網(wǎng)絡(luò)安全應(yīng)急演練方案

網(wǎng)絡(luò)安全應(yīng)急演練方案一、指導(dǎo)思想根據(jù)《網(wǎng)絡(luò)安全法》規(guī)定，定期開展安全應(yīng)急演練工作，網(wǎng)絡(luò)實(shí)戰(zhàn)網(wǎng)絡(luò)安全應(yīng)急演練便是在新的網(wǎng)絡(luò)安全形勢下，通過攻防雙方之間的對抗演習(xí)，實(shí)現(xiàn)“防患于未然”。演練目的通過網(wǎng)絡(luò)實(shí)戰(zhàn)網(wǎng)絡(luò)安全應(yīng)急演練，檢驗(yàn)并完善移動關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全應(yīng)急響應(yīng)機(jī)制與提高技術(shù)防護(hù)能力，檢驗(yàn)各公司遭遇網(wǎng)絡(luò)攻擊時(shí)發(fā)現(xiàn)和協(xié)同處置安全風(fēng)險(xiǎn)的能力，培養(yǎng)和提升網(wǎng)絡(luò)安全人才實(shí)戰(zhàn)能力，全力保障國家重大活動網(wǎng)絡(luò)安全。二、演練時(shí)間演練時(shí)間：年月日三、演練內(nèi)容網(wǎng)絡(luò)與信息安全事件應(yīng)急演練四、演練流程網(wǎng)絡(luò)安全應(yīng)急演練保障活動共分為啟動階段、準(zhǔn)備階段、演練階段、保障階段、總結(jié)階段五個(gè)階段，具體工作安排計(jì)劃如下：啟動階段：確定演練目標(biāo)、人員團(tuán)隊(duì)職責(zé)劃分、演練總體流程，后續(xù)工作提供指導(dǎo)。準(zhǔn)備階段：需對演練目標(biāo)進(jìn)行安全分析和梳理，開展全面安全評估、關(guān)注現(xiàn)有安全能力、完成安全策略的全面優(yōu)化、人員的全面賦能等。演練階段：重點(diǎn)檢測演練系統(tǒng)的監(jiān)測手段和防御手段的有效性及安全人員操作規(guī)程熟悉度。保障階段：為保障業(yè)務(wù)系統(tǒng)的平穩(wěn)運(yùn)行，避免因安全問題而導(dǎo)致出現(xiàn)重大事故?？偨Y(jié)階段：對行動中發(fā)現(xiàn)的相關(guān)問題進(jìn)行快速整改并進(jìn)行總結(jié)，將經(jīng)驗(yàn)固化至相關(guān)的規(guī)章制度中，形成常態(tài)化、制度化。五、演練方案（一）啟動階段1.演練組織及職責(zé)分工在網(wǎng)絡(luò)安全應(yīng)急演練保障期間，組織建立保障小組，通過簽署責(zé)任書，明確保障人員職責(zé)，確保各司其職，有序開展保障工作。2.總指揮n負(fù)責(zé)網(wǎng)絡(luò)安全應(yīng)急演練保障期間重大決策；n把控項(xiàng)目的整體進(jìn)度及質(zhì)量；?指揮決策組n協(xié)調(diào)各小組資源分配，起到上傳下達(dá)的等作用；n演習(xí)保障結(jié)束后，負(fù)責(zé)對演習(xí)保障進(jìn)行總結(jié)，形成報(bào)告，并輸出安全能力建設(shè)的規(guī)劃；n協(xié)同其他各小組完成安全事件的閉環(huán)；3.安全監(jiān)控小組n通過實(shí)時(shí)監(jiān)控平臺、或設(shè)備日志，發(fā)現(xiàn)網(wǎng)絡(luò)中的異常流量、惡意樣本、網(wǎng)絡(luò)攻擊行為；n發(fā)現(xiàn)異常行為后，按事件模版及時(shí)將攻擊事件通報(bào)；4.分析研判小組n通過對主機(jī)日志、網(wǎng)絡(luò)設(shè)備日志、安全設(shè)備日志以及全流量分析等信息對攻擊行為進(jìn)行分析，找到攻擊者的源地址、攻擊服務(wù)器地址、郵件地址等信息；5.