網絡攻防演習防守方案

1、網絡安全實戰(zhàn)攻防演習防守方案2019年5月目錄 TOC o 1-3 h z u HYPERLINK l _Toc9293884 1.攻防演習概述 PAGEREF _Toc9293884 h 3 HYPERLINK l _Toc9293885 1.1.攻防演習背景 PAGEREF _Toc9293885 h 3 HYPERLINK l _Toc9293886 1.2.攻擊角度看防守 PAGEREF _Toc9293886 h 3 HYPERLINK l _Toc9293887 1.3.演習防守方法論 PAGEREF _Toc9293887 h 4 HYPERLINK l _Toc9293888

2、2.組織及職責分工 PAGEREF _Toc9293888 h 6 HYPERLINK l _Toc9293889 2.1.攻防演習組織 PAGEREF _Toc9293889 h 6 HYPERLINK l _Toc9293890 2.2.職責分工 PAGEREF _Toc9293890 h 7 HYPERLINK l _Toc9293891 2.3.各階段工作任務 PAGEREF _Toc9293891 h 8 HYPERLINK l _Toc9293892 3.防守工作方案 PAGEREF _Toc9293892 h 12 HYPERLINK l _Toc9293893 3.1.第一階段

3、：準備階段 PAGEREF _Toc9293893 h 13 HYPERLINK l _Toc9293894 3.1.1.防守方案編制 PAGEREF _Toc9293894 h 14 HYPERLINK l _Toc9293895 3.1.2.防守工作啟動會 PAGEREF _Toc9293895 h 14 HYPERLINK l _Toc9293896 3.1.3.重要工作開展 PAGEREF _Toc9293896 h 14 HYPERLINK l _Toc9293897 3.2.第二階段：安全自查和整改階段 PAGEREF _Toc9293897 h 15 HYPERLINK l _T

4、oc9293898 3.2.1.網絡安全檢查 PAGEREF _Toc9293898 h 16 HYPERLINK l _Toc9293899 3.2.2.主機安全檢查 PAGEREF _Toc9293899 h 17 HYPERLINK l _Toc9293900 3.2.3.應用系統(tǒng)安全檢查 PAGEREF _Toc9293900 h 18 HYPERLINK l _Toc9293901 3.2.4.運維終端安全檢查 PAGEREF _Toc9293901 h 18 HYPERLINK l _Toc9293902 3.2.5.日志審計 PAGEREF _Toc9293902 h 19 HY

5、PERLINK l _Toc9293903 3.2.6.備份效性檢查 PAGEREF _Toc9293903 h 20 HYPERLINK l _Toc9293904 3.2.7.安全意識培訓 PAGEREF _Toc9293904 h 21 HYPERLINK l _Toc9293905 3.2.8.安全整改加固 PAGEREF _Toc9293905 h 21 HYPERLINK l _Toc9293906 3.3.第三階段：攻防預演習階段 PAGEREF _Toc9293906 h 22 HYPERLINK l _Toc9293907 3.3.1.預演習啟動會 PAGEREF _Toc9

6、293907 h 22 HYPERLINK l _Toc9293908 3.3.2.授權及備案 PAGEREF _Toc9293908 h 22 HYPERLINK l _Toc9293909 3.3.3.預演習平臺 PAGEREF _Toc9293909 h 23 HYPERLINK l _Toc9293910 3.3.4.預演習攻擊 PAGEREF _Toc9293910 h 24 HYPERLINK l _Toc9293911 3.3.5.預演習防守 PAGEREF _Toc9293911 h 25 HYPERLINK l _Toc9293912 3.3.6.預演習總結 PAGEREF

7、_Toc9293912 h 26 HYPERLINK l _Toc9293913 3.4.第四階段：正式防護階段 PAGEREF _Toc9293913 h 26 HYPERLINK l _Toc9293914 3.4.1.安全事件實時監(jiān)測 PAGEREF _Toc9293914 h 27 HYPERLINK l _Toc9293915 3.4.2.事件分析與處置 PAGEREF _Toc9293915 h 27 HYPERLINK l _Toc9293916 3.4.3.防護總結與整改 PAGEREF _Toc9293916 h 28 HYPERLINK l _Toc9293917 4.演習

8、組織及工作計劃 PAGEREF _Toc9293917 h 28 HYPERLINK l _Toc9293918 4.1.演習工作單位和組織分工 PAGEREF _Toc9293918 h 28 HYPERLINK l _Toc9293919 4.1.1.明確參演單位 PAGEREF _Toc9293919 h 28 HYPERLINK l _Toc9293920 4.1.2.演習工作組織架構 PAGEREF _Toc9293920 h 29 HYPERLINK l _Toc9293921 4.1.3.演習工作職責分工 PAGEREF _Toc9293921 h 29 HYPERLINK l

