劉陽(yáng)

摘 要：開(kāi)展網(wǎng)絡(luò)安全攻防實(shí)戰(zhàn)演練，針對(duì)面向互聯(lián)網(wǎng)的業(yè)務(wù)系統(tǒng)，模擬黑客入侵和攻擊，發(fā)現(xiàn)安全漏洞和隱患，有效識(shí)別、分析和控制信息系統(tǒng)安全風(fēng)險(xiǎn)，將有效提升運(yùn)維人員安全意識(shí)和安全突發(fā)事件處置能力，提升信息系統(tǒng)安全保障能力 。論文結(jié)合面向新聞信息系統(tǒng)開(kāi)展安全攻防演練的工作實(shí)踐，對(duì)攻防實(shí)戰(zhàn)演練的部署與方案設(shè)計(jì)進(jìn)行分析與探討。

關(guān)鍵詞：信息安全； 攻防演練； 部署； 項(xiàng)目設(shè)計(jì)

中圖分類(lèi)號(hào)： TP393.08 文獻(xiàn)標(biāo)識(shí)碼：B

1 引言

安全攻防實(shí)戰(zhàn)演練是維護(hù)網(wǎng)絡(luò)與信息系統(tǒng)安全的重要手段，是有效提升網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)和處置能力的基礎(chǔ)。作為新聞媒體行業(yè)，隨著新媒體事業(yè)的發(fā)展，新聞信息載體、傳播渠道快速更新，移動(dòng)應(yīng)用、社交媒體日益成為信息傳播重要陣地。在應(yīng)用新技術(shù)新手段，為用戶提供更加豐富的新聞產(chǎn)品，擴(kuò)大社會(huì)影響力的同時(shí)，對(duì)有效保障新聞報(bào)道業(yè)務(wù)安全，保障網(wǎng)絡(luò)與信息系統(tǒng)安全提出更高要求。

開(kāi)展網(wǎng)絡(luò)安全攻防實(shí)戰(zhàn)演練，針對(duì)面向互聯(lián)網(wǎng)的業(yè)務(wù)系統(tǒng)，模擬黑客入侵和攻擊，發(fā)現(xiàn)安全漏洞和隱患，有效識(shí)別、分析和控制信息系統(tǒng)安全風(fēng)險(xiǎn)。促進(jìn)統(tǒng)一指揮、協(xié)調(diào)有序的安全應(yīng)急管理機(jī)制的落實(shí)，完善安全事件防范與處置流程，提升運(yùn)維人員安全意識(shí)和安全突發(fā)事件處置能力。

2 安全攻防演練的部署

安全攻防演練是在真實(shí)的網(wǎng)絡(luò)環(huán)境中進(jìn)行攻擊、防御，發(fā)現(xiàn)并解決存在的安全問(wèn)題，為提升網(wǎng)絡(luò)與信息安全保障能力積累經(jīng)驗(yàn)。攻防演練既要做到對(duì)業(yè)務(wù)系統(tǒng)具有破壞性，又不影響整體信息系統(tǒng)的正常使用；既有危害性，又具有可控性。為了達(dá)到攻防演練力求實(shí)效、管控有序，造成的風(fēng)險(xiǎn)降到最低，需要對(duì)實(shí)戰(zhàn)演練進(jìn)行認(rèn)真部署。

（1）建立攻防演練組織指揮中心，負(fù)責(zé)演練的統(tǒng)一部署、組織協(xié)調(diào)和過(guò)程控制，確保演練工作安全推進(jìn)，達(dá)到預(yù)期目標(biāo)。成立演練工作組，負(fù)責(zé)制定演練總體方案、評(píng)估演練對(duì)業(yè)務(wù)系統(tǒng)的影響情況；負(fù)責(zé)攻防實(shí)戰(zhàn)演練的實(shí)施，收集分析演練中的各項(xiàng)數(shù)據(jù)信息；負(fù)責(zé)指揮中心報(bào)告演練攻防進(jìn)展情況，做好應(yīng)急支持保障，保障演練中各系統(tǒng)的安全運(yùn)行。

（2）制定完善的網(wǎng)絡(luò)安全攻防演練方案，充分考慮可能發(fā)生的情況，做好相應(yīng)的應(yīng)急處理措施。參加演練的人員分為攻擊方和防守方。演練過(guò)程中，指揮中心人員可視情況暫時(shí)中斷演練進(jìn)程。

（3）明確演練開(kāi)始、結(jié)束時(shí)間，通知攻、防雙方。演練前，防守方進(jìn)行安全檢查加固，做好防守準(zhǔn)備。演練開(kāi)始，攻擊方進(jìn)行安全測(cè)試，利用檢測(cè)到的系統(tǒng)漏洞進(jìn)行有效攻擊，對(duì)網(wǎng)絡(luò)設(shè)施、服務(wù)器、應(yīng)用系統(tǒng)等方面展開(kāi)進(jìn)攻。