應(yīng)急處置小組n恢復(fù)系統(tǒng)備份、數(shù)據(jù)恢復(fù)等方式將系統(tǒng)業(yè)務(wù)恢復(fù)到正常狀態(tài)；n將完整的應(yīng)急處置、溯源流程記錄到報(bào)告，并上報(bào)給保障決策組；6.支撐小組n支撐小組為二線專家小組，協(xié)助現(xiàn)場一線工作小組解決并提供專業(yè)安全業(yè)務(wù)建議。六、演練保密要求在網(wǎng)絡(luò)安全應(yīng)急演習(xí)保障期間，開展參演人員安全意識宣貫、簽訂網(wǎng)絡(luò)安全承諾書和安全保密協(xié)議。宣貫內(nèi)容包含但不限于：代碼管理規(guī)范、接入賬號安全、接入網(wǎng)絡(luò)安全、辦公設(shè)備安全等。網(wǎng)絡(luò)安全承諾書內(nèi)容至少包含但不限于：遵守甲方整體網(wǎng)絡(luò)安全工作要求、遵守相關(guān)法律及行業(yè)相關(guān)規(guī)定、強(qiáng)化項(xiàng)目參與人員的信息安全意識、違約責(zé)任等。保密協(xié)議內(nèi)容至少包含但不限于：演習(xí)保障期間的保密范圍、保密期限、保密要求、違約責(zé)任等。（一）準(zhǔn)備階段1.信息資產(chǎn)收集在網(wǎng)絡(luò)安全應(yīng)急演練準(zhǔn)備階段，對演練系統(tǒng)進(jìn)行信息收集，包括單不限于地址、端口、服務(wù)名稱及版本、操作系統(tǒng)類型及版本、應(yīng)用框架類型及版本等，為開展演練行為做基礎(chǔ)。在網(wǎng)絡(luò)安全應(yīng)急演練保障實(shí)施期間，信息資產(chǎn)收集可助于快速發(fā)現(xiàn)內(nèi)部問題、定位問題、解決問題，提高企業(yè)內(nèi)部的防御能力。2.全面安全評估對演練系統(tǒng)涉及的主機(jī)、數(shù)據(jù)庫、應(yīng)用組件、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)架構(gòu)進(jìn)行全面、綜合的安全評估，充分的發(fā)現(xiàn)其潛在的風(fēng)險(xiǎn)。3.安全策略優(yōu)化根據(jù)網(wǎng)絡(luò)安全架構(gòu)評估以及網(wǎng)絡(luò)現(xiàn)狀，對網(wǎng)絡(luò)設(shè)備策略、安全設(shè)備策略、主機(jī)策略等進(jìn)行進(jìn)一步調(diào)整和優(yōu)化實(shí)施范圍。4.安全缺陷整改根據(jù)之前業(yè)務(wù)系統(tǒng)評估，對應(yīng)用系統(tǒng)及其依賴的網(wǎng)絡(luò)、數(shù)據(jù)信息等可能存在的軟硬件缺陷，和信息安全管理中潛在的薄弱環(huán)節(jié)，而導(dǎo)致的不同程度的安全風(fēng)險(xiǎn)，提出臨時(shí)解決方案和長期解決方案。5.安全意識培訓(xùn)在網(wǎng)絡(luò)安全應(yīng)急演練備戰(zhàn)階段，為了提升內(nèi)外部人員的安全意識，組織開展安全意識宣貫和安全技術(shù)賦能，避免因人為因素而導(dǎo)致信息安全事件發(fā)生，整體提高安全管理能力。（二）演練階段1.攻防場景演練采用攻防對抗的方式有效的檢驗(yàn)相關(guān)業(yè)務(wù)系統(tǒng)的抗攻擊能力，真正發(fā)現(xiàn)潛在的風(fēng)險(xiǎn)，從而為后續(xù)整改工作提供真實(shí)有效的依據(jù)。2.攻擊方工作3.攻擊路徑設(shè)計(jì)攻擊者可以通過各種方式各種攻擊路徑嘗試攻破應(yīng)用系統(tǒng)去危害客戶的業(yè)務(wù)或者企業(yè)組織。每種路徑方法都代表了一種風(fēng)險(xiǎn)。