近年來，隨著各行業(yè)對網(wǎng)絡安全的高度重視，采用實戰(zhàn)化網(wǎng)絡安全攻防演習的方式可以用于檢驗單位的網(wǎng)絡安全防御、監(jiān)測和響應能力，檢驗網(wǎng)絡安全保障工作成效，檢驗網(wǎng)絡安全防護體系的有效性。在實戰(zhàn)的狀態(tài)下，通過對抗和較量，攻防雙方在方式方法、措施手段等方面不斷積累經(jīng)驗，促進了企業(yè)防守能力的持續(xù)提升。因此，實戰(zhàn)化網(wǎng)絡安全攻防演習已日趨常態(tài)，且不斷深化發(fā)展，成為了企業(yè)網(wǎng)絡安全保障能力體系建設的有效手段。

　　在實戰(zhàn)化攻防演習過程中，攻擊方的攻擊方式從演習早期正面對抗、通過發(fā)現(xiàn)漏洞直接從互聯(lián)網(wǎng)進行突破的方式，已經(jīng)逐步發(fā)展到通過供應鏈、0day，甚至于采取釣魚、水坑等定性攻擊方式，迂回式進行網(wǎng)絡攻擊。這給防守方提出了較大的挑戰(zhàn)，需要防守方深入關注整體防御體系的最短板。同時，網(wǎng)絡安全人員對網(wǎng)絡安全防護措施的關注點也從“數(shù)據(jù)中心”的專業(yè)防護措施，逐漸外延至操作終端、無線接入和人員網(wǎng)絡安全意識等方面?？梢钥吹剑舻姆绞椒椒ǘ嘧?，且涉及網(wǎng)絡安全防御體系的方方面面，能夠充分檢驗防御體系的有效性。

　　站在防守方角度，企業(yè)在進行防守時要依托已經(jīng)建立的網(wǎng)絡安全保障體系，充分分析自身安全防護狀況與存在的不足，做好組織分工，完善防護、監(jiān)測和響應等措施，全面展開攻防對抗。在實際工作中，防守方需要構建主動防御的能力體系，持續(xù)地應對攻擊方發(fā)起的各種不同類型和方式的攻擊，同時結合威脅情報，精準響應和處置，甚至具有展開追蹤反制的能力，是防守方在防御能力進階的目標和方向。但達到主動防御能力的最佳效果，同時需要防守單位具備扎實的架構安全以及基本完善的被動防御體系，如果在架構安全和被動防御兩個階段存在明顯短板，即便提升了持續(xù)的監(jiān)測和分析等主動防御能力，也由于分布廣泛的短板和缺口，會讓防守人員顧此失彼、應接不暇，最終可能導致系統(tǒng)失陷。

　　結合常見的攻擊方式，防守方應當具備如下防御能力，對現(xiàn)有的網(wǎng)絡安全保障體系加以補充和完善，主要包括：

　　1、防微杜漸：防范被踩點

　　為了減少防守方情報泄露，防守單位應加強對信息披露內(nèi)容的檢測，盡量防止本單位敏感信息泄露在公共信息平臺;對供應鏈信息進行嚴格管理;定期開展網(wǎng)絡安全意識教育，加強對個人信息的管理，強化對個人口令的安全使用。

　　2、收縮戰(zhàn)線：收斂攻擊面

　　讓攻擊面縮到最小，縮小防守半徑，防守單位應加強對互聯(lián)網(wǎng)暴露面的梳理，清理暴露在互聯(lián)網(wǎng)上的測試環(huán)境、后臺界面、遠程維護端口以及和下級單位、業(yè)務合作單位等相關單位的聯(lián)網(wǎng)邊界資產(chǎn)等;梳理網(wǎng)絡邊界設備(包括VPN、無線熱點等)、系統(tǒng)以及各類應用的賬號和口令等，避免存在弱口令和資產(chǎn)不清等情況;針對供應鏈廠商或服務商持有的信息嚴格管控。

　　3、縱深防御：立體防滲透

　　強化自身架構安全，層層設防，全路徑管控，真正做到縱深防御。防守單位應根據(jù)統(tǒng)一的訪問控制策略，嚴格劃分安全域并進行細粒度的訪問控制策略設置;加強對主機資產(chǎn)、補丁和口令的管理;加強對應用系統(tǒng)的安全管理，減少應用系統(tǒng)自身的安全隱患;整體部署符合標準要求的網(wǎng)絡安全防護、監(jiān)測和處置措施。

　　4、守護核心：找到關鍵點

　　嚴守集權類系統(tǒng)和目標系統(tǒng)的安全。防守單位應針對集權類設備和核心資產(chǎn)進行最小化權限設置和管理，核心資產(chǎn)可設置白名單機制，加強訪問行為的管控和監(jiān)測分析，加強對核心資產(chǎn)訪問的日志審計和監(jiān)測預警，確保核心資產(chǎn)的安全可控。

