安全资讯

攻防演习对等级保护的意义

背景概述

随着云大物移工、5G/区块链/人工智能等新应用新技术的发展,愈演愈烈的网络攻击已经成为国家安全的新挑战。网络空间成为继“陆海空天”之后的第五大战略空间。网络安全的本质是对抗,对抗的本质是攻防两端能力的较量。网络安全法第五十三条规定:


国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制,制定网络安全事件应急预案,并定期组织演练。负责关键信息基础设施安全保护工作的部门应当制定本行业、本领域的网络安全事件应急预案,并定期组织演练。


“以战养兵”,为推进关键信息基础设施的安全监测、应急响应等保障能力,主管部门牵头组织网络攻防演习。通过组织攻防两方展开网络安全较量,旨在检测出防守方存在的安全漏洞,检验企事业单位关键信息基础设施安全防护能力,提升网络安全应急处置队伍应对能力,完善应急处置流程和工作机制,提升安全事件应急处置综合能力水平。


近年来,为提升我国重要信息系统和关键信息基础设施的安全性,防守方参演单位逐年增多,涉及范围越来越广,加之网络安全法对网络安全应急演练的相关规定,使得网络安全攻防演习活动成为惯例。网络攻防演习活动大致可分四个阶段:备战阶段、实战阶段、决战阶段和总结阶段。


网络安全攻防演习可以验证网络安全等级保护的实施情况,是检验网络安全防护体系的重要手段,也是国家应对网络安全问题采取的重要举措之一。在形势复杂的网络空间安全攻防对抗中,开展网络安全攻防演习对网络运营者践行(落实)等级保护制度有着什么样的意义呢?


健全安全防护体系


《网络安全等级保护条例》征求意见稿第四条:网络安全等级保护工作应当按照突出重点、主动防御、综合防控的原则,建立健全网络安全防护体系,重点保护涉及国家安全、国计民生、社会公共利益的网络的基础设施安全、运行安全和数据安全。

网络安全等级保护基本要求提出针对等级保护对象特点网络运营者需建立安全技术和安全管理体系,并构建相应安全防护等级的网络安全防御体系。

在攻防演习备战阶段,参演单位需对已有信息资产进行识别、分析网络架构及进行安全风险(威胁)识别;同时需成立攻防小组,制定针对性的攻防演练应急预案,并参考网络安全等级保护要求建立安全防御体系。

网络安全攻防演习不仅仅能够促进网络运营者建立安全体系,同时通过攻防对抗可有效检验参与单位网络安全防护体系是否合理。此外,参演单位在攻防演习中能够发现网络安全存在的深层次问题和安全防护体系的薄弱环节,并针对演习中发现的突出问题,组织更大范围的整改工作,建立更有效的安全防御体系。

筑牢网络安全防护基线


网络安全等级保护基本要求包括安全技术要求和安全管理要求,安全技术要求从通信网络到区域边界再到计算环境从外到内的纵深防御、整体防护, 同时考虑对其所处的物理环境的安全防护,对级别较高的等级保护对象还要求对分布在整个系统中的安全功能或安全组件的集中技术管理手段。安全管理涵盖“ 机构”、“ 制度” 和“ 人员”以及系统建设整改和运行维护过程中的重要活动实施控制和管理,对级别较高的等级保护对象需要构建完备的安全管理体系。

在攻防演习备战阶段,参演单位根据网络安全等级保护基本要求对网络和目标系统的关联资产进行安全自查,结合基线核查、配置扫描及漏洞扫描等手段,梳理已有安全措施,发现网络中可能存在的风险。参演单位结合网络中存在的安全问题和已有的安全措施,进行安全措施补充完善、安全加固。在技术方面全面完善基础安全加固、网络区域合理划分、安全监测、风险预警和事件分析等措施;管理方面完善“攻防演习领导小组”工作流程及安全事件应急处置机制。在进行防护目标加固时,应安全技术与管理并重,将制定的针对性技术方案责任到人,按照项目实施计划严格进行进度把控,确保技术整改措施落地。

等级保护基本要求为各行业用户提供结构化和最佳方式处理风险因素的基线,提高业务连续性,及时发现信息系统各个层面的漏洞及风险。基于等级保护基本要求的安全加固可有效规避系统资产存在的高中风险漏洞,筑牢整个网络和系统的安全防护基线,提高信息系统整体防御能力。

