网络攻击应急演练合集12篇
网络攻击应急演练篇1
一、引言
随着经济和社会的发展,全社会对金融服务质量、效率以及资金安全的要求不断提高,与此同时,针对金融业务的违法犯罪活动呈快速发展趋势,金融机构面临的信息安全形势越来越复杂,金融信息安全工作越来越艰巨,并日益成为社会各界关注的焦点。金融机构面临的信息安全风险主要有网络通信中断、电力供应中断、网络攻击、网络犯罪等,这些风险的处置将涉及到公安部门、通信管理部门、电力监管部门等多个不同领域的机构。因此,金融行业主管部门适时组织金融机构与公安部门、通信管理部门共同开展网络攻击事件协同处置应急演练,对增强各行业主管部门和金融机构共同处置网络攻击事件的能力,建立各行业主管部门和金融机构之间的长效沟通机制具有重要意义。
二、演练目的
通过组织开展金融机构网络攻击事件协同处置应急演练,达到以下目的:
?增强金融机构和通信行业、公安部门等行业主管部门共同处置金融业信息安全风险的能力;
?建立金融行业主管部门、各行业主管部门、各金融机构之间的长效沟通机制;
?掌握相关应急资源的实际操作数据,为今后应急预案的制定提供真实、可靠的依据。
三、演练组织
应急演练可由金融行业主管部门负责组织,选择一家金融机构为应急演练主体单位,公安部门、通信管理局为演练协同处置单位,负责配合金融行业主管部门和金融机构开展应急处置;基础通信公司(电信公司、联通公司等)负责配合上述机构开展网络攻击事件应急演练。具体职责分工如下:
单位 职责分工
金融行业主管部门 组织、指挥、协调各参加单位开展应急演练,制定网络攻击事件协同处置应急演练方案。
公安部门 配合金融机构共同开展网络攻击事件演练。
通信管理局 1、对网络攻击事件进行监控和预警,配合金融机构共同开展网络攻击事件演练;
2、协调基础通信公司配合金融机构共同开展网络攻击事件演练;
金融机构 应急演练主体单位,制定供电故障和网络攻击应急演练方案,负责演练具体实施。
基础通信公司(电信公司、
联通公司等) 配合行业主管部门及金融机构开展网络攻击应急演练。
四、演练场景
网络攻击应急演练场景
金融机构网上银行系统受到syn flood网络恶意攻击,对网上银行服务造成影响,监控人员监测发现网络攻击情况(于此同时,通信管理局监控人员发现网络攻击情况)后,立即启动应急预案,同时向金融行业主管部门(电话报告和传真事件报告单),请求协调通信管理局技术人员帮助查找攻击源;金融行业主管部门将情况告之通信管理局和公安部门,并派员赶赴事件现场协同处置网络攻击事件;通信管理局协调基础通信公司查找攻击源IP,定位攻击者物理位置;公安厅网警总队执法人员及时赶赴网络攻击现场,对网络攻击犯罪人员实施抓捕。
五、应急演练流程图(见图1)
六、演练风险评估及风险防范措施
为确保演练不影响业务系统的恢复运行,演练实施中采取以下风险防范措施:
?将演练时间安排在非关键性日期和非业务时段进行,并预留足够时间防止演练失败时有进行生产系统恢复;
?演练期间,要求相关基础通信公司提供现场技术保障,确保演练期间线路的正常;
?详细记录演练操作步骤及操作指令,以便追溯;
?密切监控演练每一步骤的执行结果,若某一步骤失败则停止演练,恢复生产系统,确保系统的正常运行。
图1
七、总结
金融业信息安全事关经济金融的稳定大局,责任重大,切实做好应急准备工作,定期开展应急演练是保障金融业信息安全的重要手段,本文所设计的应急演练方案为实际工作中总结出来的经验,期望能对金融机构应急演练工作起到抛砖引玉之用,共同维护金融业信息安全。
作者简介:
网络攻击应急演练篇2
为了顺利完成本次护网行动任务,切实加强网络安全防护能力,XXXX设立HW2019领导组和工作组,工作组下设技术组和协调组。护网工作组由各部门及各二级单位信息化负责人组成,由股份公司副总裁担任护网工作组的组长。
为提高护网工作组人员的安全防护能力,对不同重要系统进行分等级安全防护,从互联网至目标系统,依次设置如下三道安全防线:
第一道防线:集团总部互联网边界防护、二级单位企业互联网边界防护。
第二道防线:广域网边界防护、DMZ区边界防护。
第三道防线:目标系统安全域边界防护、VPN。
根据三道防线现状,梳理出主要防护内容,包括但不限于:梳理对外发布的互联网应用系统,设备和安全措施,明确相关责任人,梳理网络结构,重要的或需要重点保护的信息系统、应用系统与各服务器之间的拓扑结构,网络安全设备及网络防护情况, SSLVPN和IPSECVPN接入情况。集团广域网、集团专线边界,加强各单位集团广域网、集团专线边界防护措施,无线网边界,加强对无线WIFI、蓝牙等无线通信方式的管控,关闭不具备安全条件及不必要开启的无线功能。
结合信息化资产梳理结果,攻防演习行动安全保障小组对集团信息化资产及重点下属单位的网络安全状况进行安全风险评估和排查,确认薄弱环节以便进行整改加固。
二、 防守技战法详情
2.1 第一道防线--互联网边界及二级单位防护技战法
2.1.1 安全感知防御、检测及响应
构建从“云端、边界、端点”+“安全感知”的防御机制。相关防护思路如下:
防御能力:是指一系列策略集、产品和服务可以用于防御攻击。这个方面的关键目标是通过减少被攻击面来提升攻击门槛,并在受影响前拦截攻击动作。
检测能力:用于发现那些逃过防御网络的攻击,该方面的关键目标是降低威胁造成的“停摆时间”以及其他潜在的损失。检测能力非常关键,因为企业应该假设自己已处在被攻击状态中。
响应能力:系统一旦检测到入侵,响应系统就开始工作,进行事件处理。响应包括紧急响应和恢复处理,恢复处理又包括系统恢复和信息恢复。
2.1.2 安全可视及治理
l 全网安全可视
结合边界防护、安全检测、内网检测、管理中心、可视化平台,基于行为和关联分析技术,对全网的流量实现全网应用可视化,业务可视化,攻击与可疑流量可视化,解决安全黑洞与安全洼地的问题。
l 动态感知
采用大数据、人工智能技术安全,建立了安全态势感知平台,为所有业务场景提供云端的威胁感知能力。通过对边界网络流量的全流量的感知和分析,来发现边界威胁。通过潜伏威胁探针、安全边界设备、上网行为感系统,对服务器或终端上面的文件、数据与通信进行安全监控,利用大数据技术感知数据来发现主动发现威胁。
2.1.3 互联网及二级单位的区域隔离
在互联网出口,部署入侵防御IPS、上网行为管理,提供网络边界隔离、访问控制、入侵防护、僵尸网络防护、木马防护、病毒防护等。
在广域网接入区边界透明模式部署入侵防御系统,针对专线接入流量进行控制和过滤。
办公网区应部署终端检测和响应/恶意代码防护软件,开启病毒防护功能、文件监测,并及时更新安全规则库,保持最新状态。
服务器区部署防火墙和WEB应用防火墙,对数据中心威胁进行防护;汇聚交换机处旁路模式部署全流量探针,对流量进行监测并同步至态势感知平台;部署数据库审计系统,进行数据库安全审计。
在运维管理区,部署堡垒机、日志审计、漏洞扫描设备,实现单位的集中运维审计、日志审计和集中漏洞检查功能。
2.1.3.1 互联网出口处安全加固
互联网出口处双机部署了因特网防火墙以及下一代防火墙进行出口处的防护,在攻防演练期间,出口处防火墙通过对各类用户权限的区分,不同访问需求,可以进行精确的访问控制。通过对终端用户、分支机构不同的权限划分保障网络受控有序的运行。
对能够通过互联网访问内网的网络对象IP地址进行严格管控,将网段内访问IP地址段进行细化,尽量落实到个人静态IP。
开启精细化应用控制策略,设置多条应用控制策略,指定用户才可以访问目标业务系统应用,防止出现因为粗放控制策略带来的互联网访问风险。
对所有通过联网接入的用户IP或IP地址段开启全面安全防护策略,开启防病毒、防僵尸网络、防篡改等防护功能。
通过对全网进行访问控制、明确权限划分可以避免越权访问、非法访问等情况发生,减少安全事件发生概率。
护网行动开始之前,将防火墙所有安全规则库更新到最新,能够匹配近期发生的绝大部分已知威胁,并通过SAVE引擎对未知威胁进行有效防护。
攻防演练期间,通过互联网访问的用户需要进行严格的认证策略和上网策略,对上网用户进行筛选放通合法用户阻断非法用户,同时对于非法url网站、风险应用做出有效管控。根据企业实际情况选择合适流控策略,最后对于所有员工的上网行为进行记录审计。
攻防演练期间,需要将上网行为管理设备的规则库升级到最新,避免近期出现的具备威胁的URL、应用等在访问时对内网造成危害。
2.1.3.2 DMZ区应用层安全加固
当前网络内,DMZ区部署了WEB应用防火墙对应用层威胁进行防护,保证DMZ区域内的网站系统、邮件网关、视频会议系统的安全
攻防演练期间,为了降低用从互联网出口处访问网站、邮件、视频的风险,防止攻击手通过互联网出口访问DMZ区,进行页面篡改、或通过DMZ区访问承载系统数据的服务器区进行破坏,需要设置严格的WEB应用层防护策略,保证DMZ区安全。
通过设置WEB用用防护策略,提供OWASP定义的十大安全威胁的攻击防护能力,有效防止常见的web攻击。(如,SQL注入、XSS跨站脚本、CSRF跨站请求伪造)从而保护网站免受网站篡改、网页挂马、隐私侵犯、身份窃取、经济损失、名誉损失等问题。
2.2 第二道防线-数据中心防护技战法
总部数据中心从防御层面、检测层面、响应层面及运营层面构建纵深防御体系。在现有设备的基础上,解决通号在安全建设初期单纯满足合规性建设的安全能力,缺乏完善的主动防御技术和持续检测技术带来的风险。主要解决思路如下:
1、基于安全风险评估情况,夯实基础安全架构
通过持续性的风险评估,进行安全架构的升级改造,缩小攻击面、减少风险暴露时间。包括:安全域改造、边界加固、主机加固等内容。
2、加强持续检测和快速响应能力,进一步形成安全体系闭环
针对内网的资产、威胁及风险,进行持续性检测;基于威胁情报驱动,加强云端、边界、端点的联动,实现防御、检测、响应闭环。
3、提升企业安全可视与治理能力,让安全了然于胸
基于人工智能、大数据技术,提升全网安全风险、脆弱性的可视化能力,大幅度提升安全运维能力,以及应急响应和事件追溯能力。
2.2.1 边界防御层面
原有的边界防护已较完善,无需进行架构变动,只需要确保防御设备的策略有效性和特征库的及时更新。针对目标系统,通过在目标系统接入交换机和汇聚交换机之间透明部署一台下一代防火墙,实现目标系统的针对性防护,防止服务器群内部的横向威胁。
下一代防火墙除基本的ACL访问控制列表的方法予以隔离以外,针对用户实施精细化的访问控制、应用限制、带宽保证等管控手段。通号业务系统中存在对外发布的网站、业务等,因此需要对WEB应用层进行有效防护,通过下一代防火墙提供SQL注入、跨站脚本、CC攻击等检测与过滤,避免Web服务器遭受攻击破坏;支持外链检查和目录访问控制,防止Web Shell和敏感信息泄露,避免网页篡改与挂马,满足通号Web服务器深层次安全防护需求。
根据现有网络,核心交换区部署了应用性能管理系统,攻防演练期间,需要对应用性能管理系统进行实时关注,应用出现异常立即上报,并定位责任人进行处置,保证网络性能稳定,流畅运行。
核心交换机双机部署了两台防火墙,物理上旁路部署,逻辑上通过引流所有流量都经过防火墙,通过防火墙对服务器区和运维管理区提供边界访问控制能力,进行安全防护。