（4）演練結(jié)束，攻方停止攻擊。相關(guān)業(yè)務(wù)進(jìn)行系統(tǒng)功能測(cè)試，確保經(jīng)過(guò)演練，各系統(tǒng)使用正常。攻防雙方詳細(xì)記錄演練過(guò)程數(shù)據(jù)，檢測(cè)出的安全漏洞及隱患，向指揮人員介紹對(duì)戰(zhàn)過(guò)程，展示各項(xiàng)數(shù)據(jù)信息，提交攻防演練總結(jié)報(bào)告。

（5）攻擊方以人工滲透測(cè)試為主，輔助以攻擊工具的使用，發(fā)現(xiàn)目標(biāo)網(wǎng)絡(luò)和系統(tǒng)存在的安全弱點(diǎn)實(shí)施入侵。滲透測(cè)試過(guò)程中可能涉及Metasploit Framework 緩沖區(qū)溢出測(cè)試使用的輔助工具、Acunetix Web Vulnerability Scanner網(wǎng)絡(luò)漏洞掃描工具、Shadow Security Scanner安全漏洞掃描軟件、ISS漏洞掃描器、Nmap端口掃描工具、Firewalk高級(jí)路由跟蹤工具、Fragroute/Fragrouter網(wǎng)絡(luò)入侵檢測(cè)逃避工具集等測(cè)試工具，以及Whois、Nslookup、Traceroute等命令。

3 安全攻防實(shí)戰(zhàn)演練項(xiàng)目設(shè)計(jì)

隨著新媒體與傳統(tǒng)媒體的快速融合發(fā)展，面向互聯(lián)網(wǎng)的新媒體信息系統(tǒng)數(shù)量越來(lái)越多，帶給人們豐富快捷、多元交互的新聞信息。由于新聞媒體具有廣泛的社會(huì)影響力，如果信息系統(tǒng)受到惡意攻擊，出現(xiàn)網(wǎng)頁(yè)被篡改、信息被竊取或泄露、系統(tǒng)服務(wù)中斷等安全事件，其惡性程度更深，影響更直接。

通過(guò)對(duì)我們開(kāi)展的新聞信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估，以及網(wǎng)絡(luò)安全事件處置情況進(jìn)行分析，可以總結(jié)出業(yè)務(wù)系統(tǒng)的脆弱性是安全風(fēng)險(xiǎn)的主要來(lái)源。系統(tǒng)脆弱性主要包括SQL注入、弱口令、敏感信息泄露、用戶密碼認(rèn)證、越權(quán)操作等，這些漏洞被利用對(duì)信息系統(tǒng)安全構(gòu)成威脅。

針對(duì)系統(tǒng)存在的脆弱性，對(duì)安全攻防演練項(xiàng)目進(jìn)行了詳細(xì)設(shè)計(jì)。演練中攻擊方利用漏洞掃描、暴力破解、滲透測(cè)試等手段，對(duì)存在配置錯(cuò)誤、緩存溢出、拒絕服務(wù)、弱口令等漏洞的系統(tǒng)實(shí)施攻擊，以便獲取系統(tǒng)權(quán)限，破壞系統(tǒng)及網(wǎng)絡(luò)正常運(yùn)行，竊取系統(tǒng)敏感信息。防守方加強(qiáng)安全防護(hù)，加固系統(tǒng)、修補(bǔ)漏洞，完善安全事件處置流程，提高應(yīng)急處置能力。

3.1 模擬黑客從互聯(lián)網(wǎng)滲透測(cè)試

模擬黑客對(duì)面向互聯(lián)網(wǎng)的業(yè)務(wù)系統(tǒng)進(jìn)行滲透攻擊，挖掘系統(tǒng)存在的漏洞，尋找可以進(jìn)一步控制目標(biāo)的安全漏洞。演練過(guò)程中嘗試完成幾項(xiàng)操作。

（1）對(duì)系統(tǒng)進(jìn)行端口掃描，收集開(kāi)放的端口。

（2）針對(duì)開(kāi)放端口對(duì)應(yīng)的應(yīng)用服務(wù)進(jìn)行針對(duì)性攻擊嘗試。

（3）如發(fā)現(xiàn)Web網(wǎng)站后臺(tái)登錄具有SQL注入漏洞，查看數(shù)據(jù)庫(kù)使用版本。使用SQL注入工具寫(xiě)入腳本木馬。

（4）連接WebShell木馬控制服務(wù)器，嘗試修改網(wǎng)頁(yè)內(nèi)容或添加黑頁(yè)。

3.2 批量掃描服務(wù)端口破解弱口令

使用黑客工具對(duì)各業(yè)務(wù)進(jìn)行批量服務(wù)端口掃描，收集整理高危端口和弱口令，并在測(cè)試同時(shí)觀察這些攻擊動(dòng)作的流量在安全管理中心是否有體現(xiàn)。

