網(wǎng)絡攻防演練淺談

侯天福

（甘肅省景泰川電力提灌管理局，甘肅 景泰 730400）

0 引言

2017年6月1日起，《中華人民共和國網(wǎng)絡安全法》正式實施，將網(wǎng)絡與信息安全提升到一個新的高度。近年來，習總書記在不同場合多次談到了要加快建設網(wǎng)絡強國，而網(wǎng)絡安全是建設網(wǎng)絡強國的重要內容；為此，國家在多個領域舉辦網(wǎng)絡安全攻防演練，旨在檢驗和提高網(wǎng)絡安全防護能力，達到以演練促整改、以演練堵漏洞、以演練防風險的目的[1]。本文通過深入總結網(wǎng)絡安全攻防演練中防守單位存在的共性問題并分析問題產生的原因，以問題為導向提出解決措施，希望引起大家的重視，為網(wǎng)絡安全運維人員提供參考和借鑒。

1 網(wǎng)絡攻防演練的背景和現(xiàn)實意義

網(wǎng)絡安全和信息化事關黨的長期執(zhí)政，事關國家長治久安，事關經(jīng)濟社會發(fā)展和人民群眾福祉。黨中央、國務院高度重視網(wǎng)絡安全和信息化。今年是中國共產黨建黨100周年，也是“十四五”開局和全面建設社會主義現(xiàn)代化國家新征程開啟之年，為切實做好網(wǎng)絡與信息安全工作，近期，部門和行業(yè)多次舉行了網(wǎng)絡安全演練，目的就是以攻促防，給各個單位的網(wǎng)絡安全集中進行一次“體檢”，深刻暴露出網(wǎng)絡安全存在的問題，加強本單位網(wǎng)絡安全防護能力和應急處置能力，提升聯(lián)防聯(lián)控能力，最終通過網(wǎng)絡安全演練，有效提升廣大干部職工的網(wǎng)絡安全意識，促進網(wǎng)絡安全體系整體優(yōu)化[2]。

2 網(wǎng)絡攻防演練存在的共性問題

現(xiàn)階段，網(wǎng)絡安全問題逐漸得到了各級領導的重視，加強網(wǎng)絡安全建設成為了有關部門的年度重點工作。以往，在維護網(wǎng)絡安全時，我們大都是出現(xiàn)問題后采取防御措施，但是時間上已經(jīng)滯后，隨著現(xiàn)在信息技術的不斷發(fā)展，要求我們變被動為主動，而網(wǎng)絡安全攻防演練的應用，正是基于實戰(zhàn)模擬，讓本單位的網(wǎng)絡安全維護人員以主動形式找到網(wǎng)絡安全存在的漏洞，切實預防了網(wǎng)絡安全風險。通過參與近幾次的網(wǎng)絡安全攻防演練，我總結了以下網(wǎng)絡安全存在的共性問題。

2.1 云平臺、大數(shù)據(jù)中心網(wǎng)絡安全問題頻發(fā)，網(wǎng)絡風險隱患巨大

近年來，云計算、大數(shù)據(jù)技術成為發(fā)展的熱門，各單位也競相建立自己的云平臺、大數(shù)據(jù)中心，但是卻忽略了給云平臺、大數(shù)據(jù)中心建立有效的網(wǎng)絡安全防御體系或措施，因云平臺、大數(shù)據(jù)中心業(yè)務和數(shù)據(jù)集中，成為重點被攻擊的對象。根據(jù)CNCERT監(jiān)測數(shù)據(jù)，2019年上半年，發(fā)生在我國云平臺上的網(wǎng)絡安全事件或威脅情況相比2018年進一步加劇。首先，發(fā)生在我國主流云平臺上的各類網(wǎng)絡安全事件數(shù)量占比仍然較高，其中云平臺上遭受DDoS攻擊次數(shù)占境內目標被攻擊次數(shù)的69.6%。其次，攻擊者經(jīng)常利用我國云平臺發(fā)起網(wǎng)絡攻擊，其中利用云平臺發(fā)起對我國境內目標的DDoS攻擊次數(shù)占監(jiān)測發(fā)現(xiàn)的DDoS攻擊總次數(shù)的78.8%。另外，自2019年以來，CNCERT監(jiān)測發(fā)現(xiàn)，存在隱患的數(shù)據(jù)庫搭建在云服務商平臺上的數(shù)量占比超過40%。因此云平臺、大數(shù)據(jù)中心網(wǎng)絡威脅加劇，高危漏洞和數(shù)據(jù)泄露風險嚴峻[3]。