9、_Toc9293922 4.2.初步工作計劃 PAGEREF _Toc9293922 h 30 HYPERLINK l _Toc9293923 5.天眼系統(tǒng)部署及運營 PAGEREF _Toc9293923 h 33 HYPERLINK l _Toc9293924 6.主機加固實施 PAGEREF _Toc9293924 h 34攻防演習概述攻防演習背景網絡安全實戰(zhàn)攻防演習（以下簡稱“攻防演習”）是以獲取目標系統(tǒng)的最高控制權為目標，由多領域安全專家組成攻擊隊，在保障業(yè)務系統(tǒng)安全的前提下，采用“不限攻擊路徑，不限制攻擊手段”的攻擊方式，而形成的“有組織”的網絡攻擊行為。攻防演習通常是在真實環(huán)境下

10、對參演單位目標系統(tǒng)進行可控、可審計的網絡安全實戰(zhàn)攻擊，通過攻防演習檢驗參演單位的安全防護和應急處置能力，提高網絡安全的綜合防控能力。近幾年我國較大規(guī)模的攻防演習主要包括公安機關組織的針對關鍵信息基礎設施的攻防演習、各部委組織的對各省和直屬單位重要系統(tǒng)的攻防演習和大型企業(yè)組織的對下屬單位重要系統(tǒng)的攻防演習。其中，公安部組織的“護網行動”是面向國家重要信息系統(tǒng)和關鍵信息基礎設施的網絡安全實戰(zhàn)演習，通過實戰(zhàn)網絡攻擊的形式檢驗我國關鍵信息基礎設施安全防護和應急處置能力，“護網行動”已開展了3年，取得了十分顯著的效果，督促各單位有效提升了網絡安全防護水平。攻擊角度看防守在攻防演習中，為充分檢驗參演單位及

11、目標系統(tǒng)的安全防護、監(jiān)測和應急處置能力，演習組織方通常會選擇由經驗豐富的安全專家組成攻擊隊開展網絡攻擊，在確保不影響業(yè)務的前提下，選擇一切可利用的資源和手段，采用多變、靈活、隱蔽的攻擊力求取得最大戰(zhàn)果。參演單位作為防守方，面對“隱蔽”的網絡攻擊，如何才能有效防御呢？“知彼知己，百戰(zhàn)不殆”，只有了解攻擊方是如何開展攻擊的，才能根據攻擊特點建立完善的安全防護體系，有效抵御網絡攻擊。攻擊方在組織入侵攻擊時，通常會首先制定攻擊策略、規(guī)劃攻擊線路，攻擊者分工合作，力爭在短時間內取得最大戰(zhàn)果，常見的攻擊步驟為信息收集、漏洞分析、滲透攻擊和后滲透攻擊。演習防守方法論“護網”行動的防護應是基于“戰(zhàn)時”的防護工

12、作模式，根據護網行動要求，會有防守方和攻擊方，同時對防守方設計了加分事宜，基于我司長期積累的攻擊方的攻擊路徑和攻擊手段，我司建議采用在主動防御架構下，建立基于可持續(xù)監(jiān)測分析和響應的協同防護模式，分成事前階段、事中階段和時候階段。事前階段是針對護網行動的前期準備階段，重點是協助客戶模式“護網”進行實戰(zhàn)預演習，旨在發(fā)現隱患、檢驗防護和協同應急處置流程，同時協助客戶減少被攻擊面，開展專項安全檢測，重點針對“攻擊方”可能利用的安全漏洞進行安全檢測，并提供安全建議?？蛻粢谝延械陌踩\營工作，進一步加強網絡安全策略優(yōu)化。事中階段是針對護網行動的實戰(zhàn)防護階段，重點是加強檢測、分析和響應處置，能夠及時發(fā)現

13、網絡安全攻擊、威脅，并由專業(yè)技術人員進行分析，各部門之間協同進行響應和處置，必要時啟動應急響應預案。保證護網期間，與用戶及相關服務機構聯合作戰(zhàn)，充分利用現有安全檢測與防御手段，結合已有防護經驗，協助用戶實時檢測與分析攻擊行為，快速響應處置，解決攻擊事件。事后階段是針對護網工作的總結階段，可針對護網工作中的組織、流程和技術措施等進行綜合分析，并形成后續(xù)的改進建議。護網期間需要配套相應的安全工具，包括但不限于基于流量的威脅檢測、蜜罐技術、互聯網資產發(fā)現和主機加固等技術工具或產品。組織及職責分工攻防演習組織為確保本次攻防演習任務的順利完成，擬成立攻防演習領導小組（以下簡稱“領導小組”）和三個攻防演習

14、工作組（以下簡稱“工作組”），組織架構如下圖。領導小組：組長:XXX,副組長: XXX成員：辦公廳、信息管理處、信息網絡中心規(guī)劃研究處、網絡處、信息安全處、專項應用管理處、XXX應用管理處、XXX科技處主要負責人。三個工作組：綜合研判組、防護監(jiān)測組、應急處置組，各組成員由相關處室人員和技術支持服務單位人員組成。職責分工領導小組：負責領導、指揮和協調本次攻防演習工作開展，向XXX領導和公安部匯報攻防演習情況。綜合研判組：一是負責制定網絡攻防演習防護方案、網絡攻防預演習方案，對全網應用系統(tǒng)、網絡、安全監(jiān)測與防護設備相關資產進行全面梳理，摸清網絡安全現狀，排查網絡安全薄弱點，為后續(xù)有針對性的網絡安全

