护网2019网络攻防演习防守方案(共40页)

《护网2019网络攻防演习防守方案(共40页)》由会员分享，可在线阅读，更多相关《护网2019网络攻防演习防守方案(共40页)（42页珍藏版）》请在装配图网上搜索。

1、精选优质文档-倾情为你奉上网络安全实战攻防演习防守方案2019年5月目录1. 攻防演习概述1.1. 攻防演习背景网络安全实战攻防演习（以下简称“攻防演习”）是以获取目标系统的最高控制权为目标，由多领域安全专家组成攻击队，在保障业务系统安全的前提下，采用“不限攻击路径，不限制攻击手段”的攻击方式，而形成的“有组织”的网络攻击行为。攻防演习通常是在真实环境下对参演单位目标系统进行可控、可审计的网络安全实战攻击，通过攻防演习检验参演单位的安全防护和应急处置能力，提高网络安全的综合防控能力。近几年我国较大规模的攻防演习主要包括公安机关组织的针对关键信息基础设施的攻防演习、各部委组织的对各省和直属单位重

2、要系统的攻防演习和大型企业组织的对下属单位重要系统的攻防演习。其中，公安部组织的“护网行动”是面向国家重要信息系统和关键信息基础设施的网络安全实战演习，通过实战网络攻击的形式检验我国关键信息基础设施安全防护和应急处置能力，“护网行动”已开展了3年，取得了十分显著的效果，督促各单位有效提升了网络安全防护水平。1.2. 攻击角度看防守在攻防演习中，为充分检验参演单位及目标系统的安全防护、监测和应急处置能力，演习组织方通常会选择由经验丰富的安全专家组成攻击队开展网络攻击，在确保不影响业务的前提下，选择一切可利用的资源和手段，采用多变、灵活、隐蔽的攻击力求取得最大战果。参演单位作为防守方，面对“隐蔽”

3、的网络攻击，如何才能有效防御呢“知彼知己，百战不殆”，只有了解攻击方是如何开展攻击的，才能根据攻击特点建立完善的安全防护体系，有效抵御网络攻击。攻击方在组织入侵攻击时，通常会首先制定攻击策略、规划攻击线路，攻击者分工合作，力争在短时间内取得最大战果，常见的攻击步骤为信息收集、漏洞分析、渗透攻击和后渗透攻击。1.3. 演习防守方法论“护网”行动的防护应是基于“战时”的防护工作模式，根据护网行动要求，会有防守方和攻击方，同时对防守方设计了加分事宜，基于我司长期积累的攻击方的攻击路径和攻击手段，我司建议采用在主动防御架构下，建立基于可持续监测分析和响应的协同防护模式，分成事前阶段、事中阶段和时候阶段

4、。事前阶段是针对护网行动的前期准备阶段，重点是协助客户模式“护网”进行实战预演习，旨在发现隐患、检验防护和协同应急处置流程，同时协助客户减少被攻击面，开展专项安全检测，重点针对“攻击方”可能利用的安全漏洞进行安全检测，并提供安全建议。客户要基于已有的安全运营工作，进一步加强网络安全策略优化。事中阶段是针对护网行动的实战防护阶段，重点是加强检测、分析和响应处置，能够及时发现网络安全攻击、威胁，并由专业技术人员进行分析，各部门之间协同进行响应和处置，必要时启动应急响应预案。保证护网期间，与用户及相关服务机构联合作战，充分利用现有安全检测与防御手段，结合已有防护经验，协助用户实时检测与分析攻击行为，

5、快速响应处置，解决攻击事件。事后阶段是针对护网工作的总结阶段，可针对护网工作中的组织、流程和技术措施等进行综合分析，并形成后续的改进建议。护网期间需要配套相应的安全工具，包括但不限于基于流量的威胁检测、蜜罐技术、互联网资产发现和主机加固等技术工具或产品。专心-专注-专业2. 组织及职责分工2.1. 攻防演习组织为确保本次攻防演习任务的顺利完成，拟成立攻防演习领导小组（以下简称“领导小组”）和三个攻防演习工作组（以下简称“工作组”），组织架构如下图。领导小组：组长:XXX,副组长: XXX成员：办公厅、信息管理处、信息网络中心规划研究处、网络处、信息安全处、专项应用管理处、XXX应用管理处、XX

