hw2019工作方案介绍及配套-2防守

攻防演习概 攻防演习背 角度看防 演习防守方法 组织及职责分 攻防演习组 职责分 各阶段工作任 防守工作方 第一阶段：准备阶 防守方案编 防守工作..................................................................................重要工作开 第二阶段：安全自查和阶 检 主机安全检 应用系统安全检 运维终端安全检 日志审 备份效性检 安全意识培 安全加 第三阶段：攻防预演习阶 预演习......................................................................................及备 预演 预演习..........................................................................................预演习防 预演 第四阶段：正式防护阶 安全事件实时监 事件分析与处 防护总结与..................................................................................演习组织及工作计 演习工作单位和组织分 明确参演单 演习工作组织架 演习工作职责分 初步工作计 天眼系统部署及运 主机加固实 攻防演习概攻防演习背）统的最高控制权为目标，由多领域安全组成队，在保障业务系而形成的“有组织”的网络行为。计的实战通过攻防演习检验参演单位的安全防护和应急处置能力，提高的综合防控能力。近几年我国较大规模的攻防演习主要包括机关组织的针对关键信息基础设施的攻防演习、各部委组织的对和直属单位重要系统施的实战演习，通过实战网络的形式检验我国关键信息基础设施安全防护和应急处置护网行动”已开展了3取得了十分显著的效果，督促各单位有效提升了防护水平。角度看防在攻防演习中，为充分检验参演单位及目标系统的安全防护、监和应急处置能力演习组织方通常会选择由经验丰富的安全组成攻击队开展网络在确保不影响业务的前提下选择一切可利用的资源和，采用多变、灵活、隐蔽的力求取得最大战果。参演单位作为防守方面“隐蔽的网络如何才能有效防御呢？“知彼知己，百战不殆，只有了解方是如何开展的，才能根据特点建立完善的安全防护体系，有效抵御网络。方在组织时通常会首先制定策略规划线路者分工合作力争在短时间内取得最大战果常见的步骤为信息收集、分析、渗透和后渗透。演习，“护网行动的防护应是基“的防护工作模式根据护网行动要求会有防守方和方同时对防守方设计了加分事宜基于长期积累的方的路径和建议采用在主动防，事前阶段是针对护网行动的前期准备阶段，重点是协助客户模式“护网进行实战预演在发现隐患检验防护和协同应急处置流程同时协助客户减少被面开展专项安全检测重点针“方可能利用的安全进行安全检测并提供安全建议客户要基于已有的安全运营工作，进一步加强策略优化。和响应处置能够及时发现并由专业技术进行分析，之间协同进行响应和处置，必要时启动应急响应预案。保证护网期间与用户及相关服务机构联合充分利用现有安全检测与防御结合已有防护经验协助用户实时检测与分析行为，快速响应处置，解决事件。流程和技术措施等进行综合分析，并形成后续的改进建议。检测、蜜罐技术、互联网资产发现和主机加固等技术工具或产品。组织及职责分攻防演习组为确保本次攻防演习任务的顺利完成拟成立攻防演习小（以下简称“小组）和三个攻防演习工作组（以下简称“工作组，组织架构如下图。组长:,副组长:成员信息管理处信息网络中心规划研究处网络处息安全处、专项应用管理处、应用管理处、科技处主要。关处室和技术支持服务单 组成职责分小组：负责、指挥和协调本次攻防演习工作开展，向和汇报攻防演习情况。综合、应用系统监测与防护设备相关资产进行全面梳理摸清现状排查薄弱点为后续有针对性的防护和点部署、自查等工作提供依据。、二是对全网系统资产进行安全检查发现安全弱点和不完善的策略设置，内容包括：否开启、修复等进行检查；安全基线检查：对网络设备（路由器、交换机等、服务器（操作系统、数据库、中间件等）做安全基线检查；安全策略检查：对（WAF、、IDS等）做安全策略和安全产品可用性确认，负责确定预演习队伍组成等相关工作；四是负责与演习指挥部联系沟通防护监测组：一是梳理现有监测、防护措施，查找不足二是根据综合研判组安全自查发现的安全和风险进行加固系统）和新增（主机检测系统、防护系统、安全策略分析系统）监测技术对网络行为进行监测、分析、和处置（封禁IP地址、应用系统修复、特征行为阻断等；四是对网络和应用系统运行情况审计日志进行全面及时发现异常情况。