為進一步強化網絡安全隱患排查整改，推動以攻促防，查漏補缺，筑牢網絡安全防線建設，開展攻防演習專項工作無論是對國家、社會和企業，都會有效提高應對網絡安全事件的水平和協同配合能力。

雖然網絡安全經過多年的建設已逐漸全面，但仍不可避免的會被黑客攻破，主要是因為用戶仍然采用傳統邊界防護理念，即壘高墻和區域隔離的模式，根據各區域的安全級別不同，在安全區域之間部署防火墻、IPS、防毒墻、WAF等安全防護設備，以此應對外界攻擊。而傳統邊界防護理念最大的弊端是防外不防內，用戶通過賬號登陸即默認可信，對邊界內用戶的操作不做過多的異常行為監測，造成安全區域內部過度信任的問題。假設賬號是攻擊者通過口令爆破或者社工獲取，即可通過合理的身份進行非法操作；同時因為缺少來自客戶端的安全信息，對威脅的安全分析不夠全面，所以成了邊界安全理念的脆弱點。

隨著云應用、移動互聯網、物聯網、5G 等技術的興起及應用，IT 環境呈現多樣化趨勢，同時也帶來了更多的新型安全風險。基于目前網絡發展的需求，零信任將成為未來網絡安全的主流架構，企業 IT 安全建設的必然選擇。零信任安全理念解決了區域和信任的綁定關系，用戶的訪問權限不再受到網絡區域的限制，訪問前需要經過身份認證和授權，而身份認證不再僅僅針對用戶，還將對用戶所持客戶端進行安全校驗，并且在訪問過程中進行用戶畫像和持續性風險評估，對訪問進行動態、細粒度的授權，同時采用最小授權原則，可以有效防御黑客的入侵以及0day攻擊。

芯盾時代攻防演練方案

芯盾時代解決方案打破傳統以網絡邊界為信任的條件，以零信任安全理念出發，從身份、設備、行為等維度展開全方位防護，對企業內、外部的所有訪問重新進行信任評估和動態訪問控制，針對所有訪問企業資源的請求，進行認證、授權和加密，對用戶和使用設備進行全面驗證，同時可以對每一次訪問請求進行實時的風險評估。

芯盾時代攻防演練方案基于零信任安全理念，提供覆蓋事前、事中、事后的場景化全流程業務安全防護。

事前檢測

攻防演練中首先要對企業資產進行盤查，建立完善的資產臺賬，進而對資產配備相應的防護手段。而當前絕大多數企業存在對自身企業資產畫像不清晰、威脅響應不及時和管理制度不完善等問題，沒有能夠真正將資產和威脅管理起來。在攻防演練中，部分遺漏、未被安全管理、未及時下線的系統，由于存在安全漏洞并缺乏相應的安全防護策略會被攻擊者找到和利用。

芯盾時代數字資產在線發現系統以數字資產（IT資產、應用資產、數據資產、代碼資產等數字資產）為核心，幫助用戶梳理企業內外網的數字資產情況，并對企業數字資產主動威脅檢測，結合威脅情報對企業威脅（主機漏洞、web漏洞、0day漏洞、弱口令、代碼泄露、APP威脅）進行跟蹤和管理，將威脅和業務以及負責人關聯起來，并在長期威脅檢測和復查的基礎上，對威脅的解決時間和結果進行跟蹤，真正起到資產盤查和威脅發現的作用。

事中防護

雙因素認證

攻擊者在攻擊過程中利用當前大部分單位應用系統、服務器或網絡設備的弱口令、單因素認證、特權賬號共享等問題，通過賬號密碼登錄應用系統、服務器或網絡設備，再進一步提權拿下目標系統。

雙因素認證

芯盾時代雙因素認證產品通過移動雙因素認證技術和認證代理技術，在原系統用戶名密碼認證基礎上，快捷實現二次認證、雙因素認證、認證策略控制，對業務系統、服務器、網絡設備的訪問登錄進行二次認證，大幅提升系統認證安全性，可有效避免因弱口令、密碼管理不當、源代碼管理不當（源代碼中含有系統管理員賬戶密碼）帶來的系統被盜而導致的失分。

資源隱藏

對于各類數字資產的管理方面，芯盾時代零信任業務安全平臺SDP能夠實現后端業務以及網關自身的隱藏，使攻擊者獲取不到后端服務器的信息，失去攻擊方向，有效減少暴露面并且削弱DDoS攻擊；采用UDP建立連接的方式，只對授權客戶端進行響應，可以有效阻止攻擊和掃描，待通信成功建立后再采用TCP協議通信，確保用戶身份的安全性，實現網關、業務的隱身，解決TCP連接時存在的攻擊風險。

零信任業務安全平臺

芯盾時代SDP分為三大平面：

管理平面：對零信任安全網關進行配置管理及可視化展示；

數據平面：通過各類安全組件對訪問主體與客體的身份和環境進行管控；

控制平面：將風險信息輸入到控制平面，為持續信任計算引擎和動態訪問控制引擎提供依據。

目前芯盾時代零信任產品已經集成了SDP和增強型IAM兩大技術，并且和微隔離可以進行很好地互動，感知東西向流量的風險，主要呈現：全平臺覆蓋、全架構應用支持、全協議代理、全鏈路安全、全流量解析等功能特點。

數據安全管控

芯盾時代數據安全管控系統通過對數據庫的操作行為和數據庫輸出內容進行管控，從而滿足攻防演練期間數據交互過程中越權訪問、違規請求、超頻使用、數據泄露等風險的識別、控制和追責的需求。

系統支持根據不同身份進行個性化數據庫訪問控制，并對用戶訪問的靜態數據、動態數據進行即時動態脫敏，以及根據業務系統需求，批量進行數據靜態脫敏，滿足企業攻防演練、安全運維、數據分析、系統測試、數據交換、機器學習等不同需求場景下的數據安全需求。

事后總結

攻防演練是為了更好的進行安全防護。在實戰工作完成后，芯盾時代協助用戶進行充分、全面的復盤分析，總結經驗、教訓，包括工作方案、組織管理、工作啟動會、系統資產梳理、安全自查及優化、基礎安全監測與防護設備的部署、安全意識、應急預案及演練和注意事項等方面。

芯盾時代可為用戶提供合理可行的安全整改建議，達到整改安全漏洞隱患，完善安全防護措施，優化安全策略，強化人員隊伍技術能力，有效提升整體網絡安全防護水平的目的。

芯盾時代攻防演練方案優勢

加強網絡縱深防護能力，有效解決因弱口令、賬號泄露導致的入侵行為；

通過SPA協議將網關和業務服務及端口實現隱身，對暴露的API接口進行管理，有效收斂暴露面，避免遭受DDoS攻擊；

關聯態勢感知、UEBA、威脅情報等安全數據源進行大數據分析，洞察風險態勢，根據態勢變化動態調整安全策略，支撐持續運營。

提供應用級/功能級/數據級/API級的訪問控制，授予訪問主體最小訪問權限，防止權限過大造成的安全風險。

芯盾時代已為多行業頭部客戶在攻防演練中提供方案和服務支持，均獲得良好效果，取得0失分的好成績。

審核編輯 ：李倩