2“护网-2019”网络攻防演习防守方案

网络安全实战攻防演习防守方案2019年5月目录1.攻防演习概述........................................................4.攻防演习背景...................................................4.攻击角度看防守.................................................5.演习防守方法论.................................................62.组织及职责分工......................................................8.攻防演习组织...................................................8.职责分工.......................................................9.各阶段工作任务................................................113.防守工作方案.......................................................15.第一阶段：准备阶段............................................16防守方案编制.............................................16防守工作启动会...........................................17重要工作开展.............................................17.第二阶段：安全自查和整改阶段..................................18网络安全检查.............................................19主机安全检查.............................................20应用系统安全检查.........................................21运维终端安全检查.........................................22日志审计.................................................22备份效性检查.............................................24安全意识培训.............................................24安全整改加固.............................................25.第三阶段：攻防预演习阶段......................................25预演习启动会.............................................25授权及备案...............................................26预演习平台...............................................26预演习攻击...............................................27预演习防守...............................................29预演习总结...............................................30.第四阶段：正式防护阶段........................................30安全事件实时监测.........................................31事件分析与处置...........................................31防护总结与整改...........................................324.演习组织及工作计划.................................................32.演习工作单位和组织分工........................................32明确参演单位.............................................32演习工作组织架构.........................................33演习工作职责分工.........................................33.初步工作计划..................................................345.天眼系统部署及运营.................................................376.主机加固实施.......................................................381.攻防演习概述1.1.攻防演习背景网络安全实战攻防演习（以下简称“攻防演习”）是以获取目标系统的最高控制权为目标，由多领域安全专家组成攻击队，在保障业务系统安全的前提下，采用“不限攻击路径，不限制攻击手段”的攻击方式，而形成的“有组织”的网络攻击行为。攻防演习通常是在真实环境下对参演单位目标系统进行可控、可审计的网络安全实战攻击，通过攻防演习检验参演单位的安全防护和应急处置能力，提高网络安全的综合防控能力。