15、防護和監(jiān)控點部署、自查整改等工作提供依據。二是對全網系統(tǒng)資產進行安全檢查，發(fā)現安全漏洞、弱點和不完善的策略設置，內容包括：應用風險自查：重點針對弱口令、風險服務與端口、審計日志是否開啟、漏洞修復等進行檢查；漏洞掃描和滲透測試：對應用系統(tǒng)、操作系統(tǒng)、數據庫、中間件等進行檢測；安全基線檢查：對網絡設備（路由器、交換機等）、服務器（操作系統(tǒng)、數據庫、中間件等）做安全基線檢查；安全策略檢查：對安全設備（WAF、防火墻、IDS等）做安全策略檢查。三是負責演習辦公環(huán)境及相關資源準備，對目標系統(tǒng)、網絡基礎環(huán)境和安全產品可用性確認，負責確定預演習攻擊隊伍人員組成等相關工作；四是負責與公安部演習指揮部聯系溝通；

16、五是負責對本次攻防演習工作進行總結，編寫總結報告。防護監(jiān)測組：一是梳理現有網絡安全監(jiān)測、防護措施，查找不足；二是根據綜合研判組安全自查發(fā)現的安全漏洞和風險進行整改加固及策略調優(yōu)，完善安全防護措施；三是利用已有（全流量安全監(jiān)測系統(tǒng)、防火墻、WAF、IDS、漏洞掃描系統(tǒng)）和新增（主機入侵檢測系統(tǒng)、網站防護系統(tǒng)、安全策略分析系統(tǒng)）監(jiān)測技術手段對網絡攻擊行為進行監(jiān)測、分析、預警和處置（封禁IP地址、應用系統(tǒng)漏洞修復、惡意特征行為阻斷等）；四是對網絡和應用系統(tǒng)運行情況、審計日志進行全面監(jiān)控，及時發(fā)現異常情況。應急處置組：一是根據公安部演習規(guī)則，制定應急響應工作方案；二是負責預演習應急演習中安全事件的應急

17、處置，并對演習過程中應急響應方案存在的不足進行完善；三是負責正式攻防演習期間的應急響應處置工作。各階段工作任務針對本次攻防演習，按照“統(tǒng)一指揮、職責明確、協同配合、有效應對，積極防御”的原則有序開展工作。1、準備階段(2019年4月26日-5月17日)明確各工作組參演人員工作職責和任務，對XXX應用系統(tǒng)、網絡、安全監(jiān)測與防護設備相關資產進行全面梳理，摸清網絡安全現狀，排查網絡安全薄弱點，為后續(xù)有針對性的網絡安全防護和監(jiān)控點部署、自查整改等工作提供依據。綜合研判組：負責預演習和正式演習的方案制定，對全網資產進行全面梳理，摸清網絡安全現狀，排查網絡安全薄弱點。防護監(jiān)測組：梳理現有網絡安全監(jiān)測、防護

18、措施，查找不足。應急處置組：根據公安部演習規(guī)則，制定應急響應方案。（二）自查整改階段（2019年5月5日-24日）針對全網主機、網絡、安全設備、應用系統(tǒng)等開展全面的安全檢查、漏洞掃描、安全基線檢查、安全策略檢查等工作，及時發(fā)現安全漏洞、弱點和不完善的策略設置。進行安全加固、策略配置優(yōu)化和改進，切實加強系統(tǒng)的自身防護能力和安全措施的效能，消除高風險安全隱患。綜合研判組：對全網系統(tǒng)資產進行安全檢查，及時發(fā)現和排除安全漏洞和風險隱患。 防護監(jiān)測組：根據綜合研判組安全自查發(fā)現的安全漏洞和風險進行整改加固及策略調優(yōu)，完善安全防護措施。應急處置組：根據公安部演習規(guī)則，完善應急響應方案。（三）攻防預演習階段

19、（2019年5月20日-24日）組織攻擊隊伍，開展攻防演習預演習。通過攻防預演習，檢驗各工作組前期工作效果，檢驗對網絡攻擊監(jiān)測、發(fā)現、分析和應急處置的能力，檢驗安全防護措施和監(jiān)測技術手段的有效性，檢驗各工作組協調配合默契程度，充分驗證工作方案及應急處置預案合理性，進一步完善工作方案和應急預案。領導小組：攻防預演習的統(tǒng)一協調、指揮和決策。綜合研判組：準備工作：演習場所及環(huán)境準備，對目標系統(tǒng)、網絡基礎環(huán)境和安全產品可用性確認，負責確定預演習攻擊隊伍人員組成等相關工作。組織協調：負責具體組織協調各工作組開展監(jiān)控、防護、應急等工作。分析研判：對防護監(jiān)測組上報的安全事件進行研判，將分析研判結果上報領導小

