HVV-Learning-001-初步了解网络安全攻防演练背景

程序员小强_

已于 2024-01-19 14:17:35 修改

阅读量193

点赞数

文章标签： web安全安全

于 2023-07-25 10:10:41 首次发布

本文链接：https://blog.csdn.net/dzqxwzoe/article/details/131911550

版权

HVV-Learning-001-初步了解网络安全攻防演练背景

0、前言

以前也时不时会在freebuf上看文章，但是一直没发过。忽然发现freebuf可以自由投稿。先把以前在 同名公众号（非典型产品经理笔记）
上写的原创内容，挑一部分发一下。

后续新内容会考虑同步在freebuf上发送。

本系列当前共14篇 。

1、什么是网络安全攻防演练

网络安全攻防演练 是以获取指定目标系统（标靶系统）的管理权限为目标的攻防演练，由攻防领域经验丰富的红队专家组成攻击队，
在保障业务系统稳定运行的前提下 ，采用“不限攻击路径，不限制攻击手段”的贴合实战方式，而形成的“有组织”的网络攻击行动。

攻防演练通常是在真实环境下对参演单位目标系统进行可控、可审计的网络安全实战攻击，通过演练检验参演单位的安全防护和应急处置能力，提高网络安全的综合防控能力。

2、网络安全攻防演练的来源

2016 年 11 月 7 日，《中华人民共和国网络安全法》在第十二届全国人民代表大会常务委员会第二十四次会议通过，并于 2017 年 6 月 1
日正式实施。可见： http://www.gov.cn/xinwen/2016-11/07/content_5129723.htm

《网络安全法》 第三十四条、第三十九条、第五十三条 ，都有涉及“演练”的条款，包括有：

“关键信息基础设施的运营者应制定网络安全事件应急预案，并定期进行演练”
“国家网信部门应当统筹协调有关部门定期组织关键信息基础设施的运营者进行网络安全应急演练，提高应对网络安全事件的水平和协同配合能力”
“负责关键信息基础设施安全保护工作的部门应当制定本行业、本领域的网络安全事件应急预案，并定期组织演练”。

总体来说，网络安全攻防演练，是国家层面为了维护网络空间主(敏)权(感)和国家安全，依法推动多层面开展的实战攻防演练活动。
它类似于军事演习，能够有效校验网络攻防能力、发现网络安全问题、提升网络安全防护和应急响应能力的活动 。

关联信息 ：美国也非常重视攻防演练，美 国版的网络安全攻防演练，叫作“网络风暴”（Cyber Storm）
，是美国政府主导的全方位的大规模网络安全演习，由美国国土安全部（DHS）举办，起始时间是 2006 年，并 一直以接近两年一次的频率在美国本土举行
，最近一次“网络风暴”在 2020 年 8 月份完成举办。

3、网络安全攻防演练的主要分类

3.1、国家级攻防演练

最高级别的攻防演练，是 国家级攻防演练 ，规格最高， 参与的攻击队最多、有影响力的演练单位最全 ，攻击队通常会出全力，在其中使用的 0day
级漏洞数量也最多。

国家级攻防演练，通常在每年的 7-8 月份。其中 2021 年例外，由于建党 100 周年，所以时间放在了 4 月份。演练时长一般持续为 2~3
周，各攻击队（也称为红队）默认都到北京去实地参演，所有的攻击过程都通过录屏、流量抓取等方式进行记录，可审计、可复盘。

3.2、省市级、行业攻防演练

除了国家级外，部分省、市也会举办攻防演练；同时，部分对网络安全要求较高的行业，比如说金融、能源行业也会主动举办行业性的攻防演练。

4、网络安全攻防演练的活动形式

攻防演练的核心机制如下：

1、 红蓝对抗 ：划分为红队（攻击队）、蓝队（防守队），进行红蓝对抗（攻防对抗）。

1)、 蓝队来源 ：每个参演单位，都需要组织蓝队进行防守，是为防守队。

2)、 红队来源 ：由主办方召集，比如说国家级攻防演练，则有大量国家队（网安等专门的安全队伍），也有大量民间队（主要来自于各网络安全类厂商）参与。

2、 红蓝背靠背 ：从 2018 年开始，红蓝采取“背靠背”方式进行对抗。

1)、 不事先排练、不提前确认攻击方
：事先不排练。且防守方提前不知道是谁在攻击自己，是活动开始时，才分配一批名单给攻击方，由红队自行决定自己的实际攻击目标、攻击顺序。

