当前位置:安全服务 \ 安全征文作品展
宁波轨道交通"HW2019"网络安全攻防演练活动经验总结
新闻来源:宁波市轨道交通集团有限公司 励卿 毛照平
发布人:计算机安全协会
点击率:269
发布日期:2019.09.20

 1. 背景

“没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障。”在全国网络安全和信息化工作会议上,习近平总书记就就如何树立正确的网络安全观,如何做好国家网络安全工作提出了明确要求,为筑牢国家网络安全屏障、推进网络强国建设提供了根本遵循。

互联网的飞速发展,加快了社会进步的步伐,但同时也给各行各业带来了各种新的安全问题。近年来,我国在网络安全方面所面临的形势日趋严峻,各类网络安全事件频发,来自内外部的网络安全威胁也不断加剧。面对复杂严峻的网络安全形势,国家出台了一系列涉及网络安全方面的法律法规,从早先的《中华人民共和国电信条例》、《计算机软件保护条例》、《信息网络传播权保护条例》,再到后来的《中华人民共和国网络安全法》、《关键信息基础设施安全保护条例》等,为网络安全铸就起“牢不可破”的制度防线,全面地指导网络安全保障工作的落地和开展。以此为契机,全国各地的政府机关、企事业单位、交通运输企业、金融机构、能源电力行业等,纷纷加大在网络安全方面的人力、物力投入,全力保障信息系统、生产工控系统的网络安全。

2. 概述

为深入贯彻落实习近平总书记网络强国战略思想,全力做好新中国成立70周年网络安全保卫工作,建立健全多部门共同参与、共同提高、攻防相长的网络安全综合防御体系,检验关键信息基础设施网络安全事件发现能力和应急处置能力,宁波市网络与信息安全信息通报中心开展了名为“HW2019”,面向全市重要行业、部门及企事业单位的关键信息基础设施、网站和重要网络系统的网络安全攻防演练。

宁波市轨道交通集团有限公司作为我市重点民生企业,也参与了此次攻防演练活动。通过前期的精心准备、提前自查,以及演练期间的实时监测、及时应对,宁波轨道交通出色地通过了本次演练的考验,相关信息系统均安全稳定运行,未发生各类异常状况。本着互相学习交流、共同进步的目的,现将宁波轨道交通本次攻防演练中的做法、经验进行一下简单的小结及分享,希望能够起到抛砖引玉的作用,为各行各业做好网络安全防护工作提供一些思路。

3. 前期工作

凡事预则立不预则废,想要做好日常的网络安全防护工作,相应的基础性准备工作必不可少。例如,制定完善整体的网络安全应急处置框架,并在框架指导下,根据各信息系统重要程度的不同,制定出或详细或精简的具体应急预案;针对某些重大时间节点,如法定节假日、重大会议、重要活动等,提前制定专项的网络安全保障方案;日常定期开展各类自查工作,并对自查中发现的风险隐患及时进行问题整改,确保风险程度控制到最低;选取专业的第三方网络安全服务厂商进行合作,定期开展巡检、审计等,以提高日常运维的准确性及规范性,以上种种措施,都是一些相对比较机械、繁琐,并且做到了、做好了不一定会看到什么立竿见影的效果,没做好、没做到也不见得马上就会产生什么后果的工作,所以常常容易被选择性地忽略,但是如果忽略了这些工作,日积月累之下,未来的某个时间,一定会酿成恶果,引发网络安全事件甚至是事故。

宁波轨道交通在本次“HW2019”网络安全攻防演练之前,在做好日常基础性的网络安全防护工作之余,还专门有针对性地开展了一系列的准备工作,以更好地来面对接下来的演练活动。

3.1 制订保障工作计划

在2019年8月,宁波轨道交通在收到宁波市网络与信息安全信息通报中心关于举办“HW2019”网络安全攻防演练的通知后,第一时间开始着手制订相应的保障计划:

1、制订应急值班安排表,在数据中心机房安排专人进行7*24小时值守监测及应急处置;