20、組，按照指示啟動相應應急預案。方案完善：驗證網絡攻防預演習方案可行性，進一步完善網絡攻防演習防護方案。防護監(jiān)測組：監(jiān)測分析：負責對參演目標系統(tǒng)應用系統(tǒng)運行情況、審計日志進行全面監(jiān)控，及時發(fā)現異常情況；利用已有和新增的技術手段監(jiān)測攻擊行為；預警處置：對惡意攻擊行為進行行為阻斷，封禁攻擊IP地址；事件反饋：將初步分析判定的安全事件反饋綜合研判組進行綜合研判。應急處置組：對預演習應急演習中安全事件按照應急響應流程進行應急處置，并對演習過程中應急響應方案存在的不足進行完善。（四）正式演習階段（2019年6月3日-21日）按照公安部演習指揮部的工作安排，全體參演人員到位到崗，在領導小組的統(tǒng)一指揮下，各工

21、作組根據職責分工全天候開展安全監(jiān)測、分析，及時發(fā)現攻擊和異常情況。針對網絡安全事件啟動相應應急預案，開展應急處置工作，抑制網絡攻擊行為，消除演習目標系統(tǒng)和網絡安全風險。領導小組：攻防演習的統(tǒng)一協調、指揮和決策。綜合研判組：準備工作：演習場所及環(huán)境準備，對目標系統(tǒng)、網絡基礎環(huán)境和安全產品可用性確認。組織協調：負責與公安部演習指揮部聯系溝通，具體組織協調各工作組開展監(jiān)控、防護、應急等工作。綜合研判：對防護監(jiān)測組上報的安全事件進行研判，將分析研判結果報領導小組。方案完善：驗證網絡攻防預演習方案可行性，進一步完善網絡攻防演習防護方案。防護監(jiān)測組：監(jiān)測分析：負責對參演目標系統(tǒng)應用系統(tǒng)運行情況、審計日志進

22、行全面監(jiān)控，及時發(fā)現異常情況；利用已有和新增的技術手段監(jiān)測攻擊行為；預警處置：對惡意攻擊行為進行行為阻斷，封禁攻擊IP地址；事件反饋：對已確認的安全事件反饋綜合研判組研判。應急處置組：負責攻防演習期間按照應急響應流程進行應急處置工作，完善應急響應體系。（五）總結階段（2019年7月1日-31日）演習結束，對演習過程中工作情況進行總結，包括組織隊伍、攻擊情況、防守情況、安全防護措施、監(jiān)測手段、響應和協同處置等。進一步完善XXX網絡安全監(jiān)測措施、應急響應機制及預案，提升網絡安全防護水平。防守工作方案為有效應對攻防演習相關工作，攻防演習防守工作分成四個階段，分別是準備階段、安全自查和整改階段、攻防預

23、演習階段、正式演習防護階段。第一階段：準備階段準備階段主要是組建隊伍，明確演習流程和分工，進一步梳理本次參演系統(tǒng)的網絡路徑、數據流和相關資產信息，輸出真實的網絡拓撲和相關資產信息，整理并確定目標系統(tǒng)的網絡安全專項應急預案。第二階段：安全自查和整改階段安全自查和整改階段，主要是在攻防演習開始前，針對攻防演習對象進行安全自查和安全加固。通過安全自查發(fā)現的問題，進行整改、加固和完善，確保參演系統(tǒng)在攻防時已做好自身防護工作。第三階段：攻防預演習階段攻防預演習階段，由預演攻擊小組，采用專業(yè)的攻防演習平臺，對目標系統(tǒng)進行實戰(zhàn)攻擊，防護工作小組牽頭防守方工作，實施對抗并進行安全防護。 演習工作小組針對攻防預

24、演習中發(fā)現的問題進一步梳理、整改、加固和完善，更深一步分析問題的主要原因，提供杜絕問題再現的有效解決方案和整改措施，同時通過攻防預演習發(fā)現的問題逆向推導，以改進和完善安全自查和整改階段的工作。第四階段：正式演習防護階段正式演習防護階段，要確保防護人員能夠持續(xù)對網絡攻擊進行實時監(jiān)測，并及時進行響應處置，針對演習中發(fā)現的漏洞和弱點，能及時進行修補和加固，積極應對，協同進行安全處置。演習結束后全面總結本次攻防演習工作情況，對于發(fā)現的問題和短板及時進行歸納整改和彌補，總結有效應對的措施和協同處置的規(guī)范流程。第一階段：準備階段 在正式攻防演習開始前，應充分做好準備階段工作，為后續(xù)演習工作其他階段提供有效

25、的支撐。防守方案編制攻防演習工作應按計劃逐步有效的進行，參演單位應在演習前，根據本單位實際情況，完成攻防演習防守方案編寫，通過演習防守方案指導攻防演習防守工作的開展，確保演習防守工作的效果。防守工作啟動會應在攻防演習開始前，應組織各參演部門相關人員，召開演習工作啟動會。以啟動會的形式明確本次演習防守工作的目的、工作分工、計劃安排和基本工作流程。通過啟動會確定演習防守工作主要牽頭部門和演習接口人，明確演習時間計劃和工作安排，并對演習各階段參演部門人員的工作內容和職責進行宣貫 。同時，建立演習工作中的溝通聯絡機制，并建立各參演人員的聯系清單，確保演習工作順利開展。重要工作開展網絡路徑梳理對目標系統(tǒng)

