王洪川
(辽宁交通信息技术有限公司 沈阳市 110000)
自2020年1月1日取消高速公路省界收费站全国并网接入后,实现了高速公路全国“一张网”,在实现不停车快捷收费,减少拥堵,便利群众的同时,也增加了网络安全风险[1]。作为国内重要基础设施,做好网络安全防护、确保高速公路稳定运行尤为重要。因此,自2020年以来,全国联网收费系统就作为了网络安全攻防演练的重点系统之一。
(1)成立攻防演练领导小组
应成立攻防演练领导小组,统一领导和指挥调度攻防演练有关工作,做好工作的部署和信息的同步,落实演练下发的任务和要求。
(2)成立攻防演练行动工作组
应按照本单位的实际情况设置攻防演练行动工作组,负责本单位演练工作的部署和组织协调,落实本单位的整体摸排、安全整改、安全监控与安全防护工作。
(1)制定防守方案
根据本单位实际情况,制定防守方案,方案内容包括防守方组成各部门及合作机构的工作职责,确定主要牵头部门和演练接口人,攻击前对风险排查、风险处置、安全培训等工作的计划,对值守人员的安排,工作内容、攻击处置及信息报告流程,以及事后的复盘工作总结等。
(2)召开演练工作启动会
攻防演练开始前,应组织各参演部门相关人员,召开演练工作启动会。以启动会的形式明确本次演练防守工作的目的、工作分工、计划安排和基本工作流程,对演练各阶段参演部门人员的工作内容和职责进行宣贯 。建立演练工作中的沟通联络机制,并建立各参演人员的联系清单。
保障工作划分为4个阶段:启动阶段、备战阶段、实战阶段和总结阶段。
2.3.1启动阶段
召开全公司网络安全保障会议,介绍本次行动的背景、基本原则、演练保障范围及目标,对此次攻防演练行动的重要性进行宣贯,动员信息安全力量,提高各级领导及网络信息安全专责人员对此次攻防演练行动的重视程度,明确各部门安全职责和协作机制。
组织开展第三方技术团队动员会,根据安全保障团队组建分工和要求,明确集成商、软件开发商、安全厂商、安全支撑团队、各工作组的责任,履行岗位安全职能,签订保密承诺书。
组织全省各相关单位一线演练保障人员参与安全专项培训,包含网络安全实战攻防演练介绍、防御思路和重点、演练保障工作流程、信息安全意识等的培训。
2.3.2备战阶段
在安全攻防演练备战阶段,组织开展互联网暴露资产排查、安全管理风险自查、系统安全风险自查、整体安全策略优化、安全风险闭环管理等工作,演练前发现存在的安全风险问题,并完成加固、优化等工作,实现风险闭环管理,提升整体安全防护能力。
(1)互联网可见资产排查
开展互联网可见资产排查工作,对暴露在互联网上、具备公网地址的资产,即面向互联网提供WEB、小程序等互联网服务的服务器和设备进行全面梳理,包括:IP地址、端口、服务名称及版本、操作系统类型及版本、应用框架类型及版本、业务系统归属、责任人等,其中“IP+端口+服务”的三元组为资产的唯一标识符,形成互联网暴露资产清单,在保障备战阶段中进行重点关注、有效收敛可能的攻击面。
(2)网络安全管理自查
通过管理风险自查表形式开展安全管理风险自查工作,包含:工作区域安全管理、网路安全管理、存储介质安全管理、机房管理、计算机病毒防范管理、计算机终端维护管理、账号、口令及权限管理等,通过自查形式梳理、汇总当前安全管理风险问题,及时发现安全管理不符合项,并针对不合规项进行优化整改,降低因安全管理不合规项导致的攻击成功概率。
(3)系统安全管理自查
通过系统安全风险自查表形式开展系统安全风险自查工作,包含:数据安全、应用和数据安全、主机安全、网络和通讯安全、安全运维管理、系统安全管理、数据备份/销毁管理等,通过自查形式梳理、汇总当前系统安全风险问题。
安全技术团队对备战阶段安全管理自查、系统风险自查工作中发现的风险及问题进行最终汇总整合,并且形成相应的跟踪表,设立每项风险闭环的责任主体和负责人,并根据实际情况,选择合适的手段,明确整改计划,及时跟进,直至各项风险闭环处置。
(4)系统漏洞检查和加固
