精彩连载！关键信息基础设施安全保护支撑能力白皮书（十）

   前言 

面对网络战略威慑的不断升级和针对关键信息基础设施的高等级攻击行为的日益增多，我国近年来采取了一系列积极措施来检验和提升关键信息基础设施的安全保护能力。其中，公安部门组织的网络攻防实战化行动在及时发现安全问题，推动网络安全保护能力建设方面发挥了重要作用。

加强主动防御能力，需要采取以下措施：

首先，以有效应对攻击行为的监测发现为出发点，应采取收敛暴露面、捕获、溯源、干扰和阻断等多种手段。通过开展攻防演习和威胁情报工作，可以提升对网络威胁与攻击行为的识别、分析和主动防御能力。

其次，降低被攻击的风险，需要识别和减少互联网和内网资产的暴露面，包括互联网协议地址、端口、应用服务等。通过压缩互联网出口数量、减少内部信息的对外暴露，可以有效防范社会工程学攻击。

第三，需要深入分析网络攻击的方法和手段，并针对不同类型的攻击（如拒绝服务攻击）制定有针对性的防护策略和技术措施。对于监测发现的攻击活动，应分析攻击路线和目标，设置多层防线，采取多种技术手段切断攻击路径、快速处置网络攻击，并开展溯源工作，为后续的案件侦查、事件调查以及完善防护策略提供有力支持。

第四，确保关键业务的可持续运行，需要围绕关键业务设定演练场景，并定期组织开展攻防演练。同时，应将关键信息基础设施的核心供应链、紧密上下游产业链等业务相关单位纳入演练范畴，以便及时发现和整改安全问题及风险，消除结构性、全局性风险。

网络安全的核心在于技术上的持续较量，这不仅是攻防两端的策略比拼、智慧对决，更是一场不断升级的反制战斗。随着国家网络安全迈入新的历史阶段，我们面临着更为严峻的挑战和更高的安全标准。新时代的网络安全，其最鲜明的标志便是技术的持续交锋。应对挑战，需要更新观念、创新方法，显著提升自身的防御和对抗能力，确保在技术博弈中占据上风。

具体而言，可从以下几个方面着手：

一是科学设计网络的整体架构，通过实施分区分域的策略来优化网络布局，减少互联网出口的数量，从而强化网络边界的安全防护能力。

二是对网络应用进行集中、高效的建设和管理，确保统一的安全防护策略得到有效落实。

三是积极开展互联网暴露面的整治工作，尽可能减少不必要的暴露，关停废弃或过时的网络资产，并发现未知的网络资产。

四是彻底清除在网络上公开的敏感信息，加强对特权账户的监控，及时清理不再使用的账户。

五是部署先进的探测设备和诱捕系统，模拟真实的业务环境以吸引攻击者，从而及时发现、阻断并有效反击网络攻击。

六是全面收集和分析安全日志数据，利用智能化技术构建攻击模型，追踪网络攻击的源头和路径，为后续的案件侦查和安全防护提供有力支持。

七是加强网络安全教育和培训工作，提高员工对社交工程攻击的识别能力，强化全体人员的安全防范意识。

八是采取多层次的防御措施，确保各个区域之间的隔离和安全认证机制的有效实施，建立起规范的网络访问流程。

九是加强对互联网和业务内网等网络边界的监控和管理，严防任何违规的外部连接行为。

十是实施精确的安全防护措施，对各种主机和终端系统进行集中管理和加固处理，确保只有经过授权的用户才能访问相关资源。

为了加强网络安全防护，确保关键信息基础设施的稳定运行，需要建立一套主动防御的管理制度。这些制度包括但不限于：

实施攻防演练规范化管理。通过建立攻防演练机制，提高技术对抗和风险管理能力。演练旨在发现并及时消除安全隐患，全面感知网络态势，掌握关键设施的安全状况。同时，提升各行业单位、社会力量与公安部门的联合响应和处置能力。在演练中，需设立专业团队，明确各方职责，严格执行安全管控措施。演练前需搭建实战环境、制定详细规则，过程中需技术保障，结束后需复盘总结。

