网络安全防护技战法报告

网络安全防护技战法报告一、防守技战法概述为了顺利完成本次护网行动任务，切实加强网络安全防护能力，XXXX二级单位信息化负责人组成，由股份公司副总裁担任护网工作组的组长。为提高护网工作组人员的安全防护能力，对不同重要系统进行分等级安全防护，从互联网至目标系统，依次设置如下三道安全防线：第一道防线：集团总部互联网边界防护、二级单位企业互联网边界防护。第二道防线：广域网边界防护、DMZ区边界防护。第三道防线：目标系统安全域边界防护、VPN。联网应用系统,设备和安全措施，明确相关责任人，梳理网络结构，重要的或需要SSLVPNIPSECVPNWIFI、蓝牙等无线通信方式的管控，关闭不具备安全条件及不必要开启的无线功能。结合信息化资产梳理结果，攻防演习行动安全保障小组对集团信息化资产及重点下属单位的网络安全状况进行安全风险评估和排查，确认薄弱环节以便进行整改加固。二、防守技战法详情第一道防线--互联网边界及二级单位防护技战法安全感知防御、检测及响应构建从“云端、边界、端点”+“安全感知”的防御机制。相关防护思路如下：防御能力：是指一系列策略集、产品和服务可以用于防御攻击。这个方面的关键目标是通过减少被攻击面来提升攻击门槛，并在受影响前拦截攻击动作。检测能力：用于发现那些逃过防御网络的攻击，该方面的关键目标是降低威胁造成的“停摆时间”以及其他潜在的损失。检测能力非常关键，因为企业应该假设自己已处在被攻击状态中。响应能力：系统一旦检测到入侵，响应系统就开始工作，进行事件处理。响应包括紧急响应和恢复处理，恢复处理又包括系统恢复和信息恢复。l全网安全可视结合边界防护、安全检测、内网检测、管理中心、可视化平台，基于行为和关联分析技术，对全网的流量实现全网应用可视化，业务可视化，攻击与可疑流量可视化，解决安全黑洞与安全洼地的问题。l动态感知采用大数据、人工智能技术安全，建立了安全态势感知平台，为所有业务场景提供云端的威胁感知能力。通过对边界网络流量的全流量的感知和分析，来发现边界威胁。通过潜伏威胁探针、安全边界设备、上网行为感系统，对服务器或终端上面的文件、数据与通信进行安全监控，利用大数据技术感知数据来发现主动发现威胁。互联网及二级单位的区域隔离IPS控制、入侵防护、僵尸网络防护、木马防护、病毒防护等。在广域网接入区边界透明模式部署入侵防御系统，针对专线接入流量进行控制和过滤。办公网区应部署终端检测和响应/恶意代码防护软件，开启病毒防护功能、文件监测，并及时更新安全规则库，保持最新状态。WEB库审计系统，进行数据库安全审计。在运维管理区，部署堡垒机、日志审计、漏洞扫描设备，实现单位的集中运维审计、日志审计和集中漏洞检查功能。互联网出口处安全加固互联网出口处双机部署了因特网防火墙以及下一代防火墙进行出口处的防护，在攻防演练期间，出口处防火墙通过对各类用户权限的区分，不同访问需求，可以进行精确的访问控制。通过对终端用户、分支机构不同的权限划分保障网络受控有序的运行。IPIPIP。开启精细化应用控制策略，设置多条应用控制策略，指定用户才可以访问目标业务系统应用，防止出现因为粗放控制策略带来的互联网访问风险。IPIP毒、防僵尸网络、防篡改等防护功能。通过对全网进行访问控制、明确权限划分可以避免越权访问、非法访问等情况发生，减少安全事件发生概率。护网行动开始之前，将防火墙所有安全规则库更新到最新，能够匹配近期发生的绝大部分已知威胁，并通过SAVE引擎对未知威胁进行有效防护。url行为进行记录审计。攻防演练期间，需要将上网行为管理设备的规则库升级到最新，避免近期出现的具备威胁的URL、应用等在访问时对内网造成危害。DMZ当前网络内，DMZWEB区域内的网站系统、邮件网关、视频会议系统的安全DMZDMZWEBDMZWEBOWASPweb（如，SQLXSSCSRF誉损失等问题。第二道防线-数据中心防护技战法总部数据中心从防御层面、检测层面、响应层面及运营层面构建纵深防御体力，缺乏完善的主动防御技术和持续检测技术带来的风险。主要解决思路如下：1、基于安全风险评估情况，夯实基础安全架构通过持续性的风险评估，进行安全架构的升级改造，缩小攻击面、减少风险暴露时间。包括：安全域改造、边界加固、主机加固等内容。2、加强持续检测和快速响应能力，进一步形成安全体系闭环针对内网的资产、威胁及风险，进行持续性检测；基于威胁情报驱动，加强云端、边界、端点的联动，实现防御、检测、响应闭环。3、提升企业安全可视与治理能力，让安全了然于胸基于人工智能、大数据技术，提升全网安全风险、脆弱性的可视化能力，大幅度提升安全运维能力，以及应急响应和事件追溯能力。边界防御层面原有的边界防护已较完善，无需进行架构变动，只需要确保防御设备的策略有效性和特征库的及时更新。针对目标系统，通过在目标系统接入交换机和汇聚交换机之间透明部署一台下一代防火墙，实现目标系统的针对性防护，防止服务器群内部的横向威胁。ACLWEBSQLCCWebWebShellWeb应用性能管理系统进行实时关注，应用出现异常立即上报，并定位责任人进行处置，保证网络性能稳定，流畅运行。