版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
網(wǎng)絡(luò)安全攻防演練防守方方案網(wǎng)絡(luò)安全攻防演練防守方方案全文共網(wǎng)絡(luò)安全攻防演練防守方方案全文共26頁,當(dāng)前為第1頁。目錄1、攻防演習(xí)概述 21.1.攻防演習(xí)背景 21.2.攻擊角度看防守 21.3.演習(xí)防守方法論 32.組織及職責(zé)分工 42.1.攻防演習(xí)組織 42.2職責(zé)分工 52.3.各階段工作任務(wù) 63.防守工作方案 93.1.第一階段:準(zhǔn)備階段 93.1.1.防守方案編制 103.1.2.防守工作啟動(dòng)會(huì) 103.1.3.重要工作開展 103.2.第二階段:安全自查和整改階段 113.2.1.網(wǎng)絡(luò)安全檢查 113.2.2.主機(jī)安全檢查 123.2.3.應(yīng)用系統(tǒng)安全檢查 123.2.4.運(yùn)維終端安全檢查 133.2.5.日志審計(jì) 133.2.6.備份效性檢查 143.2.7.安全意識培訓(xùn) 143.2.8.安全整改加固 153.3.第三階段:攻防預(yù)演習(xí)階段 153.3.1.預(yù)演習(xí)啟動(dòng)會(huì) 153.3.2.授權(quán)及備案 163.3.3.預(yù)演習(xí)平臺 163.3.4.預(yù)演習(xí)攻擊 163.3.5.預(yù)演習(xí)防守 173.3.6預(yù)演習(xí)總結(jié) 183.4第四階段:正式防護(hù)階段 183.4.1.安全事件實(shí)時(shí)監(jiān)測 193.4.2.事件分析與處置 193.4.3.防護(hù)總結(jié)與整改 194.演習(xí)組織及工作計(jì)劃 204.1.演習(xí)工作單位和組織分工 204.1.1.明確參演單位 204.1.2.演習(xí)工作組織架構(gòu) 204.1.3.演習(xí)工作職責(zé)分工 204.2.初步工作計(jì)劃 215.流量安全監(jiān)測分析系統(tǒng)部署 236.主機(jī)加固實(shí)施 25網(wǎng)絡(luò)安全攻防演練防守方方案全文共26頁,當(dāng)前為第2頁。1、攻防演習(xí)概述網(wǎng)絡(luò)安全攻防演練防守方方案全文共26頁,當(dāng)前為第2頁。1.1.攻防演習(xí)背景網(wǎng)絡(luò)安全實(shí)戰(zhàn)攻防演習(xí)(以下簡稱“攻防演習(xí)”)是以獲取目標(biāo)系統(tǒng)的最高控制權(quán)為目標(biāo),由多領(lǐng)域安全專家組成攻擊隊(duì),在保障業(yè)務(wù)系統(tǒng)安全的前提下,采用“不限攻擊路徑,不限制攻擊手段”的攻擊方式,而形成的“有組織”的網(wǎng)絡(luò)攻擊行為。攻防演習(xí)通常是在真實(shí)環(huán)境下對參演單位目標(biāo)系統(tǒng)進(jìn)行可控、可審計(jì)的網(wǎng)絡(luò)安全實(shí)戰(zhàn)攻擊,通過攻防演習(xí)檢驗(yàn)參演單位的安全防護(hù)和應(yīng)急處置能力,提高網(wǎng)絡(luò)安全的綜合防控能力。近幾年我國較大規(guī)模的攻防演習(xí)主要包括公安機(jī)關(guān)組織的針對關(guān)鍵信息基礎(chǔ)設(shè)施的攻防演習(xí)、各部委組織的對各省和直屬單位重要系統(tǒng)的攻防演習(xí)和大型企業(yè)組織的對下屬單位重要系統(tǒng)的攻防演習(xí)。其中,公安部組織的“護(hù)網(wǎng)行動(dòng)”是面向國家重要信息系統(tǒng)和關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全實(shí)戰(zhàn)演習(xí),通過實(shí)戰(zhàn)網(wǎng)絡(luò)攻擊的形式檢驗(yàn)我國關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)和應(yīng)急處置能力,“護(hù)網(wǎng)行動(dòng)”已開展了3年,取得了十分顯著的效果,督促各單位有效提升了網(wǎng)絡(luò)安全防護(hù)水平。1.2.攻擊角度看防守在攻防演習(xí)中,為充分檢驗(yàn)參演單位及目標(biāo)系統(tǒng)的安全防護(hù)、監(jiān)測和應(yīng)急處置能力,演習(xí)組織方通常會(huì)選擇由經(jīng)驗(yàn)豐富的安全專家組成攻擊隊(duì)開展網(wǎng)絡(luò)攻擊,在確保不影響業(yè)務(wù)的前提下,選擇一切可利用的資源和手段,采用多變、靈活、隱蔽的攻擊力求取得最大戰(zhàn)果參演單位作為防守方,面對“隱蔽”的網(wǎng)絡(luò)攻擊,如何才能有效防御呢?“知彼知己,百戰(zhàn)不殆”,只有了解攻擊方是如何開展攻擊的,才能根據(jù)攻擊特點(diǎn)建立完善的安全防護(hù)體系,有效抵御網(wǎng)絡(luò)攻擊。攻擊方在組織入侵攻擊時(shí),通常會(huì)首先制定攻擊策略、規(guī)劃攻擊線路,攻擊者分工合作,力爭在短時(shí)間內(nèi)取得最大戰(zhàn)果,常見的攻擊步驟為信息收集、漏洞分析、滲透攻擊和后滲透攻擊網(wǎng)絡(luò)安全攻防演練防守方方案全文共26頁,當(dāng)前為第3頁。1.3.演習(xí)防守方法論網(wǎng)絡(luò)安全攻防演練防守方方案全文共26頁,當(dāng)前為第3頁。“護(hù)網(wǎng)”行動(dòng)的防護(hù)應(yīng)是基于“戰(zhàn)時(shí)”的防護(hù)工作模式,根據(jù)護(hù)網(wǎng)行動(dòng)要求,會(huì)有防守方和攻擊方,同時(shí)對防守方設(shè)計(jì)了加分事宜,基于我司長期積累的攻擊方的攻擊路徑和攻擊手段,我司建議采用在主動(dòng)防御架構(gòu)下,建立基于可持續(xù)監(jiān)測分析和響應(yīng)的協(xié)同防護(hù)模式,分成事前階段、事中階段和時(shí)候階段。事前階段是針對護(hù)網(wǎng)行動(dòng)的前期準(zhǔn)備階段,重點(diǎn)是協(xié)助客戶模式“護(hù)網(wǎng)”進(jìn)行實(shí)戰(zhàn)預(yù)演習(xí),旨在發(fā)現(xiàn)隱患、檢驗(yàn)防護(hù)和協(xié)同應(yīng)急處置流程,同時(shí)協(xié)助客戶減少被攻擊面,開展專項(xiàng)安全檢測,重點(diǎn)針對“攻擊方”可能利用的安全漏洞進(jìn)行安全檢測,并提供安全建議??蛻粢谝延械陌踩\(yùn)營工作,進(jìn)一步加強(qiáng)網(wǎng)絡(luò)安全策略優(yōu)化。事中階段是針對護(hù)網(wǎng)行動(dòng)的實(shí)戰(zhàn)防護(hù)階段,重點(diǎn)是加強(qiáng)檢測、分析和響應(yīng)處置,能夠及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)安全攻擊、威脅,并由專業(yè)技術(shù)人員進(jìn)行分析,各部門之間協(xié)同進(jìn)行響應(yīng)和處置,必要時(shí)啟動(dòng)應(yīng)急響應(yīng)預(yù)案。