侯天福

（甘肃省景泰川电力提灌管理局，甘肃 景泰 730400）

0 引言

2017年6月1日起，《中华人民共和国网络安全法》正式实施，将网络与信息安全提升到一个新的高度。近年来，习总书记在不同场合多次谈到了要加快建设网络强国，而网络安全是建设网络强国的重要内容；为此，国家在多个领域举办网络安全攻防演练，旨在检验和提高网络安全防护能力，达到以演练促整改、以演练堵漏洞、以演练防风险的目的[1]。本文通过深入总结网络安全攻防演练中防守单位存在的共性问题并分析问题产生的原因，以问题为导向提出解决措施，希望引起大家的重视，为网络安全运维人员提供参考和借鉴。

1 网络攻防演练的背景和现实意义

网络安全和信息化事关党的长期执政，事关国家长治久安，事关经济社会发展和人民群众福祉。党中央、国务院高度重视网络安全和信息化。今年是中国共产党建党100周年，也是“十四五”开局和全面建设社会主义现代化国家新征程开启之年，为切实做好网络与信息安全工作，近期，部门和行业多次举行了网络安全演练，目的就是以攻促防，给各个单位的网络安全集中进行一次“体检”，深刻暴露出网络安全存在的问题，加强本单位网络安全防护能力和应急处置能力，提升联防联控能力，最终通过网络安全演练，有效提升广大干部职工的网络安全意识，促进网络安全体系整体优化[2]。

2 网络攻防演练存在的共性问题

现阶段，网络安全问题逐渐得到了各级领导的重视，加强网络安全建设成为了有关部门的年度重点工作。以往，在维护网络安全时，我们大都是出现问题后采取防御措施，但是时间上已经滞后，随着现在信息技术的不断发展，要求我们变被动为主动，而网络安全攻防演练的应用，正是基于实战模拟，让本单位的网络安全维护人员以主动形式找到网络安全存在的漏洞，切实预防了网络安全风险。通过参与近几次的网络安全攻防演练，我总结了以下网络安全存在的共性问题。

2.1 云平台、大数据中心网络安全问题频发，网络风险隐患巨大

近年来，云计算、大数据技术成为发展的热门，各单位也竞相建立自己的云平台、大数据中心，但是却忽略了给云平台、大数据中心建立有效的网络安全防御体系或措施，因云平台、大数据中心业务和数据集中，成为重点被攻击的对象。根据CNCERT监测数据，2019年上半年，发生在我国云平台上的网络安全事件或威胁情况相比2018年进一步加剧。首先，发生在我国主流云平台上的各类网络安全事件数量占比仍然较高，其中云平台上遭受DDoS攻击次数占境内目标被攻击次数的69.6%。其次，攻击者经常利用我国云平台发起网络攻击，其中利用云平台发起对我国境内目标的DDoS攻击次数占监测发现的DDoS攻击总次数的78.8%。另外，自2019年以来，CNCERT监测发现，存在隐患的数据库搭建在云服务商平台上的数量占比超过40%。因此云平台、大数据中心网络威胁加剧，高危漏洞和数据泄露风险严峻[3]。

2.2 基层单位网络安全防护措施薄弱

一是安全防范意识淡薄。不少基层干部认为，单位是内网，而且内网有专门的管理机构和人员，终端都安装了防火墙和杀毒软件，安全不会有问题，但是实际存在以下问题：（1）电脑终端不设置口令或者是弱口令；（2）电脑终端防火墙关闭；（3）随意设定共享目录，文件外泄风险大；（4）不及时更新杀毒软件病毒库甚至卸载杀毒软件；（5）U盘随意在内外网电脑终端插拔，容易引起电脑中毒；二是网络安全设备缺乏。目前机关单位或上级单位大都配置了防火墙，但是基层单位很少配置防火墙。三是基层的网络安全防护力量薄弱，大多数基层单位未配备专业技术人员，或是配备了但是一人多岗，不能做到网络安全的全天候监控，不能对非法入侵进行实时监测。

2.3 企业内网网络安全防护能力不足

小微企业和初创企业因面临资金压力，在企业内网网络安全建设上投入较少，不仅面临网络安全设备缺乏而且缺乏网络安全管理专业维护力量，不能形成基本的网络安全防护能力，成为网络安全风险高发区域。

2.4 重点行业单位无工控安全审计系统和无精细化管理

超过80%涉及国计民生的关键基础设施依靠工业控制系统来实现自动化作业。工业控制系统已经成为国家关键基础设施的重要组成部分，随着工业信息化快速发展，工业化与信息化的融合趋势越来越明显，工控系统的开放也给工控系统带来一系列安全威胁，工控系统存在大量用户误操作、用户违规操作、非法设备接入行为，缺乏有效手段对攻击及违规操作进行检测。现有的工业控制系统缺乏对用户操作、网络行为的审计措施，导致安全事故分析取证困难。工控系统资产复杂、设备种类繁多、运行时间久、资产不清楚。传统的网络安全检查手段与检测设备通常采用模拟攻击的主动扫描方式进行，这种方式对工控网络有巨大风险，在某些工业网络环境下等同于网络攻击，可能导致工控设备宕机、工控通信延迟等生产性事故，对能源、公共事业、电力等行业而言是绝不允许的，因此部署工控安全审计系统是必需的，安装后可以发现工业网络内部的潜在安全风险，及时通知用户采取安全措施，加强工业控制系统的安全防护和实现精细化管理[4]。