制定并执行应急预案。编制应急预案以验证其适用性，检验并提高预案的针对性、时效性和操作性。每年至少进行一次应急演练，以识别安全问题和薄弱环节，完善应急机制。通过演练评估和改进预案，确保应急组织能够正确履行职责。同时，强化各方协调配合，提升应急响应队伍能力，加强员工安全培训。

确保关键业务的稳健运行，构筑强大的主动防御体系。运用多种技术手段，实现高效整合与统一管理。基于真实和模拟环境定期演练，以识别并修复深层安全隐患，验证防护和应急响应能力。同时，利用网络测绘来治理暴露面，发现潜在漏洞。采用先进技术来捕捉、分析攻击行为，迅速切断攻击链。此外，建立威胁情报能力，了解风险，并与权威机构共享情报，实现跨行业的联防联控。

运营者应建立攻防兼备的网络安全专门技术队伍，在应对网络攻击中采取各种手段，阻击、反制和对抗对手的网络攻击。主动防御能力架构设计如图3-8所示。

全面提升网络安全防护水平，构建主动防御一体化管理体系。通过高效整合现有的攻防技术手段和新型安全策略，为主动防御提供全方位的管理支持，具备可视化监控、安全业务综合管理、数据与业务智能聚合等核心功能。

在可视化展示方面，能够实时监控业务资产的部署状态、业务系统的运行状态、网络安全攻击态势、业务系统安全状况、数据安全保护情况等关键信息，并通过攻击路径图谱测绘、响应状态展示等功能，为决策者提供直观、全面的安全态势感知。

在安全业务综合管理方面，实现主动防御管理、攻防演练任务管理、威胁情报共享、安全信息共享和业务联动管理等功能的有机融合。这不仅能够提升安全管理的效率，还能够加强不同安全业务之间的协同与联动，形成更为强大的安全防护合力。

在数据和业务智能聚合方面，实现主动防御业务与数据的对接，构建完善的主动防御信息库管理系统。能够与分析识别、安全防护、检测评估、事件处置等模块实现数据交互和业务对接，从而为主动防御提供更为精准、高效的数据支持。

主动防御一体化管理体系主要包括以下四个方面：

一是开展实战化的攻防演练。围绕关键业务的稳定运行设定演练场景，定期组织攻防对抗演练活动。这不仅能够及时发现和整改网络安全隐患，还能够检验安全防护措施的有效性和应急处置能力。同时，针对演练中发现的问题和风险进行及时整改，消除潜在的安全威胁。对于跨组织、跨地域运行的关键信息基础设施，还组织或参与实网攻防演练活动；在不适合开展实网攻防演练的场景下，则采用沙盘推演的方式进行模拟演练。此外，将与关键信息基础设施相关的供应链、产业链等业务单位纳入演练范畴，以提升整体的安全防护水平。

二是实施应急演练机制。通过定期的应急演练活动来检验应急预案的可行性、应急准备的充分性以及联动机制的协调性。这不仅能够提升应急处置的科学性、实用性和可操作性；还能够进一步明确应急相关方的职责和工作流程；同时还能够加强保障措施和物资准备等方面的工作。通过应急演练的开展和实施，能够及时发现和解决在事件处置和应急预案方面存在的问题和不足；同时还能够提升相关人员的应急处置能力和技术水平；使相关人员更加熟悉和掌握关键信息基础设施安全应急的目标、流程和措施。

三是完善应急预案管理体系。根据关键信息基础设施的特点和需求，制定总体应急预案、专项应急预案以及现场处置方案等多层次的应急预案体系。这些预案明确了不同等级和类型的网络安全事件的响应流程和措施；为指导预防和处置各类网络安全事件提供有力的支持；同时，实现预案场景的管理和个性化预案的编排及协同；使相关人员能够根据不同场景制定不同等级的预案；并支持依据预案进行应急响应演练；在战时状态下可依据预案快速调配相关资源，实现平时向战时的迅速切换。