2、梳理各部门及下属分子公司相应的网络安全防护职责,例如对外发布系统的防护、生产工控系统的防护、网络舆情的监测、办公大楼及机房区域的人员出入管理等,并将这些职责一一分解到具体的牵头部门,并组建相应的网络安全防护工作联络群,各联络人可以在群内定时报送防护情况,加强沟通交流;

3、联系第三方网络安全服务提供商,提出相应保障要求,主要分为安全监测和值班工作两个方面;

4、由宁波轨道交通与网络安全服务商方面共同成立应急保障工作小组,全面负责攻防演练期间的网络安全保障工作,进行统一领导、指挥和协调,以及现场的值班和7*24小时的应急待命。

3.2 事前排查加固

在制订完保障工作计划之后,宁波轨道交通又开展了一系列的风险隐患排查和系统加固工作。主要如下:

1、联网LED公共显示系统网络安全检查

布置专项工作,要求相关部门及分子公司对各自管辖范围内的联网LED公共显示系统网络安全防护情况开展自查,确认显示系统防篡改、防插播等关键安全保护措施是否到位。检查对象包括分布在1、2号线部分地铁站口的公交信息显示屏系统、东鼓道的显示大屏、图书馆信用借阅柜、3号线电子媒体屏等。

在自查完成后,宁波轨道交通又组织开展了一轮专项检查,对照分子公司上报的自查报告,从系统结构、内容发布流程、物理保护措施等多个方面对上述检查对象再次进行检查,并根据检查结果进行评估总结,形成整改建议,反馈到对应管理部门要求进行相应整改。通过自查——检查——整改——复查的流程,将公共显示系统中存在的网络安全风险隐患一一予以排除,确保系统正常运行,不被插播、篡改。

在检查过程中发现的各种隐患,其中有一点是相对比较容易在日常工作中被忽略的,那就是显示屏现场的防插播防护。众所周知,联网的公共显示系统,在网络方面的隔离、防篡改等方面,往往已经做到了相应的安全防护措施,但是在最末端的显示屏一侧,往往会忽略了防护。例如显示屏背后的显示控制器,除网口、USB口外,一般都会存在多个视频接口,如VGA、HDMI等,在使用网口连接网络并传输视频内容的使用模式下,这些视频接口基本上处于“弃用”的状态,但是弃用的接口也会成为别有用心者的入侵入口,比如通过笔记本、视频连接线等设备,就可轻易连接上显示控制器并播送指定的内容画面,而公共显示屏所处的位置决定了,一旦被人插播了不当的画面,那么必然会造成严重的社会影响。所以通过底层命令禁用或物理封禁、破坏等手段及时将多余的接口进行屏蔽,就很有必要了。

2、安全防护设施检查

宁波轨道交通在演练前,针对网络边界的各个安全设备,进行了专门的配置及运行情况检查。

对于IPS、WAF、AC等依赖于规则库来进行防护的安全设备,检查其特征库的日期是否已更新到最新;针对防火墙等依赖于策略来进行防护的安全设备,检查其策略配置是否合理, 是否有开放了不必要的端口访问策略,并通过对服务器进行端口扫描的方式来验证防火墙策略的合理性;对于链路负载及应用负载等设备,检查其配置中是否有开通了不必要的端口映射条目,应用节点池中的各个节点状态是否正常,应用分发及流量是否合理。

通过以上种种检查,进一步提升了宁波轨道交通线网办公网络及生产工控网络的安全性,增强了抵御风险的能力。

3、主机安全加固

针对近期暴露出来的CVE-2019-0708等系统高危漏洞,宁波轨道交通在第三方安全服务厂家的配合下,先在部分测试服务器上开展了补丁测试,确保补丁更新动作不会对服务器的正常运行产生影响。然后,专门选取非业务时间,对受影响服务器进行集中统一的补丁更新,并在漏洞修复后再次确认系统运行情况,保证在最短时间封堵高危漏洞,确保服务器安全。

同时,宁波轨道交通还根据服务器操作系统的不同,有针对性地梳理出不同的安全配置基线,并对照基线,对重要系统的服务器一一进行排查,确保服务器相关的安全功能、防火墙策略等均已正常启用,符合安全防护的相关要求。对于使用中的虚拟机模板,也根据基线要求同步进行整改完善,确保后续通过模板部署的虚拟服务器同样能够满足相应的网络安全防护要求。