保證護(hù)網(wǎng)期間,與用戶及相關(guān)服務(wù)機(jī)網(wǎng)絡(luò)安全攻防演練防守方方案全文共26頁,當(dāng)前為第4頁。網(wǎng)絡(luò)安全攻防演練防守方方案全文共26頁,當(dāng)前為第4頁。事后階段是針對護(hù)網(wǎng)工作的總結(jié)階段,可針對護(hù)網(wǎng)工作中的組織、流程和技術(shù)措施等進(jìn)行綜合分析,并形成后續(xù)的改進(jìn)建議。護(hù)網(wǎng)期間需要配套相應(yīng)的安全工具,包括但不限于基于流量的威脅檢測、蜜罐技術(shù)、互聯(lián)網(wǎng)資產(chǎn)發(fā)現(xiàn)和主機(jī)加固等技術(shù)工具或產(chǎn)品。2.組織及職責(zé)分工2.1.攻防演習(xí)組織為確保本次攻防演習(xí)任務(wù)的順利完成,擬成立攻防演習(xí)領(lǐng)導(dǎo)小組(以下簡稱“領(lǐng)導(dǎo)小組”)和三個(gè)攻防演習(xí)工作組(以下簡稱“工作組”),組織架構(gòu)如下圖。領(lǐng)導(dǎo)小組:組長:XX,副組長:XXX成員:辦公廳、信息管理處、信息網(wǎng)絡(luò)中心規(guī)劃硏究處、網(wǎng)絡(luò)處、信息安全處、專項(xiàng)應(yīng)用管理處、XXX應(yīng)用管理處、XXX科技處主要負(fù)責(zé)人三個(gè)工作組:綜合研判組、防護(hù)監(jiān)測組、應(yīng)急處置組,各組成員由相關(guān)處室人員和技術(shù)支持服務(wù)單位人員組成。網(wǎng)絡(luò)安全攻防演練防守方方案全文共26頁,當(dāng)前為第5頁。2.2職責(zé)分工網(wǎng)絡(luò)安全攻防演練防守方方案全文共26頁,當(dāng)前為第5頁。領(lǐng)導(dǎo)小組:負(fù)責(zé)領(lǐng)導(dǎo)、指揮和協(xié)調(diào)本次攻防演習(xí)工作開展,向XXX領(lǐng)導(dǎo)和公安部匯報(bào)攻防演習(xí)情況。綜合研判組是負(fù)責(zé)制定《網(wǎng)絡(luò)攻防演習(xí)防護(hù)方案》、《網(wǎng)絡(luò)攻防預(yù)演習(xí)方案》,對全網(wǎng)應(yīng)用系統(tǒng)、網(wǎng)絡(luò)、安全監(jiān)測與防護(hù)設(shè)備相關(guān)資產(chǎn)進(jìn)行全面梳理,摸清網(wǎng)絡(luò)安全現(xiàn)狀,排查網(wǎng)絡(luò)安全薄弱點(diǎn),為后續(xù)有針對性的網(wǎng)絡(luò)安全防護(hù)和監(jiān)控點(diǎn)部署、自查整改等工作提供依據(jù)二是對全網(wǎng)系統(tǒng)資產(chǎn)進(jìn)行安全檢查,發(fā)現(xiàn)安全漏洞、弱點(diǎn)和不完善的策略設(shè)置,內(nèi)容包括◆應(yīng)用風(fēng)險(xiǎn)自查:重點(diǎn)針對弱口令、風(fēng)險(xiǎn)服務(wù)與端口、審計(jì)日志是否開啟、漏洞修復(fù)等進(jìn)行檢查;◆漏洞掃描和滲透測試:對應(yīng)用系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫、中間件等進(jìn)行檢測;◆安全基線檢查:對網(wǎng)絡(luò)設(shè)備(路由器、交換機(jī)等)、服務(wù)器(操作系統(tǒng)、數(shù)據(jù)庫、中間件等)做安全基線檢查:◆安全策略檢查:對安全設(shè)備(WAF、防火墻、IDS等)做安全策略檢查。三是負(fù)責(zé)演習(xí)辦公環(huán)境及相關(guān)資源準(zhǔn)備,對目標(biāo)系統(tǒng)、網(wǎng)絡(luò)基礎(chǔ)環(huán)境和安全產(chǎn)品可用性確認(rèn),負(fù)責(zé)確定預(yù)演習(xí)攻擊隊(duì)伍人員組成等相關(guān)工作;四是負(fù)責(zé)與公安部演習(xí)指揮部聯(lián)系溝通;五是負(fù)責(zé)對本次攻防演習(xí)工作進(jìn)行總結(jié),編寫總結(jié)報(bào)告防護(hù)監(jiān)測組:是梳理現(xiàn)有網(wǎng)絡(luò)安全監(jiān)測、防護(hù)措施,查找不足二是根據(jù)綜合研判組安全自查發(fā)現(xiàn)的安全漏洞和風(fēng)險(xiǎn)進(jìn)行整改加固及策略調(diào)優(yōu),完善安全防護(hù)措施;三是利用已有(全流量安全監(jiān)測系統(tǒng)、防火墻、WAF、IDS、漏洞掃描系統(tǒng))和新增(主機(jī)λ侵檢測系統(tǒng)、網(wǎng)站防護(hù)系統(tǒng)、安全策略分析系統(tǒng))監(jiān)測技術(shù)手段對網(wǎng)絡(luò)攻擊行為進(jìn)行監(jiān)測、分析、預(yù)警和處置(封禁IP地址、應(yīng)用系統(tǒng)漏洞修復(fù)、惡意特征行為阻斷等);四是對網(wǎng)絡(luò)和應(yīng)用系統(tǒng)運(yùn)行情況、審計(jì)日志進(jìn)行全面監(jiān)控,及時(shí)發(fā)現(xiàn)異常情況。應(yīng)急處置組是根據(jù)公安部演習(xí)規(guī)則,制定《應(yīng)急響應(yīng)工作方案》;二是負(fù)責(zé)預(yù)演習(xí)應(yīng)急演習(xí)中安全事件的應(yīng)急處置,并對演習(xí)過程中應(yīng)急響應(yīng)方案存在的不足進(jìn)行完善是負(fù)責(zé)正式攻防演習(xí)期間的應(yīng)急響應(yīng)處置工作網(wǎng)絡(luò)安全攻防演練防守方方案全文共26頁,當(dāng)前為第6頁。2.3.各階段工作任務(wù)網(wǎng)絡(luò)安全攻防演練防守方方案全文共26頁,當(dāng)前為第6頁。針對本次攻防演習(xí),按照“統(tǒng)一指揮、職責(zé)明確、協(xié)同配合、有效應(yīng)對,積極防御”的原則有序開展工作。準(zhǔn)備階段(2019年4月26日-5月17日)明確各工作組參演人員工作職責(zé)和任務(wù),對XXX應(yīng)用系統(tǒng)、網(wǎng)絡(luò)、安全監(jiān)測與防護(hù)設(shè)備相關(guān)資產(chǎn)進(jìn)行全面梳理,摸清網(wǎng)絡(luò)安全現(xiàn)狀,排查網(wǎng)絡(luò)安全薄弱點(diǎn),為后續(xù)有針對性的網(wǎng)絡(luò)安全防護(hù)和監(jiān)控點(diǎn)部署、自查整改等工作提供依據(jù)。綜合研判組:負(fù)責(zé)預(yù)演習(xí)和正式演習(xí)的方案制定,對全網(wǎng)資產(chǎn)進(jìn)行全面梳理,摸清網(wǎng)絡(luò)安全現(xiàn)狀,排查網(wǎng)絡(luò)安全薄弱點(diǎn)防護(hù)監(jiān)測組梳理現(xiàn)有網(wǎng)絡(luò)安全監(jiān)測、防護(hù)措施,查找不足。應(yīng)急處置組根據(jù)公安部演習(xí)規(guī)則,制定應(yīng)急響應(yīng)方案。