6、X科技处主要负责人。三个工作组：综合研判组、防护监测组、应急处置组，各组成员由相关处室人员和技术支持服务单位人员组成。2.2. 职责分工领导小组：负责领导、指挥和协调本次攻防演习工作开展，向XXX领导和公安部汇报攻防演习情况。综合研判组：一是负责制定网络攻防演习防护方案、网络攻防预演习方案，对全网应用系统、网络、安全监测与防护设备相关资产进行全面梳理，摸清网络安全现状，排查网络安全薄弱点，为后续有针对性的网络安全防护和监控点部署、自查整改等工作提供依据。二是对全网系统资产进行安全检查，发现安全漏洞、弱点和不完善的策略设置，内容包括：u 应用风险自查：重点针对弱口令、风险服务与端口、审计日志是否

7、开启、漏洞修复等进行检查；u 漏洞扫描和渗透测试：对应用系统、操作系统、数据库、中间件等进行检测；u 安全基线检查：对网络设备（路由器、交换机等）、服务器（操作系统、数据库、中间件等）做安全基线检查；u 安全策略检查：对安全设备（WAF、防火墙、IDS等）做安全策略检查。三是负责演习办公环境及相关资源准备，对目标系统、网络基础环境和安全产品可用性确认，负责确定预演习攻击队伍人员组成等相关工作；四是负责与公安部演习指挥部联系沟通；五是负责对本次攻防演习工作进行总结，编写总结报告。防护监测组：一是梳理现有网络安全监测、防护措施，查找不足；二是根据综合研判组安全自查发现的安全漏洞和风险进行整改加固及

8、策略调优，完善安全防护措施；三是利用已有（全流量安全监测系统、防火墙、WAF、IDS、漏洞扫描系统）和新增（主机入侵检测系统、网站防护系统、安全策略分析系统）监测技术手段对网络攻击行为进行监测、分析、预警和处置（封禁IP地址、应用系统漏洞修复、恶意特征行为阻断等）；四是对网络和应用系统运行情况、审计日志进行全面监控，及时发现异常情况。应急处置组：一是根据公安部演习规则，制定应急响应工作方案；二是负责预演习应急演习中安全事件的应急处置，并对演习过程中应急响应方案存在的不足进行完善；三是负责正式攻防演习期间的应急响应处置工作。2.3. 各阶段工作任务针对本次攻防演习，按照“统一指挥、职责明确、协同

9、配合、有效应对，积极防御”的原则有序开展工作。1、准备阶段(2019年4月26日-5月17日)明确各工作组参演人员工作职责和任务，对XXX应用系统、网络、安全监测与防护设备相关资产进行全面梳理，摸清网络安全现状，排查网络安全薄弱点，为后续有针对性的网络安全防护和监控点部署、自查整改等工作提供依据。综合研判组：负责预演习和正式演习的方案制定，对全网资产进行全面梳理，摸清网络安全现状，排查网络安全薄弱点。防护监测组：梳理现有网络安全监测、防护措施，查找不足。应急处置组：根据公安部演习规则，制定应急响应方案。（二）自查整改阶段（2019年5月5日-24日）针对全网主机、网络、安全设备、应用系统等开展

10、全面的安全检查、漏洞扫描、安全基线检查、安全策略检查等工作，及时发现安全漏洞、弱点和不完善的策略设置。进行安全加固、策略配置优化和改进，切实加强系统的自身防护能力和安全措施的效能，消除高风险安全隐患。综合研判组：对全网系统资产进行安全检查，及时发现和排除安全漏洞和风险隐患。 防护监测组：根据综合研判组安全自查发现的安全漏洞和风险进行整改加固及策略调优，完善安全防护措施。应急处置组：根据公安部演习规则，完善应急响应方案。（三）攻防预演习阶段（2019年5月20日-24日）组织攻击队伍，开展攻防演习预演习。通过攻防预演习，检验各工作组前期工作效果，检验对网络攻击监测、发现、分析和应急处置的能力，检

11、验安全防护措施和监测技术手段的有效性，检验各工作组协调配合默契程度，充分验证工作方案及应急处置预案合理性，进一步完善工作方案和应急预案。领导小组：攻防预演习的统一协调、指挥和决策。综合研判组：准备工作：演习场所及环境准备，对目标系统、网络基础环境和安全产品可用性确认，负责确定预演习攻击队伍人员组成等相关工作。组织协调：负责具体组织协调各工作组开展监控、防护、应急等工作。分析研判：对防护监测组上报的安全事件进行研判，将分析研判结果上报领导小组，按照指示启动相应应急预案。方案完善：验证网络攻防预演习方案可行性，进一步完善网络攻防演习防护方案。防护监测组：监测分析：负责对参演目标系统应用系统运行情况

