什么是HW护网行动?

一、概述

在网络安全领域,“HW” 常被用作 “护网行动” 的简称。护网行动是由公安部组织的国家级网络安全攻防演练,旨在检验政府、企事业单位等机构的网络安全防御能力。红队模拟黑客攻击,蓝队负责防守,通过实战对抗提升整体安全水平。

二、周期

护网行动一般每年开展一次,但根据级别和实际情况有所不同。具体如下:

  • 国家级护网

通常在每年的 7、8 月左右开始,持续 2-3 周。不过 2021 年因建党 100 周年这一特殊情况,护网在 4 月左右就完成了。

  • 省级护网

一般持续约 2 周。

  • 市级护网

时间更短,大约 1 周左右。

除了按行政级别组织的护网行动外,一些对网络安全要求较高的行业,如金融行业、能源行业等,也会在行业内部开展护网行动,开展时间和频率可能会根据行业特点和需求而定。

三、目的

  • 检验防御能力

通过模拟真实的网络攻击场景,全面检验政府、能源、金融、通信、交通等重要行业和领域的关键信息基础设施、重要信息系统的安全防护能力,查找安全漏洞和薄弱环节。

  • 提升安全意识

提高各单位对网络安全的重视程度,强化全员网络安全意识,让相关人员深刻认识到网络安全威胁的严重性和紧迫性。

  • 锻炼安全队伍

为网络安全专业人员提供实战锻炼的机会,提升他们在网络安全防护、应急响应、漏洞修复等方面的实战能力,培养和造就一批高素质的网络安全人才队伍。

  • 完善应急体系

促进各单位进一步完善网络安全应急预案和应急响应机制,提高应对网络安全突发事件的协同配合能力和应急处置效率,确保在遭受网络攻击时能够快速、有效地进行应对,减少损失和影响。

四、参与主体

  • 红队

通常由专业的网络安全攻击团队组成,他们模拟黑客的攻击手法和策略,利用各种漏洞挖掘工具、渗透测试技术等,对目标系统进行攻击,试图获取系统权限、窃取数据或破坏系统的正常运行,以检验目标系统的安全性和防御能力。

  • 蓝队

主要由各参演单位的网络安全防护团队构成,负责对自身的信息系统进行安全防护,包括日常的安全监测、漏洞修复、访问控制等工作。在演练期间,蓝队要实时监测网络环境,及时发现并应对红队的攻击,采取有效的措施进行拦截、封堵和反击,确保系统的保密性、完整性和可用性。

  • 监管方

一般由公安部等相关政府部门担任,负责制定演练的规则、流程和标准,组织和协调各方参与演练,对演练过程进行监督和管理,确保演练的公平、公正、安全进行,同时对演练结果进行评估和总结。

五、主要内容

  • 攻击与防守

红队会运用多种攻击手段,如漏洞利用、恶意代码植入、社会工程学攻击等,对目标系统发起全方位的攻击。蓝队则要综合运用防火墙、入侵检测系统、防病毒软件等安全设备和技术,以及安全策略配置、应急响应等措施,进行全面的防守。

  • 漏洞发现与修复

在演练过程中,红队通过各种技术手段寻找目标系统的漏洞,而蓝队需要及时发现这些漏洞,并尽快进行修复和加固,以防止被红队利用。

  • 数据保护与恢复

保护数据的安全是护网行动的重要内容之一,包括防止数据被窃取、篡改和破坏。同时,各单位还需要检验数据备份和恢复机制的有效性,确保在遭受攻击导致数据丢失或损坏的情况下,能够快速恢复数据,保障业务的连续性。

护网规则

护网行动规则通常涉及攻击行为规范、防守方应对要求、计分与评判标准等多个方面,以下是一些常见的规则:

1.攻击方规则

  • 攻击范围限制

只能对组织方指定的目标系统、网络区域和应用程序进行攻击,严禁对非目标范围的其他系统和单位发动攻击。例如,明确规定只能针对某几个特定的网站域名、特定的 IP 地址段内的系统进行渗透测试。禁止攻击与目标系统无关的第三方系统或服务,避免对其他无辜的网络环境造成影响和破坏。

