網絡安全防護技戰法報告

網絡安全防護技戰法報告

一、防守技戰法概述

為了順利完成本次護網行動任務，切實加強網絡安全防護能力，XXXX設立HW2019領導組和工作組，工作組下設技術組和協調組。護網工作組由各部門及各二級單位信息化負責人組成，由股份公司副總裁擔任護網工作組的組長。

為提高護網工作組人員的安全防護能力，對不同重要系統進行分等級安全防護，從互聯網至目標系統，依次設置如下三道安全防線：

第一道防線：集團總部互聯網邊界防護、二級單位企業互聯網邊界防護。

第二道防線：廣域網邊界防護、DMZ區邊界防護。

第三道防線：目標系統安全域邊界防護、VPN。

根據三道防線現狀，梳理出主要防護內容，包括但不限於：梳理對外發布的互聯網應用系統,設備和安全措施，明確相關責任人，梳理網絡結構，重要的或需要重點保護的信息系統、應用系統與各服務器之間的拓撲結構，網絡安全設備及網絡防護情況， SSLVPN和IPSECVPN接入情況。集團廣域網、集團專線邊界，加強各單位集團廣域網、集團專線邊界防護措施，無線網邊界，加強對無線WIFI、藍牙等無線通信方式的管控，關閉不具備安全條件及不必要開啟的無線功能。

結合信息化資產梳理結果，攻防演習行動安全保障小組對集團信息化資產及重點下屬單位的網絡安全狀況進行安全風險評估和排查，確認薄弱環節以便進行整改加固。

二、 防守技戰法詳情

2.1 第一道防線--互聯網邊界及二級單位防護技戰法

2.1.1 安全感知防禦、檢測及響應

構建從“雲端、邊界、端點”+“安全感知”的防禦機制。相關防護思路如下：

防禦能力：是指一系列策略集、產品和服務可以用於防禦攻擊。這個方面的關鍵目標是通過減少被攻擊面來提升攻擊門檻，並在受影響前攔截攻擊動作。

檢測能力：用於發現那些逃過防禦網絡的攻擊，該方面的關鍵目標是降低威脅造成的“停擺時間”以及其他潛在的損失。檢測能力非常關鍵，因為企業應該假設自己已處在被攻擊狀態中。

響應能力：系統一旦檢測到入侵，響應系統就開始工作，進行事件處理。響應包括緊急響應和恢復處理，恢復處理又包括系統恢復和信息恢復。

2.1.2 安全可視及治理

l 全網安全可視

結合邊界防護、安全檢測、內網檢測、管理中心、可視化平台，基於行為和關聯分析技術，對全網的流量實現全網應用可視化，業務可視化，攻擊與可疑流量可視化，解決安全黑洞與安全窪地的問題。

l 動態感知

採用大數據、人工智能技術安全，建立了安全態勢感知平台，為所有業務場景提供雲端的威脅感知能力。通過對邊界網絡流量的全流量的感知和分析，來發現邊界威脅。通過潛伏威脅探針、安全邊界設備、上網行為感系統，對服務器或終端上面的文件、數據與通信進行安全監控，利用大數據技術感知數據來發現主動發現威脅。

2.1.3 互聯網及二級單位的區域隔離

在互聯網出口，部署入侵防禦IPS、上網行為管理，提供網絡邊界隔離、訪問控制、入侵防護、殭屍網絡防護、木馬防護、病毒防護等。

在廣域網接入區邊界透明模式部署入侵防禦系統，針對專線接入流量進行控制和過濾。

辦公網區應部署終端檢測和響應/惡意代碼防護軟件，開啟病毒防護功能、文件監測，並及時更新安全規則庫，保持最新狀態。

服務器區部署防火牆和WEB應用防火牆，對數據中心威脅進行防護；匯聚交換機處旁路模式部署全流量探針，對流量進行監測並同步至態勢感知平台；部署數據庫審計系統，進行數據庫安全審計。

