王洪川

(遼寧交通信息技術(shù)有限公司 沈陽(yáng)市 110000)

1 網(wǎng)絡(luò)安全攻防演練的應(yīng)用背景

自2020年1月1日取消高速公路省界收費(fèi)站全國(guó)并網(wǎng)接入后，實(shí)現(xiàn)了高速公路全國(guó)“一張網(wǎng)”，在實(shí)現(xiàn)不停車快捷收費(fèi)，減少擁堵，便利群眾的同時(shí)，也增加了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)[1]。作為國(guó)內(nèi)重要基礎(chǔ)設(shè)施，做好網(wǎng)絡(luò)安全防護(hù)、確保高速公路穩(wěn)定運(yùn)行尤為重要。因此，自2020年以來，全國(guó)聯(lián)網(wǎng)收費(fèi)系統(tǒng)就作為了網(wǎng)絡(luò)安全攻防演練的重點(diǎn)系統(tǒng)之一。

2 網(wǎng)絡(luò)安全攻防演練的方案

2.1 網(wǎng)絡(luò)安全攻防演練的指揮保障

(1)成立攻防演練領(lǐng)導(dǎo)小組

應(yīng)成立攻防演練領(lǐng)導(dǎo)小組，統(tǒng)一領(lǐng)導(dǎo)和指揮調(diào)度攻防演練有關(guān)工作，做好工作的部署和信息的同步，落實(shí)演練下發(fā)的任務(wù)和要求。

(2)成立攻防演練行動(dòng)工作組

應(yīng)按照本單位的實(shí)際情況設(shè)置攻防演練行動(dòng)工作組，負(fù)責(zé)本單位演練工作的部署和組織協(xié)調(diào)，落實(shí)本單位的整體摸排、安全整改、安全監(jiān)控與安全防護(hù)工作。

2.2 工作機(jī)制

(1)制定防守方案

根據(jù)本單位實(shí)際情況，制定防守方案，方案內(nèi)容包括防守方組成各部門及合作機(jī)構(gòu)的工作職責(zé)，確定主要牽頭部門和演練接口人，攻擊前對(duì)風(fēng)險(xiǎn)排查、風(fēng)險(xiǎn)處置、安全培訓(xùn)等工作的計(jì)劃，對(duì)值守人員的安排，工作內(nèi)容、攻擊處置及信息報(bào)告流程，以及事后的復(fù)盤工作總結(jié)等。

(2)召開演練工作啟動(dòng)會(huì)

攻防演練開始前，應(yīng)組織各參演部門相關(guān)人員，召開演練工作啟動(dòng)會(huì)。以啟動(dòng)會(huì)的形式明確本次演練防守工作的目的、工作分工、計(jì)劃安排和基本工作流程，對(duì)演練各階段參演部門人員的工作內(nèi)容和職責(zé)進(jìn)行宣貫 。建立演練工作中的溝通聯(lián)絡(luò)機(jī)制，并建立各參演人員的聯(lián)系清單。

2.3 保障實(shí)施方案

保障工作劃分為4個(gè)階段：?jiǎn)?dòng)階段、備戰(zhàn)階段、實(shí)戰(zhàn)階段和總結(jié)階段。

2.3.1啟動(dòng)階段

召開全公司網(wǎng)絡(luò)安全保障會(huì)議，介紹本次行動(dòng)的背景、基本原則、演練保障范圍及目標(biāo)，對(duì)此次攻防演練行動(dòng)的重要性進(jìn)行宣貫，動(dòng)員信息安全力量，提高各級(jí)領(lǐng)導(dǎo)及網(wǎng)絡(luò)信息安全專責(zé)人員對(duì)此次攻防演練行動(dòng)的重視程度，明確各部門安全職責(zé)和協(xié)作機(jī)制。

組織開展第三方技術(shù)團(tuán)隊(duì)動(dòng)員會(huì)，根據(jù)安全保障團(tuán)隊(duì)組建分工和要求，明確集成商、軟件開發(fā)商、安全廠商、安全支撐團(tuán)隊(duì)、各工作組的責(zé)任，履行崗位安全職能，簽訂保密承諾書。

