网络安全防护技战法报告

网络安全防护技战法报告

一、防守技战法概述

为了顺利完成本次护网行动任务，切实加强网络安全防护能力，XXXX设立HW2019领导组和工作组，工作组下设技术组和协调组。护网工作组由各部门及各二级单位信息化负责人组成，由股份公司副总裁担任护网工作组的组长。

为提高护网工作组人员的安全防护能力，对不同重要系统进行分等级安全防护，从互联网至目标系统，依次设置如下三道安全防线：

第一道防线：集团总部互联网边界防护、二级单位企业互联网边界防护。

第二道防线：广域网边界防护、DMZ区边界防护。

第三道防线：目标系统安全域边界防护、VPN。

根据三道防线现状，梳理出主要防护内容，包括但不限于：梳理对外发布的互联网应用系统,设备和安全措施，明确相关责任人，梳理网络结构，重要的或需要重点保护的信息系统、应用系统与各服务器之间的拓扑结构，网络安全设备及网络防护情况， SSLVPN和IPSECVPN接入情况。集团广域网、集团专线边界，加强各单位集团广域网、集团专线边界防护措施，无线网边界，加强对无线WIFI、蓝牙等无线通信方式的管控，关闭不具备安全条件及不必要开启的无线功能。

结合信息化资产梳理结果，攻防演习行动安全保障小组对集团信息化资产及重点下属单位的网络安全状况进行安全风险评估和排查，确认薄弱环节以便进行整改加固。

二、 防守技战法详情

2.1 第一道防线--互联网边界及二级单位防护技战法

2.1.1 安全感知防御、检测及响应

构建从“云端、边界、端点”+“安全感知”的防御机制。相关防护思路如下：

防御能力：是指一系列策略集、产品和服务可以用于防御攻击。这个方面的关键目标是通过减少被攻击面来提升攻击门槛，并在受影响前拦截攻击动作。

检测能力：用于发现那些逃过防御网络的攻击，该方面的关键目标是降低威胁造成的“停摆时间”以及其他潜在的损失。检测能力非常关键，因为企业应该假设自己已处在被攻击状态中。

响应能力：系统一旦检测到入侵，响应系统就开始工作，进行事件处理。响应包括紧急响应和恢复处理，恢复处理又包括系统恢复和信息恢复。

2.1.2 安全可视及治理

l 全网安全可视

结合边界防护、安全检测、内网检测、管理中心、可视化平台，基于行为和关联分析技术，对全网的流量实现全网应用可视化，业务可视化，攻击与可疑流量可视化，解决安全黑洞与安全洼地的问题。

l 动态感知

采用大数据、人工智能技术安全，建立了安全态势感知平台，为所有业务场景提供云端的威胁感知能力。通过对边界网络流量的全流量的感知和分析，来发现边界威胁。通过潜伏威胁探针、安全边界设备、上网行为感系统，对服务器或终端上面的文件、数据与通信进行安全监控，利用大数据技术感知数据来发现主动发现威胁。

2.1.3 互联网及二级单位的区域隔离

在互联网出口，部署入侵防御IPS、上网行为管理，提供网络边界隔离、访问控制、入侵防护、僵尸网络防护、木马防护、病毒防护等。

在广域网接入区边界透明模式部署入侵防御系统，针对专线接入流量进行控制和过滤。

办公网区应部署终端检测和响应/恶意代码防护软件，开启病毒防护功能、文件监测，并及时更新安全规则库，保持最新状态。

服务器区部署防火墙和WEB应用防火墙，对数据中心威胁进行防护；汇聚交换机处旁路模式部署全流量探针，对流量进行监测并同步至态势感知平台；部署数据库审计系统，进行数据库安全审计。

在运维管理区，部署堡垒机、日志审计、漏洞扫描设备，实现单位的集中运维审计、日志审计和集中漏洞检查功能。

互联网出口处安全加固

互联网出口处双机部署了因特网防火墙以及下一代防火墙进行出口处的防护，在攻防演练期间，出口处防火墙通过对各类用户权限的区分，不同访问需求，可以进行精确的访问控制。通过对终端用户、分支机构不同的权限划分保障网络受控有序的运行。