加强网络安全培训和演练的实效性，打造一个高度仿真的网络安全环境。该环境将利用实物与软件虚拟化的结合技术，整合仿真网络设备、实际装备、虚拟网络以及虚拟节点，形成一个混合编排的网络架构。能够对训练环境中众多的硬件设备和虚拟计算资源实施高效管理和精准控制，从而营造出一个规模庞大且逼真度极高的模拟环境。

此外，还需提升环境的快速部署能力，确保训练环境能够迅速搭建并投入使用。同时，该环境支持动态调整功能，以适应不同训练场景和需求的变化。更重要的是，可实现历史训练环境的还原与重构功能，这不仅有助于回顾和分析过去的训练过程，还能够为未来的训练提供宝贵的数据和经验支持。

网络安全接入管理的核心在于有效收敛网络的公开可见性，并强化针对潜在攻击点的控制措施。包括对面向公众网络的资产和系统进行识别，及时揭示相关漏洞，并对这些资产的安全状况进行持续追踪，以降低遭受外部攻击的风险。

首要步骤是优化和集中化网络出入口的配置。重要行业的分支机构应考虑将网络出入口向上级或邻近的管理中心集中，以减少出入口的数量，并在这些关键节点部署先进的安全防护设备。同时，需要识别和最小化网络资产在公众网络中的可见性，包括IP地址、端口和应用服务等，并避免泄露内部信息，如组织架构、邮箱账号等，从而防止社会工程学攻击。

其次，域名管理应得到加强，包括清理和压缩网站数量，排查和清除不再使用的域名，确保所有在线应用都处于可管理和可控制的状态。

此外，终端控制也是关键一环，需要实施统一的终端管理措施，及时修补安全漏洞，并强化用户行为日志的集中管理。特权用户的设备和账号应受到严格的自动管理和保护。客户端应收集终端的安全环境信息，并与网络安全接入系统的控制中心进行交互分析，确保只有安全的终端才能接入业务网络。

在数据保护方面，对重要和核心数据应采取严格的访问控制措施，确保数据不离开内部网络。一般数据则可通过安全的虚拟环境进行保护。

同时，老旧和废弃的资产应及时清理和下线，包括关停老旧系统、清理无用账户等。动态资产台账的建立和管理也是必要的，以全面掌握资产的分布和归属情况。

另外，需要避免在公共网络存储空间中存放敏感技术文档，防止被攻击者利用。运营者应定期了解本单位资产在公众网络上的暴露情况，并采取有效措施减少暴露面。包括对各种数字资产的发现和管理、脆弱性的修复、云上资产的风险管理、远程办公服务的安全控制、敏感数据泄露的监测、第三方供应链资产的管理以及各级单位资产的综合管理。

网络攻击防御的高级策略在于主动诱捕与深度分析，该策略强调在网络架构的关键节点部署如蜜罐、沙箱等高级监测设备。这些设备不仅用于识别和发现潜在的攻击活动，更能够详细分析攻击者的身份、来源、行为模式、攻击能力及其所采用的策略、路径、方法和工具，同时确定其攻击目标。一旦检测到攻击，系统会立即采用多种技术手段，如诱捕、干扰、阻断和加固等，以切断攻击路径并迅速应对网络威胁。

有效追踪网络攻击的源头，系统会及时开展溯源工作，构建攻击者的详细画像，为后续的案件侦查、事件调查以及防护策略的完善提供有力支持。考虑到所有边界防护措施都可能被绕过，在核心网络资产边界设置了最后一道防线。根据攻击者的探测、横向攻击和纵向投放等特征，大规模部署诱饵目标，以吸引并发现攻击者，确保实时、准确且无误报地感知到任何攻击行为。同时，系统对攻击源头进行实时追踪溯源，并在全网范围内主动进行应急响应。

