2护网网络攻防演习防守方案.docx
《2护网网络攻防演习防守方案.docx》由会员分享,可在线阅读,更多相关《2护网网络攻防演习防守方案.docx(27页珍藏版)》请在冰豆网上搜索。
2护网网络攻防演习防守方案
2“护网-2019”网络攻防演习防守方案
网络安全实战攻防演习
防守方案
2019年5月
1.攻防演习概述
1.1.攻防演习背景
网络安全实战攻防演习(以下简称“攻防演习”)是以获取目标系统的最高控制权为目标,由多领域安全专家组成攻击队,在保障业务系统安全的前提下,采用“不限攻击路径,不限制攻击手段”的攻击方式,而形成的“有组织”的网络攻击行为。
攻防演习通常是在真实环境下对参演单位目标系统进行可控、可审计的网络安全实战攻击,通过攻防演习检验参演单位的安全防护和应急处置能力,提高网络安全的综合防控能力。
近几年我国较大规模的攻防演习主要包括公安机关组织的针对关键信息基础设施的攻防演习、各部委组织的对各省和直属单位重要系统的攻防演习和大型企业组织的对下属单位重要系统的攻防演习。
其中,公安部组织的“护网行动”是面向国家重要信息系统和关键信息基础设施的网络安全实战演习,通过实战网络攻击的形式检验我国关键信息基础设施安全防护和应急处置能力,“护网行动”已开展了3年,取得了十分显著的效果,督促各单位有效提升了网络安全防护水平。
1.2.攻击角度看防守
在攻防演习中,为充分检验参演单位及目标系统的安全防护、监测和应急处置能力,演习组织方通常会选择由经验丰富的安全专家组成攻击队开展网络攻击,在确保不影响业务的前提下,选择一切可利用的资源和手段,采用多变、灵活、隐蔽的攻击力求取得最大战果。
参演单位作为防守方,面对“隐蔽”的网络攻击,如何才能有效防御呢“知彼知己,百战不殆”,只有了解攻击方是如何开展攻击的,才能根据攻击特点建立完善的安全防护体系,有效抵御网络攻击。
攻击方在组织入侵攻击时,通常会首先制定攻击策略、规划攻击线路,攻击者分工合作,力争在短时间内取得最大战果,常见的攻击步骤为信息收集、漏洞分析、渗透攻击和后渗透攻击。
1.3.演习防守方法论
“护网”行动的防护应是基于“战时”的防护工作模式,根据护网行动要求,会有防守方和攻击方,同时对防守方设计了加分事宜,基于我司长期积累的攻击方的攻击路径和攻击手段,我司建议采用在主动防御架构下,建立基于可持续监测分析和响应的协同防护模式,分成事前阶段、事中阶段和时候阶段。
事前阶段是针对护网行动的前期准备阶段,重点是协助客户模式“护网”进行实战预演习,旨在发现隐患、检验防护和协同应急处置流程,同时协助客户减少被攻击面,开展专项安全检测,重点针对“攻击方”可能利用的安全漏洞进行安全检测,并提供安全建议。
客户要基于已有的安全运营工作,进一步加强网络安全策略优化。
事中阶段是针对护网行动的实战防护阶段,重点是加强检测、分析和响应处置,能够及时发现网络安全攻击、威胁,并由专业技术人员进行分析,各部门之间协同进行响应和处置,必要时启动应急响应预案。
保证护网期间,与用户及相关服务机构联合作战,充分利用现有安全检测与防御手段,结合已有防护经验,协助用户实时检测与分析攻击行为,快速响应处置,解决攻击事件。
事后阶段是针对护网工作的总结阶段,可针对护网工作中的组织、流程和技术措施等进行综合分析,并形成后续的改进建议。
护网期间需要配套相应的安全工具,包括但不限于基于流量的威胁检测、蜜罐技术、互联网资产发现和主机加固等技术工具或产品。
2.组织及职责分工
2.1.攻防演习组织
为确保本次攻防演习任务的顺利完成,拟成立攻防演习领导小组(以下简称“领导小组”)和三个攻防演习工作组(以下简称“工作组”),组织架构如下图。
领导小组:
组长:
XXX,副组长:
XXX
成员:
办公厅、信息管理处、信息网络中心规划研究处、网络处、信息安全处、专项应用管理处、XXX应用管理处、XXX科技处主要负责人。