結(jié)合攻擊路徑相關(guān)的技術(shù)和對客戶的業(yè)務(wù)影響，評估威脅來源、攻擊向量和安全漏洞的可能性。4.滲透測試設(shè)計(jì)內(nèi)容針對信息系統(tǒng)業(yè)務(wù)系統(tǒng)和平臺進(jìn)行全局、深入安全滲透測試，關(guān)注其面臨的主要安全風(fēng)險(xiǎn)和安全需求，提供安全滲透測試數(shù)據(jù)報(bào)告和針對性解決方案，建立一體化信息系統(tǒng)安全風(fēng)險(xiǎn)識別機(jī)制。5.應(yīng)用功能測試發(fā)現(xiàn)目標(biāo)系統(tǒng)中存在的安全隱患（包括安全功能設(shè)計(jì)、安全弱點(diǎn)、以及安全部署中的弱點(diǎn)等），并針對問題提供解決方案建議。6.安全功能弱點(diǎn)測試應(yīng)用系統(tǒng)評估主要從輸入驗(yàn)證、身份驗(yàn)證、授權(quán)、配置管理、敏感數(shù)據(jù)保護(hù)、會話管理、加密、異常管理等角度分析應(yīng)用系統(tǒng)的安全功能設(shè)計(jì)以及存在的安全隱患。7.應(yīng)用安全性測試針對提供的業(yè)務(wù)系統(tǒng)進(jìn)行非破壞性的模擬黑客攻擊，充分挖掘應(yīng)用系統(tǒng)各類組件存在的漏洞，并進(jìn)行人工利用驗(yàn)證。8.防守方工作在攻防對抗中，通過部署監(jiān)測預(yù)警功能的平臺，針對攻擊行為進(jìn)行監(jiān)控及時(shí)阻斷并上報(bào)，從而形成閉環(huán)的處置工作。在防守監(jiān)測工作中，需結(jié)合現(xiàn)有態(tài)勢平臺、處置平臺以及相關(guān)設(shè)備進(jìn)行合理利用。9.設(shè)備運(yùn)行監(jiān)控針對安全產(chǎn)品、網(wǎng)絡(luò)產(chǎn)品、主機(jī)服務(wù)器等提供監(jiān)控與運(yùn)維服務(wù)，及時(shí)發(fā)現(xiàn)設(shè)備（系統(tǒng)）運(yùn)行過程中出現(xiàn)的問題并協(xié)助客戶進(jìn)行解決，保障設(shè)備（系統(tǒng)）正常運(yùn)轉(zhuǎn)。監(jiān)控指標(biāo)可涵蓋設(shè)備功能、設(shè)備性能、應(yīng)用服務(wù)情況、連通性、操作審計(jì)等。10.告警事件監(jiān)控針對各類安全設(shè)備的告警數(shù)據(jù)進(jìn)行監(jiān)控，通過人工告警研判的方式對安全設(shè)備告警進(jìn)行二次分析，排除告警中的誤報(bào)，定位真實(shí)風(fēng)險(xiǎn)。監(jiān)控告警類型可涵蓋：oS攻擊、eb攻擊、信息破壞、口令猜測、僵尸主機(jī)、木馬病毒、非授權(quán)訪問、漏洞利用、網(wǎng)頁篡改、SQ注入、非法連接、惡意掃描探測、網(wǎng)頁篡改、網(wǎng)站敏感內(nèi)容、網(wǎng)頁掛馬等。11.安全事件溯源防守方對多種網(wǎng)絡(luò)安全設(shè)備產(chǎn)生的豐富的日志和告警信息集中分析，發(fā)掘安全知識的效果，發(fā)現(xiàn)傳統(tǒng)安全工具難以發(fā)現(xiàn)的安全事件。通過人工的方式判斷安全事件是否為誤報(bào)后，追溯該告警背后的威脅源，判斷威脅源使用的攻擊手段及漏洞利用情況。攻擊溯源方案可分為三個(gè)層次的追蹤：追蹤溯源攻擊主機(jī)、追蹤溯源攻擊控制主機(jī)、追蹤溯源攻擊者和追蹤溯源攻擊組織機(jī)構(gòu)。12.安全事件處置對于安全監(jiān)控中發(fā)現(xiàn)的安全對象脆弱性問題（如高危漏洞、安全基線配置不合格等）、安全故障問題、安全事件等，監(jiān)控值守人員通過攻防平臺提供的工單流程進(jìn)行處置任務(wù)指派，運(yùn)維人員、二線支持人員及管理人員依照工單流程完成安全處置工作。