随着互联网、大数据和人工智能的迅速发展,网络技术应用在人们生产生活各个方面,我国境内重要行业、关键领域的信息系统频受攻击,利用互联网传播有害信息和网络违法犯罪的事件不断爆发,我国网络安全防护能力差、网络安全管理体系不健全、网络安全人才缺乏、全社会的网络安全意识淡薄,同时网络安全核心技术受制于人等现实情况造成我国网络安全面临严重的威胁。本文通过探讨开展网络安全实战攻防演练,对关键信息基础设施模拟现实网络环境下的实战检验,不断提升网络安全的风险意识和责任意识,保障各应用系统和数据运行安全。
进入新世纪,以信息技术为核心的新一轮科技革命已经孕育兴起,互联网日益成为创新驱动发展的先导力量,深刻改变着人们的生产生活。党的十九届五中全会在《中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议》中明确提出,要“坚定维护国家政权安全、制度安全、意识形态安全,全面加强网络安全保障体系和能力建设”,并将其纳入国家安全体系和能力建设范畴,充分体现了党中央和国务院对网络安全高度重视。
如何提高我国重要行业和关键领域的网络安全,开展网络安全实战化攻防演练作为国家层面促进各个行业重要信息系统顺利建设、加强关键信息基础设施的网络安全防护、提升应急响应水平等的关键,以实战的方式促进网络安全保障能力提升,具有非常重要的意义。
一、概述
网络安全攻防演练是以获取指定目标系统(标靶系统)的管理权限为目标的攻防演练,由攻防领域经验丰富的红队专家组成攻击队,在保障业务系统稳定运行的前提下,采用“不限攻击路径,不限制攻击手段”的贴合实战方式,而形成的“有组织”的网络攻击行动。攻防演练通常是在真实网络环境下对参演单位目标系统进行全程可控、可审计的实战攻击,拟通过演练检验参演单位的安全防护和应急处置能力,提高网络安全的综合防控能力。
二、演练目的
全面检验并提升参演单位网络安全意识和关键信息基础设施安全防护能力和水平,及时查找发现重点单位网络安全存在的深层次问题和隐患;进一步加强重点单位各部门协调配合能力;提高攻防双方的技术对抗和谋略斗争能力;针对演练发现的突出问题,组织进行全面整改,举一反三,排查化解网络安全领域重大风险,全面提升参演单位网络空间综合防御和应急处置保障能力。
三、演练原则
对被选定攻击目标系统在不通知具体时间的情况下,以模拟实战的方式检验其安全防护和应急响應能力。演练期间严格遵循“安全可控、真实对抗”原则。一是确保攻击通道、攻击手段、攻击范围、攻击力道受控。二是演练过程与数据安全受控。三是整体演练活动风险可控。
四、组织保障
成立网络安全攻防演练指挥部(以下简称“指挥部”),负责统筹指挥协调攻防演练活动。
成立裁判组。在指挥部的领导下,负责攻防过程中实时状态监控、及时阻断非法操作,维护演练网络环境和演练正常运转,确保演练活动安全可控。在演练过程中对攻击、防守效果进行分析研判,判定相应分数,依据公平公正的原则对参演攻守双方排名。
成立专家组。对工作流程、攻击、损伤效果和裁判组裁定的结果进行监督和复核,将攻防演练的过程和结果形成总结材料向指挥部报告。
成立攻击队。由国内顶尖网络安全公司选派专业技术人员组成的攻击队,在指挥部的领导下,对选定的目标按计划开展网络攻击。
成立救援组。在指挥部的领导下,参与救援和现场勘验,并做好调查取证。负责攻防演练中被攻击目标出现意外损失之后的应急恢复和通信联络。
成立后勤保障组。在指挥部的领导下,组织演练平台搭建、系统测试、组织培训、后勤保障,现场录像、新闻宣传、制作视频资料。
五、演练阶段
在确定演练时间、地点和参演单位的前提下,制定详细的演练工作方案按规定部署开展:
第一阶段:准备阶段,保证演习的合法性及有效性,提前通知攻击队伍,让各攻击队伍提前准备。包含需求调研、资产梳理、环境准备、平台搭建、演习备案、攻防准备、预案制定、安全培训等。
第二阶段:正式演习,攻方和守方的实时状态以及比分状况将通过安全可靠的方式接入到攻防演习大屏,可以随时进行指导、视察。包含:攻击、防守、研判和分析。
第三阶段:总结汇报,演习结束后,将组织专家、攻防双方对整个演习过程进行复盘总结,并把演习成果形成最终的评估报告,评估系统的脆弱性、面临的威胁以及脆弱性被威胁源利用的可能性,形成后续信息安全建设投资的指引文件。包括资源回收、最终报告、改进报告、总结汇报。
六、相关要求
演练过程中要保证被攻击系统的可用性,不得采用断网、关闭服务等方式妨碍演练活动。演练开始后应采取适当的技术措施对被攻击系统进行监测,在监测到可疑行为时应及时保存监控视频和截屏数据,并及时通过演练平台上报指挥部;演练结束后应根据指挥部提供的整改报告对演练发现的安全问题进行整改。
(一)保密要求
攻击队员和裁判员必须签订保密协议,参演单位不得向攻击队人员提供系统安全弱点、防守措施等信息,所有参与方在未经指挥部授权的情况下,不得向外界公布演练过程和演练结果。
(二)处置要求
指挥部在演练前列出演练攻击队的攻击源IP白名单,所有演练攻击IP均备案,当发现攻击行为后,立即通过演练平台告知指挥部,经裁判组确认后,告知是否可以阻断以及何时进行阻断,不得私自阻断攻击源白名单IP。
(三)系统监控和应急响应
各参演单位对演练目标系统实时监控,加强人员值守,建立应急响应机制,并在演练开始前严格做好数据备份。在发现各应用系统被网络攻击后应及时启动应急机制,快速响应、快速恢复数据和应用。如发现被攻击目标出现严重损失,要及时向演练指挥部救援组报告,请求帮助。
七、结束语
总之,没有网络安全就没有国家安全。要高度重视网络安全,加强网络安全风险评估和审查。加快网络安全基础设施建设,强化跨领域网络安全信息共享和工作协同,开展网络安全攻防演练,提升网络安全威胁发现、监测预警、应急指挥、攻击溯源能力,全面提高我国关键信息基础设施的网络安全。