对能够通过互联网访问内网的网络对象IP地址进行严格管控，将网段内访问IP地址段进行细化，尽量落实到个人静态IP。

开启精细化应用控制策略，设置多条应用控制策略，指定用户才可以访问目标业务系统应用，防止出现因为粗放控制策略带来的互联网访问风险。

对所有通过联网接入的用户IP或IP地址段开启全面安全防护策略，开启防病毒、防僵尸网络、防篡改等防护功能。

通过对全网进行访问控制、明确权限划分可以避免越权访问、非法访问等情况发生，减少安全事件发生概率。

护网行动开始之前，将防火墙所有安全规则库更新到最新，能够匹配近期发生的绝大部分已知威胁，并通过SAVE引擎对未知威胁进行有效防护。

攻防演练期间，通过互联网访问的用户需要进行严格的认证策略和上网策略，对上网用户进行筛选放通合法用户阻断非法用户，同时对于非法url网站、风险应用做出有效管控。根据企业实际情况选择合适流控策略，最后对于所有员工的上网行为进行记录审计。

攻防演练期间，需要将上网行为管理设备的规则库升级到最新，避免近期出现的具备威胁的URL、应用等在访问时对内网造成危害。

DMZ区应用层安全加固

当前网络内，DMZ区部署了WEB应用防火墙对应用层威胁进行防护，保证DMZ区域内的网站系统、邮件网关、视频会议系统的安全

攻防演练期间，为了降低用从互联网出口处访问网站、邮件、视频的风险，防止攻击手通过互联网出口访问DMZ区，进行页面篡改、或通过DMZ区访问承载系统数据的服务器区进行破坏，需要设置严格的WEB应用层防护策略，保证DMZ区安全。

通过设置WEB用用防护策略，提供OWASP定义的十大安全威胁的攻击防护能力，有效防止常见的web攻击。（如，SQL注入、XSS跨站脚本、CSRF跨站请求伪造）从而保护网站免受网站篡改、网页挂马、隐私侵犯、身份窃取、经济损失、名誉损失等问题。

2.2 第二道防线-数据中心防护技战法

总部数据中心从防御层面、检测层面、响应层面及运营层面构建纵深防御体系。在现有设备的基础上，解决通号在安全建设初期单纯满足合规性建设的安全能力，缺乏完善的主动防御技术和持续检测技术带来的风险。主要解决思路如下：

1、基于安全风险评估情况，夯实基础安全架构

通过持续性的风险评估，进行安全架构的升级改造，缩小攻击面、减少风险暴露时间。包括：安全域改造、边界加固、主机加固等内容。

2、加强持续检测和快速响应能力，进一步形成安全体系闭环

针对内网的资产、威胁及风险，进行持续性检测；基于威胁情报驱动，加强云端、边界、端点的联动，实现防御、检测、响应闭环。

3、提升企业安全可视与治理能力，让安全了然于胸

基于人工智能、大数据技术，提升全网安全风险、脆弱性的可视化能力，大幅度提升安全运维能力，以及应急响应和事件追溯能力。

2.2.1 边界防御层面

原有的边界防护已较完善，无需进行架构变动，只需要确保防御设备的策略有效性和特征库的及时更新。针对目标系统，通过在目标系统接入交换机和汇聚交换机之间透明部署一台下一代防火墙，实现目标系统的针对性防护，防止服务器群内部的横向威胁。

下一代防火墙除基本的ACL访问控制列表的方法予以隔离以外，针对用户实施精细化的访问控制、应用限制、带宽保证等管控手段。通号业务系统中存在对外发布的网站、业务等，因此需要对WEB应用层进行有效防护，通过下一代防火墙提供SQL注入、跨站脚本、CC攻击等检测与过滤，避免Web服务器遭受攻击破坏；支持外链检查和目录访问控制，防止Web Shell和敏感信息泄露，避免网页篡改与挂马，满足通号Web服务器深层次安全防护需求。

根据现有网络，核心交换区部署了应用性能管理系统，攻防演练期间，需要对应用性能管理系统进行实时关注，应用出现异常立即上报，并定位责任人进行处置，保证网络性能稳定，流畅运行。

核心交换机双机部署了两台防火墙，物理上旁路部署，逻辑上通过引流所有流量都经过防火墙，通过防火墙对服务器区和运维管理区提供边界访问控制能力，进行安全防护。

攻防演练期间，核心交换区防火墙进行策略调优，对访问服务器区和运维管理区的流量数据进行严格管控，对访问服务器区内目标系统请求进行管控；防止安全威胁入侵运维管理区，对整体网络的安全及运维进行破坏，获取运维权限。

攻防演练期间，在各分支机构的边界，通过对各类用户权限的区分，各分支机构的不同访问需求，可以进行精确的访问控制。通过对终端用户、分支机构不同的权限划分保障网络受控有序的运行。

专线接入及直连接入分支通过广域网接入区的路由器-下一代防火墙-上网行为管理-核心交换机-服务器区的路径进行访问，因此通过完善下一代防火墙防护策略，达到安全加固的目的。