攻防演练期间,核心交换区防火墙进行策略调优,对访问服务器区和运维管理区的流量数据进行严格管控,对访问服务器区内目标系统请求进行管控;防止安全威胁入侵运维管理区,对整体网络的安全及运维进行破坏,获取运维权限。
攻防演练期间,在各分支机构的边界,通过对各类用户权限的区分,各分支机构的不同访问需求,可以进行精确的访问控制。通过对终端用户、分支机构不同的权限划分保障网络受控有序的运行。
专线接入及直连接入分支通过广域网接入区的路由器-下一代防火墙-上网行为管理-核心交换机-服务器区的路径进行访问,因此通过完善下一代防火墙防护策略,达到安全加固的目的。
通过对全网进行访问控制、明确权限划分可以避免越权访问、非法访问等情况发生,减少安全事件发生概率。
攻防演练前,需要对下一代防火墙的各类规则库、防护策略进行更新和调优。
2.2.2 端点防御层面
服务器主机部署终端检测响应平台EDR,EDR基于多维度的智能检测技术,通过人工智能引擎、行为引擎、云查引擎、全网信誉库对威胁进行防御。
终端主机被入侵攻击,导致感染勒索病毒或者挖矿病毒,其中大部分攻击是通过暴力破解的弱口令攻击产生的。EDR主动检测暴力破解行为,并对发现攻击行为的IP进行封堵响应。针对Web安全攻击行为,则主动检测Web后门的文件。针对僵尸网络的攻击,则根据僵尸网络的活跃行为,快速定位僵尸网络文件,并进行一键查杀。
进行关联检测、取证、响应、溯源等防护措施,与AC产品进行合规认证审查、安全事件响应等防护措施,形成应对威胁的云管端立体化纵深防护闭环体系。
2.3 第三道防线-目标系统防护技战法
本次攻防演练目标系统为资金管理系统及PLM系统,两个系统安全防护思路及策略一致,通过APDRO模型及安全策略调优达到目标系统从技术上不被攻破的目的。
2.3.1 网络层面
在网络层面为了防止来自服务器群的横向攻击,同时针对业务系统进行有针对性的防护,通过部署在目标系统边界的下一代防火墙对这些业务信息系统提供安全威胁识别及阻断攻击行为的能力。
同时通过增加一台VPN设备单独发布目标系统,确保对目标系统的访问达到最小权限原则。
子公司及办公楼访问目标系统,需要通过登录新建的护网专用VPN系统,再进行目标系统访问,并通过防火墙实现多重保障机制。
系统多因子认证构建
为了保证攻防演练期间管理人员接入资金管理系统的安全性,接入资金管理系统时,需要具备以下几项安全能力:一是用户身份的安全;二是接入终端的安全;三是数据传输的安全;四是权限访问安全;五是审计的安全;六是智能终端访问业务系统数据安全性。
因此需要对能够接入资金管理系统的用户进行统一管理,并且屏蔽有风险访问以及不可信用户;使用专用SSL VPN对资金管理系统进行资源发布;为需要接入资金管理系统的用户单独创建SSL VPN账号,并开启短信认证+硬件特征码认证+账户名密码认证,屏蔽所有不可信任用户访问,对可信用户进行强管控。
对接入的可信用户进行强管控认证仍会存在访问风险,因此需要边界安全设备进行边界安全加固。
系统服务器主机正常运行是业务系统正常工作的前提,服务器可能会面临各类型的安全威胁,因此需要建设事前、事中、事后的全覆盖防护体系:
l 事前,快速的进行风险扫描,帮助用户快速定位安全风险并智能更新防护策略;
l 事中,有效防止了引起网页篡改问题、网页挂马问题、敏感信息泄漏问题、无法响应正常服务问题及“拖库”、“暴库”问题的web攻击、漏洞攻击、系统扫描等攻击;
l 事后,对服务器外发内容进行安全检测,防止攻击绕过安全防护体系、数据泄漏问题。
同时,为了保证安全威胁能够及时被发现并处置,因此需要构建一套快速联动的处理机制:本地防护与整体网络联动、云端联动、终端联动,未知威胁预警与防护策略,实时调优策略;深度解析内网未知行为,全面安全防护;周期设备巡检,保障设备稳定健康运行;云端工单跟踪,专家复审,周期性安全汇报;通过关联全网安全日志、黑客行为建模,精准预测、定位网络中存在的高级威胁、僵尸主机,做到实时主动响应。
在业务系统交换机与汇聚交换机之间部署下一代防火墙,根据资产梳理中收集到的可信用户IP、端口号、责任人等信息,在下一代防火墙的访问控制策略中开启白名单,将可信用户名单添加到白名单中,白名单以外的任何用户访问业务系统都会被拒绝,保证了区域内的服务器、设备安全。
2.3.2 应用层面
下一代防火墙防病毒网关的模块可实现各个安全域的流量清洗功能,清洗来自其他安全域的病毒、木马、蠕虫,防止各区域进行交叉感染;
下一代防火墙基于语义分析技术提供标准语义规范识别能力,进一步还原异变的web攻击;应用AI人工智能,基于海量web攻击特征有效识别未知的web威胁。基于AI构建业务合规基线,基于广泛的模式学习提取合规的业务操作逻辑,偏离基线行为的将会被判定为web威胁,提升web威胁识别的精准度。
下一代防火墙以人工智能SAVE引擎为WEB应用防火墙的智能检测核心,辅以云查引擎、行为分析等技术,使达到高检出率效果并有效洞悉威胁本质。威胁攻击检测、多维度处置快速响应,有效解决现有信息系统安全问题。
目前通号服务器区安全建设存在以下问题一是以边界防护为核心,缺乏以整体业务链视角的端到端的整体动态防护的思路;二以本地规则库为核心,无法动态有效检测已知威胁;三是没有智能化的大数据分析能力,无法感知未知威胁;四是全网安全设备之间的数据不能共享,做不到智能联动、协同防御。
在保留传统安全建设的能力基础上,将基于人工智能、大数据等技术,按照“业务驱动安全”的理念,采用全网安全可视、动态感知、闭环联动、软件定义安全等技术,建立涵盖数据安全、应用安全、终端安全等的“全业务链安全”。
为了保证访问资金管理系统访问关系及时预警及安全可视化,需要将访问目标系统的所有流量进行深度分析,及时发现攻击行为。
在在业务系统交换机旁路部署潜伏威胁探针,对访问资金管理系统的所有流量进行采集和初步分析,并实时同步到安全态势感知平台进行深度分析,并将分析结果通过可视化界面呈现。
2.3.3 主机层面
下一代防火墙通过服务器防护功能模块的开启,可实现对各个区域的Web服务器、数据库服务器、FTP服务器等服务器的安全防护。防止黑客利用业务代码开发安全保障不利,使得系统可轻易通过Web攻击实现对Web服务器、数据库的攻击造成数据库信息被窃取的问题;
下一代防火墙通过风险评估模块对服务器进行安全体检,通过一键策略部署的功能WAF模块的对应策略,可帮助管理员的实现针对性的策略配置;
利用下一代防火墙入侵防御模块可实现对各类服务器操作系统漏洞(如:winserver2003、linux、unix等)、应用程序漏洞(IIS服务器、Apache服务器、中间件weblogic、数据库oracle、MSSQL、MySQL等)的防护,防止黑客利用该类漏洞通过缓冲区溢出、恶意蠕虫、病毒等应用层攻击获取服务器权限、使服务器瘫痪导致服务器、存储等资源被攻击的问题;
针对系统的服务器主机系统访问控制策略需要对服务器及终端进行安全加固,加固内容包括但不限于:限制默认帐户的访问权限,重命名系统默认帐户,修改帐户的默认口令,删除操作系统和数据库中过期或多余的账户,禁用无用帐户或共享帐户;根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;启用访问控制功能,依据安全策略控制用户对资源的访问;加强终端主机的病毒防护能力并及时升级恶意代码软件版本以及恶意代码库。
通过终端检测响应平台的部署,监测服务器主机之间的东西向流量,开启定时查杀和漏洞补丁、实时文件监控功能,限制服务器主机之间互访,及时进行隔离防止服务器主机实现并横向传播威胁。并且通过攻击链举证进行攻击溯源。
2.4 攻防演练-检测与响应技战法
2.4.1 预警分析
通过7*24小时在线的安全专家团队和在线安全监测与预警通报平台,即可对互联网业务进行统一监测,统一预警。云端专家7*24小时值守,一旦发现篡改、漏洞等常规安全事件,即可实时进行处置。对于webshell、后门等高阶事件,可以及时升级到技术分析组进行研判,一旦确认,将会实时转交应急响应组进行处置。
监测与相应组成员实时监控安全检测类设备安全告警日志,并根据攻击者特征分析入侵事件,记录事件信息,填写文件并按照流程上报。
若同一来源IP地址触发多条告警,若触发告警时间较短,判断可能为扫描行为,若告警事件的协议摘要中存在部分探测验证payload,则确认为漏洞扫描行为,若协议摘要中出现具有攻击性的payload,则确认为利用漏洞执行恶意代码。
若告警事件为服务认证错误,且错误次数较多,认证错误间隔较小,且IP地址为同一IP地址,则判断为暴力破解事件;若错误次数较少,但超出正常认证错误频率,则判断为攻击者手工尝试弱口令。
2.4.2 应急处置
应急处置组对真实入侵行为及时响应,并开展阻断工作,协助排查服务器上的木马程序,分析攻击者入侵途径并溯源。
安全事件的处置步骤如下:
(1)根据攻击者入侵痕迹及告警详情,判断攻击者的入侵途径。
(2)排查服务器上是否留下后门,若存在后门,在相关责任人的陪同下清理后门。
(3)分析攻击者入侵之后在服务器上的详细操作,并根据相应的安全事件应急处置措施及操作手册展开应对措施。
(4)根据排查过程中的信息进行溯源。
网络攻击应急演练篇3
中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)03-0541-02
Information on Non-traditional Security Thinking
HUANG Song
(Guangzhou Institute of Public Administration, Guangzhou 510070, China)
Abstract: With modern means of computer information security technology and continuous development and improvement, network in? truders, turning to the use of human weakness of network intrusion, traditional information security information to non-traditional security gradually. Non-traditional threats to information security on the network has shown a rising trend even spread. Therefore, a careful analysis of non-traditional information security attack methods and means, have a certain knowledge of security and preventive measures, can make it early to prevent, to minimize the risk of attack.