三个工作组:
综合研判组、防护监测组、应急处置组,各组成员由相关处室人员和技术支持服务单位人员组成。
2.2.职责分工
领导小组:
负责领导、指挥和协调本次攻防演习工作开展,向XXX领导和公安部汇报攻防演习情况。
综合研判组:
一是负责制定《网络攻防演习防护方案》、《网络攻防预演习方案》,对全网应用系统、网络、安全监测与防护设备相关资产进行全面梳理,摸清网络安全现状,排查网络安全薄弱点,为后续有针对性的网络安全防护和监控点部署、自查整改等工作提供依据。
二是对全网系统资产进行安全检查,发现安全漏洞、弱点和不完善的策略设置,内容包括:
应用风险自查:
重点针对弱口令、风险服务与端口、审计日志是否开启、漏洞修复等进行检查;
漏洞扫描和渗透测试:
对应用系统、操作系统、数据库、中间件等进行检测;
安全基线检查:
对网络设备(路由器、交换机等)、服务器(操作系统、数据库、中间件等)做安全基线检查;
安全策略检查:
对安全设备(WAF、防火墙、IDS等)做安全策略检查。
三是负责演习办公环境及相关资源准备,对目标系统、网络基础环境和安全产品可用性确认,负责确定预演习攻击队伍人员组成等相关工作;
四是负责与公安部演习指挥部联系沟通;
五是负责对本次攻防演习工作进行总结,编写总结报告。
防护监测组:
一是梳理现有网络安全监测、防护措施,查找不足;
二是根据综合研判组安全自查发现的安全漏洞和风险进行整改加固及策略调优,完善安全防护措施;
三是利用已有(全流量安全监测系统、防火墙、WAF、IDS、漏洞扫描系统)和新增(主机入侵检测系统、网站防护系统、安全策略分析系统)监测技术手段对网络攻击行为进行监测、分析、预警和处置(封禁IP地址、应用系统漏洞修复、恶意特征行为阻断等);
四是对网络和应用系统运行情况、审计日志进行全面监控,及时发现异常情况。
应急处置组:
一是根据公安部演习规则,制定《应急响应工作方案》;
二是负责预演习应急演习中安全事件的应急处置,并对演习过程中应急响应方案存在的不足进行完善;
三是负责正式攻防演习期间的应急响应处置工作。
2.3.各阶段工作任务
针对本次攻防演习,按照“统一指挥、职责明确、协同配合、有效应对,积极防御”的原则有序开展工作。
1、准备阶段(2019年4月26日-5月17日)
明确各工作组参演人员工作职责和任务,对XXX应用系统、网络、安全监测与防护设备相关资产进行全面梳理,摸清网络安全现状,排查网络安全薄弱点,为后续有针对性的网络安全防护和监控点部署、自查整改等工作提供依据。
综合研判组:
负责预演习和正式演习的方案制定,对全网资产进行全面梳理,摸清网络安全现状,排查网络安全薄弱点。
防护监测组:
梳理现有网络安全监测、防护措施,查找不足。
应急处置组:
根据公安部演习规则,制定应急响应方案。
(二)自查整改阶段(2019年5月5日-24日)
针对全网主机、网络、安全设备、应用系统等开展全面的安全检查、漏洞扫描、安全基线检查、安全策略检查等工作,及时发现安全漏洞、弱点和不完善的策略设置。
进行安全加固、策略配置优化和改进,切实加强系统的自身防护能力和安全措施的效能,消除高风险安全隐患。
综合研判组:
对全网系统资产进行安全检查,及时发现和排除安全漏洞和风险隐患。
防护监测组:
根据综合研判组安全自查发现的安全漏洞和风险进行整改加固及策略调优,完善安全防护措施。
应急处置组:
根据公安部演习规则,完善应急响应方案。
(三)攻防预演习阶段(2019年5月20日-24日)
组织攻击队伍,开展攻防演习预演习。
通过攻防预演习,检验各工作组前期工作效果,检验对网络攻击监测、发现、分析和应急处置的能力,检验安全防护措施和监测技术手段的有效性,检验各工作组协调配合默契程度,充分验证工作方案及应急处置预案合理性,进一步完善工作方案和应急预案。
领导小组:
攻防预演习的统一协调、指挥和决策。
