HVV-Learning-001-初步了解网络安全攻防演练背景

• 目录
• 1、什么是网络安全攻防演练
• 2、网络安全攻防演练的来源
• 3、网络安全攻防演练的主要分类
  • 3.1、国家级攻防演练
  • 3.2、省市级、行业攻防演练
• 4、网络安全攻防演练的活动形式
• 5、网络安全攻防演练的历史阶段

0、前言

以前也时不时会在freebuf上看文章，但是一直没发过。忽然发现freebuf可以自由投稿。先把以前在同名公众号（非典型产品经理笔记）上写的原创内容，挑一部分发一下。

后续新内容会考虑同步在freebuf上发送。

本系列当前共14篇。

1、什么是网络安全攻防演练

网络安全攻防演练是以获取指定目标系统（标靶系统）的管理权限为目标的攻防演练，由攻防领域经验丰富的红队专家组成攻击队，在保障业务系统稳定运行的前提下，采用“不限攻击路径，不限制攻击手段”的贴合实战方式，而形成的“有组织”的网络攻击行动。

攻防演练通常是在真实环境下对参演单位目标系统进行可控、可审计的网络安全实战攻击，通过演练检验参演单位的安全防护和应急处置能力，提高网络安全的综合防控能力。

2、网络安全攻防演练的来源

2016 年 11 月 7 日，《中华人民共和国网络安全法》在第十二届全国人民代表大会常务委员会第二十四次会议通过，并于 2017 年 6 月 1 日正式实施。可见： http://www.gov.cn/xinwen/2016-11/07/content_5129723.htm

《网络安全法》第三十四条、第三十九条、第五十三条，都有涉及“演练”的条款，包括有：

• “关键信息基础设施的运营者应制定网络安全事件应急预案，并定期进行演练”
• “国家网信部门应当统筹协调有关部门定期组织关键信息基础设施的运营者进行网络安全应急演练，提高应对网络安全事件的水平和协同配合能力”
• “负责关键信息基础设施安全保护工作的部门应当制定本行业、本领域的网络安全事件应急预案，并定期组织演练”。

总体来说，网络安全攻防演练，是国家层面为了维护网络空间主(敏)权(感)和国家安全，依法推动多层面开展的实战攻防演练活动。 它类似于军事演习，能够有效校验网络攻防能力、发现网络安全问题、提升网络安全防护和应急响应能力的活动。

关联信息：美国也非常重视攻防演练，美国版的网络安全攻防演练，叫作“网络风暴”（Cyber Storm），是美国政府主导的全方位的大规模网络安全演习，由美国国土安全部（DHS）举办，起始时间是 2006 年，并一直以接近两年一次的频率在美国本土举行，最近一次“网络风暴”在 2020 年 8 月份完成举办。

3、网络安全攻防演练的主要分类

3.1、国家级攻防演练

最高级别的攻防演练，是国家级攻防演练，规格最高，参与的攻击队最多、有影响力的演练单位最全，攻击队通常会出全力，在其中使用的 0day 级漏洞数量也最多。

国家级攻防演练，通常在每年的 7-8 月份。其中 2021 年例外，由于建党 100 周年，所以时间放在了 4 月份。演练时长一般持续为 2~3 周，各攻击队（也称为红队）默认都到北京去实地参演，所有的攻击过程都通过录屏、流量抓取等方式进行记录，可审计、可复盘。

3.2、省市级、行业攻防演练

除了国家级外，部分省、市也会举办攻防演练；同时，部分对网络安全要求较高的行业，比如说金融、能源行业也会主动举办行业性的攻防演练。

4、网络安全攻防演练的活动形式

攻防演练的核心机制如下：

1、红蓝对抗：划分为红队（攻击队）、蓝队（防守队），进行红蓝对抗（攻防对抗）。

1)、蓝队来源：每个参演单位，都需要组织蓝队进行防守，是为防守队。

2)、红队来源：由主办方召集，比如说国家级攻防演练，则有大量国家队（网安等专门的安全队伍），也有大量民间队（主要来自于各网络安全类厂商）参与。

2、红蓝背靠背：从 2018 年开始，红蓝采取“背靠背”方式进行对抗。

1)、不事先排练、不提前确认攻击方：事先不排练。且防守方提前不知道是谁在攻击自己，是活动开始时，才分配一批名单给攻击方，由红队自行决定自己的实际攻击目标、攻击顺序。

