網絡安全防護技戰法報告一、 防守技戰法概述為了順利完成本次護網行動任務，切實加強網絡安全防護能力，XXXX設立HW2019領導組和工作組，工作組下設技術組和協調組。護網工作組由各部門及各二級單位信息化負責人組成，由股份公司副總裁擔任護網工作組的組長。為提高護網工作組人員的安全防護能力，對不同重要系統進行分等級安全防護，從互聯網至目標系統，依次設置如下三道安全防線：第一道防線：集團總部互聯網邊界防護、二級單位企業互聯網邊界防護。第二道防線：廣域網邊界防護、DMZ區邊界防護。第三道防線：目標系統安全域邊界防護、VPN。根據三道防線現狀，梳理出主要防護內容，包括但不限于：梳理對外發布的互聯網應用系統，設備和安全措施，明確相關責任人，梳理網絡結構，重要的或需要重點保護的信息系統、應用系統與各服務器之間的拓撲結構，網絡安全設備及網絡防護情況，SSLVPN和IPSECVPN接入情況。集團廣域網、集團專線邊界，加強各單位集團廣域網、集團專線邊界防護措施，無線網邊界，加強對無線WIFI、藍牙等無線通信方式的管控，關閉不具備安全條件及不必要開啟的無線功能。結合信息化資產梳理結果，攻防演習行動安全保障小組對集團信息化資產及重點下屬單位的網絡安全狀況進行安全風險評估和排查，確認薄弱環節以便進行整改加固。二、 防守技戰法詳情2.1第一道防線一互聯網邊界及二級單位防護技戰法2.1.1安全感知防御、檢測及響應構建從“云端、邊界、端點”+“安全感知”的防御機制。相關防護思路如下：防御能力：是指一系列策略集、產品和服務可以用于防御攻擊。這個方面的關鍵目標是通過減少被攻擊面來提升攻擊門檻，并在受影響前攔截攻擊動作。檢測能力：用于發現那些逃過防御網絡的攻擊，該方面的關鍵目標是降低威脅造成的“停擺時間”以及其他潛在的損失。檢測能力非常關鍵，因為企業應該假設自己已處在被攻擊狀態中。響應能力：系統一旦檢測到入侵，響應系統就開始工作，進行事件處理。響應包括緊急響應和恢復處理，恢復處理又包括系統恢復和信息恢復。2.1.2安全可視及治理l全網安全可視結合邊界防護、安全檢測、內網檢測、管理中心、可視化平臺，基于行為和關聯分析技術，對全網的流量實現全網應用可視化，業務可視化，攻擊與可疑流量可視化，解決安全黑洞與安全洼地的問題。l動態感知采用大數據、人工智能技術安全，建立了安全態勢感知平臺，為所有業務場景提供云端的威脅感知能力。通過對邊界網絡流量的全流量的感知和分析，來發現邊界威脅。通過潛伏威脅探針、安全邊界設備、上網行為感系統，對服務器或終端上面的文件、數據與通信進行安全監控，利用大數據技術感知數據來發現主動發現威脅。2.1.3互聯網及二級單位的區域隔離在互聯網出口，部署入侵防御IPS、上網行為管理，提供網絡邊界隔離、訪問控制、入侵防護、僵尸網絡防護、木馬防護、病毒防護等。在廣域網接入區邊界透明模式部署入侵防御系統，針對專線接入流量進行控制和過濾。辦公網區應部署終端檢測和響應/惡意代碼防護軟件，開啟病毒防護功能、文件監測，并及時更新安全規則庫，保持最新狀態。服務器區部署防火墻和WEB應用防火墻，對數據中心威脅進行防護；匯聚交換機處旁路模式部署全流量探針，對流量進行監測并同步至態勢感知平臺；部署數據庫審計系統，進行數據庫安全審計。在運維管理區，部署堡壘機、日志審計、漏洞掃描設備，實現單位的集中運維審計、日志審計和集中漏洞檢查功能。互聯網出口處安全加固互聯網出口處雙機部署了因特網防火墻以及下一代防火墻進行出口處的防護，在攻防演練期間，出口處防火墻通過對各類用戶權限的區分，不同訪問需求，可以進行精確的訪問控制。通過對終端用戶、分支機構不同的權限劃分保障網絡受控有序的運行。對能夠通過互聯網訪問內網的網絡對象IP地址進行嚴格管控，將網段內訪問IP地址段進行細化，盡量落實到個人靜態IP。