12、、审计日志进行全面监控，及时发现异常情况；利用已有和新增的技术手段监测攻击行为；预警处置：对恶意攻击行为进行行为阻断，封禁攻击IP地址；事件反馈：将初步分析判定的安全事件反馈综合研判组进行综合研判。应急处置组：对预演习应急演习中安全事件按照应急响应流程进行应急处置，并对演习过程中应急响应方案存在的不足进行完善。（四）正式演习阶段（2019年6月3日-21日）按照公安部演习指挥部的工作安排，全体参演人员到位到岗，在领导小组的统一指挥下，各工作组根据职责分工全天候开展安全监测、分析，及时发现攻击和异常情况。针对网络安全事件启动相应应急预案，开展应急处置工作，抑制网络攻击行为，消除演习目标系统和网络

13、安全风险。领导小组：攻防演习的统一协调、指挥和决策。综合研判组：准备工作：演习场所及环境准备，对目标系统、网络基础环境和安全产品可用性确认。组织协调：负责与公安部演习指挥部联系沟通，具体组织协调各工作组开展监控、防护、应急等工作。综合研判：对防护监测组上报的安全事件进行研判，将分析研判结果报领导小组。方案完善：验证网络攻防预演习方案可行性，进一步完善网络攻防演习防护方案。防护监测组：监测分析：负责对参演目标系统应用系统运行情况、审计日志进行全面监控，及时发现异常情况；利用已有和新增的技术手段监测攻击行为；预警处置：对恶意攻击行为进行行为阻断，封禁攻击IP地址；事件反馈：对已确认的安全事件反馈综

14、合研判组研判。应急处置组：负责攻防演习期间按照应急响应流程进行应急处置工作，完善应急响应体系。（五）总结阶段（2019年7月1日-31日）演习结束，对演习过程中工作情况进行总结，包括组织队伍、攻击情况、防守情况、安全防护措施、监测手段、响应和协同处置等。进一步完善XXX网络安全监测措施、应急响应机制及预案，提升网络安全防护水平。3. 防守工作方案为有效应对攻防演习相关工作，攻防演习防守工作分成四个阶段，分别是准备阶段、安全自查和整改阶段、攻防预演习阶段、正式演习防护阶段。第一阶段：准备阶段准备阶段主要是组建队伍，明确演习流程和分工，进一步梳理本次参演系统的网络路径、数据流和相关资产信息，输出真

15、实的网络拓扑和相关资产信息，整理并确定目标系统的网络安全专项应急预案。第二阶段：安全自查和整改阶段安全自查和整改阶段，主要是在攻防演习开始前，针对攻防演习对象进行安全自查和安全加固。通过安全自查发现的问题，进行整改、加固和完善，确保参演系统在攻防时已做好自身防护工作。第三阶段：攻防预演习阶段攻防预演习阶段，由预演攻击小组，采用专业的攻防演习平台，对目标系统进行实战攻击，防护工作小组牵头防守方工作，实施对抗并进行安全防护。 演习工作小组针对攻防预演习中发现的问题进一步梳理、整改、加固和完善，更深一步分析问题的主要原因，提供杜绝问题再现的有效解决方案和整改措施，同时通过攻防预演习发现的问题逆向推导

16、，以改进和完善安全自查和整改阶段的工作。第四阶段：正式演习防护阶段正式演习防护阶段，要确保防护人员能够持续对网络攻击进行实时监测，并及时进行响应处置，针对演习中发现的漏洞和弱点，能及时进行修补和加固，积极应对，协同进行安全处置。演习结束后全面总结本次攻防演习工作情况，对于发现的问题和短板及时进行归纳整改和弥补，总结有效应对的措施和协同处置的规范流程。3.1. 第一阶段：准备阶段 在正式攻防演习开始前，应充分做好准备阶段工作，为后续演习工作其他阶段提供有效的支撑。3.1.1. 防守方案编制攻防演习工作应按计划逐步有效的进行，参演单位应在演习前，根据本单位实际情况，完成攻防演习防守方案编写，通过演