Key words: non-traditional information security; social engineering; phishing
进入新世纪以来,随着技术的不断更新和发展,许多网络安全设备被广泛地应用到网络中,为我们的网络筑起一道道坚固的防线,也确实给网络安全提供了技术和管理方面的保障。但是,俗话说:“道高一尺,魔高一丈”,只有相对的网络安全,没有绝对意义的网络安全。传统的信息安全无论在技术方面,还是在管理的核心方面,大都是围绕那些不断发展的物质技术因素和外在行为因素,而忽视了信息安全处于核心地位的人的内在心理因素。随着不断开发出更好的安全技术,利用技术弱点进行攻击变得越来越困难,网络入侵者开始转向利用人的弱点对网络进行入侵攻击。社会工程学、社会心理学则是传统信息安全向非传统信息安全转变的一个桥梁。运用社会工程学的方式产生的信息安全事件,越来越强力地挑战了传统的信息安全观念,成为当前非传统信息安全对网络的威胁的主要形式。因为突破“人”这道防火墙常常是容易的,甚至不需要很多投资和成本,冒的风险也很小。
1常见的非传统信息安全入侵攻击
1.1被动等待型
被动等待型的主要特点是守株待兔、诱骗上钩,通过伪造假冒一些出名的网站等待受害者上钩。典型的代表是网络钓鱼攻击,这是一种目前在互联网上最流行的网络攻击手段之一。这种攻击手段原理非常简单但危害极大:网络钓鱼会释放一个诱饵,通常是仿冒的网页,诱使网民上钩,从而得到用户的敏感信息与金钱。
网络钓鱼应用了社会工程学的手段,在整个过程中不存在病毒木马等恶意软件,网页或软件的所有代码都是合法有效的,黑客仅仅使用了一个假冒正规网站的网页来完成他们的攻击。因为不存在病毒木马,传统的杀毒软件基本上无法进行查杀。因此,网络钓鱼攻击在著名的安全软件公司McAfee的十大安全威胁名单中位居第一。根据《2011年中国反钓鱼网站联盟工作报告》分析指出,目前钓鱼网站呈现出“高度集中”、“追踪热点”和“紧盯免费域名”三大特征,同时随着“潜伏”、“游击”等新型钓鱼隐藏和躲避方式的出现,使得反钓鱼工作变得更加困难。《报告》显示,随着微博影响力的扩大和使用率的增加,以微博抽奖、中奖为名进行的网络钓鱼案例数量大大增加,有人冒充新浪网、腾讯、搜狐等网站,通过微博虚假中奖信息进行诈骗,诈骗手法与过去有所不同,很容易让人防不胜防。
1.2主动攻击型
主动攻击型分为两个阶段:搜集敏感信息和盗用身份攻击。
第一阶段,收集信息。在进行主动攻击前,攻击者首先通过网络搜索引擎、通用在线查询系统、有关技术论坛等各种网络应用收集被攻击者的个人详细资料、手机号码、照片、爱好习惯、信用卡资料、网络论坛资料、社交网络资料,甚至个人身份证的扫描件等 等对攻击有用的信息。然后,攻击者可通过收集回来的各种资料分析出被攻击者的脆弱点,进一步决定具体实施哪种攻击方式:入侵渗透、账户窃取、网络敲诈、精神伤害等。同时,网络上不断出现的安全事故,为攻击者提供了海量的资料来源,让信息的收集变得越来越简单。例如2011年年底出现的“泄密门”事件:国内最大的程序员网站CSDN网站600多万用户被泄露,天涯社区4000万用户的账号密码邮箱遭泄露,51CTO、CNZZ、eNet、开心网(微博)、人人网、珍爱网等众多知名网站也相继陷入用户数据泄露丑闻。由于目前可供用户使用的互联网服务,基本都通过用户邮箱进行注册,而很多用户在不同的网站注册时,出于方便易记,将用户名与密码统一起来,或者互相关联,有的使用邮箱进行互相关联。这就导致一旦一个网站的密码被盗,就可能导致多个网站的账号以及电子邮箱的账号密码都被盗。
第二阶段,盗用身份攻击。首先,如果被盗的用户是网络上网站的系统管理员,由于许多人的为了方便记忆,通常都使用同样的账号和密码,通过对这些账号密码的关联,攻击者可能会获取网站后台管理系统的密码,可以绕过对网站的渗透攻击直接获取网站的系统权限,从而对网站的安全造成致命的威胁,甚至造成无法挽回的损失。其次,如果攻击者不能直接获取管理员的账号密码时,由于攻击者掌握了用户的邮箱信息,他可以通过伪造虚假的邮件发件人,以及伪造被攻击者所信任的朋友的账号、博客、个人识别码进行误导,并利用信任实施社会工程学攻击。通常,网络的账号、电子邮箱、QQ账户具有其本人身份证相似的认可度,一旦攻击者冒充被攻击者非法、恶意、诈骗类消息,被攻击者的朋友一般会不加怀疑地相信其消息的真实性。例如,在汶川大地震发生后,便有网络犯罪分子非法篡改红十字会公布的赈灾募捐银行账号,企图吞噬善款。以下是一个著名的针对微软公司的盗用身份攻击的经典案例:一名黑客给微软公司的网管发了一封邮件,声称自己是微软公司的员工,在欧洲出差,但是忘记的密码,大意的网管就发送了新的密码给这个人,黑客由此轻松的完成了入侵。
2非传统信息安全入侵攻击的核心思想分析
以上所述的攻击手段的核心是什么呢?通过技术手段又为什么不能很好地防范呢?《欺骗的艺术》一书的作者,世界级顶级黑客大师凯文・米特尼克曾经说过:“人是最脆弱的环节,你可以拥有最好的技术:防火墙、入侵检测系统、生命统计学的设备……,但有些人只要给一名毫无戒备的人打个电话,就能得到所有的东西”。
这句话说出非传统信息安全入侵攻击的核心思想:攻击的对象关键是“人”,是“人”就会有弱点,而要找到系统管理人员的疏忽之处或心理弱点比查找程序的漏洞要更容易更简单。基于此思想,攻击者通过搜集信息,对所要入侵系统的相关人员进行弱点分析,在弱点分析后就可以实施有效的社会工程学攻击策略。因此,以社会工程学为基础,结合社会心理学就产生了很多攻击手段,这些方法无疑使黑客技术有了新的发展方向,如网络钓鱼、密码心理学以及一些欺骗性的利用社会工程学渗透系统内部网络或者相应网络管理人员的手段,都是一种利用人的疏忽之处或心理弱点进行攻击的手段。
我们今天所说的非传统信息安全是以社会工程学为基础,结合社会心理学,专门针对计算机信息安全工作链中“人”这个环节。根据木桶原理――水桶的容量不是由最长木板条所决定,而是取决于最短的木板条。在信息安全体系中,“人”往往就扮演着这“短木板”的角色。“人”存在着不同的差异性和不稳定性,从而决定了信息安全的脆弱性,它不会因为更换了最好的网络安全设备和杀毒软件而改变。无论是在物理上,还是在虚拟信息系统上,任何一个可以访问系统某个部分的人都有可能构成潜在的安全风险与威胁。
3非传统信息安全入侵攻击的防范
3.1教育培训人
由于社会工程学攻击始于心理操控,因此防御和对付的最有效、最常见手段,就是“教育和培训”。教育和培训的根本目的是强调安全意识的重要性,让每个人首先对网络安全引起高度的重视,每一个人都可能是下一个被攻击者。不要做一个无知的人,要始终保持一个信念“现实社会中的骗子,在网络社会中同样无处不在”,在遇到旁人进行信息质询时应时刻保持警惕,对于未经明确授权的来访者应保持拒绝,要时时敲醒警钟,注意保护个人私隐。其次,定期进行教育培训,普及网络安全的常识,介绍当前网络上最新的网络诈骗手段,做到知己知彼,有的放矢。在现实社会中,公安部门经常会一些社会常见的诈骗行为,提醒公众市民,避免受骗上当。同样,通过培训,普及网络诈骗行为,经常一些网络中最新出现的诈骗案例,及时提醒上网的人在虚拟的网络社会中注意保护自己的隐私。同时,注意加强信息安全心理学知识培训。网络钓鱼就充分运用了心理学手段,因此只有认真地研究和了解心理学,才能有效地防范和预防网络钓鱼。
3.2通过规章制度管理人
规章制度的作用在于规范性,在各项制度的约束下,人的行动有规可循,照章行事。人有时是有惰性的,只有通过规章制度的规范,才能长期地执行,实现可持续性。因此制定有效的网络安全管理规章制度,并定期检查执行情况是防范非传统信息安全入侵攻击的重要手段。
在制定网络安全管理规章制度时,网络安全管理规章制度应明确规定设置账户、批准访问及改变密码等操作的程序和权限。例如,禁止通过电话或不经,加密的邮件来设置和获取账户和密码。要制定强有力的密码管理措施:包括规定最短密码长度、复杂性、更换周期等,明确规定不允许使用姓名、生日、电话等作为密码,严禁将管理员个人的邮箱密码与系统管理的账号密码关联。网络安全管理规章制度还应明确规定对修改账户的权限、改变密码等涉及安全的操作必须进行登记,形成日志记录,以便过后进行定期检查。同时还要全面应用其他技术措施,例如建立电话录音、客户访问记录、文档等信息的访问等级制度。
3.3建立预警演练机制演练人
只有安全意识和规章制度,如果没有具体的实践,当我们遇到具体的问题时就可能会手忙脚乱,不知所措。因此,成立事故应急小组,建立预警演练机制,模拟入侵程序就显得非常重要。
首先应成立事故应急小组,事故应急小组应当由来自不同关键部门的知识渊博的员工组成,他们要经过良好培训并随时准备对攻击做出反应,能有效地分析出入侵的目的与方式。其次,强化建立预警演练机制,模拟入侵程序,利用模拟环境和测试能有效地评价安全控制措施来制定相应的对策和解决方法。
最后,还应该加强检查监督。如果条件允许,单位安全部门可设立专门的督查组,经常检查所属人员的防范意识和甄别能力。督查组甚至可以给所属人员打电话,看是否能够诱使其透露口令或重要信息。当所属人员发觉受到可疑的社会工程学攻击时,要及时上报,并及时提醒其他人员注意。
4结束语
国际知名的安全企业趋势科技认为,传统网站遭到渗透的情况在将来将会减少,取而代之的是,网络犯罪者将发动一波又一波的恶意程序攻击,利用精心设计的电子邮件来诱骗使用者点击恶意链接,进而导致使用者感染恶意程序下载器。非传统信息安全对网络的威胁随着社会的发展会不断地加强,攻击的形式也会更加隐蔽,危害的程度更大。但是,只要我们从思想上加强网络的安全意识,认真分析非传统信息安全的攻击方法和手段,掌握一定的安全防范知识和防范措施,在面对社会工程学攻击的时候就能识别其真面目,处于主动地位,将攻击的风险性降至最低。
网络攻击应急演练篇4
基于网络在美国政治、经济和军事等重要领域的重要作用,美国近年来非常重视网军建设,并不断提高其网络战能力。2010年5月21日,美国宣布正式成立网络司令部,由陆军中将基思 . 亚历山大担任网络司令部司令。来自网络空间的威胁已成为美国面临的最严重的经济和军事威胁之一,有超过100个海外情报组织企图入侵美国网络,有的组织已具有破坏美国信息基础设施的能力。这是美军历史上也是世界军事史上第一个三军统一的网络司令部。美国是世界上第一个提出网络战概念的国家,也是第一个将其应用于实战的国家,组建网络司令部意味着美国准备加强争夺网络空间霸权的行动。目前,美军共有3000~5000名信息战专家,5万~7万名士兵涉足网络战。如果加上原有的电子战人员,美军的网战部队人数应该在8万人左右。
