1.护网相关定义
(1)护网定义
护网行动是以公安部牵头的,用以评估企事业单位的网络安全的活动。具体实践中。公安部会组织攻防两方,进攻方会在一个月内对防守方发动网络攻击,检测出防守方(企事业单位)存在的安全漏洞。通过与进攻方的对抗,企事业单位网络、系统以及设备等的安全能力会大大提高。“护网行动”是国家应对网络安全问题所做的重要布局之一。“护网行动”从2016年开始,随着我国对网络安全的重视,涉及单位不断扩大,越来越多的单位都加入到护网行动中,网络安全对抗演练越来越贴近实际情况,各机构对待网络安全需求也从被动构建,升级为业务保障刚需。
(2)护网分类
护网一般按照行政级别分为国家级护网、省级护网、市级护网;除此之外,还有一些行业对于网络安全的要求比较高,因此也会在行业内部展开护网行动,比如金融行业。
(3)护网的时间
不同级别的护网开始时间和持续时间都不一样。以国家级护网为例,一般来说护网都是每年的7、8月左右开始,一般持续时间是2~3周。省级大概在2周左右,再低级的就是一周左右。2023年后,时间长达2个月。
2.工作内容
(1)安全评估:对现有的系统进行漏洞扫描、渗透测试等,找出可能存在的安全隐患。
(2)配置加固:根据安全评估的结果,加强系统的安全性配置。
(3)监控与预警:实时监控网络流量和系统日志,建立异常行为检测机制,及时发现并响应安全事件。
(4)应急响应:制定应急预案,在遭受攻击时能够迅速采取措施,减少损失。
(5)培训教育:对相关人员进行安全意识培训和技术指导,提高整体安全水平。
(6)情报共享:与其他组织或机构共享威胁情报,共同应对网络威胁。
3.主要技术手段
(1)防火墙:控制进出网络的数据流,阻止非法访问。
(2)入侵检测系统(IDS)/ 入侵防御系统(IPS):监测网络中的异常行为,主动阻断恶意攻击。
(3)安全信息与事件管理系统(SIEM):收集并分析来自不同来源的日志数据,帮助识别潜在的安全威胁。
(4)加密技术:对敏感数据进行加密处理,防止数据泄露。
(5)虚拟专用网络(VPN):为远程访问提供安全通道。
(6)补丁管理:定期更新软件版本,修复已知漏洞。
4.防守技巧
(1)模拟攻击:通过红队演习模拟攻击者的行为,了解自身的弱点。
(2)强化身份验证:实施强密码策略,启用双因素认证等。
(3)隔离敏感资源:将敏感信息或服务放置在隔离的网络环境中。
(4)持续教育:定期进行安全意识培训,提高员工对钓鱼邮件等社会工程学攻击的警惕性。
(5)自动化工具:利用自动化工具减轻人工负担,提高效率。例如自动日志研判,对攻击IP自动进行封堵拦截。
(6)合作与交流:与其他组织共享经验和技术,形成联合防御机制。
5.防守的一些思考
(1)基于资产和边界的梳理。
(2)防火墙waf规则建立及验证。厂家自带的规则可以作为辅助,在实际过程中会产生很多误报,需要通过平时的积累,对规则进行验证,高效应对攻击。设置攻击发现的声控报警,夜间值班人员不能像机器一样24小时都没有问题,终究会有打盹的时候,因此当识别真正的攻击时,可以通过声音进行提示。
(3)对于起始攻击的阻断和隔离。真正攻击开始时一定有迹象,最开始的时候防住了,后续就会好很多,如果觉得这个骨头难啃,攻击方可能会换一个地方。
(4)预案及流程。平时的预案非常重要,当发生真正的攻击时,需要排查是否是业务部门正常的业务。因此需要快速进行处理和识别。
(5)外围情报的收集及攻击回滚。