综合研判组:
准备工作:
演习场所及环境准备,对目标系统、网络基础环境和安全产品可用性确认,负责确定预演习攻击队伍人员组成等相关工作。
组织协调:
负责具体组织协调各工作组开展监控、防护、应急等工作。
分析研判:
对防护监测组上报的安全事件进行研判,将分析研判结果上报领导小组,按照指示启动相应应急预案。
方案完善:
验证《网络攻防预演习方案》可行性,进一步完善《网络攻防演习防护方案》。
防护监测组:
监测分析:
负责对参演目标系统应用系统运行情况、审计日志进行全面监控,及时发现异常情况;利用已有和新增的技术手段监测攻击行为;
预警处置:
对恶意攻击行为进行行为阻断,封禁攻击IP地址;
事件反馈:
将初步分析判定的安全事件反馈综合研判组进行综合研判。
应急处置组:
对预演习应急演习中安全事件按照应急响应流程进行应急处置,并对演习过程中应急响应方案存在的不足进行完善。
(四)正式演习阶段(2019年6月3日-21日)
按照公安部演习指挥部的工作安排,全体参演人员到位到岗,在领导小组的统一指挥下,各工作组根据职责分工全天候开展安全监测、分析,及时发现攻击和异常情况。
针对网络安全事件启动相应应急预案,开展应急处置工作,抑制网络攻击行为,消除演习目标系统和网络安全风险。
领导小组:
攻防演习的统一协调、指挥和决策。
综合研判组:
准备工作:
演习场所及环境准备,对目标系统、网络基础环境和安全产品可用性确认。
组织协调:
负责与公安部演习指挥部联系沟通,具体组织协调各工作组开展监控、防护、应急等工作。
综合研判:
对防护监测组上报的安全事件进行研判,将分析研判结果报领导小组。
方案完善:
验证《网络攻防预演习方案》可行性,进一步完善《网络攻防演习防护方案》。
防护监测组:
监测分析:
负责对参演目标系统应用系统运行情况、审计日志进行全面监控,及时发现异常情况;利用已有和新增的技术手段监测攻击行为;
预警处置:
对恶意攻击行为进行行为阻断,封禁攻击IP地址;
事件反馈:
对已确认的安全事件反馈综合研判组研判。
应急处置组:
负责攻防演习期间按照应急响应流程进行应急处置工作,完善应急响应体系。
(五)总结阶段(2019年7月1日-31日)
演习结束,对演习过程中工作情况进行总结,包括组织队伍、攻击情况、防守情况、安全防护措施、监测手段、响应和协同处置等。
进一步完善XXX网络安全监测措施、应急响应机制及预案,提升网络安全防护水平。
3.防守工作方案
为有效应对攻防演习相关工作,攻防演习防守工作分成四个阶段,分别是准备阶段、安全自查和整改阶段、攻防预演习阶段、正式演习防护阶段。
第一阶段:
准备阶段
准备阶段主要是组建队伍,明确演习流程和分工,进一步梳理本次参演系统的网络路径、数据流和相关资产信息,输出真实的网络拓扑和相关资产信息,整理并确定目标系统的网络安全专项应急预案。
第二阶段:
安全自查和整改阶段
安全自查和整改阶段,主要是在攻防演习开始前,针对攻防演习对象进行安全自查和安全加固。
通过安全自查发现的问题,进行整改、加固和完善,确保参演系统在攻防时已做好自身防护工作。
第三阶段:
攻防预演习阶段
攻防预演习阶段,由预演攻击小组,采用专业的攻防演习平台,对目标系统进行实战攻击,防护工作小组牵头防守方工作,实施对抗并进行安全防护。
演习工作小组针对攻防预演习中发现的问题进一步梳理、整改、加固和完善,更深一步分析问题的主要原因,提供杜绝问题再现的有效解决方案和整改措施,同时通过攻防预演习发现的问题逆向推导,以改进和完善安全自查和整改阶段的工作。
第四阶段:
正式演习防护阶段
正式演习防护阶段,要确保防护人员能够持续对网络攻击进行实时监测,并及时进行响应处置,针对演习中发现的漏洞和弱点,能及时进行修补和加固,积极应对,协同进行安全处置。
演习结束后全面总结本次攻防演习工作情况,对于发现的问题和短板及时进行归纳整改和弥补,总结有效应对的措施和协同处置的规范流程。
