1.背景
护网行动自2016年启动以来,已成为我国网络安全体系的核心实战演练平台。其背景可概括为以下要点:
-
法律驱动:2017年《网络安全法》明确要求关键信息基础设施单位定期演练,2021年《数据安全法》进一步强化数据保护要求。
-
威胁升级:近年来APT攻击(如供应链攻击)、勒索病毒(如WannaCry变种)及物联网设备漏洞(如摄像头弱口令)频发,推动护网从政府机构向能源、金融、工业互联网等领域扩展。
-
常态化与分级:从早期国家级演练逐步下沉至省、市级,2020年后形成“全民网络安全演练”模式,覆盖教育、医疗等行业。
2.具体形式
护网行动通过多维度对抗机制实现攻防闭环:
- 分级与周期:
国家级:每年7-8月启动,持续2-3周,覆盖全国核心基础设施(如电网、银行);
行业级:金融、医疗等行业内部演练周期缩短至1周,侧重业务连续性验证。
- 红蓝对抗细节:
红队攻击路径:
信息收集:利用Shodan、FOFA等工具扫描暴露资产,结合社工库获取员工邮箱密码组合;
漏洞利用:针对Web应用(如Log4j2漏洞)、中间件(如Redis未授权访问)定向突破;
权限维持:通过Cobalt Strike搭建隧道,植入Webshell或内存马。
蓝队防御策略:
实时监控:SIEM系统(如Splunk)关联分析IDS/IPS告警,区分攻击IP特征(如高频扫描的境外IP段);
应急响应:15分钟内封禁IP,隔离感染主机,并通过EDR工具(如奇安信天眼)追溯攻击链。
态势感知设备页面:
- 计分规则演进:
2021年后,蓝队需完整还原攻击链(如从钓鱼邮件到内网横向移动)才能减少扣分,且仅能通过捕获真实攻击加分。
3.各队伍的职责
红队(攻击方):
渗透专家:3人小队分工明确(信息收集、漏洞利用、痕迹清理),优先攻击“公共目标池”(如暴露在公网的OA系统);
战术创新:使用无文件攻击、DNS隐蔽隧道绕过传统防护设备。
蓝队(防守方):
分层防御体系:
网络层:通过防火墙策略限制非必要端口(如关闭445端口防永恒之蓝攻击);
主机层:部署HIDS(主机入侵检测系统)监控异常进程;
应用层:WAF规则动态拦截SQL注入、XSS攻击。
溯源能力:结合全流量分析(PCAP文件)与日志审计(Windows事件ID 4625登录失败记录)定位攻击源头。
紫队(协调与评估):
规则制定:明确禁止DDoS攻击、物理破坏等高风险行为,确保演练合规;
绩效评估:根据攻击成功率(红队)和MTTD(平均检测时间,蓝队)生成单位排名,影响年度评优。
4.为什么需要大量人员
护网行动的人力需求源于攻防复杂性与业务连续性要求:
7×24值守:攻击常集中于凌晨(如红队利用防守方换岗间隙),需三班轮换(早/中/夜班);
多技能协同:
红队:需渗透测试、代码审计(如Java反序列化漏洞挖掘)、社会工程(钓鱼邮件模板设计)复合型人才;
蓝队:依赖日志分析(ELK堆栈)、威胁情报(如MITRE ATT&CK框架)与设备运维(防火墙策略优化)团队协作;
行业特性:金融行业需同时保护核心交易系统与客户数据,需划分网络处置组(隔离感染区)、应用加固组(修复漏洞)。
5.需要具备的能力
红队核心技能:
渗透工具链:Burp Suite(Web渗透)、Metasploit(漏洞利用)、Mimikatz(内网凭据提取);
漏洞挖掘:具备CVE提交经验(如CNVD排名前100)或0day研究能力(如Windows内核漏洞);
隐蔽渗透:使用Domain Fronting技术绕过流量审查。
蓝队核心技能:
日志分析:从海量数据中提取攻击特征(如SQL注入的Union Select语句模式);
加固技术:操作系统(禁用Windows SMBv1)、数据库(MySQL权限最小化)基线配置;
应急响应:熟悉《网络安全事件应急预案》流程,能在30分钟内完成断网止损。
紫队管理能力:需精通ISO 27001标准,协调红蓝双方提交标准化报告(含攻击时间线、修复建议)。
6.能带来的个人利益和相关提升
经济收益:
初级蓝队:日薪大概800-3000元(税前),国家级护网15天收入可达1-5万元;
红队专家:日薪大概1.5-3万元,参与APT溯源项目可获额外奖金。
职业发展:
资质背书:护网经历是腾讯、奇安信等企业招聘优先条件,CISP-PTE认证通过率提升30%;
人脉积累:
通过演练接触行业顶级专家,获得内推至国家安全实验室机会。
能力认证:
参与护网后可申请加入“HW人才库”,获得国家级安全项目参与资格。
参考资料
综合自护网行动指南、实战案例及行业招聘要求。
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