应急一是根据演习规则，制定《应急响应工作方案急响应方案存在的不足进行完善；三是负责正式攻防演习期间的应急响应处置工针对本次攻防演习，按照“指挥、职责明确、协同配合、有效应1、准备阶段(2019426517明确各工作组参演工作职责和任务对应用系统网络安全监测与防护设备相关资产进行全面梳理摸清现状排查网络安全薄弱点为后续有针对性的防护和点部署自查等工作提供依据。综合现状，排查薄弱点。防护梳理现有监测、防护措施，查找不足。根据演习规则，制定应急响应方案（二）自查阶段（2019年5月5日-24日针对全网主机、设备、应用系统等开展全面的安全检查、扫描、安全基线检查、安全策略检查等工作，及时发现安全、弱综合对全网系统资产进行安全检查，及时发现和排除安全和风险患防护根据综合研判组安全自查发现的安全和风险进行加固及策应急根据演习规则，完善应急响应方案（三）攻防预演习阶段（201952024日组织队伍开展攻防演习预演习通过攻防预演习检验各工作组前期工作效果，检验对网络监测、发现、分析和应急处置的能力检验安全防护措施和监测技术的有效性检验各工作组协调配合默契攻防预演习的协调、指挥和决策。产品可用性确认，负责确定预演习队伍组成等相关工作。组织协调负责具体组织协调各工作组开展防护应急等工作。上报小组，按照指示启动相应应急预案防护面，及时发现异常情况；利用已有和新增的技术监测行为；处置： 行为进行行为阻断，封 IP地址事件反馈：将初步分析判定的安全事件反馈综合研判组进行综合判应急演习过程中应急响应方案存在的不足进行完善。（四）正式演习阶段（20196321日按照演习指挥部的工作安排全体参演到位到岗在小组的指挥下，各工作组根据职责分工全天候开展安全监测、分析，及时发现和异常情况针对事件启动相应应急预案开展应急处置工作，抑制网络行为，消除演习目标系统和风险。攻防演习的协调、指挥和决策。产品可用性确认。组织协调负责与演习指挥部联系沟通具体组织协调各工作组开展、防护、应急等工作。报小组。防护面，及时发现异常情况；利用已有和新增的技术监测行为；处置：对行为进行行为阻断，封禁IP地址；应急应体系。（五）总结阶段（20197131日、演习结束，对演习过程中工作情况进行总结，包括组织队伍情况、防守情况、安全防护措施、监测、响应和协同处置等。进一步完善监测措施应急响应机制及预案提升防护水平、防守工作方别是准备阶段安全自查和阶段攻防预演习阶段正式演习防护阶段。第一息，整理并确定目标系统的专项应急预案。第二阶段：安全自查和安全自查和阶段主要是在攻防演习开始前针对攻防演习对象进行安全自查和安全加固通过安全自查发现的问题进行加固和完善，确保参演系统在攻防时已做好自身防护工作。第三阶段：攻防预演攻防预演习阶段由预演小组采用专业的攻防演台对目标系统进行实战防护工作小组牵头防守方工作实施对抗并进行安全防护。、演习工作小组针对攻防预演习中发现的问题进一步梳理加固和措施同时通过攻防预演习发现的问题逆向推导以改进和完善安全自查和阶段的工作。、第四阶段：正式演习防护阶，正式演习防护阶段要确保防护能够持续对网络进行实时监测，并及时进行响应处置，针对演习中发现的和弱点进行修，及时进行归纳和弥补，总结有效应对的措施和协同处置的规范流程。第一阶段：准备阶作其他阶段提供有效的支撑。防守方案编防演习防守工作的开展，确保演习防守工作的效果。防守工作应在攻防演习开始前应组织各参演部门相关召开演习工作启动会以的形式明确本次演习防守工作的目的工作分工计划安排和基本工作流程。通过确定演习防守工作主要牵头部门和演习接口人明确演习时间计划和工作安排并对演习各阶段参演部门的工作内容和职责进行宣贯。同时，建立演习工作中的沟通联络机制，并建立各参演的联系，确保演习工作顺利开展。重要工作开网络路径梳、对目标系统相关的网络路径进行梳理明确系统（包括用网络路径梳理须明确从互联网的路径路径等全面梳理目标系统可能被到的路径和数据流向为后续有针对性的、防护和点部署奠定基础梳理目标系统的关联及未知资产形成目标系统的关联资产未知资产关联资产包括目标系统网络路径中的各个节点设备节点设可有关联但未记录在关联资产里的资产为后续安全自查和加固等工作提供基础数据。