文 | 中国华电集团有限公司信息管理部 罗建东

大型央企的网络安全应急体系建设是一个周而复始、持续改进的过程。应急预案体系的建设则是整个应急体系建设的重中之重,应在应急体系总体框架下,充分梳理企业的组织架构、资产、业务等现状,在风险评估和业务影响分析的基础上,制定企业的应急策略,编制应急预案体系文档,并通过培训和演练不断落实和提升企业的应急管理水平。

在整个网络安全应急体系中,企业最容易忽视或者最不容易做到位的环节就是应急演练。企业必须通过应急演练才能检验网络安全体系建设情况,发现应急体系和工作机制存在的问题,同时检测应急策略的合理性和应急预案的落地性,并针对演练中发现的问题和不足之处进行持续优化,不断提高应急处置能力。离开科学有效的应急演练,将无法达成应急体系的建设目标,甚至可以认为,应急演练将直接决定整个应急体系的价值和产生的效果。

传统的网络安全应急演练方式主要以桌面推演、预设场景模拟演练等形式为主,目的是为了让应急人员熟悉应急预案流程,验证应急预案的有效性。网络攻击技术的飞速发展,信息系统越发复杂,其场景、规模、复杂度、网络结构呈现多样性,传统的应急演练方式已经很难进行推演和仿真,也缺乏实战经验的积累和总结。当真实的网络攻击发生时,传统演练的内容无法及时、有效地应对处置,以致造成不可控的后果和损失。为提升大型央企有效应对有组织的网络攻击能力,保障大型央企重要信息基础设施安全稳定运行,大型央企应定期组织开展网络安全应急演练,以及组织基于实战的网络安全攻防演练,检验在实战中的网络安全防护能力、监测能力、应急处突能力,不断完善网络安全应急体系建设。

我国大型央企在持续提高信息化水平的同时,也需要稳步推进网络安全技术体系和管理体系建设。面向真实系统的网络实战攻防演练,既要力求实效,又要管控有序,对演练方案的设计、演练过程的安全保障和应急响应能力是很大的考验。

大型央企在网络演练开始前应成立演练指挥部,专门负责网络安全攻防演练工作的总体指挥、总体协调、过程控制以及重大事项的统筹安排,确定演练目标和范围,确保演练工作安全有序推进,达到预期目标。演练指挥部下设工作组和专家组,负责制定攻防演练总体方案,确定演练规则,评估演练对系统的影响情况,开展演练的各项保障、应急和研判工作。演练指挥部统筹企业的内外技术力量,组建攻击队伍和防守队伍,在严格遵守演练规则的前提下,针对目标系统进行内部网络安全攻防。

面向真实系统开展网络攻防演练,不是简单的你来我往的攻防,更重要的是风险控制和保障措施,必须要保证整个演练过程安全可控。为最大程度体现实战攻防演练的价值,并对攻防过程进行风险控制,还应该搭建攻防演练平台,攻击队伍的所有攻击行为都应通过平台进行审计和展现。攻防演练在企业实际的网络环境进行,攻击队伍在发起攻击前必须确认攻击不具有破坏性,并在演练结束后完全消除遗留在系统中的后门和漏洞。防守队伍对重要信息系统和重要数据的备份也是风险控制必不可少的措施。

在攻击队伍方面,既可以由企业内部的网络安全技术人员组成,也可以选聘外部安全服务团队参与。在防守队伍方面,通常由企业内部网络安全团队承担,其开展的工作是网络安全攻防演练的重点。一般防守队伍会成立层次化的应急保障组织,包括组建领导组、现场指挥组、安全监测组和安全防护组。领导组负责整体协调和资源保障,现场指挥组进行现场应急事件的处置决策,安全监测组负责网络安全攻击的监测、识别和调查分析等工作,安全防护组负责安全攻击防护与处置工作。

