网络安全防御体系主要包括哪些具体方法_网络安全 闭环安全防护体系

近几年的攻防演练显示，攻击方的手段越来越隐蔽，经常通过 0Day、NDay 漏洞快速侵入靶标系统并取得控制权限。这种隐蔽性的攻击给防守方的工作带来了很大的难题。与攻击方尽量隐蔽痕迹、防止被发现的意图相反，防守方需要尽早发现攻击痕迹，并通过分析攻击痕迹，调整防守策略、溯源攻击路径甚至对可疑攻击源进行反制，而建立全方位的安全监控体系是防守方最有力的防卫武器

网络安全监测介绍

网络安全监控是持续观察用户网络中所发生事情的过程，目的在于监测潜在的网络威胁和及早发现系统被入侵的风险。安全监控可以理解为网络安全界的“吹哨人”，它在检测到网络攻击时发出报警，并在造成严重损害之前帮助用户做出响应，及时检测和管理潜在威胁，有助于保护用户的业务应用程序、数据以及整个网络
安全监控的工作通常需要包括以下几个方面：

• 收集和分析数据以识别网络变化或异常行为- 利用威胁情报来识别最新的风险- 确定需要注意的特定行为类型- 在威胁成为安全事件之前采取行动- 生成详细的网络安全报告
  网络攻防演练中，监控工作主要由安全监控和应急处置小组完成。他们一般将监控重点放在三个端上：网络端、服务器端和个人终端
  **网络监控。**当攻击者通过网络发动攻击，就会产生网络流量。防守方通过对企业外部与内部间的所有流量进行监控和分析，结合安全人员的深入分析，可快速发现攻击行为，并提前做好针对性防守准备
  主机监控。 通过在每台主机（服务器）上安装代理（Agent）来进行对操作系统层面的日志监控，日志信息是帮助蓝队分析攻击路径的一种有效手段。蓝队通过分析用户系统的行为和配置状态，并结合网络全流量监控措施，从而准确、快速地找到攻击者真实目标主机。终端监控。 除了网络与主机以外，对终端的监控同样必不可少。红队很容易从终端发起攻击，然后逐步渗透到核心服务器。因此，持续监控终端的日志和行为也是安全监控的重点之一。
  安全监控不是攻防演练的目的，它只是蓝队进行安全防护的手段之一。安全监控应该覆盖攻防演练的全流程，除了流量和日志，防守方通常还会安排专门的安全人员对互联网上新披露的漏洞进行持续监控，防止其成为红队的入侵点。

安全监控有哪些作用

不同于传统的渗透测试，攻防演练中红队完全按照攻击者的思维，发起高强度、高水平的网络攻击，专注于攻击和暴露网络安全漏洞。因此，对蓝队来说，监控是能够及时发现攻击的至关重要的一步。虽然预防性安全技术能够应对已知的基于签名的威胁，但蓝队仍需要网络安全监控来识别更复杂的威胁，它可以帮助蓝队：

缩短响应攻击的时间

网络攻击可能会在最意想不到的时候发生，用户必须在检测到威胁后立即进行控制和补救。持续的网络安全监控可以让用户在攻击造成广泛破坏之前做出响应。

检测到新的未知威胁

由于网络安全形势在不断变化，新型攻击层出不穷。因此，防守方不能仅仅依赖于对已知威胁的特征值来进行安全防护，他们需要基于对流量、主机上异常行为痕迹等监控来发现新的未知威胁，例如 0day 攻击。

限制红队攻击造成的损害

在攻防演练中，攻击方往往通过某一漏洞进入内网，继而横向移动，最终拿下靶标系统。这种情况下，通过网络安全监控，用户可以及时发现并阻止攻击者在内网的移动。安全监控会自动检测用户网络中的任何异常活动，并阻止它威胁蔓延到其他区域造成广泛破坏。

攻防演练-网络安全风险收敛和安全加固具体操作流程

通过攻防演习，参演单位能够充分检验自身的安全防护、攻击监测和应急处置能力。参演单位作为防守方，面对“隐蔽”的网络攻击，只有了解攻击方是如何开展攻击的，才能根据攻击特点建立完善的安全防护体系，有效抵御网络攻击。那么从防守方的角度来看，在网络安全攻防演练中应该采取哪些措施提升安全防护水平呢？