2.2 基層單位網(wǎng)絡安全防護措施薄弱

一是安全防范意識淡薄。不少基層干部認為，單位是內網(wǎng)，而且內網(wǎng)有專門的管理機構和人員，終端都安裝了防火墻和殺毒軟件，安全不會有問題，但是實際存在以下問題：（1）電腦終端不設置口令或者是弱口令；（2）電腦終端防火墻關閉；（3）隨意設定共享目錄，文件外泄風險大；（4）不及時更新殺毒軟件病毒庫甚至卸載殺毒軟件；（5）U盤隨意在內外網(wǎng)電腦終端插拔，容易引起電腦中毒；二是網(wǎng)絡安全設備缺乏。目前機關單位或上級單位大都配置了防火墻，但是基層單位很少配置防火墻。三是基層的網(wǎng)絡安全防護力量薄弱，大多數(shù)基層單位未配備專業(yè)技術人員，或是配備了但是一人多崗，不能做到網(wǎng)絡安全的全天候監(jiān)控，不能對非法入侵進行實時監(jiān)測。

2.3 企業(yè)內網(wǎng)網(wǎng)絡安全防護能力不足

小微企業(yè)和初創(chuàng)企業(yè)因面臨資金壓力，在企業(yè)內網(wǎng)網(wǎng)絡安全建設上投入較少，不僅面臨網(wǎng)絡安全設備缺乏而且缺乏網(wǎng)絡安全管理專業(yè)維護力量，不能形成基本的網(wǎng)絡安全防護能力，成為網(wǎng)絡安全風險高發(fā)區(qū)域。

2.4 重點行業(yè)單位無工控安全審計系統(tǒng)和無精細化管理

超過80%涉及國計民生的關鍵基礎設施依靠工業(yè)控制系統(tǒng)來實現(xiàn)自動化作業(yè)。工業(yè)控制系統(tǒng)已經(jīng)成為國家關鍵基礎設施的重要組成部分，隨著工業(yè)信息化快速發(fā)展，工業(yè)化與信息化的融合趨勢越來越明顯，工控系統(tǒng)的開放也給工控系統(tǒng)帶來一系列安全威脅，工控系統(tǒng)存在大量用戶誤操作、用戶違規(guī)操作、非法設備接入行為，缺乏有效手段對攻擊及違規(guī)操作進行檢測?，F(xiàn)有的工業(yè)控制系統(tǒng)缺乏對用戶操作、網(wǎng)絡行為的審計措施，導致安全事故分析取證困難。工控系統(tǒng)資產復雜、設備種類繁多、運行時間久、資產不清楚。傳統(tǒng)的網(wǎng)絡安全檢查手段與檢測設備通常采用模擬攻擊的主動掃描方式進行，這種方式對工控網(wǎng)絡有巨大風險，在某些工業(yè)網(wǎng)絡環(huán)境下等同于網(wǎng)絡攻擊，可能導致工控設備宕機、工控通信延遲等生產性事故，對能源、公共事業(yè)、電力等行業(yè)而言是絕不允許的，因此部署工控安全審計系統(tǒng)是必需的，安裝后可以發(fā)現(xiàn)工業(yè)網(wǎng)絡內部的潛在安全風險，及時通知用戶采取安全措施，加強工業(yè)控制系統(tǒng)的安全防護和實現(xiàn)精細化管理[4]。

2.5 敏感信息泄露

近年來，針對消費者個人信息“竊取”、“非法使用”的黑色產業(yè)鏈呈現(xiàn)出低成本、高技術、高回報的暴發(fā)式增長態(tài)勢，消費者因個人信息泄露導致的損失數(shù)目驚人。同樣單位重要信息泄露事件也頻頻發(fā)生，進一步對信息泄露的原因進行分析，可以發(fā)現(xiàn)，主要原因為對信息安全的重視程度不能夠適應科技的快速變革及發(fā)展。隨著近年來科技的發(fā)展，特別是移動互聯(lián)網(wǎng)得到了長足的發(fā)展，基本上可以做到一個手機解決所有事情，但是便利的同時，安全性并未得到同樣的提升，而是增加了數(shù)據(jù)泄露的途徑，降低了不法分子獲取敏感數(shù)據(jù)的難度，進而導致了個人信息的非授權的使用和泄露。

2.6 網(wǎng)絡資產和邊界不清

家底不清，資產不明，不是技術問題，而是管理的問題。很多單位因業(yè)務量不斷增多，隨之網(wǎng)絡設備也越來越多，但是網(wǎng)絡設備臺賬確沒有建立起來或者是沒有建立起有效的網(wǎng)絡設備臺賬。作為負責單位網(wǎng)絡安全的管理人員必須明白資產始終是安全管理的基石，伴隨攻防演習的常態(tài)化，應當構建和完善資產安全運營。否則，當發(fā)生真正的網(wǎng)絡安全事件時都不知道問題出在哪里，通過哪臺設備被入侵，網(wǎng)絡安全運維人員只有資產清才能做到心中有數(shù)。

