一、“網(wǎng)絡(luò)攻防演練行動(dòng)“介紹

國(guó)家在2016年發(fā)布《網(wǎng)絡(luò)安全法》，出臺(tái)網(wǎng)絡(luò)安全攻防演練相關(guān)規(guī)定：關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者應(yīng)“制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，并定期進(jìn)行演練”。同年“實(shí)戰(zhàn)化網(wǎng)絡(luò)攻防演練行動(dòng)”成為慣例。由公安部牽頭，每年舉辦一次，針對(duì)全國(guó)范圍的真實(shí)網(wǎng)絡(luò)目標(biāo)為對(duì)象的攻防演練行動(dòng)，旨在發(fā)現(xiàn)、暴露和解決安全問(wèn)題，更是檢驗(yàn)我國(guó)各大企事業(yè)單位、部屬機(jī)關(guān)的網(wǎng)絡(luò)安全防護(hù)水平和應(yīng)急處置能力。

“攻防演練”已成為一年一度的慣例,不僅涉及范圍越來(lái)越廣，網(wǎng)絡(luò)安全形勢(shì)的愈發(fā)嚴(yán)峻也加大了業(yè)內(nèi)對(duì)網(wǎng)絡(luò)攻防演練專項(xiàng)行動(dòng)的關(guān)注。隨著各行業(yè)信息化建設(shè)的不斷深入和發(fā)展，同時(shí)網(wǎng)絡(luò)攻擊技術(shù)也在不斷演進(jìn)，信息安全面臨的問(wèn)題日益突出。尤其近年來(lái)，以蠕蟲(chóng)攻擊、勒索病毒、APT攻擊等各類新型未知威脅的攻擊手段造成網(wǎng)絡(luò)泄密、竊密和受破壞事件頻發(fā)，網(wǎng)絡(luò)威脅已經(jīng)成為國(guó)家安全的新挑戰(zhàn)?！熬W(wǎng)絡(luò)安全的本質(zhì)是對(duì)抗，對(duì)抗的本質(zhì)是攻防兩端能力的較量 ”。在網(wǎng)絡(luò)空間對(duì)抗中如何實(shí)現(xiàn)如同軍事演習(xí)的攻防演練目的，各單位如何做到與攻擊方的斗智斗勇，更是新形勢(shì)下網(wǎng)絡(luò)攻防演練行動(dòng)的又一次看點(diǎn)。

“攻防演練”是由攻擊方和防守方兩方組成實(shí)時(shí)攻防對(duì)抗環(huán)境，攻擊方模擬真實(shí)網(wǎng)絡(luò)中的黑客攻擊行為，通過(guò)真實(shí)的攻擊方法、攻擊路徑對(duì)防守目標(biāo)進(jìn)行網(wǎng)絡(luò)攻擊，防守方通過(guò)安全防護(hù)設(shè)備、安全監(jiān)測(cè)手段等，實(shí)時(shí)分析攻擊方的目標(biāo)及采用的攻擊手段，展開(kāi)防御對(duì)抗。

“攻防演練”旨在檢驗(yàn)?zāi)繕?biāo)單位關(guān)鍵信息基礎(chǔ)設(shè)施和重要信息系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)能力，提升攻擊對(duì)抗能力的同時(shí)鍛煉網(wǎng)絡(luò)安全應(yīng)急處置隊(duì)伍，完善應(yīng)急處置流程和工作機(jī)制，提升安全事件應(yīng)急處置綜合能力水平。網(wǎng)絡(luò)安全事關(guān)國(guó)計(jì)民生，公安部此舉有效帶動(dòng)了國(guó)家整體網(wǎng)絡(luò)安全氛圍，提高了網(wǎng)絡(luò)安全的全民關(guān)注度。

二、安全問(wèn)題分析

結(jié)合衛(wèi)達(dá)信息多年為政府、企業(yè)等客戶單位提供網(wǎng)絡(luò)安全服務(wù)的經(jīng)驗(yàn)，我們針對(duì)客戶網(wǎng)絡(luò)進(jìn)行安全分析，總結(jié)出部分潛在的網(wǎng)絡(luò)薄弱點(diǎn)，以協(xié)助客戶在“攻防演練”開(kāi)始前能做好更充分的防護(hù)和準(zhǔn)備。

威脅行為不能阻斷：網(wǎng)絡(luò)內(nèi)現(xiàn)有的安全設(shè)備大部分是監(jiān)測(cè)分析類型，當(dāng)可疑威脅發(fā)生時(shí)不能及時(shí)切斷可疑行為攻擊鏈，且無(wú)法針對(duì)可疑行為進(jìn)行匯總上報(bào)分析，實(shí)現(xiàn)對(duì)安全設(shè)備策略的統(tǒng)一管控。