风险收敛加固是攻防演练前序阶段最重要的环节之一

在攻防演练中，前期的准备工作包括安全团队组建、演练流程制定，以及未知资产排查、安全设备 0day 排查、系统漏洞排查、系统弱口令排查、系统配置缺陷排查、内网集权系统排查、协助安全加固等技术性工作，我们可以把这些技术性工作概括为风险收敛与安全加固两个方向。
风险收敛与安全加固服务作为攻防演练前序阶段最重要的环节之一，聚焦于安全的多维度精细化提升，从而收敛自身攻击面，满足企业对于前期内外网资产风险测评、安全意识提升、风险事件精准捕获、防御范围最大化等多种类安全需求，全方位巩固安全防线，增强防御效果。

如何进行风险收敛加固

对攻防演练的防守方来说，可以从资产评估、安全策略检查、安全防线加固三个方面实现风险收敛与安全加固，做好攻防演练前期风险管理。

资产评估

大多数情况下，蓝队对于自己的资产情况把控不够，导致部分资产未能纳入有效监测、防护范围，形成了防护薄弱点。红队在发起进攻前，会先收集这些薄弱点，并以此为跳板攻入企业关键系统。所以，提前对资产进行评估，及时关闭“老旧”、“无主”、“无用”资产，收敛对外暴露的攻击面变得尤为重要。
公网资产评估：通过收集企业暴露在公网的资产信息和敏感信息，分析存在的未知公网资产、以及业务系统源码、账号密码暴露等安全风险，协助企业在攻击者发起信息收集前收敛外部攻击面，提升企业对自身资产的掌握程度以及应对突发安全事件的能力。
内网资产评估：从内网安全维度对主机安全产品核心功能模块的检测结果进行详细分析，从而发现操作系统、业务系统存在的风险隐患，为客户解读并持续跟进风险整改期间各类技术问题，协助企业提升操作系统、业务系统本身的健壮性，进而提高内网横向攻击门槛。

安全策略检查

安全策略可以简单理解为一组用于保护网络安全的既定规则。其目的在于控制进出网络的访问行为，保护特定网络免受攻击，同时保障网络之间的合法通信。安全人员可以结合业务需求在系统中配置合适的安全策略，对通过设备的数据流进行检验，放行符合安全策略的合法流量，阻断非法流量，实现访问控制，保证网络安全。
传统的安全策略与业务的结合度不高，难以进行高细粒度的安全分析。在攻防演练中高强度的攻击下，很容易出现策略的检测盲区，进而导致被攻破的局面。因此，在攻防演练前期对安全策略的检查、优化非常重要

安全防线加固

安全加固和优化是实现网络安全的关键环节。通过安全加固，可以在安全系统的网络层、主机层、软件层及应用层等不同范围建立起符合安全需求的安全状态，并基于此实现对企业组织安全系统的保护
安全加固是配置软件系统的过程，针对服务器操作系统、数据库及应用中间件等软件系统，通过各种不同的方法修复可能被攻击者利用的漏洞，加强系统安全配置，增加攻击者入侵的难度，提升安全防范水平。它与攻击面收敛、漏洞修复、安全策略优化及等工作形成了完整的风险管理闭环。

风险收敛加固面临的挑战

攻防演练中，企业在提升蓝队安全防护水平的主要方法之一是缩小攻击面、加固原有脆弱点。但这件事说起来容易做起来难，安全人员在试图进行风险收敛加固时，常常会面临以下挑战：
网络不具备可见性。 软件漏洞和网络盲点是常见的安全挑战。随着攻击面的扩大，减少这些漏洞和盲点需要洞察和控制所有流量，以及监控未经授权的设备或请求网络访问的用户的能力。但大部分网络活动或资产处于“隐藏”的状态，安全人员难以实现即时可见。
**网络环境复杂。**随着云环境、虚拟机、容器等新名词的涌现，网络安全面临的局面越来越复杂，风险收敛加固同样无法实现“一招鲜吃遍天”，安全人员必须针对保护对象的特质制定个性化防护策略，这对有限的安全防护资源与技术人员来说，都是巨大的压力。
难以进行集中策略管理。 当今的企业网络高度分散，网络攻击发生的概率大幅度提升。企业需要通过分层访问和策略控制功能来实现集中统一管理所有用户、设备和网络的网络访问策略，以更好地保护网络。
**难以实现主机间的隔离。**网络攻击隐藏的时间越长，造成的伤害就越大。一旦攻击者通过网络入口，他就会在受信任区域内横向移动以避免被发现，并在整个企业范围内传播以危及数据和系统。企业需要通过主机间的隔离将网络划分为多个区域以防止横向移动来降低这种风险。

参考文档

GB/T 24363-2009 信息安全技术 信息安全应急响应计划规范