13.應(yīng)急場景演練通過模擬攻擊者發(fā)起0y攻擊，對安全監(jiān)控、安全防護(hù)、網(wǎng)絡(luò)策略、安全策略等機(jī)制進(jìn)行有效性校驗(yàn)，按照流程快速響應(yīng)，推動0y的緩解處理和后續(xù)補(bǔ)丁修復(fù)，最大化減少0y的影響。對發(fā)現(xiàn)問題及時(shí)推動整改，閉環(huán)安全風(fēng)險(xiǎn)，確保自身的網(wǎng)絡(luò)策略、安全策略符合安全預(yù)期。安全監(jiān)控小組負(fù)責(zé)漏洞信息監(jiān)測收集和危害判斷，發(fā)現(xiàn)問題后通知分析研判小組、應(yīng)急處置小組，通過資產(chǎn)管理平臺或相關(guān)檢測工具，確定受該漏洞影響的資產(chǎn)范圍，再按照資產(chǎn)價(jià)值（重要程度）和網(wǎng)絡(luò)暴露情況確定漏洞修復(fù)的優(yōu)先級，確立響應(yīng)的等級、需要哪些部門（廠商）參與。做好內(nèi)部的漏洞修復(fù)通知和外部的業(yè)務(wù)升級暫停公告，應(yīng)急處置小組協(xié)助做好系統(tǒng)備份工作，并且在非業(yè)務(wù)時(shí)間段實(shí)施升級。漏洞修復(fù)后，業(yè)務(wù)歸屬部門自行檢查業(yè)務(wù)功能是否受影響，校驗(yàn)數(shù)據(jù)是否丟失。0y漏洞處理流程示意圖如下圖所示：完成0y處置的同時(shí)，應(yīng)將其加入安全開發(fā)知識庫，避免后續(xù)發(fā)生類似的安全問題。14.應(yīng)急響應(yīng)支撐應(yīng)急響應(yīng)能夠快速成功處置，關(guān)鍵是根據(jù)前期應(yīng)急預(yù)設(shè)流程為指導(dǎo)，應(yīng)急處置小組有條不紊對已發(fā)生安全事件進(jìn)行解決，以最大限度地減少安全事件造成的損害，降低應(yīng)急處置中的風(fēng)險(xiǎn)。（二）檢測階段檢測是指以適當(dāng)?shù)姆椒ù_認(rèn)在系統(tǒng)/網(wǎng)絡(luò)中是否出現(xiàn)了惡意代碼、文件和目錄是否被篡改等異常活動/現(xiàn)象。安全監(jiān)控小組在檢測到網(wǎng)絡(luò)安全事件或發(fā)現(xiàn)信息系統(tǒng)異常，上報(bào)分析研判小組。分析研判小組立即對上報(bào)事件的性質(zhì)、影響范圍、安全設(shè)備日志告警進(jìn)行分析與評估。（三）分析階段該階段確定它的影響范圍和問題原因及事件的性質(zhì)。分析研判小組通過安全事件告警日志進(jìn)行分析研判，評估事件的性質(zhì)、影響范圍判斷，是否上報(bào)應(yīng)急處置小組，開展應(yīng)急響應(yīng)：1.若判斷無需開展應(yīng)急響應(yīng)，發(fā)布相關(guān)預(yù)警通告，應(yīng)急流程結(jié)束；2.若判斷需開展應(yīng)急響應(yīng)，則結(jié)合實(shí)際情況對網(wǎng)絡(luò)安全事件進(jìn)行定位，啟用相應(yīng)的專項(xiàng)應(yīng)急預(yù)案，上報(bào)演習(xí)保障決策組，并通知應(yīng)急處置小組開展應(yīng)急響應(yīng)。應(yīng)急處置小組根據(jù)應(yīng)急預(yù)案處置流程開展應(yīng)急處置操作。（四）抑制階段恢復(fù)階段是它的目的是限制攻擊/破壞所波及的范圍。同時(shí)也是限制潛在的損失。所有的抑制活動都是建立在能正確檢測事件的基礎(chǔ)上，抑制活動必須結(jié)合檢測階段發(fā)現(xiàn)的安全事件的現(xiàn)象、性質(zhì)、范圍等屬性，制定并實(shí)施正確的抑制策略。