2.5 敏感信息泄露

近年来，针对消费者个人信息“窃取”、“非法使用”的黑色产业链呈现出低成本、高技术、高回报的暴发式增长态势，消费者因个人信息泄露导致的损失数目惊人。同样单位重要信息泄露事件也频频发生，进一步对信息泄露的原因进行分析，可以发现，主要原因为对信息安全的重视程度不能够适应科技的快速变革及发展。随着近年来科技的发展，特别是移动互联网得到了长足的发展，基本上可以做到一个手机解决所有事情，但是便利的同时，安全性并未得到同样的提升，而是增加了数据泄露的途径，降低了不法分子获取敏感数据的难度，进而导致了个人信息的非授权的使用和泄露。

2.6 网络资产和边界不清

家底不清，资产不明，不是技术问题，而是管理的问题。很多单位因业务量不断增多，随之网络设备也越来越多，但是网络设备台账确没有建立起来或者是没有建立起有效的网络设备台账。作为负责单位网络安全的管理人员必须明白资产始终是安全管理的基石，伴随攻防演习的常态化，应当构建和完善资产安全运营。否则，当发生真正的网络安全事件时都不知道问题出在哪里，通过哪台设备被入侵，网络安全运维人员只有资产清才能做到心中有数。

2.7 发现网络安全问题处置能力不足

单位的网络安全运维人员涉及专业知识程度高，而且要有一定的经验。近年来，国家面临的网络安全形势还很严峻，各专业院校也积极响应国家号召，设置了网络安全方面的专业，但是网络安全从上到下都要有专业人员进行负责，在县级城市的网络安全专业毕业生少之又少，这就导致了负责本单位网络安全的人员都不是专业人员，在发生网络安全入侵事件时，无能力及时进行应对。

2.8 网络安全漏洞、弱口令长期存在

一是通过近年来多次的网络攻防演练发现，部分单位一些业务系统长期存在弱口令漏洞，攻击队伍利用此漏洞很快就控制了该业务系统，甚至被通报后，一些单位还没有及时整改，再次攻防演练时又被发现弱口令漏洞；二是业务服务器存在系统漏洞，管理人员未对该业务服务器进行有效的维护升级，导致业务服务器网络安全漏洞长期存在，被攻击队伍利用进而控制了整个业务系统。

3 如何加强网络安全

3.1 加强组织管理

一是建立本单位的网络安全组织机构，统筹解决本单位网络安全和信息化工作中出现的重大问题；督促推动网络安全的建设规划、政策及顶层设计的落实，组织落实并制定网络安全相关管理制度和网络安全技术防护措施，为网络安全工作的开展提供保障；二是建立行之有效的网络安全管理制度，强化网络安全运维人员的责任意识；三是建立本单位的网络安全应急预案，不断完善和加强预案演练，最终实现网络安全体系的整体优化[5]。

3.2 加强技术防护

一方面根据本单位的网络架构体系，及时购买必要的网络安全设备，变被动防御为主动防御，同时加强对防火墙、网络入侵与检测、漏洞扫描、上网行为管理等网络安全设备的日常监管和应用，不要重建设而轻管理。另一方面网络安全运维人员要定期做好网络安全设备的升级与维护，及时更新病毒库，提高网络安全防护水平。

3.3 加强职工网络安全教育培训

单位的网络安全与职工的上网行为有着密切的关系，应对广大职工进行网络安全教育培训，这是最直接有效的方法，积极引导单位职工文明上网，安全上网，加强用户终端的密码设置，不随意在电脑上插拔优盘和点击不明链接，同时应加强对单位网络安全运维人员的技术培训，提高其网络安全的防护水平。

4 结语

网络安全已经成为人们不能忽视的重大问题。而保护好网络安全是一项长久、复杂而又艰巨的任务。面对各种各样的网络攻击，政府要出台相关法律法规保护的同时，单位负责人也要充分认识到网络安全的重要性，切实加强本单位的网络安全组织管理，从被动防御向主动防御模式转变，及时购买必要的网络安全设备，组织网络安全运维人员摸清网络设备资产，充分利用网络安全设备加强日常防护管理，有效建立起本单位的网络安全防护体系。此外要加强对本单位职工的网络安全教育普及，形成良好的上网行为习惯，加强保密管理，进一步建立单位职工的网络安全意识。