26、相關的網絡訪問路徑進行梳理，明確系統(tǒng)訪問源（包括用戶、設備或系統(tǒng)）的類型、位置和途徑的網絡節(jié)點，繪制準確的網絡路徑圖。網絡路徑梳理須明確從互聯網訪問的路徑、內部訪問路徑等，全面梳理目標系統(tǒng)可能被訪問到的路徑和數據流向，為后續(xù)有針對性的網絡安全防護和監(jiān)控點部署奠定基礎。關聯及未知資產梳理梳理目標系統(tǒng)的關聯及未知資產，形成目標系統(tǒng)的關聯資產清單、未知資產清單，關聯資產包括目標系統(tǒng)網絡路徑中的各個節(jié)點設備、節(jié)點設備同一區(qū)域的其它設備以及目標系統(tǒng)相關資產，未知資產包括與目標系統(tǒng)可有關聯但未記錄在關聯資產清單里的資產，為后續(xù)安全自查和整改加固等工作提供基礎數據。專項應急預案確認針對本次攻防演習的目標系統(tǒng)

27、進行專項應急預案的梳理，確定應急預案的流程、措施有效，針對應急預案的組織、技術、管理流程內容進行完善，確保能夠有效支撐后續(xù)演習工作。加強安全監(jiān)測防御體系梳理當前已有的安全監(jiān)測和防御產品，對其實現的功能和防御范圍進行確定，并根據已梳理的重要資產和網絡路徑，建立針對性的臨時性（租用或借用）或者長久性（購買）的安全監(jiān)測防御體系，為后續(xù)正式演練及防護階段提供工具和手段支持。第二階段：安全自查和整改階段根據準備階段形成的目標系統(tǒng)關聯資產清單、未知資產清單，對與組成目標系統(tǒng)相關的網絡設備、服務器、中間件、數據庫、應用系統(tǒng)、安全設備等開展安全自查和整改工作。通過安全自查對目標系統(tǒng)的安全狀況得以真實反映，結合

28、整改加固手段對評估發(fā)現的問題逐一進行整改。設置必要的防御規(guī)則，基于最小權限原則制定，即僅僅開放允許業(yè)務正常運行所必須的網絡和系統(tǒng)資源。確保目標系統(tǒng)在攻防預演習前所有安全問題均已采取措施得到處理。網絡安全檢查網絡架構評估針對目標系統(tǒng)開展網絡架構評估工作，以評估目標系統(tǒng)在網絡架構方面的合理性，網絡安全防護方面的健壯性，是否已具備有效的防護措施；形成網絡架構評估報告。網絡安全策略檢查針對目標系統(tǒng)所涉及的網絡設備進行策略檢查，確保目前已有策略均按照“按需開放，最小開放”的原則進行開放；確保目標系統(tǒng)所涉及的網絡設備中無多余、過期的網絡策略；形成網絡安全策略檢查報告。網絡安全基線檢查針對目標系統(tǒng)所涉及的網

29、絡設備進行安全基線檢查，重點檢查多余服務、多余賬號、口令策略，禁止存在默認口令和弱口令等配置情況；形成網絡安全基線檢查報告。安全設備基線檢查針對目標系統(tǒng)所涉及的安全設備進行安全基線檢查，重點檢查多余賬號、口令策略、策略啟用情況、應用規(guī)則、特征庫升級情況，禁止存在默認口令和弱口令等配置情況；形成安全設備基線檢查報告。主機安全檢查主機安全基線針對目標系統(tǒng)所涉及的主機進行安全檢查，重點檢查多余賬號、口令策略、賬號策略、遠程管理等情況；形成主機安全基線檢查報告。數據庫安全基線針對目標系統(tǒng)所涉及的數據庫進行安全檢查，重點檢查多余賬號、口令策略、賬號策略、遠程管理等情況；形成主機安全基線檢查報告。中間件安

30、全基線針對目標系統(tǒng)所涉及的中間件進行安全檢查，重點檢查中間件管理后臺、口令策略、賬號策略、安全配置等情況；形成中間件安全基線檢查報告。主機漏洞掃描針對目標系統(tǒng)所涉及的主機、數據庫以及中間件進行安全漏洞掃描；形成主機安全漏洞掃描報告。應用系統(tǒng)安全檢查應用系統(tǒng)合規(guī)檢查針對目標系統(tǒng)應用進行安全合規(guī)檢查，重點檢查應用系統(tǒng)多余賬號、賬號策略、口令策略、后臺管理等情況；形成應用系統(tǒng)合規(guī)檢查報告。應用系統(tǒng)源代碼檢測針對目標系統(tǒng)應用進行源代碼檢測；形成應用系統(tǒng)源代碼檢測報告。應用系統(tǒng)滲透測試針對目標系統(tǒng)應用進行滲透測試；形成應用系統(tǒng)滲透測試報告。運維終端安全檢查運維終端安全策略針對目標系統(tǒng)運維終端安全進行安全