系統(tǒng)版本低、無(wú)法升級(jí)、漏洞較多：部分客戶存在一些生產(chǎn)或重要業(yè)務(wù)系統(tǒng)不連接互聯(lián)網(wǎng)，服務(wù)器多采用Windows XP和Windows 7等比較老舊系統(tǒng)，目前廠家已不再提供技術(shù)支持，技術(shù)人員不能及時(shí)更新殺毒軟件和安裝補(bǔ)丁，系統(tǒng)漏洞不斷出現(xiàn)，從而帶來(lái)巨大的安全隱患。

被攻擊后的影響大：業(yè)務(wù)系統(tǒng)直接控制生產(chǎn)或關(guān)鍵設(shè)備的工作狀態(tài)，可以通過(guò)調(diào)整設(shè)備系統(tǒng)參數(shù)對(duì)網(wǎng)絡(luò)或信息資產(chǎn)造成損壞，甚至發(fā)生嚴(yán)重危害。

未知威脅防御能力不足：基于已知特征或行為，現(xiàn)有網(wǎng)絡(luò)安全設(shè)備在應(yīng)對(duì)0day漏洞或新型病毒攻擊時(shí)無(wú)從下手，補(bǔ)丁、病毒特征庫(kù)往往在威脅發(fā)生后才能跟進(jìn)修復(fù)，監(jiān)測(cè)發(fā)現(xiàn)的滯后性導(dǎo)致防護(hù)處于被動(dòng)。

聯(lián)防聯(lián)控難度大：任一分支業(yè)務(wù)節(jié)點(diǎn)受到網(wǎng)絡(luò)威脅，存在擴(kuò)散全網(wǎng)的風(fēng)險(xiǎn)，無(wú)法做到一點(diǎn)發(fā)現(xiàn)，多級(jí)聯(lián)動(dòng)，安全策略統(tǒng)一下發(fā)；不能對(duì)全網(wǎng)安全態(tài)勢(shì)情況聯(lián)動(dòng)分析、實(shí)時(shí)呈現(xiàn)，對(duì)潛在或未知威脅攻擊預(yù)警能力不足。

運(yùn)維難度大：網(wǎng)絡(luò)內(nèi)業(yè)務(wù)資產(chǎn)和安全設(shè)備部署分散，防護(hù)策略和訪問(wèn)控制列表不斷增加，內(nèi)容冗長(zhǎng)，若在病毒爆發(fā)或發(fā)現(xiàn)攻擊行為后，運(yùn)維人員需對(duì)網(wǎng)絡(luò)設(shè)備配置逐層檢查，維護(hù)工作量較大且需要消耗大量的時(shí)間和人員精力，投入成本大。

難以抵御國(guó)家級(jí)黑客攻擊：網(wǎng)絡(luò)內(nèi)存在部分工控業(yè)務(wù)系統(tǒng)來(lái)自國(guó)外廠商，有潛在內(nèi)置后門木馬的風(fēng)險(xiǎn)，容易被國(guó)家級(jí)或?qū)I(yè)級(jí)黑客團(tuán)隊(duì)利用，傳統(tǒng)安全防御方式難以抵御。

難以抵御專業(yè)團(tuán)隊(duì)攻擊：攻防演練是檢驗(yàn)防御水平的重要方式，傳統(tǒng)防御手段難以抵御專業(yè)攻擊團(tuán)隊(duì)的攻擊。

三、動(dòng)態(tài)防御解決方案

提出業(yè)界領(lǐng)先的動(dòng)態(tài)防御安全解決方案，打破傳統(tǒng)防御觀念，以動(dòng)態(tài)防御為核心，通過(guò)主動(dòng)防御、動(dòng)態(tài)變化、攻擊欺騙等技術(shù)極大增加攻擊者攻擊難度和投入成本，達(dá)到“防得住-攻不破-打得贏”的防御目的；同時(shí)提升客戶網(wǎng)絡(luò)安全防御體系的威脅主動(dòng)發(fā)現(xiàn)、實(shí)時(shí)感知和自我防御能力，從先感染后免疫局部事后修補(bǔ)的被動(dòng)態(tài)勢(shì)，向全域預(yù)警實(shí)時(shí)補(bǔ)網(wǎng)的區(qū)域性主動(dòng)設(shè)防形態(tài)轉(zhuǎn)變，盡早發(fā)現(xiàn)重大網(wǎng)絡(luò)威脅，防患于未然，通過(guò)構(gòu)建新型安全監(jiān)測(cè)預(yù)警與主動(dòng)防御體系，構(gòu)筑形成多級(jí)縱深、智能聯(lián)動(dòng)的安全防線，形成一體化安全防御體系，有效遏制、威懾日益增加的高危網(wǎng)絡(luò)安全威脅和風(fēng)險(xiǎn)，保證網(wǎng)絡(luò)信息系統(tǒng)安全，滿足攻防演練需求，全面增強(qiáng)網(wǎng)絡(luò)整體安全防御能力，為客戶網(wǎng)絡(luò)空間安全實(shí)現(xiàn)國(guó)家級(jí)安全防御能力。