通过蜜罐网络和蜜罐诱饵，实现高精度蜜网，能够捕获包括踩点探测、漏洞利用、渗透入侵、数据窃取和痕迹清理等在内的各种攻击数据。结合捕获的数据、威胁情报和攻防溯源数据，对攻击过程进行综合分析，进一步细化攻击者的画像。这些画像数据不仅可用于应急响应和取证反制，还为后续的安全策略调整提供重要依据。

在虚拟系统的基础上，构建仿真的业务环境。通过将蜜网与真实业务系统巧妙结合，利用存在易被利用漏洞的虚假业务系统来吸引攻击者进入蜜网环境。实施包括攻击流量隔离、行为记录、特征提取、感染源追踪和溯源等在内的一系列威胁处置行动。这些行动旨在实现以下目标：

一是高效发现。通过与传统特征码和行为特征不同的网络欺骗策略，吸引并诱导攻击者访问系统中故意暴露的虚拟资源。一旦这些资源被访问，系统立即判定为正在受到攻击。

二是粘性防御。利用一系列欺骗手段将攻击者引入虚假环境并消耗其资源，从而降低其对重要真实系统的威胁。

三是暴露手段。在虚假环境中迫使攻击者暴露其攻击手段和方法，为防御方提供制定有效策略和溯源反制的机会。

四是主动溯源。在欺骗环境中对攻击者进行持续监视并通过多种手段进行溯源分析，必要时进行反制。

五是智能识别与重定向。识别异常请求并利用沙箱进行捕获分析，同时针对真实业务的请求进行重定向处理，获取攻击者信息并提供边界防御能力。

六是事件重现。通过蜜罐和沙箱捕获未知威胁和正在发生的攻击行为，并重现整个事件过程以清晰掌握安全漏洞和风险。

针对网络领域的攻击、威胁和破坏行为，运营者应保护关键信息基础设施、核心网络系统及重要数据的安全。为此，应积极开展网络安全威胁情报的搜集与分析工作，与公安部门紧密合作，开展溯源、固证及侦查打击等行动，确保及时获取关键情报线索，为网络安全决策提供有力支撑，同时加强安全防护、信息通报预警和应急处置能力。

在情报搜集方面，运营者应关注开源情报的获取，通过巡查境内外媒体网站、社交平台、即时通信工具、社区论坛及暗网等关键渠道，及时搜集涉及本行业本领域的重大网络安全威胁、事件及相关国家和组织的动向等情报信息和线索。

技术方法的应用同样重要，通过技术手段及时发现攻击者、被攻击端、攻击方法和路径等关键信息，实时掌握网络安全动态和攻击活动，获取有价值的情报和线索。

加强威胁情报的分析研判是关键环节。运营者应对通过各种渠道获得的威胁情报和安全事件进行关联分析和研判，评估情报的真实性、时效性、可靠性和重要程度，形成有价值的情报。同时，充分利用大数据资源和大数据分析挖掘技术，深入挖掘情报线索。

开展追踪溯源工作同样不可或缺。运营者应利用各种数据资源和技术手段对攻击者和被攻击者进行画像，追踪查找攻击源头并固定证据，为事件处置、侦查打击和安全防护提供有力支撑。

为了深化对威胁的理解，运营者还应加强跟踪研究，积累并掌握攻击者的深层次背景、人员构成、组织架构、战略战术等基础资料，为及时获得重要威胁情报提供坚实支撑。

增强网络安全防护的主动性和全面性，建立一套综合的信息库管理能力，能力覆盖互联网的出入口、端口、内网接口，以及IP地址、DNS信息、外网和内网应用服务信息等关键要素。通过综合管理体系，更有效地支持一系列网络安全工作，包括但不限于优化互联网出入口、强化域名和终端控制、加强数据防泄密措施、淘汰过时资产以及降低网络暴露风险。

此外，充分利用靶场演练中产生的对抗数据和网络攻击诱捕所收集的攻击方法与手段等信息。这些数据和信息不仅可以帮助验证当前防护策略和技术措施的有效性，还能推动不断优化和完善网络安全防护体系，提升应对安全事件的能力和效率。