2.7 發(fā)現(xiàn)網(wǎng)絡安全問題處置能力不足

單位的網(wǎng)絡安全運維人員涉及專業(yè)知識程度高，而且要有一定的經(jīng)驗。近年來，國家面臨的網(wǎng)絡安全形勢還很嚴峻，各專業(yè)院校也積極響應國家號召，設置了網(wǎng)絡安全方面的專業(yè)，但是網(wǎng)絡安全從上到下都要有專業(yè)人員進行負責，在縣級城市的網(wǎng)絡安全專業(yè)畢業(yè)生少之又少，這就導致了負責本單位網(wǎng)絡安全的人員都不是專業(yè)人員，在發(fā)生網(wǎng)絡安全入侵事件時，無能力及時進行應對。

2.8 網(wǎng)絡安全漏洞、弱口令長期存在

一是通過近年來多次的網(wǎng)絡攻防演練發(fā)現(xiàn)，部分單位一些業(yè)務系統(tǒng)長期存在弱口令漏洞，攻擊隊伍利用此漏洞很快就控制了該業(yè)務系統(tǒng)，甚至被通報后，一些單位還沒有及時整改，再次攻防演練時又被發(fā)現(xiàn)弱口令漏洞；二是業(yè)務服務器存在系統(tǒng)漏洞，管理人員未對該業(yè)務服務器進行有效的維護升級，導致業(yè)務服務器網(wǎng)絡安全漏洞長期存在，被攻擊隊伍利用進而控制了整個業(yè)務系統(tǒng)。

3 如何加強網(wǎng)絡安全

3.1 加強組織管理

一是建立本單位的網(wǎng)絡安全組織機構，統(tǒng)籌解決本單位網(wǎng)絡安全和信息化工作中出現(xiàn)的重大問題；督促推動網(wǎng)絡安全的建設規(guī)劃、政策及頂層設計的落實，組織落實并制定網(wǎng)絡安全相關管理制度和網(wǎng)絡安全技術防護措施，為網(wǎng)絡安全工作的開展提供保障；二是建立行之有效的網(wǎng)絡安全管理制度，強化網(wǎng)絡安全運維人員的責任意識；三是建立本單位的網(wǎng)絡安全應急預案，不斷完善和加強預案演練，最終實現(xiàn)網(wǎng)絡安全體系的整體優(yōu)化[5]。

3.2 加強技術防護

一方面根據(jù)本單位的網(wǎng)絡架構體系，及時購買必要的網(wǎng)絡安全設備，變被動防御為主動防御，同時加強對防火墻、網(wǎng)絡入侵與檢測、漏洞掃描、上網(wǎng)行為管理等網(wǎng)絡安全設備的日常監(jiān)管和應用，不要重建設而輕管理。另一方面網(wǎng)絡安全運維人員要定期做好網(wǎng)絡安全設備的升級與維護，及時更新病毒庫，提高網(wǎng)絡安全防護水平。

3.3 加強職工網(wǎng)絡安全教育培訓

單位的網(wǎng)絡安全與職工的上網(wǎng)行為有著密切的關系，應對廣大職工進行網(wǎng)絡安全教育培訓，這是最直接有效的方法，積極引導單位職工文明上網(wǎng)，安全上網(wǎng)，加強用戶終端的密碼設置，不隨意在電腦上插拔優(yōu)盤和點擊不明鏈接，同時應加強對單位網(wǎng)絡安全運維人員的技術培訓，提高其網(wǎng)絡安全的防護水平。

4 結語

網(wǎng)絡安全已經(jīng)成為人們不能忽視的重大問題。而保護好網(wǎng)絡安全是一項長久、復雜而又艱巨的任務。面對各種各樣的網(wǎng)絡攻擊，政府要出臺相關法律法規(guī)保護的同時，單位負責人也要充分認識到網(wǎng)絡安全的重要性，切實加強本單位的網(wǎng)絡安全組織管理，從被動防御向主動防御模式轉變，及時購買必要的網(wǎng)絡安全設備，組織網(wǎng)絡安全運維人員摸清網(wǎng)絡設備資產，充分利用網(wǎng)絡安全設備加強日常防護管理，有效建立起本單位的網(wǎng)絡安全防護體系。此外要加強對本單位職工的網(wǎng)絡安全教育普及，形成良好的上網(wǎng)行為習慣，加強保密管理，進一步建立單位職工的網(wǎng)絡安全意識。