引言:2016年我国发布了《网络安全法》(于2017年6月1日正式生效),明确规定了关键信息基础设施的运营者必须制定网络安全事件应急预案,并定期进行演练,为HW行动的开展提供了法律依据,通过红蓝对抗的实战演练方式,以攻促防,提高各级政府部门、企事业单位及社会各界对网络攻击的防范能力,保护国家关键信息基础设施的安全。
1. 护网行动简介
护网行动是由公安部牵头组织的一系列网络安全攻防演练活动,旨在评估和提升企事业单位的网络安全防护能力。每年的国家级护网行动一般在7、8月左右开始,持续2~3周时间,省级和市级的护网行动则相对短一些。
具体包含的活动有:
-
攻防两方的组织:护网行动通常由公安部统一指挥,分为红队和蓝队两方。红队模拟黑客进行网络攻击,而蓝队则负责防守和应对这些攻击。
-
实战攻防演习:每支队伍由3-5人组成,明确目标系统,并不限制攻击路径。进攻方会在一个月内对防守方发动网络攻击,以发现并暴露存在的安全漏洞。
-
漏洞扫描与应急响应:参与单位需要进行漏洞扫描、应急响应等操作,以确保在实际网络环境中能够及时发现并修复潜在的安全隐患。
-
技术交流与经验分享:护网行动不仅是一次实战演练,还提供了技术和经验的交流平台,参与者可以学习到最新的网络安全知识和技能。
-
评估与排名:攻防双方在限定的时间内,攻城拔寨或坚守城池,得分最高者胜。所有参与单位的表现将会进行排名,如果在护网中失利,将会对单位未来评优评先等工作造成不良影响。
网传的HVV也是护网的意思,VV看着与W很像,不知道是哪路神仙发明的词,个人觉得HVV可以理解为High-value Vulnerabitiy Verification的缩写,翻译过来就是高价值漏洞验证。其实整个护网过程的红队的重点就是在利用高价值漏洞来获取蓝方系统权限,而蓝方就是想想尽各种办法了修复或保护高价值漏洞被利用。
2. 护网行动发展史
2016年:HW行动启动
- 背景:随着网络安全威胁的日益增加,我国政府意识到需要采取更为主动和系统化的措施来应对网络攻击。
- 主要活动:首次全国范围内的HW行动,重点是对政府机构和关键信息基础设施进行全面的网络安全检查和渗透测试
2017年:首次全面实施
- 背景:《网络安全法》于2017年6月开始正式实施,为HW行动提供了法律依据。
- 主要活动:在全国范围内开展大规模实战演练,重点检查金融、电力、交通、能源等关键行业的信息系统安全。
2018年:扩展至更多行业
- 背景:随着互联网技术的快速发展,更多行业面临网络安全威胁
- 主要活动:HW行动扩展至医疗、教育等更多行业,通过专项检查发现并修复潜在漏洞。
2019年:加强跨部门协作
- 背景:网络攻击日益复杂,需要多部门协同应对。
- 主要活动:加强公安部与其他政府部门、行业监管机构之间的协作,共同组织多次专项演练,提高整体防护能力。
2020年:疫情期间的特殊安排
- 背景:新冠疫情间,远程办公和在线服务激增,网络安全风险显著增加
- 主要活动:针对远程办公环境和在线服务进行专项检查,确保疫情期间信息系统安全。
2021年:重点关注数据安全
- 背景:《数据安全法》于2021年9月1日生效,对数据保护提出了更高要求。
- 主要活动:护网行动重点关注数据安全,对数据存储、传输和处理过程中的潜在风险进行全面评估和整改
2022至今:持续改进和深化
- 背景:随着《个人信息保护法》的实施,个人信息保护成为新的关注点。
- 主要活动:持续开展年度大规模实战演练,并根据实际情况组织多次专项检查。加强对个人信息保护的检测力度,确保各单位符合法律要求。
推动技术创新,通过人工智能、大数据等新技术提升网络安全防护能力。
HW行动的不断加码伴随着我国对网络安全问题的重视程度不断提高,国家开始通过实战攻防演习来检测和提高各企事业单位、政府部门等在面对网络攻击时的应对能力。《数据安全法》、《个人信息保护法》的实施使得越来越多的机构加入到护网行动中,网络安全攻防演练也越来越贴近实际情况。