在運維管理區，部署堡壘機、日誌審計、漏洞掃描設備，實現單位的集中運維審計、日誌審計和集中漏洞檢查功能。

互聯網出口處安全加固

互聯網出口處雙機部署了因特網防火牆以及下一代防火牆進行出口處的防護，在攻防演練期間，出口處防火牆通過對各類用户權限的區分，不同訪問需求，可以進行精確的訪問控制。通過對終端用户、分支機構不同的權限劃分保障網絡受控有序的運行。

對能夠通過互聯網訪問內網的網絡對象IP地址進行嚴格管控，將網段內訪問IP地址段進行細化，儘量落實到個人靜態IP。

開啟精細化應用控制策略，設置多條應用控制策略，指定用户才可以訪問目標業務系統應用，防止出現因為粗放控制策略帶來的互聯網訪問風險。

對所有通過聯網接入的用户IP或IP地址段開啟全面安全防護策略，開啟防病毒、防殭屍網絡、防篡改等防護功能。

通過對全網進行訪問控制、明確權限劃分可以避免越權訪問、非法訪問等情況發生，減少安全事件發生概率。

護網行動開始之前，將防火牆所有安全規則庫更新到最新，能夠匹配近期發生的絕大部分已知威脅，並通過SAVE引擎對未知威脅進行有效防護。

攻防演練期間，通過互聯網訪問的用户需要進行嚴格的認證策略和上網策略，對上網用户進行篩選放通合法用户阻斷非法用户，同時對於非法url網站、風險應用做出有效管控。根據企業實際情況選擇合適流控策略，最後對於所有員工的上網行為進行記錄審計。

攻防演練期間，需要將上網行為管理設備的規則庫升級到最新，避免近期出現的具備威脅的URL、應用等在訪問時對內網造成危害。

DMZ區應用層安全加固

當前網絡內，DMZ區部署了WEB應用防火牆對應用層威脅進行防護，保證DMZ區域內的網站系統、郵件網關、視頻會議系統的安全

攻防演練期間，為了降低用從互聯網出口處訪問網站、郵件、視頻的風險，防止攻擊手通過互聯網出口訪問DMZ區，進行頁面篡改、或通過DMZ區訪問承載系統數據的服務器區進行破壞，需要設置嚴格的WEB應用層防護策略，保證DMZ區安全。

通過設置WEB用用防護策略，提供OWASP定義的十大安全威脅的攻擊防護能力，有效防止常見的web攻擊。（如，SQL注入、XSS跨站腳本、CSRF跨站請求偽造）從而保護網站免受網站篡改、網頁掛馬、隱私侵犯、身份竊取、經濟損失、名譽損失等問題。

2.2 第二道防線-數據中心防護技戰法

總部數據中心從防禦層面、檢測層面、響應層面及運營層面構建縱深防禦體系。在現有設備的基礎上，解決通號在安全建設初期單純滿足合規性建設的安全能力，缺乏完善的主動防禦技術和持續檢測技術帶來的風險。主要解決思路如下：

1、基於安全風險評估情況，夯實基礎安全架構

通過持續性的風險評估，進行安全架構的升級改造，縮小攻擊面、減少風險暴露時間。包括：安全域改造、邊界加固、主機加固等內容。

2、加強持續檢測和快速響應能力，進一步形成安全體系閉環

針對內網的資產、威脅及風險，進行持續性檢測；基於威脅情報驅動，加強雲端、邊界、端點的聯動，實現防禦、檢測、響應閉環。

3、提升企業安全可視與治理能力，讓安全瞭然於胸

基於人工智能、大數據技術，提升全網安全風險、脆弱性的可視化能力，大幅度提升安全運維能力，以及應急響應和事件追溯能力。

2.2.1 邊界防禦層面

原有的邊界防護已較完善，無需進行架構變動，只需要確保防禦設備的策略有效性和特徵庫的及時更新。針對目標系統，通過在目標系統接入交換機和匯聚交換機之間透明部署一台下一代防火牆，實現目標系統的針對性防護，防止服務器羣內部的橫向威脅。