专项应急预案确（用或借用或者长久（的安全监测防御体系为后续正式演练及防护阶段提供工具和支持。第二阶段：安全自查和阶根据准备阶段形成的目标系统关联资产未知资产对与设备等开展安全自查和工作。通过安全自查对目标系统的安全状况得以真实反映结合加固手段对评估发现的问题逐一进行设置必要的防御规则基于最小权限检网络架构评，构方面的合理性防护方面的健壮性是否已具备有效的防护措施；，形成网络架构评估报策略检略均按照“按需开放，最小开放”的原则进行开放；确保目标系统所涉及的网络设备中无多余、过期的网络策略形成策略检查报告基线检，余服务多余账号口令策略存在默认口令和弱口令等配，置情况形成基线检查报告基线检针对目标系统所涉及的进行安全基线检查重点检查多形成基线检查报告主机安全检主机安全基口令策略、账号策略、管理等情况；形成主机安全基线检查报告针对目标系统所涉及的数据库进行安全检查，重点检查多余账号、口令策略、账号策略、管理等情况；形成主机安全基线检查报告理、口令策略、账号策略、安全配置等情况；形成中间件安全基线检查报主机扫针对目标系统所涉及的主机数据库以及中间件进行安全扫描；形成主机安全扫描报告应用系统安全检应用系统合规检号、账号策略、口令策略、管理等情况；形成应用系统合规检查报告针对目标系统应用进行源代码检测形成应用系统源代码检测报应用系统渗透测针对目标系统应用进行渗透测试形成应用系统渗透测试报告运维终端安全检运维终端安全策问目标系统的网络策略等情况；形成运维终端安全策略检查报告运维终端安全基账号、账号策略、口令策略、管理等情况；形成运维终端安全基线检查报告运维终端扫针对目标系统运维终端进行安全扫描形成运维终端安全扫描报告日志审网络设备日和操作行为进行记录；行标记，明确改进措施。主机日和操作行为进行记录；行标记，明确改进措施。针对本次目标系统间件的日志记录进行检查确认能够对访对未能进行日志记录的情况进行标记，明确改进措施问和操作行为进行记录；行标记，明确改进措施。应用系统日和操作行为进行记录；对未能进行日志记录的情况进行标记，明确改进措施日针对本次目标系统中的的日志记录进行检查确认能够对和操作行为进行记录；对未能进行日志记录的情况进行标记，明确改进措施备份效性检备份策略检针对本次目标系统中的备份策略（配置备份、重要数据备份等进行检查，确认备份策略的有效性；对无效的备份策略进行标记，明确改进措施可用性；对无效的备份系统进行标记，明确改进措施安全意识培针对本次演习参与进行安全意识培训明确演习工作中应注提高本次演习参与的安全意识针对演习中可能面对的社会工程学、邮件等方式，应重点关注；提高本次演习参与的安全处置能力针对演习中可能用到段和应对措施进行培训。安全加隐患，降低可能被外部利用的脆弱性和风险。业务主管单位协同安全部门完善专项应急预案针对可能产 第三阶段：攻防预演习阶攻防预演习是为了在正式演习前检验安全自查和阶段的工作效果以及防护小组否能顺利开展防守工作而组织小组对目标系统开展真实的。（漏风险进行分析和确保目标系统在正式演习时所有发现的安全问题均已得到有效的和处置。预演习由小组组长牵头通过正式会议的形式组织预小组和防护成，职责分工，时间计划和工作安排，计划时间X月。上各成员单位共同确定演习采用的方式和风险规避措施，各单位明确预演习工作联系人、各方沟通机制，建立联系人。根据决议内容应将此次攻防预演习工作情况及所使用的IP地址等信息，向国家相关主管部门（、网信办等）进应对第技术支撑单位进行正式同时第技术支撑单位应向参演单位提供IP信息，参演单位将此次攻防预演习工作情况及所使用的攻击IP地址等信息，向国家相关主管部门（、网信办等）进行备案说明。确保演习各项工作，均在范围内有序进行。预演本次预演习使用的攻防演习支撑平台的所有行为通过平台进行记录分析审计和追溯保障整个演习的过程可控风险可控同时演台提供实况展示可用性监测和成果展示三个图形化展示页面，在预演习期间可通过大屏进行演示。实况展展示网络的实时状态，展示方与被目标的IP地址及名称，通过光线流动效果及数字标识形成流量信息的直观展示。可用性实时监测并展示参演系统的健康性，保障目标业务不受影响通过流量大小准确反应方网络资源占用情况及其对目标成果展取得成果后及时提交到演台并进行展示显示每个目标系统被发现的安全和问题数量及细节防守方可依据成果进行安全修复。预演习由安全部门组织开展从互联网对目标系统系统进行，中使用DDoS等可能影响业务系统运行的破坏性方式，可能使用的方式包括但不限于：Web渗Web渗透是指者通过目标网络对外提供Web服务存在的漏洞，控制Web服务所在服务器和设备的一种方式。