核心交换机双机部署了两台防火墙，物理上旁路部署，逻辑上通过引流所有流量都经过防火墙，通过防火墙对服务器区和运维管理区提供边界访问控制能力，进行安全防护。攻防演练期间，核心交换区防火墙进行策略调优，对访问服务器区和运维管理区的流量数据进行严格管控，对访问服务器区内目标系统请求进行管控；防止安全威胁入侵运维管理区，对整体网络的安全及运维进行破坏，获取运维权限。攻防演练期间，在各分支机构的边界，通过对各类用户权限的区分，各分支机构的不同访问需求，可以进行精确的访问控制。通过对终端用户、分支机构不同的权限划分保障网络受控有序的运行。管理-核心交换机-服务器区的路径进行访问，因此通过完善下一代防火墙防护策略，达到安全加固的目的。通过对全网进行访问控制、明确权限划分可以避免越权访问、非法访问等情况发生，减少安全事件发生概率。攻防演练前，需要对下一代防火墙的各类规则库、防护策略进行更新和调优。端点防御层面EDR，EDR过人工智能引擎、行为引擎、云查引擎、全网信誉库对威胁进行防御。过暴力破解的弱口令攻击产生的。EDRIPWebWeb键查杀。进行关联检测、取证、响应、溯源等防护措施，与AC产品进行合规认证审查、安全事件响应等防护措施，形成应对威胁的云管端立体化纵深防护闭环体系。第三道防线-目标系统防护技战法PLMAPDRO网络层面在网络层面为了防止来自服务器群的横向攻击，同时针对业务系统进行有针对性的防护，通过部署在目标系统边界的下一代防火墙对这些业务信息系统提供安全威胁识别及阻断攻击行为的能力。VPN小权限原则。VPN行目标系统访问，并通过防火墙实现多重保障机制。系统多因子认证构建为了保证攻防演练期间管理人员接入资金管理系统的安全性，接入资金管理系统时，需要具备以下几项安全能力：一是用户身份的安全；二是接入终端的安全；三是数据传输的安全；四是权限访问安全；五是审计的安全；六是智能终端访问业务系统数据安全性。SSLVPNSSLVPN名密码认证，屏蔽所有不可信任用户访问，对可信用户进行强管控。对接入的可信用户进行强管控认证仍会存在访问风险，因此需要边界安全设备进行边界安全加固。系统服务器主机正常运行是业务系统正常工作的前提，服务器可能会面临各类型的安全威胁，因此需要建设事前、事中、事后的全覆盖防护体系：l事前，快速的进行风险扫描，帮助用户快速定位安全风险并智能更新防护策略；lweb描等攻击；l泄漏问题。同时，为了保证安全威胁能够及时被发现并处置，因此需要构建一套快速联动的处理机制：本地防护与整体网络联动、云端联动、终端联动，未知威胁预警与防护策略，实时调优策略；深度解析内网未知行为，全面安全防护；周期设备巡检，保障设备稳定健康运行；云端工单跟踪，专家复审，周期性安全汇报；通过关联全网安全日志、黑客行为建模，精准预测、定位网络中存在的高级威胁、僵尸主机，做到实时主动响应。在业务系统交换机与汇聚交换机之间部署下一代防火墙，根据资产梳理中收集到的可信用户IP、端口号、责任人等信息，在下一代防火墙的访问控制策略中开启白名单，将可信用户名单添加到白名单中，白名单以外的任何用户访问业务系统都会被拒绝，保证了区域内的服务器、设备安全。应用层面下一代防火墙防病毒网关的模块可实现各个安全域的流量清洗功能，清洗来自其他安全域的病毒、木马、蠕虫，防止各区域进行交叉感染；webAIwebwebAIwebwebSAVEWEB检测、多维度处置快速响应，有效解决现有信息系统安全问题。网安全设备之间的数据不能共享，做不到智能联动、协同防御。在保留传统安全建设的能力基础上，将基于人工智能、大数据等技术，按照全等技术，建立涵盖数据安全、应用安全、终端安全等的“全业务链安全”。为了保证访问资金管理系统访问关系及时预警及安全可视化，需要将访问目标系统的所有流量进行深度分析，及时发现攻击行为。在在业务系统交换机旁路部署潜伏威胁探针，对访问资金管理系统的所有流量进行采集和初步分析，并实时同步到安全态势感知平台进行深度分析，并将分析结果通过可视化界面呈现。主机层面Web器、数据库服务器、FTPWebWeb成数据库信息被窃取的问题；下一代防火墙通过风险评估模块对服务器进行安全体检，通过一键策略部署的功能WAF模块的对应策略，可帮助管理员的实现针对性的策略配置；利用下一代防火墙入侵防御模块可实现对各类服务器操作系统漏洞（如：winserver2003、linux、unix）、应用程序漏洞（IISApacheweblogicoracle、MSSQL、MySQL）该类漏洞通过缓冲区溢出、恶意蠕虫、病毒等应用层攻击获取服务器权限、使服务器瘫痪导致服务器、存储等资源被攻击的问题；针对系统的服务器主机系统访问控制策略需要对服务器及终端进行安全加固，加固内容包括但不限于：限制默认帐户的访问权限，重命名系统默认帐户，修改帐终端主机的病毒防护能力并及时升级恶意代码软件版本以及恶意代码库。止服务器主机实现并横向传播威胁。并且通过攻击链举证进行攻击溯源。攻防演练-检测与响应技战法预警分析7*247*24webshell、后门等高阶事件，可以及时升级到技术分析组进行研判，一旦确认，将会实时转交应急响应组进行处置。监测与相应组成员实时监控安全检测类设备安全告警日志，并根据攻击者特征分析入侵事件，记录事件信息，填