  • 攻击手段规范

禁止使用会对目标系统造成永久性、不可恢复性破坏的攻击手段,如利用某些硬件漏洞进行物理损坏攻击等。

不能采用可能导致目标系统业务长时间中断的拒绝服务攻击(DDoS)等大规模消耗系统资源的攻击方式,除非是在特定的测试场景和允许时间范围内进行小规模的压力测试。严禁使用社会工程学攻击中的违法手段,如诈骗、恐吓等获取信息,只能通过模拟正常的钓鱼邮件等方式进行测试。

  • 信息获取与使用限制

在攻击过程中获取的敏感信息只能用于本次护网行动的测试和评估,不得泄露、传播或用于其他任何非法目的。禁止将获取的信息出售或提供给其他无关方,确保信息安全和保密。

2.防守方规则

  • 防守策略与措施要求

必须制定完善的防守策略和应急预案,并在护网行动前向组织方报备,确保防守工作有章可循。要合理配置网络安全设备和防护系统,如防火墙、入侵检测 / 防御系统等,确保其正常运行并发挥作用。及时更新系统补丁、修复已知漏洞,加强对服务器、网络设备等的安全配置管理。

  • 监测与报告义务

建立 24 小时实时监测机制,对网络流量、系统日志等进行密切监控,及时发现并记录任何可疑的攻击行为和安全事件。一旦发现安全事件,要按照规定的时间和格式向组织方报告,包括事件的发生时间、类型、影响范围、初步处理情况等信息。

  • 应急响应规范

当发生网络攻击事件时,必须按照应急预案迅速启动应急响应流程,采取有效的措施进行处置,如隔离受感染主机、封堵漏洞、恢复数据等。在应急响应过程中,要保持与组织方和其他参演单位的沟通协调,及时汇报处置进展和结果。

3.通用规则

  • 时间规则

护网行动有明确的开始和结束时间,攻击方和防守方都必须在规定的时间内进行相应的操作和任务。对于一些特定的阶段性任务,也会有具体的时间节点要求,如漏洞修复的截止时间等。

  • 队伍构成

红队作为攻击方,由国家的网安等专门从事网络安全的技术人员和厂商的渗透技术人员组成。其中,国家网安技术人员的占比大约为60%,厂商的技术人员占比在40%左右。红队的主要任务是模拟真实攻击,对蓝队进行全方位、多层次的攻击,以评估蓝队的网络安全防护能力。红队队员需要隐秘、快速,并具备规避各种安全措施的知识。蓝队作为防守方,一般从各单位中随机抽取人员参与。蓝队的主要任务是发现并利用潜在的漏洞来保护自己的领域,同时确保不对用户造成太多限制。蓝队需要全面了解自身环境中现有的安全控制措施,并具备收集和分析数据的能力。

  • 计分与评判标准

组织方会制定详细的计分规则,根据攻击方的攻击成果,如发现的漏洞数量、漏洞严重程度、渗透深度等进行计分。防守方的得分则基于对攻击的检测率、响应速度、漏洞修复情况、业务系统的可用性保持等方面进行评估。根据最终的得分情况,对参与护网行动的各方进行排名和评价,评选出优秀的团队和个人。

  • 计分方式

蓝队计分蓝队有10000分的初始积分,一旦被攻击成功就会扣相应的分。每年对于蓝队的要求都更加严格。2020年以前蓝队只要能发现攻击就能加分,或者把扣掉的分补回来;但是到了2021年,蓝队必须满足及时发现、及时处置以及还原攻击链才能少扣一点分,不能再通过这个加分了。唯一能加分的途径是在护网期间发现真实的黑客攻击。红队计分红队通常会优先攻击公共目标,一旦攻击成功并获取到证据,便可在国家提供的平台上提交,经认证后即可得分。

  • 保密与合规要求

所有参与护网行动的人员都必须签订保密协议,对行动过程中涉及的技术细节、攻击方法、防守策略、获取的信息等严格保密。整个护网行动过程必须遵守国家法律法规和相关政策规定,不得进行任何违法违规的操作。

如何“护”?