　　5、洞若觀火：全方位監(jiān)控

　　構建全方位的網(wǎng)絡安全監(jiān)測和運營體系，結合威脅情報持續(xù)進行網(wǎng)絡安全監(jiān)測分析和響應。構建網(wǎng)絡安全主動防御體系，收集相關情報，全面部署網(wǎng)絡安全威脅監(jiān)測，通過專業(yè)的分析人員持續(xù)發(fā)現(xiàn)網(wǎng)絡安全威脅，并進行及時的響應，結合網(wǎng)絡安全事件應急響應體系，持續(xù)對網(wǎng)絡安全事件進行分級分類處置，整體提升對網(wǎng)絡安全攻擊的發(fā)現(xiàn)和處置能力。

　　實戰(zhàn)化攻防演習作為檢驗網(wǎng)絡安全保障體系是否有效的一種方式，是當前被公認為一種非常有效的方式。在實戰(zhàn)化攻防能力建設過程中，不僅是缺啥補啥，還要不斷審視已有網(wǎng)絡安全體系建設成效，總結網(wǎng)絡安全體系中的技術和管理措施，分析其效能和短板，從而對現(xiàn)有的網(wǎng)絡安全保障體系進行體系化的改進和完善。

　　如何對本單位的網(wǎng)絡安全保障能力進行體系化審視?

　　通常情況下，企業(yè)在進行網(wǎng)絡安全保障體系設計的過程中，會依據(jù)《中華人民共和國網(wǎng)絡安全法》、《中華人民共和國保守國家秘密法》、《中華人民共和國突發(fā)事件應對法》等網(wǎng)絡安全相關法律法規(guī)，結合國內(nèi)外網(wǎng)絡安全的標準和最佳實踐，例如信息保障技術框架IATF、ISO/IEC 27000信息安全管理體系系列標準、Garter ASA自適應防御系統(tǒng)和GB/T 22239-2019《網(wǎng)絡安全等級保護基本要求》等，這些標準和最佳實踐涉及網(wǎng)絡安全保障體系的框架、方法論、網(wǎng)絡安全技術架構、管理體系架構等各個方面，在結合企業(yè)的信息化發(fā)展實踐和管理文化構建網(wǎng)絡安全防御體系。同時，在技術方面通過PPDR(策略、防護、監(jiān)測、響應)的方式，管理方面通過PDCA(戴明環(huán))的方式全面加以落實和實踐，從而形成應對來自各類內(nèi)外部攻擊的網(wǎng)絡安全保障體系。

　　基于最佳實踐，企業(yè)可參考SANS的網(wǎng)絡安全滑動標尺模型對網(wǎng)絡安全保障體系進行審視，以有效應對實戰(zhàn)化背景下的安全挑戰(zhàn)。SANS提出的滑動標尺模型劃分為五個階段，即架構安全、被動防御、主動防御、威脅情報和進攻反制。

　　其中，架構安全指在用安全思維規(guī)劃、構建和維護系統(tǒng)，安全的系統(tǒng)設計是基礎，在此之上才能展開其他的網(wǎng)絡安全建設;被動防御是在架構安全的基礎上，為系統(tǒng)提供攻擊防護，通過添加持續(xù)威脅防護和檢測且無需經(jīng)常人工互動的系統(tǒng)，如防火墻、反惡意軟件系統(tǒng)、入侵防御系統(tǒng)、防病毒系統(tǒng)等安全系統(tǒng)，這些安全系統(tǒng)可提供防護，填補或縮小已知安全缺口，減少與威脅交互的機會;主動防御是分析人員監(jiān)控、響應網(wǎng)絡內(nèi)部威脅、從中汲取經(jīng)驗并將知識持續(xù)應用進行響應的過程，有效實現(xiàn)主動防御的秘訣之一是能夠利用攻擊者相關情報，并通過情報推動防護環(huán)境中的安全變化、流程和行動;威脅情報是指收集、處理、分析攻擊信息和數(shù)據(jù)，輸出情報的過程;進攻是對網(wǎng)絡攻擊對手直接采取行動。

　　通過該模型五個階段的分析，可以使防守方證實當前網(wǎng)絡安全保障體系在每個階段的建設情況，并結合實戰(zhàn)化攻防演習中發(fā)現(xiàn)的具體問題，找出短板，進行系統(tǒng)化的完善和改進。這其中包括安全技術體系的完善，例如安全架構體系的重構，引入零信任體系;深化縱深防御體系，防護核心;新技術安全體系完善，做好“三同步”等;安全管理體系的健全，例如加強專業(yè)技術人員實戰(zhàn)能力培養(yǎng)，強化供應商的安全管控、實化敏感信息的安全管控、深化安全意識教育培訓等;安全運營體系的深入建設，重點是構建主動防御的運營能力建設，建立全流量威脅監(jiān)測平臺，有效的攻擊誘捕技術部署，以及結合威脅情報的運營體系等。

　　安全防御能力的形成并非一蹴而就，企業(yè)管理者應重視安全體系建設，在實戰(zhàn)背景下建立起“以人員為核心、以數(shù)據(jù)為基礎、以運營為手段”的安全運營模式，逐步形成威脅預測、威脅防護、持續(xù)檢測、響應處置的閉環(huán)安全工作流程，通過實戰(zhàn)化攻防演習可以促進我們攻防相長，構建有效的網(wǎng)絡安全保障體系，從而促進網(wǎng)絡安全能力持續(xù)提升。（來源：奇安信安全服務）