《中华人民共和国网络安全法》(以下简称“网络安全法”)于 2017 年 6 月 1 日起正式施行。网络安全法要求,国家网信部门应当统筹协调有关部门定期组织关键信息基础设施的运营者进行网络安全应急演练,提高应对网络安全事件的水平和协同配合能力。
演练一般在真实网络环境下进行,依托攻防演练平台,组织具有丰富攻防经验的信息安全技术团队作为攻击队,对目标单位网络和信息系统开展攻击。目标单位组织力量进行防守,双方进行真实环境下的攻防实战攻防演练,以检验目标单位网络和信息系统安全防护、应急处置和指挥调度能力,提高目标单位网络综合防御能力。
一、制定攻防演练实施方案
组织开展攻防演练需要由网信部门统筹协调公安机关、网络运营商、网络安全公司和目标单位等相关单位组织制定实施方案,确定演练时间,成立领导小组和演练指挥小组,其中领导小组对演练工作负总责,演练指挥小组由相关单位领导组成,负责演练工作的组织指挥。下设技术支撑组、监督评价组和组织保障组三个实施小组。
1. 技术支撑组: 由承办单位工程师负责攻防过程整体监控,主要工作为攻防过程中的实时状态监控、阻断处置操作等,维护演练 IT 环境和演练监控平台的正常运行。
2. 监督评价组: 由主办单位组织专家组,监督攻击行为是否符合演练规则,并对攻击效果进行评价。专家组负责对演练整体方案进行研究,在演练过程中对攻击效果进行总体把控,对攻击成果进行研判,保障演练安全可控。
3. 组织保障组: 由主办单位和承办单位工作人员组成,负责演练过程中的协调联络和后勤保障等相关事宜,并负责演练中的应急响应工作。
二、制定攻防演练防守方案
攻击强度较大、渗透深度较深,可能会造成个别单位系统崩溃、数据丢失等紧急情况。防守单位必须高度重视实战攻防演练工作,成立专班,认真研究部署,提前做好备份和自查,制定应急预案,做好应急处置工作。演练期间每天提交防守日报告,演练结束后提交防守总结报告。
1. 提前做好网络安全自查。尤其要高度重视弱口令问题,认真发现和清除各系统和网络安全设备中的弱口令 ; 逐个审查并清理无主账号、历史账号,尤其是第三方服务公司私自开设的各类调试、运维账号。
2. 提前做好所有系统各项数据全量备份,提前设置好热备份策略,避免系统被攻击瘫痪后无法恢复数据。
3. 做好网络安全防御和值班值守,随时做好应急处置。安排专业技术人员在演练期间做好值守,若发现系统运行异常要及时处置并报告,确保本单位信息系统的安全。
三、攻防实战分析
1. 攻击报告
(1)攻击过程
通过扫描软件收集目标单位信息资产,获取目标单位 OA 系统网站地址,使用渗透测试工具获取 WebShell 成功。扫描网站发现目标单位 OA 系统服务器存在远程命令执行已知 0day 漏洞,获取主机管理员权限,暴力破解 OA 后台管理员账号,获取 OA 管理权限。继续扫描内网,发现另一系统服务器存在 IPC$ 空口令。猜测域管理员账号密码,某账号测试连接成功,账号密码均为 H****0,登录尝试传递命令,成功获取服务器权限。
(2)攻击成果
利用目标 OA 系统存在已知远程命令执行 0day漏洞、IPC$ 空口令和域管弱口令,成功获取两台服务器权限和 OA 后台管理权限。
………………
网络安全攻防演练成果分析 PDF 完整版下载(文字可复制):
https://www.aliyundrive.com/s/Hihix82Suqh 提取码: 9h9y