應(yīng)急處置小組按照應(yīng)急預(yù)案開展應(yīng)急處置，執(zhí)行抑制方案，并記錄抑制過程，檢查恢復(fù)效果，如果抑制不成功則收集信息重新制定抑制方案。在此階段，保障決策組協(xié)調(diào)資源進(jìn)行技術(shù)或業(yè)務(wù)支撐，必要時(shí)協(xié)調(diào)支撐小組進(jìn)行支撐，協(xié)助開展事件處置、業(yè)務(wù)恢復(fù)、系統(tǒng)監(jiān)控等工作內(nèi)容（五）根除階段根除階段即在準(zhǔn)確的抑制事件后，找出事件的根源并徹底根除它，以避免攻擊者再次使用相同手段攻擊系統(tǒng)，引發(fā)安全事件。在根除階段中將需要利用到在準(zhǔn)備階段中產(chǎn)生的結(jié)果。應(yīng)急小組按照應(yīng)急預(yù)案對關(guān)鍵業(yè)務(wù)信息執(zhí)行備份和狀態(tài)檢查，對事件進(jìn)行原因分析，對業(yè)務(wù)系統(tǒng)進(jìn)一步進(jìn)行檢查，根據(jù)發(fā)現(xiàn)的問題與漏洞制定事件根除方案。在此階段，支撐小組協(xié)調(diào)資源協(xié)助應(yīng)急小組開展業(yè)務(wù)系統(tǒng)排查、漏洞整改等工作內(nèi)容。（六）恢復(fù)階段應(yīng)急小組按照應(yīng)急預(yù)案開展應(yīng)急處置和業(yè)務(wù)恢復(fù)工作，由應(yīng)急執(zhí)行小組組織相關(guān)部門安全管理員和運(yùn)維操作人員等技術(shù)人員對網(wǎng)絡(luò)安全事件進(jìn)行現(xiàn)場處置，執(zhí)行恢復(fù)方案，并記錄恢復(fù)過程，檢查恢復(fù)效果，如果恢復(fù)不成功則收集信息重新制定業(yè)務(wù)恢復(fù)方案，盡快恢復(fù)系統(tǒng)正常運(yùn)行。系統(tǒng)恢復(fù)后及時(shí)將事件處置結(jié)果逐級上報(bào)至集團(tuán)應(yīng)急領(lǐng)導(dǎo)小組。（七）總結(jié)階段該階段的目標(biāo)是回顧并整合發(fā)生事件的相關(guān)信息，主要有助于從安全事件中吸取經(jīng)驗(yàn)教訓(xùn)，提高技能；有助于評判應(yīng)急響應(yīng)組織的事件響應(yīng)能力。應(yīng)急處置小組對業(yè)務(wù)影響、范圍、損失進(jìn)行總結(jié)，對應(yīng)急措施的有效性進(jìn)行評估，對事件原因進(jìn)行分析，編寫安全事件處置總結(jié)報(bào)告。應(yīng)急處置小組向指揮決策組提交報(bào)告，并組織各業(yè)務(wù)系統(tǒng)管理人員對類似安全隱患的業(yè)務(wù)系統(tǒng)進(jìn)行自查自檢，必要時(shí)可采取緊急抑制手段避免同類安全事件的發(fā)生。（八）保障階段在演習(xí)實(shí)戰(zhàn)階段，為保障業(yè)務(wù)系統(tǒng)的平穩(wěn)運(yùn)行，避免因安全問題而導(dǎo)致出現(xiàn)重大事故，將開展安全值守監(jiān)控、配合中臺支撐的優(yōu)勢，研判預(yù)警通告、威脅分析、應(yīng)急響應(yīng)支撐及演習(xí)事件上報(bào)等工作。七、安全值守監(jiān)控、網(wǎng)站及業(yè)務(wù)監(jiān)控、主機(jī)資產(chǎn)監(jiān)控在演習(xí)保障期間，為及時(shí)發(fā)現(xiàn)資產(chǎn)對外暴露安全風(fēng)險(xiǎn)，安全監(jiān)控小組將定時(shí)對外網(wǎng)資產(chǎn)進(jìn)行監(jiān)測，統(tǒng)計(jì)當(dāng)天外網(wǎng)活躍主機(jī)數(shù)目，開放端口個(gè)數(shù)及端口服務(wù)類型，并通過人工分析確認(rèn)是否存在異常端口對外開放。