(二)自查整改階段(2019年5月5日-24日)針對全網(wǎng)主機(jī)、網(wǎng)絡(luò)、安全設(shè)備、應(yīng)用系統(tǒng)等開展全面的安全檢查、漏洞掃描、安全基線檢査、安全策略檢査等工作,及時(shí)發(fā)現(xiàn)安全漏洞、弱點(diǎn)和不完善的策略設(shè)置。進(jìn)行安全加固、策略配置優(yōu)化和改進(jìn),切實(shí)加強(qiáng)系統(tǒng)的自身防護(hù)能力和安全措施的效能,消除高風(fēng)險(xiǎn)安全隱患。綜合研判組:對全網(wǎng)系統(tǒng)資產(chǎn)進(jìn)行安全檢查,及時(shí)發(fā)現(xiàn)和排除安全漏洞和風(fēng)險(xiǎn)隱。防護(hù)監(jiān)測組:根據(jù)綜合硏判組安全自查發(fā)現(xiàn)的安全漏洞和風(fēng)險(xiǎn)進(jìn)行整改加固及策略調(diào)優(yōu),完善安全防護(hù)措施。應(yīng)急處置組:根據(jù)公安部演習(xí)規(guī)則,完善應(yīng)急響應(yīng)方案。(三)攻防預(yù)演習(xí)階段②2019年5月20日-24日)組織攻擊隊(duì)伍,開展攻防演習(xí)預(yù)演習(xí)。通過攻防預(yù)演習(xí),檢驗(yàn)各工作組前期工作效果,檢驗(yàn)對網(wǎng)絡(luò)攻擊監(jiān)測、發(fā)現(xiàn)、分析和應(yīng)急處置的能力,檢驗(yàn)安全防護(hù)措施和監(jiān)測技術(shù)手段的有效性,檢驗(yàn)各工作組協(xié)調(diào)配合默契程度,充分驗(yàn)證工作方案及應(yīng)急處置預(yù)案合理性,進(jìn)一步完善工作方案和應(yīng)急預(yù)案。領(lǐng)導(dǎo)小組:攻防預(yù)演習(xí)的統(tǒng)一協(xié)調(diào)、指揮和決策。綜合研判組網(wǎng)絡(luò)安全攻防演練防守方方案全文共26頁,當(dāng)前為第7頁。網(wǎng)絡(luò)安全攻防演練防守方方案全文共26頁,當(dāng)前為第7頁。組織協(xié)調(diào):負(fù)責(zé)具體組織協(xié)調(diào)各工作組開展監(jiān)控、防護(hù)、應(yīng)急等工作。分析研判:對防護(hù)監(jiān)測組上報(bào)的安全事件進(jìn)行研判,將分析研判結(jié)果上報(bào)領(lǐng)導(dǎo)小組,按照指示啟動(dòng)相應(yīng)應(yīng)急預(yù)案。方案完善:驗(yàn)證《網(wǎng)絡(luò)攻防預(yù)演習(xí)方案》可行性,進(jìn)一步完善《網(wǎng)絡(luò)攻防演習(xí)防護(hù)方案》。防護(hù)監(jiān)測組:監(jiān)測分析:負(fù)責(zé)對參演目標(biāo)系統(tǒng)應(yīng)用系統(tǒng)運(yùn)行情況、審計(jì)日志進(jìn)行全面監(jiān)控,及時(shí)發(fā)現(xiàn)異常情況;利用已有和新增的技術(shù)手段監(jiān)測攻擊行為;預(yù)警處置:對惡意攻擊行為進(jìn)行行為阻斷,封禁攻擊IP地址;事件反饋:將初步分析判定的安全事件反饋綜合硏判組進(jìn)行綜合研應(yīng)急處置組對預(yù)演習(xí)應(yīng)急演習(xí)中安全事件按照應(yīng)急響應(yīng)流程進(jìn)行應(yīng)急處置,并對演習(xí)過程中應(yīng)急響應(yīng)方案存在的不足進(jìn)行完善(四)正式演習(xí)階段(2019年6月3日21日)按照公安部演習(xí)指揮部的工作安排,全體參演人員到位到崗,在領(lǐng)導(dǎo)小組的統(tǒng)一指揮下,各工作組根據(jù)職責(zé)分工全天候開展安全監(jiān)測、分析,及時(shí)發(fā)現(xiàn)攻擊和異常情況。針對網(wǎng)絡(luò)安全事件啟動(dòng)相應(yīng)應(yīng)急預(yù)案,開展應(yīng)急處置工作,抑制網(wǎng)絡(luò)攻擊行為,消除演習(xí)目標(biāo)系統(tǒng)和網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。領(lǐng)導(dǎo)小組:攻防演習(xí)的統(tǒng)一協(xié)調(diào)、指揮和決策。綜合研判組:準(zhǔn)備工作:演習(xí)場所及環(huán)境準(zhǔn)備,對目標(biāo)系統(tǒng)、網(wǎng)絡(luò)基礎(chǔ)環(huán)境和安全品可用性確認(rèn),負(fù)責(zé)確定預(yù)演習(xí)攻擊隊(duì)伍人員組成等相關(guān)工作組織協(xié)調(diào):負(fù)責(zé)具體組織協(xié)調(diào)各工作組開展監(jiān)控、防護(hù)、應(yīng)急等工作。分析研判:對防護(hù)監(jiān)測組上報(bào)的安全事件進(jìn)行研判,將分析研判結(jié)果上報(bào)領(lǐng)導(dǎo)小組,按照指示啟動(dòng)相應(yīng)應(yīng)急預(yù)案。方案完善:驗(yàn)證《網(wǎng)絡(luò)攻防預(yù)演習(xí)方案》可行性,進(jìn)一步完善《網(wǎng)絡(luò)攻防演習(xí)防護(hù)方案》。防護(hù)監(jiān)測組監(jiān)測分析:負(fù)責(zé)對參演目標(biāo)系統(tǒng)應(yīng)用系統(tǒng)運(yùn)行情況、審計(jì)日志進(jìn)行全面監(jiān)控,及時(shí)發(fā)現(xiàn)異常情況;利用已有和新增的技術(shù)手段監(jiān)測攻擊行為;預(yù)警處置:對惡意攻擊行為進(jìn)行行為阻斷,封禁攻擊IP地址;事件反饋:將初步分析判定的安全事件反饋綜合硏判組進(jìn)行綜合研判網(wǎng)絡(luò)安全攻防演練防守方方案全文共26頁,當(dāng)前為第8頁。網(wǎng)絡(luò)安全攻防演練防守方方案全文共26頁,當(dāng)前為第8頁。對預(yù)演習(xí)應(yīng)急演習(xí)中安全事件按照應(yīng)急響應(yīng)流程進(jìn)行應(yīng)急處置,并對演習(xí)過程中應(yīng)急響應(yīng)方案存在的不足進(jìn)行完善。(四)正式演習(xí)階段②2019年6月3日21日)按照公安部演習(xí)指揮部的工作安排,全體參演人員到位到崗,在領(lǐng)導(dǎo)小組的統(tǒng)一指揮下,各工作組根據(jù)職責(zé)分工全天候開展安全監(jiān)測、分析,及時(shí)發(fā)現(xiàn)攻擊和異常情況。針對網(wǎng)絡(luò)安全事件啟動(dòng)相應(yīng)應(yīng)急預(yù)案,開展應(yīng)急處置工作,抑制網(wǎng)絡(luò)攻擊行為,消除演習(xí)目標(biāo)系統(tǒng)和網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。領(lǐng)導(dǎo)小組:攻防演習(xí)的統(tǒng)一協(xié)調(diào)、指揮和決策。