“HW行動”的策略與實踐

　　隨著云計算、移動互聯網、大數據、物聯網、智能制造等網絡技術的不斷發展，組織內部信息系統的安全威脅越來越多：木馬屢屢入侵、勒索病毒肆虐、數據隱私嚴重泄露、關鍵基礎設施與物聯網攻擊等安全事件時常發生，網絡空間儼然成為重要的戰略空間。

　　何為“HW行動”

　　自2016年開始，為應對網絡安全威脅，嚴守網絡安全底線，公安部每年組織多家機構對國內基礎設施系統按照國家網絡安全要求，深入排查重點單位安全隱患、檢驗各單位網絡安全防護能力，業內稱之為“HW行動”。

　　“HW行動”旨在檢測國家關鍵基礎設施與單位備案重要信息系統的安全隱患，檢驗其事件監測、安全防護與應急處置，快速協同、應急處突的能力。隨著“HW行動”開展，其涉及的行業和范圍更多、更廣，“HW行動”作為我國關鍵資產網絡安全風險應對的重要措施，成為政府、企事業單位積極參與完成國家安全要求及自身安全建設的基礎性工作。

　　“HW行動”攻擊檢測方由國家公安部組織全國各部委、各行業專家、各網絡安全專家進行指揮統籌，由國家網絡安全隊伍、科研機構、部隊、網絡安全企業組成攻擊檢測隊伍。形式上采用針對真實、關鍵目標的“紅藍”攻防對抗，攻擊方在確保不破壞目標正常業務的前提下，挖掘安全隱患，并將結果實時上報指揮部；防護方依據監測的安全事件，進行追蹤溯源、應急處置、安全加固與防護工作。

　　HW行動之“攻擊方”策略

　　“攻擊方”主要采用滲透測試，模擬黑客的攻擊和漏洞挖掘技術，對目標信息系統做深入的嗅探，以發現系統中最脆弱的環節，從而獲取權限。

　　“攻擊方”同時也會采用APT攻擊，在短時間內根據攻擊檢測目標及在信息收集階段通過資產指紋、漏洞、端口掃描等不同方式，對收集到的問題進行數據分析，對目標信息系統進行攻擊滲透。具體來看，主要攻擊突破口如下：

　　利用安全掃描搜索引擎，通過分布式掃描源迷惑目標，采用分布式掃描快速獲取目標資產信息,并進行逐步分析；對OA、運維審計系統、安防設備等通用系統進行分析獲取0day漏洞；制作免殺木馬程序，通過遠程命令/代碼執行漏洞，直接執行下一代命令行外殼以及腳本語言；利用開源源碼托管平臺，獲取用戶信息、源碼信息等內容；了解業務內網構成，精準捕獲核心數據。

　　HW行動之“防守方”策略

　　“防守方”依據HW行動時間延展可分為四大階段：備戰階段、臨戰階段、決戰階段、總結階段。具體策略概述如下：

　　備戰階段主要是對安全現狀排查。目標是通過數據資產梳理、安全風險評估，以及自查自糾、安全培訓，建立安全防護體系。

　　臨戰階段主要是按照HW行動整體模式開展資產巡查、滲透測試，制定應急預案、開展實戰應急演練，依據內外網檢測結果進行系統安全加固及應急處置優化。

　　決戰階段主要是進行7*24小時現場值守。值守中，要實時監控安全態勢，實時應急響應安全事件，確保整個重大活動期間的安全保障。具體任務：依據安全審計告警信息進行實時監控與上報，實時監測重點系統的風險及安全隱患并第一時間應急處置，現場依據策略調整進行突發事件處理，現場針對安全事件進行溯源分析等等。

　　總結階段主要是對HW行動的工作及經驗不足進行總結，并根據總結結果持續改進、優化網絡安全整體建設水平。

　　基于此，國內專注于保密與非密領域的分級保護、等級保護、業務連續性安全和大數據安全產品解決方案與相關技術研究開發的領軍企業——國聯易安的網絡安全專家建議：根據組織自身條件，選擇一個合適的HW套餐?；A必備的套餐包括：防火墻+WAF+蜜罐+威脅監測系統（流量分析回溯或態勢感知系統）+安全值守；升級版套餐包括：防火墻+WAF+蜜罐+威脅監測系統（流量分析回溯或態勢感知系統）+威脅情報+ 主機HIDS +安全服務（滲透測試、安全監控、分析、應急處置）。

　　結語

　　“網絡安全同擔，網絡生活共享”。在目前信息化社會中，社會對計算機和網絡的依賴越來越緊密。計算機和網絡在軍事、政治、經濟和生活工作等方方面面的應用越來越廣泛。如果網絡安全得不到保障，將給國家各個行業的生產經營、個人資產和隱私等方面帶來嚴重損失，從而使得關系國計民生的關鍵基礎信息系統，甚至國家國防安全、網絡空間安全面臨嚴峻挑戰。

　　隨著《網絡安全法》和《等級保護制度條例2.0》的頒布，國內企業的網絡安全建設需與時俱進，要更加注重業務場景的安全性并合理部署網絡安全硬件產品，嚴防死守“網絡安全”底線?！癏W行動”大幕開啟，國聯易安誓為政府、企事業單位網絡安全護航！國聯易安董事長門嘉平博士接受媒體采訪時表示。