网络安全实战攻防演练丨防守方案经验分享-9fdfc31064ec102de2bd960590c69ec3d5bbdbf8.docxVIP

?络安全实战攻防演练?防守?案经验分享

2016年《?络安全法》颁布，出台?络安全演练相关规定：关键信息基础设施的运营者应“制定?络安全事件应急预案，并定期进?演

练”。?络安全实战化攻防演练作为国家层?促进各个?业重要信息系统顺利建设、加强关键信息基础设施的?络安全防护、提升应急响应

?平等的关键?作，以实战、对抗等?式促进?络安全保障能?提升，具有?常重要的意义。

随着?规模攻防演练?动的开展，如何有效地实施演练，提升红蓝攻防对抗演练效果，让防守?在?动时做出更加准确的判断成为了?量?

户的关注重点。

本?希望通过防守?案经验的分享，协助客户在实际?作中减少互联?侧的暴露?，加固?络内部的安全基线，全?提升其安全应对能?，

以降低安全事件的发?概率。此外，本?同时希望可以为客户在重要时期（如护?、重保等）提供专业的安全团队与客户协同防护的经验。

攻击?度看防守

在攻防演练的过程中，我们从攻击?的视?可以了解到?些常见的攻击?段（如弱?令攻击、DDOS攻击、暴?破解等），通过这些攻击?

段我们可以在攻防演练中，充分检验参演单位及?标系统的安全防护、攻击监测和应急处置能?。

演练组织?通常会选择具有丰富攻防经验的安全专家组成攻击队开展?络攻击，在确保不影响参演?正常业务的前提下，选择?切可利?的

资源和?段，采?多变、灵活、隐蔽的攻击?段?求取得最?战果。

参演单位作为防守?，?对“隐蔽”的?络攻击，只有了解攻击?是如何开展攻击的，才能根据攻击特点建?完善的安全防护体系，有效抵

御?络攻击。

?般??，攻击?在组织?侵攻击时的具体步骤如下：?先制定攻击策略，明确攻击?标及?段；其次规划攻击线路，使攻击者分?合作，

?争在短时间内取得最?战果。

攻击步骤中常?的?段有信息收集、漏洞分析、渗透攻击和后渗透攻击。

防守?作?案

了解到攻击?常见的攻击?段后，为有效应对攻防演练相关?作，攻防演练防守?作分成五个阶段，分别是准备阶段、安全?查和整改阶

段、攻防预演练阶段、正式演练防护阶段和总结阶段。

第1阶段：准备阶段

在正式攻防演练开始前，应充分做好准备阶段?作，为后续演练?作其他阶段提供有效的?撑。

防守?案编制

攻防演练?作应按计划逐步有效的进?，参演单位应在演练前，根据实际情况，完成攻防演练防守?案编写，通过演练防守?案指导攻防演

练防守?作的开展，确保演练防守?作的效果。

防守?作启动会

在攻防演练开始前，应组织各参演部门相关?员，召开演练?作启动会。以启动会的形式明确演练防守?作的?的、?作分?、计划安排和

基本?作流程。

通过启动会确定演练防守?作主要牵头部门和演练接??，明确演练时间计划和?作安排，并对演练各阶段参演部门?员的?作内容和职责

进?宣贯。同时，建?演练?作中的沟通联络机制，并建?各参演?员的联系清单，确保演练?作顺利开展。

重要?作开展

针对攻防演练的重要?作梳理，确保能够有效?撑后续演练。梳理内容如下：

?络路径梳理

关联及未知资产梳理

专项应急预案确认

安全监测防御体系

第2阶段：安全?查和整改阶段

通过安全?查对?标系统的安全状况得以真实反映，结合整改加固?段对评估发现的问题逐?进?整改。设置必要的防御规则，基于最?权

限原则制定，即仅仅开放允许业务正常运?所必须的?络和系统资源。确保?标系统在攻防预演练前所有安全问题均已采取措施得到处理。

?查内容如下：

?络安全检查

?络架构评估

?络安全策略检查

?络安全基线检查

安全设备基线检查

主机安全检查

主机安全基线

数据库安全基线

中间件安全基线

主机漏洞扫描

应?系统安全检查

应?系统合规检查

应?系统源代码检测

应?系统渗透测试

运维终端安全检查

运维终端安全策略

运维终端安全基线

运维终端漏洞扫描

?志审计

?络设备?志

主机?志

中间件?志

数据库?志

应?系统?志

安全设备?志

备份效性检查

备份策略检查

备份系统有效性检查

安全整改加固

基于以上安全?查发现的问题和隐患，及时进?安全加固、策略配置优化和改进，切实加强系统的??防护能?和安全措施的效能，减少安

全隐患，降低可能被外部攻击利?的脆弱性和风险。

第3阶段：攻防预演习阶段

攻防预演练是为了在正式演练前，检验安全?查和整改阶段的?作效果以及防护?组能否顺利开展防守?作，?组织攻击?组对?标系统开

展真实的攻击。

通过攻防预演练结果，及时发现?标系统还存在的安全风险，并对遗留风险进?分析和整改，确保?标系统在正式演练时，所有发现的安全

问题均已得到有效的整改和处置。

预演习启动会

由领导?组组长牵头，通过正式会议的形式，组织预攻击?组和防护?作?组各成员单位和个?，启动攻防预演练?作，明确攻防演练队伍

组成，职责分?，时间计划和?作安排。

根据启动会决议内容，应将攻防预演练?作情况