劉陽

摘 要：開展網(wǎng)絡(luò)安全攻防實(shí)戰(zhàn)演練，針對面向互聯(lián)網(wǎng)的業(yè)務(wù)系統(tǒng)，模擬黑客入侵和攻擊，發(fā)現(xiàn)安全漏洞和隱患，有效識別、分析和控制信息系統(tǒng)安全風(fēng)險(xiǎn)，將有效提升運(yùn)維人員安全意識和安全突發(fā)事件處置能力，提升信息系統(tǒng)安全保障能力 。論文結(jié)合面向新聞信息系統(tǒng)開展安全攻防演練的工作實(shí)踐，對攻防實(shí)戰(zhàn)演練的部署與方案設(shè)計(jì)進(jìn)行分析與探討。

關(guān)鍵詞：信息安全； 攻防演練； 部署； 項(xiàng)目設(shè)計(jì)

中圖分類號： TP393.08 文獻(xiàn)標(biāo)識碼：B

1 引言

安全攻防實(shí)戰(zhàn)演練是維護(hù)網(wǎng)絡(luò)與信息系統(tǒng)安全的重要手段，是有效提升網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)和處置能力的基礎(chǔ)。作為新聞媒體行業(yè)，隨著新媒體事業(yè)的發(fā)展，新聞信息載體、傳播渠道快速更新，移動(dòng)應(yīng)用、社交媒體日益成為信息傳播重要陣地。在應(yīng)用新技術(shù)新手段，為用戶提供更加豐富的新聞產(chǎn)品，擴(kuò)大社會影響力的同時(shí)，對有效保障新聞報(bào)道業(yè)務(wù)安全，保障網(wǎng)絡(luò)與信息系統(tǒng)安全提出更高要求。

開展網(wǎng)絡(luò)安全攻防實(shí)戰(zhàn)演練，針對面向互聯(lián)網(wǎng)的業(yè)務(wù)系統(tǒng)，模擬黑客入侵和攻擊，發(fā)現(xiàn)安全漏洞和隱患，有效識別、分析和控制信息系統(tǒng)安全風(fēng)險(xiǎn)。促進(jìn)統(tǒng)一指揮、協(xié)調(diào)有序的安全應(yīng)急管理機(jī)制的落實(shí)，完善安全事件防范與處置流程，提升運(yùn)維人員安全意識和安全突發(fā)事件處置能力。

2 安全攻防演練的部署

安全攻防演練是在真實(shí)的網(wǎng)絡(luò)環(huán)境中進(jìn)行攻擊、防御，發(fā)現(xiàn)并解決存在的安全問題，為提升網(wǎng)絡(luò)與信息安全保障能力積累經(jīng)驗(yàn)。攻防演練既要做到對業(yè)務(wù)系統(tǒng)具有破壞性，又不影響整體信息系統(tǒng)的正常使用；既有危害性，又具有可控性。為了達(dá)到攻防演練力求實(shí)效、管控有序，造成的風(fēng)險(xiǎn)降到最低，需要對實(shí)戰(zhàn)演練進(jìn)行認(rèn)真部署。

（1）建立攻防演練組織指揮中心，負(fù)責(zé)演練的統(tǒng)一部署、組織協(xié)調(diào)和過程控制，確保演練工作安全推進(jìn)，達(dá)到預(yù)期目標(biāo)。成立演練工作組，負(fù)責(zé)制定演練總體方案、評估演練對業(yè)務(wù)系統(tǒng)的影響情況；負(fù)責(zé)攻防實(shí)戰(zhàn)演練的實(shí)施，收集分析演練中的各項(xiàng)數(shù)據(jù)信息；負(fù)責(zé)指揮中心報(bào)告演練攻防進(jìn)展情況，做好應(yīng)急支持保障，保障演練中各系統(tǒng)的安全運(yùn)行。

（2）制定完善的網(wǎng)絡(luò)安全攻防演練方案，充分考慮可能發(fā)生的情況，做好相應(yīng)的應(yīng)急處理措施。參加演練的人員分為攻擊方和防守方。演練過程中，指揮中心人員可視情況暫時(shí)中斷演練進(jìn)程。

（3）明確演練開始、結(jié)束時(shí)間，通知攻、防雙方。演練前，防守方進(jìn)行安全檢查加固，做好防守準(zhǔn)備。演練開始，攻擊方進(jìn)行安全測試，利用檢測到的系統(tǒng)漏洞進(jìn)行有效攻擊，對網(wǎng)絡(luò)設(shè)施、服務(wù)器、應(yīng)用系統(tǒng)等方面展開進(jìn)攻。

