在城域网内组织实战化网络攻防对抗的几点思考

在城域网内组织实战化网络攻防对抗的几点思考

唐长宁

 身份证号：210602198006112056

内容摘要：近年来随着信息网络技术的快速发展，有组织的大规模网络攻击事件屡屡发生，攻击目标不断升级，攻击手段日益多样，诸如信息泄露、SQL注入、网络渗透等网络安全事件愈演愈烈，严重威胁国家网络安全。为了排查网络安全隐患，深化探索网络攻防新方式，在城域网组织了网络攻防演练，并对网络攻防过程全程现场直播，网络的安全隐患被实时“曝光”，参演人员“红了脸”“出了汗”。演练中网络攻防成效明显，提高了网络应急处置水平，同时也暴露了城域网存在的安全瓶颈和隐患，值得总结思考。

关键词：城域网、网络攻防、思考、网络安全

在“2022·城域网”演练中，导演部采取了随机导调方式设置了网络攻防对抗科目，依托现有网络环境进行实网实攻，涉及省内12个城域网单位网络管理部门，由省会城域网运维工程师充当“蓝军”，利用多种攻击手段对参演单位上网终端进行网络侦察，通过发现存活主机的危险端口、漏洞等方式，攻破了办公终端、服务器，导致其数据库以及业务系统瘫痪，参演单位积极开展各类有效技术手段进行阻断攻击。此次演练成效明显，全面检验了网络攻击战法手段运用，巩固了网络安全防御体系，检验了城域网护网行动效能，为高效完成各项信息保障任务提供了有力支撑。

一、网络攻防基本情况

   （一）参演对象。演练按照红蓝对抗模式展开，“蓝军”由省会城域网运维工程师担负，作为网络攻击方；“红军”为12个城域网使用单位的网络管理人员组成，作为网络防御方。

   （二）攻击手段。使用密码破解工具，利用终端弱口令，暴力破解网络设备密码；利用反序列化漏洞，通过冰蝎后台操作获取系统管理权限，远程控制设备并获取敏感信息；使用Burp Suite工具截获WEB业务系统登录密码，获取各业务系统操作权限；使用SqlMap工具，利用SQL注入漏洞，破解数据库服务器获取所有数据信息和权限；将木马植入个人终端，开设后门获取信息。

   （三）防御情况。“红军”随时处置各类突发的网络攻击情况，在险境、困境中不断调整应对策略、修复网络漏洞，激烈争夺网络终端控制权，网络攻防期间采用各类技术手段积极应对，有效阻断攻击。

   （四）对抗战果。此次网络攻防，“蓝军”利用多种攻击手段发起网络攻击，通过发现存活主机的危险端口、漏洞等方式，攻破了“红军”办公终端、服务器，导致其数据库以及业务系统瘫痪。

    二、演练中暴露的问题和不足

此次实战化网络攻防演练，探索了检验城域网网络安全的新模式，对提升各单位网络安全防护意识起了极大促进作用。此次网上对抗既不是提前准备好网上演示，也不是打好招呼的网上表演，而是实网攻防，然而在演练中所暴露出来的问题值得思考总结。

   （一）安全用网防范意识不强。通过演练对抗数据分析：被攻破办公电脑用户，普遍都是各个城域网普通用户的电脑，有的电脑系统登录密码仅一位，有的电脑没有关闭危险端口。然而城域网护网行动要求：“所有入网办公电脑及服务器必须关闭必要危险端口且两层登录密码必须是6位以上的数字和字母以及特殊符号组成的混合密码”。城域网用户却认为：日常办公使用的网络是内部城域网，与互联网都是物理隔离，是最安全的，所谓黑客技术都是外国影视大片里才会出现的，黑客使用木马等网络技术进行网络攻击是离我们很遥远的事情。

（二）“蓝军”网络攻击手段单一。本次演练，“蓝军”仅由3名城域网普通运维工程师担负，由于时间短、任务重，对网络攻击技术和工具掌握不够全面和深入，攻击过程简单、技术落后。进攻过程仅仅使用了网络隐身、信息侦察、弱点挖掘、获取权限、实施攻击、开辟后门、痕迹清除７个步骤，进攻技术使用了伪造IP地址、Nmap全端口扫描、Dsniff工具截取口令、一句话木马开设后门等常规技术。然而就这样临时组建的“水货蓝军”却在短时间内攻破多台个人终端、服务器，直接导致其中数据库以及业务系统处于瘫痪状态，如果黑客在城域网出现了，其攻击过程、所使用的技术以及攻击手段会远远超出我们现在所谓“蓝军”的能力水平，其对我们城域网的破坏甚至是控制是难以估计的。