推动集中管理平台建设,提升安全威胁感知能力


网络安全等级保护2.0对级别较高的等级保护对象要求对分布在整个系统中的安全功能或安全组件的集中技术管理手段,即建立安全管理中心。安全管理中心旨在将多设备的管理能力集中在统一化平台,进行统一分析、展示风险,并通过全面的信息收集、举证以及全局联动机制,对安全风险进行快速处置,提升管理效率。

在攻防演习实战阶段,攻守双方正式进行演练,防守方保障目标业务系统的安全,需从攻击监测、攻击分析、事件上报、事件研判、攻击阻断、应急响应、漏洞修复和追踪溯源等方面进行全面安全防护。

网络运营者建立安全管理中心,搭建集中化管理平台,构建全局态势感知能力,实现违规事件阻断、异常行为发现,以及动态策略调整,同时可对多维度(全类型)安全事件、异常行为、设备运行情况进行实时监测、告警。防守方通过安全管理中心实时监测业务系统运行情况、业务访问情况、服务器运行状况、服务器访问情况、WEB攻击行为与攻击意图的监控,及时感知系统异常、有效应对0day攻击,提前预警攻击者发起的攻击。此外,安全管理中心日志集中审计功能可帮助防守方分析主机日志、网络设备日志、入侵检测设备日志等信息对攻击行为进行研判,分析攻击行为特点,制定阻断攻击的安全措施并记录攻击阻断操作,并及时汇报。

检验和提高应网络安全应急响应能力


网络安全等级保护安全管理方面,在安全运维管理这一安全类中提出了应急预案管理方面的相关要求,要求网络运营者制定重要事件的应急预案,包括应急处理流程、系统恢复流程等内容;定期对系统相关的人员进行应急预案培训,并进行应急预案的演练。

在攻防演习决战阶段,攻击方发起的各类攻击是检验防守方各部门在遭遇网络攻击时发现和协同处置安全风险的能力,对检验参演单位应急方案有效性和完善网络安全应急响应机制与提高技术防护能力具有重要意义。

在攻防演习总结阶段,参演方充分总结应急预案存在的问题,并提出优化方向,结合等级保护相关要求定期对应急预案进行修订完善。网络运营者基于高效的应急预案管理拉动应急响应能力,从而随时主动地、有预见性地从容应对突发安全事件。

挖掘安全风险,强化网络安全风险意识


网络安全等级保护作为国家网络安全保障领域的基本制度、基本策略和基本方法,它是维护网络空间主权、国家安全、社会秩序和公共利益的根本保障。没有意识到风险是最大的风险,目前网络安全意识教育存在国家和网络安全厂商“一头热”的情况,部分企事业单位和个人安全认识不到位,认为自身网络系统不太重要,被攻击的可能性不大,忽视基本的网络防护,未按照国家相关法律法规落实网络安全等级保护制度。

在网络安全攻防演练中,攻击方对目标的公司组织架构、人员信息和IT资产进行情报和信息的收集,持续挖掘目标系统安全风险,利用参演单位系统存在漏洞(如常见的Weblogic反序列化漏洞、对VPN进行漏洞攻击等)、风险点(弱口令、特权账号、高危端口等)或挖掘高危漏洞(如0day)直接攻破重要目标系统,使得参演单位亲自体验和感受网络被攻破的后果。通过攻防演习的方式为参演单位提供直观的网络安全意识教育,有助于各领域管理和技术人员明白网络存在的安全威胁,认识到网络攻击的危害,更能够增强其对网络风险认知的直观性。

网络攻防演练是攻与守的对抗,是网络安全体系的一个重要环节,对开展等级保护工作具有独特的实战价值,一方面能够检验网络运营者落实网络安全等级保护制度的情况,另一方面也能够促进等级保护对象安全体系的建设、安全防护能力的提升以及强化公民网络安全意识。

攻与守之间并不存在绝对的优势,双方都在攻与守的对立中寻求突破。随着网络攻防常态化,网络运营者们应正视演习,知晓攻防演习对网络安全的意义,避免极端防守;重视演习,时刻在备战状态,切勿临时防护;强化安全防护能力,提升应对新型未知威胁的攻击。

服务热线

138-6598-3726

产品和特性

价格和优惠

安徽灵狐网络公众号

微信公众号