綜合研判組:準(zhǔn)備工作:演習(xí)場所及環(huán)境準(zhǔn)備,對目標(biāo)系統(tǒng)、網(wǎng)絡(luò)基礎(chǔ)環(huán)境和安全產(chǎn)品可用性確認(rèn)組織協(xié)調(diào):負(fù)責(zé)與公安部演習(xí)指揮部聯(lián)系溝通,具體組織協(xié)調(diào)各工作組開展監(jiān)控、防護(hù)、應(yīng)急等工作。綜合研判:對防護(hù)監(jiān)測組上報(bào)的安全事件進(jìn)行研判,將分析研判結(jié)果報(bào)領(lǐng)導(dǎo)小組。方案完善:驗(yàn)證《網(wǎng)絡(luò)攻防預(yù)演習(xí)方案》可行性,進(jìn)一步完善《網(wǎng)絡(luò)攻防演習(xí)防護(hù)方案》。防護(hù)監(jiān)測組:監(jiān)測分析:負(fù)責(zé)對參演目標(biāo)系統(tǒng)應(yīng)用系統(tǒng)運(yùn)行情況、審計(jì)日志進(jìn)行全面監(jiān)控,及時(shí)發(fā)現(xiàn)異常情況;利用已有和新增的技術(shù)手段監(jiān)測攻擊行為預(yù)警處置:對惡意攻擊行為進(jìn)行行為阻斷,封禁攻擊IP地址;事件反饋:對已確認(rèn)的安全事件反饋綜合研判組研判應(yīng)急處置組:負(fù)責(zé)攻防演習(xí)期間按照應(yīng)急響應(yīng)流程進(jìn)行應(yīng)急處置工作,完善應(yīng)急響應(yīng)體系(五)總結(jié)階段(2019年7月1日-31日)演習(xí)結(jié)束,對演習(xí)過程中工作情況進(jìn)行總結(jié),包括組織隊(duì)伍、攻擊情況、防守情況、安全防護(hù)措施、監(jiān)測手段、響應(yīng)和協(xié)同處置等。進(jìn)一步完善XXX網(wǎng)絡(luò)安全監(jiān)測措施、應(yīng)急響應(yīng)機(jī)制及預(yù)案,提升網(wǎng)絡(luò)安全防護(hù)水平。網(wǎng)絡(luò)安全攻防演練防守方方案全文共26頁,當(dāng)前為第9頁。3.防守工作方案網(wǎng)絡(luò)安全攻防演練防守方方案全文共26頁,當(dāng)前為第9頁。為有效應(yīng)對攻防演習(xí)相關(guān)工作,攻防演習(xí)防守工作分成四個(gè)階段,分別是準(zhǔn)備階段、安全自查和整改階段、攻防預(yù)演習(xí)階段、正式演習(xí)防護(hù)階段第一階段:準(zhǔn)備階段準(zhǔn)備階段主要是組建隊(duì)伍,明確演習(xí)流程和分工,進(jìn)一步梳理本次參演系統(tǒng)的網(wǎng)絡(luò)路徑、數(shù)據(jù)流和相關(guān)資產(chǎn)信息,輸岀真實(shí)的網(wǎng)絡(luò)拓?fù)浜拖嚓P(guān)資產(chǎn)信息,整理并確定目標(biāo)系統(tǒng)的網(wǎng)絡(luò)安全專項(xiàng)應(yīng)急預(yù)案。第二階段:安全自查和整改階段安全自查和整改階段,主要是在攻防演習(xí)開始前,針對攻防演習(xí)對象進(jìn)行安全自查和安全加固。通過安全自查發(fā)現(xiàn)的問題,進(jìn)行整改、加固和完善,確保參演系統(tǒng)在攻防時(shí)已做好自身防護(hù)工作。第三階段:攻防預(yù)演習(xí)階段攻防預(yù)演習(xí)階段,由預(yù)演攻擊小組,采用專業(yè)的攻防演習(xí)平臺,對目標(biāo)系統(tǒng)進(jìn)行實(shí)戰(zhàn)攻擊,防護(hù)工作小組牽頭防守方工作,實(shí)施對抗并進(jìn)行安全防護(hù)演習(xí)工作小組針對攻防預(yù)演習(xí)中發(fā)現(xiàn)的問題進(jìn)一步梳理、整改、加固和完善,更深一步分析問題的主要原因,提供杜絕問題再現(xiàn)的有效解決方案和整改措施,同時(shí)通過攻防預(yù)演習(xí)發(fā)現(xiàn)的問題逆向推導(dǎo),以改進(jìn)和完善安全自查和整改階段的工作。第四階段:正式演習(xí)防護(hù)階段正式演習(xí)防護(hù)階段,要確保防護(hù)人員能夠持續(xù)對網(wǎng)絡(luò)攻擊進(jìn)行實(shí)時(shí)監(jiān)測,并及時(shí)進(jìn)行響應(yīng)處置,針對演習(xí)中發(fā)現(xiàn)的漏洞和弱點(diǎn),能及時(shí)進(jìn)行修補(bǔ)和加固,積極應(yīng)對,協(xié)同進(jìn)行安全處置。演習(xí)結(jié)束后全面總結(jié)本次攻防演習(xí)工作情況,對于發(fā)現(xiàn)的問題和短板及時(shí)進(jìn)行歸納整改和彌補(bǔ),總結(jié)有效應(yīng)對的措施和協(xié)同處置的規(guī)范流程。3.1.第一階段:準(zhǔn)備階段在正式攻防演習(xí)開始前,應(yīng)充分做好準(zhǔn)備階段工作,為后續(xù)演習(xí)工作其他階段提供有效的支撐網(wǎng)絡(luò)安全攻防演練防守方方案全文共26頁,當(dāng)前為第10頁。3.1.1.防守方案編制網(wǎng)絡(luò)安全攻防演練防守方方案全文共26頁,當(dāng)前為第10頁。攻防演習(xí)工作應(yīng)按計(jì)劃逐步有效的進(jìn)行,參演單位應(yīng)在演習(xí)前,根據(jù)本單位實(shí)際情況,完成攻防演習(xí)防守方案編寫,通過演習(xí)防守方案指導(dǎo)攻防演習(xí)防守工作的開展,確保演習(xí)防守工作的效果。3.1.2.防守工作啟動(dòng)會(huì)應(yīng)在攻防演習(xí)開始前,應(yīng)組織各參演部門相關(guān)人員,召開演習(xí)工作啟動(dòng)會(huì)。以啟動(dòng)會(huì)的形式明確本次演習(xí)防守工作的目的、工作分工、計(jì)劃安排和基本工作流程通過啟動(dòng)會(huì)確定演習(xí)防守工作主要牽頭部門和演習(xí)接口人,明確演習(xí)時(shí)間計(jì)劃和工作安排,并對演習(xí)各階段參演部門人員的工作內(nèi)容和職責(zé)進(jìn)行宣貫。同時(shí),建立演習(xí)工作中的溝通聯(lián)絡(luò)機(jī)制,并建立各參演人員的聯(lián)系清單,確保演習(xí)工作順利開展。3.1.3.重要工作開展3.1.3.1.網(wǎng)絡(luò)路徑梳理對目標(biāo)系統(tǒng)相關(guān)的網(wǎng)絡(luò)訪問路徑進(jìn)行梳理,明確系統(tǒng)訪問源(包括用戶、設(shè)備或系統(tǒng))的類型、位置和途徑的網(wǎng)絡(luò)節(jié)點(diǎn),繪制準(zhǔn)確的網(wǎng)絡(luò)路徑圖。網(wǎng)絡(luò)路徑梳理須眀確從互聯(lián)網(wǎng)訪間的路徑、內(nèi)部訪冋路徑等,全面梳理目標(biāo)系統(tǒng)可能被訪問到的路徑和數(shù)據(jù)流向,為后續(xù)有針對性的網(wǎng)絡(luò)安全防護(hù)和監(jiān)控點(diǎn)部署奠定基礎(chǔ)。3.1.3.2.