí)通報(bào)演習(xí)注意事項(xiàng)、演習(xí)最新情報(bào)，合理利用演習(xí)規(guī)則，讓公司在演習(xí)中掌握主動(dòng)權(quán)。

4 縱深防御體系建設(shè)

網(wǎng)絡(luò)安全攻防演習(xí)在技術(shù)方面的安全防護(hù)建設(shè)主要體現(xiàn)為縱深防御體系的建設(shè)[16-17]，分為事前和事中，事前通過“治”、“梳”、“查”，事中通過“?！?、“警”，實(shí)現(xiàn)防御能力的建設(shè)。同時(shí)，結(jié)合后端情報(bào)系統(tǒng)提供的信息進(jìn)行聯(lián)動(dòng)防御，主動(dòng)封鎖入侵路徑。

(1)資產(chǎn)治理(治)。Web應(yīng)用安全綜合治理系統(tǒng)利用被動(dòng)自學(xué)習(xí)方式針對(duì)內(nèi)部資產(chǎn)進(jìn)行高效快速梳理，通過自動(dòng)化檢測(cè)僵尸網(wǎng)站、Webshell等安全隱患，并利用應(yīng)用間業(yè)務(wù)關(guān)系，關(guān)閉不必要的信息系統(tǒng)。

(2)策略梳理(梳)。梳理業(yè)務(wù)邏輯，規(guī)范安全設(shè)備防護(hù)策略配置，開展檢查、監(jiān)測(cè)、整改工作，針對(duì)邊界防護(hù)策略進(jìn)行梳理，原則上使用端口級(jí)的防火墻策略進(jìn)行開放。

(3)風(fēng)險(xiǎn)排查(查)。采用一體化漏洞掃描開展高危端口治理排查梳理工作，形成高危端口臺(tái)賬，加強(qiáng)端口管控；開展操作系統(tǒng)及應(yīng)用系統(tǒng)漏洞掃描和挖掘工作，建立漏洞隱患庫，落實(shí)閉環(huán)整改要求。開展賬號(hào)實(shí)名制、業(yè)務(wù)及平臺(tái)類賬號(hào)弱口令及權(quán)限最小化專項(xiàng)排查治理工作，包括但不限于辦公終端、打印機(jī)等啞終端、自建系統(tǒng)、網(wǎng)絡(luò)設(shè)備等。

(4)安全保障(保)。高級(jí)威脅分析系統(tǒng)、攻擊防護(hù)、安全掃描、主機(jī)加固、失控主機(jī)發(fā)現(xiàn)、防火墻策略加固，信息安全評(píng)估、安全咨詢、安全值守、資產(chǎn)梳理，應(yīng)急響應(yīng)、安全培訓(xùn)。

(5)攻擊預(yù)警(警)?；诓渴鸬母呒?jí)可持續(xù)性威脅檢測(cè)系統(tǒng)針實(shí)時(shí)監(jiān)測(cè)發(fā)現(xiàn)的惡意文件、遠(yuǎn)程控制、僵尸網(wǎng)絡(luò)、Webshell探測(cè)等風(fēng)險(xiǎn)狀況，針對(duì)攻擊事件一點(diǎn)發(fā)現(xiàn)，通過利用Web應(yīng)用防火墻和K01等安全防護(hù)產(chǎn)品實(shí)現(xiàn)全網(wǎng)阻斷。

通過“資產(chǎn)治理，外防內(nèi)控”達(dá)到實(shí)現(xiàn)信息安全的動(dòng)態(tài)防御及主動(dòng)防護(hù)要求(主動(dòng)出擊)，實(shí)現(xiàn)將信息安全運(yùn)維服務(wù)和安全設(shè)備能力進(jìn)行有機(jī)融和，提升整體系統(tǒng)的信息安全運(yùn)維服務(wù)的能力，切實(shí)保障信息安全和各業(yè)務(wù)系統(tǒng)能安全可靠運(yùn)行，通過專業(yè)安全服務(wù)力量提供針對(duì)信息系統(tǒng)保障安全解決方案，最大限度降低業(yè)務(wù)的安全風(fēng)險(xiǎn)，提高業(yè)務(wù)系統(tǒng)安全運(yùn)營(yíng)和防護(hù)水平。

5 結(jié)論

本文對(duì)目前電力企業(yè)存在的網(wǎng)絡(luò)安全問題進(jìn)行了剖析，總結(jié)分析出企業(yè)在安全設(shè)備維護(hù)不到位、人員行為操作不規(guī)范以及安全防護(hù)意識(shí)薄弱等方面存在的安全隱患，使得企業(yè)存在可能會(huì)被黑客或病毒入侵的風(fēng)險(xiǎn)。同時(shí)，針對(duì)于上述安全風(fēng)險(xiǎn)和隱患，本文提出了一種基于網(wǎng)絡(luò)安全攻防演習(xí)的縱深防御體系，主要體現(xiàn)在管理和技術(shù)兩方面，通過“人防+技防”進(jìn)行綜合的安全防護(hù)建設(shè)，保障企業(yè)網(wǎng)絡(luò)安全。

網(wǎng)絡(luò)安全攻防演習(xí)對(duì)于企業(yè)來說不能僅僅只是一次演習(xí)行動(dòng)，更應(yīng)該對(duì)未來的安全生產(chǎn)運(yùn)行提供前車之鑒和保底機(jī)制，將通過網(wǎng)絡(luò)安全攻防演習(xí)發(fā)現(xiàn)的問題提上日程并及時(shí)處理才是網(wǎng)絡(luò)安全攻防演習(xí)的目的所在。通過網(wǎng)絡(luò)安全攻防演習(xí)，可以有效提升企業(yè)整體網(wǎng)絡(luò)的安全防護(hù)能力，為今后的安全生產(chǎn)和實(shí)戰(zhàn)奠定良好的基礎(chǔ)。