下一代防火牆除基本的ACL訪問控制列表的方法予以隔離以外，針對用户實施精細化的訪問控制、應用限制、帶寬保證等管控手段。通號業務系統中存在對外發布的網站、業務等，因此需要對WEB應用層進行有效防護，通過下一代防火牆提供SQL注入、跨站腳本、CC攻擊等檢測與過濾，避免Web服務器遭受攻擊破壞；支持外鏈檢查和目錄訪問控制，防止Web Shell和敏感信息泄露，避免網頁篡改與掛馬，滿足通號Web服務器深層次安全防護需求。

根據現有網絡，核心交換區部署了應用性能管理系統，攻防演練期間，需要對應用性能管理系統進行實時關注，應用出現異常立即上報，並定位責任人進行處置，保證網絡性能穩定，流暢運行。

核心交換機雙機部署了兩台防火牆，物理上旁路部署，邏輯上通過引流所有流量都經過防火牆，通過防火牆對服務器區和運維管理區提供邊界訪問控制能力，進行安全防護。

攻防演練期間，核心交換區防火牆進行策略調優，對訪問服務器區和運維管理區的流量數據進行嚴格管控，對訪問服務器區內目標系統請求進行管控；防止安全威脅入侵運維管理區，對整體網絡的安全及運維進行破壞，獲取運維權限。

攻防演練期間，在各分支機構的邊界，通過對各類用户權限的區分，各分支機構的不同訪問需求，可以進行精確的訪問控制。通過對終端用户、分支機構不同的權限劃分保障網絡受控有序的運行。

專線接入及直連接入分支通過廣域網接入區的路由器-下一代防火牆-上網行為管理-核心交換機-服務器區的路徑進行訪問，因此通過完善下一代防火牆防護策略，達到安全加固的目的。

通過對全網進行訪問控制、明確權限劃分可以避免越權訪問、非法訪問等情況發生，減少安全事件發生概率。

攻防演練前，需要對下一代防火牆的各類規則庫、防護策略進行更新和調優。

2.2.2 端點防禦層面

服務器主機部署終端檢測響應平台EDR，EDR基於多維度的智能檢測技術，通過人工智能引擎、行為引擎、雲查引擎、全網信譽庫對威脅進行防禦。

終端主機被入侵攻擊，導致感染勒索病毒或者挖礦病毒，其中大部分攻擊是通過暴力破解的弱口令攻擊產生的。EDR主動檢測暴力破解行為，並對發現攻擊行為的IP進行封堵響應。針對Web安全攻擊行為，則主動檢測Web後門的文件。針對殭屍網絡的攻擊，則根據殭屍網絡的活躍行為，快速定位殭屍網絡文件，並進行一鍵查殺。

進行關聯檢測、取證、響應、溯源等防護措施，與AC產品進行合規認證審查、安全事件響應等防護措施，形成應對威脅的雲管端立體化縱深防護閉環體系。

2.3 第三道防線-目標系統防護技戰法

本次攻防演練目標系統為資金管理系統及PLM系統，兩個系統安全防護思路及策略一致，通過APDRO模型及安全策略調優達到目標系統從技術上不被攻破的目的。

2.3.1 網絡層面

在網絡層面為了防止來自服務器羣的橫向攻擊，同時針對業務系統進行有針對性的防護，通過部署在目標系統邊界的下一代防火牆對這些業務信息系統提供安全威脅識別及阻斷攻擊行為的能力。

同時通過增加一台VPN設備單獨發佈目標系統，確保對目標系統的訪問達到最小權限原則。

子公司及辦公樓訪問目標系統，需要通過登錄新建的護網專用VPN系統，再進行目標系統訪問，並通過防火牆實現多重保障機制。

系統多因子認證構建

為了保證攻防演練期間管理人員接入資金管理系統的安全性，接入資金管理系統時，需要具備以下幾項安全能力：一是用户身份的安全；二是接入終端的安全；三是數據傳輸的安全；四是權限訪問安全；五是審計的安全；六是智能終端訪問業務系統數據安全性。