關(guān)聯(lián)及未知資產(chǎn)梳理梳理目標(biāo)系統(tǒng)的關(guān)聯(lián)及未知資產(chǎn),形成目標(biāo)系統(tǒng)的關(guān)聯(lián)資產(chǎn)清單、未知資產(chǎn)清單,關(guān)聯(lián)資產(chǎn)包括目標(biāo)系統(tǒng)網(wǎng)絡(luò)路徑中的各個(gè)節(jié)點(diǎn)設(shè)備、節(jié)點(diǎn)設(shè)備同一區(qū)域的其它設(shè)備以及目標(biāo)系統(tǒng)相關(guān)資產(chǎn),未知資產(chǎn)包括與目標(biāo)系統(tǒng)可有關(guān)聯(lián)但未記錄在關(guān)聯(lián)資產(chǎn)清單里的資產(chǎn),為后續(xù)安全自查和整改加固等工作提供基礎(chǔ)數(shù)據(jù)。網(wǎng)絡(luò)安全攻防演練防守方方案全文共26頁,當(dāng)前為第11頁。網(wǎng)絡(luò)安全攻防演練防守方方案全文共26頁,當(dāng)前為第11頁。針對本次攻防演習(xí)的目標(biāo)系統(tǒng)進(jìn)行專項(xiàng)應(yīng)急預(yù)案的梳理,確定應(yīng)急預(yù)案的流程、措施有效,針對應(yīng)急預(yù)案的組織、技術(shù)、管理流程內(nèi)容進(jìn)行完善,確保能夠有效支撐后續(xù)演習(xí)工作3.1.3.4.加強(qiáng)安全監(jiān)測防御體系梳理當(dāng)前已有的安全監(jiān)測和防御產(chǎn)品,對其實(shí)現(xiàn)的功能和防御范圍進(jìn)行確定,并根據(jù)已梳理的重要資產(chǎn)和網(wǎng)絡(luò)路徑,建立針對性●臨時(shí)性(租用或借用)或者長久性(購買)的安全監(jiān)測防御體系,為后續(xù)正式演練及防護(hù)階段提供工具和手段支持3.2.第二階段:安全自查和整改階段根據(jù)準(zhǔn)備階段形成的目標(biāo)系統(tǒng)關(guān)聯(lián)資產(chǎn)清單、未知資產(chǎn)清單,對與組成目標(biāo)系統(tǒng)相關(guān)的網(wǎng)絡(luò)設(shè)備、服務(wù)器、中間件、數(shù)據(jù)庫、應(yīng)用系統(tǒng)、安全設(shè)備等開展安全自查和整改工作。通過安全自查對目標(biāo)系統(tǒng)的安全狀況得以真實(shí)反映,結(jié)合整改加固手段對評估發(fā)現(xiàn)的問題逐一進(jìn)行整改。設(shè)置必要的防御規(guī)則,基于最小權(quán)限原則制定,即僅僅開放允許業(yè)務(wù)正常運(yùn)行所必須的網(wǎng)絡(luò)和系統(tǒng)資源。確保目標(biāo)系統(tǒng)在攻防預(yù)演習(xí)前所有安全問題均已采取措施得到處理。3.2.1.網(wǎng)絡(luò)安全檢查網(wǎng)絡(luò)架構(gòu)評估●針對目標(biāo)系統(tǒng)開展網(wǎng)絡(luò)架構(gòu)評估工作,以評估目標(biāo)系統(tǒng)在網(wǎng)絡(luò)架構(gòu)方面的合理性,網(wǎng)絡(luò)安全防護(hù)方面的健壯性,是否已具備有效的防護(hù)措施;●形成網(wǎng)絡(luò)架構(gòu)評估報(bào)告冫網(wǎng)絡(luò)安全策略檢查●針對目標(biāo)系統(tǒng)所涉及的網(wǎng)絡(luò)設(shè)備進(jìn)行策略檢查,確保目前已有策略均按照網(wǎng)絡(luò)安全攻防演練防守方方案全文共26頁,當(dāng)前為第12頁?!鞍葱栝_放,最小開放”網(wǎng)絡(luò)安全攻防演練防守方方案全文共26頁,當(dāng)前為第12頁?!翊_保目標(biāo)系統(tǒng)所涉及的網(wǎng)絡(luò)設(shè)備中無多余、過期的網(wǎng)絡(luò)策略●形成網(wǎng)絡(luò)安全策略檢查報(bào)告冫網(wǎng)絡(luò)安全基線檢查●針對目標(biāo)系統(tǒng)所涉及的網(wǎng)絡(luò)設(shè)備進(jìn)行安全基線檢查,重點(diǎn)檢查多余服務(wù)、多余賬號、口令策略,禁止存在默認(rèn)口令和弱口令等配置情況●形成網(wǎng)絡(luò)安全基線檢查報(bào)告。安全設(shè)備基線檢查●針對目標(biāo)系統(tǒng)所涉及的安全設(shè)備進(jìn)行安全基線檢查,重點(diǎn)檢查多余賬號、口令策略、策略啟用情況、應(yīng)用規(guī)則、特征庫升級情況,禁止存在默認(rèn)口令和弱口令等配置情況;形成安全設(shè)備基線檢查報(bào)告3.2.2.主機(jī)安全檢查冫主機(jī)安全基線●針對目標(biāo)系統(tǒng)所涉及的主機(jī)進(jìn)行安全檢查,重點(diǎn)檢查多余賬號口令策略、賬號策略、遠(yuǎn)程管理等情況;●形成主機(jī)安全基線檢查報(bào)告冫數(shù)據(jù)庫安全基線●針對目標(biāo)系統(tǒng)所涉及的數(shù)據(jù)庫進(jìn)行安全檢查,重點(diǎn)檢查多余賬號、口令策略、賬號策略、遠(yuǎn)程管理等情況;形成主機(jī)安全基線檢查報(bào)告冫中間件安全基線針對目標(biāo)系統(tǒng)所涉及的中間件進(jìn)行安全檢查,重點(diǎn)檢查中間件管理后臺、口令策略、賬號策略、安全配置等情況;●形成中間件安全基線檢查報(bào)告。冫主機(jī)漏洞掃描●針對目標(biāo)系統(tǒng)所涉及的主機(jī)、數(shù)據(jù)庫以及中間件進(jìn)行安全漏洞掃描●形成主機(jī)安全漏洞掃描報(bào)告。3.2.3.應(yīng)用系統(tǒng)安全檢查冫應(yīng)用系統(tǒng)合規(guī)檢查網(wǎng)絡(luò)安全攻防演練防守方方案全文共26頁,當(dāng)前為第13頁?!窬W(wǎng)絡(luò)安全攻防演練防守方方案全文共26頁,當(dāng)前為第13頁。冫應(yīng)用系統(tǒng)源代碼檢測●針對目標(biāo)系統(tǒng)應(yīng)用進(jìn)行源代碼檢測;●形成應(yīng)用系統(tǒng)源代碼檢測報(bào)告。冫應(yīng)用系統(tǒng)滲透測試●針對目標(biāo)系統(tǒng)應(yīng)用進(jìn)行滲透測試;形成應(yīng)用系統(tǒng)滲透測試報(bào)告。3.2.4.運(yùn)維終端安全檢查冫運(yùn)維終端安全策略●針對目標(biāo)系統(tǒng)運(yùn)維終端安全進(jìn)行安全檢查,重點(diǎn)檢查運(yùn)維終端訪問目標(biāo)系統(tǒng)的網(wǎng)絡(luò)策略等情況;●形成運(yùn)維終端安全策略檢查報(bào)告冫運(yùn)維終端安全基線●針對目標(biāo)系統(tǒng)運(yùn)維終端進(jìn)行安全檢查,重點(diǎn)檢查運(yùn)維終端的多余賬號、賬號策略、口令策略、遠(yuǎn)程管理等情況;形成運(yùn)維終端安全基線檢查報(bào)告。冫運(yùn)維終端漏洞掃描●針對目標(biāo)系統(tǒng)運(yùn)維終端進(jìn)行安全漏洞掃描●形成運(yùn)維終端安全漏洞掃描報(bào)告。3.2.5.日志審計(jì)冫網(wǎng)絡(luò)設(shè)備日志●針對本次目標(biāo)系統(tǒng)中網(wǎng)絡(luò)設(shè)備的日志記錄進(jìn)行檢查,確認(rèn)能夠?qū)υL問和操作行為進(jìn)行記錄;●明確日志開通級別和記錄情況,并對未能進(jìn)行日志記錄的情況進(jìn)行標(biāo)記,明確改進(jìn)措施。