《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 設(shè)計(jì)應(yīng)用 > 基于等保2.0驗(yàn)證測(cè)試與ATT&CK攻擊矩陣的融合實(shí)踐
基于等保2.0驗(yàn)證測(cè)試與ATT&CK攻擊矩陣的融合實(shí)踐
網(wǎng)絡(luò)安全與數(shù)據(jù)治理
顏星晨1,2,張?chǎng)?,2,周志洪1,2,陳愷凡1,2
1.上海交通大學(xué)計(jì)算機(jī)學(xué)院; 2.上海交通大學(xué)信息安全服務(wù)技術(shù)研究實(shí)驗(yàn)室
摘要: 圍繞網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0制度框架下的滲透測(cè)試方法展開(kāi)研究,結(jié)合ATT&CK攻擊矩陣構(gòu)建動(dòng)態(tài)化安全驗(yàn)證體系。通過(guò)對(duì)等保2.0中安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境等核心控制點(diǎn)的技術(shù)驗(yàn)證要求進(jìn)行深入分析,將傳統(tǒng)滲透測(cè)試流程與ATT&CK戰(zhàn)術(shù)技術(shù)相融合,提出多維度測(cè)試場(chǎng)景設(shè)計(jì)、攻擊鏈閉環(huán)驗(yàn)證和防御能力量化評(píng)估三位一體的新型驗(yàn)證框架。選取工控系統(tǒng)典型場(chǎng)景進(jìn)行實(shí)證分析,證明該方法能有效發(fā)現(xiàn)等保合規(guī)盲區(qū),提升系統(tǒng)主動(dòng)防御能力和實(shí)戰(zhàn)對(duì)抗水平。研究結(jié)果為網(wǎng)絡(luò)運(yùn)營(yíng)者落實(shí)等保制度提供了可操作的滲透測(cè)試方案,推動(dòng)網(wǎng)絡(luò)安全防護(hù)從合規(guī)導(dǎo)向轉(zhuǎn)向能力導(dǎo)向。
中圖分類號(hào):TP309文獻(xiàn)標(biāo)識(shí)碼:ADOI:10.19358/j.issn.2097-1788.2025.09.003
引用格式:顏星晨,張?chǎng)?,周志?等. 基于等保2.0驗(yàn)證測(cè)試與ATT&CK攻擊矩陣的融合實(shí)踐[J].網(wǎng)絡(luò)安全與數(shù)據(jù)治理,2025,44(9):15-21.
Integrated practice based on Cybersecurity Classified Protection 2.0 validation testing and the ATT&CK matrix
Yan Xingchen1,2, Zhang Xin1,2, Zhou Zhihong1,2,Chen Kaifan1,2
1. School of Computer Science, Shanghai Jiao Tong University; 2. Information Security Service Technology Research Laboratory,Shanghai Jiao Tong University
Abstract: This research focuses on penetration testing methodologies within the Cybersecurity Classified Protection 2.0 (CCP 2.0) framework, establishing a dynamic security validation system through integration with ATT&CK attack matrix. By conducting in-depth analysis of the technical verification requirements for core control points in CCP 2.0—including secure communication networks, security boundaries, and secure computing environments—we combine traditional penetration testing processes with ATT&CK tactics and techniques, and propose a novel validation framework characterized by multi-dimensional test scenario design,closed-loop validation of attack chains and quantitative assessment of defensive capabilities.Empirical study on industrial control systems demonstrates that this approach can effectively identify compliance blind spots in CCP implementations while enhance systems′ proactive defense capabilities and resilience against real-world attacks. The research provides network operators with actionable penetration testing solutions for implementing CCP standards, thereby advancing cybersecurity from compliance-driven to capability-oriented defense paradigms.
Key words : cybersecurity classified protection;ATT&CK;penetration test

引言

隨著《中華人民共和國(guó)網(wǎng)絡(luò)安全法》(以下簡(jiǎn)稱《網(wǎng)絡(luò)安全法》)的深入實(shí)施,網(wǎng)絡(luò)安全等級(jí)保護(hù)制度[1](以下簡(jiǎn)稱“等保2.0”)已成為我國(guó)網(wǎng)絡(luò)空間安全體系的核心制度框架。等保2.0不僅對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者提出了法定合規(guī)義務(wù),更要求通過(guò)技術(shù)驗(yàn)證手段證明安全措施的有效性。在這一背景下,滲透測(cè)試[2]作為主動(dòng)安全評(píng)估的核心技術(shù)手段,在等保測(cè)評(píng)中扮演著關(guān)鍵角色。然而,當(dāng)前在等保2.0實(shí)施過(guò)程中,滲透測(cè)試仍存在測(cè)試場(chǎng)景碎片化、攻擊鏈覆蓋不完整、驗(yàn)證標(biāo)準(zhǔn)不統(tǒng)一等問(wèn)題,難以滿足對(duì)抗高級(jí)持續(xù)性威脅(Advanced Persistent Threat,APT)的需求[3]。

除此之外,隨著云原生技術(shù)的普及,等保2.0在云環(huán)境擴(kuò)展要求(如虛擬化隔離、容器安全)面臨新的滲透測(cè)試挑戰(zhàn)(如動(dòng)態(tài)拓?fù)?、短暫生命周?。同時(shí),ATT&CK框架[4]的持續(xù)演進(jìn)要求測(cè)試方法動(dòng)態(tài)適配新興攻擊技術(shù)。

與此同時(shí),MITRE ATT&CK框架作為描述攻擊行為的標(biāo)準(zhǔn)化知識(shí)庫(kù),為理解攻擊者戰(zhàn)術(shù)、技術(shù)和過(guò)程(TTPs)提供了系統(tǒng)性參考。將ATT&CK矩陣融入等保2.0滲透測(cè)試實(shí)踐,可實(shí)現(xiàn)從“合規(guī)檢查”到“能力驗(yàn)證”的轉(zhuǎn)變,這正是本研究要解決的核心問(wèn)題。

本文從等保2.0的技術(shù)驗(yàn)證要求出發(fā),結(jié)合ATT&CK攻擊矩陣構(gòu)建融合式滲透測(cè)試框架。研究?jī)?nèi)容包含:等保2.0技術(shù)驗(yàn)證要求與滲透測(cè)試的映射關(guān)系;基于ATT&CK的滲透測(cè)試場(chǎng)景設(shè)計(jì);融合框架在典型行業(yè)的應(yīng)用實(shí)踐等。研究成果將為網(wǎng)絡(luò)運(yùn)營(yíng)者提供可操作的滲透測(cè)試方法論,推動(dòng)網(wǎng)絡(luò)安全防護(hù)從合規(guī)基線向?qū)崙?zhàn)能力升級(jí),從而進(jìn)一步提升網(wǎng)絡(luò)安全新質(zhì)戰(zhàn)斗力[5]。


本文詳細(xì)內(nèi)容請(qǐng)下載:

http://www.ihrv.cn/resource/share/2000006702


作者信息:

顏星晨1,2,張?chǎng)?,2,周志洪1,2,陳愷凡1,2

(1.上海交通大學(xué)計(jì)算機(jī)學(xué)院,上海200240;

2.上海交通大學(xué)信息安全服務(wù)技術(shù)研究實(shí)驗(yàn)室,上海201203)


subscribe.jpg

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。