開啟精細化應用控制策略，設置多條應用控制策略，指定用戶才可以訪問目標業務系統應用，防止出現因為粗放控制策略帶來的互聯網訪問風險。對所有通過聯網接入的用戶IP或IP地址段開啟全面安全防護策略，開啟防病毒、防僵尸網絡、防篡改等防護功能。通過對全網進行訪問控制、明確權限劃分可以避免越權訪問、非法訪問等情況發生，減少安全事件發生概率。護網行動開始之前，將防火墻所有安全規則庫更新到最新，能夠匹配近期發生的絕大部分已知威脅，并通過SAVE引擎對未知威脅進行有效防護。攻防演練期間，通過互聯網訪問的用戶需要進行嚴格的認證策略和上網策略，對上網用戶進行篩選放通合法用戶阻斷非法用戶，同時對于非法成】網站、風險應用做出有效管控。根據企業實際情況選擇合適流控策略，最后對于所有員工的上網行為進行記錄審計。攻防演練期間，需要將上網行為管理設備的規則庫升級到最新，避免近期出現的具備威脅的URL、應用等在訪問時對內網造成危害。DMZ區應用層安全加固當前網絡內，DMZ區部署了WEB應用防火墻對應用層威脅進行防護，保證DMZ區域內的網站系統、郵件網關、視頻會議系統的安全攻防演練期間，為了降低用從互聯網出口處訪問網站、郵件、視頻的風險，防止攻擊手通過互聯網出口訪問DMZ區，進行頁面篡改、或通過DMZ區訪問承載系統數據的服務器區進行破壞，需要設置嚴格的WEB應用層防護策略，保證DMZ區安全。通過設置WEB用用防護策略，提供OWASP定義的十大安全威脅的攻擊防護能力，有效防止常見的web攻擊。（如，SQL注入、XSS跨站腳本、CSRF跨站請求偽造）從而保護網站免受網站篡改、網頁掛馬、隱私侵犯、身份竊取、經濟損失、名譽損失等問題。2.2第二道防線-數據中心防護技戰法總部數據中心從防御層面、檢測層面、響應層面及運營層面構建縱深防御體系。在現有設備的基礎上，解決通號在安全建設初期單純滿足合規性建設的安全能力，缺乏完善的主動防御技術和持續檢測技術帶來的風險。主要解決思路如下：1、基于安全風險評估情況，夯實基礎安全架構通過持續性的風險評估，進行安全架構的升級改造，縮小攻擊面、減少風險暴露時間。包括：安全域改造、邊界加固、主機加固等內容。2、 加強持續檢測和快速響應能力，進一步形成安全體系閉環針對內網的資產、威脅及風險，進行持續性檢測；基于威脅情報驅動，加強云端、邊界、端點的聯動，實現防御、檢測、響應閉環。3、 提升企業安全可視與治理能力，讓安全了然于胸基于人工智能、大數據技術，提升全網安全風險、脆弱性的可視化能力，大幅度提升安全運維能力，以及應急響應和事件追溯能力。2.2.1邊界防御層面原有的邊界防護已較完善，無需進行架構變動，只需要確保防御設備的策略有效性和特征庫的及時更新。針對目標系統，通過在目標系統接入交換機和匯聚交換機之間透明部署一臺下一代防火墻，實現目標系統的針對性防護，防止服務器群內部的橫向威脅。下一代防火墻除基本的ACL訪問控制列表的方法予以隔離以外，針對用戶實施精細化的訪問控制、應用限制、帶寬保證等管控手段。通號業務系統中存在對外發布的網站、業務等，因此需要對WEB應用層進行有效防護，通過下一代防火墻提供SQL注入、跨站腳本、CC攻擊等檢測與過濾，避免Web服務器遭受攻擊破壞；支持外鏈檢查和目錄訪問控制，防止WebShell和敏感信息泄露，避免網頁篡改與掛馬，滿足通號Web服務器深層次安全防護需求。根據現有網絡，核心交換區部署了應用性能管理系統，攻防演練期間，需要對應用性能管理系統進行實時關注，應用出現異常立即上報，并定位責任人進行處置，保證網絡性能穩定，流暢運行。核心交換機雙機部署了兩臺防火墻，物理上旁路部署，邏輯上通過引流所有流量都經過防火墻，通過防火墻對服務器區和運維管理區提供邊界訪問控制能力，進行安全防護。