旁路渗旁路渗透是指者通过各种取得网络中主机服务器和设备控制权的一种网络不能接受来自外部网络的直接流量，因此者通常需要绕过，并基于（非军事区）主机作为跳板来间接控制网络中的主机。口令口令是者最喜欢采用的系统的方法者通过猜测或的方式获取系统管理员或其他用户的口令，获得系统的管理权，窃取系统信息、修改系统配置。）鱼叉是方式之一最常见的做法是将木马程序作为电子邮件的附件并起上一个极具力的名称发送给目标电脑诱使受害者打开附件从而木马或者者通过诱导受害（IM邮件内其控制的 页面使得受害者错误相信该页面为某提供），其他正常业务服务的页面从而使得者可以获取受害者隐私信息的一种方式通过者通常可以获得受害者的银行账号和、其他账号和等。，社会工社会工程学是指者通过各种手法诱导受害者实施某种行为的一种方式社会工程学通用用来窃取受害者隐私或者诱导受害者实施需要一定权限才能操作的行为以便于者实施其他行为。应组织技术开展安全监测、处置和应急响应等防守工作：业务监目标系统的相关运维部门利用系统监测实时监测应用系统和服务器运行状态包括系统是否正常业务数据是否有异常变更系统是否出现可疑文件服务器是否有异常和修改等监测到异常事件后及时协同相关部门共同分析处监预演习期间，安全部门、网络部门等利用全流量分析设备、Web火墙、IDS、IPS、数据库审计等对网络行为进行实时监测。基于流量分析对策略有效性进行检验并对的告警进行初步分析评估真实性和影响及时协同相关部门共同分析处置事件处在业务系统运行发生异常事件或出现告警后防护小组应协同对事件进行处置分析事件原因明确方式和影响确定处置方案，通过调整策略等方式尽快阻断、恢复系统。应急响在事件处置过程中经分析确定已发生网络且已成功进入据影响可采取阻断系统下线等方式进行处置并全面排查清理系统内者创建的系统账号、后门程序等。修复在网络事件处置完毕后安全部门和业务主管部门应针对利的安全或缺陷，组织技术力量尽快进行修复和问题。预演、参加预演对演习过程中发现的问题进行总结包括是否存在系统策略是否有缺陷监测是否有效等针对性提出计划和方案尽快进行同时通过攻防预演习发现的问题改进和完善安全自查和阶段的工作，为后续工作积累经验。、第四阶段：正式防护阶在正式防护阶段重点加强防护过程中的安全保障工作各岗位各司其职，从监测、分析、阻断、修复和追踪溯源等面全面加强演习过程的安全防护效安全事件实时监当开启正式防护后防护小组组织根据岗位职责开展全事件实时监测工作安全部门组织其他部门借助安全防护设（全流量分析设备WebIDSIPS数据库审计等开展安全事件实时监测对发现的行为进行确认详细记录相关数据为后续处置工作开展提供信息。事件。、防护小组根据监测到安全事件协同进行分析和确认必要可通过主机日志网络设备日志检测设备日志等信息对行为进行分析，以找到者的源IP地址、服务器IP地址、邮件地址等信息，并对方法、方式、路径和工具等进行分析研判。。、通过遏制行为使其不再危害目标系统和网络依据行为的具体特点实时制定阻断的安全措施详细记录阻断操作业务主管单位对业务稳定性进行监测，工作接口人及时通报相关信息。演习工作小组应针对演习中可能产生的事件根据已经制定的专项应急预案进行协同处置，同时在明确源和方式策略的方式对攻击命令或IP进行阻断，分析确认尝试利用的安全，确认安全漏洞的影响，制定修复方案并及时修复。防护总结与全面总结本次攻防演习各阶段的工作情况包括组织队伍情况、防守情况、安全防护措施、监测、响应和协同处置等，形成总结报告针对演习结果对在演习过程中还存在的脆弱点开展工作进一步提高目标系统的安全防护能力。演习组织及工作演习工作单位和组织分明确参演单应包括业务、应用、网络和安全等相关主管和运维单位：业务主管单位、业务单位应用系统开发、运维单位和第支持厂商网络运维单位和第支持厂商安全运维单位和第支持厂商演习工作组织架演习小为加强攻防演习的组织确保攻防演习实效应成立演习小组，和指挥攻防演习工作。演习工作小演习小组下设演习工作小组组织部署攻防演习的工作任务具体管理和协调攻防演习工作。演习工作职责分（一）定性并对业务安全相关问题及时进行沟通信息通报和协同处置，必要时启动专项应急预案。（二具体组织攻防预演习安全自查安全防护安全监测和应急处置等工作。）（三队伍可参与演习防护工作协助提出防护技术方案并针对相关系统潜在的安全隐患协助提出安全建议开展安全测试等相关技术支