文/史永飛、郭劍鋒，廈門軌道交通集團(tuán)有限公司

在某次網(wǎng)絡(luò)安防攻防演練中，廈門軌道交通集團(tuán)有限公司經(jīng)過20多天的準(zhǔn)備，最終在全省32家參演單位中得分排名第六。首次參加正式攻防演練，公司在短平快的倉促應(yīng)戰(zhàn)過程中也收獲良多，發(fā)現(xiàn)了薄弱環(huán)節(jié)，驗證了應(yīng)急機制，鍛煉了安全隊伍。

一、工作方案制定

廈門軌道集團(tuán)領(lǐng)導(dǎo)高度重視本次攻防演習(xí)工作，董事長及網(wǎng)絡(luò)安全分管領(lǐng)導(dǎo)第一時間召開專題會，專題研究工作部署。接通知的第五天，經(jīng)過多場技術(shù)討論和領(lǐng)導(dǎo)專題會后，公司成立了防守指揮部，制定了攻防演練專項工作方案，明確了工作目標(biāo)、工作要求、戰(zhàn)時溝通聯(lián)絡(luò)機制、主要風(fēng)險點、防護(hù)系統(tǒng)范圍以及備戰(zhàn)、臨戰(zhàn)、實戰(zhàn)各階段工作安排等。工作方案要求集團(tuán)各成員單位一把手親自組織、親自過問、親自協(xié)調(diào)、親自督辦具體工作事項，按162項工作清單計劃分頭部署實施，將工作任務(wù)、工作要求層層落實到一線崗位。

二、備戰(zhàn)工作組織

上下一心，全員行動

只有做到了端到端的安全，網(wǎng)絡(luò)安全才能得以保障，做好網(wǎng)絡(luò)安全必須是全體總動員一致行動。在集團(tuán)董事長親自主持網(wǎng)絡(luò)安全警示教育和攻防演練動員會議后，借領(lǐng)導(dǎo)重視的東風(fēng)發(fā)起持續(xù)性的安全意識教育：通過多場次分層集中教育培訓(xùn)，進(jìn)行系統(tǒng)管理員層級技術(shù)培訓(xùn)，終端使用人員操作規(guī)范培訓(xùn)，對全員進(jìn)行網(wǎng)絡(luò)安全態(tài)勢的普及教育、解釋網(wǎng)絡(luò)安全法的要義以及常見網(wǎng)絡(luò)安全錯誤行為的危害性；通過集團(tuán)內(nèi)部宣傳電子屏進(jìn)行25天的網(wǎng)絡(luò)安全意識動畫滾動播放，發(fā)放網(wǎng)絡(luò)安全宣傳畫冊、網(wǎng)絡(luò)安全漫畫鼠標(biāo)墊，在食堂、大廳擺放網(wǎng)絡(luò)安全宣傳易拉寶，將網(wǎng)絡(luò)安全宣傳通過各種渠道傳達(dá)到每個員工；在集團(tuán)內(nèi)部辦公網(wǎng)上發(fā)布網(wǎng)絡(luò)安全須知，在移動終端學(xué)習(xí)平臺上發(fā)布《網(wǎng)絡(luò)安全宣傳手冊》學(xué)習(xí)課程并進(jìn)行網(wǎng)絡(luò)安全問卷調(diào)查填寫，利用信息化手段確保每個員工已閱讀相關(guān)通知內(nèi)容。實戰(zhàn)階段的過程證明了前期的安全意識宣貫起到了效果。

知己知彼，百戰(zhàn)不殆

學(xué)習(xí)歷次護(hù)網(wǎng)的實際案例，我們發(fā)現(xiàn)弱口令、邊界安全防護(hù)不足、釣魚郵件、互聯(lián)網(wǎng)多余暴露面等是最主要的攻擊方突破口。按照指揮部的工作方案，首先必須明確信息資產(chǎn)情況，資產(chǎn)明確是一切安全工作的基礎(chǔ)。借助緊急部署的主機安全系統(tǒng)和流量監(jiān)測分析系統(tǒng)，在資產(chǎn)探查過程中，我們發(fā)現(xiàn)系統(tǒng)中存在相當(dāng)數(shù)量的弱口令和明文密碼傳輸情況。

