网络攻防实战演练_太原网络攻防演练

零信任落地实践方案探讨

文 华润医药商业集团有限公司智能与数字化部 孙宏鸣

零信任概念的提出，彻底颠覆了原来基于边界安全的防护模型，近年来受到了国内外网络安全业界的追捧。

所谓零信任顾名思义就是“从不信任”，那么企业是否需要摒弃原有已经建立或正在搭建的传统基于边界防护的安全模型，而向零信任安全模型进行转变呢？零信任是企业安全建设中必须经历的安全防护体系技术革新，但它必然要经历一个长期 探索 实践的过程。

一、零信任的主要安全模型分析

云计算和大数据时代，网络安全边界泛化，内外部威胁越来越大，传统的边界安全架构难以应对，零信任安全架构应运而生。作为企业，该如何选择“零信任”安全解决方案，为企业解决目前面临的安全风险？

目前“零信任”安全模型较成熟的包括安全访问服务边缘（SASE）模型和零信任边缘（ZTE）模型等。以这两种模型为例，首先要先了解目前模型的区别，探讨各自的发展趋势，再选择适合企业的落地实施方案。

对 SASE 模型，身份驱动、云架构、支撑所有边缘以及网络服务提供点（PoP）分布是其主要特征。SASE 模型扩展了身份的定义，将原有的用户、组、角色分配扩展到了设备、应用程序、服务、物联网、网络边缘位置、网络源头等，这些要素都被归纳成了身份，所有这些与网络连接相关联的服务都由身份驱动。与传统的广域网不同，SASE 不会强制将流量回传到数据中心进行检索，而是将检查引擎带到附近的 PoP 点，客户端将网络流量发到 PoP 点进行检查，并转发到互联网或骨干网转发到其他 SASE 客户端，从而消除网络回传所造成的延迟。SASE 可提供广域网和安全即服务（SECaaS），即提供所有云服务特有的功能，实现最大效率、方便地适应业务需求，并将所有功能都放置在 PoP 点上。

SASE 模型的优点在于能够提供全面、灵活、一致的安全服务 , 同时降低整体安全建设成本，整合供应商和厂家的资源，为客户提供高效的云服务。通过基于云的网络安全服务可简化 IT 基础架构，减少 IT 团队管理及运维安全产品的数量，降低后期运维的复杂性，极大地提高了工作效率。SASE 模型并利用云技术为企业优化性能、简化用户验证流程，并对未授权的数据进行保护。

SASE 模型强调网络和安全紧耦合，网络和安全同步建设，为正在准备搭建安全体系的企业提供了较为理想的路径。反之，已经搭建或正在搭建安全体系过程中的企业，如果要重构企业网络结构，是个极大的挑战，也是一笔不小的投入。所以，SASE 模型可能更适用于面对终端用户的零售行业，为这类企业提供完整的安全服务，不需要企业在每一个分支节点上搭建一整套安全体系，便于统一管理并降低建设成本。

ZTE 模型的重点在零信任。一是数据中心零信任，即资源访问的零信任，二是边缘零信任，即所有边缘的零信任访问安全。其实可以理解为SASE 模型纳入了零信任的模块，本质上是一个概念。ZTE 模型强调网络和安全解耦，先解决远程访问问题，再解决网络架构重构问题。

二、华润医药商业集团零信任的实践

华润医药商业集团有限公司（以下简称“公司”）作为华润下属的大型医药流通企业，在全国分布百余家分子公司，近千家药店，日常业务经营都离不开信息化基础支撑，所以网络安全工作尤为重要。近年来各央企在网络安全建设方面均积极响应国家号召及相关法律法规要求，完善网络安全防护能力，公司同样十分重视网络安全建设，目前同国内主流安全厂商合作，建立了以态势感知为核心，贯穿边界与终端的纵深防御体系，并通过连续两年参与攻防演练，不断提升网络安全人员专业水平，通过攻防实战进一步优化网络安全建设。

