国家护网行动如何防止被打穿？战前篇

程序员霸哥

于 2025-07-07 10:13:43 发布

阅读量852

点赞数 19

CC 4.0 BY-SA版权

分类专栏：计算机网络安全专业选择文章标签：服务器数据库网络

本文链接：https://blog.youkuaiyun.com/logic1001/article/details/149167008

网络安全同时被 3 个专栏收录

2689 篇文章

订阅专栏

计算机

73 篇文章

订阅专栏

专业选择

16 篇文章

订阅专栏

国家护网行动如何防止被打穿？战前篇

不知不觉马上就要开始2025年国护了，从业安全十余年，不论曾经在大厂甲方还是安全厂商，每段工作多多少少都承担了蓝队的工作。比如曾经在某安全厂商负责某省烟草值守，在吉利控股作为甲方安全专家担任整个防守的责任人，就在去年我作为安全顾问为某数据局制定护网蓝队备战计划。

很多甲方存在一个认知误区，只有在护网行动即将开始时才进行备战，但攻防对抗并不是一朝一夕的事情，在战斗即将打响时才准备战斗，很容易被打穿。我认为，在演练正式打响之前，至少需要有一个月的准备时间，这个时间内需要做的事情很多，从制定作战计划到开展各项安全自查，信息化越复杂，需要耗费的精力就越大。

备战阶段（战前30天开始准备）

（1）资产梳理与暴露面管理

在攻防对抗中，这一项是最为关键的，从我多次护网经验来看，几乎每次被打进来都是脆弱资产暴露的问题。梳理资产就像是打仗前先要了解自己的领土，比如在东海岸严密部署防守，但西北方可能有属于自己的领地但却疏忽，对方偏偏就从西北方向打进来。

网络空间测绘：使用专业工具扫描识别所有IT资产（服务器、网络设备、应用系统等）
暴露面收敛：关闭不必要的服务、端口。在这里我不得不吐槽一下某地方监管单位，下发高危端口排查与整改要求，有些其实是很正常的业务端口比如8080、9200，这些端口必须要改，但把8080改成9880又能怎么样呢，难道攻击者就扫不出9880端口了？改成高危服务排查和整改不更好吗？最近我就发现了这种现象，因为业务使用8888端口，在监管单位认定的高危端口清单中，于是业务方把这个服务换成了8998，我实在无语。

护网期间，先把所有服务器梳理出来，然后再逐一排查这些端口开放的必要性，这个需要花费较大的时间和精力，所以我一开始说要提前30天进行备战。一个资产一个资产的和业务相关方确认，关闭非必要的端口，或者在防火墙上加白名单进行访问控制，或者将资产进行分类，哪些可以互联网访问，哪些属于合作商访问，哪些属于内部访问，然后通过vlan进行逻辑隔离，比如合作商/供应商需访问的放置DMZ区域并添加合作商与供应商的IP作为白名单，拒绝其他一切外部IP。

曾经我遇到比较奇葩的情况是，运维人员为了在家运维方便，竟然将堡垒机映射到公网上，正好堡垒机存在未授权访问漏洞，通过堡垒机访问服务器并不需要服务器密码，所以红队控制了堡垒机管理的上百台服务器。

（2）漏洞治理

安全漏洞是红队最常利用的入侵途径，及时修复漏洞也是是护网行动中重要的一步。很多时候都是已知漏洞不修复被攻击队利用，或许是RCE、或许是未授权访问、也或许是SQL注入或者其他的漏洞，但都有一个共同点就是“已知漏洞”而非未知的0day。比如上面提到的某堡垒机未授权访问漏洞，其实早就应该打补丁了。

漏洞检查：根据梳理出的资产，优先检查互联网可达资产或者业务系统，其次是DMZ区，至于在内网的系统我认为根本没有必要做检查，对手连网络都访问不进来，还不如重心放到对手能直接网络访问的互联网区，其次是对手可能能够访问到的DMZ区（因为避免不了攻击者通过供应商/合作商作为跳板进入）。

