午夜精品一区二区三区的区别,无码任你躁久久久久久久,WWW亚洲精品久久久,国产免费av片在线播放

　近年來，高校正逐漸成為網(wǎng)絡安全風險的高發(fā)地，面對錯綜復雜的安全態(tài)勢，網(wǎng)絡安全演練恰好成為培養(yǎng)師生安全、技術素養(yǎng)的有效途徑。一次全面的演練不僅是與外界的一次技術“碰撞”，更是全員參與的一次“安全行動”，有助于摸清安全家底，聚焦典型問題，鍛煉人才隊伍，使各高校的網(wǎng)絡安全在管理和技術層面上得以有效提升。

　　迎演理念爭鳴

　　攻防演練中，各參演單位的安全防護情況伴隨業(yè)務管理的波動也在不斷發(fā)生著變化。面對凌厲的技術攻勢，各單位是大動干戈臨時調(diào)整安全結構，是組織動員人力和設備還手反攻，還是務實接受技術考驗，以“打不還手”的最小代價展示日常工作的成效？對此，領導決策和技術研判因視角不同，考量的范圍也會大相徑庭。

　　其實，有來有往的競技性攻防與“打不還手”的檢驗性參演并無孰優(yōu)孰劣之分，兩種狀態(tài)在攻防實踐中相互轉(zhuǎn)換，落腳點都是達成網(wǎng)絡安全目標?；诖?，在人員編制數(shù)量、經(jīng)費預算等都不富裕的情況下，依靠常態(tài)化防護體系才是最省時、省力、省人的參演抉擇。

　　反之，日常的管理體系和技術規(guī)范存在短板，調(diào)整網(wǎng)絡結構面臨的技術風險、運行穩(wěn)定性風險都無限增加；與此同時，邀請外部安全服務團隊進行技術支援時，外部人員的技術水平參差不齊，且對本單位安全全局缺乏整體觀，必然會存在內(nèi)部網(wǎng)絡安全措施、拓撲結構等信息外溢的風險。這些信息即使在演練中做好保密，在演練后相當長的時間里，都會成為常態(tài)化安全防護的潛在風險。

　　綜上所述，迎接一場基于日常技術防護標準、不邀請外援且“打不還手”的安全演練既充滿挑戰(zhàn)，也是更好地解構網(wǎng)絡安全工作之難的窗口。

　　演練準備

　　自接到演練通知到正式演練前，一般有數(shù)天到一周不等的時間進行準備。所以，在短時間內(nèi)做全面的安全策略調(diào)整不切實際，應基于已有的防護體系和措施，針對可觀測、可加固的技術事宜開展準備工作。

　　首先是端口開放、業(yè)務開放面的收斂。有備而來的攻擊方在正式演練前開始信息收集，搶時間窗口收縮端口和業(yè)務的暴露范圍。這類收斂并不影響靶機和其他正常業(yè)務的開放，重點是對日常欠規(guī)范環(huán)節(jié)的集中整改。整改事項應歸納為清單，如清查防火墻、WAF失效規(guī)則、臨時白名單等配置項，對防護規(guī)則的邏輯性和覆蓋面進行復核性檢查。

　　其次是根據(jù)已有條件做差異性資源補充。策略一是借用兄弟單位技術人員，同行之間相互借鑒交流易于碰撞出更為靈活的技術措施，許多經(jīng)驗對技術加固和日常運維都有助益；

　　策略二是防護設備功能特性的差異化，組合基于規(guī)則庫與訪問行為的防護設備，對同一個入流量從規(guī)則和訪問行為兩種技術路線進行雙重過濾防護，更易于發(fā)現(xiàn)和阻斷可疑的入侵行為和入侵來源；

　　策略三是構建多視角的監(jiān)控措施，結合傳統(tǒng)的SNMP監(jiān)控，可借用態(tài)勢感知或搭建蜜罐系統(tǒng)。開源的蜜罐可分散到不同網(wǎng)絡區(qū)域，一旦蜜罐發(fā)生訪問命中，則可立即掌握攻擊方已達到網(wǎng)絡區(qū)域的動態(tài)，這對防守方采取進一步措施非常關鍵。