今年2月15日,美国新出台的“国防网络安全战略”提出了网络安全建设的五个支柱:一是将网络空间视为与陆海空天电并列的新战场空间;二是提出积极防御思想,即在敌人发起攻击前对其进行准确定位和采取有效防御措施;三是国防部与国土安全部加强合作,共同防范网络威慑;四是加强与盟友之间的国际合作,共同对付网络恐怖袭击;五是整合国家人力与技术资源,加强网络军队建设。
2010年9月27日,美国举行了一次名为“网络风暴”的多国、跨部门大规模网络攻击应对演习。演习目的在于检验包括电力、水源和银行在内的美国重要部门遭大规模网络攻击时的协同应对能力。参加者除了美国国土安全部外,还有6个内阁级别的部门国防部、商业部、能源部、司法部、财政部、运输部。此外,白宫及情报和执法部门代表也参与其中。来自12个盟国的技术人员也应邀加盟“网络风暴”。这些国家是:澳大利亚、英国、加拿大、法国、德国、匈牙利、日本、意大利、荷兰、新西兰、瑞典及瑞士。12月6日,为了遏制黑客袭扰不断升级的现象,美国联邦政府实施了代号为“爱因斯坦”的网络安全工程。据悉,整个项目将持续数年时间才能完成。届时,美国联邦政府设在互联网上的2400多处“接入点”将处于严密保护之下,从而防止黑客盗取各类敏感信息。美国联邦政府设有大约110个大大小小的办事机构。目前,只有20个部门的1000多个网络出入口得到“爱因斯坦”计划的有效保护。
欧盟国家积极加强网络安全
为提高各国应对网络攻击的能力,欧盟于去年11月4日在全欧范围首次进行网络战演习。欧盟27个成员国和冰岛、挪威、瑞士3个非成员国启动了名为“欧洲2010网络”的联合演练,演练持续了7个小时。演练由130名网络专家分成3组进行。一组负责从希腊首都雅典向成员国发动网络袭击,意图造成网络的“全面瘫痪”。另一组是成员国的80名专家,在各自国家采取措施应对。第三组人马是评价专家跟踪观察双方“交战”情况。据官方网站称,防御方成功守住阵地,化解了320次攻击。
今年2月23日,德国政府通过了“德国网络安全战略”,核心内容是将于4月1日成立一个国家网络防御中心。该中心负责收集来自经济界和当局有关网络攻击的信息,协调对威胁的分析,并给相关机构提供建议。因为,互联网已成为“关键的基础设施”,网络一旦瘫痪对国家而言将是危急的。正如能源供应和供水系统一样,中心负责人说:“我们已完全依赖互联网的正常运转。”
亚洲国家不甘落后
网络攻击应急演练篇5
网络威胁活动和等级呈现出不断强化的趋势。随着信息技术的不断发展成熟,大数据、云计算、移动解决方案等功能强大的新型技术不可避免地进入美国社会、政治、经济体系的各个领域,对于信息技术的依赖程度也不断增强。与此同时,网络威胁制造者的技术能力也在这个过程中持续发展,并且呈现出组织结构逐渐成熟的特点,对于能源、金融、交通、社会福利保障等重要基础设施威胁等级持续提高,甚至与其他威胁力量结合,给传统国家安全领域带来新型挑战。例如,在2012年入侵南卡罗莱纳州税务局(Department of Revenue)信息系统的事件中,数百万条社会保障号码、信用卡号以及其他公民信息遭到泄露。据估计,该州政府至少蒙受了1400万美元的经济损失,由此带来的公民信息安全隐患以及政府公信力损失则难以估算。为了扩大自身理念的影响,黑客行为主义组织会利用地方政府在社会治理工作中出现的过失,通过网络攻击制造公共事件,从而使州政府面临更大的安全压力。例如在密歇根州弗林特市爆发的“铅水”危机中,该市主要医院等社会福利系统就遭到“匿名者”组织的网络攻击,造成了事态的进一步恶化。极端主义集团也从未停止利用社交媒体宣传、煽动和策划恐怖主义袭击,近期美国本土爆发的恐怖事件中,袭击者全部都曾在网络媒体中受到过极端思想的影响。
各州政府自身网络防御能力发展滞后。持续出现的网络攻击事件造成巨大冲击,美国各州政府也都清楚地认识到网络威胁的现实紧迫性,但长期以来普遍都没有发展形成较强的网络防御能力。德勤公司和美国州政府首席信息官联合会2012年的网络安全问题调查报告显示,92%的州政府官员都认为网络安全对于本地区具有极其重要的意义,但是只有约1/2的州首席信息安全官掌握着1~5人规模的网络安全团队。认为本州有能力抵御外部威胁和政府人员具备较强网络安全能力的被调查者分别只占总数的24%和32%。无论州政府还是主管美国国内安全事务的国土安全部,在应对网络安全威胁问题上都面临着能力不足的困境。美国联邦政府和国防部虽然具备强大网络威胁监测、评估、感知、防御和攻击能力,但是联邦军队在国内不具备民事执法权,从而无法为地方政府提供直接支援,而各州政府军事部所属的国民警卫队则提供了利用美国军事网络力量的途径。
美国国内网络安全协调机制尚未有效运行。美国联邦政府一直致力于发展国家层面的网络安全协调机制,而且这种努力在奥巴马政府成立以来不断得到强化。与之对应的是,各州地方政府在协调和发展网络安全能力问题上面临诸多阻力。理论上,美国联邦政府国土安全部是负责全国范围内网络安全的主要机构,但其并不具备大规模的网络安全专家队伍,其所能做的工作仅仅是向地方政府提供网络攻击预警、提出防御建议以及协调进行网络事故响应。因此,各州政府如果遭到潜在的网络攻击,则无法依靠国土安全部向其提供支援力量。国防部虽然也有支持民事机构网络安全能力的职责,但其关注的主要目标是位于各州的国家关键基础设施,对于州政府亟待改进的日常网络防御能力帮助非常有限。各州私营部门也都发展形成了较强的网络能力,对于这种高价值/低密度的资源,州政府机构并没有形成有效的组织程序,从而征召这些力量应对网络安全突发事件,因而各州民事机构的网络防御力量也得不到充分利用。
美国国民警卫队在网络安全行动中的独特优势
在美国军事力量体系中,国民警卫队是一种地域分布广泛的特殊军队组织,与联邦政府、地方政府、私营部门都保持着紧密联系,根本作用是执行国土防御任务,负责对紧急事件做出及时迅速的反应。根据美国法律,各州州长有权宣布国民警卫队进入州现役状态,执行自然灾害救援、人为紧急事件处置以及国土防御任务。在总统或者国防部长的批准下,各州州长还可以利用《美国法典》第32卷赋予的权力,要求国民警卫队进入全时服役状态,执行训练或者国土防卫行动。而根据《美国法典》第32卷第901节的定义,“国土防卫行动”指的是:“为了防卫美国领土或者民众,或者美国国防部长确定对于国家安全具有关键作用的基础设施或其他资产,或者当美国遭到威胁或入侵风险时而执行的军事行动”。因此,当各州爆发严重网络危机事件或者位于本地区内的关键基础设施可能因网络攻击而瘫痪时,国民警卫队可以成为州政府直接动员指挥的军事力量。鉴于这种独特的法律定位,国民警卫局在2014年向国防部提交的一份报告中指出:“在发展国防部网络空间能力,从而以最佳方式利用联邦和州法律权限抵御持续发展的网络威胁、提高国家防御能力问题上,国民警卫队具有天然的优势。”而且国防部也公开表示,国民警卫队在应对网络紧急事件时也会像处理传统的自然灾害事件那样发挥重要作用,各州政府在联邦和州法律允许的情况下,可以运用州国民警卫队力量执行支持民事机构的网络任务,其中也包括执法任务。
国民警卫队在美国网络安全体系中的地位作用
在美国国家网络安全力量体系中,美军网络力量组织构架完整、技术能力全面、地位最为突出,战略司令部下属的美国网络司令部从整体上协调美国网络进攻和防御力量的发展建设,作为网络作战行动实体力量的133支网络任务部队也处于加速组建过程中,并将于2016年末全面进入初始作战部署状态。根据美军网络力量的任务要求,国防部有责任对国家关键信息基础设施进行协同防御。在州和地方层面,国防部可以通过其下属的国民警卫局实现与民事机构的行动协同。国土安全部在2010年9月的《国家网络事件响应计划》中确立了国家网络安全力量的运用模式,其中也强调了国民警卫队在协助信息共享、态势感知、安全通信以及事件响应中的独特作用。在此基础上,各州政府也都制定了本州的网络事件响应计划,并将国民警卫队视为重要的日常战备和应急处置力量。
认识到国民警卫队的这种特殊优势,各州政府在本州的管辖范围内尝试运用国民警卫队力量实施网络防御任务。华盛顿州2012年就在国民警卫队中建立了专门执行网络安全任务的行动单位,利用私营部门的网络安全能力以及民事人员的专业技术增强地区网络安全。除了传统的救援和响应任务,华盛顿国民警卫队还与民事机构合作对关键设施的控制网络进行防御。加利福尼亚州的联合计算机网络防御部队能够实施漏洞检测、风险确定、危机事件响应以及其他任务。该州州长还能够指挥空军国民警卫队网络战中队对本地区网络环境安全状态进行检测。密歇根州国民警卫队网络行动单位可以在本州网络靶场的虚拟城市“阿尔发维尔”与民事机构进行联合训练。马里兰州空军国民警卫队的第175计算机网络战中队也已经开始执行州信息网络安全评估任务。
美国国民警卫队网络能力建设取得的主要进展
国防部明确国民警卫队网络力量的作用和发展目标。虽然各州政府自主采取的国民警卫队网络能力建设行动取得一些成果,但是在联邦层面上,国民警卫队和预备役网络力量发展问题始终没有成为国防部政策的重点。为迅速增强国民警卫队网络力量,各州政府和国民警卫局开始在立法层面寻求突破。2013年,美国州长联合会和国民警卫局极力试图促使国会通过《网络勇士法案-2013》,一旦实现这个目标,美国每个州、海外领地和哥伦比亚特区都将建立国民警卫队“网络空间和计算机网络事件响应小组”,该法案还将允许国民警卫队通过类似应对自然灾害的方式处理网络安全危机事件。虽然该法案最终未能进入投票程序,但其引起的广泛关注却迫使美国国防部认真考虑国民警卫队网络能力建设问题。
2014年,国防部根据《国防预算法案》的要求,对国民警卫队网络力量发展进行了深入评估,其中还包含其将如何为州政府提供支持的问题。在提交国会的《网络任务分析》报告中,国防部认为预备役和国民警卫队网络力量将分担现役网络部队的任务压力,能够在突发紧急事件中为现役部队提供支援,并且指出在“网络任务部队”构架下,国防部并没有对部队不同服役状态的组成做出强制要求,各军种可以分配部分资源用于国民警卫队网络力量建设,预备役部队和国民警卫队网络力量人员规模将达到约2000人。这是美国国防部第一次明确国民警卫队网络力量的定位和作用,从而在政策层面为其发展打开了通道,标志着国民警卫队网络力量由各州政府军事部门自主抓建逐步转变为国防部主导、各军种根据任务需求和资源配置条件协调发展的模式。
