随着物联网、工业智能制造、大数据、云平台等网络技术的不断发展，各个系统领域被发现的安全威胁越来越多。病毒入侵、数据窃取、网络攻击等安全事件时常发生，网络空间已然成为各国争夺的重要战略空间。为应对网络安全威胁，严守“关基”网络安全底线，我国公安部自2016年开始组织多家机构，对国内基础设施系统按照网络安全要求，全面深入排查重点单位安全隐患，检验各单位网络安全防护能力。随着HW系统开展涉及的行业更多、范围更广，“HW行动”作为我国关键资产网络安全风险应对的重要措施，各单位企业积极参与完成国家安全要求及自身安全建设成为了必须完成的基础工作。

　　攻击方思路分析

　　攻击方采用渗透测试手段完全模拟黑客可能使用的攻击技术和漏洞发现技术，对目标系统的安全做深入的探测，发现系统最脆弱的环节，获取目标权限。各队采用APT攻击手段在短时间内根据攻击检测目标及在信息收集阶段通过资产指纹扫描、漏洞扫描、端口扫描等手段收集到的各种问题进行汇总分析对目标进行攻击渗透。常见手段如下图所示：

　　随着护网中防护的发展攻击方也在逐渐的改变常规思路，在攻防对立中寻求突破，攻击过程中遇到的场景问题如下。

　　攻击方由于目标明确，且攻击周期较短，往往采用自动化扫描进行快速的获取目标相关信息，在此过程中容易被监测发现进行针对性封锁与反制。

　　目标方针对性临时管理外部接口服务，防守方在HW前临时关闭大量外部常用服务，HW期间部分单位采用断网、断电行为无法监测，导致目标量减少。

　　终端监测及邮箱监测加强，病毒查杀、准入模式及沙箱的部署，致使webshell植入、木马植入、水坑、鱼叉攻击成功率较低。

　　内外网蜜罐诱捕系统的部署导致攻击方易被捕获。

　　攻击突破方式

　　通过安全扫描搜索引擎、利用分布式扫描源迷惑目标监测系统、分布式扫描形式快速获取目标资产信息，根据指纹信息进行逐步分析。

　　针对通用性系统如OA、CMS、堡垒机、安防设备进行分析获取相同版本0day漏洞存储，根据指纹进行针对性漏洞利用。

　　Webshell、木马程序免杀制作，通过rce直接执行powershell、反弹执行控制权。

　　利用搜索引擎及开源源码托管平台进行获取用户信息、源码信息等内容。

　　多方了解不同业务内网构成，熟悉业务情况，精准捕获核心数据。

　　防护思路分析

　　各单位防守方依据HW行动时间轴可分为四大阶段，分别为备战阶段、临战阶段、决战阶段、战后总结进行安全防护与应急。

　　备战阶段目标单位对安全现状排查，进行资产梳理、针对性风险评估、自查自纠、开展安全培训、建立安全防护体系；临战阶段按照HW整体模式开展资产巡查、渗透测试、制定应急预案、开展实战应急演练、依据内外网检测结果进行系统加固及应急优化；决战阶段依据建立的安全防护应急队伍主要工作是完成了前期的准备工作后的值守，进行7*24小时现场值守，实时监控安全态势，并对安全事件进行应急响应确保整个重大活动期间的安全保障，包含依据安全审计防护设备告警信息进行实时监控与上报、实时监测重点系统的风险及安全隐患第一时间进行应急处置、现场依据策略调整进行处理突发事件、针对产生的安全事件进行应急溯源分析等；战后总结对本次护网的工作成果及不足进行讨论总结，并根据经验持续改进优化网络安全整体建设，网络安全防护整体流程如图所示：

　　在攻防博弈过程中，随着攻击手段的不断发展及网络运营需求，防护的脆弱性仍然无法消除，每年仍存在大量的目标沦陷的情况。其主要原因如下：

　　整体网络安全建设薄弱，众多企业边界在前期网络安全建设中为了系统高效运行，弱化安全防护手段，往往只在边界部署防火墙设备进行相关防护，防护效果甚微。

　　安全意识淡薄，没有形成主动防范、积极应对的全民意识，测试系统、默认口令、用户弱口令、信息保护不足等问题导致安全事件产生。

　　过度依赖安全防护类产品，大量企业采购各类防护产品，但策略配置不当、0day无法监测、供应产品自身漏洞问题致使安全事件产生。

　　资产排查存在遗漏，部分外部资产、待下线系统责任不明确，导致不在监测范围内。

　　事前加固及处置排查能力有限，因服务人员能力、相关经验不足、时间限制等无法全面排查安全风险及针对事件进行快速的应急处置。