　　再次是通過自動或半自動腳本提高處置效率。準備多個具備自動或半自動功能的腳本，應對隨時可能發(fā)生的情況，提高處置效率。

　　以黑名單投送腳本為例，人工將判斷有風險的可疑IP輸入腳本交互界面，腳本自動依次登錄所有安全設備將IP添加至相應安全設備黑名單，實現(xiàn)攔截上的聯(lián)動；日志快查腳本，輸入可疑IP后自動登錄各個安全設備，在一個文本界面顯示該IP經(jīng)過各安全設備活動的信息，實現(xiàn)更快的信息分析和追溯。

　　最后是重點人員的培訓和提醒。對于具備密碼修改權限和應用賬戶授權的工作人員須重點培訓和叮囑：一方面，預防釣魚等社會工程學方法造成相關人員的賬戶泄露；另一方面，對各個系統(tǒng)的授權賬戶進行清查，對達到一定時長未使用的賬戶進行禁用，不合理的權限配置進行調(diào)整。

　　享受過程

　　演練開始，監(jiān)控必不可少。首輪試探更多集中在廣度上，如出現(xiàn)download目錄、admin目錄、tar.gz文件、“.htaccess”文件等針對性較明顯的URL的掃描，這考驗的是攻擊方和防守方對資產(chǎn)統(tǒng)計的全面性。

　　作為“打不還手”的防守方，應對這些試探及時加黑名單，增加滲透的難度。即便如此，還是會發(fā)現(xiàn)個別冷門域名正在被滲透，這些域名是如何被收集？是域名解析配置不當，還是其他環(huán)節(jié)疏漏？需要立即自查和加固。

　　統(tǒng)一身份認證密碼在演練期間關系重大，一旦任一用戶賬號密碼泄露，眾多系統(tǒng)的登錄權限將被輕易獲取。以2023年2月湖北省網(wǎng)絡安全護網(wǎng)演練為例，演練過程中，統(tǒng)一身份認證日志發(fā)現(xiàn)了異常，同一個互聯(lián)網(wǎng)源IP在短時間內(nèi)連續(xù)登錄成功多個統(tǒng)一身份認證賬號。

　　這種情況下，必須立即溯源。經(jīng)分析，確認這是某互聯(lián)網(wǎng)平臺提供的一項集成功能，用戶關注的公眾號對內(nèi)部的系統(tǒng)進行了偽登錄驗證，收集保存了眾多用戶統(tǒng)一身份認證的賬號密碼。用戶使用該集成功能能夠獲得更便捷的使用體驗，但對賬號安全管理構成嚴重威脅，在封禁源IP后會同業(yè)務部門及時整改。

　　WebVPN和統(tǒng)一身份認證都是第一道防線，無論通過賬號還是漏洞登錄WebVPN，防護和監(jiān)控的難度都會呈指數(shù)上升。因為在WebVPN代理訪問模式下，要分辨攻擊方和用戶是較為困難的，但安全問題總是越擔心什么就越會發(fā)生什么。

　　這次湖北省網(wǎng)絡安全護網(wǎng)演練中，防守方安全日志發(fā)現(xiàn)了源IP被WebVPN攔截，于是立即安排技術人員根據(jù)時間區(qū)間分析統(tǒng)一身份認證的賬號，將認證成功和失敗的狀態(tài)分別統(tǒng)計，以期縮小可能泄漏的賬號范圍；隨后圍繞攔截日志的URL進行分析，發(fā)現(xiàn)有且只有統(tǒng)一身份認證這一個域名能夠在WebVPN繞過驗證，并基于WebVPN自身源地址對統(tǒng)一身份認證的域名進行URL掃描。

　　與WebVPN廠商溝通確認后，確定是WebVPN對統(tǒng)一身份認證域名做了白名單，繼而發(fā)生這一訪問繞過問題，即不登錄WebVPN也可通過WebVPN源地址對統(tǒng)一身份認證發(fā)起各種試探，并且WebVPN不會記錄任何日志，屬于較為嚴重的機制缺陷。