依托军种部门和自身力量展开网络防御部队建设。美国空军国民警卫队截止到2014年10月已经部署了7个网络战中队、2个信息作战中队以及1个信息攻击者中队。此外,空军国民警卫队的网络力量还包括其他少量具备网络能力的作战单位。陆军国民警卫队也已经在美国54个州、领地和哥伦比亚特区建立起1个8人规模的计算机网络防御中队,这构成陆军国民警卫队网络行动力量的基础。事实上,多数州政府还根据实际情况对该中队的规模进行了扩展,为预期的网络部队建设做好准备。
启动陆军国民警卫队网络防御先行示范部队建设。根据陆军国民警卫队2014年6月与陆军网络司令部签署的一份备忘录,陆军国民警卫队将其已经在一年前组建的1支网络防御中队转隶于陆军网络司令部。值得注意的是,这支暂时被称为第1636网络防御中队的网络部队将处于《美国法典》第10卷服役状态,即全时服役状态。这支连级规模的网络部队由39名成员构成,包括7名军官、16名士官和16名士兵,其将与陆军网络司令部其他现役部队共同接受同等标准的训练,执行的任务包括:网络空间防御行动、网络司令部战备状态检查、漏洞评估、网络部队作战行动威胁模拟、关键基础设施评估、战区安全合作以及联邦紧急事务管理署支援等。可以预见,这支“种子部队”将接受严格正规的训练,与美军联合网络力量体系内的其他作战单位建立广泛联系,在实战部署中提高融合作战部队的互操作能力,为陆军国民警卫队全面展开网络部队建设积累经验。
加快国民警卫队网络防御部队在美国本土的布局。国民警卫局在其2017年度的态势报告中还宣布将在2019财年之前,在美国23个州范围内建立13支网络部队。若这些网络行动单位组建完毕,在联邦紧急事务管理署划定的全部10个国土安全事件响应地区内,国民警卫队都将至少部署1支网络行动力量,从而在整体上覆盖美国本土,增强地方政府的网络态势。
国民警卫队网络安全力量建设面临的主要挑战
网络攻击应急演练篇6
0引言
随着网络技术在航天测控领域的不断普及与发展,网络安全风险问题日益突出[1-3]。活动测控装备网络指的是测控系统软硬件组成的试验任务专网、任务指挥专网和为装备提供保障的军事综合信息网,简称军综网。活动测控装备外出执行任务,测控信息常采用光纤或卫通链路与中心或战区互联,链路物理层和网络层管理的安全风险等级高。军综网用户多,安全设备少,易出现与试验网之间病毒交叉感染风险。为防止测控信息泄露,防止敌方网络攻击,研究活动测控装备网络安全防御问题迫在眉睫。
1网络安全防御现状
活动测控装备在场区,网络安全威胁主要来自试验任务专网。在驻地,除了试验任务专网,安全威胁主要来自办公用的军综网。目前活动测控装备网络安全防御现状可以概括为“六个缺乏”。
1.1缺乏对光纤和卫通链路的管控措施
场区测控信息主要通过光缆和卫通接入中心或战区网。敌方可通过光纤耦合等方式窃取我方网络数据,并对我方装备部署定位;或通过截获我方卫通信号频谱,运用电磁欺骗方式可实施卫通网络入侵。目前仍缺乏对光纤和卫通链路传输安全的管控措施。
1.2缺乏对网络传输设备的漏洞定期更新
通常装备寿命均在20年左右,列装的计算机操作系统版本老旧、漏洞众多、缺少补丁。试验任务专网打补丁、软件杀毒均由中心定期组织,漏洞修复和杀毒软件更新滞后,造成不能及时发现新植入病毒,使得网络安全威胁等级提升。
1.3缺乏对网络软硬件设备的安全审计
安全审计就是收集网络审计事件,产生审计记录,根据记录分析原因采取处理措施。缺少对操作系统、数据库系统和应用软件系统的审计,表现在对权限违章和非法访问、病毒活动等没有报警信息,对数据库资源使用没有审查,对应用软件安装运行缺乏身份识别与确认,对软件工具使用未进行授权。
1.4缺乏防电磁信息泄露的安全措施
对测控系统的客户机、服务器、外围设备、网络设备、传输线、连接器,对通过地线、电源线、有线或无线传播出去的电磁泄露信息,缺乏有效的屏蔽防护措施,以致有用信息易被敌方接收、重现而造成失泄密[4]。
1.5缺乏严格的测控装备授权控制机制
未对服务器、客户机及网络设备划分信息密级,未对内部用户划分类别,没有明确什么类别的合法用户能对哪些信息资源和哪种信息密级可进行什么操作类型的访问。身份识别的口令简单、易猜测,没有安全存放,没有采用可变口令和经常变换口令等防护措施。
1.6缺乏相应的网络安全防御战术战法
任务准备阶段,缺少对网络空间战场环境、接入网络的技术状态做出安全评估。任务执行阶段,当网络受到敌方攻击,缺少针对性强和有效、快速的应急措施。因此目前急需建立网络安全防御战术战法库。
2网络安全威胁
网络安全威胁来自网络入侵和网络攻击。网络入侵是网络战的首要条件,只有实现对敌网络的渗透,才能实施有针对性的网络攻击。网络攻击是网络战的核心,是降低敌方作战效能的具体方法。通常敌方可采取的入侵和攻击手段包括以下内容。
2.1多渠道植入病毒和木马程序
敌方利用我方人员违规使用优盘等介质在内网与外网之间进行数据交换而趁机植入病毒、蠕虫和木马程序;或在我方采购的路由器、交换机、防火墙、网卡等网络设备,接入网络的打印机、摄像头、移动光驱等终端设备中事先植入木马和病毒;利用网络设备在生产、运输、存储等供应链环节存在的安全管理漏洞植入病毒和木马。
2.2绕过防御系统实施网络攻击
敌方可利用我方计算机操作系统和应用程序的漏洞,破坏、绕过网络安全防御系统,启用事先植入的病毒、木马程序实施攻击,达到对我方计算机终端和网络接入设备控制、破坏和实施信息窃取的目的。
2.3物理层破坏与电磁泄露窃密
敌方有意对我方网络线路、光纤通信线路实施破坏,或在预设阵地附近对卫星通信系统实施干扰,造成信息传输中断。利用我方网络端口、传输线路和信息处理终端因屏蔽不严或未屏蔽而造成的电磁信息辐射,窃取我方机密信息。
3网络安全防御措施
网络防御措施是指活动测控装备在机动转移、任务准备和任务实施三个阶段采取的一系列网络安全防御手段。这些手段无外乎PDRR(Protect,Detect,React,Restore),即保护、检测、反应、恢复安全保障体系。实际上,这八个字也是网络安全防御主要任务的概括[5]。
3.1安全防御任务
结合活动测控装备网络体系实际,网络安全防御任务主要包括如下内容。(1)切断网络入侵通道增强用户自我保护意识,遵循预防、诊断和清除相结合的原则,对配属的计算机、服务器等网络设备病毒采取综合治理措施,对信息系统的薄弱环节进行加固,阻止触发网络攻击发生的条件形成。(2)快速响应网络攻击收到网络攻击报警信息,启用备份链路、备份终端、加密通道等应急处理手段,或者采取“平时一套、战时一套、保底一套”装备储备和运用原则,把系统恢复到原来的状态或比原来更安全的状态。(3)建立全网安防体系围绕网络三要素——用户、信息和网络基础设施,建立多层次的纵深型安全防御体系,确保管理安全、数据内容安全和网络基础设施的物理和运行安全,最终实现任务、指挥、办公信息安全可靠传输。
3.2机动转移中的防御措施
机动转移是指活动测控装备从一个预设阵地转移至另一个预设阵地的行动过程。在此过程中,敌方可能会对我临时构建的无线通信指挥网络实施信号插入或干扰。指挥员务必减少无线通信设备开机次数,尽可能降低被敌方监听和入侵的可能性。一旦发现异常,迅速关机或采用其他约定好的保密方式通信。
3.3任务准备中的防御措施
任务准备指的是分队到达预设阵地,装备展开以后,执行任务前的准备阶段。此阶段的防御措施分为管理措施和技术措施。(1)管理措施通过设置门禁、登记、巡逻等方式对任务阵地、办公场所进出人员进行严格管理,防止敌方混入我方军事管制区;协调任务合作单位定期对防区内通信线路进行共同巡检,防止敌方非法外接;装备采购部门必须在提供的合格供方名目中采购所需装备物资,有条件情况下对采购的网络备品、备件进行病毒检测查杀;确保入侵检测系统、网络审计系统,病毒预警系统、流量检测系统全时在线。(2)技术措施从网络入侵到实施攻击通常有一定时间周期,任务准备阶段可采用平时关机静默策略,规避敌方网络入侵与攻击;对试验任务专网病毒及补丁及时更新升级,并提高查杀频次,及时更新和检查防火墙、保密机等设备工作情况,做到防患于未然;对设备配置、卫星参数、测控软件等关键数据进行容灾备份,防止未授权使用和被非法冒充、篡改和窃取;对全网计算机操作系统、网络设备、安全产品及数据库漏洞进行检测,分析漏洞影响并及时修复;采用加扰设备和电磁屏蔽手段防范计算机终端电磁泄露;对网络安防技术状态进行调整,更新保密机和网闸策略。
3.4任务准备中的应急措施
(1)切换至备份链路当使用双平面进行信息传输时,若受敌攻击后,造成部分终端被敌控制或者瘫痪,立即切断被攻击终端网络连接和受入侵平面链路,启用未入侵的链路。(2)采用备份装备卫通链路通常会使用多个频段、多个转发器和多个备用频点,一旦受敌网络攻击,立即切换至备用卫通设备或者更换至备用点频;当计算机终端受到攻击时,迅速启用热备份或冷备份计算机设备。(3)切换至卫通链路当光缆遭受敌方物理破坏,会导致军综网、指挥专网、试验任务专网全部瘫痪。立即启用本地综合卫通车与本地通信枢纽建立卫星通信链路,完成应急通信保障。
4后续针对性建设需求
4.1组织攻击测试加固系统漏洞
聘请地方网络安全机构充当“白帽”黑客,对我试验任务专网进行攻击测试,找出各业务系统的漏洞并进行加固,同时为后续网络安全系统建设提供依据。
4.2建立定期网络安全情报沟通机制
定期与上级通信网管中心、国家互联网应急中心加强情报交流,通过第三方数据源收集安全情报,掌握最新的攻击信息、安全策略和解决方案,增强网络安全防御的有效性。
4.3对全网定期组织健康体检
协调有保密资质的安全单位对全网进行健康体检,清理网络漏洞和管理上的薄弱环节。联系设备提供商,对全网定期进行巡检,对部分老旧设备升级换代,定期更新软硬件系统配置。
4.4开展网络攻防对抗训练
立足现有软、硬件设施,通过移植系统、复制数据、研发部分必要的软件,构建网络攻防演练环境。组建专业网络安防力量,利用内网部分电脑,设置演训导调科目,开展网络攻防红蓝对抗训练,提升人员网络攻击应急能力。
5结束语
“三分技术,七分管理”在网络安防业界已经得到共识。提升活动测控装备网络安全防御水平,除了采用先进的安防技术,更重要的是加强内部人员管理,规范内网用户的网络操作行为。只有这样,才能真正确保卫星控制命令发送和测量数据传输的安全、可靠,活动测控装备才能圆满完成任务。
参考文献:
[1]陈晓桦,武传坤.网络安全技术[M].人民邮电出版社,2017.
[2]翟健宏.信息安全导论[M].科学出版社,2011.