17、习防守方案指导攻防演习防守工作的开展，确保演习防守工作的效果。3.1.2. 防守工作启动会应在攻防演习开始前，应组织各参演部门相关人员，召开演习工作启动会。以启动会的形式明确本次演习防守工作的目的、工作分工、计划安排和基本工作流程。通过启动会确定演习防守工作主要牵头部门和演习接口人，明确演习时间计划和工作安排，并对演习各阶段参演部门人员的工作内容和职责进行宣贯 。同时，建立演习工作中的沟通联络机制，并建立各参演人员的联系清单，确保演习工作顺利开展。3.1.3. 重要工作开展3.1.3.1. 网络路径梳理对目标系统相关的网络访问路径进行梳理，明确系统访问源（包括用户、设备或系统）的类型、位置和途

18、径的网络节点，绘制准确的网络路径图。网络路径梳理须明确从互联网访问的路径、内部访问路径等，全面梳理目标系统可能被访问到的路径和数据流向，为后续有针对性的网络安全防护和监控点部署奠定基础。3.1.3.2. 关联及未知资产梳理梳理目标系统的关联及未知资产，形成目标系统的关联资产清单、未知资产清单，关联资产包括目标系统网络路径中的各个节点设备、节点设备同一区域的其它设备以及目标系统相关资产，未知资产包括与目标系统可有关联但未记录在关联资产清单里的资产，为后续安全自查和整改加固等工作提供基础数据。3.1.3.3. 专项应急预案确认针对本次攻防演习的目标系统进行专项应急预案的梳理，确定应急预案的流程、措

19、施有效，针对应急预案的组织、技术、管理流程内容进行完善，确保能够有效支撑后续演习工作。3.1.3.4. 加强安全监测防御体系梳理当前已有的安全监测和防御产品，对其实现的功能和防御范围进行确定，并根据已梳理的重要资产和网络路径，建立针对性的临时性（租用或借用）或者长久性（购买）的安全监测防御体系，为后续正式演练及防护阶段提供工具和手段支持。3.2. 第二阶段：安全自查和整改阶段根据准备阶段形成的目标系统关联资产清单、未知资产清单，对与组成目标系统相关的网络设备、服务器、中间件、数据库、应用系统、安全设备等开展安全自查和整改工作。通过安全自查对目标系统的安全状况得以真实反映，结合整改加固手段对评估

20、发现的问题逐一进行整改。设置必要的防御规则，基于最小权限原则制定，即仅仅开放允许业务正常运行所必须的网络和系统资源。确保目标系统在攻防预演习前所有安全问题均已采取措施得到处理。3.2.1. 网络安全检查Ø 网络架构评估l 针对目标系统开展网络架构评估工作，以评估目标系统在网络架构方面的合理性，网络安全防护方面的健壮性，是否已具备有效的防护措施；l 形成网络架构评估报告。Ø 网络安全策略检查l 针对目标系统所涉及的网络设备进行策略检查，确保目前已有策略均按照“按需开放，最小开放”的原则进行开放；l 确保目标系统所涉及的网络设备中无多余、过期的网络策略；l 形成网络安全策略检查

21、报告。Ø 网络安全基线检查l 针对目标系统所涉及的网络设备进行安全基线检查，重点检查多余服务、多余账号、口令策略，禁止存在默认口令和弱口令等配置情况；l 形成网络安全基线检查报告。Ø 安全设备基线检查l 针对目标系统所涉及的安全设备进行安全基线检查，重点检查多余账号、口令策略、策略启用情况、应用规则、特征库升级情况，禁止存在默认口令和弱口令等配置情况；l 形成安全设备基线检查报告。3.2.2. 主机安全检查Ø 主机安全基线l 针对目标系统所涉及的主机进行安全检查，重点检查多余账号、口令策略、账号策略、远程管理等情况；l 形成主机安全基线检查报告。Ø 数据

22、库安全基线l 针对目标系统所涉及的数据库进行安全检查，重点检查多余账号、口令策略、账号策略、远程管理等情况；l 形成主机安全基线检查报告。Ø 中间件安全基线l 针对目标系统所涉及的中间件进行安全检查，重点检查中间件管理后台、口令策略、账号策略、安全配置等情况；l 形成中间件安全基线检查报告。Ø 主机漏洞扫描l 针对目标系统所涉及的主机、数据库以及中间件进行安全漏洞扫描；l 形成主机安全漏洞扫描报告。3.2.3. 应用系统安全检查Ø 应用系统合规检查l 针对目标系统应用进行安全合规检查，重点检查应用系统多余账号、账号策略、口令策略、后台管理等情况；l 形成应用系统合