（4）演練結(jié)束，攻方停止攻擊。相關(guān)業(yè)務(wù)進(jìn)行系統(tǒng)功能測試，確保經(jīng)過演練，各系統(tǒng)使用正常。攻防雙方詳細(xì)記錄演練過程數(shù)據(jù)，檢測出的安全漏洞及隱患，向指揮人員介紹對戰(zhàn)過程，展示各項(xiàng)數(shù)據(jù)信息，提交攻防演練總結(jié)報(bào)告。

（5）攻擊方以人工滲透測試為主，輔助以攻擊工具的使用，發(fā)現(xiàn)目標(biāo)網(wǎng)絡(luò)和系統(tǒng)存在的安全弱點(diǎn)實(shí)施入侵。滲透測試過程中可能涉及Metasploit Framework 緩沖區(qū)溢出測試使用的輔助工具、Acunetix Web Vulnerability Scanner網(wǎng)絡(luò)漏洞掃描工具、Shadow Security Scanner安全漏洞掃描軟件、ISS漏洞掃描器、Nmap端口掃描工具、Firewalk高級路由跟蹤工具、Fragroute/Fragrouter網(wǎng)絡(luò)入侵檢測逃避工具集等測試工具，以及Whois、Nslookup、Traceroute等命令。

3 安全攻防實(shí)戰(zhàn)演練項(xiàng)目設(shè)計(jì)

隨著新媒體與傳統(tǒng)媒體的快速融合發(fā)展，面向互聯(lián)網(wǎng)的新媒體信息系統(tǒng)數(shù)量越來越多，帶給人們豐富快捷、多元交互的新聞信息。由于新聞媒體具有廣泛的社會影響力，如果信息系統(tǒng)受到惡意攻擊，出現(xiàn)網(wǎng)頁被篡改、信息被竊取或泄露、系統(tǒng)服務(wù)中斷等安全事件，其惡性程度更深，影響更直接。

通過對我們開展的新聞信息系統(tǒng)安全風(fēng)險(xiǎn)評估，以及網(wǎng)絡(luò)安全事件處置情況進(jìn)行分析，可以總結(jié)出業(yè)務(wù)系統(tǒng)的脆弱性是安全風(fēng)險(xiǎn)的主要來源。系統(tǒng)脆弱性主要包括SQL注入、弱口令、敏感信息泄露、用戶密碼認(rèn)證、越權(quán)操作等，這些漏洞被利用對信息系統(tǒng)安全構(gòu)成威脅。

針對系統(tǒng)存在的脆弱性，對安全攻防演練項(xiàng)目進(jìn)行了詳細(xì)設(shè)計(jì)。演練中攻擊方利用漏洞掃描、暴力破解、滲透測試等手段，對存在配置錯(cuò)誤、緩存溢出、拒絕服務(wù)、弱口令等漏洞的系統(tǒng)實(shí)施攻擊，以便獲取系統(tǒng)權(quán)限，破壞系統(tǒng)及網(wǎng)絡(luò)正常運(yùn)行，竊取系統(tǒng)敏感信息。防守方加強(qiáng)安全防護(hù)，加固系統(tǒng)、修補(bǔ)漏洞，完善安全事件處置流程，提高應(yīng)急處置能力。

3.1 模擬黑客從互聯(lián)網(wǎng)滲透測試

模擬黑客對面向互聯(lián)網(wǎng)的業(yè)務(wù)系統(tǒng)進(jìn)行滲透攻擊，挖掘系統(tǒng)存在的漏洞，尋找可以進(jìn)一步控制目標(biāo)的安全漏洞。演練過程中嘗試完成幾項(xiàng)操作。

（1）對系統(tǒng)進(jìn)行端口掃描，收集開放的端口。

（2）針對開放端口對應(yīng)的應(yīng)用服務(wù)進(jìn)行針對性攻擊嘗試。

（3）如發(fā)現(xiàn)Web網(wǎng)站后臺登錄具有SQL注入漏洞，查看數(shù)據(jù)庫使用版本。使用SQL注入工具寫入腳本木馬。

（4）連接WebShell木馬控制服務(wù)器，嘗試修改網(wǎng)頁內(nèi)容或添加黑頁。

3.2 批量掃描服務(wù)端口破解弱口令

使用黑客工具對各業(yè)務(wù)進(jìn)行批量服務(wù)端口掃描，收集整理高危端口和弱口令，并在測試同時(shí)觀察這些攻擊動(dòng)作的流量在安全管理中心是否有體現(xiàn)。