但公司在涉及云计算、大数据、物联网等技术领域时，现有的网络边界泛化给企业带来的安全风险不可控，传统的基于边界的网络安全架构和解决方案难以适应现代企业网络基础设施，而零信任能够有效帮助公司在数字化转型中解决难以解决的问题。

公司选择了 SASE（安全访问服务边缘）和ZTE（零信任边缘）两种模型并行的解决方案为企业摸索“零信任”网络安全架构推进的方向。

公司分支企业众多，几乎覆盖全国范围，存在安全管控难、处置难、安全性低、资源灵活性差等问题，并缺少整体统一的长效运营机制。基于以上问题，公司参考了 SASE 模型的解决方案，将原有的传统广域网链接数据中心的访问形式变为PoP 点广域网汇聚的网络架构方案，由统一的运营服务商提供网络链路及全面的安全服务。但并不是完全重构原有的网络架构，而是分为三类情况使用不同的方案。

第一类是改变网络安全管理方式，主要针对区域公司。 由于大部分区域公司已经搭建了相对成熟的安全体系，只将原有的传统广域网链路改为就近接入运营商 PoP 点，并将原有的双线冗余线路的备用线路使用软件定义广域网（SD-WAN）技术进行替换，并通过服务质量（QoS）机制将主营业务与办公业务进行合理切分，大大提高了网络使用效率，降低费用成本，并且可以通过统一的管理平台对广域网进行管理，统一下发配置安全策略，提高整体安全管控和处置。

第二类是逐层汇聚、分层管理，主要针对二、三级分支机构。 这类单位安全体系虽已建设，但还未达到较高的程度，通过就近接入 PoP 点或汇聚到区域公司，由运营商提供部分安全服务或由区域公司进行统一管控。

第三类主要针对零售门店及小型分支机构这类没有能力搭建安全体系的单位。 使用 SD-WAN 安全接入方案就近接入 PoP 点，由运营商提供整体的安全服务，从而降低安全建设成本并加强统一安全管控。通过 SASE 模型的管理理念对网络架构进行调整，提供全面、一致的安全服务 , 同时降低整体安全建设成本，提高工作效率。

近两年，公司办公受新冠疫情的影响，员工居家办公成为常态化。作为虚拟专用网络（VPN）产品的使用“大户”，公司原有的 VPN 账户众多 ,传统 VPN 在使用过程中已经难以满足当前业务的需求，一些问题逐渐暴露，经常出现不同程度的安全风险。传统 VPN 架构存在很多问题，如权限基于角色固定分配，不够灵活，在业务生成中及重保等特殊时期，粗放的权限管控无法达到对不同角色的业务人员及非法人员的访问控制。业务端口暴露在公网，本身即存在账号冒用、恶意扫描、口令爆破等安全隐患。公司总部负责 VPN 业务运维，涉及下级单位 VPN 问题均需要总部人员处理，诸如找回账号密码等细微而繁琐的问题占用了总部人员大量时间和精力。不同终端、浏览器对于传统 VPN 客户端的兼容性不同，兼容性问题也是经常被员工吐槽的地方。在 VPN 使用中，基于互联网的加密访问经常因为网络原因出现业务卡顿甚至掉线问题。

为此，公司参考了 ZTE 模型的解决方案，首先解决远程访问问题。公司于 2021 年进行了零信任安全建设试点，以零信任理念为指导，结合深信服软件定义边界（SDP）架构的零信任产品，构建了覆盖全国办公人员的零信任远程办公平台。

SDP 架构的零信任产品，对访问连接进行先认证、再连接，拒绝一切非法连接请求，有效缩小暴露面，避免业务被扫描探测以及应用层分布式拒绝服务攻击（DDoS）。通过单包认证（SPA）授权安全机制实现业务隐身、服务隐身，保护办公业务及设备自身。对于没有安装专有客户端的电脑，服务器不会响应来自任何客户端的任何连接，无法打开认证界面及无法访问任何接口。具备自适应身份认证策略，异常用户在异常网络、异常时间、新设备访问重要敏感应用或数据时，零信任平台强制要求用户进行二次认证、应用增强认证，确保用户身份的可靠性。