通过对全网进行访问控制、明确权限划分可以避免越权访问、非法访问等情况发生，减少安全事件发生概率。

攻防演练前，需要对下一代防火墙的各类规则库、防护策略进行更新和调优。

2.2.2 端点防御层面

服务器主机部署终端检测响应平台EDR，EDR基于多维度的智能检测技术，通过人工智能引擎、行为引擎、云查引擎、全网信誉库对威胁进行防御。

终端主机被入侵攻击，导致感染勒索病毒或者挖矿病毒，其中大部分攻击是通过暴力破解的弱口令攻击产生的。EDR主动检测暴力破解行为，并对发现攻击行为的IP进行封堵响应。针对Web安全攻击行为，则主动检测Web后门的文件。针对僵尸网络的攻击，则根据僵尸网络的活跃行为，快速定位僵尸网络文件，并进行一键查杀。

进行关联检测、取证、响应、溯源等防护措施，与AC产品进行合规认证审查、安全事件响应等防护措施，形成应对威胁的云管端立体化纵深防护闭环体系。

2.3 第三道防线-目标系统防护技战法

本次攻防演练目标系统为资金管理系统及PLM系统，两个系统安全防护思路及策略一致，通过APDRO模型及安全策略调优达到目标系统从技术上不被攻破的目的。

2.3.1 网络层面

在网络层面为了防止来自服务器群的横向攻击，同时针对业务系统进行有针对性的防护，通过部署在目标系统边界的下一代防火墙对这些业务信息系统提供安全威胁识别及阻断攻击行为的能力。

同时通过增加一台VPN设备单独发布目标系统，确保对目标系统的访问达到最小权限原则。

子公司及办公楼访问目标系统，需要通过登录新建的护网专用VPN系统，再进行目标系统访问，并通过防火墙实现多重保障机制。

系统多因子认证构建

为了保证攻防演练期间管理人员接入资金管理系统的安全性，接入资金管理系统时，需要具备以下几项安全能力：一是用户身份的安全；二是接入终端的安全；三是数据传输的安全；四是权限访问安全；五是审计的安全；六是智能终端访问业务系统数据安全性。

因此需要对能够接入资金管理系统的用户进行统一管理，并且屏蔽有风险访问以及不可信用户；使用专用SSL VPN对资金管理系统进行资源发布；为需要接入资金管理系统的用户单独创建SSL VPN账号，并开启短信认证+硬件特征码认证+账户名密码认证，屏蔽所有不可信任用户访问，对可信用户进行强管控。

对接入的可信用户进行强管控认证仍会存在访问风险，因此需要边界安全设备进行边界安全加固。

系统服务器主机正常运行是业务系统正常工作的前提，服务器可能会面临各类型的安全威胁，因此需要建设事前、事中、事后的全覆盖防护体系：

l 事前，快速的进行风险扫描，帮助用户快速定位安全风险并智能更新防护策略；

l 事中，有效防止了引起网页篡改问题、网页挂马问题、敏感信息泄漏问题、无法响应正常服务问题及“拖库”、“暴库”问题的web攻击、漏洞攻击、系统扫描等攻击；

l 事后，对服务器外发内容进行安全检测，防止攻击绕过安全防护体系、数据泄漏问题。

同时，为了保证安全威胁能够及时被发现并处置，因此需要构建一套快速联动的处理机制：本地防护与整体网络联动、云端联动、终端联动，未知威胁预警与防护策略，实时调优策略；深度解析内网未知行为，全面安全防护；周期设备巡检，保障设备稳定健康运行；云端工单跟踪，专家复审，周期性安全汇报；通过关联全网安全日志、黑客行为建模，精准预测、定位网络中存在的高级威胁、僵尸主机，做到实时主动响应。

在业务系统交换机与汇聚交换机之间部署下一代防火墙，根据资产梳理中收集到的可信用户IP、端口号、责任人等信息，在下一代防火墙的访问控制策略中开启白名单，将可信用户名单添加到白名单中，白名单以外的任何用户访问业务系统都会被拒绝，保证了区域内的服务器、设备安全。

2.3.2 应用层面

下一代防火墙防病毒网关的模块可实现各个安全域的流量清洗功能，清洗来自其他安全域的病毒、木马、蠕虫，防止各区域进行交叉感染；

下一代防火墙基于语义分析技术提供标准语义规范识别能力，进一步还原异变的web攻击；应用AI人工智能，基于海量web攻击特征有效识别未知的web威胁。基于AI构建业务合规基线，基于广泛的模式学习提取合规的业务操作逻辑，偏离基线行为的将会被判定为web威胁，提升web威胁识别的精准度。

下一代防火墙以人工智能SAVE引擎为WEB应用防火墙的智能检测核心，辅以云查引擎、行为分析等技术，使达到高检出率效果并有效洞悉威胁本质。威胁攻击检测、多维度处置快速响应，有效解决现有信息系统安全问题。