3.1.第一阶段:
准备阶段
在正式攻防演习开始前,应充分做好准备阶段工作,为后续演习工作其他阶段提供有效的支撑。
3.1.1.防守方案编制
攻防演习工作应按计划逐步有效的进行,参演单位应在演习前,根据本单位实际情况,完成攻防演习防守方案编写,通过演习防守方案指导攻防演习防守工作的开展,确保演习防守工作的效果。
3.1.2.防守工作启动会
应在攻防演习开始前,应组织各参演部门相关人员,召开演习工作启动会。
以启动会的形式明确本次演习防守工作的目的、工作分工、计划安排和基本工作流程。
通过启动会确定演习防守工作主要牵头部门和演习接口人,明确演习时间计划和工作安排,并对演习各阶段参演部门人员的工作内容和职责进行宣贯。
同时,建立演习工作中的沟通联络机制,并建立各参演人员的联系清单,确保演习工作顺利开展。
3.1.3.重要工作开展
3.1.3.1.网络路径梳理
对目标系统相关的网络访问路径进行梳理,明确系统访问源(包括用户、设备或系统)的类型、位置和途径的网络节点,绘制准确的网络路径图。
网络路径梳理须明确从互联网访问的路径、内部访问路径等,全面梳理目标系统可能被访问到的路径和数据流向,为后续有针对性的网络安全防护和监控点部署奠定基础。
3.1.3.2.关联及未知资产梳理
梳理目标系统的关联及未知资产,形成目标系统的关联资产清单、未知资产清单,关联资产包括目标系统网络路径中的各个节点设备、节点设备同一区域的其它设备以及目标系统相关资产,未知资产包括与目标系统可有关联但未记录在关联资产清单里的资产,为后续安全自查和整改加固等工作提供基础数据。
3.1.3.3.专项应急预案确认
针对本次攻防演习的目标系统进行专项应急预案的梳理,确定应急预案的流程、措施有效,针对应急预案的组织、技术、管理流程内容进行完善,确保能够有效支撑后续演习工作。
3.1.3.4.加强安全监测防御体系
梳理当前已有的安全监测和防御产品,对其实现的功能和防御范围进行确定,并根据已梳理的重要资产和网络路径,建立针对性的临时性(租用或借用)或者长久性(购买)的安全监测防御体系,为后续正式演练及防护阶段提供工具和手段支持。
3.2.第二阶段:
安全自查和整改阶段
根据准备阶段形成的目标系统关联资产清单、未知资产清单,对与组成目标系统相关的网络设备、服务器、中间件、数据库、应用系统、安全设备等开展安全自查和整改工作。
通过安全自查对目标系统的安全状况得以真实反映,结合整改加固手段对评估发现的问题逐一进行整改。
设置必要的防御规则,基于最小权限原则制定,即仅仅开放允许业务正常运行所必须的网络和系统资源。
确保目标系统在攻防预演习前所有安全问题均已采取措施得到处理。
3.2.1.网络安全检查
网络架构评估
针对目标系统开展网络架构评估工作,以评估目标系统在网络架构方面的合理性,网络安全防护方面的健壮性,是否已具备有效的防护措施;
形成网络架构评估报告。
网络安全策略检查
针对目标系统所涉及的网络设备进行策略检查,确保目前已有策略均按照“按需开放,最小开放”的原则进行开放;
确保目标系统所涉及的网络设备中无多余、过期的网络策略;
形成网络安全策略检查报告。
网络安全基线检查
针对目标系统所涉及的网络设备进行安全基线检查,重点检查多余服务、多余账号、口令策略,禁止存在默认口令和弱口令等配置情况;
形成网络安全基线检查报告。
安全设备基线检查
针对目标系统所涉及的安全设备进行安全基线检查,重点检查多余账号、口令策略、策略启用情况、应用规则、特征库升级情况,禁止存在默认口令和弱口令等配置情况;
形成安全设备基线检查报告。
3.2.2.主机安全检查
主机安全基线
针对目标系统所涉及的主机进行安全检查,重点检查多余账号、口令策略、账号策略、远程管理等情况;
形成主机安全基线检查报告。
数据库安全基线