冫主機(jī)日志●針對本次目標(biāo)系統(tǒng)中主機(jī)的日志記錄進(jìn)行檢查,確認(rèn)能夠?qū)υL問和操作行為進(jìn)行記錄●明確日志開通級別和記錄情況,并對未能進(jìn)行日志記錄的情況進(jìn)行標(biāo)記,明網(wǎng)絡(luò)安全攻防演練防守方方案全文共26頁,當(dāng)前為第14頁。網(wǎng)絡(luò)安全攻防演練防守方方案全文共26頁,當(dāng)前為第14頁。冫中間件日志●針對本次目標(biāo)系統(tǒng)中中間件的日志記錄進(jìn)行檢查,確認(rèn)能夠?qū)υL問和操作行為進(jìn)行記錄;●對未能進(jìn)行日志記錄的情況進(jìn)行標(biāo)記,明確改進(jìn)措施冫數(shù)據(jù)庫日志●針對本次目標(biāo)系統(tǒng)中數(shù)據(jù)庫的日志記錄進(jìn)行檢查,確認(rèn)能夠?qū)υL問和操作行為進(jìn)行記錄;●明確日志開通級別和記錄情況,并對未能進(jìn)行日志記錄的情況進(jìn)行標(biāo)記,明確改進(jìn)措施冫應(yīng)用系統(tǒng)日志●針對本次目標(biāo)系統(tǒng)中應(yīng)用的日志記錄進(jìn)行檢查,確認(rèn)能夠?qū)υL問和操作行為進(jìn)行記錄;●對未能進(jìn)行日志記錄的情況進(jìn)行標(biāo)記,明確改進(jìn)措施。冫安全設(shè)備日志●針對本次目標(biāo)系統(tǒng)中的安全設(shè)備的日志記錄進(jìn)行檢查,確認(rèn)能夠?qū)υL問和操作行為進(jìn)行記錄●對未能進(jìn)行日志記錄的情況進(jìn)行標(biāo)記,明確改進(jìn)措施。3.2.6.備份效性檢查冫備份策略檢查●針對本次目標(biāo)系統(tǒng)中的備份策略(配置備份、重要數(shù)據(jù)備份等)進(jìn)行檢查,確認(rèn)備份策略的有效性;●對無效的備份策略進(jìn)行標(biāo)記,明確改進(jìn)措施。冫備份系統(tǒng)有效性檢查●針對本次目標(biāo)系統(tǒng)中的備份系統(tǒng)有效性進(jìn)行檢查,確認(rèn)備份系統(tǒng)可用性;●對無效的備份系統(tǒng)進(jìn)行標(biāo)記,明確改進(jìn)措施。3.2.7.安全意識培訓(xùn)●針對本次演習(xí)參與人員進(jìn)行安全意識培訓(xùn),明確演習(xí)工作中應(yīng)注意的安全事網(wǎng)絡(luò)安全攻防演練防守方方案全文共26頁,當(dāng)前為第15頁。網(wǎng)絡(luò)安全攻防演練防守方方案全文共26頁,當(dāng)前為第15頁?!裉岣弑敬窝萘?xí)參與人員的安全意識,針對演習(xí)攻擊中可能面對的社會(huì)工程學(xué)攻擊、郵件釣魚等方式,應(yīng)重點(diǎn)關(guān)注;●提高本次演習(xí)參與人員的安全處置能力,針對演習(xí)攻擊中可能用到的手段和應(yīng)對措施進(jìn)行培訓(xùn)。3.2.8.安全整改加固基于以上安全自查發(fā)現(xiàn)的問題和隱患,及時(shí)進(jìn)行安全加固、策略配置優(yōu)化和改進(jìn),切實(shí)加強(qiáng)系統(tǒng)的自身防護(hù)能力和安全措施的效能,減少安全隱患,降低可能被外部攻擊利用的脆弱性和風(fēng)險(xiǎn)。業(yè)務(wù)主管單位協(xié)同安全部門完善網(wǎng)絡(luò)安全專項(xiàng)應(yīng)急預(yù)案,針對可能產(chǎn)生的網(wǎng)絡(luò)安全攻擊事件建立專項(xiàng)處置流程和措施。3.3.第三階段:攻防預(yù)演習(xí)階段攻防預(yù)演習(xí)是為了在正式演習(xí)前,檢驗(yàn)安全自查和整改階段的工作效果以及防護(hù)小組否能順利開展防守工作,而組織攻擊小組對目標(biāo)系統(tǒng)開展真實(shí)的攻擊。通過攻防預(yù)演習(xí)結(jié)果,及時(shí)發(fā)現(xiàn)目標(biāo)系統(tǒng)還存在的安全風(fēng)險(xiǎn),并對遺留(漏)風(fēng)險(xiǎn)進(jìn)行分析和整改,確保目標(biāo)系統(tǒng)在正式演習(xí)時(shí),所有發(fā)現(xiàn)的安全問題均已得到有效的整改和處置。3.3.1.預(yù)演習(xí)啟動(dòng)會(huì)由領(lǐng)導(dǎo)小組組長牽頭,通過正式會(huì)議的形式,組織預(yù)攻擊小組和防護(hù)工作小組各成員單位和個(gè)人,啟動(dòng)攻防預(yù)演習(xí)工作,明確攻防演習(xí)隊(duì)伍組成,職責(zé)分工,時(shí)間計(jì)劃和工作安排,啟動(dòng)會(huì)計(jì)劃時(shí)間X月。啟動(dòng)會(huì)上各成員單位共同確定演習(xí)采用的攻擊方式和風(fēng)險(xiǎn)規(guī)避措施,各單位明確預(yù)演習(xí)工作聯(lián)系人、各方溝通機(jī)制,建立聯(lián)系人通訊錄,根據(jù)啟動(dòng)會(huì)決議內(nèi)容,應(yīng)將此次攻防預(yù)演習(xí)工作情況及所使用的攻擊IP地址等信息,向國家網(wǎng)絡(luò)安全相關(guān)主管部門(公安部、網(wǎng)信辦等)進(jìn)行備案說明。網(wǎng)絡(luò)安全攻防演練防守方方案全文共26頁,當(dāng)前為第16頁。3.3.2.授權(quán)及備案網(wǎng)絡(luò)安全攻防演練防守方方案全文共26頁,當(dāng)前為第16頁。演習(xí)開始前期,在對目標(biāo)系統(tǒng)進(jìn)行前期的安全準(zhǔn)備工作中,參演單位應(yīng)對第三方技術(shù)支撐單位進(jìn)行正式授權(quán)。同時(shí)第三方技術(shù)支撐單位應(yīng)向參演單位提供IP信息,參演單位將此次攻防預(yù)演習(xí)工作情況及所使用的攻擊IP地址等信息,向國家網(wǎng)絡(luò)安全相關(guān)主管部門(公安部、網(wǎng)信辦等)進(jìn)行備案說明。確保演習(xí)各項(xiàng)工作,均在授權(quán)范圍內(nèi)有序進(jìn)行。3.3.3.預(yù)演習(xí)平臺本次預(yù)演習(xí)使用的攻防演習(xí)支撐平臺,攻擊人員的所有行為通過平臺進(jìn)行記錄、監(jiān)管、分析、審計(jì)和追溯,保障整個(gè)攻擊演習(xí)的過程可控、風(fēng)險(xiǎn)可控。同時(shí),演習(xí)平臺提供實(shí)況展示、可用性監(jiān)測和攻擊成果展示三個(gè)圖形化展示頁面,在預(yù)演習(xí)期間可通過大屏進(jìn)行演示?!窆魧?shí)況展示展示網(wǎng)絡(luò)攻擊的實(shí)時(shí)狀態(tài),展示攻擊方與被攻擊目標(biāo)的IP地址及名稱,通過光線流動(dòng)效果及數(shù)字標(biāo)識形成攻擊流量信息的直觀展示?!窨捎眯员O(jiān)測實(shí)時(shí)監(jiān)測并展示攻擊參演系統(tǒng)的健康性,保障攻擊目標(biāo)業(yè)務(wù)不受影響。通過攻擊流量大小準(zhǔn)確反應(yīng)攻擊方網(wǎng)絡(luò)資源占用情況及其對攻擊目標(biāo)形成的壓力情況。