零信任的试点应用，提升了公司的网络安全性，简化了运维。但基于公司现状及规划，试点工作还需进一步同厂商进行下一步的工作落地和 探索 。在使用体验优化方面，由于 SDP 架构的数据转发链更多，零信任与 VPN 使用流畅度上差异不大，在用户使用体验方面需要进一步优化。零信任安全体系需要全面支持互联网协议第 6 版（IPV6），依据相关政策要求，需要进行 IPV6 业务改造，通过零信任对外发布的业务将优先进行改造。零信任安全体系需要支持内部即时通讯，将零信任产品进一步同公司现有办公平台进行对接，实现身份、业务的统一管理，实现单点登录。公司零信任安全体系建设的下一步工作，是将公司现有安全体系建设进一步与零信任产品体系打通，实现数据互通，进一步提高管理信息化中的安全可靠性。

三、结语

零信任安全架构对传统的边界安全架构模式重新进行了评估和审视，并对安全架构给出了新的建设思路。但零信任不是某一个产品，而是一种新的安全架构理念，在具体实践上，不是仅在企业网络边界上进行访问控制，而是应对企业的所有网络边缘、身份之间的所有访问请求进行更细化的动态访问控制，从而真正实现“从不信任，始终验证”。

（本文刊登于《中国信息安全》杂志2022年第2期）

攻防演习对等级保护的意义？

《网络安全等级保护条例》征求意见稿第四条：网络安全等级保护工作应当按照突出重点、主动防御、综合防控的原则，建立健全网络安全防护体系，重点保护涉及国家安全、国计民生、社会公共利益的网络的基础设施安全、运行安全和数据安全。

网络安全等级保护基本要求提出针对等级保护对象特点网络运营者需建立安全技术和安全管理体系，并构建相应安全防护等级的网络安全防御体系。

在攻防演习备战阶段，参演单位需对已有信息资产进行识别、分析网络架构及进行安全风险（威胁）识别；同时需成立攻防小组，制定针对性的攻防演练应急预案，并参考网络安全等级保护要求建立安全防御体系。

网络安全大赛真的有吗

1、什么是网络安全大赛

网络安全大赛，又叫CTF（Capture The Flag），中文一般译作夺旗赛，在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。网络安全大赛有许多比赛形式，比如解题模式、攻防模式、混合模式。

2、网络安全大赛的起源发展

CTF起源于1996年DEFCON全们通过互相发起真实攻击进行技术比拼的方式。发展至今，已经成为全球范围网络安全圈流行的竞赛形式，2013年全球举办了超过五十场国际性CTF赛事。而DEFCON作为CTF赛制的发源地，DEFCON CTF也成为了目前全球最高技术水平和影响力的CTF竞赛，类似于CTF赛场中的“世界杯”，通过这个比赛可以进行较量 。