23、规检查报告。Ø 应用系统源代码检测l 针对目标系统应用进行源代码检测；l 形成应用系统源代码检测报告。Ø 应用系统渗透测试l 针对目标系统应用进行渗透测试；l 形成应用系统渗透测试报告。3.2.4. 运维终端安全检查Ø 运维终端安全策略l 针对目标系统运维终端安全进行安全检查，重点检查运维终端访问目标系统的网络策略等情况；l 形成运维终端安全策略检查报告。Ø 运维终端安全基线l 针对目标系统运维终端进行安全检查，重点检查运维终端的多余账号、账号策略、口令策略、远程管理等情况；l 形成运维终端安全基线检查报告。Ø 运维终端漏洞扫描l 针对目标系统

24、运维终端进行安全漏洞扫描；l 形成运维终端安全漏洞扫描报告。3.2.5. 日志审计Ø 网络设备日志l 针对本次目标系统中网络设备的日志记录进行检查，确认能够对访问和操作行为进行记录；l 明确日志开通级别和记录情况，并对未能进行日志记录的情况进行标记，明确改进措施。Ø 主机日志l 针对本次目标系统中主机的日志记录进行检查，确认能够对访问和操作行为进行记录；l 明确日志开通级别和记录情况，并对未能进行日志记录的情况进行标记，明确改进措施。Ø 中间件日志l 针对本次目标系统中中间件的日志记录进行检查，确认能够对访问和操作行为进行记录；l 对未能进行日志记录的情况进行标记

25、，明确改进措施。Ø 数据库日志l 针对本次目标系统中数据库的日志记录进行检查，确认能够对访问和操作行为进行记录；l 明确日志开通级别和记录情况，并对未能进行日志记录的情况进行标记，明确改进措施。Ø 应用系统日志l 针对本次目标系统中应用的日志记录进行检查，确认能够对访问和操作行为进行记录；l 对未能进行日志记录的情况进行标记，明确改进措施。Ø 安全设备日志l 针对本次目标系统中的安全设备的日志记录进行检查，确认能够对访问和操作行为进行记录；l 对未能进行日志记录的情况进行标记，明确改进措施。3.2.6. 备份效性检查Ø 备份策略检查l 针对本次目标系统中

26、的备份策略（配置备份、重要数据备份等）进行检查，确认备份策略的有效性；l 对无效的备份策略进行标记，明确改进措施。Ø 备份系统有效性检查l 针对本次目标系统中的备份系统有效性进行检查，确认备份系统可用性；l 对无效的备份系统进行标记，明确改进措施。3.2.7. 安全意识培训l 针对本次演习参与人员进行安全意识培训，明确演习工作中应注意的安全事项；l 提高本次演习参与人员的安全意识，针对演习攻击中可能面对的社会工程学攻击、邮件钓鱼等方式，应重点关注；l 提高本次演习参与人员的安全处置能力，针对演习攻击中可能用到的手段和应对措施进行培训。3.2.8. 安全整改加固基于以上安全自查发现的问

27、题和隐患，及时进行安全加固、策略配置优化和改进，切实加强系统的自身防护能力和安全措施的效能，减少安全隐患，降低可能被外部攻击利用的脆弱性和风险。业务主管单位协同安全部门完善网络安全专项应急预案，针对可能产生的网络安全攻击事件建立专项处置流程和措施。3.3. 第三阶段：攻防预演习阶段攻防预演习是为了在正式演习前，检验安全自查和整改阶段的工作效果以及防护小组否能顺利开展防守工作，而组织攻击小组对目标系统开展真实的攻击。通过攻防预演习结果，及时发现目标系统还存在的安全风险，并对遗留（漏）风险进行分析和整改，确保目标系统在正式演习时，所有发现的安全问题均已得到有效的整改和处置。3.3.1. 预演习启动

28、会由领导小组组长牵头，通过正式会议的形式，组织预攻击小组和防护工作小组各成员单位和个人，启动攻防预演习工作，明确攻防演习队伍组成，职责分工，时间计划和工作安排，启动会计划时间X月。启动会上各成员单位共同确定演习采用的攻击方式和风险规避措施，各单位明确预演习工作联系人、各方沟通机制，建立联系人通讯录。根据启动会决议内容，应将此次攻防预演习工作情况及所使用的攻击IP地址等信息，向国家网络安全相关主管部门（公安部、网信办等）进行备案说明。3.3.2. 授权及备案演习开始前期，在对目标系统进行前期的安全准备工作中，参演单位应对第三方技术支撑单位进行正式授权。同时第三方技术支撑单位应向参演单位提供IP信