3. 护网行动中的团队构成及职责分工
红队和蓝队在护网行动中分别扮演着攻击者和防御者的角色,各自承担着不同的职责。红队通过模拟网络攻击来识别和利用系统中的漏洞,而蓝队则专注于检测、防御和应对这些攻击,确保组织的网络安全。
3.1. 红队的工作内容
由公安部门、军队、科研机构以及商业网络安全公司(如深信服、启明星辰、奇安信、天融信等)派出的安全专家组成的攻击队,对目标信息系统发起攻击,主要工作内容如下:
- 识别系统弱点:红队首先会收集目标组织的公开信息,包括网络架构、系统配置等,并通过模拟网络攻击来识别组织网络安全基础设施中的漏洞。
- 评估安全现状:他们需要评估当前的安全防护措施是否有效,并提供改进建议。
- 启动渗透测试:红队通常从互联网寻找入口进行渗透测试,进入内网,通过各种手段(如社会工程学、密码破解等)尝试获取目标系统的访问权限。
- 持续控制与提升权限:在成功突破防御后,红队会进行持久性控制、权限提升、横向移动等操作,最终达到数据窃取的目的。
- 清理并退出战场:在完成所有任务后,红队会彻底清理自己的痕迹并安全退出目标环境。
若想了解更多红队的工作细责可以参阅如下文档:
- 红队视角下的防御体系构建.pdf(访问密码: 6277)
3.2. 蓝队的工作内容
由民航局、国家电网、政务、能源、金融、电信、广电、交通、公用事业等多个重点领域的企业和部门构成防守队。具体工作内容如下:
- 检测、防御和应对攻击:蓝队通过部署各种监控工具和系统日志分析来实时监控网络活动,识别异常行为,保护组织的网络和系统免受恶意活动和威胁行为者的攻击。
- 主动监控与应急响应:蓝队需要实时监控网络活动,及时发现并应对安全事件和漏洞。
- 溯源与反制:当发生安全事件时,蓝队需要迅速进行溯源分析,找出攻击源头,并采取相应的反制措施。
- 情报收集与分析:蓝队还需要收集和分析威胁情报,以便更好地理解攻击者的行为模式和策略,提高对潜在威胁的预见性和防御能力。
若想了解更多蓝队的工作细责可以参阅:
- 蓝队视角下的防御体系突破.pdf (访问密码: 6277)
4. 护网行动的价值
护网行动对参与单位的网络安全防护能力提升具有多方面的具体影响,主要有如下几点:
-
技术能力提升:护网行动通过推动网络安全技术研发,提高了网络防御、监测和应急响应的能力。例如,实时监测网络攻击并及时进行响应处置,针对发现的漏洞和弱点及时修补和加固。
-
立法与政策支持:护网行动加强了网络安全立法,制定和完善相关法律法规,明确网络安全的法律责任,保护网络用户合法权益。这为各单位提供了法律保障和规范指导,增强了其在网络安全方面的合规性和责任感。
-
实战演练与应急机制完善:通过组织网络攻防演习,检验各部门在遭遇网络攻击时发现和协同处置安全风险的能力,从而完善了网络安全应急响应机制。这种实战化的态势使得各机构对待网络安全需求从被动构建升级为业务保障刚需。
-
人员培训与意识提升:护网行动还注重提高信息系统相关人员的法律意识和技能水平,通过开展网络安全知识宣传普及活动,持续完善本单位网络安全和数据安全各项措施,不断提高网络安全风险防范和处置能力。此外,通过举办网络安全专题讲座和培训班等方式,增强全民对网络信息安全问题的认知,培养公民的网络信息安全意识和自我保护意识。
5. 未来展望
当前护网攻防演练已经趋于常态化,护网行动暴露了大量防守单位安全建设的薄弱问题,促进其加强网络安全投入。护网行动未来的发展方向和计划主要包括以下几个方面:
- 利用AI和大数据技术提升网络安全防护能力;
- 继续扩大护网行动的规模和深度,特别是在高端市场中推广整体解决方案;
- 通过政策推动和法律保障进一步加强网络安全;
- 针对特定人群(如儿童)开展专门的网络安全保护工作。