近期全國各地不少各網絡安全主管部門都在開展不同形式的網絡安全行動，特別是網絡安全攻防行動，該行動是以網絡安全實戰形式，以白客滲透攻擊等方式，旨在發現各單位各系統的網絡安全潛在風險，同時可以檢驗各單位的安全防護和應急處置能力，提高各單位網絡安全事件應急處置及實戰水平。

面對此類網絡安全攻防行動，首先我們了解下目前防守方普遍存在的一些問題。從過去的網絡安全攻防行動來看，防守方普遍存在以下問題。

防守方普遍存在的問題：

1、互聯網資產暴露面過多，對外的各類服務太多，缺乏有效維護和管理；

2、弱口令大量存在，內外網系統都存在不同程度上的弱口令問題，要知道弱口令可是最容易被發現的高危風險；

3、沒有有效的縱深防御體系，重視外網邊界防護，輕視內網防護，攻擊方一旦突破到內網，則來去自如；

4、敏感信息存在外泄情況，網絡拓撲、用戶信息等泄露在互聯網，成為攻擊方突破點；

5、資產管理不到位，存在老、舊、長期不用的系統未及時關閉清理情況，容易成為攻擊者的跳板；

既然我們了解到這些普遍存在的問題，那么如何進行有效應對呢？

防守方臨時應對措施：

1、減少互聯網資產暴露面，如關閉不需要的網站、對外提供服務的業務系統等；收斂互聯網出入口，盡量減少不必要的互聯網出入口，減輕防守壓力；

2、弱口令排查與修改，全面排查并修改所屬的信息系統的弱口令（如123456、admin、默認密碼等），不同服務器及不同應用不應使用相同密碼；

3、對外泄在互聯網上的敏感信息及時清除；

4、清理整頓老舊資產，及時關閉不用的老舊資產、僵尸資產等，排查并清除應用的測試賬號，防止成為攻擊跳板；

5、安全設備策略優化，將網絡安全設備調至有效狀態，避免安全設備成為擺設；

6、如果對業務系統非常熟悉，可以設置進程白名單；這招對攻擊方殺傷力很大，如果攻擊方貿然在服務器上運行了白名單之外的程序，防守方利用日志分析系統就能很快定位出被攻破的服務器；

7、及時封堵攻擊方可疑IP，這是一個立竿見影的方案。不過這一招對于自身的安全防護能力并沒有實質上的提升，這只是當下一個權宜之計，大家要切記。

防守方加固措施：

1、定期的漏洞檢測與加固；全面開展主機、網絡設備、安全設備、應用系統的漏洞檢測和加固工作；

2、在業務系統上線前需要進行安全測試，包括但不局限于：滲透測試、漏洞掃描、白盒代碼審計、軟件測試等；

3、建立縱深防御體系，建立南北向網絡安全縱深防護體系，防止出現一道防線被突破滿盤皆輸的情況。通過使用下一代防火墻、WAF、防病毒網關、入侵防御、數據庫防火墻、網閘等建立多層防御體系，增加攻擊者邊界突破的難度；同時對于東西向流量也要最好管控與防護；

4、終端殺毒軟件一定要有，特別是服務器端的，另外網關層的防病毒最好和主機層的防病毒選用不同安全廠商的，做好異構，加強防病毒的能力；

5、調整優化網絡分區分域并做好安全隔離防護，根據不同業務類型與安全等級將網絡區域劃分為不同的網絡安全區域，如劃分為辦公區、互聯網區、內網服務器區、運維區等；在分區分域的基礎上，針對各個區域邊界建立不同的安全防護措施，做好邊界隔離，加大攻擊方內部滲透的難度；

6、對重要設備及應用做好雙因素認證；雙因素認證能夠有效的防止密碼暴力破解，同時就算用戶的密碼是弱口令或者被撞庫成功，攻擊方也很難成功登錄，這能在很大程度上影響攻擊方的進攻腳步。重要的業務系統、遠程辦公系統(vpn、遠程桌面、OA等)、堡壘機、單點登錄認證系統等都應該加上雙因素認證；

7、做好日志審計與分析，對所有安全相關的行為與事件及時進行日志收集與分析，做到可查看、可溯源；重點關注重要賬戶的登錄和變更日志，重要賬戶的任何異常行為應及時掌握；

8、建立應急響應與處置體系，日常做好應急預案與演練，發生網絡入侵事件時及時進行處置，防止一般網絡安全問題演變為重大網絡安全事件；

9、定期開展全員安全意識培訓，這個主要是針對員工進行安全意識培訓，結合行業內或生活中實際案例，加強員工對網絡安全的重視，防止被社會工程學等攻擊，建立好基層防線；

10、定期開展網絡安全等級保護測評等合規性工作，通過第三方安全檢測及時發現存在的網絡安全風險，消除隱患，滿足合規合法要求。

目前，網絡安全行動已是常態，不論是網絡安全檢查還是網絡安全攻防已成為各主管部門的常規操作。做好以上這些措施，一哥認為可以輕松自如地應對各類網絡安全行動。

來源：等級保護測評