29、息，参演单位将此次攻防预演习工作情况及所使用的攻击IP地址等信息，向国家网络安全相关主管部门（公安部、网信办等）进行备案说明。确保演习各项工作，均在授权范围内有序进行。3.3.3. 预演习平台本次预演习使用的攻防演习支撑平台，攻击人员的所有行为通过平台进行记录、监管、分析、审计和追溯，保障整个攻击演习的过程可控、风险可控。同时，演习平台提供实况展示、可用性监测和攻击成果展示三个图形化展示页面，在预演习期间可通过大屏进行演示。l 攻击实况展示展示网络攻击的实时状态，展示攻击方与被攻击目标的IP地址及名称，通过光线流动效果及数字标识形成攻击流量信息的直观展示。l 可用性监测实时监测并展示攻击参演系

30、统的健康性，保障攻击目标业务不受影响。通过攻击流量大小准确反应攻击方网络资源占用情况及其对攻击目标形成的压力情况。实时呈现网络流量大小等信息，并展示异常情况的描述。l 攻击成果展示 攻击人员取得攻击成果后，及时提交到演习平台并进行展示，显示每个目标系统被发现的安全漏洞和问题数量及细节，防守方可依据攻击成果进行安全修复整改。3.3.4. 预演习攻击预演习攻击由安全部门组织开展，攻击人员从互联网对目标系统系统进行攻击，攻击中禁止使用DDoS攻击等可能影响业务系统运行的破坏性攻击方式，可能使用的攻击方式包括但不限于：l Web渗透Web渗透攻击是指攻击者通过目标网络对外提供Web服务存在的漏洞，控制

31、Web服务所在服务器和设备的一种攻击方式。l 旁路渗透旁路渗透攻击是指攻击者通过各种攻击手段取得内部网络中主机、服务器和设备控制权的一种攻击。内部网络不能接受来自外部网络的直接流量，因此攻击者通常需要绕过防火墙，并基于外网（非军事区）主机作为跳板来间接控制内部网络中的主机。l 口令攻击口令攻击是攻击者最喜欢采用的入侵系统的方法。攻击者通过猜测或暴力破解的方式获取系统管理员或其他用户的口令，获得系统的管理权，窃取系统信息、修改系统配置。l 钓鱼欺骗鱼叉攻击是黑客攻击方式之一，最常见的做法是，将木马程序作为电子邮件的附件，并起上一个极具诱惑力的名称，发送给目标电脑，诱使受害者打开附件，从而感染木马

32、，或者攻击者通过诱导受害者（IM，邮件内链接）访问其控制的伪装网站页面，使得受害者错误相信该页面为某提供其他正常业务服务的网站页面，从而使得攻击者可以获取受害者隐私信息的一种攻击方式。通过钓鱼欺骗攻击，攻击者通常可以获得受害者的银行账号和密码、其他网站账号和密码等。l 社会工程学 社会工程学是指攻击者通过各种欺骗手法诱导受害者实施某种行为的一种攻击方式。社会工程学通用用来窃取受害者隐私，或者诱导受害者实施需要一定权限才能操作的行为以便于攻击者实施其他攻击行为。3.3.5. 预演习防守预演习防守工作由防护小组开展，在预演习期间，防护小组中各部门应组织技术人员开展安全监测、攻击处置和应急响应等防守

33、工作：l 业务监测目标系统的相关运维部门利用系统监测手段实时监测应用系统和服务器运行状态，包括系统访问是否正常、业务数据是否有异常变更、系统目录是否出现可疑文件、服务器是否有异常访问和修改等，监测到异常事件后及时协同相关部门共同分析处置。l 攻击监测预演习期间，安全部门、网络部门等利用全流量分析设备、Web防火墙、IDS、IPS、数据库审计等安全设备对网络攻击行为进行实时监测。基于流量分析，对网络安全策略有效性进行检验，并对安全设备的攻击告警进行初步分析，评估攻击真实性和影响，及时协同相关部门共同分析处置。l 事件处置在业务系统运行发生异常事件或安全设备出现攻击告警后，防护小组应协同对事件进行

34、处置，分析事件原因、明确攻击方式和影响、确定处置方案，通过调整安全设备策略等方式尽快阻断攻击、恢复系统。l 应急响应在事件处置过程中，经分析确定已发生网络攻击，且攻击已成功进入系统、获取部分权限、上传后门程序，应立即启动专项应急响应预案，根据攻击影响可采取阻断攻击、系统下线等方式进行处置，并全面排查清理系统内攻击者创建的系统账号、后门程序等。l 修复整改 在网络攻击事件处置完毕后，安全部门和业务主管部门应针对攻击利用的安全漏洞或缺陷，组织技术力量尽快进行漏洞修复和问题整改。3.3.6. 预演习总结参加预演人员对演习过程中发现的问题进行总结，包括是否存在系统漏洞、安全设备策略是否有缺陷、监测手段