（三）“红军”网络安全事件应急手段滞后。本次网络对抗演练中，“红军”的“物理隔离+好人假定+规定推演”所构成的自我麻痹式的安全观，导致部分单位网络管理部门面对突如其来的网络攻击，毫无反抗能力，没有第一时间处置，没有根据本单位《网络安全防御行动方案》和《网络安全事件应急处置预案》依案开展护网加固行动，完全靠既定部署的安全防护软件、防火墙和一些安全防护策略被动应对，使用的应急手段单一，没有开展主动防御部署和建立保护、检测、响应和恢复的智能网络防御体系，从而造成了网络中更多资源被盗取。

三、有关思考和对策

针对此次演练暴露出的问题，将从以下几个方面深入抓好落实，切实提升城域网网络安全防御能力。

（一）提高网络安全意识。在当前复杂严峻的网络安全形势下，必须将网络安全知识普及到基层一线，才能切实加强城域网用户的安全意识，一是线下知识宣传，组织网络安全专家到各个城市开展专题讲座，发放网络安全知识手册，宣传各类新型网络安全事件，使城域网用户掌握各类网络安全攻防常识以及应对措施。二是线上知识普及，通过建设网络安全专栏、上传各类网络安全、网络攻防学习资料，让用户从思想根源重视网络安全，从而真正领悟到城域网用户分布点多面广，分散用网管理难度大，黑客可以从任意偏远且网络防护薄弱的用网点进行网络渗透，从而有机会控制整个城域网的任意用户终端。

（二）锤炼网络攻击技能。检验网络安全的“磨刀石”绝不能“纸上谈兵”，我们面对的是为谋求商业利益最大化，甚至是威胁国家安全的强大黑客组织，要清晰地认识到网络安全防御能力是综合性的问题，即使搭建最先进的技术框架体系，配备顶级的技术防护团队也绝不是“万无一失”的，而是要注重常态化开展实战化的攻防演练。通过建立高水平网络安全“蓝军”团队，常态化进行实网网络对抗，以“请进来、走出去”的方式，提升“蓝军”网络攻击能力水平，以“跳出城域，看城域网安全”的思路，摆脱“蓝军”坐井观天的思维定势，在对抗中学习新工具新技术的使用，在实战中检验安全体系、修补存在漏洞、优化设备策略，通过发挥“蓝军”队伍“照妖镜”的潜质，挖掘出城域网真正的安全隐患，从而不断提升城域网的绝对安全值。

（三）全面提升网络安全防御能力。首先要动态修订本级各类网络安全预案。为切实做好网络突发事件的防范和应急处理工作，组织各单位针对不同网络场景、不同攻击行为、不同攻击工具，动态修订网络安全应急预案编写和推演，确保在发现网络攻击时，能根据预案进行安全、准确、快速处置，保障网络最快速度恢复正常。其次要确保城域网护网行动走深走实。此次演练发现的问题普遍都是护网行动不彻底导致，严格规范护网方案执行，确保按照要求做好网络节点防护、服务器升级、个人终端安全策略维护等操作。最后要实现网络安全防御能力转型。在传统被动防御手段的基础上，要逐步向主动防御、积极防御甚至是攻击性防御转变并加强“实战化”的攻防演练，从而达到自我防卫的目的，积极应用流量管控、精确预警、蜜罐诱导等技术，有针对性地集中资源重点开展主动防御部署，实现保护、检测、响应和恢复的智能网络防御体系，从而使整个安防系统能够最大程度地发挥效能。

参考文献

[1] 宋严. 基于实战化的网络空间安全攻防特点与对抗策略研究[A].长春师范大学学报,2020(06):81-85.

[2] 张剑峰. 浅述如何做好网络攻防演练应对措施[A]. 数字技术与应用.2021(05):175-177.

　―1―