网络攻击应急演练篇7
网络战已经成为影响社会心理的重要手段,成为舆论交锋的新战场,多元文化的角力场。我国应对网络战争,一定要有自己的网络空间话语权。充分利用好大规模网络这一第四媒体,发挥好网络心理战作用,利用好网络电视、电话、数据三网合一的现代网络,利用好手机、博客、播客、微博等多功能相互融合的功能网络,运用网络信息的快速传播瞬间放大机理,用正面信息影响网络世界,以利达成政治、军事目的。
网络是中性的,谁利用得好,他就为谁服务。被称作“一筐水果引发革命” 的中东、北非动荡局势,网络就承担了重要角色,专家为其总结了一个路线图:街头小贩自焚――维基揭秘揭露总统贪腐――社会舆论发酵――网络“社交平台”舆情扩散――民众走向街头――安全局势失控――向周边国家辐射――西方大国插手――多米诺骨牌效应――剑指利比亚。这一例子充分折射出了网络安全对国家稳定、国家安全的极端重要性。
网络空间是人类共同的财富,它的迅速发展是国际社会共同努力创造的成果。如何建设、利用、保卫它?尤其是如何应对网络战?各国都会有自己的理念。应该说美国政府总体网络战略是攻防兼备。美国网络司令部司令基思・亚历山大提议当局授权该机构在全球范围展开网络攻击,采取“先发制人”打击策略,以便有效维护美国网络安全。美国空军参谋长的网络战特别助理、有“网战教母”之称的拉尼・卡斯在一次会议上演讲认为“就像空战一样,网络空间,作为一个新的作战领域,当然是进攻优先。如果仍然采取守势,则为时太晚。如果不能统治网络,也就不能统治其他作战领域。”
我国应对网络战,应该确立什么样理念、思想、理论?应该确立什么样的政策、法规?我认为,首先应遵循《联合国》和其他国际公认的基本准则,建立并完善中国特色的网络空间国家利益与理论,建立自己的网络战理论,形成我国自己特色的网络空间政策、法规体系,向世界表明中国构建和谐“网络空间”、坚固“网络边防”、维护“网络”的原则立场。
在应对网络战,维护网络空间国家、利益和安全的问题上,应依据联合国、国际电信联盟有关决议和相关国际公约,联合世界各种进步力量,积极倡导和平共建、和平利用网络空间的时代主旋律,让网络世界有一个健康、有序的生存、生活环境。
打造中国自己的安全可信网络环境,把主动防御和纵深防御相结合,构建具有“网络、国家利益”保障能力的和谐生态网络边防
网络空间是网络技术与运用人群和谐共享的新兴空间,是网络实体与网络精神合一的共同家园。应对网络战,就应该从网络技术和人文精神两方面入手,打造中国自己的安全可信网络环境,研发自己的可信软件,研制自己的可信系统,构建具有“网络、国家利益”保障能力的和谐生态网络空间。
互联网起源于美国军方实验室,国际互联网的根服务器也大多控制在美国人手中,支撑网络的windows等操作系统也是美国研发的,因此,美国在互联网技术上与其他国家相比具有得天独厚的优势。同时,在有线、无线综合网络攻防技术方面,美国也占有绝对优势。美军“舒特”系统就是一个典型事例,它能实施信号层次的能量压制、网络层次的协议攻击、信息层次的信息欺骗等行动,实现了电子战、网络战、硬摧毁等多种攻击手段高度融合,能综合运用多种手段实施体系破击的军事对抗行动。
面对形形的网络攻击,世界各国越来越感到维护自己网络空间安全与的重要性,都希望拥有自己国家的安全可信网络生存环境。
可信网络概念是学术界20世纪70年代提出的。之后,软、硬件安全可信性研究发展很快。2005年美国国家软件研究中心的《软件2015:确保美国安全及竞争力的部级软件战略》,认为软件可信性是未来研究中最重要的核心问题。
“魔高一尺,道高一丈”,我国作为一个大国,为应对网络战,应该构造自己的安全可信网络环境。近几年,科技部、国家自然科学基金委已经投入很大资金,支持开展了可信软件、可信计算平台等研发工作,研制出了我国自主产权的“龙芯”芯片等核心硬件。围绕网络安全监控预警、入侵防御、应急恢复等构建立体防御体系,把主动防御和纵深防御相结合,以保护我国信息基础设施、核心信息系统为目标,为打造可信网络空间,赢得网络空间防御主动权正在做出积极努力。
强化网络空间安全培训机制,形成网络防御整体能力,用人民战争思想打赢网络战争
一是要形成国民性网络安全防范文化氛围。通过强化网络空间安全培训机制,从网络空间安全知识普及入手,形成初、中、高三级培训机构,让广大网民清醒地认识到保守秘密的重要性和网络泄密的可能性,让他们知道,网络一网通天下,当浏览网页或与朋友网上聊天时,很可能不知不觉就被“对方”牢牢“锁定”,成了“网谍”的猎取目标。“网络战士”有可能使用病毒、木马、黑客软件等手段,千里之外就能获取网络计算机中的各种隐私与秘密。这种隐藏在计算机屏幕后边的战斗时时都在进行,它是网络战的重要内容。
二是形成多层次、多部门、多要素联合网络防御整体能力。比如,可以借鉴美国“网络风暴”演习的经验做法,常态化的组织部级、地方级、行业级联合网络防御整体演习,以全面检验国家、行业网络战联合防御整体筹划能力和实战能力。
美国“网络风暴”演习始于2006年,每两年举行一次,主要是检验美国网络安全和应急能力。2010年又举行了“网络风暴Ⅲ”演习,模拟的是一场针对美国关键基础设施的大规模网络攻击,目的在于检验美国重要部门遭大规模网络攻击时的协同应对能力。演习参与者有数千人,分别来自国土安全部、商务部、国防部、能源部、司法部、交通部和财政部等7个内阁政府级部门,金融、化学、通信、水坝、防务、信息技术、核能、交通和水资源行业,11个州的60家私营企业,同时还有澳大利亚、加拿大、法国、德国、匈牙利、意大利、日本、英国等12个国际伙伴。
三是要从机制、体制、技术、管理等多要素、多层次、多维度上提前运筹实施,把主动防御和纵深防御相结合,制定我国网络空间安全战略、网络战战略,用人民战争思想打赢网络战争。
凡事预则立,不预则废。
网络攻击应急演练篇8
1.1目的
为提高XX部处理突发信息网络事件的能力、形成科学、有效、反应迅速的应急工作机制,确保重要可视化数字化信息系统的实体安全、运行安全和数据安全,最大限度地减少网络与信息安全突发公共事件的危害,保护公司利益,特制定本预案。
1.2适用范围
本预案适用于XX部发生和可能发生的网络与信息安全突发事件。
1.3工作原则
(1) 预防为主。立足安全防护,加强预警,重点保护基础信息和重要信息系统,从预防、监控、应急处理、应急保障环节,采取多种措施,共同构筑网络与信息安全保障体系。
(2) 快速反应。在网络与信息安全突发公共事件发生时,按照快速反应机制,及时获取充分而准确的信息,迅速处置,最大程度地减少危害和影响。
(3) 分级负责。按照“谁主管谁负责、谁使用谁负责”以及“条块结合”的原则,建立和完善安全责任制及联动工作机制。根据部门职能,加强协调与配合,形成合力,共同履行应急处置工作的管理职责。
1.4编制依据
根据《中华人民共和国计算机信息系统安全保护条例》、《计算病毒防治管理办法》及《XX矿总体应急预案》及XX部设备管理等管理规定,制定《XX部突发信息网络事故应急预案》(以下简称预案)。
2组织机构及职责
2.1组织机构
成立XX部突发信息网络事故应急领导小组(以下简称“信息网络事故应急领导小组”)。
组长:王晟秋
副组长:陈达才
成员:维护员及监控班长
2.2信息网络事故应急领导小组职责。
(1)负责编制、修所辖范围内突发信息网络事件应急预案(2)通过本系统局域网络中心及电信网络机房交流等手段获取安全预警信息,周期性或即时性地向局域网和用户网络管理部门;对异常流量来源进行监控,并妥善处理各种异常情况。
(3)及时组织专业技术人员对所辖范围内突发信息网络事件进行应急处置;负责调查和处置突发信息网络事件,及时上报并按照相关规定作好善后工作,
(4)负责组建信息网络安全应急救援队伍并组织培训与演练。
3 预警及预警机制
突发信息网络事件安全预防措施包括分析安全风险,准备应急处置措施,建立网络和信息系统的监测体系,控制有害信息的传播,预先制定信息安全重大事件的通报机制。
3.1突发信息网络事故分类
关键设备或系统的故障;自然灾害(水、火、电等)造成的物理破坏;人为失误造成的安全事件;电脑病毒等恶意攻击等。
3.2应急准备
XX部监控中心明确职责和管理范围,根据实际情况,安排应急值班,确保到岗到人,联络畅通,处理及时准确。
3.3具体措施
(1)建立安全、可靠、稳定运行的机房环境,防火、防盗、防雷电、防水、防静电、防尘;建立备份电源系统;加强所有人员防火、防盗等基本技能培训。
(2)实行实时监视和监测,采用认证方式避免非法接入和虚假路由信息。
(3)重要系统采用可靠、稳定硬件,落实数据备份机制,遵守安全操作规范;安装有效的防病毒软件,及时更新升级扫描引擎:加强对局域网内所有用户和信息系统管理员的安全技术培训。
(4)安装反入侵检测系统,监测恶意攻击、病毒等非法浸入技术的发展,控制有害信息经过网络的传播,建立网关控制、内容过滤等控制手段。
4有关应急预案
4.1机房漏水应急预案
(1)发生机房漏水时,第一目击者应立即通知监控中心,并及时报告信息网络事件应急领导小组。
(2)若空调系统出现渗漏水,监控中心值班班长应立即安排停用故障空调,清除机房积水,并及时联系设备供应方处理,同时启动备用空调,必要情况下可临时用电扇对服务器进行降温。
(3)若为墙体或窗户渗漏水,监控中心值班班长应立即采取有效措施确保机房安全,同时安排通知综合管理部,及时清除积水,维修墙体或窗户,清除渗漏水隐患。
4.2设备、物资发生被盗或人为损害事件应急预案
(1)发生设备或物资被盗或人为损害设备情况时,使用者或管理者应立即报告信息网络事件应急领导小组,同时保护好现场。
(2)信息网络事件应急领导小组接报后,通知特保大队、值班领导、派出所、一同核实审定现场情况,查看被盗或盘查人为损害情况,做好必要的录像回放记录和文字记录。
(3)事发单位和当事人应当积极配合公安部门进行调查,并将有关情况向公与领导汇报。
4.3长时间停电应急预案
(1)接到长时间停电通知后,信息网络事件应急领导小组应及时通过办公系统电话等相关信息,部署应对具体措施,要求前端在停电前停止业务、保存数据。
(2)停电时间过长的,启动备用电源,保证监控中心正常运转,如有必要及时报巡逻队前网断电地点实时监控。
4.4通信网络故障应急预案
(1)发生通信线路中断、路由故障、流量异常、域名系统故障后,操作员应及时通知系统管理员,并停止前端一切行为操作,经初步判断后及时上报信息网络事件应急领导小组主管领导。
(2)领导小组接报告后,应及时查清通信网络故障位置,并将事态及时报告主管领导,如外网应通过相关通信网络运营商查清原因;内网故障及时组织相关技术人员检测故障区域,逐步恢复故障区与服务器的网络连接,恢复通信网络,保证正常运转。
(3)应急处置结束后,应出具故障分析报告。
4.5不良信息和网络病毒事件应急预案
(1)发现不良信息或网络病毒时,信息系统管理员应立即断开网线,终止不良信息或网络病毒传播,并报告信息网络事件应急领导小组。
(2)根据信息网络事件应急领导小组指令,采取隔离网络等措施,及时杀毒或清除不良信息,并追查不良信息来源。
(3)事态或后果严重的,信息网络事件应急领导小组应及时报告主管领导。
(4)处置结束后,应出具事件分析报告。
4.6 服务器软件系统故障应急预案
(1)发生服务器软件系统故障后,网络管理应立即启动备用服务器系统,由备用服务器接管业务应用,并及时报告信息网络事件应急领导小组;同时安排相关责任人将故障服务器脱离网络,保存系统状态不变,保持原始数据。
(2)网络、监控中心应根据信息网络事件应急领导小组指令,在确认安全的情况下,重新启动故障服务器系统;重启系统成功。则检查数据丢失情况,利用备份数据恢复;若重启失败,立即联系相关单位,请求技术支援,作好技术处理。
(3)事态或后果严重的,及时报告主管领导。
(4)处置结束后,应出具事件分析报告。
4.7 黑客攻击事件应急预案
(1)当发现网络被非法入侵、数据影响内容被篡改、应用服务器上的数据的被非法拷贝、修改、删除、或通过入侵检测系统发现有黑客正在进行攻击时,使用者或管理者应断开网络,并立即报告信息网络事件应急领导小组。