（一）網(wǎng)站安全監(jiān)控在演習(xí)保障期間，對網(wǎng)站提供完整性檢測、可用性檢測。完整性監(jiān)測能夠甄別出防護(hù)站點(diǎn)頁面是否發(fā)生了惡意篡改，是否被惡意掛馬，是否被嵌入敏感內(nèi)容等信息；可用性檢測能夠幫助防守方了解站點(diǎn)此時(shí)的通斷狀況，延遲狀況。a)遠(yuǎn)程網(wǎng)頁掛馬及黑鏈監(jiān)測：遠(yuǎn)程實(shí)時(shí)監(jiān)測目標(biāo)站點(diǎn)是否存在被植入惡意代碼、黃賭毒私服等詞匯的惡意鏈接的告警，在第一時(shí)間得知在防護(hù)網(wǎng)站的安全狀態(tài)，及時(shí)清除網(wǎng)頁木馬及黑鏈。b)遠(yuǎn)程網(wǎng)頁篡改監(jiān)測：遠(yuǎn)程實(shí)時(shí)監(jiān)測目標(biāo)站點(diǎn)是否是存在頁面被篡改情況，避免網(wǎng)站被篡改不能及時(shí)發(fā)現(xiàn)，造成惡劣影響，此服務(wù)是網(wǎng)站防護(hù)的最后一道屏障。c)遠(yuǎn)程網(wǎng)站域名監(jiān)測：實(shí)時(shí)監(jiān)測各地主流S的NS緩存服務(wù)器和客戶NS授權(quán)服務(wù)器的可用性，以及它們對被監(jiān)測域名的解析結(jié)果情況。一旦發(fā)現(xiàn)客戶域名無法解析或解析不正確，第一時(shí)間上報(bào)評估小組進(jìn)行處置。d)遠(yuǎn)程網(wǎng)站平穩(wěn)度監(jiān)測服務(wù)：遠(yuǎn)程實(shí)時(shí)監(jiān)測目標(biāo)站點(diǎn)在多種網(wǎng)絡(luò)協(xié)議下的響應(yīng)速度、首頁加載時(shí)間等反映網(wǎng)站性能狀況的內(nèi)容，一旦發(fā)現(xiàn)客戶域名無法解析或解析不正確，第一時(shí)間上報(bào)評估小組進(jìn)行處置。(二)安全設(shè)備監(jiān)控在網(wǎng)絡(luò)安全應(yīng)急演練保障期間，安全監(jiān)控小組對安全設(shè)備進(jìn)行監(jiān)控，開展設(shè)備性能監(jiān)控、安全攻擊監(jiān)控等工作。a)安全攻擊監(jiān)控：安全設(shè)備告警事件實(shí)時(shí)監(jiān)控，包含：拒絕服務(wù)攻擊，網(wǎng)絡(luò)病毒爆發(fā)，漏洞遠(yuǎn)程利用、惡意代碼傳遞等高危事件告警信息，對攻擊告警日志進(jìn)行分析處置，策略調(diào)整優(yōu)化，對高危風(fēng)險(xiǎn)行為執(zhí)行封禁封堵，可密切關(guān)注來源請求異常，接口請求異常，惡意攻擊等事件。（三）安全行為監(jiān)控在網(wǎng)絡(luò)安全應(yīng)急演練實(shí)戰(zhàn)期間，N、堡壘機(jī)、關(guān)鍵設(shè)備主機(jī)等設(shè)備是黑客突破的重要目標(biāo)，當(dāng)?shù)綑?quán)限賬戶后，黑客可能會選擇在夜間薄弱時(shí)間點(diǎn)發(fā)起攻擊行為，或執(zhí)行高危操作，故安全監(jiān)控小組將對設(shè)備賬戶安全行為進(jìn)行監(jiān)控，并對日志進(jìn)行安全審計(jì)。安全監(jiān)控小組通過人工分析日志，審計(jì)目前監(jiān)控設(shè)備是否存在僵尸賬戶、異地登錄、頻繁登錄、異常時(shí)間登陸、賬戶威脅操作等行為情況，并針對不同事件采取相應(yīng)措施，防止風(fēng)險(xiǎn)擴(kuò)散。a)僵尸賬戶分析：安全監(jiān)控小組通過人工分析日志，查找近期未活躍的賬戶，對疑是僵尸賬戶進(jìn)行逐一確認(rèn)，非必要賬戶或權(quán)限不合理賬戶，需進(jìn)行回收處理。