35、是否有效等，针对性提出整改计划和方案，尽快进行整改，同时通过攻防预演习发现的问题改进和完善安全自查和整改阶段的工作，为后续工作积累经验。3.4. 第四阶段：正式防护阶段在正式防护阶段，重点加强防护过程中的安全保障工作，各岗位人员各司其职，从攻击监测、攻击分析、攻击阻断、漏洞修复和追踪溯源等方面全面加强演习过程的安全防护效果。3.4.1. 安全事件实时监测当开启正式防护后，防护小组组织各部门人员，根据岗位职责开展安全事件实时监测工作。安全部门组织其他部门人员借助安全防护设备（全流量分析设备、Web防火墙、IDS、IPS、数据库审计等）开展攻击安全事件实时监测，对发现的攻击行为进行确认，详细记录攻

36、击相关数据，为后续处置工作开展提供信息。3.4.2. 事件分析与处置防护小组根据监测到安全事件，协同进行分析和确认。如有必要可通过主机日志、网络设备日志、入侵检测设备日志等信息对攻击行为进行分析，以找到攻击者的源IP地址、攻击服务器IP地址、邮件地址等信息，并对攻击方法、攻击方式、攻击路径和工具等进行分析研判。防护小组根据分析结果，应采取相应的处置措施，来确保目标系统安全。通过遏制攻击行为，使其不再危害目标系统和网络，依据攻击行为的具体特点实时制定攻击阻断的安全措施，详细记录攻击阻断操作。业务主管单位对业务稳定性进行监测，工作接口人及时通报相关信息。演习工作小组应针对攻击演习中可能产生的攻击事

37、件，根据已经制定的网络安全专项应急预案进行协同处置，同时在明确攻击源和攻击方式后，保证正常业务运行的前提下，可以通过调整安全设备策略的方式对攻击命令或IP进行阻断，分析确认攻击尝试利用的安全漏洞，确认安全漏洞的影响，制定漏洞修复方案并及时修复。3.4.3. 防护总结与整改全面总结本次攻防演习各阶段的工作情况，包括组织队伍、攻击情况、防守情况、安全防护措施、监测手段、响应和协同处置等，形成总结报告并向有关单位汇报。针对演习结果，对在演习过程中还存在的脆弱点，开展整改工作，进一步提高目标系统的安全防护能力。4. 演习组织及工作计划4.1. 演习工作单位和组织分工4.1.1. 明确参演单位根据攻防演

38、习确定的系统情况，明确参加演习防守的相关单位，一般应包括业务、应用、网络和安全等相关主管和运维单位：l 业务主管单位、业务维护单位；l 应用系统开发、运维单位和第三方支持厂商；l 网络运维单位和第三方支持厂商；l 安全运维单位和第三方支持厂商。4.1.2. 演习工作组织架构4.1.2.1. 演习领导小组为加强攻防演习的组织领导，确保攻防演习实效，应成立演习领导小组，统一领导和指挥攻防演习工作。4.1.2.2. 演习工作小组演习领导小组下设演习工作小组，组织部署攻防演习的工作任务，具体管理和协调攻防演习工作。4.1.3. 演习工作职责分工（一）攻防演习参演系统的业务主管单位，负责业务安全相关工作

39、，指定专人接口本次攻防演习工作，在攻防预演习和正式演习阶段监测业务安全稳定性，并对业务安全相关问题及时进行内部沟通、信息通报和协同处置，必要时启动专项应急预案。（二）攻防演习参演系统的技术管理单位，负责攻防演习的技术防护工作，具体组织攻防预演习、安全自查整改、安全防护、安全监测和应急处置等工作。（三）专家队伍可参与演习防护工作，协助提出防护技术方案，并针对相关系统潜在的安全隐患协助提出安全整改建议，开展内部安全测试等相关技术支持工作。（四）外部专家和第三方技术支持单位（安全服务商）协助进行本次攻防演习工作，在攻防预演习中组建攻击队，在正式演习中提供协同防护技术支持，并针对演习中发现的问题提供整