开展系统漏洞检查工作,通过漏洞检查工具对省级收费系统进行安全检查,包含网络设备、操作系统、应用软件、中间件和服务等进行安全漏洞识别[2]。开展弱口令检查工作,降低攻击方可通过口令爆破、弱口令扫描等方式破解账号口令,进而获取主机、服务器的管理权限,从而进一步渗透的风险。利用技术手段严格排查弱口令、空口令、默认口令等问题,及时进行安全加固,避免演练期间发生相关事件。
开展高危端口、不必要服务检查工作,关闭高危、不必要的端口和服务,漏洞检查人员、技术专家协助系统运维人员、开发人员关闭不必要的端口、服务。
(5)入侵痕迹排查和修复
开展入侵痕迹排查工作,对现有主机、设备、应用、服务等模块排查是否存在隐藏创建账号、未知网络连接、非法创建进程、webshell、僵木蠕虫等问题,及时封堵已存在入侵后门。
(6)策略优化
针对数据库、操作系统、应用软件自身安全策略进行优化,配置合理、有效的安全策略,保证相关安全机制有效开启。
对网络设备策略、安全设备策略、主机防护策略等进行进一步调整和优化。如安全设备针对业务系统技术架构,添加临时自定义拦截规则;针对高风险漏洞开启相应监测和防护策略;网络设备开启白名单机制并设置限制来源等。
(7)社工排查
开展社工抽查工作,包含如下内容:
①移动存储介质管理意识排查与演练。
②机房及业务区管理身份冒用识别、防尾随演练。
③管理员口令权限索要或套取演练。
④检验机房、业务区门禁、移动存储介质等安全管理职责落实情况,同时检验员工安全意识。
2.3.3实战阶段
(1)安全值守监控
在攻防演练实战期间,监测分析组将对外部安全威胁情报、安全漏洞情报及外部披露情报等安全情报进行实时监控,通过对部署在网内的监测预警平台、安全设备进行监控预警,日志分析,实时从设备告警日志中捕获异常攻击行为或操作行为,通过策略调优、误拦分析,及时封堵异常攻击行为,对安全风险进行闭环等。
(2)安全事件处置
处置组对真实入侵行为及时响应,并开展阻断工作,协助应用组、应用支撑组排查服务器上的木马程序,分析攻击者入侵途径并溯源,并协助进行防护处置;协助网络组、网络支撑组排查网络设备上的攻击告警,分析攻击者入侵途径并溯源,并协助进行防护处置。处置流程见图1。
图1 安全事件处置流程
(3)研判预警通告
在攻防演练保障期间,技术专家组将对监测分析组上报事件进行研判分析,对符合预警条件的事件进行通知处理。
安全预警通告主要类型包括安全风险预警通告、安全事件应急通告、可疑安全行为通告,当技术专家组收到上述通告时,及时研判被通告事件与保障目标资产吻合度,对风险内容进行定位分析,确认实际影响范围、威胁程度、紧急程度等,并协调处置组进行处理,以达到快速闭环安全风险目的。
(4)威胁情报收集
情报收集组收集各渠道上报、通告的漏洞预警信息、恶意IP信息、事件处置信息以及其它针对攻防演练的有效信息,并将情报信息传递给技术专家组。
(5)演练事件上报
在攻防演练实战期间,演练防守方对检测到的告警信息进行研判分析,对确属攻击行为的安全事件,技术专家组、处置组提供相应证据,并由事件上报组及时根据规定格式编写防守方成果报告,提交至指挥联络组,由专人统一上报。
2.3.4总结阶段
实战阶段结束后,开展攻防演练总结会议,对整个安全保障工作进行总结,包括安全保障效果和成果、工作存在的问题和改进计划、业务和系统遗留风险及持续控制计划等。待到交通部成果下发之后,对攻防演习行动进行复盘,分析攻击者入侵途径,检查防护漏洞,结合当前防护能力提出可落地的后续能力建设方案,为后期保障工作总结最佳实践。
撤站后高速公路联网收费系统经过连续两年的攻防演练,系统的安全性得到明显提高。首先从业人员的网络安全意识得到了显著提高,从管理和技术两个方面都有了较为明显的改善;其次是在应对网络安全突发事件时,系统维护人员和管理人员能够更加从容应对,更加熟悉应急处置流程。因此,高速公路联网收费系统网络安全攻防演练达到了既定目标,取得了较好的社会效益和经济效益,对全国高速公路运行起到了重要的现实意义。