萬丈高樓平地起,要搞好網路安全攻防演練,在演練過程中取得好成績,必須在演練之初就積極準備,做好整體計劃提前部署。我們稱這個階段為網路安全攻防演練的啟動階段。在這個階段主要有三大工作:建隊伍,清家底,做規劃。
一、 建隊伍在啟動階段,應著手建立一個分工明確的網路安全攻防演練職能團隊,以保證安全自查工作得到充分開展,安全防護能力得到有效的驗證。因此必須明確安全保障團隊的組織架構和職責劃分。為做好演練工作,我們建議以如下方式建立安全保障團隊的整體架構:
各職能團隊分工如下表所示:
二、 清家底
清家底是指對當前網路架構進行合理分析和最佳化,盤點內外網資產,理順資產與業務系統的關係。摸清、理順自身家底,充分應用自身安全建設的成果,為後續風險排查、加固最佳化奠定良好基礎。主要包括三方面內容:網路架構分析調優、網際網路資產暴露面治理和內網資產發現梳理。
網路架構分析調優分為兩大階段,網路資訊收集和安全架構分析。網路資訊收集主要是完成對網路安全建設方案、已有網路安全拓撲、網路裝置相關配置和流量映象等方面的初步收集,並在完成初步收集後,同資產擁有方進行相關資訊核對,找出存在異常的資產並及時處置。安全架構分析是在現場開展人工訪談和安全測試,以進一步驗證前期所收集到的網路資訊,並對比收集到的資訊和現場調研的結果,綜合輸出網路安全架構分析報告。
網際網路資產暴露面治理是透過專業服務,利用專業測試工具、搜尋引擎等多類方式,對使用者開放的網際網路IP、埠服務、Web站點等進行梳理,並與使用者進行歸屬確認,開放必要性核對,輸出網際網路暴露資產清單,供後續風險自查及保障使用。
內網資產發現梳理是要理清網路中全部資訊資產,主要包括各類業務系統、內部運維繫統、測試系統、網路裝置、安全裝置、介面裝置、終端網段等,以便後續對資產進行風險自查、策略最佳化,同時識別全量資產中的重點保障關鍵資產,在後續防護和保障中對其進行加固保護。
三、 做規劃
做規劃是指在前期工作的基礎上,進一步明確安全保障應用需求,編制《安全運營保障實施計劃》與《安全運營保障方案》,制定網路安全攻防演練工作目標,構建網路安全攻防演練保障體系,以全面指導網路安全攻防演練工作。
網路安全攻防演練保障體系如上圖所示。體系覆蓋攻防演習的五大階段。對於每個階段都要建立三位一體的保障體系,包括管理保障、技術保障和人員保障。管理保障是透過梳理組織架構和各類保障流程,從管理層面打通各個環節。技術保障是基於安全基礎設施構建縱深防禦和零信任機制,並接入安全運營平臺實現整體運營。人員保障是透過對演練人員的賦能培訓,滿足監控、研判、處置、上報等各環節中對人員的能力要求。
因此,網路安全攻防演練的啟動階段,要做好建隊伍、清家底、做規劃這三項基礎性工作,才能為網路安全攻防演練開好頭,更好指導攻防演練工作的有序開展,為後續工作打好堅實基礎。