攻防演練期間，核心交換區防火墻進行策略調優，對訪問服務器區和運維管理區的流量數據進行嚴格管控，對訪問服務器區內目標系統請求進行管控；防止安全威脅入侵運維管理區，對整體網絡的安全及運維進行破壞，獲取運維權限。攻防演練期間，在各分支機構的邊界，通過對各類用戶權限的區分，各分支機構的不同訪問需求，可以進行精確的訪問控制。通過對終端用戶、分支機構不同的權限劃分保障網絡受控有序的運行。專線接入及直連接入分支通過廣域網接入區的路由器-下一代防火墻-上網行為管理-核心交換機-服務器區的路徑進行訪問，因此通過完善下一代防火墻防護策略，達到安全加固的目的。通過對全網進行訪問控制、明確權限劃分可以避免越權訪問、非法訪問等情況發生，減少安全事件發生概率。攻防演練前，需要對下一代防火墻的各類規則庫、防護策略進行更新和調優。2.2.2端點防御層面服務器主機部署終端檢測響應平臺EDR，EDR基于多維度的智能檢測技術，通過人工智能引擎、行為引擎、云查引擎、全網信譽庫對威脅進行防御。終端主機被入侵攻擊，導致感染勒索病毒或者挖礦病毒，其中大部分攻擊是通過暴力破解的弱口令攻擊產生的°EDR主動檢測暴力破解行為，并對發現攻擊行為的IP進行封堵響應。針對Web安全攻擊行為，則主動檢測Web后門的文件。針對僵尸網絡的攻擊，則根據僵尸網絡的活躍行為，快速定位僵尸網絡文件，并進行一鍵查殺。進行關聯檢測、取證、響應、溯源等防護措施，與AC產品進行合規認證審查、安全事件響應等防護措施，形成應對威脅的云管端立體化縱深防護閉環體系。2.3第三道防線-目標系統防護技戰法本次攻防演練目標系統為資金管理系統及PLM系統，兩個系統安全防護思路及策略一致，通過APDRO模型及安全策略調優達到目標系統從技術上不被攻破的目的。2.3.1網絡層面在網絡層面為了防止來自服務器群的橫向攻擊，同時針對業務系統進行有針對性的防護，通過部署在目標系統邊界的下一代防火墻對這些業務信息系統提供安全威脅識別及阻斷攻擊行為的能力。同時通過增加一臺VPN設備單獨發布目標系統，確保對目標系統的訪問達到最小權限原則。子公司及辦公樓訪問目標系統，需要通過登錄新建的護網專用VPN系統，再進行目標系統訪問，并通過防火墻實現多重保障機制。系統多因子認證構建為了保證攻防演練期間管理人員接入資金管理系統的安全性，接入資金管理系統時，需要具備以下幾項安全能力：一是用戶身份的安全；二是接入終端的安全；三是數據傳輸的安全；四是權限訪問安全；五是審計的安全；六是智能終端訪問業務系統數據安全性。因此需要對能夠接入資金管理系統的用戶進行統一管理，并且屏蔽有風險訪問以及不可信用戶；使用專用SSLVPN對資金管理系統進行資源發布；為需要接入資金管理系統的用戶單獨創建SSLVPN賬號，并開啟短信認證+硬件特征碼認證+賬戶名密碼認證，屏蔽所有不可信任用戶訪問，對可信用戶進行強管控。對接入的可信用戶進行強管控認證仍會存在訪問風險，因此需要邊界安全設備進行邊界安全加固。系統服務器主機正常運行是業務系統正常工作的前提，服務器可能會面臨各類型的安全威脅，因此需要建設事前、事中、事后的全覆蓋防護體系：l事前，快速的進行風險掃描，幫助用戶快速定位安全風險并智能更新防護策略；l事中，有效防止了引起網頁篡改問題、網頁掛馬問題、敏感信息泄漏問題、無法響應正常服務問題及“拖庫”、“暴庫”問題的web攻擊、漏洞攻擊、系統掃描等攻擊；l事后，對服務器外發內容進行安全檢測，防止攻擊繞過安全防護體系、數據泄漏問題。同時，為了保證安全威脅能夠及時被發現并處置，因此需要構建一套快速聯動的處理機制：本地防護與整體網絡聯動、云端聯動、終端聯動，未知威脅預警與防護策略，實時調優策略；深度解析內網未知行為，全面安全防護；周期設備巡檢，保障設備穩定健康運行；云端工單跟蹤，專家復審，周期性安全匯報；通過關聯全網安全日志、黑客行為建模，精準預測、定位網絡中存在的高級威脅、僵尸主機，做到實時主動響應。