基于動(dòng)態(tài)防御技術(shù)，為有網(wǎng)絡(luò)攻防演練防護(hù)需求的用戶提供全方位能力提升解決方案，通過(guò)在終端層部署幻甲終端動(dòng)態(tài)防御系統(tǒng)，網(wǎng)絡(luò)層部署幻境網(wǎng)絡(luò)動(dòng)態(tài)防御系統(tǒng)、幻知全流量入侵檢測(cè)系統(tǒng)和幻墻智能邊界防御系統(tǒng)，應(yīng)用層部署幻影WEB動(dòng)態(tài)防御系統(tǒng)，管理層部署幻勢(shì)態(tài)勢(shì)感知管理平臺(tái)等不同層面部署多款安全設(shè)備，形成一體化防得住安全解決方案。

四、方案特色

（1）統(tǒng)一建設(shè)靜態(tài)和動(dòng)態(tài)相互結(jié)合的安全防護(hù)手段，將先進(jìn)的網(wǎng)絡(luò)安全技術(shù)融合應(yīng)用于客戶信息化網(wǎng)絡(luò)系統(tǒng)中，整合應(yīng)用網(wǎng)絡(luò)動(dòng)態(tài)防御技術(shù)、SDN技術(shù)、動(dòng)態(tài)建模技術(shù)、主動(dòng)防御技術(shù)、防護(hù)可視化技術(shù)等技術(shù)，為用戶業(yè)務(wù)系統(tǒng)提供集中安全防護(hù)、網(wǎng)絡(luò)安全檢查、APT未知威脅預(yù)警、重大攻擊事件預(yù)警等。

（2）動(dòng)態(tài)防御技術(shù)嚴(yán)重區(qū)別于傳統(tǒng)的特征匹配防御技術(shù)，不依賴于先驗(yàn)主義，屬于新型安全防御技術(shù)，追求深密度動(dòng)態(tài)混淆真實(shí)業(yè)務(wù)網(wǎng)絡(luò)及資產(chǎn)信息，可有效抵御對(duì)防護(hù)體系有深入了解的高級(jí)攻擊者，提升客戶信息網(wǎng)絡(luò)對(duì)于高級(jí)攻擊者的對(duì)抗防護(hù)能力。

（3）動(dòng)態(tài)防御技術(shù)應(yīng)用于用戶網(wǎng)絡(luò)整體防御，有效填補(bǔ)傳統(tǒng)防御體系對(duì)于二層網(wǎng)絡(luò)的防護(hù)空缺，極大填補(bǔ)有限的內(nèi)網(wǎng)防御手段，增強(qiáng)信息網(wǎng)絡(luò)的網(wǎng)絡(luò)安全。

（4）根據(jù)對(duì)重要保障區(qū)域或重要保障時(shí)刻的防護(hù)要求，通過(guò)簡(jiǎn)單的技術(shù)策略調(diào)整，快速顆粒度定制符合要求的動(dòng)態(tài)防御策略，達(dá)到高級(jí)別的防護(hù)要求；在不特定方式、不特定量、未知攻擊的情況下，達(dá)到最高網(wǎng)絡(luò)安全等級(jí)，動(dòng)態(tài)封堵網(wǎng)絡(luò)攻擊行為，杜絕網(wǎng)絡(luò)攻擊事件發(fā)生。

（5）通過(guò)深度訪問(wèn)控制能力（基于地址、協(xié)議、端口、應(yīng)用、用戶身份），對(duì)外部的訪問(wèn)進(jìn)行控制，結(jié)合訪問(wèn)來(lái)源、訪問(wèn)目標(biāo)、訪問(wèn)行為等要素，對(duì)訪問(wèn)的合法性進(jìn)行判斷，阻斷非法的訪問(wèn)。

（6）通過(guò)態(tài)勢(shì)安全管理平臺(tái)，實(shí)時(shí)展示并掌握用戶全網(wǎng)安全態(tài)勢(shì)狀況，通過(guò)威脅預(yù)警、大數(shù)據(jù)分析，及時(shí)調(diào)整安全防護(hù)策略，防患威脅于發(fā)生前，增強(qiáng)網(wǎng)絡(luò)安全防御能力，同時(shí)可以提高對(duì)關(guān)鍵系統(tǒng)的安全運(yùn)維水平、安全防護(hù)水平及系統(tǒng)應(yīng)用安全的監(jiān)控水平。

（7）通過(guò)對(duì)威脅數(shù)據(jù)的統(tǒng)一匯總、分析，對(duì)全網(wǎng)安全設(shè)備的統(tǒng)一管控、安全策略集中下發(fā)，實(shí)現(xiàn)全網(wǎng)威脅聯(lián)防聯(lián)控、一點(diǎn)發(fā)現(xiàn)、多級(jí)聯(lián)動(dòng)的防御體系。