2)、 不限制攻击时间段、攻击路径、攻击手段 ：红队原则上可以不限时间段(在演练的 2-3 周内，可以全天 24
小时攻击）、不限攻击路径、不限攻击手段，最大程度模拟攻防实战。当然实际上，要考虑“ 保障业务系统稳定运行
”这个前提，所以拒绝服务类攻击是不允许的（会导致目标系统停止服务）。

3、 红蓝计分机制 ：针对蓝队，有初始分数 10000
分。一旦被红队攻击成功，则根据攻击效果的不同，给蓝队扣除相应的分数，为红队增加相应分数。蓝队则通过及时发现、及时处置和还原攻击链、锁定攻击者、反制攻击方等方式，减免部分扣分（或加分）。

5、网络安全攻防演练的历史阶段

攻防演练从 2016 年开始，参演单位覆盖范围逐步变大，攻防手段、评估标准也不断提升。

2016 年 - 摸排检查 ：主要是民航局、国家电网，靶标通常是内网系统，攻防要求也不够明确，存在演练期间拔网线等“骚”操作，演练效果较难体现。

2017 年 - 摸排检查 ：相比 16 年，主要增加了政府单位。本次攻防演练重点模拟了门户网站、重要信息系统被攻击的情况。
这些门户网站、重点系统默认不允许关闭，虽然在攻击过程中仍会有部分短期拔网线的情况，但整体还是对外暴露，在演练过程中发现了较多问题，有效提升了 WEB
防护能力建设。

2018 年 - 实战对抗 ：在政府、能源、航空的基础上，增加了更多企事业单位和其他重点单位，如税务、铁总、卫健委等。2018
年开始，背靠背机制进一步明确，不提前确认攻击方、不限制攻击时间段、路径和手段，开始实现真正意义上的网络攻防实战对抗。安全纵深防护体系得到重视，逐步建设，包括：抗
D、WAF、漏洞扫描、渗透测试、主机安全、态势感知、数据库审计、堡垒机等。

2019 年 - 实战对抗 ：2019 年涉及范围更广，工信、安全、武警、交通、铁路、民航、能源、新闻广电、电信运营商等超过 120
家目标单位，本年度攻防对抗激烈化，社会工程学，新型免杀木马、0day 武器等成为常态。

2020 年 - 实战对抗 ：有小金融城商行、证券保险、水利、生态环境、自然资源、统计、电网、能源、运营商等 150
余家目标单位参演。各攻击队开始会提前重点储备 0day 漏洞，在攻防演练期间作为武器利用，攻防手段也激烈化。

2021 年 - 构建体系 ：各大部委、央企、运营商、金融、医疗、党建关基等 200 多家单位能演。在本年度，钓鱼和 0day
仍然是最主流的突破手段，同时，由于防守能力的提升，所以对于攻击隐匿手段（隐藏自身）的方法也进一步增强。并且，从评判规则上也有较大调整。

对攻击方 ：

1)、需要绘制攻击树，描绘清楚攻击路径，才能得分

2)、鼓励提交 0day 漏洞（有加分）

3)、缩短攻击时长，每 5 天更换攻击目标，到最后几天甚至每天更换目标

对防守方 ：

1)、综合考核 6 大安全能力 ：从过往单纯考核防护检测能力，转为考核单位的检测发现、分析研判、应急处置、通报预警、协同联动、追踪溯源（6
大方面、24 个子项），基于 6 大项进行加权评分。

2)、鼓励精准溯源、精准处置 ：只有攻击成功的事件，溯源成功(和红队的攻击树一致）才给加分

接下来我将给各位同学划分一张学习计划表！

学习计划

那么问题又来了，作为萌新小白，我应该先学什么，再学什么？
既然你都问的这么直白了，我就告诉你，零基础应该从什么开始学起：

阶段一：初级网络安全工程师

接下来我将给大家安排一个为期1个月的网络安全初级计划，当你学完后，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web渗透、安全服务、安全分析等岗位；其中，如果你等保模块学的好，还可以从事等保工程师。

综合薪资区间6k~15k

1、网络安全理论知识（2天）
①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（1周）
①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（1周）
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（1周）
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

那么，到此为止，已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗？

阶段二：中级or高级网络安全工程师（看自己能力）

综合薪资区间15k~30k

7、脚本编程学习（4周）
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力。

零基础入门的同学，我建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习
搭建开发环境和选择IDE，PHP环境推荐Wamp和XAMPP，IDE强烈推荐Sublime；

Python编程学习，学习内容包含：语法、正则、文件、网络、多线程等常用库，推荐《Python核心编程》，没必要看完

用Python编写漏洞的exp,然后写一个简单的网络爬虫

PHP基本语法学习并书写一个简单的博客系统

熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)

了解Bootstrap的布局或者CSS。