　　演練過程中，統(tǒng)計認證狀態(tài)的技術小組也有了新的發(fā)現(xiàn)：

　　一個可疑的賬號登錄WebVPN后頻繁訪問一個系統(tǒng)歸屬部門都極少使用的系統(tǒng)，同時該賬號使用的源地址與攻擊方所在的網(wǎng)安基地契合。為避免“打草驚蛇”，小組決定在不聯(lián)系用戶的情況下，強制修改該賬號密碼，如果是普通用戶，則會自助修改；如果是攻擊方的僵尸賬號，則可終止該賬號的繼續(xù)訪問。

　　最后，演練報告證明，這一保守做法僥幸阻斷了攻擊方的繼續(xù)滲透。該賬號用戶自行編寫的程序源碼保存了統(tǒng)一身份認證賬號密碼，以及多個本單位域名的URL，并將程序上傳到了GitHub托管。在攻擊方輕松獲取統(tǒng)一身份認證賬號后，防守方碰巧在其尚未開展深入滲透前阻斷了這一缺口。

　　梳理總結

　　“打不還手”的演練雖然缺少競技比賽的觀賞性和趣味性，但能夠聚焦檢驗安全基線，提高應急處置能力，既考驗了技術人員對分內(nèi)職責的熟悉度，加深其現(xiàn)有技術體系關聯(lián)性思考和技術線索的靈活運用，又向真正落實以練促防的目標邁進了一小步，簡要總結如下：

　　第一，常態(tài)化防護工作非常重要?；谶吔绶雷o、數(shù)據(jù)中心防護、主機東西向防護三大層次的防護體系是一個日積月累的基礎工作。其中，邊界防護與身份認證賬號作為第一道防線，所能堅守的時長直接關系防守成敗。參演團隊只有堅持做好日常安全運維，才能減輕演練期間的工作量和復雜度，也才能在演練期間進一步發(fā)現(xiàn)深層次的缺漏。

　　第二，靶機的選擇通常會傾向于靜態(tài)頁面，但演練機會難得，應自信地檢驗防護體系。因此，可嘗試選用不同認證體系的系統(tǒng)作為靶機，避免因統(tǒng)一身份認證賬號泄漏導致更多的系統(tǒng)獲取權限，繼而大幅失分。

　　第三，開源的蜜罐在演練后可作為安全運維工具常態(tài)化運行。一方面，日常管理需要發(fā)現(xiàn)園區(qū)網(wǎng)內(nèi)部IP存在的不安定因素，以蜜罐為媒介對于快速發(fā)現(xiàn)、快速定位增加了管理視角；另一方面，蜜罐的偽頁面、偽系統(tǒng)平時也需要進行打磨修改，默認的頁面對于經(jīng)驗豐富的攻擊方很容易判別。

　　只有把真滲透困在蜜罐，才能為化解真風險贏得先手，進而掌握防守、防護的主動權。日常管理中查看各監(jiān)控對象時，宜養(yǎng)成“過目不忘”的職業(yè)素養(yǎng)，結合服務器負載、應用流量規(guī)律等“印象”經(jīng)驗，基于職業(yè)敏感性快速分析、比較研判演練期間各監(jiān)控的指標狀態(tài)是否存在特異性變化，由此可提高篩查可疑“陷落”的效率，為阻斷可疑流量贏得先機。

　　第四，在演練的準備和進行過程中，每一次微小的技術調(diào)整都要準確記錄。這樣，一方面便于演練結束后做配置方面恢復，另一方面也有利于做技術復盤，通過對過程的對照分析找到防護體系的短板并開展優(yōu)化工作。同時，演練結束后，借用和臨時新增的設備，在下線前務必清理數(shù)據(jù)和配置，如流量鏡像一類的原始數(shù)據(jù)和分析數(shù)據(jù)都要清空，SSL證書避免留存在設備中，避免外援人員掌握真實的拓撲、詳細的資料信息，保持真實情況與外部掌握信息的不對稱性。

　　作者：高杰欣（中南民族大學現(xiàn)代教育技術中心）

　　責編：陳永杰