防守队伍还需要部署必要的防守工具。检验防守工具是否齐全、有效也是演练的重要目的。例如,多数情况下攻击队伍将采用各种攻击手段进行人为攻击,会大量使用绕过防火墙、入侵防御、Web应用防火墙等网络安全设备的高级攻击手段。为及时发现这些高级攻击手段,可以在互联网出口、内部重要系统网络区域部署威胁感知系统,采集外网、内网、目标系统网络的全部流量,对流量进行全方面威胁分析,形成一张安全监测和威胁分析的立体网。

在攻防演练前,防守队伍应对演练目标进行安全隐患排查,在网络安全域划分、目标系统资产梳理、系统数据流向、攻击路径及其防护等方面查找重大安全隐患并及时解决。

在攻防演练开始后,防守队伍各小组应按照事先确定的工作任务执行方式和安全事件上报流程开展网络安全防护、监测和处置工作。指挥部通过攻防演练平台对演练过程进行全程指挥,对资源进行整体调度,监督演练方案的执行情况。专家组对攻击队伍的攻击行为进行监测,评估攻击影响,对攻击与防守的过程和结果进行研判。在攻防演练结束后,应开展多轮多层次的总结会,攻击队伍和防守队伍共同参与,对演练过程及相关记录进行回溯和梳理,分析评价、总结经验,形成攻防演练总结报告,并以此作为依据改进优化网络安全应急体系。

习近平总书记指出:“网络安全的本质是对抗,对抗的本质是攻防两端能力的较量”。网络安全实战攻防演练必将成为检验和提升企业网络安全防护和应急处置能力的重要手段,“以攻促防”对于大型央企非常必要而且意义重大。

第一,网络安全攻防演练是企业网络安全应急体系有效性的试金石。通过实战攻防应急演练,能够检测发现并整改企业重要信息基础设施存在的网络安全短板,检验企业网络安全防护能力、监测发现能力和应急处置能力,检验企业各级单位的组织指挥、通报预警、和应急响应能力,检验并提升企业与外部单位的快速协同、应急处理能力。

第二,全局全程风险可控性是主要基础前提。网络安全攻防演练方案的设计和执行尤为重要,必须要做好风险控制和保障措施,要保证整个演练过程安全可控,做到人员可控、过程可控、环境可控、风险可控和成果可控。

第三,攻防演练中协同联动非常重要,多专业合成必不可少。攻防演练不单是考验网络的安全防护和应急处置能力,更加检验企业总体安全防护和应急能力,是网络安全、主机安全、业务安全、应用安全和数据安全等综合防御能力的全面提升。面对突发的网络安全攻击时,各个团队各司其职、各负其责、分工协作,通过流畅的协同工作机制才能实现快速应对。

第四,关于攻防演练目标系统的选择,需要科学合理和量力而行。目前,针对大型央企的网络安全攻击主要以互联网系统和重要信息基础设施为主,建议在选择演练目标系统时,应结合本企业的业务特点,选择本企业的互联网重要应用和主要信息基础设施。同时,为最大程度体现演练效果和价值,建议攻防演练限定攻击目标系统,不限定攻击路径。

第五,网络安全攻防演练要以技术为本。通过攻防演练发现,面对有组织的人为攻击,突显两种网络安全技术的重要性,一是识别系统自身安全漏洞的技术,另一个是有效识别网络安全攻击的技术。传统的网络安全设备无法有效检测出有组织的人为攻击,必须依靠威胁感知技术来识别,对网络流量进行全量深度分析,从流量、文件以及日志等多个维度,结合威胁情报,快速发现高级威胁与定向攻击等恶意行为,并对受害目标和攻击源头进行精准定位,有效阻断攻击。

第六,网络安全攻防演练应注重实战化和常态化,并将成果用知识化予以锁定固化。网络安全实战攻防演练是一种新的攻防演练的发展思路。大型央企应定期开展网络安全实战演练,将其常态化,规范攻防演练的所有流程,编写形成每个阶段任务的操作手册和指南,并有计划、分步骤将下属企业逐步纳入演练范围,从而提高企业整体的网络安全保障能力。

(本文刊登于《中国信息安全》杂志2019年第1期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。