因此需要對能夠接入資金管理系統的用户進行統一管理，並且屏蔽有風險訪問以及不可信用户；使用專用SSL VPN對資金管理系統進行資源發佈；為需要接入資金管理系統的用户單獨創建SSL VPN賬號，並開啟短信認證+硬件特徵碼認證+賬户名密碼認證，屏蔽所有不可信任用户訪問，對可信用户進行強管控。

對接入的可信用户進行強管控認證仍會存在訪問風險，因此需要邊界安全設備進行邊界安全加固。

系統服務器主機正常運行是業務系統正常工作的前提，服務器可能會面臨各類型的安全威脅，因此需要建設事前、事中、事後的全覆蓋防護體系：

l 事前，快速的進行風險掃描，幫助用户快速定位安全風險並智能更新防護策略；

l 事中，有效防止了引起網頁篡改問題、網頁掛馬問題、敏感信息泄漏問題、無法響應正常服務問題及“拖庫”、“暴庫”問題的web攻擊、漏洞攻擊、系統掃描等攻擊；

l 事後，對服務器外發內容進行安全檢測，防止攻擊繞過安全防護體系、數據泄漏問題。

同時，為了保證安全威脅能夠及時被發現並處置，因此需要構建一套快速聯動的處理機制：本地防護與整體網絡聯動、雲端聯動、終端聯動，未知威脅預警與防護策略，實時調優策略；深度解析內網未知行為，全面安全防護；週期設備巡檢，保障設備穩定健康運行；雲端工單跟蹤，專家複審，週期性安全彙報；通過關聯全網安全日誌、黑客行為建模，精準預測、定位網絡中存在的高級威脅、殭屍主機，做到實時主動響應。

在業務系統交換機與匯聚交換機之間部署下一代防火牆，根據資產梳理中收集到的可信用户IP、端口號、責任人等信息，在下一代防火牆的訪問控制策略中開啟白名單，將可信用户名單添加到白名單中，白名單以外的任何用户訪問業務系統都會被拒絕，保證了區域內的服務器、設備安全。

2.3.2 應用層面

下一代防火牆防病毒網關的模塊可實現各個安全域的流量清洗功能，清洗來自其他安全域的病毒、木馬、蠕蟲，防止各區域進行交叉感染；

下一代防火牆基於語義分析技術提供標準語義規範識別能力，進一步還原異變的web攻擊；應用AI人工智能，基於海量web攻擊特徵有效識別未知的web威脅。基於AI構建業務合規基線，基於廣泛的模式學習提取合規的業務操作邏輯，偏離基線行為的將會被判定為web威脅，提升web威脅識別的精準度。

下一代防火牆以人工智能SAVE引擎為WEB應用防火牆的智能檢測核心，輔以雲查引擎、行為分析等技術，使達到高檢出率效果並有效洞悉威脅本質。威脅攻擊檢測、多維度處置快速響應，有效解決現有信息系統安全問題。

目前通號服務器區安全建設存在以下問題一是以邊界防護為核心，缺乏以整體業務鏈視角的端到端的整體動態防護的思路；二以本地規則庫為核心，無法動態有效檢測已知威脅；三是沒有智能化的大數據分析能力，無法感知未知威脅；四是全網安全設備之間的數據不能共享，做不到智能聯動、協同防禦。

在保留傳統安全建設的能力基礎上，將基於人工智能、大數據等技術，按照“業務驅動安全”的理念，採用全網安全可視、動態感知、閉環聯動、軟件定義安全等技術，建立涵蓋數據安全、應用安全、終端安全等的“全業務鏈安全”。

為了保證訪問資金管理系統訪問關係及時預警及安全可視化，需要將訪問目標系統的所有流量進行深度分析，及時發現攻擊行為。

在在業務系統交換機旁路部署潛伏威脅探針，對訪問資金管理系統的所有流量進行採集和初步分析，並實時同步到安全態勢感知平台進行深度分析，並將分析結果通過可視化界面呈現。