組織全省各相關(guān)單位一線演練保障人員參與安全專項(xiàng)培訓(xùn)，包含網(wǎng)絡(luò)安全實(shí)戰(zhàn)攻防演練介紹、防御思路和重點(diǎn)、演練保障工作流程、信息安全意識(shí)等的培訓(xùn)。

2.3.2備戰(zhàn)階段

在安全攻防演練備戰(zhàn)階段，組織開展互聯(lián)網(wǎng)暴露資產(chǎn)排查、安全管理風(fēng)險(xiǎn)自查、系統(tǒng)安全風(fēng)險(xiǎn)自查、整體安全策略優(yōu)化、安全風(fēng)險(xiǎn)閉環(huán)管理等工作，演練前發(fā)現(xiàn)存在的安全風(fēng)險(xiǎn)問題，并完成加固、優(yōu)化等工作，實(shí)現(xiàn)風(fēng)險(xiǎn)閉環(huán)管理，提升整體安全防護(hù)能力。

(1)互聯(lián)網(wǎng)可見資產(chǎn)排查

開展互聯(lián)網(wǎng)可見資產(chǎn)排查工作，對(duì)暴露在互聯(lián)網(wǎng)上、具備公網(wǎng)地址的資產(chǎn)，即面向互聯(lián)網(wǎng)提供WEB、小程序等互聯(lián)網(wǎng)服務(wù)的服務(wù)器和設(shè)備進(jìn)行全面梳理，包括：IP地址、端口、服務(wù)名稱及版本、操作系統(tǒng)類型及版本、應(yīng)用框架類型及版本、業(yè)務(wù)系統(tǒng)歸屬、責(zé)任人等，其中“IP+端口+服務(wù)”的三元組為資產(chǎn)的唯一標(biāo)識(shí)符，形成互聯(lián)網(wǎng)暴露資產(chǎn)清單，在保障備戰(zhàn)階段中進(jìn)行重點(diǎn)關(guān)注、有效收斂可能的攻擊面。

(2)網(wǎng)絡(luò)安全管理自查

通過管理風(fēng)險(xiǎn)自查表形式開展安全管理風(fēng)險(xiǎn)自查工作，包含：工作區(qū)域安全管理、網(wǎng)路安全管理、存儲(chǔ)介質(zhì)安全管理、機(jī)房管理、計(jì)算機(jī)病毒防范管理、計(jì)算機(jī)終端維護(hù)管理、賬號(hào)、口令及權(quán)限管理等，通過自查形式梳理、匯總當(dāng)前安全管理風(fēng)險(xiǎn)問題，及時(shí)發(fā)現(xiàn)安全管理不符合項(xiàng)，并針對(duì)不合規(guī)項(xiàng)進(jìn)行優(yōu)化整改，降低因安全管理不合規(guī)項(xiàng)導(dǎo)致的攻擊成功概率。

(3)系統(tǒng)安全管理自查

通過系統(tǒng)安全風(fēng)險(xiǎn)自查表形式開展系統(tǒng)安全風(fēng)險(xiǎn)自查工作，包含：數(shù)據(jù)安全、應(yīng)用和數(shù)據(jù)安全、主機(jī)安全、網(wǎng)絡(luò)和通訊安全、安全運(yùn)維管理、系統(tǒng)安全管理、數(shù)據(jù)備份/銷毀管理等，通過自查形式梳理、匯總當(dāng)前系統(tǒng)安全風(fēng)險(xiǎn)問題。

安全技術(shù)團(tuán)隊(duì)對(duì)備戰(zhàn)階段安全管理自查、系統(tǒng)風(fēng)險(xiǎn)自查工作中發(fā)現(xiàn)的風(fēng)險(xiǎn)及問題進(jìn)行最終匯總整合，并且形成相應(yīng)的跟蹤表，設(shè)立每項(xiàng)風(fēng)險(xiǎn)閉環(huán)的責(zé)任主體和負(fù)責(zé)人，并根據(jù)實(shí)際情況，選擇合適的手段，明確整改計(jì)劃，及時(shí)跟進(jìn)，直至各項(xiàng)風(fēng)險(xiǎn)閉環(huán)處置。