(2)接报告后,信息网络事件应急领导小组应立即核实情况,关闭服务器或系统,修改防火墙和路由器的过滤规则,封锁或删除被攻破的登陆账号,阻断可疑用户进入网络的通道。
(3)维护技术员应及时清理系统,恢复数据、程序,恢复系统和网络正常;情况严重的立即上报主管领导。
(4)处置结束后,应出具事件分析报告。
4.8核心设备硬件故障应急预案
(1)发生核心设备硬件故障后,网络监控中心应及时报告信息网络事件应急领导小组,并组织查找、确定故障设备及故障原因,进行先期处置。
(2)若故障设备在短时间内无法修复,监控中心维护员应启动备用设备,保持系统正常运行;将故障设备脱离网络,进行故障排除工作。
(3)网络监控中心应在故障排除后,在网络空闲时期,替换备用设备;若故障仍然存在,立即联系相关厂商,认真填写设备故障报告单备查。
(4)处置结束后,应出具事件分析报告。
4.9运矿数据损坏应急预案
(1)发生运矿数据损坏时,监控中心应及时报告信息网络事件应急领导小组,检查、备份运矿系统当前数据。
(2)监控中心维护员负责调用备份服务器备份数据,若备份数据损坏,则调用历史备份数据,若历史数据仍不可用,则调用异地备份数据。
(3)运矿数据损坏事件无法恢复时及时通知主管领导,并开展相应的备用服务器。
(4)维护员待数据系统恢复后,检查历史数据和当前数据的差别,重新备份数据,并写出故障分析报告。
4.10雷击事故应急预案
(1)遇雷暴天气或雷暴气象预报,监控中心应及时报告信息网络事件应急领导小组或主管领导,经请示同意是否可以关闭部分服务器,切断电源,暂停部分计算机网络工作。
(2)雷暴天气结束后、及时开通部分暂停服务器,恢复计算机网络工作,对设备和数据进行检查,出现故障的,及时报信息网络事件应急领导小组。
(3)因雷击造成损失的,信息网络事件应急领导小组应进行核实、报损、结束后做出书面报告。
5应急处置
发生信息网络突发事件后,相关人员应在3分钟内向信息网络事件应急领导小组报告,信息网络事件应急领导小组组织人员采取有效措施开展先期处置,恢复信息网络正常状态。
发生重大事故(事件),无法迅速消除或恢复系统,影响较大时实施紧急关闭,并立即向主管领导汇报并通知相关业务部门。
6 善后处置
应急处置工作结束后,信息网络事件应急领导小组组织有关人员和技术人员组成事件调查组,对事件发生原因、性质、影响、后果、责任及应急处置能力、恢复重建等问题进行全面调查评估,根据应急处置中暴露出的管理、协调和技术问题,改进和完善预案,实施针对性演练,总结经验教训,整改存在隐患,组织恢复正常工作秩序。
7应急保障
7.1 通信保障
监控中心负责收集、建立突发信息网络事件应急处置工作小组内部及其他相关部门的应急联络信息,信息网络事件应急领导小组全体人员保证全天24小时通讯畅通。
7.2装备保障
监控中心负责建立并保持电力、空调、机房等网络安全运行基本环境,预留一定数量的信息网络硬件和软件设备,指定专人保管和维护。
7.3数据保障
重要信息系统均建立备份系统,保证重要数据在受到破坏后可紧急恢复。
7.4队伍保证
建立符合要求的网络与信息安全保障技术支持力量,对网络接入部门的网络与信息安全保障工作人员提供技术支持和培训服务。
8 监督管理
8.1宣传、教育和培训
将突发信息网络事件的应急管理,工作流程等列为培训内容,增强应急处置能力,加强对突发信息网络事件的技术准备培训,提高技术人员的防范意识及技能。信息网络事件应急领导小组每年至少开展一次公司系统范围内的信息网络安全教育,提高信息安全防范意识和能力。
8.2预案演练
信息网络事件应急领导小组每年不定期安排演练,建立应急预案定期演练制度。通过演练,发现和解决应急工作体系和工作机制存在的问题,不断完善应急预案,提高应急处置能力。
8.3 责任与奖惩
信息网络事件应急领导小组不定期组织对各项制度、计划、方案、人员及物资等进行检查,对在突发信息网络事件应急处置中做出贡献的集体和个人,在部门二次分配中给予奖励;对,造成不良影响或严重后果的追究其责任。
9 附则
9.1预案更新
结合公司信息网络发展配合相关制度的规定、修改和完善,适时修订本预案。
9.2 制定与解释部门
网络攻击应急演练篇9
几场高技术局部战争实践充分表明,在正式交火之前,网络空间里的激烈较量已经开始。拥有信息优势一方,通过对敌方各类指挥控制系统实施的网络战、信息战,有效瘫痪了对方的经济、军事、政治等核心控制系统。由此,确保了掌握主动权。从某种程度上说,战争决策者们必须把作战的重心与关注点逐渐由有形空间转到无形空间来。
高东广认为,我们必须清醒地认识到,21世纪敌对势力将会随时、随地、随处运用网络空间对我们实施“信息战”、“网络战”,以此,来阻止、遏制我们的建设发展步伐。网络空间安全问题如果解决不好,将全方位地危及我国政治、军事、经济、外交、文化等方面的安全,务必引起我们的高度重视。
树立网络环境下
新的国家意识
“网络社会的全球性与民族国家的地域性正在产生着日益深刻的冲突和张力。互联网的运行机制与文化建构必然需要国家发挥其规范和引导作用。”高东广分析认为,国家的规范和引导应是在这种前提下寻求与网络社会的良性互动,这意味着国家还必须适时地调整和更新自身的一些机制,最大限度地降低互联网未来发展的制度成本,从而使互联网与国家之间的张力成为国家变革自身历史时代的动力。据英国《卫报》近日透露,美军中央总部已经同加利福尼亚的恩特雷皮德公司签署价值276万美元的合同,准备研发能够秘密操纵社交网站言论的软件,利用虚假的网络身份来引导互联网上的舆论方向,进行有利于美国的舆论宣传。这款名为“网络身份管理工具”的软件,可以为一名美军人员提供10个来自全球不同IP地址的网络虚拟身份,允许他们进入任何的博客群、聊天室进行网上对话,以进行亲美宣传。可见,我们必须运用多种手段,进行适时而科学的宣传教育,使我们的广大网民,在网络空间里时刻筑牢国家意识,防范外来不良文化的侵蚀,具有使互联网为人类展示的美好愿景最终能够真正变为现实。
组建维护网络安全的组织领导机构
高东广指出,目前,人类社会对信息网络系统的依赖越来越突显,由于计算机网络极易受到攻击,这种高度依赖性使国家经济和国防安全变得十分“脆弱”。一旦计算机网络受到攻击,就难以正常运行,甚至被人为瘫痪,以至整个社会陷入危机之中。为此,国家必须健全网络安全组织机构,首先,成立组织领导机构。如美国相继成立了国家基础设施保障委员会、国家安全局等信息安全管理组织,其职责是制定国家信息安全防护政策。其次,组建防护管理机构。在信息安全领域处于世界领先水平的军队都十分重视防护机构建设,认为在信息战中用于信息系统防护的力量应大于90%。再次,开展防护理论创新研究。研究国际社会信息安全发展的尖端技术,借鉴发达国家的有益做法,制定适合本国信息安全的发展战略,是目前世界各国政府和军队的普遍做法。美海军从20世纪90年代就实施了“深度防御”战略,旨在减少由于任何单位安全方法的漏洞而造成安全缺口的可能性。
构建维护网络安全的体系结构
国家信息网络领域体系建设,一直是高东广关注的重点课题。他认为,在未来的一定历史阶段,国家无疑仍是国际社会的基本主体,承担着社会发展的领导责任,它有义务对互联网的发展进行一定的规范,以调整网络空间的社会关系和社会秩序,减少不必要的摩擦与冲撞,防止和惩治互联网上的犯罪活动,保证其稳步、协调、持续、健康地发展。其一,确立网络防护策略。网络安全威胁是客现存在的,但其风险是可以控制乃至规避的。美军将网络与系统安全列为21世纪的主要安全战。俄军将信息战摆在仅次子核战争的重要位置,把信息领域的安全作为维护国家利益的重要保证。其二,颁发网络防护法规。保证网络运行安全,制定法规制度是关键。迄今美国己确立了包括《计算机安全法》在内的多项信息安全法律。2000年6月俄罗斯正式颁布实施了《国家信息安全学说》。欧洲委员会制定了《打击计算机犯罪公约》。再次,建立网络防护机制。建立风险评估机制,对网络的保密性、完整性和可用性进行科学评价,找出缺陷和漏洞设法躲避风险;建立防护演练机制,有效的演练可以验证信息安全策略的合理性和网络系统的安全性,不断发现和寻找信息安全的薄弱环节,达到固强补弱的目的;加强互联网立法工作,网络立法应当兼顾维持秩序、制止犯罪和保护言论自由、鼓励传播、繁荣创作、保护并促进网络健康发展的双重目的。
狠抓网络安全的手段建设
网络攻击应急演练篇10
损失大小:
解决难易:
2006年12月20日,针对号称亚洲最大的IDC机房――北京亦庄国际数据中心机房的最猖狂攻击发生了。当天的最高攻击流量超过12G,而北京亦庄机房的带宽约为7G,这造成了北京亦庄机房的间歇性瘫痪。
灾难影响: 间歇性瘫痪
“近一段时间,我们很多分中心都接到了举报,利用分布式拒绝服务攻击(DDoS)的网络干扰甚至敲诈活动愈演愈烈,已经对正常的网络秩序造成严重影响。”这成了国家计算机网络应急技术处理协调中心(CNCERT/CC)副总工程师杜跃进博士最近非常头疼的事。DDoS攻击的严重程度一时间超出了很多业内人士的预料,也成为2007年初摆在政府、协会、运营商和互联网企业面前的迫切课题。
K68威客网就是最近受到攻击的企业之一。据K68总裁康录发介绍,网站在2006年12月5日开始被黑客恶意攻击后,客户经常无法访问网站,已经损失了近百万元的业务。“我们只有打游击,在全国各地拼命增加服务器。现在我们的服务器已经由最初的3台增加到了18台。在增加运营成本的同时造成了极大的资源浪费。”被动防御使康录发心神疲惫。中国招商网等其他中小型网站也深受此苦。此前,中国万网、博客中国、中国互联网协会等网站及其托管机房也都受到过此类攻击。
救灾措施:加强联动
“目前,DDoS等网络攻击犯罪有两个明显不同于传统犯罪的特色:其一是犯罪现场的不确定性,带来了电子证据的法律效力及有关损失的评估难题;其二是科学术语日新月异,立法执法跟不上形势,很难了解犯罪行为造成的破坏价值。”康录发认为,如果不能从贯彻《刑法》第286条的角度,重拳打击通过网络攻击计算机系统的犯罪行为,就可能严重影响中国的新经济创新活动。而目前,经常是能够追溯到攻击发起人的线索的,但是由于在司法解释和其他配合渠道方面的问题,还不能高效地将攻击者绳之以法。
杜跃进表示:“在具体的应对方法上,我们会有一些倡议。比如开展一些专项研究;以专项联盟的形式来搜集更多的数据,掌握更多的情况;最后就是建立信息共享和技术交流的合作机制,甚至在某种程度上加强事件处置方面的联动。”他认为,被动防御不是最终的解决办法,这需要建立一整套的社会保障机制。
灾后思考:战争来了 该怎么办
亦庄国际数据中心机房是我国最大的社会化灾备中心,是信息安全的最后一道防线,具有着特殊的战略地位。
网络攻击应急演练篇11
论文摘要:分析了目前威胁医院网络信息安全的各种因素结合网络安全与管理工作的实践,探讨了构建医院信息安全防御体系的措施。
中国医院信息化建设经过20多年的发展历程目前已经进入了一个高速发展时期。据2007年卫生部统计信息中心对全国3765所医院(其中:三级以上663家:三级以下31o2家)进行信息化现状调查显示,超过80%的医院建立了信息系统…。随着信息网络规模的不断扩大,医疗和管理工作对信息系统的依赖性会越来越强。信息系统所承载的信息和服务安全性越发显得重要。
1医院信息安全现状分析
随着我们对信息安全的认识不断深入,目前医院信息安全建设存在诸多问题。
1.1信息安全策略不明确
医院信息化工作的特殊性,对医院信息安全提出了很高的要求。医院信息安全建设是一个复杂的系统工程。有些医院只注重各种网络安全产品的采购没有制定信息安全的中、长期规划,没有根据自己的信息安全目标制定符合医院实际的安全管理策略,或者没有根据网络信息安全出现的一些新问题,及时调整医院的信息安全策略。这些现象的出现,使医院信息安全产品不能得到合理的配置和适当的优化,不能起到应有的作用。
1.2以计算机病毒、黑客攻击等为代表的安全事件频繁发生,危害日益严重
