护网行动与红蓝对抗技术详解
一、什么是护网行动
护网行动(HW)是由公安部牵头组织的全国性网络安全攻防演练活动,旨在评估企事业单位的网络安全防护能力。该行动通过模拟真实网络攻击场景,检验防守方的监测、预警、处置及恢复能力。
具体实践中,公安部组织专业的攻击方(红队)在特定周期内对防守方(蓝队)发动网络攻击,检测并挖掘防守方存在的安全漏洞。通过与进攻方的实战对抗,企事业单位的网络、系统以及设备等安全能力得到实质性提升。
'护网行动'是国家应对网络安全问题的重要布局之一。自 2016 年启动以来,随着我国对网络安全的重视程度不断提高,参与单位不断扩大,涉及行业从政府机构延伸至金融、能源、通信等关键基础设施领域。网络安全对抗演练越来越贴近实际情况,各机构对待网络安全需求也从被动合规构建,升级为业务保障刚需。
二、护网分类
护网行动通常按照行政级别和覆盖范围进行分类:
- 国家级护网:由中央网信办或公安部统一组织,参与单位多为央企、大型金融机构、核心互联网企业等。
- 省级/市级护网:由地方网信部门或公安部门组织,覆盖省内或市内重点单位。
- 行业护网:针对特定行业的高安全要求展开,如金融行业护网、电力行业护网等,规则更为严格。
三、护网的时间安排
不同级别的护网开始时间和持续时间有所不同,但通常遵循以下规律:
- 国家级护网:一般在每年 7 月至 8 月左右开始,持续时间为 2~3 周。部分年份会根据国家重大活动安排调整时间。
- 省级护网:持续时间通常在 2 周左右。
- 市级护网:持续时间约 1 周左右。
值得注意的是,特殊年份(如 2021 年)可能会因政策调整提前完成所有安全工作,例如将原定于下半年的护网提前至 4 月完成。因此,各单位需密切关注官方通知,做好全年常态化安全防护准备。
四、护网的影响与后果
护网行动由政府主导,会对所参与的单位进行排名和通报。其影响深远且严肃:
- 绩效考核:在护网中表现不佳的单位,未来评优评先、项目审批等工作都会受到影响。
- 政治责任:护网结果与政治责任挂钩。一旦参与护网的企业、单位的网络被攻击者打穿(即发生严重安全事故),相关领导可能面临撤职处分。
- 典型案例:曾有金融证券单位在网络攻防中被突破,导致该单位二把手直接被撤职。整体付出的代价非常严重,这促使各单位高度重视护网工作。
五、护网的规则体系
1. 红蓝对抗机制
护网一般分为红蓝两队,进行红蓝对抗(国内主流模式为红攻蓝防)。
- 红队(攻击队):主要由'国家队'(国家网安专门技术人员)和厂商渗透技术人员组成。'国家队'占比约 60%,厂商技术人员占比约 40%。一个小队通常由 3 人组成,分别负责信息收集、渗透攻击、战场清理工作。
- 蓝队(防守队):通常是随机抽取的企事业单位安全团队,负责防御和响应。
2. 蓝队评分规则
- 初始积分:蓝队初始积分为 10000 分。
- 扣分机制:一旦被攻击成功,扣除相应分数。
- 加分机制:2020 年以前,蓝队只要能发现攻击就能加分,或把扣掉的分补回来;2021 年起,规则更加严格,蓝队必须满足及时发现、及时处置以及还原攻击链才能少扣分,单纯发现攻击不再直接加分。唯一的加分方式是在护网期间发现真实的黑客攻击行为。
3. 红队评分规则
- 目标分配:每只攻击队会分配固定的私有目标,同时选取一些公共目标放入目标池。
- 得分流程:红队优先攻击公共目标,一旦攻击成功并拿到证据(如数据库权限、核心文件),需在指定平台上提交。认证成功后即可得分。
- 提交时间:平台提交时间通常为 9:00—21:00,但这并不意味着攻击仅限于此时间段。实际上,红队会利用夜间时间(21:00—9:00)进行攻击和潜伏,待白天提交成果。因此,蓝队需要 24 小时不间断监守防护。