31、檢查，重點檢查運維終端訪問目標系統(tǒng)的網絡策略等情況；形成運維終端安全策略檢查報告。運維終端安全基線針對目標系統(tǒng)運維終端進行安全檢查，重點檢查運維終端的多余賬號、賬號策略、口令策略、遠程管理等情況；形成運維終端安全基線檢查報告。運維終端漏洞掃描針對目標系統(tǒng)運維終端進行安全漏洞掃描；形成運維終端安全漏洞掃描報告。日志審計網絡設備日志針對本次目標系統(tǒng)中網絡設備的日志記錄進行檢查，確認能夠對訪問和操作行為進行記錄；明確日志開通級別和記錄情況，并對未能進行日志記錄的情況進行標記，明確改進措施。主機日志針對本次目標系統(tǒng)中主機的日志記錄進行檢查，確認能夠對訪問和操作行為進行記錄；明確日志開通級別和記錄情況，

32、并對未能進行日志記錄的情況進行標記，明確改進措施。中間件日志針對本次目標系統(tǒng)中中間件的日志記錄進行檢查，確認能夠對訪問和操作行為進行記錄；對未能進行日志記錄的情況進行標記，明確改進措施。數據庫日志針對本次目標系統(tǒng)中數據庫的日志記錄進行檢查，確認能夠對訪問和操作行為進行記錄；明確日志開通級別和記錄情況，并對未能進行日志記錄的情況進行標記，明確改進措施。應用系統(tǒng)日志針對本次目標系統(tǒng)中應用的日志記錄進行檢查，確認能夠對訪問和操作行為進行記錄；對未能進行日志記錄的情況進行標記，明確改進措施。安全設備日志針對本次目標系統(tǒng)中的安全設備的日志記錄進行檢查，確認能夠對訪問和操作行為進行記錄；對未能進行日志記錄

33、的情況進行標記，明確改進措施。備份效性檢查備份策略檢查針對本次目標系統(tǒng)中的備份策略（配置備份、重要數據備份等）進行檢查，確認備份策略的有效性；對無效的備份策略進行標記，明確改進措施。備份系統(tǒng)有效性檢查針對本次目標系統(tǒng)中的備份系統(tǒng)有效性進行檢查，確認備份系統(tǒng)可用性；對無效的備份系統(tǒng)進行標記，明確改進措施。安全意識培訓針對本次演習參與人員進行安全意識培訓，明確演習工作中應注意的安全事項；提高本次演習參與人員的安全意識，針對演習攻擊中可能面對的社會工程學攻擊、郵件釣魚等方式，應重點關注；提高本次演習參與人員的安全處置能力，針對演習攻擊中可能用到的手段和應對措施進行培訓。安全整改加固基于以上安全自查發(fā)

34、現的問題和隱患，及時進行安全加固、策略配置優(yōu)化和改進，切實加強系統(tǒng)的自身防護能力和安全措施的效能，減少安全隱患，降低可能被外部攻擊利用的脆弱性和風險。業(yè)務主管單位協同安全部門完善網絡安全專項應急預案，針對可能產生的網絡安全攻擊事件建立專項處置流程和措施。第三階段：攻防預演習階段攻防預演習是為了在正式演習前，檢驗安全自查和整改階段的工作效果以及防護小組否能順利開展防守工作，而組織攻擊小組對目標系統(tǒng)開展真實的攻擊。通過攻防預演習結果，及時發(fā)現目標系統(tǒng)還存在的安全風險，并對遺留（漏）風險進行分析和整改，確保目標系統(tǒng)在正式演習時，所有發(fā)現的安全問題均已得到有效的整改和處置。預演習啟動會由領導小組組長牽

35、頭，通過正式會議的形式，組織預攻擊小組和防護工作小組各成員單位和個人，啟動攻防預演習工作，明確攻防演習隊伍組成，職責分工，時間計劃和工作安排，啟動會計劃時間X月。啟動會上各成員單位共同確定演習采用的攻擊方式和風險規(guī)避措施，各單位明確預演習工作聯系人、各方溝通機制，建立聯系人通訊錄。根據啟動會決議內容，應將此次攻防預演習工作情況及所使用的攻擊IP地址等信息，向國家網絡安全相關主管部門（公安部、網信辦等）進行備案說明。授權及備案演習開始前期，在對目標系統(tǒng)進行前期的安全準備工作中，參演單位應對第三方技術支撐單位進行正式授權。同時第三方技術支撐單位應向參演單位提供IP信息，參演單位將此次攻防預演習工作