（1）使用端口掃描工具批量掃描常用端口。

（2）暴力破解開放21端口的主機(jī)，并嘗試登陸服務(wù)器。

（3）暴力破解開放3389遠(yuǎn)程桌面的主機(jī)，并嘗試登錄服務(wù)器。

（4）在安全管理平臺檢查是否有相關(guān)掃描和破解的流量。

3.3 模擬黑客從互聯(lián)網(wǎng)對某一系統(tǒng)進(jìn)行CC攻擊

使用多臺計(jì)算機(jī)對系統(tǒng)進(jìn)行大規(guī)模掃描，同時(shí)觀察這些攻擊動(dòng)作的流量在安全管理中心是否能及時(shí)捕獲，并做出應(yīng)急處置。

（1）選定目標(biāo)為某一系統(tǒng)，使用CC攻擊方式對該系統(tǒng)進(jìn)行測試。

（2）使用代理服務(wù)器或者受控機(jī)向該系統(tǒng)發(fā)大量數(shù)據(jù)包，使服務(wù)器資源耗盡。

（3）進(jìn)行攻擊的同時(shí)在安全管理平臺檢查是否有相關(guān)的攻擊流量。

4 安全攻防實(shí)戰(zhàn)演練發(fā)現(xiàn)的問題與整改

演練結(jié)束，指揮中心需要組織對網(wǎng)絡(luò)攻防演練進(jìn)行全面總結(jié)，公布問題、分析原因、加強(qiáng)整改。業(yè)務(wù)系統(tǒng)要增強(qiáng)用戶密碼復(fù)雜度限制，加強(qiáng)用戶登錄驗(yàn)證碼功能，防止持續(xù)賬號密碼破解，利用抓包工具進(jìn)行抓包，爆破出用戶口令。嚴(yán)格審查業(yè)務(wù)系統(tǒng)申請開放的網(wǎng)絡(luò)端口，防止被攻擊者利用，成為入侵主機(jī)的通道。進(jìn)一步開展信息系統(tǒng)安全風(fēng)險(xiǎn)評估和滲透測試，消除系統(tǒng)存在安全漏洞，防止攻擊者利用這些漏洞，獲取敏感信息，控制服務(wù)器，造成數(shù)據(jù)泄露、網(wǎng)頁被篡改等危害。加強(qiáng)安全設(shè)備和網(wǎng)管平臺的監(jiān)控，當(dāng)攻擊者利用受控機(jī)對互聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)進(jìn)行TCP多連接攻擊，造成系統(tǒng)無法訪問時(shí)，確保網(wǎng)絡(luò)安全管理中心及時(shí)監(jiān)測到攻擊行為，確定被攻擊的IP地址，系統(tǒng)管理人員啟動(dòng)應(yīng)急響應(yīng)預(yù)案，有效處置。

5 安全攻防實(shí)戰(zhàn)演練的意義

通過安全攻防實(shí)戰(zhàn)演練能夠發(fā)現(xiàn)系統(tǒng)安全運(yùn)維中存在的安全意識、技術(shù)措施和應(yīng)急協(xié)調(diào)等方面的不足，樹立互聯(lián)網(wǎng)安全防護(hù)一盤棋的意識，促進(jìn)網(wǎng)絡(luò)安全與應(yīng)用安全的融合、促進(jìn)網(wǎng)絡(luò)安全運(yùn)維部門與應(yīng)用系統(tǒng)運(yùn)維部門的合作，逐步制定和完善從演練策劃、組織實(shí)施、評價(jià)總結(jié)、案例分析和持續(xù)優(yōu)化的一整套網(wǎng)絡(luò)安全攻防演練體系。增強(qiáng)應(yīng)急響應(yīng)意識，進(jìn)一步完善安全事件應(yīng)急處置預(yù)案，提升安全事件應(yīng)急處置能力，以達(dá)到快速響應(yīng)、準(zhǔn)確定位、及時(shí)恢復(fù)的高效處置目標(biāo)，有效提升新聞信息系統(tǒng)安全保障能力。

參考文獻(xiàn)

[1] 濟(jì)南時(shí)代確信信息安全測評有限公司.滲透測試技術(shù)[J].2011-10.

[2] 宋莉雅.信息安全實(shí)戰(zhàn)演練方案設(shè)計(jì)分析[J].企業(yè)導(dǎo)報(bào)， 2012-01-28.