目前通号服务器区安全建设存在以下问题一是以边界防护为核心，缺乏以整体业务链视角的端到端的整体动态防护的思路；二以本地规则库为核心，无法动态有效检测已知威胁；三是没有智能化的大数据分析能力，无法感知未知威胁；四是全网安全设备之间的数据不能共享，做不到智能联动、协同防御。

在保留传统安全建设的能力基础上，将基于人工智能、大数据等技术，按照“业务驱动安全”的理念，采用全网安全可视、动态感知、闭环联动、软件定义安全等技术，建立涵盖数据安全、应用安全、终端安全等的“全业务链安全”。

为了保证访问资金管理系统访问关系及时预警及安全可视化，需要将访问目标系统的所有流量进行深度分析，及时发现攻击行为。

在在业务系统交换机旁路部署潜伏威胁探针，对访问资金管理系统的所有流量进行采集和初步分析，并实时同步到安全态势感知平台进行深度分析，并将分析结果通过可视化界面呈现。

2.3.3 主机层面

下一代防火墙通过服务器防护功能模块的开启，可实现对各个区域的Web服务器、数据库服务器、FTP服务器等服务器的安全防护。防止黑客利用业务代码开发安全保障不利，使得系统可轻易通过Web攻击实现对Web服务器、数据库的攻击造成数据库信息被窃取的问题；

下一代防火墙通过风险评估模块对服务器进行安全体检，通过一键策略部署的功能WAF模块的对应策略，可帮助管理员的实现针对性的策略配置；

利用下一代防火墙入侵防御模块可实现对各类服务器操作系统漏洞（如：winserver2003、linux、unix等）、应用程序漏洞（IIS服务器、Apache服务器、中间件weblogic、数据库oracle、MSSQL、MySQL等）的防护，防止黑客利用该类漏洞通过缓冲区溢出、恶意蠕虫、病毒等应用层攻击获取服务器权限、使服务器瘫痪导致服务器、存储等资源被攻击的问题；

针对系统的服务器主机系统访问控制策略需要对服务器及终端进行安全加固，加固内容包括但不限于：限制默认帐户的访问权限，重命名系统默认帐户，修改帐户的默认口令，删除操作系统和数据库中过期或多余的账户，禁用无用帐户或共享帐户；根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限；启用访问控制功能，依据安全策略控制用户对资源的访问；加强终端主机的病毒防护能力并及时升级恶意代码软件版本以及恶意代码库。

通过终端检测响应平台的部署，监测服务器主机之间的东西向流量，开启定时查杀和漏洞补丁、实时文件监控功能，限制服务器主机之间互访，及时进行隔离防止服务器主机实现并横向传播威胁。并且通过攻击链举证进行攻击溯源。

2.4 攻防演练-检测与响应技战法

2.4.1 预警分析

通过7*24小时在线的安全专家团队和在线安全监测与预警通报平台，即可对互联网业务进行统一监测，统一预警。云端专家7*24小时值守，一旦发现篡改、漏洞等常规安全事件，即可实时进行处置。对于webshell、后门等高阶事件，可以及时升级到技术分析组进行研判，一旦确认，将会实时转交应急响应组进行处置。

监测与相应组成员实时监控安全检测类设备安全告警日志，并根据攻击者特征分析入侵事件，记录事件信息，填写文件并按照流程上报。

若同一来源IP地址触发多条告警，若触发告警时间较短，判断可能为扫描行为，若告警事件的协议摘要中存在部分探测验证payload，则确认为漏洞扫描行为，若协议摘要中出现具有攻击性的payload，则确认为利用漏洞执行恶意代码。

若告警事件为服务认证错误，且错误次数较多，认证错误间隔较小，且IP地址为同一IP地址，则判断为暴力破解事件；若错误次数较少，但超出正常认证错误频率，则判断为攻击者手工尝试弱口令。

2.4.2 应急处置

应急处置组对真实入侵行为及时响应，并开展阻断工作，协助排查服务器上的木马程序，分析攻击者入侵途径并溯源。

安全事件的处置步骤如下：

(1)根据攻击者入侵痕迹及告警详情，判断攻击者的入侵途径。

(2)排查服务器上是否留下后门，若存在后门，在相关责任人的陪同下清理后门。

(3)分析攻击者入侵之后在服务器上的详细操作，并根据相应的安全事件应急处置措施及操作手册展开应对措施。

(4)根据排查过程中的信息进行溯源。

(5)梳理应急处置过程，输出安全建议。

2.4.3 事件上报

对发现确认的入侵事件，一经确认，快速编写事件报告，上报给公安部。