(4)系統(tǒng)漏洞檢查和加固

開展系統(tǒng)漏洞檢查工作，通過漏洞檢查工具對(duì)省級(jí)收費(fèi)系統(tǒng)進(jìn)行安全檢查，包含網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、應(yīng)用軟件、中間件和服務(wù)等進(jìn)行安全漏洞識(shí)別[2]。開展弱口令檢查工作，降低攻擊方可通過口令爆破、弱口令掃描等方式破解賬號(hào)口令，進(jìn)而獲取主機(jī)、服務(wù)器的管理權(quán)限，從而進(jìn)一步滲透的風(fēng)險(xiǎn)。利用技術(shù)手段嚴(yán)格排查弱口令、空口令、默認(rèn)口令等問題，及時(shí)進(jìn)行安全加固，避免演練期間發(fā)生相關(guān)事件。

開展高危端口、不必要服務(wù)檢查工作，關(guān)閉高危、不必要的端口和服務(wù)，漏洞檢查人員、技術(shù)專家協(xié)助系統(tǒng)運(yùn)維人員、開發(fā)人員關(guān)閉不必要的端口、服務(wù)。

(5)入侵痕跡排查和修復(fù)

開展入侵痕跡排查工作，對(duì)現(xiàn)有主機(jī)、設(shè)備、應(yīng)用、服務(wù)等模塊排查是否存在隱藏創(chuàng)建賬號(hào)、未知網(wǎng)絡(luò)連接、非法創(chuàng)建進(jìn)程、webshell、僵木蠕蟲等問題，及時(shí)封堵已存在入侵后門。

(6)策略優(yōu)化

針對(duì)數(shù)據(jù)庫(kù)、操作系統(tǒng)、應(yīng)用軟件自身安全策略進(jìn)行優(yōu)化，配置合理、有效的安全策略，保證相關(guān)安全機(jī)制有效開啟。

對(duì)網(wǎng)絡(luò)設(shè)備策略、安全設(shè)備策略、主機(jī)防護(hù)策略等進(jìn)行進(jìn)一步調(diào)整和優(yōu)化。如安全設(shè)備針對(duì)業(yè)務(wù)系統(tǒng)技術(shù)架構(gòu)，添加臨時(shí)自定義攔截規(guī)則；針對(duì)高風(fēng)險(xiǎn)漏洞開啟相應(yīng)監(jiān)測(cè)和防護(hù)策略；網(wǎng)絡(luò)設(shè)備開啟白名單機(jī)制并設(shè)置限制來源等。

(7)社工排查

開展社工抽查工作，包含如下內(nèi)容：

①移動(dòng)存儲(chǔ)介質(zhì)管理意識(shí)排查與演練。

②機(jī)房及業(yè)務(wù)區(qū)管理身份冒用識(shí)別、防尾隨演練。

③管理員口令權(quán)限索要或套取演練。

④檢驗(yàn)機(jī)房、業(yè)務(wù)區(qū)門禁、移動(dòng)存儲(chǔ)介質(zhì)等安全管理職責(zé)落實(shí)情況，同時(shí)檢驗(yàn)員工安全意識(shí)。

2.3.3實(shí)戰(zhàn)階段

(1)安全值守監(jiān)控

在攻防演練實(shí)戰(zhàn)期間，監(jiān)測(cè)分析組將對(duì)外部安全威脅情報(bào)、安全漏洞情報(bào)及外部披露情報(bào)等安全情報(bào)進(jìn)行實(shí)時(shí)監(jiān)控，通過對(duì)部署在網(wǎng)內(nèi)的監(jiān)測(cè)預(yù)警平臺(tái)、安全設(shè)備進(jìn)行監(jiān)控預(yù)警，日志分析，實(shí)時(shí)從設(shè)備告警日志中捕獲異常攻擊行為或操作行為，通過策略調(diào)優(yōu)、誤攔分析，及時(shí)封堵異常攻擊行為，對(duì)安全風(fēng)險(xiǎn)進(jìn)行閉環(huán)等。