4、终端安全检查

在做好安全设备及服务器这一层面的网络安全保障之外,宁波轨道交通还专门针对线网办公网络中的办公终端、生产工控网络中的终端电脑、工作站、工控机等开展了专项的终端安全检查。

检查对象覆盖全集团范围内的所有部门及分子公司,先期开展部门内部自查及整改,在汇总所有自查报告后,再由网络安全主管部门联合第三方网络安全服务厂商的技术人员共同开展抽查,并对生产工控网络中各终端采用的安全防护措施的有效性进行评估,对安全防护措施不当的终端,现场提出整改建议或当场进行整改。

经过此轮终端安全专项检查,将各办公终端统一纳入到了360天擎终端安全管理系统的统一管理之下,可以由安全管理人员从后台统一下发安全管控策略、漏洞补丁升级、病毒木马查杀等命令;各生产工控终端也根据实际情况,启用了适合的、有效的安全防护措施。通过在全面地保障各在网终端的安全,从而确保线网办公网络及生产工控网络的稳定运行,降低网络安全风险等级。

5、VPN用户专项检查

VPN作为从外部网络进入到公司内部网络的通道,一旦被滥用,就有可能成为新的网络安全风险隐患点,给内部网络带来潜在的威胁,所以,必须重视对VPN用户的管理。

宁波轨道交通在攻防演练前,也针对VPN用户,开展了一次专项检查及清理工作。通过全面梳理现有的VPN用户信息,对账号中的相关登记信息如使用人、手机号码、所属组织名称等存在缺失或发生变更的,及时进行核对和补充完善;对于已不再使用的、或重复开设的帐号,及时进行清理;对于VPN使用者,再次重申相关使用要求,规范其使用行为,要求使用符合强度规定的密码并定期修改。通过本次专项工作,最终实现了存量VPN用户帐号均信息准确、用户合理合规使用,无闲置帐号,确保了公司内部网络的安全。

6、新应用上线前检测

根据宁波轨道交通信息安全顶层设计的相关要求,在新建信息系统上线前,应根据系统重要程度的不同,开展对应的安全检测,包括对应用的安全防护功能进行检查审计,开展WEB应用漏洞扫描和主机安全漏洞扫描等,检测通过后方可进行系统上线。

近期,正值资产一体化项目相关应用系统纷纷上线,宁波轨道交通对待上线的应用,根据检测流程,一一进行了相应的安全检测。在检测后,将发现的问题、存在的漏洞及整改建议汇总整理成书面报告,交应用开发商进行整改。整改后,再次进行安全检测,以确认整改的有效性。通过这一系列的规范化流程,确保了新增应用符合现有的安全标准,上线后不会带来新的安全隐患。

4. 演练期间的保障工作

在网络安全攻防演练正式开始后,宁波轨道交通也采取了一系列的手段来做好安全防滑,确保信息系统在演练中能够安全稳定运行。

4.1 做好7*24小时应急保障值守

在网络安全攻防演练期间,应急保障工作小组执行7*24小时应急保障值守,现场值班组负责对各类突发事件的初步分析及一线应急响应,对网站服务器运行状态、网站页面、安全设备日志等进行轮询检测,一旦发现问题,及时进行分析及处置,最大限度地消除隐患,保证网络的安全稳定。

同时,还由宁波轨道交通的相关技术人员及第三方网络安全服务商的资深技术工程师共同组成应急支持组,随时应急待命,对现场值班组发现的突发事件以及初步分析结果进行进一步的分析判断,以提高问题判断以及处置措施的正确率,避免因现场值班人员忙中出错所带来的误判。对于值班人员一时间无法处置的问题,应急支撑组人员也可以在极短的时间内提供远程响应支持,解决各种“疑难杂症”。

4.2 加强信息交流,做好安全防护

在攻防演练期间,现场值班组成员坚守于数据中心值班机房,通过链路负载、玄武盾、APT、IPS、WAF等设备对网络出口流量情况、网络攻击情况、拦截情况以及官方网站群页面情况等进行全面的监测。