在這次攻防演練開始之前，盡管集團(tuán)歷經(jīng)多次檢查、自查，但對于30多個系統(tǒng)、2000+資產(chǎn)及線路間的系統(tǒng)關(guān)系一直未有一個全貌認(rèn)識，大家始終認(rèn)為內(nèi)網(wǎng)就是內(nèi)網(wǎng)、外網(wǎng)就是外網(wǎng)，系統(tǒng)間的邊界、內(nèi)外網(wǎng)的邊界是清晰的、隔離的，但事實并非如此。經(jīng)過一個星期的資產(chǎn)盤點、拓?fù)涫崂?、業(yè)務(wù)流分析，發(fā)現(xiàn)綜合監(jiān)控系統(tǒng)、票務(wù)系統(tǒng)、ATS系統(tǒng)之間甚至與辦公網(wǎng)之間存在著錯綜復(fù)雜互聯(lián)調(diào)用關(guān)系；為了滿足乘客移動化、電子化支付渠道的需求，我們需要與銀聯(lián)、支付寶、市民卡等多種渠道保持外部連接通道，而外部連接邊界的部分安全設(shè)備并未啟用細(xì)化防護(hù)策略；部分業(yè)務(wù)測試系統(tǒng)為測試方便，在公有云上“全裸”部署資產(chǎn)，無任何安全防護(hù)；部分測試資產(chǎn)已失效，但互聯(lián)網(wǎng)映射端口仍保留或未配置站點安全防護(hù)。

加固邊界，治理隱患

在梳理各邊界接入的情況后，按照業(yè)務(wù)需要設(shè)置最小訪問控制權(quán)限，關(guān)閉遠(yuǎn)程連接、共享等高危端口，配置入侵監(jiān)測策略；對辦公網(wǎng)各應(yīng)用系統(tǒng)進(jìn)行安全域細(xì)分，將原來4個C段地址擴展為21個C段地址，按照組織區(qū)分、應(yīng)用區(qū)分原則進(jìn)行網(wǎng)段隔離，細(xì)化東西向流量限制策略，對全網(wǎng)運維權(quán)限進(jìn)行回收實施白名單策略；清除所有外單位接入系統(tǒng)，遷移所有公有云資產(chǎn)到集團(tuán)數(shù)據(jù)中心；對提供互聯(lián)網(wǎng)web服務(wù)的系統(tǒng)進(jìn)行全面主機、應(yīng)用掃描，所有中高危漏洞整改完成，并確保包含測試業(yè)務(wù)在內(nèi)的所有站點經(jīng)過waf嚴(yán)格策略防護(hù)。

針對資產(chǎn)排查中發(fā)現(xiàn)的問題，為提高口令強度，首先對使用范圍最大的辦公系統(tǒng)進(jìn)行整改，要求密碼必須設(shè)置位10位特殊字符、字母、數(shù)字組成且符合規(guī)則復(fù)雜口令，要求各非生產(chǎn)系統(tǒng)在實戰(zhàn)開始前完成登錄鑒權(quán)模塊改造，從系統(tǒng)上限制口令設(shè)置規(guī)則；其次針對資產(chǎn)排查中發(fā)現(xiàn)的主機、應(yīng)用弱口令，開始每日零時自動體檢系統(tǒng)口令健康度專項整治，經(jīng)過一個星期的持續(xù)檢查和整改，除數(shù)據(jù)庫連接的口令需應(yīng)用程序調(diào)整外，其他均已完成全面整改。