實(shí)時(shí)呈現(xiàn)網(wǎng)絡(luò)流量大小等信息,并展示異常情況的描述。●攻擊成果展示攻擊人員取得攻擊成果后,及時(shí)提交到演習(xí)平臺并進(jìn)行展示,顯示每個(gè)目標(biāo)系統(tǒng)被發(fā)現(xiàn)的安全漏洞和問題數(shù)量及細(xì)節(jié),防守方可依據(jù)攻擊成果進(jìn)行安全修復(fù)整改。3.3.4.預(yù)演習(xí)攻擊預(yù)演習(xí)攻擊由安全部門組織開展,攻擊人員從互聯(lián)網(wǎng)對目標(biāo)系統(tǒng)系統(tǒng)進(jìn)行攻擊,攻擊中禁止使用DDoS攻擊等可能影響業(yè)務(wù)系統(tǒng)運(yùn)行的破壞性攻擊方式,可能使用的攻擊方式包括但不限于●Web滲透網(wǎng)絡(luò)安全攻防演練防守方方案全文共26頁,當(dāng)前為第17頁。Web滲透攻擊是指攻擊者通過目標(biāo)網(wǎng)絡(luò)對外提供Web服務(wù)存在的漏洞,控制Web網(wǎng)絡(luò)安全攻防演練防守方方案全文共26頁,當(dāng)前為第17頁?!衽月窛B透旁路滲透攻擊是指攻擊者通過各種攻擊手段取得內(nèi)部網(wǎng)絡(luò)中主機(jī)、服務(wù)器和設(shè)備控制權(quán)的一種攻擊。內(nèi)部網(wǎng)絡(luò)不能接受來自外部網(wǎng)絡(luò)的直接流量,因此攻擊者通常需要繞過防火墻,并基于外網(wǎng)(非軍事區(qū))主機(jī)作為跳板來間接控制內(nèi)部網(wǎng)絡(luò)中的主機(jī)?!窨诹罟艨诹罟羰枪粽咦钕矚g采用的入侵系統(tǒng)的方法。攻擊者通過猜測或暴力破解的方式獲取系統(tǒng)管理員或其他用戶的口令,獲得系統(tǒng)的管理權(quán),竊取系統(tǒng)信息、修改系統(tǒng)配置?!襻烎~欺騙魚叉攻擊是黑客攻擊方式之一,最常見的做法是,將木馬程序作為電子郵件的附件,并起上一個(gè)極具誘惑力的名稱,發(fā)送給目標(biāo)電腦,誘使受害者打開附件,從而感染木馬,或者攻擊者通過誘導(dǎo)受害者(IM,郵件內(nèi)鏈接)訪問其控制的偽裝網(wǎng)站頁面,使得受害者錯(cuò)誤相信該頁面為某提供其他正常業(yè)務(wù)服務(wù)的網(wǎng)站頁面,從而使得攻擊者可以獲取受害者隱私信息的一種攻擊方式。通過釣魚欺騙攻擊,攻擊者通常可以獲得受害者的銀行賬號和密碼、其他網(wǎng)站賬號和密碼等。●社會(huì)工程學(xué)社會(huì)工程學(xué)是指攻擊者通過各種欺騙手法誘導(dǎo)受害者實(shí)施某種行為的種攻擊方式。社會(huì)工程學(xué)通用用來竊取受害者隱私,或者誘導(dǎo)受害者實(shí)施需要一定權(quán)限才能操作的行為以便于攻擊者實(shí)施其他攻擊行為。3.3.5.預(yù)演習(xí)防守預(yù)演習(xí)防守工作由防護(hù)小組開展,在預(yù)演習(xí)期間,防護(hù)小組中各部門應(yīng)組織技術(shù)人員開展安全監(jiān)測、攻擊處置和應(yīng)急響應(yīng)等防守工作●業(yè)務(wù)監(jiān)測目標(biāo)系統(tǒng)的相關(guān)運(yùn)維部門利用系統(tǒng)監(jiān)測手段實(shí)時(shí)監(jiān)測應(yīng)用系統(tǒng)和服務(wù)器運(yùn)行狀態(tài),包括系統(tǒng)訪問是否正常、業(yè)務(wù)數(shù)據(jù)是否有異常變更、系統(tǒng)目錄是否出現(xiàn)可疑文件、服務(wù)器是否有異常訪問和修改等,監(jiān)測到異常事件后及時(shí)協(xié)同相關(guān)部門共同分析處置網(wǎng)絡(luò)安全攻防演練防守方方案全文共26頁,當(dāng)前為第18頁?!窬W(wǎng)絡(luò)安全攻防演練防守方方案全文共26頁,當(dāng)前為第18頁。預(yù)演習(xí)期間,安全部門、網(wǎng)絡(luò)部門等利用全流量分析設(shè)備、Web防火墻、IDS、IPS、數(shù)據(jù)庫審計(jì)等安全設(shè)備對網(wǎng)絡(luò)攻擊行為進(jìn)行實(shí)時(shí)監(jiān)測?;诹髁糠治?,對網(wǎng)絡(luò)安全策略有效性進(jìn)行檢驗(yàn),并對安全設(shè)備的攻擊告警進(jìn)行初步分析,評估攻擊真實(shí)性和影響,及時(shí)協(xié)同相關(guān)部門共同分析處置●事件處置在業(yè)務(wù)系統(tǒng)運(yùn)行發(fā)生異常事件或安全設(shè)備出現(xiàn)攻擊告警后,防護(hù)小組應(yīng)協(xié)同對事件進(jìn)行處置,分析事件原因、明確攻擊方式和影響、確定處置方案,通過調(diào)整安全設(shè)備策略等方式盡快阻斷攻擊、恢復(fù)系統(tǒng)?!駪?yīng)急響應(yīng)在事件處置過程中,經(jīng)分析確定已發(fā)生網(wǎng)絡(luò)攻擊,且攻擊已成功進(jìn)入系統(tǒng)、獲取部分權(quán)限、上傳后門程序,應(yīng)立即啟動(dòng)專項(xiàng)應(yīng)急響應(yīng)預(yù)案,根據(jù)攻擊影響可采取阻斷攻擊、系統(tǒng)下線等方式進(jìn)行處置,并全面排查清理系統(tǒng)內(nèi)攻擊者創(chuàng)建的系統(tǒng)賬號、后門程序等?!裥迯?fù)整改在網(wǎng)絡(luò)攻擊事件處置完畢后,安全部門和業(yè)務(wù)主管部門應(yīng)針對攻擊利用的安全漏洞或缺陷,組織技術(shù)力量盡快進(jìn)行漏洞修復(fù)和問題整改。3.3.6預(yù)演習(xí)總結(jié)參加預(yù)演人員對演習(xí)過程中發(fā)現(xiàn)的問題進(jìn)行總結(jié),包括是否存在系統(tǒng)漏洞、安全設(shè)備策略是否有缺陷、監(jiān)測手段是否有效等,針對性提岀整改計(jì)劃和方案,盡快進(jìn)行整改,同時(shí)通過攻防預(yù)演習(xí)發(fā)現(xiàn)的問題改進(jìn)和完善安全自查和整改階段的工作,為后續(xù)工作積累經(jīng)驗(yàn)。3.4第四階段:正式防護(hù)階段在正式防護(hù)階段,重點(diǎn)加強(qiáng)防護(hù)過程中的安全保障工作,各崗位人員各司其職,從攻擊監(jiān)測、攻擊分析、攻擊阻斷、漏洞修復(fù)和追蹤溯源等方面全面加強(qiáng)演習(xí)過程的安全防護(hù)效果網(wǎng)絡(luò)安全攻防演練防守方方案全文共26頁,當(dāng)前為第19頁。3.4.1.安全事件實(shí)時(shí)監(jiān)測網(wǎng)絡(luò)安全攻防演練防守方方案全文共26頁,當(dāng)前為第19頁。當(dāng)開啟正式防護(hù)后,防護(hù)小組組織各部門人員,根據(jù)崗位職責(zé)開展安全事件實(shí)時(shí)監(jiān)測工作。安全部門組織其他部門人員借助安全防護(hù)設(shè)備(全流量分析設(shè)備、Web防火墻、IDS、IPS、數(shù)據(jù)庫審計(jì)等)開展攻擊安全事件實(shí)時(shí)監(jiān)測,對發(fā)現(xiàn)的攻擊行為進(jìn)行確認(rèn),詳細(xì)記錄攻擊相關(guān)數(shù)據(jù),為后續(xù)處置工作開展提供信息。