36、情況及所使用的攻擊IP地址等信息，向國家網絡安全相關主管部門（公安部、網信辦等）進行備案說明。確保演習各項工作，均在授權范圍內有序進行。預演習平臺本次預演習使用的攻防演習支撐平臺，攻擊人員的所有行為通過平臺進行記錄、監(jiān)管、分析、審計和追溯，保障整個攻擊演習的過程可控、風險可控。同時，演習平臺提供實況展示、可用性監(jiān)測和攻擊成果展示三個圖形化展示頁面，在預演習期間可通過大屏進行演示。攻擊實況展示展示網絡攻擊的實時狀態(tài)，展示攻擊方與被攻擊目標的IP地址及名稱，通過光線流動效果及數字標識形成攻擊流量信息的直觀展示。可用性監(jiān)測實時監(jiān)測并展示攻擊參演系統(tǒng)的健康性，保障攻擊目標業(yè)務不受影響。通過攻擊流量大小

37、準確反應攻擊方網絡資源占用情況及其對攻擊目標形成的壓力情況。實時呈現網絡流量大小等信息，并展示異常情況的描述。攻擊成果展示 攻擊人員取得攻擊成果后，及時提交到演習平臺并進行展示，顯示每個目標系統(tǒng)被發(fā)現的安全漏洞和問題數量及細節(jié)，防守方可依據攻擊成果進行安全修復整改。預演習攻擊預演習攻擊由安全部門組織開展，攻擊人員從互聯網對目標系統(tǒng)系統(tǒng)進行攻擊，攻擊中禁止使用DDoS攻擊等可能影響業(yè)務系統(tǒng)運行的破壞性攻擊方式，可能使用的攻擊方式包括但不限于：Web滲透Web滲透攻擊是指攻擊者通過目標網絡對外提供Web服務存在的漏洞，控制Web服務所在服務器和設備的一種攻擊方式。旁路滲透旁路滲透攻擊是指攻擊者通過

38、各種攻擊手段取得內部網絡中主機、服務器和設備控制權的一種攻擊。內部網絡不能接受來自外部網絡的直接流量，因此攻擊者通常需要繞過防火墻，并基于外網（非軍事區(qū)）主機作為跳板來間接控制內部網絡中的主機?？诹罟艨诹罟羰枪粽咦钕矚g采用的入侵系統(tǒng)的方法。攻擊者通過猜測或暴力破解的方式獲取系統(tǒng)管理員或其他用戶的口令，獲得系統(tǒng)的管理權，竊取系統(tǒng)信息、修改系統(tǒng)配置。釣魚欺騙魚叉攻擊是黑客攻擊方式之一，最常見的做法是，將木馬程序作為電子郵件的附件，并起上一個極具誘惑力的名稱，發(fā)送給目標電腦，誘使受害者打開附件，從而感染木馬，或者攻擊者通過誘導受害者（IM，郵件內鏈接）訪問其控制的偽裝網站頁面，使得受害者錯誤相

39、信該頁面為某提供其他正常業(yè)務服務的網站頁面，從而使得攻擊者可以獲取受害者隱私信息的一種攻擊方式。通過釣魚欺騙攻擊，攻擊者通常可以獲得受害者的銀行賬號和密碼、其他網站賬號和密碼等。社會工程學 社會工程學是指攻擊者通過各種欺騙手法誘導受害者實施某種行為的一種攻擊方式。社會工程學通用用來竊取受害者隱私，或者誘導受害者實施需要一定權限才能操作的行為以便于攻擊者實施其他攻擊行為。預演習防守預演習防守工作由防護小組開展，在預演習期間，防護小組中各部門應組織技術人員開展安全監(jiān)測、攻擊處置和應急響應等防守工作：業(yè)務監(jiān)測目標系統(tǒng)的相關運維部門利用系統(tǒng)監(jiān)測手段實時監(jiān)測應用系統(tǒng)和服務器運行狀態(tài)，包括系統(tǒng)訪問是否正常

40、、業(yè)務數據是否有異常變更、系統(tǒng)目錄是否出現可疑文件、服務器是否有異常訪問和修改等，監(jiān)測到異常事件后及時協同相關部門共同分析處置。攻擊監(jiān)測預演習期間，安全部門、網絡部門等利用全流量分析設備、Web防火墻、IDS、IPS、數據庫審計等安全設備對網絡攻擊行為進行實時監(jiān)測。基于流量分析，對網絡安全策略有效性進行檢驗，并對安全設備的攻擊告警進行初步分析，評估攻擊真實性和影響，及時協同相關部門共同分析處置。事件處置在業(yè)務系統(tǒng)運行發(fā)生異常事件或安全設備出現攻擊告警后，防護小組應協同對事件進行處置，分析事件原因、明確攻擊方式和影響、確定處置方案，通過調整安全設備策略等方式盡快阻斷攻擊、恢復系統(tǒng)。應急響應在事件

41、處置過程中，經分析確定已發(fā)生網絡攻擊，且攻擊已成功進入系統(tǒng)、獲取部分權限、上傳后門程序，應立即啟動專項應急響應預案，根據攻擊影響可采取阻斷攻擊、系統(tǒng)下線等方式進行處置，并全面排查清理系統(tǒng)內攻擊者創(chuàng)建的系統(tǒng)賬號、后門程序等。修復整改 在網絡攻擊事件處置完畢后，安全部門和業(yè)務主管部門應針對攻擊利用的安全漏洞或缺陷，組織技術力量盡快進行漏洞修復和問題整改。預演習總結參加預演人員對演習過程中發(fā)現的問題進行總結，包括是否存在系統(tǒng)漏洞、安全設備策略是否有缺陷、監(jiān)測手段是否有效等，針對性提出整改計劃和方案，盡快進行整改，同時通過攻防預演習發(fā)現的問題改進和完善安全自查和整改階段的工作，為后續(xù)工作積累經驗。第四

