2“护网-2019”网络攻防演习防守方案

网络安全实战攻防演习

防守方案

2019 年 5 月

目录

1. 攻防演习概述 (4)

. 攻防演习背景 (4)

. 攻击角度看防守 (5)

. 演习防守方法论 (6)

2. 组织及职责分工 (8)

. 攻防演习组织 (8)

. 职责分工 (9)

. 各阶段工作任务 (11)

3. 防守工作方案 (15)

. 第一阶段：准备阶段 (16)

防守方案编制 (16)

防守工作启动会 (17)

重要工作开展 (17)

. 第二阶段：安全自查和整改阶段 (18)

网络安全检查 (19)

主机安全检查 (20)

应用系统安全检查 (21)

运维终端安全检查 (22)

日志审计 (22)

备份效性检查 (24)

安全意识培训 (24)

安全整改加固 (25)

. 第三阶段：攻防预演习阶段 (25)

预演习启动会 (25)

授权及备案 (26)

预演习平台 (26)

预演习攻击 (27)

预演习防守 (29)

预演习总结 (30)

. 第四阶段：正式防护阶段 (30)

安全事件实时监测 (31)

事件分析与处置 (31)

防护总结与整改 (32)

4. 演习组织及工作计划 (32)

. 演习工作单位和组织分工 (32)

明确参演单位 (32)

演习工作组织架构 (33)

演习工作职责分工 (33)

. 初步工作计划 (34)

5. 天眼系统部署及运营 (37)

6. 主机加固实施 (38)

1. 攻防演习概述

1.1. 攻防演习背景

网络安全实战攻防演习（以下简称“攻防演习” ）是以获取目标系统的最高控制权为目标，由多领域安全专家组成攻击队，在保障业务系统安全的前提下，采用“不限攻击路径，不限制攻击手段” 的攻击方式，而形成的“有组织”的网络攻击行为。

攻防演习通常是在真实环境下对参演单位目标系统进行可控、可审计的网络安全实战攻击，通过攻防演习检验参演单位的安全防护和应急处置能力，提高网络安全的综合防控能力。

近几年我国较大规模的攻防演习主要包括公安机关组织的针对关键信息基础设施的攻防演习、各部委组织的对各省和直属单位重要系统的攻防演习和大型企业组织的对下属单位重要系统的攻防演习。其中，公安部组织的“护网行动”是面向国家重要信息系统和关键信息基础设施的网络安全实战演习，通过实战网络攻击的形式检验我国关键信息基础设施安全防护和应急处置能力，“护网行动”已开展了3 年，取得了十分显著的效果，督促各单位有效提升了网络安全防护水平。

1.2. 攻击角度看防守

在攻防演习中，为充分检验参演单位及目标系统的安全防护、监测和应急处置能力，演习组织方通常会选择由经验丰富的安全专家组成攻击队开展网络攻击，在确保不影响业务的前提下，选择一切可利用的资源和手段，采用多变、灵活、隐蔽的攻击力求取得最大战果。

参演单位作为防守方，面对“隐蔽”的网络攻击，如何才能有效防御呢“知彼知己，百战不殆” ，只有了解攻击方是如何开展攻击的，才能根据攻击特点建立完善的安全防护体系，有效抵御网络攻击。

攻击方在组织入侵攻击时，通常会首先制定攻击策略、规划攻击线路，攻击者分工合作，力争在短时间内取得最大战果，常见的攻击步骤为信息收集、漏洞分析、渗透攻击和后渗透攻击。

1.3. 演习防守方法论

“护网”行动的防护应是基于“战时”的防护工作模式，根据护网行动要求，会有防守方和攻击方，同时对防守方设计了加分事宜，基于我司长期积累的攻击方的攻击路径和攻击手段，我司建议采用在主动防御架构下，建立基于可持续监测分析和响应的协同防护模式，分成事前阶段、事中阶段和时候阶段。

事前阶段是针对护网行动的前期准备阶段，重点是协助客户模式

“护网”进行实战预演习，旨在发现隐患、检验防护和协同应急处置流

程，同时协助客户减少被攻击面，开展专项安全检测，重点针对“攻击

方”可能利用的安全漏洞进行安全检测，并提供安全建议。客户要基于已有的安全运营工作，进一步加强网络安全策略优化

事中阶段是针对护网行动的实战防护阶段，重点是加强检测、分析和响应

处置，能够及时发现网络安全攻击、威胁，并由专业技术人员进行分析，各部门之间协同进行响应和处置，必要时启动应急响应预案。保证护网期间，与用户及相关服务机构联合作战，充分利用现有安全检测与防御手段，结合已有防护经验，协助用户实时检测与分析攻击行为，快速响应处置，解决攻击事件。

事后阶段是针对护网工作的总结阶段，可针对护网工作中的组织、流程和技术措施等进行综合分析，并形成后续的改进建议。

护网期间需要配套相应的安全工具，包括但不限于基于流量的威胁检测、蜜罐技术、互联网资产发现和主机加固等技术工具或产品

2. 组织及职责分工

2.1. 攻防演习组织

为确保本次攻防演习任务的顺利完成，拟成立攻防演习领导小组（以下简称“领导小组” ）和三个攻防演习工作组（以下简称“工作组” ），组织架构如下图。

领导小组：

组长: XXX,副组长: XXX 成员：办公厅、信息管理处、信息网络中心规划研究处、网络处、信息安全处、专项应用管理处、XXX应用管理处、XXX科技处主要负责人。

三个工作组：综合研判组、防护监测组、应急处置组，各组成员由相关处室人员和技术支持服务单位人员组成。

2.2. 职责分工

领导小组：负责领导、指挥和协调本次攻防演习工作开展，向XXX 领导和公安部汇报攻防演习情况。

综合研判组：一是负责制定《网络攻防演习防护方案》、《网络攻防预演习方案》，对全网应用系统、网络、安全监测与防护设备相关资产进行全面梳理，摸清网络安全现状，排查网络安全薄弱点，为后续有针对性的网络安全防护和监控点部署、自查整改等工作提供依据。

二是对全网系统资产进行安全检查，发现安全漏洞、弱点和不完善的策略设置，内容包括：

应用风险自查：重点针对弱口令、风险服务与端口、审计日志是否开

启、漏洞修复等进行检查；

漏洞扫描和渗透测试：对应用系统、操作系统、数据库、中间件等进行

检测；安全基线检查：对网络设备（路由器、交换机等）、服务器

（操作系统、数据库、中间件等）做安全基线检查；安全策略检查：

对安全设备（WA、F 防火墙、IDS 等）做安全策略检查。

三是负责演习办公环境及相关资源准备，对目标系统、网络基础环境

和安全产品可用性确认，负责确定预演习攻击队伍人员组成等相关工作；

四是负责与公安部演习指挥部联系沟通；五是负责对本次攻防演习工作进行总结，编写总结报告。防护监测组：一是梳理现有网络安全监测、防护措施，查