病毒泛滥、系统漏洞、黑客攻击等诸多问题,已经直接影响到医院的正常运营。目前,多数网络安全事件都是由脆弱的用户终端和“失控”的网络使用行为引起的。在医院网中,用户终端不及时升级系统补丁和病毒库的现象普遍存在;私设代理服务器、私自访问外部网络、滥用政府禁用软件等行为也比比皆是。“失控”的用户终端一旦接入网络,就等于给潜在的安全威胁敞开了大门,使安全威胁在更大范围内快速扩散。保证用户终端的安全、阻止威胁入侵网络,对用户的网络访问行为进行有效的控制,是保证医院网络安全运行的前提,也是目前医院网络安全管理急需解决的问题。
1.3安全孤岛现象严重
目前,在医院网络安全建设中网络、应用系统防护上虽然采取了防火墙等安全产品和硬件冗余等安全措施,但安全产品之间无法实现联动,安全信息无法挖掘,安全防护效果低,投资重复,存在一定程度的安全孤岛现象。另外,安全产品部署不均衡,各个系统部署了多个安全产品,但在系统边界存在安全空白,没有形成纵深的安全防护。
1.4信息安全意识不强,安全制度不健全
从许多安全案例来看,很多医院要么未制定安全管理制度,要么制定后却得不到实施。医院内部员工计算机知识特别是信息安全知识和意识的缺乏是医院信息化的一大隐患。加强对员工安全知识的培训刻不容缓。
2医院信息安全防范措施
医院信息安全的任务是多方面的,根据当前信息安全的现状,医院信息安全应该是安全策略、安全技术和安全管理的完美结合。
2.1安全策略
医院信息系统~旦投入运行,其数据安全问题就成为系统能否持续正常运行的关键。作为一个联机事务系统,一些大中型医院要求每天二十四小时不问断运行,如门诊挂号、收费、检验等系统,不能有太长时间的中断,也绝对不允许数据丢失,稍有不慎就会造成灾难性后果和巨大损失医院信息系统在医院各部门的应用,使得各类信息越来越集中,构成医院的数据、信息中心,如何合理分配访问权限,控制信息泄露以及恶意的破坏等信息的访问控制尤其重要:pacs系统的应用以及电子病历的应用,使得医学数据量急剧膨胀,数据多样化,以及数据安全性、实时性的要求越来越高,要求医院信息系统(his)必须具有高可用性,完备可靠的数据存储、备份。医院要根据自身网络的实际情况确定安全管理等级和安全管理范围,制订有关网络操作使用规程和人员出入机房管理制度,制定网络系统的维护制度和应急措施等,建立适合自身的网络安全管理策略。网络信息安全是一个整体的问题,需要从管理与技术相结合的高度,制定与时俱进的整体管理策略,并切实认真地实施这些策略,才能达到提高网络信息系统安全性的目的。
在网络安全实施的策略及步骤上应遵循轮回机制考虑以下五个方面的内容:制定统一的安全策略、购买相应的安全产品实施安全保护、监控网络安全状况(遇攻击时可采取安全措施)、主动测试网络安全隐患、生成网络安全总体报告并改善安全策略。
2.2安全管理
从安全管理上,建立和完善安全管理规范和机制,切实加强和落实安全管理制度,加强安全培训,增强医务人员的安全防范意识以及制定网络安全应急方案等。
2.2.1安全机构建设。设立专门的信息安全领导小组,明确主要领导、分管领导和信息科的相应责任职责,严格落实信息管理责任l。领导小组应不定期的组织信息安全检查和应急安全演练。
2.2.2安全队伍建设。通过引进、培训等渠道,建设一支高水平、稳定的安全管理队伍,是医院信息系统能够正常运行的保证。
2.2.3安全制度建设。建立一整套切实可行的安全制度,包括:物理安全、系统与数据安全、网络安全、应用安全、运行安全和信息安全等各方面的规章制度,确保医疗工作有序进行。
2.2.4应急预案的制定与应急演练
依据医院业务特点,以病人的容忍时间为衡量指标,建立不同层面、不同深度的应急演练。定期人为制造“故障点”,进行在线的技术性的分段应急演练和集中应急演练。同时信息科定期召开“系统安全分析会”。从技术层面上通过数据挖掘等手段,分析信息系统的历史性能数据,预测信息系统的运转趋势,提前优化系统结构,从而降低信息系统出现故障的概率;另一方面,不断总结信息系统既往故障和处理经验,不断调整技术安全策略和团队应急处理能力,确保应急流程的时效性和可用性。不断人为制造“故障点”不仅是对技术架构成熟度的考验,而且还促进全员熟悉应急流程,提高应急处理能力,实现了技术和非技术的完美结合。
2.3安全技术
从安全技术实施上,要进行全面的安全漏洞检测和分析,针对检测和分析的结果制定防范措施和完整的解决方案。
2.3.1冗余技术
医院信息网络由于运行整个医院的业务系统,需要保证网络的正常运行,不因网络的故障或变化引起医院业务的瞬间质量恶化甚至内部业务系统的中断。网络作为数据处理及转发中心,应充分考虑可靠性。网络的可靠性通过冗余技术实现,包括电源冗余、处理器冗余、模块冗余、设备冗余、链路冗余等技术。
2.3.2建立安全的数据中心
医疗系统的数据类型丰富,在不断的对数据进行读取和存储的同时,也带来了数据丢失,数据被非法调用,数据遭恶意破坏等安全隐患。为了保证系统数据的安全,建立安全可靠的数据中心,能够很有效的杜绝安全隐患,加强医疗系统的数据安全等级,保证各个医疗系统的健康运转,确保病患的及时信息交互。融合的医疗系统数据中心包括了数据交换、安全防护、数据库、存储、服务器集群、灾难备份/恢复,远程优化等各个组件。
2.3.3加强客户机管理
医院信息的特点是分散处理、高度共享,用户涉及医生、护士、医技人员和行政管理人员,因此需要制定一套统一且便于管理的客户机管理方案。通过设定不同的访问权限,加强网络访问控制的安全措施,控制用户对特定数据的访问,使每个用户在整个系统中具有唯一的帐号,限定各用户一定级别的访问权限,如对系统盘符读写、光驱访问、usb口的访问、更改注册表和控制面板的限制等。同时捆绑客户机的ip与mac地址以防用户随意更改ip地址和随意更换网络插口等恶意行为,检查用户终端是否安装了信息安全部门规定的安全软件、防病毒软件以及漏洞补丁等,从而阻止非法用户和非法软件入网以确保只有符合安全策略规定的终端才能连入医疗网络。
2.3.4安装安全监控系统
安全监控系统可充分利用医院现有的网络和安全投资,随时监控和记录各个终端以及网络设备的运行情况,识别、隔离被攻击的组件。与此同时,它可以强化行为管理,对各种网络行为和操作进行实施监控,保持医院内部安全策略的符合性。
2.3.5物理隔离
网络攻击应急演练篇12
【关键词】
医院管理系统;信息安全;策略
近年来,医疗体制改革日渐深入,社会对医院的管理水平与服务质量的要求也在提高,加上医院规模不断扩大,患者数量增加,医院信息管理也迎来了新的挑战。同时,信息技术手段的进步与发展,为医院进行信息管理提供了便利,但也存在许多问题,特别是信息安全方面的问题,严重威胁到了医院各项信息安全及完整性,影响医院各项工作的开展。所以,加强医院管理系统信息安全管理,对保障医院各项工作的正常进行具有积极作用。
1内部硬件的安全管理
在医院系统的内部硬件安全管理中,主要是对网络服务器、工作站及交换器等内部硬件的安全管理[1]。对于这些设备,必须对其进行安全管理,并对网络进行优化。在服务器与储备设备的管理中,应该形成数据管理,如保证电源故障管理的积极运作,促进网络的正常运用。为了保证系统的安全运行,关键是做好防护工作。因此,必须形成标准建构,以最大程度地保证网络安全。在硬件方面,应避免相同设备出现问题,并在数据库服务中应用集中管理系统,如硬盘选用的是磁盘阵列式,可实现在短时间内进行切换,促进整个系统的安全运用,除此之外,还应实施双路管理,即一路为UPS系统,一路使用市电,以保证服务器与网络设备的正常运行。
2网络安全管理
进行网络安全管理,主要是为了避免计算机受攻击,包括主动攻击与被动攻击。在网络正常运行的状态下,医院系统信息被截取、破坏、窃取的情况时有发生,对计算机网络与数据都造成了很大损伤[2]。网络攻击会对内网与外网都构成巨大安全威胁,故必须增加投入,改善网络安全,防范人为恶意攻击,最大限度地保证医院信息安全。基于上述认识,必须对网络安全管理予以高度重视,并在管理与技术方面加强沟通,形成有前瞻性的管理策略,以实现对网络信息安全管理的目的。
3软件系统管理
对操作系统的管理,主要是做好正版操作系统的补丁工作。例如,在屏幕保护工作中,应将数据暴露于桌面。在对软件系统进行管理时,需形成多个分区,然后分别放置操作系统、重要数据及应用系统。在管理过程中,要把多余的网络协议、服务等删除,并将不必要端口关闭,实现默认管理,并形成锁定注册表管理。需要注意的是,在医院信息系统的网络管理工作中,应将内网与互联网隔开,不可在内网中形成互联网链接,以保证内网操作系统的精准性与可靠性[3]。在杀毒软件管理方面,安装的软件必须是正版软件,并定期升级、杀毒,以保证病毒库安全。情况需要时,可利用辅助软件进行杀毒处理。对于流行性新兴病毒,应做到定期查杀,并实现对软件的实时监控,且要求在在下载升级后先杀毒再使用,与现行系统环境相结合,在促进软件升级与改善测试环境的条件下做好管理工作,保证系统的安全运行。
4数据库安全管理
在医院系统信息管理工作中,数据信息的安全管理是核心部分。做好数据库安全管理工作,可有效保证数据的安全,实现对数据的查询,并保证数据在安全存储中的合法访问,构建基础访问权限。例如,在Oracle数据库管理中,应重视并认真做好用户区别与密码保护工作。比如,在进行SYS与System特殊账户管理工作中,应严格控制网络上的DBA权限,预防远程访问[4]。对于日志文件、DBA查看警告、定期检查等,应加强监控与管理,以便第一时间发现与解决问题,实现对数据库碎片及可用空间的管理。在数据库管理中,还应对链接情况进行定期查看,并将不必要的链接清理干净。在对网络服务与网络硬件进行检查时,应保证硬件的正常运行。在开展周围性数据库管理工作时,应有较完善的数据库恢复预案。对于数据库而言,防止病毒入侵也是安全管理的一项重要内容。在医院信息安全管理中,病毒问题是威胁信息安全的重要原因,对医院各项利益均产生了很大威胁,故必须采取有效的防病毒措施。具体来说,应认真做好以下几个方面的工作:(1)认真做好数据备份工作。病毒入侵会导致数据被窃取与篡改,故应对数据进行备份,特别是重要信息,即便病毒入侵也能保证数据的完整与安全。(2)保证操作系统的安全。盗版系统的稳定性较差,且往往存在较多漏洞易被病毒攻击,无法保证信息的安全性。因此,所选系统应为正版,且要求管理人员应注意查看系统官方消息,加强系统更新与维护工作,以最大程度地保证系统的稳定性。(3)提升工作人员的安全意识。医院应定期组织对工作人员的信息管理安全教育,使工作人员树立正确的安全意识,并掌握常见的系统安全问题处理方法,以保证系统信息的安全性。(4)安装各种杀毒软件及其他防护软件,加强信息管理系统的软件屏障功能,并定期更新与维护,以保证系统的正常、安全运行。
5加强应急管理,完善事故处理预案
医院应根据实际情况制定有效的应急方案。一方面,医院平日应对相关工作人员进行专门培训,保证每位工作人员熟悉紧急预案的流程及具体措施,以便发生紧急事件时能够从容面对,将损失降至最低。另一方面,加强应急演练。医院应定期对工作人员进行各种应急演练,并根据存在的问题进行整改,以保证应急方案的实用性与针对性,减少安全事故造成的损失。除此之外,为了避免意外破坏而导致信息丢失或网络瘫痪,应在平时做好数据备份工作,并定期在服务器端进行一次联机全备份与数据恢复检验工作,以确保备份的可靠性与有效性。
6结语
总而言之,在医院信息化建设不断推进的情况下,信息安全成为医院高度重视的一个问题,因为医院信息安全事关医院、患者的切身利益。基于当前医院管理系统信息安全的情况,医院应积极采取有效措施,如加强内部硬件管理、网络安全管理、软件系统管理及数据库安全管理等,以保证医院系统信息的安全性与完整性,促进医院各项工作的顺利进行。
作者:李瑶瑶 单位:江苏省盐城市射阳县中医院
参考文献:
[1]韩盼盼.加强医院信息管理系统安全的若干策略[J].计算机光盘软件与应用,2014(24):191,193.