2)、不限制攻击时间段、攻击路径、攻击手段：红队原则上可以不限时间段(在演练的 2-3 周内，可以全天 24 小时攻击）、不限攻击路径、不限攻击手段，最大程度模拟攻防实战。当然实际上，要考虑“保障业务系统稳定运行”这个前提，所以拒绝服务类攻击是不允许的（会导致目标系统停止服务）。

3、红蓝计分机制：针对蓝队，有初始分数 10000 分。一旦被红队攻击成功，则根据攻击效果的不同，给蓝队扣除相应的分数，为红队增加相应分数。蓝队则通过及时发现、及时处置和还原攻击链、锁定攻击者、反制攻击方等方式，减免部分扣分（或加分）。

5、网络安全攻防演练的历史阶段

攻防演练从 2016 年开始，参演单位覆盖范围逐步变大，攻防手段、评估标准也不断提升。

2016 年 - 摸排检查：主要是民航局、国家电网，靶标通常是内网系统，攻防要求也不够明确，存在演练期间拔网线等“骚”操作，演练效果较难体现。

2017 年 - 摸排检查：相比 16 年，主要增加了政府单位。本次攻防演练重点模拟了门户网站、重要信息系统被攻击的情况。 这些门户网站、重点系统默认不允许关闭，虽然在攻击过程中仍会有部分短期拔网线的情况，但整体还是对外暴露，在演练过程中发现了较多问题，有效提升了 WEB 防护能力建设。

2018 年 - 实战对抗：在政府、能源、航空的基础上，增加了更多企事业单位和其他重点单位，如税务、铁总、卫健委等。2018 年开始，背靠背机制进一步明确，不提前确认攻击方、不限制攻击时间段、路径和手段，开始实现真正意义上的网络攻防实战对抗。安全纵深防护体系得到重视，逐步建设，包括：抗 D、WAF、漏洞扫描、渗透测试、主机安全、态势感知、数据库审计、堡垒机等。

2019 年 - 实战对抗：2019 年涉及范围更广，工信、安全、武警、交通、铁路、民航、能源、新闻广电、电信运营商等超过 120 家目标单位，本年度攻防对抗激烈化，社会工程学，新型免杀木马、0day 武器等成为常态。

2020 年 - 实战对抗：有小金融城商行、证券保险、水利、生态环境、自然资源、统计、电网、能源、运营商等 150 余家目标单位参演。各攻击队开始会提前重点储备 0day 漏洞，在攻防演练期间作为武器利用，攻防手段也激烈化。

2021 年 - 构建体系：各大部委、央企、运营商、金融、医疗、党建关基等 200 多家单位能演。在本年度，钓鱼和 0day 仍然是最主流的突破手段，同时，由于防守能力的提升，所以对于攻击隐匿手段（隐藏自身）的方法也进一步增强。并且，从评判规则上也有较大调整。

对攻击方：

1)、需要绘制攻击树，描绘清楚攻击路径，才能得分

2)、鼓励提交 0day 漏洞（有加分）

3)、缩短攻击时长，每 5 天更换攻击目标，到最后几天甚至每天更换目标

对防守方：

1)、综合考核 6 大安全能力：从过往单纯考核防护检测能力，转为考核单位的检测发现、分析研判、应急处置、通报预警、协同联动、追踪溯源（6 大方面、24 个子项），基于 6 大项进行加权评分。

2)、鼓励精准溯源、精准处置：只有攻击成功的事件，溯源成功(和红队的攻击树一致）才给加分