在监测中,一旦发现异常情况,立即由专人对网络带宽、攻击源IP地址、其他可疑访问行为等进行分析,筛选检查各设备的防护日志,通过结合攻击特征、拦截信息等,确认攻击行为是否真实存在。对于确认后的攻击来源,则将其IP地址下发给专门的值守人员,在相关的安全设备上配置相关的访问控制策略,以黑名单的形式对其进行阻断。对于通过大量IP地址进行DDOS类攻击或同个IP进行大量尝试性访问以进行口令爆破的,则配置防DDOS攻击策略、防CC攻击策略,根据访问并发数、访问频率等数值来进行有选择性的阻断。同时也将相关判断事件描述、判断及处置措施提交应急支持组人员进行复核,确保相关判断准确、处置措施得当。

在本次的攻防演练中,宁波轨道交通共识别出15个攻击源IP,并在出口防火墙及WAF上对其一一进行了拦截处理。相关IP地址及分析结果如下:

序号

IP

分析结果

1

115.231.103.6

13日至16日发现存在跨站脚本攻击行为

2

115.60.56.123

13日发现存在扫描攻击行为

3

175.100.50.17

境外爬虫

4

220.189.223.118

13日发现存在SQL注入攻击行为

5

51.91.14.43

境外攻击地址

6

124.160.213.106

发现存在多次SQL注入攻击行为

7

183.135.152.194

14日发现存在SQL注入攻击行为

8

115.60.56.203

14日发现存在SQL注入攻击行为

9

106.13.195.107

14日发现存在跨站攻击行为

10

1.193.162.95

15日发现存在扫描行为

11

122.227.218.206

15日至16日发现存在SQL注入攻击行为

12

218.237.65.80

境外攻击地址

13

49.79.195.219

存在多种攻击行为

14

115.236.55.14

15日发现存在扫描行为

15

115.60.58.44

16日发现存在SQL注入行为

4.3 形成防守报告,事后总结复盘

在处置各类攻击行为的同时,现场值班组成员还对相关攻击行为及时进行取证,结合攻击来源IP、攻击目标系统、对应处置措施等相关信息,共同形成防守方成果报告,每日汇总并向属地公安机关网安部门进行汇报。

在整场演练活动结束后,宁波轨道交通还将所有防守方成果报告整理出来进行复盘总结,对判断的准确性、防护措施的有效性进行评估,并将其中有效的防护手段推广到其他暂未受到攻击的系统上去,以形成更加全面有效的网络防护。同时,对于判断为仅在演练期间用于攻击,平日无攻击行为的IP地址,则认定其为演练临时用IP,在各安全设备上撤销对其的黑名单防护,以免影响这些IP的日常正常访问。

5. 演练活动总结

本次的安全保障工作,采用现场值守与7*24小时远程技术专家支持,通过事前的工作方案制定、全面安全排查、服务器漏洞修复等一系列措施来减少整体的受攻击面;在事中通过值守监测、日志分析来及时发现可疑行为并进行相应处置,保证了本次保障工作的顺利完成。在演练期间,宁波轨道交通的线网办公网络、官方网站及相关信息系统经受住了考验,未被攻击行为攻陷,始终安全稳定运行。

本文以保障工作亲历者的角度,对宁波轨道交通在整场攻防演练中的准备工作、防护过程等进行了简单的回顾,希望能够通过对整个活动的回顾、复盘,给其他各行各业的网络安全工作从业者提供一些安全防护的思路、经验,为进一步做好网络安全保障,维护信息系统安全稳定运行提供参考帮助。

 

上一篇:中国光大银行宁波分行重大节假日活动网络安全保障经验交流
下一篇:壹安科技重大活动安全保障实践
【打印此页】【返回顶部】【关闭本页】
宁波市计算机信息网络安全协会   版权所有 2011-2016   ICP备案号:浙ICP备06028402号   网站维护商:宁波公众
联系电话:0574-87815766/87815706    传真:0574-87815706
EMAIL:nbaqxh@163.com