近几年我国较大规模的攻防演习主要包括公安机关组织的针对关键信息基础设施的攻防演习、各部委组织的对各省和直属单位重要系统的攻防演习和大型企业组织的对下属单位重要系统的攻防演习。其中，公安部组织的“护网行动”是面向国家重要信息系统和关键信息基础设施的网络安全实战演习，通过实战网络攻击的形式检验我国关键信息基础设施安全防护和应急处置能力，“护网行动”已开展了3年，取得了十分显著的效果，督促各单位有效提升了网络安全防护水平。1.2.攻击角度看防守在攻防演习中，为充分检验参演单位及目标系统的安全防护、监测和应急处置能力，演习组织方通常会选择由经验丰富的安全专家组成攻击队开展网络攻击，在确保不影响业务的前提下，选择一切可利用的资源和手段，采用多变、灵活、隐蔽的攻击力求取得最大战果。参演单位作为防守方，面对“隐蔽”的网络攻击，如何才能有效防御呢“知彼知己，百战不殆”，只有了解攻击方是如何开展攻击的，才能根据攻击特点建立完善的安全防护体系，有效抵御网络攻击。攻击方在组织入侵攻击时，通常会首先制定攻击策略、规划攻击线路，攻击者分工合作，力争在短时间内取得最大战果，常见的攻击步骤为信息收集、漏洞分析、渗透攻击和后渗透攻击。1.3.演习防守方法论“护网”行动的防护应是基于“战时”的防护工作模式，根据护网行动要求，会有防守方和攻击方，同时对防守方设计了加分事宜，基于我司长期积累的攻击方的攻击路径和攻击手段，我司建议采用在主动防御架构下，建立基于可持续监测分析和响应的协同防护模式，分成事前阶段、事中阶段和时候阶段。事前阶段是针对护网行动的前期准备阶段，重点是协助客户模式“护网”进行实战预演习，旨在发现隐患、检验防护和协同应急处置流程，同时协助客户减少被攻击面，开展专项安全检测，重点针对“攻击方”可能利用的安全漏洞进行安全检测，并提供安全建议。客户要基于已有的安全运营工作，进一步加强网络安全策略优化。事中阶段是针对护网行动的实战防护阶段，重点是加强检测、分析和响应处置，能够及时发现网络安全攻击、威胁，并由专业技术人员进行分析，各部门之间协同进行响应和处置，必要时启动应急响应预案。保证护网期间，与用户及相关服务机构联合作战，充分利用现有安全检测与防御手段，结合已有防护经验，协助用户实时检测与分析攻击行为，快速响应处置，解决攻击事件。事后阶段是针对护网工作的总结阶段，可针对护网工作中的组织、流程和技术措施等进行综合分析，并形成后续的改进建议。护网期间需要配套相应的安全工具，包括但不限于基于流量的威胁检测、蜜罐技术、互联网资产发现和主机加固等技术工具或产品。2.组织及职责分工2.1.攻防演习组织为确保本次攻防演习任务的顺利完成，拟成立攻防演习领导小组（以下简称“领导小组”）和三个攻防演习工作组（以下简称“工作组”），组织架构如下图。领导小组防护监测组综合研判组应急处置组制定方案资产梳理安全检查演习准备与公安部联系沟通监测防护措施梳理安全整改加固安全监测防护制定应急方案应急响应处置完善应急响应体系领导小组：组长:XXX,副组长:XXX成员：办公厅、信息管理处、信息网络中心规划研究处、网络处、信息安全处、专项应用管理处、XXX应用管理处、XXX科技处主要负责人。三个工作组：综合研判组、防护监测组、应急处置组，各组成员由相关处室人员和技术支持服务单位人员组成。2.2.职责分工领导小组：负责领导、指挥和协调本次攻防演习工作开展，向XXX领导和公安部汇报攻防演习情况。综合研判组：一是负责制定《网络攻防演习防护方案》、《网络攻防预演习方案》，对全网应用系统、网络、安全监测与防护设备相关资产进行全面梳理，摸清网络安全现状，排查网络安全薄弱点，为后续有针对性的网络安全防护和监控点部署、自查整改等工作提供依据。二是对全网系统资产进行安全检查，发现安全漏洞、弱点和不完善的策略设置，内容包括：应用风险自查：重点针对弱口令、风险服务与端口、审计日志是否开启、漏洞修复等进行检查；漏洞扫描和渗透测试：对应用系统、操作系统、数据库、中间件等进行检测；安全基线检查：对网络设备（路由器、交换机等）、服务器（操作系统、数据库、中间件等）做安全基线检查；安全策略检查：对安全设备（WAF、防火墙、IDS等）做安全策略检查。三是负责演习办公环境及相关资源准备，对目标系统、网络基础环境和安全产品可用性确认，负责确定预演习攻击队伍人员组成等相关工作；四是负责与公安部演习指挥部联系沟通；五是负责对本次攻防演习工作进行总结，编写总结报告。防护监测组：一是梳理现有网络安全监测、防护措施，查找不足；二是根据综合研判组安全自查发现的安全漏洞和风险进行整改加固及策略调优，完善安全防护措施；三是利用已有（全流量安全监测系统、防火墙、WAF、IDS、漏洞扫描系统）和新增（主机入侵检测系统、网站防护系统、安全策略分析系统）监测技术手段对网络攻击行为进行监测、分析、预警和处置（封禁IP地址、应用系统漏洞修复、恶意特征行为阻断等）；四是对网络和应用系统运行情况、审计日志进行全面监控，及时发现异常情况。应急处置组：一是根据公安部演习规则，制定《应急响应工作方案》；二是负责预演习应急演习中安全事件的应急处置，并对演习过程中应急响应方案存在的不足进行完善；三是负责正式攻防演习期间的应急响应处置工作。2.3.各阶段工作任务针对本次攻防演习，按照“统一指挥、职责明确、协同配合、有效应对，积极防御”的原则有序开展工作。1、准备阶段(2019年4月26日-5月17日)明确各工作组参演人员工作职责和任务，对XXX应用系统、网络、安全监测与防护设备相关资产进行全面梳理，摸清网络安全现状，排查网络安全薄弱点，为后续有针对性的网络安全防护和监控点部署、自查整改等工作提供依据。综合研判组：负责预演习和正式演习的方案制定，对全网资产进行全面梳理，摸清网络安全现状，排查网络安全薄弱点。防护监测组：梳理现有网络安全监测、防护措施，查找不足。应急处置组：根据公安部演习规则，制定应急响应方案。（二）自查整改阶段（2019年5月5日