40、改建议。4.2. 初步工作计划根据工作阶段的划分和组织分工情况，攻防演习防护工作的初工作计划如下：工作阶段重点任务工作内容组织分工时间计划准备阶段目标系统梳理-网络路径梳理-关联资产梳理针对本次参演系统进行网络路径和关联资产梳理，为后续细化监测、防护方案奠定基础。负责部门：电子XXX管理中心XXX技术管理处、XXX技术管理处配合部门：电子XXX管理中心运行监控处、信息安全管理处及相关业务司局20个工作日目标系统网络安全专项应急预案梳理并确认目标系统网络安全专项应急预案，确定网络安全处置流程、措施等负责部门：办公厅、货物与XXX司、XXX技术管理处、XXX技术管理处配合部门：电子XXX管理中心运

41、行监控处、信息安全管理处20个工作日攻防预演习阶段预演习启动会启动XXX系统“护网-2019”攻防预演习工作负责部门：电子XXX管理中心配合部门：XXXXXX办公厅、货物与XXX司预演习平台准备采用为公安部攻防演习提供支撑的专用攻防演习支撑平台，攻击人员的所有访问通过VPN接入演习平台，平台对攻击过程所有行为进行记录、监管、分析、审计和追溯。 负责部门：电子XXX管理中心信息安全管理处配合部门：电子XXX管理中心XXX技术管理处、XXX技术管理处、运行监控处正式预演习信息安全管理处组织攻击队针对XXX参演系统进行受控的网络攻击，防守方进行防守，攻击队分两组，每组2-4人，攻击时间2周。负责部门

42、：电子XXX管理中心配合部门：XXXXXX办公厅、货物与XXX司、第三方技术支持单位（XXX专家队伍）预演习总结针对攻防预演习中发现的问题进行总结，形成专项的安全自查和整改要求。安全自查整改阶段安全自查-安全漏洞扫描-安全基线核查-源代码安全检测-日志审计-安全策略检查开展防护安全自查和整改工作，针对演习中发现的问题进行整改和修复，同时针对参演系统相关资产和关联问题进一步排查，能够更全面的发现安全隐患。负责部门：电子XXX管理中心XXX技术管理处、XXX技术管理处配合部门：电子XXX管理中心运行监控处、信息安全管理处及相关业务司局安全整改加固-安全加固-安全策略配置优化对系统漏洞隐患进行加固，

43、修订、优化网络安全策略配置，加强安全措施效能发挥。正式演习和总结阶段正式演习-攻击监控和阻断-溯源和分析研判正式演习期间参演系统的运维处室要加强网络和应用系统安全监测，针对异常问题及时进行分析和处置，必要时对问题进行溯源和研判。XXX演习领导小组XXX演习工作小组技术支持单位总结汇报在攻防演习结束后，针对总结演习中发现的安全问题、安全漏洞隐患、攻击情况、防守情况、安全防护措施、监测手段、响应和协同处置等进行总结汇报。5. 流量安全监测分析系统部署结合参演的目标信息系统情况和基础的网络安全防护能力（FW、WAF、IDS、防病毒），在本次演习防护工作中需要部署网络攻击安全监测分析设备，对系统内本地

44、流量进行全量还原、存储与深度分析，同时能够结合威胁情报数据，对一些高级威胁能够进行分析和定位。针对XXX单位的XXX系统运行的业务专网环境分别部署网络攻击安全监测分析设备，其中外网部署位置（以目标系统梳理后结果为依据）如下图所示：其中业务专网部署位置（以目标系统梳理后结果为依据）如下图所示：在部署完成后应检查授权期限、流量采集、威胁情报和规则、使用情况（传感器和分析平台日志搜索及导出速度）等方面是否正常，确保护网期间可正常使用开展安全监测、分析和验证工作。6. 主机加固实施在内部业务服务器上安装部署监控服务端，实现网络及系统层攻击拦截，攻击方式捕获、漏洞发现，漏洞修复，补丁管理，系统加固，访问控制，应用隔离，威胁感知，系统资源监控，应用性能监控等功能。用户管理控制端安装在服务器同网段PC终端，用来管理被防护服务器，进行防护策略配置、安全巡检、防护目标管理、攻击监测日志查看、系统资源监控等。通过机器学习技术智能识别网络资产，发现并探测不良资产状态，形成基于资产发现的统一安全防护与监控，发现并抵御CC攻击、SQL注入、XSS跨站、漏洞利用、木马、后门等黑客入侵行为。系统架构服务器安全管理系统部署图服务器安全管理系统分层图