一、攻击与防守实施阶段

红队攻击

  • 漏洞探测与利用

红队利用各种漏洞扫描工具和技术,对目标系统进行全面扫描,发现漏洞后尝试利用漏洞获取系统权限,如通过 SQL 注入漏洞获取数据库访问权限,或利用系统弱口令登录系统。

  • 渗透攻击

采用多种渗透技术,如社会工程学攻击,发送钓鱼邮件诱导用户点击,获取用户账号密码;或进行网络嗅探,窃取网络传输中的敏感信息,逐步深入目标系统内部。

  • 横向扩展

在获取部分系统权限后,尝试通过横向移动技术,利用系统间的信任关系或漏洞,进一步扩大攻击范围,获取更多系统的控制权。蓝队防守

  • 实时监测

通过部署网络安全监测设备和工具,如入侵检测系统、安全信息与事件管理系统(SIEM)等,实时监控网络流量和系统活动,及时发现异常行为和攻击迹象。

  • 访问控制

严格实施访问控制策略,对进出网络的流量进行过滤,限制非授权访问,封禁可疑的 IP 地址和端口,防止红队的攻击流量进入系统。

  • 漏洞修复

对发现的系统漏洞和安全隐患及时进行修复和加固,更新系统补丁、调整安全配置,消除红队可能利用的漏洞。

二、应急响应与处置阶段

  • 事件发现与报告

蓝队的监测人员一旦发现网络攻击事件或安全异常情况,立即按照规定的流程向团队负责人和相关领导报告,详细说明事件的类型、发生时间、影响范围等信息。

  • 应急响应启动

蓝队迅速启动应急响应预案,根据事件的严重程度和类型,组织相应的技术人员进行应急处置。如遇到大规模的 DDoS 攻击,立即启动流量清洗机制,确保网络的正常运行。

  • 攻击遏制与消除

采取有效的措施遏制攻击的蔓延,如切断受感染主机与网络的连接,删除恶意程序,恢复系统的正常状态,消除攻击造成的影响。

  • 信息共享与协作

各参演单位之间建立信息共享机制,及时通报发现的新型攻击手段、漏洞信息等,加强协作配合,共同应对网络攻击。例如,某单位发现一种新的恶意软件攻击方式,及时向其他单位通报,以便其他单位提前做好防范。

三、总结评估阶段

  • 数据收集与分析

行动结束后,红队和蓝队分别收集整理行动过程中的相关数据,包括攻击记录、防守措施、漏洞发现与修复情况等,对数据进行分析,总结经验教训。

  • 撰写报告

红队报告详细说明攻击过程中采用的技术手段、发现的漏洞和薄弱环节、攻击效果等,提出对目标系统安全改进的建议。蓝队报告汇报防守过程中的主要工作、成功的防御措施、存在的问题和不足,以及对未来网络安全建设的规划和建议。

  • 评估与反馈

组织方根据红队和蓝队的报告,结合行动过程中的实际表现,对各参演单位的网络安全防护能力、应急响应能力等进行全面评估,公布评估结果,对表现优秀的团队和个人进行表彰,同时针对存在的问题提出整改要求和建议,为下一次护网行动提供参考。

护网行动的意义在于,它不仅能够提升参与单位的网络安全防护能力,还能够促进整个社会的网络安全意识和水平的提升。通过演练,各单位可以更加深入地了解网络安全威胁的严重性和复杂性,从而更加重视网络安全工作,加强网络安全管理和技术防范措施。

护网行动是中国公安部为提升国家网络安全防护能力而发起的一项重要行动,它通过实战攻防演练的方式,督促指导关键信息基础设施单位加强网络安全管理和技术防范措施,提高网络安全防护水平。