b)異地登錄分析：安全監(jiān)控小組通過人工分析日志，查看設(shè)備賬戶近期是否頻繁更換登陸地點(diǎn)，地點(diǎn)變更間隔是否符合常理，對出現(xiàn)異常賬戶進(jìn)行逐一確認(rèn)，確保賬戶登錄環(huán)境安全。c)頻繁登錄分析：安全監(jiān)控小組通過人工分析日志，查看設(shè)備賬戶近期是否存在頻繁登錄行為，重點(diǎn)關(guān)注頻繁登錄失敗事件，分析當(dāng)前賬戶是否遭受暴力破解。d)異常時(shí)間登錄分析：安全監(jiān)控小組通過人工分析日志，查看設(shè)備賬戶近期是否在異常時(shí)間段(凌晨點(diǎn)至點(diǎn))期間登錄，對出現(xiàn)異常賬戶進(jìn)行逐一確認(rèn)，確保賬戶均為賬戶申請人本人操作。e)賬戶威脅操作分析：安全監(jiān)控小組通過人工分析日志，查看設(shè)備賬戶近期執(zhí)行是否正常，如刪除數(shù)據(jù)庫、修改關(guān)鍵信息等操作，對出現(xiàn)異常賬戶進(jìn)行逐個(gè)確認(rèn)，確保高風(fēng)險(xiǎn)操作是正常操作。七、重要系統(tǒng)巡檢系統(tǒng)巡檢工作能保證服務(wù)器正常、有序、安全地運(yùn)轉(zhuǎn)，保障更好地應(yīng)用網(wǎng)絡(luò)及相關(guān)服務(wù)。在網(wǎng)絡(luò)安全應(yīng)急演練實(shí)戰(zhàn)期間，靶標(biāo)、關(guān)鍵系統(tǒng)、服務(wù)器等設(shè)備是突破的重要目標(biāo)，通過對重要系統(tǒng)的巡檢，可發(fā)現(xiàn)目標(biāo)存在的一些異常，以便在系統(tǒng)故障或應(yīng)急事件發(fā)生時(shí)及時(shí)作出處理，減少不良影響。（一）系統(tǒng)可用性檢查檢查設(shè)備或服務(wù)器系統(tǒng)時(shí)間、是否升級包、證書信息等信息。（二）系統(tǒng)日志分析通過對日志進(jìn)行統(tǒng)計(jì)、分析、匯總，能有效掌握服務(wù)器的運(yùn)行狀況，及時(shí)發(fā)現(xiàn)問題，排除安全隱患。其中關(guān)注以下幾個(gè)方面的行為日志：a)可疑賬戶的登錄：查找登錄的賬戶，對可疑賬戶進(jìn)行逐一確認(rèn)、非必要賬戶、權(quán)限不合理賬戶，進(jìn)行回收處理。b)異地登錄的賬戶：查看設(shè)備賬戶近期是否頻繁更換登陸地點(diǎn)，地點(diǎn)變更間隔是否符合常理，對出現(xiàn)異地賬戶進(jìn)行逐一確認(rèn)，確保賬戶登錄環(huán)境安全。c)頻繁登錄分析：查看設(shè)備賬戶是否存在頻繁登錄行為，重點(diǎn)關(guān)注頻繁登錄失敗事件，分析當(dāng)前賬戶是否遭受暴力破解。d)異常時(shí)間登錄分析：查看設(shè)備賬戶近期是否在異常時(shí)間段(非工作時(shí)間段)期間登錄，對出現(xiàn)異常賬戶進(jìn)行逐一確認(rèn)，確保賬戶均為賬戶申請人本人操作。(三)重要設(shè)備監(jiān)控在網(wǎng)絡(luò)安全應(yīng)急演練實(shí)戰(zhàn)期間，安全監(jiān)控小組對安全設(shè)備進(jìn)行監(jiān)控，開展設(shè)備性能監(jiān)控、安全攻擊監(jiān)控等工作。1.設(shè)備性能監(jiān)控安全設(shè)備健康情況實(shí)時(shí)監(jiān)控，包含：U使用率、內(nèi)存占用率、接口流量、接口工作狀態(tài)、硬盤使用情況等設(shè)備健康相關(guān)的基本參數(shù)監(jiān)控，監(jiān)控過程需密切關(guān)注設(shè)備性能占比，通過分析當(dāng)前業(yè)務(wù)負(fù)載，及設(shè)備各項(xiàng)性能指標(biāo)，確保過程中設(shè)備可用性。