3、重要级网络安全赛事

下面就列举一些重要国际CTF赛事：

DEFCON CTF：CTF赛事中的“世界杯”，这也是CTF比赛体系得发源地。

UCSB iCTF：来自UCSB的面向世界高校的CTF。

Codegate CTF：韩国首尔“大奖赛”，冠军奖金3000万韩元。

XXC3 CTF：欧洲历史最悠久CCC黑客大会举办的CTF。

EBCTF：荷兰老牌强队Eindbazen组织的在线解题赛。

RwthCTF：由德国0ldEur0pe组织的在线攻防赛

RuCTF：由俄罗斯Hackerdom组织，解题模式资格赛面向全球参赛，解题攻防混合模式的决赛面向俄罗斯队伍的国家级竞赛 。

4、外知名战队

PPP – 来自美国的超神明星战队，队员有Geohot神奇小子和Ricky两位国际最高水平黑客作为双子领军，2014年PPP包揽了GitS和CodeGate冠军，CTFTIME全球排名仅次于Dragon Sector排名第二，Geohot神奇小子的单人队tomcr00se（没错，他就自称网络空间的汤姆克鲁斯）在大满贯赛Boston Key Party和大奖赛Secuinside，击败其他多人战队拔得头筹。由Geohot神奇小子加盟2013年DEFCON CTF总决赛冠军阵容，PPP战队再度卫冕2014年总决赛冠军。

Blue-Lotus –的安全宝·蓝莲花战队。2013年历史性地作为华人世界首次入围DEFCON CTF总决赛的队伍，并在决赛获得第11名。

今年我国首届国家网络安全宣传周的主题是什么

国家网络安全宣传周的主题是“网络安全为人民，网络安全靠人民”。

2020年国家网络安全宣传周将于2020年9月14-20日郑州举行，2020年国家网络安全宣传周的主要活动包括开幕式、网络安全博览会、网络安全技术高峰论坛等。

其中，网络安全博览会是网络安全领域重大成就、最新产品和技术成果的展示体验平台，100余家网络安全和互联网企业参展。博览会还首次设置了3000平方米的互动体验专区，通过虚拟现实、增强现实和人工智能等新技术手段吸引广大群众深度参与。

网络安全宣传周还将举办校园日、电信日、法治日、金融日、青少年日、个人信息保护日等系列主题日活动，并公布网络安全优秀教师奖获奖名单和第二批一流网络安全学院建设示范项目高校名单。

扩展资料：

9月16日上午，泉州市2020年国家网络安全宣传周开幕式在泉州师范学院举办。中共泉州市委网信办联合泉州师范学院、市委宣传部、机关工委、文明办、密码局和市教育、

公安、工信、通管办、数字办、文旅、工会、共青团、妇联、人行等单位，于9月16日至9月22日，开展2020年国家网络安全宣传周活动。

本次活动旨在宣传网络安全法律法规，推进网络安全知识技能普及，整体提升全社会网络安全意识和水平。

活动内容包括开幕式、网络安全与密码应用研究论坛，“网络强国及网络安全知识”答题学习活动，网络安全、网络文明“下基层”宣传，主题日活动，网络安全主题宣传，网络安全知识培训，网络安全攻防演练等。

参考资料来源：百度百科-国家网络安全宣传周

360政企安全工作稳定吗

稳定。360政企安全工作主要检验目标安全防护、应急处置和指挥调度能力，提高企业综合防御能力。为网络攻防演练和网络新技术评测提供重要基础设施，支撑网络空间安全、网络人才培养、网络武器试验等，360政企安全工作环境优美，工作氛围好，并且薪资在8000-20000不等是非常稳定的。

【单选题】全面网络安全意识培训,提高网络安全意识一般是针对哪些人员开展的?

【单选题】全面网络安全意识培训，提高网络安全意识一般是针对政府部门网络和信息系统的用户人员开展的。

在开展全民网络安全教育的过程中，需要根据实际情况对受众人群进行细分，对一般人员和专业技术人员进行不同层次的教育培训。一般人员只是政府部门网络和信息系统的用户，对他们的教育培训要求能够明白网络安全责任，具有网络安全基础知识，自觉地抵制网络安全威胁，做到不设置弱口令、不打开不明邮件、不访问不良网站等安全规范要求。专业技术人员是网络安全的管理和维护者，他们除了掌握常规的技术本领外，还应该进行专业的网络安全技能培训，学习了解云计算安全、移动App安全、大数据安全等最新知识，参与到网络攻防演练的实践中去，并在单位中把网络安全技能知识落到实处，推动本单位各项网络安全工作的开展，提高单位整体网络安全防护水平。