3.4.2.事件分析與處置防護(hù)小組根據(jù)監(jiān)測到安全事件,協(xié)同進(jìn)行分析和確認(rèn)。如有必要可通過主機(jī)日志、網(wǎng)絡(luò)設(shè)備日志、入侵檢測設(shè)備日志等信息對攻擊行為進(jìn)行分析,以找到攻擊者的源IP地址、攻擊服務(wù)器IP地址、郵件地址等信息,并對攻擊方法、攻擊方式、攻擊路徑和工具等進(jìn)行分析研判。防護(hù)小組根據(jù)分析結(jié)果,應(yīng)采取相應(yīng)的處置措施,來確保目標(biāo)系統(tǒng)安全。通過遏制攻擊行為,使其不再危害目標(biāo)系統(tǒng)和岡絡(luò),依據(jù)攻擊行為的具體特點(diǎn)實(shí)時(shí)制定攻擊阻斷的安全措施,詳細(xì)記錄攻擊阻斷操作。業(yè)務(wù)主管單位對業(yè)務(wù)穩(wěn)定性進(jìn)行監(jiān)測,工作接口人及時(shí)通報(bào)相關(guān)信息。演習(xí)工作小組應(yīng)針對攻擊演習(xí)中可能產(chǎn)生的攻擊事件,根據(jù)已經(jīng)制定的網(wǎng)絡(luò)安全專項(xiàng)應(yīng)急預(yù)案進(jìn)行協(xié)同處置,同時(shí)在明確攻擊源和攻擊方式后,保證正常業(yè)務(wù)運(yùn)行的前提下,可以通過調(diào)整安全設(shè)備策略的方式對攻擊命令或IP進(jìn)行阻斷,分析確認(rèn)攻擊嘗試?yán)玫陌踩┒?,確認(rèn)安全漏洞的影響,制定漏洞修復(fù)方案并及時(shí)修復(fù)3.4.3.防護(hù)總結(jié)與整改全面總結(jié)本次攻防演習(xí)各階段的工作情況,包括組織隊(duì)伍、攻擊情況防守情況、安全防護(hù)措施、監(jiān)測手段、響應(yīng)和協(xié)同處置等,形成總結(jié)報(bào)告并向有關(guān)單位匯報(bào)。針對演習(xí)結(jié)果,對在演習(xí)過程中還存在的脆弱點(diǎn),開展整改工作,進(jìn)一步提高目標(biāo)系統(tǒng)的安全防護(hù)能力網(wǎng)絡(luò)安全攻防演練防守方方案全文共26頁,當(dāng)前為第20頁。4.演習(xí)組織及工作計(jì)劃網(wǎng)絡(luò)安全攻防演練防守方方案全文共26頁,當(dāng)前為第20頁。4.1.演習(xí)工作單位和組織分工4.1.1.明確參演單位根據(jù)攻防演習(xí)確定的系統(tǒng)情況,明確參加演習(xí)防守的相關(guān)單位,一般應(yīng)包括業(yè)務(wù)、應(yīng)用、網(wǎng)絡(luò)和安全等相關(guān)主管和運(yùn)維單位業(yè)務(wù):●主管單位、業(yè)務(wù)維護(hù)單位;●應(yīng)用系統(tǒng)開發(fā)、運(yùn)維單位和第三方支持廠商;●網(wǎng)絡(luò)運(yùn)維單位和第三方支持廠商;●安全運(yùn)維單位和第三方支持廠商。4.1.2.演習(xí)工作組織架構(gòu)4.1.2.1.演習(xí)領(lǐng)導(dǎo)小組為加強(qiáng)攻防演習(xí)的組織領(lǐng)導(dǎo),確保攻防演習(xí)實(shí)效,應(yīng)成立演習(xí)領(lǐng)導(dǎo)小組,統(tǒng)一領(lǐng)導(dǎo)和指揮攻防演習(xí)工作。4.1.2.2.演習(xí)工作小組演習(xí)領(lǐng)導(dǎo)小組下設(shè)演習(xí)工作小組,組織部署攻防演習(xí)的工作任務(wù),具體管理和協(xié)調(diào)攻防演習(xí)工作4.1.3.演習(xí)工作職責(zé)分工(一)攻防演習(xí)參演系統(tǒng)的業(yè)務(wù)主管單位,負(fù)責(zé)業(yè)務(wù)安全相關(guān)工作,指定專人網(wǎng)絡(luò)安全攻防演練防守方方案全文共26頁,當(dāng)前為第21頁。網(wǎng)絡(luò)安全攻防演練防守方方案全文共26頁,當(dāng)前為第21頁。(二)攻防演習(xí)參演系統(tǒng)的技術(shù)管理單位,負(fù)責(zé)攻防演習(xí)的技術(shù)防護(hù)工作,具體組織攻防預(yù)演習(xí)、安全自查整改、安全防護(hù)、安全監(jiān)測和應(yīng)急處置等工作。(三)專家隊(duì)伍可參與演習(xí)防護(hù)工作,協(xié)助提出防護(hù)技術(shù)方案,并針對相關(guān)系統(tǒng)潛在的安全隱患協(xié)助提出安全整改建議,開展內(nèi)部安全測試等相關(guān)技術(shù)支持工作。(四)外部專家和第三方技術(shù)支持單位(安全服務(wù)商)協(xié)助進(jìn)行本次攻防演習(xí)工作,在攻防預(yù)演習(xí)中組建攻擊隊(duì),在正式演習(xí)中提供協(xié)同防護(hù)技術(shù)支持,并針對演習(xí)中發(fā)現(xiàn)的問題提供整改建議。4.2.初步工作計(jì)劃根據(jù)工作階段的劃分和組織分工情況,攻防演習(xí)防護(hù)工作的初工作計(jì)劃如下:工作階段重點(diǎn)任務(wù)工作內(nèi)容組織分工時(shí)間計(jì)劃準(zhǔn)備階段目標(biāo)系統(tǒng)梳理--網(wǎng)絡(luò)路徑梳理--關(guān)聯(lián)資產(chǎn)梳理針對本次參演系統(tǒng)進(jìn)行網(wǎng)絡(luò)路徑和關(guān)聯(lián)資產(chǎn)梳理,為后續(xù)細(xì)化監(jiān)測、防護(hù)方案莫定基礎(chǔ)。負(fù)責(zé)部門:電子XX管理中心,XX技術(shù)管理處、X技術(shù)管理處配合部門:電子XX管理中心運(yùn)行監(jiān)控處、信息安全管理處及相關(guān)業(yè)
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 2024版成都離婚協(xié)議公證材料清單與合同簽訂流程解析3篇
- 心肺康復(fù)教案
- 云母在光學(xué)器件中的光學(xué)性能研究考核試卷
- 光電子器件制造中的測試與檢測技術(shù)考核試卷
- 金融市場高校教案
- 床旁康復(fù)治療
- 神經(jīng)源性腸道康復(fù)護(hù)理
- 間質(zhì)性肺病個(gè)案護(hù)理
- 通信汛期安全培訓(xùn)
- 肺動(dòng)脈栓塞護(hù)理診斷
- 養(yǎng)胃舒軟膠囊PPT
- Minitab培訓(xùn)教程課件
- 技術(shù)需求信息表
- 樂山大佛介紹課件
- 血透室運(yùn)用PDCA循環(huán)降低血透病人長期深靜脈留置導(dǎo)管的感染率品管圈成果匯報(bào)
- 云南省昆明一中2024年高二上數(shù)學(xué)期末質(zhì)量檢測試題含解析
- 教育政策與法規(guī)全套完整教學(xué)課件
- 關(guān)注心靈快樂成長心理健康教育主題班會(huì)
- 數(shù)胎動(dòng)那些事兒胎動(dòng)與胎兒安全孕婦學(xué)校課件PPT
- 沖刺高考主題班會(huì)
- 小型谷物烘干機(jī)設(shè)計(jì)
評論
0/150
提交評論