以战代训促进网络安全管理体系建设

文/史永飞、郭剑锋，厦门轨道交通集团有限公司

在某次网络安防攻防演练中，厦门轨道交通集团有限公司经过20多天的准备，最终在全省32家参演单位中得分排名第六。首次参加正式攻防演练，公司在短平快的仓促应战过程中也收获良多，发现了薄弱环节，验证了应急机制，锻炼了安全队伍。

一、工作方案制定

厦门轨道集团领导高度重视本次攻防演习工作，董事长及网络安全分管领导第一时间召开专题会，专题研究工作部署。接通知的第五天，经过多场技术讨论和领导专题会后，公司成立了防守指挥部，制定了攻防演练专项工作方案，明确了工作目标、工作要求、战时沟通联络机制、主要风险点、防护系统范围以及备战、临战、实战各阶段工作安排等。工作方案要求集团各成员单位一把手亲自组织、亲自过问、亲自协调、亲自督办具体工作事项，按162项工作清单计划分头部署实施，将工作任务、工作要求层层落实到一线岗位。

二、备战工作组织

上下一心，全员行动

只有做到了端到端的安全，网络安全才能得以保障，做好网络安全必须是全体总动员一致行动。在集团董事长亲自主持网络安全警示教育和攻防演练动员会议后，借领导重视的东风发起持续性的安全意识教育：通过多场次分层集中教育培训，进行系统管理员层级技术培训，终端使用人员操作规范培训，对全员进行网络安全态势的普及教育、解释网络安全法的要义以及常见网络安全错误行为的危害性；通过集团内部宣传电子屏进行25天的网络安全意识动画滚动播放，发放网络安全宣传画册、网络安全漫画鼠标垫，在食堂、大厅摆放网络安全宣传易拉宝，将网络安全宣传通过各种渠道传达到每个员工；在集团内部办公网上发布网络安全须知，在移动终端学习平台上发布《网络安全宣传手册》学习课程并进行网络安全问卷调查填写，利用信息化手段确保每个员工已阅读相关通知内容。实战阶段的过程证明了前期的安全意识宣贯起到了效果。

知己知彼，百战不殆

学习历次护网的实际案例，我们发现弱口令、边界安全防护不足、钓鱼邮件、互联网多余暴露面等是最主要的攻击方突破口。按照指挥部的工作方案，首先必须明确信息资产情况，资产明确是一切安全工作的基础。借助紧急部署的主机安全系统和流量监测分析系统，在资产探查过程中，我们发现系统中存在相当数量的弱口令和明文密码传输情况。

在这次攻防演练开始之前，尽管集团历经多次检查、自查，但对于30多个系统、2000+资产及线路间的系统关系一直未有一个全貌认识，大家始终认为内网就是内网、外网就是外网，系统间的边界、内外网的边界是清晰的、隔离的，但事实并非如此。经过一个星期的资产盘点、拓扑梳理、业务流分析，发现综合监控系统、票务系统、ATS系统之间甚至与办公网之间存在着错综复杂互联调用关系；为了满足乘客移动化、电子化支付渠道的需求，我们需要与银联、支付宝、市民卡等多种渠道保持外部连接通道，而外部连接边界的部分安全设备并未启用细化防护策略；部分业务测试系统为测试方便，在公有云上“全裸”部署资产，无任何安全防护；部分测试资产已失效，但互联网映射端口仍保留或未配置站点安全防护。

加固边界，治理隐患

在梳理各边界接入的情况后，按照业务需要设置最小访问控制权限，关闭远程连接、共享等高危端口，配置入侵监测策略；对办公网各应用系统进行安全域细分，将原来4个C段地址扩展为21个C段地址，按照组织区分、应用区分原则进行网段隔离，细化东西向流量限制策略，对全网运维权限进行回收实施白名单策略；清除所有外单位接入系统，迁移所有公有云资产到集团数据中心；对提供互联网web服务的系统进行全面主机、应用扫描，所有中高危漏洞整改完成，并确保包含测试业务在内的所有站点经过waf严格策略防护。

针对资产排查中发现的问题，为提高口令强度，首先对使用范围最大的办公系统进行整改，要求密码必须设置位10位特殊字符、字母、数字组成且符合规则复杂口令，要求各非生产系统在实战开始前完成登录鉴权模块改造，从系统上限制口令设置规则；其次针对资产排查中发现的主机、应用弱口令，开始每日零时自动体检系统口令健康度专项整治，经过一个星期的持续检查和整改，除数据库连接的口令需应用程序调整外，其他均已完成全面整改。

在整改的过程中，意外发现杀毒软件服务端的管理端口与终端电脑业务端口相同，且超级权限管理员的密码无法修改，所有终端电脑均可轻易获取管理端最高权限，经紧急联系厂商进行了版本更新修复，解决了一个重大隐患。

三、实战阶段

通过主机安全、边界防护、流量监控、态势平台，初步构建了纵深智能防御体系；通过边界防护细化、漏洞扫描修复，我们进一步筑牢防线；通过口令排查整改，我们更有信心守好最后主机防线。随着实战期的临近，态势感知平台上的告警数量开始飙涨，各攻击队已迫不及待开始外围嗅探动作。

严阵以待，严防死守

8月30日，攻防演练实战如期而来，按照工作计划，值守团队开始提前一天进驻作战室，开始7*24小时持续驻守，各系统开发单位按照要求在攻防时段每2个小时检查系统一次并在微信群内报送检查情况，监测组、分析组、处置组、报告组按照既定的分工有条不紊开始监测、分析、处置、报告。

应急联动，成功溯源

在护网的第四天上午，监测组在态势平台上发现有终端电脑试图远程连接数据中心服务器，同时作战室收到物资部疑似钓鱼文件报告，员工按照事前教育要求断网处理。在处置组现场对文件提取排查后发现确实是木马文件，经分析该木马通过假冒招标合作单位名称发送的QQ文件，经过对木马文件威胁情况比对和发送的QQ号码溯源分析，值守团队成功对攻击者进行了画像并上报省演习指挥部，成功获得防守加分。

四、总结阶段

回顾这次护网的历程，首先，高层重视是关键组织保障，信息化是一把手工程，网络安全更是一把手工程；其次，资产清楚是基础，清晰的互联网暴露面、完整的资产清单和网络拓扑是所有工作开展的基础；其三，防御必须是纵深的体系，边界安全、主机安全、口令安全要层层检查确保达标，要有必要的全局态势感知系统进行技术支撑；最后，要有足够的人员投入，技术力量要能有效及时应对突发情况，必要时只能依靠委外力量。

护网只是网络安全阶段性的临时任务，护网阶段的运动式整改必是要以牺牲业务连续性为代价的，但网络安全的要求是长治久安，这就要切实在日常工作中做到关口前移，确保系统在上线之前全链路基线合规，确保平常资产周期性盘点到位、及时查缺补漏管理漏洞，要有足够的人力投入不断加强自有技术人才的培养，这样才能逐渐建立人、技术、制度三位一体的常态化管理机制。