在整改的過程中，意外發(fā)現(xiàn)殺毒軟件服務(wù)端的管理端口與終端電腦業(yè)務(wù)端口相同，且超級權(quán)限管理員的密碼無法修改，所有終端電腦均可輕易獲取管理端最高權(quán)限，經(jīng)緊急聯(lián)系廠商進(jìn)行了版本更新修復(fù)，解決了一個重大隱患。

三、實戰(zhàn)階段

通過主機安全、邊界防護(hù)、流量監(jiān)控、態(tài)勢平臺，初步構(gòu)建了縱深智能防御體系；通過邊界防護(hù)細(xì)化、漏洞掃描修復(fù)，我們進(jìn)一步筑牢防線；通過口令排查整改，我們更有信心守好最后主機防線。隨著實戰(zhàn)期的臨近，態(tài)勢感知平臺上的告警數(shù)量開始飆漲，各攻擊隊已迫不及待開始外圍嗅探動作。

嚴(yán)陣以待，嚴(yán)防死守

8月30日，攻防演練實戰(zhàn)如期而來，按照工作計劃，值守團(tuán)隊開始提前一天進(jìn)駐作戰(zhàn)室，開始7*24小時持續(xù)駐守，各系統(tǒng)開發(fā)單位按照要求在攻防時段每2個小時檢查系統(tǒng)一次并在微信群內(nèi)報送檢查情況，監(jiān)測組、分析組、處置組、報告組按照既定的分工有條不紊開始監(jiān)測、分析、處置、報告。

應(yīng)急聯(lián)動，成功溯源

在護(hù)網(wǎng)的第四天上午，監(jiān)測組在態(tài)勢平臺上發(fā)現(xiàn)有終端電腦試圖遠(yuǎn)程連接數(shù)據(jù)中心服務(wù)器，同時作戰(zhàn)室收到物資部疑似釣魚文件報告，員工按照事前教育要求斷網(wǎng)處理。在處置組現(xiàn)場對文件提取排查后發(fā)現(xiàn)確實是木馬文件，經(jīng)分析該木馬通過假冒招標(biāo)合作單位名稱發(fā)送的QQ文件，經(jīng)過對木馬文件威脅情況比對和發(fā)送的QQ號碼溯源分析，值守團(tuán)隊成功對攻擊者進(jìn)行了畫像并上報省演習(xí)指揮部，成功獲得防守加分。

四、總結(jié)階段

回顧這次護(hù)網(wǎng)的歷程，首先，高層重視是關(guān)鍵組織保障，信息化是一把手工程，網(wǎng)絡(luò)安全更是一把手工程；其次，資產(chǎn)清楚是基礎(chǔ)，清晰的互聯(lián)網(wǎng)暴露面、完整的資產(chǎn)清單和網(wǎng)絡(luò)拓?fù)涫撬泄ぷ鏖_展的基礎(chǔ)；其三，防御必須是縱深的體系，邊界安全、主機安全、口令安全要層層檢查確保達(dá)標(biāo)，要有必要的全局態(tài)勢感知系統(tǒng)進(jìn)行技術(shù)支撐；最后，要有足夠的人員投入，技術(shù)力量要能有效及時應(yīng)對突發(fā)情況，必要時只能依靠委外力量。

護(hù)網(wǎng)只是網(wǎng)絡(luò)安全階段性的臨時任務(wù)，護(hù)網(wǎng)階段的運動式整改必是要以犧牲業(yè)務(wù)連續(xù)性為代價的，但網(wǎng)絡(luò)安全的要求是長治久安，這就要切實在日常工作中做到關(guān)口前移，確保系統(tǒng)在上線之前全鏈路基線合規(guī)，確保平常資產(chǎn)周期性盤點到位、及時查缺補漏管理漏洞，要有足夠的人力投入不斷加強自有技術(shù)人才的培養(yǎng)，這樣才能逐漸建立人、技術(shù)、制度三位一體的常態(tài)化管理機制。