在業務系統交換機與匯聚交換機之間部署下一代防火墻，根據資產梳理中收集到的可信用戶IP、端口號、責任人等信息，在下一代防火墻的訪問控制策略中開啟白名單，將可信用戶名單添加到白名單中，白名單以外的任何用戶訪問業務系統都會被拒絕，保證了區域內的服務器、設備安全。2.3.2應用層面下一代防火墻防病毒網關的模塊可實現各個安全域的流量清洗功能，清洗來自其他安全域的病毒、木馬、蠕蟲，防止各區域進行交叉感染；下一代防火墻基于語義分析技術提供標準語義規范識別能力，進一步還原異變的web攻擊；應用AI人工智能，基于海量web攻擊特征有效識別未知的web威脅。基于AI構建業務合規基線，基于廣泛的模式學習提取合規的業務操作邏輯，偏離基線行為的將會被判定為web威脅，提升web威脅識別的精準度。下一代防火墻以人工智能SAVE引擎為WEB應用防火墻的智能檢測核心，輔以云查引擎、行為分析等技術，使達到高檢出率效果并有效洞悉威脅本質。威脅攻擊檢測、多維度處置快速響應，有效解決現有信息系統安全問題。目前通號服務器區安全建設存在以下問題一是以邊界防護為核心，缺乏以整體業務鏈視角的端到端的整體動態防護的思路；二以本地規則庫為核心，無法動態有效檢測已知威脅；三是沒有智能化的大數據分析能力，無法感知未知威脅；四是全網安全設備之間的數據不能共享，做不到智能聯動、協同防御。在保留傳統安全建設的能力基礎上，將基于人工智能、大數據等技術，按照“業務驅動安全”的理念，采用全網安全可視、動態感知、閉環聯動、軟件定義安全等技術，建立涵蓋數據安全、應用安全、終端安全等的“全業務鏈安全”。為了保證訪問資金管理系統訪問關系及時預警及安全可視化，需要將訪問目標系統的所有流量進行深度分析，及時發現攻擊行為。在在業務系統交換機旁路部署潛伏威脅探針，對訪問資金管理系統的所有流量進行采集和初步分析，并實時同步到安全態勢感知平臺進行深度分析，并將分析結果通過可視化界面呈現。2.3.3主機層面下一代防火墻通過服務器防護功能模塊的開啟，可實現對各個區域的Web服務器、數據庫服務器、FTP服務器等服務器的安全防護。防止黑客利用業務代碼開發安全保障不利，使得系統可輕易通過Web攻擊實現對Web服務器、數據庫的攻擊造成數據庫信息被竊取的問題；下一代防火墻通過風險評估模塊對服務器進行安全體檢，通過一鍵策略部署的功能WAF模塊的對應策略，可幫助管理員的實現針對性的策略配置；利用下一代防火墻入侵防御模塊可實現對各類服務器操作系統漏洞（如：winserver2003、linux、unix等）、應用程序漏洞（IIS服務器、Apache服務器、中間件weblogic、數據庫oracle、MSSQL、MySQL等）的防護，防止黑客利用該類漏洞通過緩沖區溢出、惡意蠕蟲、病毒等應用層攻擊獲取服務器權限、使服務器癱瘓導致服務器、存儲等資源被攻擊的問題；針對系統的服務器主機系統訪問控制策略需要對服務器及終端進行安全加固，加固內容包括但不限于：限制默認帳戶的訪問權限，重命名系統默認帳戶，修改帳戶的默認口令，刪除操作系統和數據庫中過期或多余的賬戶，禁用無用帳戶或共享帳戶；根據管理用戶的角色分配權限，實現管理用戶的權限分離，僅授予管理用戶所需的最小權限；啟用訪問控制功能，依據安全策略控制用戶對資源的訪問；加強終端主機的病毒防護能力并及時升級惡意代碼軟件版本以及惡意代碼庫。通過終端檢測響應平臺的部署，監測服務器主機之間的東西向流量，開啟定時查殺和漏洞補丁、實時文件監控功能，限制服務器主機之間互訪，及時進行隔離防止服務器主機實現并橫向傳播威