针对目标系统所涉及的数据库进行安全检查,重点检查多余账号、口令策略、账号策略、远程管理等情况;
形成主机安全基线检查报告。
中间件安全基线
针对目标系统所涉及的中间件进行安全检查,重点检查中间件管理后台、口令策略、账号策略、安全配置等情况;
形成中间件安全基线检查报告。
主机漏洞扫描
针对目标系统所涉及的主机、数据库以及中间件进行安全漏洞扫描;
形成主机安全漏洞扫描报告。
3.2.3.应用系统安全检查
应用系统合规检查
针对目标系统应用进行安全合规检查,重点检查应用系统多余账号、账号策略、口令策略、后台管理等情况;
形成应用系统合规检查报告。
应用系统源代码检测
针对目标系统应用进行源代码检测;
形成应用系统源代码检测报告。
应用系统渗透测试
针对目标系统应用进行渗透测试;
形成应用系统渗透测试报告。
3.2.4.运维终端安全检查
运维终端安全策略
针对目标系统运维终端安全进行安全检查,重点检查运维终端访问目标系统的网络策略等情况;
形成运维终端安全策略检查报告。
运维终端安全基线
针对目标系统运维终端进行安全检查,重点检查运维终端的多余账号、账号策略、口令策略、远程管理等情况;
形成运维终端安全基线检查报告。
运维终端漏洞扫描
针对目标系统运维终端进行安全漏洞扫描;
形成运维终端安全漏洞扫描报告。
3.2.5.日志审计
网络设备日志
针对本次目标系统中网络设备的日志记录进行检查,确认能够对访问和操作行为进行记录;
明确日志开通级别和记录情况,并对未能进行日志记录的情况进行标记,明确改进措施。
主机日志
针对本次目标系统中主机的日志记录进行检查,确认能够对访问和操作行为进行记录;
明确日志开通级别和记录情况,并对未能进行日志记录的情况进行标记,明确改进措施。
中间件日志
针对本次目标系统中中间件的日志记录进行检查,确认能够对访问和操作行为进行记录;
对未能进行日志记录的情况进行标记,明确改进措施。
数据库日志
针对本次目标系统中数据库的日志记录进行检查,确认能够对访问和操作行为进行记录;
明确日志开通级别和记录情况,并对未能进行日志记录的情况进行标记,明确改进措施。
应用系统日志
针对本次目标系统中应用的日志记录进行检查,确认能够对访问和操作行为进行记录;
对未能进行日志记录的情况进行标记,明确改进措施。
安全设备日志
针对本次目标系统中的安全设备的日志记录进行检查,确认能够对访问和操作行为进行记录;
对未能进行日志记录的情况进行标记,明确改进措施。
3.2.6.备份效性检查
备份策略检查
针对本次目标系统中的备份策略(配置备份、重要数据备份等)进行检查,确认备份策略的有效性;
对无效的备份策略进行标记,明确改进措施。
备份系统有效性检查
针对本次目标系统中的备份系统有效性进行检查,确认备份系统可用性;
对无效的备份系统进行标记,明确改进措施。
3.2.7.安全意识培训
针对本次演习参与人员进行安全意识培训,明确演习工作中应注意的安全事项;
提高本次演习参与人员的安全意识,针对演习攻击中可能面对的社会工程学攻击、邮件钓鱼等方式,应重点关注;
提高本次演习参与人员的安全处置能力,针对演习攻击中可能用到的手段和应对措施进行培训。
3.2.8.安全整改加固
基于以上安全自查发现的问题和隐患,及时进行安全加固、策略配置优化和改进,切实加强系统的自身防护能力和安全措施的效能,减少安全隐患,降低可能被外部攻击利用的脆弱性和风险。
业务主管单位协同安全部门完善网络安全专项应急预案,针对可能产生的网络安全攻击事件建立专项处置流程和措施。
3.3.第三阶段:
攻防预演习阶段
攻防预演习是为了在正式演习前,检验安全自查和整改阶段的工作效果以及防护小组否能顺利开展防守工作,而组织攻击小组对目标系统开展真实的攻击。
通过攻防预演习结果,及时发现目标系统还存在的安全风险,并对遗留(漏)风险进行分析和整改,确保目标系统在正式演习时,所有发现的安全问题均已得到有效的整改和处置。