42、階段：正式防護階段在正式防護階段，重點加強防護過程中的安全保障工作，各崗位人員各司其職，從攻擊監(jiān)測、攻擊分析、攻擊阻斷、漏洞修復和追蹤溯源等方面全面加強演習過程的安全防護效果。安全事件實時監(jiān)測當開啟正式防護后，防護小組組織各部門人員，根據崗位職責開展安全事件實時監(jiān)測工作。安全部門組織其他部門人員借助安全防護設備（全流量分析設備、Web防火墻、IDS、IPS、數據庫審計等）開展攻擊安全事件實時監(jiān)測，對發(fā)現的攻擊行為進行確認，詳細記錄攻擊相關數據，為后續(xù)處置工作開展提供信息。事件分析與處置防護小組根據監(jiān)測到安全事件，協同進行分析和確認。如有必要可通過主機日志、網絡設備日志、入侵檢測設備日志等信息對

43、攻擊行為進行分析，以找到攻擊者的源IP地址、攻擊服務器IP地址、郵件地址等信息，并對攻擊方法、攻擊方式、攻擊路徑和工具等進行分析研判。防護小組根據分析結果，應采取相應的處置措施，來確保目標系統(tǒng)安全。通過遏制攻擊行為，使其不再危害目標系統(tǒng)和網絡，依據攻擊行為的具體特點實時制定攻擊阻斷的安全措施，詳細記錄攻擊阻斷操作。業(yè)務主管單位對業(yè)務穩(wěn)定性進行監(jiān)測，工作接口人及時通報相關信息。演習工作小組應針對攻擊演習中可能產生的攻擊事件，根據已經制定的網絡安全專項應急預案進行協同處置，同時在明確攻擊源和攻擊方式后，保證正常業(yè)務運行的前提下，可以通過調整安全設備策略的方式對攻擊命令或IP進行阻斷，分析確認攻擊嘗

44、試利用的安全漏洞，確認安全漏洞的影響，制定漏洞修復方案并及時修復。防護總結與整改全面總結本次攻防演習各階段的工作情況，包括組織隊伍、攻擊情況、防守情況、安全防護措施、監(jiān)測手段、響應和協同處置等，形成總結報告并向有關單位匯報。針對演習結果，對在演習過程中還存在的脆弱點，開展整改工作，進一步提高目標系統(tǒng)的安全防護能力。演習組織及工作計劃演習工作單位和組織分工明確參演單位根據攻防演習確定的系統(tǒng)情況，明確參加演習防守的相關單位，一般應包括業(yè)務、應用、網絡和安全等相關主管和運維單位：業(yè)務主管單位、業(yè)務維護單位；應用系統(tǒng)開發(fā)、運維單位和第三方支持廠商；網絡運維單位和第三方支持廠商；安全運維單位和第三方支持

45、廠商。演習工作組織架構演習領導小組為加強攻防演習的組織領導，確保攻防演習實效，應成立演習領導小組，統(tǒng)一領導和指揮攻防演習工作。演習工作小組演習領導小組下設演習工作小組，組織部署攻防演習的工作任務，具體管理和協調攻防演習工作。演習工作職責分工（一）攻防演習參演系統(tǒng)的業(yè)務主管單位，負責業(yè)務安全相關工作，指定專人接口本次攻防演習工作，在攻防預演習和正式演習階段監(jiān)測業(yè)務安全穩(wěn)定性，并對業(yè)務安全相關問題及時進行內部溝通、信息通報和協同處置，必要時啟動專項應急預案。（二）攻防演習參演系統(tǒng)的技術管理單位，負責攻防演習的技術防護工作，具體組織攻防預演習、安全自查整改、安全防護、安全監(jiān)測和應急處置等工作。（三）

46、專家隊伍可參與演習防護工作，協助提出防護技術方案，并針對相關系統(tǒng)潛在的安全隱患協助提出安全整改建議，開展內部安全測試等相關技術支持工作。（四）外部專家和第三方技術支持單位（安全服務商）協助進行本次攻防演習工作，在攻防預演習中組建攻擊隊，在正式演習中提供協同防護技術支持，并針對演習中發(fā)現的問題提供整改建議。初步工作計劃根據工作階段的劃分和組織分工情況，攻防演習防護工作的初工作計劃如下：工作階段重點任務工作內容組織分工時間計劃準備階段目標系統(tǒng)梳理網絡路徑梳理關聯資產梳理針對本次參演系統(tǒng)進行網絡路徑和關聯資產梳理，為后續(xù)細化監(jiān)測、防護方案奠定基礎。負責部門：電子XXX管理中心XXX技術管理處、XXX技術管理處配合部門：電子XXX管理