(2)安全事件處置

處置組對(duì)真實(shí)入侵行為及時(shí)響應(yīng)，并開展阻斷工作，協(xié)助應(yīng)用組、應(yīng)用支撐組排查服務(wù)器上的木馬程序，分析攻擊者入侵途徑并溯源，并協(xié)助進(jìn)行防護(hù)處置；協(xié)助網(wǎng)絡(luò)組、網(wǎng)絡(luò)支撐組排查網(wǎng)絡(luò)設(shè)備上的攻擊告警，分析攻擊者入侵途徑并溯源，并協(xié)助進(jìn)行防護(hù)處置。處置流程見圖1。

圖1 安全事件處置流程

(3)研判預(yù)警通告

在攻防演練保障期間，技術(shù)專家組將對(duì)監(jiān)測(cè)分析組上報(bào)事件進(jìn)行研判分析，對(duì)符合預(yù)警條件的事件進(jìn)行通知處理。

安全預(yù)警通告主要類型包括安全風(fēng)險(xiǎn)預(yù)警通告、安全事件應(yīng)急通告、可疑安全行為通告，當(dāng)技術(shù)專家組收到上述通告時(shí)，及時(shí)研判被通告事件與保障目標(biāo)資產(chǎn)吻合度，對(duì)風(fēng)險(xiǎn)內(nèi)容進(jìn)行定位分析，確認(rèn)實(shí)際影響范圍、威脅程度、緊急程度等，并協(xié)調(diào)處置組進(jìn)行處理，以達(dá)到快速閉環(huán)安全風(fēng)險(xiǎn)目的。

(4)威脅情報(bào)收集

情報(bào)收集組收集各渠道上報(bào)、通告的漏洞預(yù)警信息、惡意IP信息、事件處置信息以及其它針對(duì)攻防演練的有效信息，并將情報(bào)信息傳遞給技術(shù)專家組。

(5)演練事件上報(bào)

在攻防演練實(shí)戰(zhàn)期間，演練防守方對(duì)檢測(cè)到的告警信息進(jìn)行研判分析，對(duì)確屬攻擊行為的安全事件，技術(shù)專家組、處置組提供相應(yīng)證據(jù)，并由事件上報(bào)組及時(shí)根據(jù)規(guī)定格式編寫防守方成果報(bào)告，提交至指揮聯(lián)絡(luò)組，由專人統(tǒng)一上報(bào)。

2.3.4總結(jié)階段

實(shí)戰(zhàn)階段結(jié)束后，開展攻防演練總結(jié)會(huì)議，對(duì)整個(gè)安全保障工作進(jìn)行總結(jié)，包括安全保障效果和成果、工作存在的問題和改進(jìn)計(jì)劃、業(yè)務(wù)和系統(tǒng)遺留風(fēng)險(xiǎn)及持續(xù)控制計(jì)劃等。待到交通部成果下發(fā)之后，對(duì)攻防演習(xí)行動(dòng)進(jìn)行復(fù)盤，分析攻擊者入侵途徑，檢查防護(hù)漏洞，結(jié)合當(dāng)前防護(hù)能力提出可落地的后續(xù)能力建設(shè)方案，為后期保障工作總結(jié)最佳實(shí)踐。

3 高速公路聯(lián)網(wǎng)收費(fèi)系統(tǒng)攻防演練效果

撤站后高速公路聯(lián)網(wǎng)收費(fèi)系統(tǒng)經(jīng)過連續(xù)兩年的攻防演練，系統(tǒng)的安全性得到明顯提高。首先從業(yè)人員的網(wǎng)絡(luò)安全意識(shí)得到了顯著提高，從管理和技術(shù)兩個(gè)方面都有了較為明顯的改善；其次是在應(yīng)對(duì)網(wǎng)絡(luò)安全突發(fā)事件時(shí)，系統(tǒng)維護(hù)人員和管理人員能夠更加從容應(yīng)對(duì)，更加熟悉應(yīng)急處置流程。因此，高速公路聯(lián)網(wǎng)收費(fèi)系統(tǒng)網(wǎng)絡(luò)安全攻防演練達(dá)到了既定目標(biāo)，取得了較好的社會(huì)效益和經(jīng)濟(jì)效益，對(duì)全國(guó)高速公路運(yùn)行起到了重要的現(xiàn)實(shí)意義。