（1）使用端口掃描工具批量掃描常用端口。

（2）暴力破解開(kāi)放21端口的主機(jī)，并嘗試登陸服務(wù)器。

（3）暴力破解開(kāi)放3389遠(yuǎn)程桌面的主機(jī)，并嘗試登錄服務(wù)器。

（4）在安全管理平臺(tái)檢查是否有相關(guān)掃描和破解的流量。

3.3 模擬黑客從互聯(lián)網(wǎng)對(duì)某一系統(tǒng)進(jìn)行CC攻擊

使用多臺(tái)計(jì)算機(jī)對(duì)系統(tǒng)進(jìn)行大規(guī)模掃描，同時(shí)觀察這些攻擊動(dòng)作的流量在安全管理中心是否能及時(shí)捕獲，并做出應(yīng)急處置。

（1）選定目標(biāo)為某一系統(tǒng)，使用CC攻擊方式對(duì)該系統(tǒng)進(jìn)行測(cè)試。

（2）使用代理服務(wù)器或者受控機(jī)向該系統(tǒng)發(fā)大量數(shù)據(jù)包，使服務(wù)器資源耗盡。

（3）進(jìn)行攻擊的同時(shí)在安全管理平臺(tái)檢查是否有相關(guān)的攻擊流量。

4 安全攻防實(shí)戰(zhàn)演練發(fā)現(xiàn)的問(wèn)題與整改

演練結(jié)束，指揮中心需要組織對(duì)網(wǎng)絡(luò)攻防演練進(jìn)行全面總結(jié)，公布問(wèn)題、分析原因、加強(qiáng)整改。業(yè)務(wù)系統(tǒng)要增強(qiáng)用戶密碼復(fù)雜度限制，加強(qiáng)用戶登錄驗(yàn)證碼功能，防止持續(xù)賬號(hào)密碼破解，利用抓包工具進(jìn)行抓包，爆破出用戶口令。嚴(yán)格審查業(yè)務(wù)系統(tǒng)申請(qǐng)開(kāi)放的網(wǎng)絡(luò)端口，防止被攻擊者利用，成為入侵主機(jī)的通道。進(jìn)一步開(kāi)展信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估和滲透測(cè)試，消除系統(tǒng)存在安全漏洞，防止攻擊者利用這些漏洞，獲取敏感信息，控制服務(wù)器，造成數(shù)據(jù)泄露、網(wǎng)頁(yè)被篡改等危害。加強(qiáng)安全設(shè)備和網(wǎng)管平臺(tái)的監(jiān)控，當(dāng)攻擊者利用受控機(jī)對(duì)互聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)進(jìn)行TCP多連接攻擊，造成系統(tǒng)無(wú)法訪問(wèn)時(shí)，確保網(wǎng)絡(luò)安全管理中心及時(shí)監(jiān)測(cè)到攻擊行為，確定被攻擊的IP地址，系統(tǒng)管理人員啟動(dòng)應(yīng)急響應(yīng)預(yù)案，有效處置。

5 安全攻防實(shí)戰(zhàn)演練的意義

通過(guò)安全攻防實(shí)戰(zhàn)演練能夠發(fā)現(xiàn)系統(tǒng)安全運(yùn)維中存在的安全意識(shí)、技術(shù)措施和應(yīng)急協(xié)調(diào)等方面的不足，樹(shù)立互聯(lián)網(wǎng)安全防護(hù)一盤(pán)棋的意識(shí)，促進(jìn)網(wǎng)絡(luò)安全與應(yīng)用安全的融合、促進(jìn)網(wǎng)絡(luò)安全運(yùn)維部門(mén)與應(yīng)用系統(tǒng)運(yùn)維部門(mén)的合作，逐步制定和完善從演練策劃、組織實(shí)施、評(píng)價(jià)總結(jié)、案例分析和持續(xù)優(yōu)化的一整套網(wǎng)絡(luò)安全攻防演練體系。增強(qiáng)應(yīng)急響應(yīng)意識(shí)，進(jìn)一步完善安全事件應(yīng)急處置預(yù)案，提升安全事件應(yīng)急處置能力，以達(dá)到快速響應(yīng)、準(zhǔn)確定位、及時(shí)恢復(fù)的高效處置目標(biāo)，有效提升新聞信息系統(tǒng)安全保障能力。

參考文獻(xiàn)

[1] 濟(jì)南時(shí)代確信信息安全測(cè)評(píng)有限公司.滲透測(cè)試技術(shù)[J].2011-10.

[2] 宋莉雅.信息安全實(shí)戰(zhàn)演練方案設(shè)計(jì)分析[J].企業(yè)導(dǎo)報(bào)， 2012-01-28.