2.3.3 主機層面

下一代防火牆通過服務器防護功能模塊的開啟，可實現對各個區域的Web服務器、數據庫服務器、FTP服務器等服務器的安全防護。防止黑客利用業務代碼開發安全保障不利，使得系統可輕易通過Web攻擊實現對Web服務器、數據庫的攻擊造成數據庫信息被竊取的問題；

下一代防火牆通過風險評估模塊對服務器進行安全體檢，通過一鍵策略部署的功能WAF模塊的對應策略，可幫助管理員的實現針對性的策略配置；

利用下一代防火牆入侵防禦模塊可實現對各類服務器操作系統漏洞（如：winserver2003、linux、unix等）、應用程序漏洞（IIS服務器、Apache服務器、中間件weblogic、數據庫oracle、MSSQL、MySQL等）的防護，防止黑客利用該類漏洞通過緩衝區溢出、惡意蠕蟲、病毒等應用層攻擊獲取服務器權限、使服務器癱瘓導致服務器、存儲等資源被攻擊的問題；

針對系統的服務器主機系統訪問控制策略需要對服務器及終端進行安全加固，加固內容包括但不限於：限制默認帳户的訪問權限，重命名系統默認帳户，修改帳户的默認口令，刪除操作系統和數據庫中過期或多餘的賬户，禁用無用帳户或共享帳户；根據管理用户的角色分配權限，實現管理用户的權限分離，僅授予管理用户所需的最小權限；啟用訪問控制功能，依據安全策略控制用户對資源的訪問；加強終端主機的病毒防護能力並及時升級惡意代碼軟件版本以及惡意代碼庫。

通過終端檢測響應平台的部署，監測服務器主機之間的東西向流量，開啟定時查殺和漏洞補丁、實時文件監控功能，限制服務器主機之間互訪，及時進行隔離防止服務器主機實現並橫向傳播威脅。並且通過攻擊鏈舉證進行攻擊溯源。

2.4 攻防演練-檢測與響應技戰法

2.4.1 預警分析

通過7*24小時在線的安全專家團隊和在線安全監測與預警通報平台，即可對互聯網業務進行統一監測，統一預警。雲端專家7*24小時值守，一旦發現篡改、漏洞等常規安全事件，即可實時進行處置。對於webshell、後門等高階事件，可以及時升級到技術分析組進行研判，一旦確認，將會實時轉交應急響應組進行處置。

監測與相應組成員實時監控安全檢測類設備安全告警日誌，並根據攻擊者特徵分析入侵事件，記錄事件信息，填寫文件並按照流程上報。

若同一來源IP地址觸發多條告警，若觸發告警時間較短，判斷可能為掃描行為，若告警事件的協議摘要中存在部分探測驗證payload，則確認為漏洞掃描行為，若協議摘要中出現具有攻擊性的payload，則確認為利用漏洞執行惡意代碼。

若告警事件為服務認證錯誤，且錯誤次數較多，認證錯誤間隔較小，且IP地址為同一IP地址，則判斷為暴力破解事件；若錯誤次數較少，但超出正常認證錯誤頻率，則判斷為攻擊者手工嘗試弱口令。

2.4.2 應急處置

應急處置組對真實入侵行為及時響應，並開展阻斷工作，協助排查服務器上的木馬程序，分析攻擊者入侵途徑並溯源。

安全事件的處置步驟如下：

(1)根據攻擊者入侵痕跡及告警詳情，判斷攻擊者的入侵途徑。

(2)排查服務器上是否留下後門，若存在後門，在相關責任人的陪同下清理後門。

(3)分析攻擊者入侵之後在服務器上的詳細操作，並根據相應的安全事件應急處置措施及操作手冊展開應對措施。

(4)根據排查過程中的信息進行溯源。

(5)梳理應急處置過程，輸出安全建議。

2.4.3 事件上報

對發現確認的入侵事件，一經確認，快速編寫事件報告，上報給公安部。