3.3.1.预演习启动会
由领导小组组长牵头,通过正式会议的形式,组织预攻击小组和防护工作小组各成员单位和个人,启动攻防预演习工作,明确攻防演习队伍组成,职责分工,时间计划和工作安排,启动会计划时间X月。
启动会上各成员单位共同确定演习采用的攻击方式和风险规避措施,各单位明确预演习工作联系人、各方沟通机制,建立联系人通讯录。
根据启动会决议内容,应将此次攻防预演习工作情况及所使用的攻击IP地址等信息,向国家网络安全相关主管部门(公安部、网信办等)进行备案说明。
3.3.2.授权及备案
演习开始前期,在对目标系统进行前期的安全准备工作中,参演单位应对第三方技术支撑单位进行正式授权。
同时第三方技术支撑单位应向参演单位提供IP信息,参演单位将此次攻防预演习工作情况及所使用的攻击IP地址等信息,向国家网络安全相关主管部门(公安部、网信办等)进行备案说明。
确保演习各项工作,均在授权范围内有序进行。
3.3.3.预演习平台
本次预演习使用的攻防演习支撑平台,攻击人员的所有行为通过平台进行记录、监管、分析、审计和追溯,保障整个攻击演习的过程可控、风险可控。
同时,演习平台提供实况展示、可用性监测和攻击成果展示三个图形化展示页面,在预演习期间可通过大屏进行演示。
攻击实况展示
展示网络攻击的实时状态,展示攻击方与被攻击目标的IP地址及名称,通过光线流动效果及数字标识形成攻击流量信息的直观展示。
可用性监测
实时监测并展示攻击参演系统的健康性,保障攻击目标业务不受影响。
通过攻击流量大小准确反应攻击方网络资源占用情况及其对攻击目标形成的压力情况。
实时呈现网络流量大小等信息,并展示异常情况的描述。
攻击成果展示
攻击人员取得攻击成果后,及时提交到演习平台并进行展示,显示每个目标系统被发现的安全漏洞和问题数量及细节,防守方可依据攻击成果进行安全修复整改。
3.3.4.预演习攻击
预演习攻击由安全部门组织开展,攻击人员从互联网对目标系统系统进行攻击,攻击中禁止使用DDoS攻击等可能影响业务系统运行的破坏性攻击方式,可能使用的攻击方式包括但不限于:
Web渗透
Web渗透攻击是指攻击者通过目标网络对外提供Web服务存在的漏洞,控制Web服务所在服务器和设备的一种攻击方式。
旁路渗透
旁路渗透攻击是指攻击者通过各种攻击手段取得内部网络中主机、服务器和设备控制权的一种攻击。
内部网络不能接受来自外部网络的直接流量,因此攻击者通常需要绕过防火墙,并基于外网(非军事区)主机作为跳板来间接控制内部网络中的主机。
口令攻击
口令攻击是攻击者最喜欢采用的入侵系统的方法。
攻击者通过猜测或暴力破解的方式获取系统管理员或其他用户的口令,获得系统的管理权,窃取系统信息、修改系统配置。
钓鱼欺骗
鱼叉攻击是黑客攻击方式之一,最常见的做法是,将木马程序作为电子邮件的附件,并起上一个极具诱惑力的名称,发送给目标电脑,诱使受害者打开附件,从而感染木马,或者攻击者通过诱导受害者(IM,邮件内链接)访问其控制的伪装网站页面,使得受害者错误相信该页面为某提供其他正常业务服务的网站页面,从而使得攻击者可以获取受害者隐私信息的一种攻击方式。
通过钓鱼欺骗攻击,攻击者通常可以获得受害者的银行账号和密码、其他网站账号和密码等。
社会工程学
社会工程学是指攻击者通过各种欺骗手法诱导受害者实施某种行为的一种攻击方式。
社会工程学通用用来窃取受害者隐私,或者诱导受害者实施需要一定权限才能操作的行为以便于攻击者实施其他攻击行为。
3.3.5.预演习防守
预演习防守工作由防护小组开展,在预演习期间,防护小组中各部门应组织技术人员开展安全监测、攻击处置和应急响应等防守工作:
业务监测
目标系统的相关运维部门利用系统监测手段实时监测应用系统和服务器运行状态,包括系统访问是否正常、业务数据是否有异常变更、系统目录是否出现可疑文件、服务器是否有异常访问和修改等,监测到异常