【网络安全】护网

专栏文章索引：网络安全

有问题可私聊：QQ：3375119339

目录

一、护网简介

1.护网产生

2.护网规模

3.护网的时间

4.护网的规则

5.护网工作

6.红队

7.蓝队防守

二、护网整体方案

---

一、护网简介

1.护网产生

• 护网行动是一场网络安全攻防演练。护网2019由公安部11局组织,于2019.6.10开始,持续3周。是针对全国范围的真实网络目标为对象的实战攻防活动,旨在发现、暴露和解决安全问题,检验我国各大企事业单位、部属机关的网络安全防护水平和应急处置能力。
  

2.护网规模

• 国家护网
• 省级护网
• 市级护网

3.护网的时间

以国家级护网为例，一般护网是每年的7、8月左右开始，一般持续时间是2~3周。省级大概在2周左右，再低级的就是一周左右。

4.护网的规则

护网一般分为红蓝两队，做红蓝对抗。红队为攻击队，红队的构成主要有"国家队"、厂商的渗透技术人员。蓝队为防守队，一般是随机抽取一些单位参与。
 

5.护网工作

• 红队
  • 针对所得到的资产进行漏洞扫描，渗透，提权，横向等等
• 蓝队
  • 针对自身所在公司资产进行守护。通过安全设备。(监测、研判、溯源)
    • 监测：看设备所接收的告警流量，并提交异常流量给研判
    • 研判：对异常流量进行分析，判断是否是真实攻击
    • 溯源：对真实攻击流量进行溯源，找到攻击者
       

6.红队

• 攻防入侵路径
  • web互联网资产暴露面
    • 互联网暴露面资产直接面向外部攻击者的威胁。相对于企业内部资产所面临的安全风险更高，攻击者可利用的点更多，且攻击的成本也更低。
  • 设备串入网络且具有漏洞
    • 设备部署有旁路(不改变现有网络结构)有串行(串行接入现有网络当中)等方式，对于串到网络中的设备要慎重，一旦设备本身带有漏洞，可直接被利用，内网穿透。
  • 社工高权限管理安全意识
    • 对于员工的安全意识层面要贯彻到底，每个人对于自己可执行的权限，负责的内容及区域，工作的流程步骤了解清楚，避免攻击者冒充领导或其他部门人员套取信息等。
  • 跳板二级单位及下属机构
    • 在本身已经做好基础防护措施的同时，要对下级单位提出明确需求，使可以有通讯或数据传输的下级单位同样做好防护手段，且对于通讯的策略做好相应的收紧。
• 红队攻击方式
  • web攻击、主机攻击、已知漏洞、敏感文件、口令爆破
     

7.蓝队防守

• 极端防守策略
  • 全下线：非重要业务系统全部下线;目标系统阶段性下线；
  • 狂封IP：疯狂封IP(C段)宁可错杀1000，不能放过1个；
  • 边缘化：核心业务仅保留最核心的功能且仅上报边缘系统；
• 策略收紧常态化
  • 联系现有设备的厂商将现有的安全设备策略进行调整，将访问控制策略收紧，数据库、系统组件等进行加固。
• 减少攻击暴露面
  • 暴露在互联网上的资产，并于能在互联网中查到的现网信息进行清除。
• 各种口令复杂化
  • 不论是操作系统、业务入口，还是数据库、中间件，甚至于主机，凡是需要口令认证的都将口令复杂化设置。
• 核心业务白名单
  • 将核心业务系统及重要业务系统做好初始化的工作，记录业务正常产生的流量，实施白名单策略。
• 主机系统打补丁
  • 对业务系统做基线核查，将不符合标准的项进行整改，并对业务系统做漏洞检查，并对找出的脆弱想进行整改。
     

二、护网整体方案
 

• 建立组织
  • 总指挥领导小组；指挥决策组；
  • 监测预警小组；应急处置小组；
  • 业务保障小组；对外联络小组；
• 资产梳理
  • 外网资产：IP、端口、域名
  • 内网资产：主机、系统、服务器
  • 资产风险：漏洞、弱口令、边界完整性
• 架构分析
  • 拓扑梳理：内网区、互联网接入区等；
  • 靶心系统及相关联系统：互访关系;业务流
• 渗透测试
  • 人工渗透；漏扫工具
  • 获取现有资产威胁；了解业务系统漏洞。
• 整改加固
  • 安全加固;漏洞修复;安全设备策略;
  • 缺少监控手段部署

• 应急演练
  
   
  • 查缺补漏;安全策略优化;防守方案优化;
  • 验证各方面能力;应急演练
     
• 护网中期
  
• 监测内容
  
• web常见漏洞
  • sql注入
  • xss跨站
  • 文件上传
  • 任意代码/命令执行
  • 弱口令/越权
  • 文件包含
• 设备
  • 主流安全设备(不同厂商的设备也就不同)
  • 天眼
  • 椒图
  • 。。。
     

---