2.系統(tǒng)性能檢查檢查服務(wù)器資源使用情況，合理分配資源，能夠提高服務(wù)器的工作效率。內(nèi)存不足或U使用率居高不下，不僅對服務(wù)器性能造成較大影響，而且可能存在攻擊或病毒感染等問題。通過對磁盤剩余空間、U、進(jìn)程、內(nèi)存等參數(shù)進(jìn)行檢查，掌握系統(tǒng)目前的運(yùn)行狀況。3.數(shù)據(jù)備份檢查查數(shù)據(jù)備份是否存在或異常的情況，能為之后可能出現(xiàn)的系統(tǒng)故障處理提供保障。方便故障后恢復(fù)系統(tǒng)配置提供極大的便利。（四）研判預(yù)警處置在網(wǎng)絡(luò)安全應(yīng)急演練保障期間，研判分析小組將對安全監(jiān)控小組上報(bào)事件進(jìn)行研判處置，對符合預(yù)警條件的事件進(jìn)行通知處理。安全預(yù)警通告主要類型包括安全風(fēng)險(xiǎn)預(yù)警通告、安全事件應(yīng)急通告、可疑安全行為通告，當(dāng)研判分析小組收到上述通告時(shí)，及時(shí)研判被通告事件與保障目標(biāo)資產(chǎn)吻合度，對風(fēng)險(xiǎn)內(nèi)容進(jìn)行定位分析，確認(rèn)實(shí)際影響范圍，威脅程度，緊急程度等，并協(xié)調(diào)應(yīng)急處置小組進(jìn)行處理，以達(dá)到快速閉環(huán)安全風(fēng)險(xiǎn)目的。（五）安全通告接收安全監(jiān)控小組接收到安全風(fēng)險(xiǎn)預(yù)警，安全事件應(yīng)急及可疑安全行為等各類安全事件。（六）安全通告研判研判分析小組研判被通告事件與保障目標(biāo)資產(chǎn)吻合度，對風(fēng)險(xiǎn)內(nèi)容進(jìn)行定位分析，確認(rèn)實(shí)際影響范圍，威脅程度，緊急程度等。（七）安全通告處置協(xié)調(diào)應(yīng)急處置小組對安全風(fēng)險(xiǎn)進(jìn)行閉環(huán)，并記錄進(jìn)統(tǒng)計(jì)表中。（八）安全事件上報(bào)在網(wǎng)絡(luò)安全應(yīng)急演練保障期間，防守方對檢測到的告警信息進(jìn)行研判分析，對確屬攻擊行為的安全事件，及時(shí)根據(jù)規(guī)定格式編寫防守方成果報(bào)告，提交至保障決策組，由安全接口人統(tǒng)一上報(bào)。（九）安全事件跟蹤將針對網(wǎng)絡(luò)安全應(yīng)急演練前期的待處理事件和中期發(fā)生的安全事件進(jìn)行梳理，根據(jù)安全問題風(fēng)險(xiǎn)程度由高到低設(shè)置處理優(yōu)先級，繪制輸出安全事件跟蹤表。八、總結(jié)階段在網(wǎng)絡(luò)安全應(yīng)急演練保障結(jié)束后，將對保障期間所涉及到的攻擊事件進(jìn)行匯總梳理，通過分析還原攻擊手段，對存在安全缺陷進(jìn)行整改跟進(jìn)，總結(jié)經(jīng)驗(yàn)教訓(xùn)，提升業(yè)務(wù)安全防護(hù)能力，強(qiáng)化業(yè)務(wù)安全。（一）安全事件梳理在保障結(jié)束后，將組織保障參與人員對應(yīng)急演練期間出現(xiàn)的攻擊事件進(jìn)行匯總統(tǒng)計(jì)，包括但不限于：1.針對攻擊事件進(jìn)行攻擊時(shí)段、頻率、次數(shù)的統(tǒng)計(jì)，分析常見攻擊事件行為識別已受攻擊的業(yè)務(wù)風(fēng)險(xiǎn)；2.分析攻擊源地址的地域、攻擊時(shí)間、攻擊次數(shù)等維度識別攻擊者攻擊意圖；分析攻擊目的地址識別易受攻擊的業(yè)務(wù)模塊；3.從風(fēng)險(xiǎn)等級由高到低排序，重點(diǎn)關(guān)注高