先将需要漏洞检查的系统整理出来，统一进行一轮漏扫。web漏洞的方式主要有2种，一种是类似awvs的传统web扫描器，主要能扫描sql注入、xss、ssrf、csrf这些非逻辑性漏洞。另外一种扫描是POC扫描，即做CVE检查，可以发现部分已知逻辑性漏洞。还是拿刚才某治堡垒机为例，未授权访问其实是一种逻辑漏洞，因为传统扫描器无法理解你这个后台或者后台的某个接口是否需要身份验证才能访问，但POC扫描器已经明确定义了该堡垒机的未授权访问漏洞。所以，漏扫也要组合进行。

漏扫之后如果还有时间，进行一次人工测试或者半自动半人工测试，和白帽子挖src类似，我个人一般用burpsuite来做人工安全测试。

在漏洞治理过程中，应该保证漏洞的生命周期闭环。每当发现一个漏洞，都要进行记录，做好台账。什么系统、什么漏洞、发现时间、严重程度、是否必须修复、最晚修复时间，将这些制作成表格，作为漏洞管理台账。

（3）安全培训

员工的安全意识在护网期间也起到关键的作用。

因为攻击方不仅仅只是通过业务系统漏洞途径攻打你，也可能开展钓鱼攻击、水坑攻击，诱导企业员工中招，比如通过模拟一个企业的SSO页面，以密码过期或近期开展护网演练需修改强密码为由钓鱼获取员工账号密码，并利用员工账号密码登陆企业VPN，进而成功进入企业内网。

还有可能会诱导员工下载白+黑的木马，成功实现远程控制。

甚至有的攻击者直接近源攻击，比如前往企业办公场所，连接企业WIFI，或者在公司附近搭建一个邪恶双胞胎WIFI，或利用USBAD感染员工电脑。攻击手段层出不穷。

（4）安全有效性验证

在资产梳理完成后，安全能力是否都覆盖上了对应的资产。比如办公终端，很容易成为攻击者围点打援的目标。就拿上面水坑攻击的例子，攻击者可以故意丢一个usbad u盘在办公区域，如果有员工捡到并趋于好奇想看看U盘里有什么，这个时候如果PC没有杀毒软件，员工插上USBAD U盘后就会成为攻击者的肉鸡。如果已经安装了杀毒软件，还应该验证杀毒软件杀毒库存在更新滞后的问题。

在最近的安全项目中，有个客户单位统一安装了某款杀毒软件，但病毒库还是3个月之前的，导致了多名员工感染木马。所以在护网前一定要验证病毒库是否是最新的。

如果没有安装杀毒软件，应开展统一安装工作。如果使用微软AD，可以使用sccm统一进行批量安装。如果没有类似的PC管理，则需要下发文件让员工自行安装，或者专门安排几名工作人员开展安装工作。我个人更建议后者，因为前者员工自行安装无法得到保证（即有些员工可能会因为没看到邮件或看到邮件但工作忙而忘记安装）

其他安全有效性验证还有：重要的互联网WEB系统是否接了WAF？是否有入侵检测设备以及检测能力如何，能否及时监测到攻击事件是一个重要指标。这其中包括了IPS或IDS、EDR或杀毒软件、CWPP（云主机安全防护）、蜜罐。有些蜜罐可以获取攻击者信息，对于反制加分有用。

（5）应急预案

应急预案也是必须的，谁也不能保证会不会被攻击者打进来。应急预案的作用就是在发现攻击者打进来之后，能及时进行响应，减少进一步失分。

应急预案有几个关键点：1. 明确岗位与职责，在发生侵入或被攻击者拿到重要数据等安全事件时，各司其职做好协同处置。2. 定制响应流程，如果没有流程，进行响应时可能效率会很低，有可能负责研判的人还在验证事件有效性，后面节点的人可能就已经拔网线了，结果最后研判给出的结果是一次无效的事件。

hw招聘信息

红队中级500/天+攻击成果提成红队高级1000/天+攻击成果提成.蓝队中级500/天-扣分考核蓝队高级1000/天-扣分考核.要求:1.全日制本科已毕业（在读学生不要投递）2.有安全证书或者其他相关专业能力证明可降低学历条件。简历投递: 微信号minzhizhou1992，邮件zmzsg100@163.com简历请注明:远程或现场，长期(2-3月)或短期(1个月内)

黑客&网络安全如何学习*

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

1.学习路线图

在这里插入图片描述