[网络协议]【HW实践】防守方秘诀盘点

随着信息化时代的到来，网络战场成为继陆海空天之后的兵家必争之地。公安部自2016年起，每年组织HW行动，检验各单位的网络安全防护能力。

2021 HW行动在上半年已经结束了，但余音袅袅，它的影响仍渗透在日常防护工作中。

今年，我们参加了多家单位的HW工作，帮助他们严防死守安全“底线”。下面就以点带面，用一次HW实践来总结：防守方可以做什么。

备战期

在HW行动备战阶段，防守方要对安全现状进行排查。

• 清点网络资产

某局有核心和公共两套网络，网络中除了PC、服务器、虚拟机等终端设备外，还有网络设备和安全设备。我们协助某局清点网络资产、检查设备运行状态；对历史日志进行分析，找出疑似被攻击的主机并重点排查。确保网络资产统计完整，在网设备安全可信。

• 排查可用服务

我们协助某局落实“关闭非必需服务”等关键准备工作。通过资产管理、端口扫描、弱密码扫描等功能，排查各个设备开启的服务端口，一一核实确认端口的使用情况，关闭非必需服务，缩小网络攻击面。

• 优化安全配置

我们根据某局的实际业务需求，对安全策略进行整体优化调整。发现并处置冲突策略、冗余策略、空策略等问题策略，逐条核对安全策略是否符合业务要求，在减少策略配置的同时，确保策略与业务相匹配。

决战期

在HW行动决战阶段，防守方需要7*24小时不间断值守，实时监控安全态势，并对安全事件进行应急响应。

• 监控&上报安全事件

我们派遣专人前往某局值守，一旦发现安全事件，立即分析确认。如果确认为攻击或异常流量，则上报该IP，由防火墙进行封禁；如果确认为误报，则对IPS产品的规则进行优化。

• 分析&回溯安全事件

根据第三方情报信息，我们对指定IP进行查询回溯，协助某局分析疑似安全事件。

在为期两周的HW行动期间，在公共区，我们检测到告警日志1100余条，包含96种攻击类型；执行拦截操作4400余次。由告警数据可以看出，攻击方更倾向于利用Struts 2漏洞实施攻击。防守方应避免使用这些高危组件，如需要使用，请及时升级并打补丁加固，做到定期检查。

在核心区，告警数量超过15000条，其中有很多为请求恶意DNS域名告警。某局下属省级单位开始自查自改后，告警数量大幅减少，需要持续排查整改。

防守方HW秘诀

1、资产清点要到位

清点资产是安全防护的第一步，只有看清内部需要保护的资产有哪些、是否有未监管到的资产、网络安全设备的工作状态是否正常，才能针对资产制定更深入的安全防护策略。

防守方应加强资产管理力度，日常对所有硬件、软件、服务登记在册，不允许未登记的资产加入到网络中。

2、策略梳理要定期

安全策略是网络访问的红线和准则，简洁清晰的安全策略是网络安全的基线。在策略梳理过程中，有时会出现“不了解，不敢删”等情况，导致网络中存在大量与实际业务无关、宽松、无效、重复的策略，这不仅给防火墙等设备增加了计算压力，也给防守方带来了更多运维难题。

防守方应定期进行策略梳理，尤其是在HW行动等重大活动前夕。

3、应急封堵要及时

现在，应急处置方式多为值守人员发现告警后，将告警IP发送给防火墙管理员，由管理员在防火墙上增加配置、下发生效。这一流程不仅耗费人力，且需要几分钟才能实现封禁；而攻击方只需要十几秒，就可以入侵网络。同时，由于防火墙资源有限，至多只能封禁12万个IP，很容易耗尽。

防守方需要尽量缩小从发现到封禁的时间差，即实现“检测-封禁”自动化。由于恶意IP数量巨大且离散，建议使用专业的应急处置设备。

4、下属单位要防护

如果防守方下属单位的网络没有足够的防护措施，还有互相访问的需求，就很容易带来安全隐患。

防守方可要求下级单位做好防护，部署IPS、防火墙等网络安全设备，排查隔离失陷主机，加强各区域、系统间的访问控制，以保障自身和总部的网络安全。

以上秘诀不只应用于HW期间，还应贯穿于常态化运营日常，安全不是一天建成的，只有长期的过程安全才能使结果趋向于安全。