网络安全攻防演练防守方方案.docx
《网络安全攻防演练防守方方案.docx》由会员分享,可在线阅读,更多相关《网络安全攻防演练防守方方案.docx(21页珍藏版)》请在冰豆网上搜索。
网络安全攻防演练防守方方案
1、攻防演习概述
1.1.攻防演习背景
网络安全实战攻防演习(以下简称“攻防演习”)是以获取目标系统的最高控制权为目标,由多领域安全专家组成攻击队,在保障业务系统安全的前提下,采用“不限攻击路径,不限制攻击手段”的攻击方式,而形成的“有组织”的网络攻击行为。
攻防演习通常是在真实环境下对参演单位目标系统进行可控、可审计的网络安全实战攻击,通过攻防演习检验参演单位的安全防护和应急处置能力,提高网络安全的综合防控能力。
近几年我国较大规模的攻防演习主要包括公安机关组织的针对关键信息基础设施的攻防演习、各部委组织的对各省和直属单位重要系统的攻防演习和大型企业组织的对下属单位重要系统的攻防演习。
其中,公安部组织的“护网行动”是面向国家重要信息系统和关键信息基础设施的网络安全实战演习,通过实战网络攻击的形式检验我国关键信息基础设施安全防护和应急处置能力,“护网行动”已开展了3年,取得了十分显著的效果,督促各单位有效提升了网络安全防护水平。
1.2.攻击角度看防守
在攻防演习中,为充分检验参演单位及目标系统的安全防护、监测和应急处置能力,演习组织方通常会选择由经验丰富的安全专家组成攻击队开展网络攻击,在确保不影响业务的前提下,选择一切可利用的资源和手段,采用多变、灵活、隐蔽的攻击力求取得最大战果参演单位作为防守方,面对“隐蔽”的网络攻击,如何才能有效防御呢?
“知彼知己,百战不殆”,只有了解攻击方是如何开展攻击的,才能根据攻击特点建立完善的安全防护体系,有效抵御网络攻击。
攻击方在组织入侵攻击时,通常会首先制定攻击策略、规划攻击线路,攻击者分工合作,力争在短时间内取得最大战果,常见的攻击步骤为信息收集、漏洞分析、渗透攻击和后渗透攻击
1.3.演习防守方法论
“护网”行动的防护应是基于“战时”的防护工作模式,根据护网行动要求,会有防守方和攻击方,同时对防守方设计了加分事宜,基于我司长期积累的攻击方的攻击路径和攻击手段,我司建议采用在主动防御架构下,建立基于可持续监测分析和响应的协同防护模式,分成事前阶段、事中阶段和时候阶段。
事前阶段是针对护网行动的前期准备阶段,重点是协助客户模式“护网”进行实战预演习,旨在发现隐患、检验防护和协同应急处置流程,同时协助客户减少被攻击面,开展专项安全检测,重点针对“攻击方”可能利用的安全漏洞进行安全检测,并提供安全建议。
客户要基于已有的安全运营工作,进一步加强网络安全策略优化。
事中阶段是针对护网行动的实战防护阶段,重点是加强检测、分析和响应处置,能够及时发现网络安全攻击、威胁,并由专业技术人员进行分析,各部门之间协同进行响应和处置,必要时启动应急响应预案。
保证护网期间,与用户及相关服务机构联合作战,充分利用现有安全检测与防御手段,结合已有防护经验,协助用户实时检测与分析攻击行为,快速响应处置,解决攻击事件。
事后阶段是针对护网工作的总结阶段,可针对护网工作中的组织、流程和技术措施等进行综合分析,并形成后续的改进建议。
护网期间需要配套相应的安全工具,包括但不限于基于流量的威胁检测、蜜罐技术、互联网资产发现和主机加固等技术工具或产品。
2.组织及职责分工
2.1.攻防演习组织
为确保本次攻防演习任务的顺利完成,拟成立攻防演习领导小组(以下简称“领导小组”)和三个攻防演习工作组(以下简称“工作组”),组织架构如下图。
领导小组:
组长:
XX,副组长:
XXX
成员:
办公厅、信息管理处、信息网络中心规划硏究处、网络处、信息安全处、专项应用管理处、XXX应用管理处、XXX科技处主要负责人
三个工作组:
综合研判组、防护监测组、应急处置组,各组成员由相关处室人员和技术支持服务单位人员组成。
2.2职责分工
领导小组:
负责领导、指挥和协调本次攻防演习工作开展,向XXX领导和公安部汇报攻防演习情况。
综合研判组
是负责制定《网络攻防演习防护方案》、《网络攻防预演习方案》,对全网应用系统、网络、安全监测与防护设备相关资产进行全面梳理,摸清网络安全现状,排查网络安全薄弱点,为后续有针对性的网络安全防护和监控点部署、自查整改等工作提供依据二是对全网系统资产进行安全检查,发现安全漏洞、弱点和不完善的策略设置,内容包括
◆应用风险自查:
重点针对弱口令、风险服务与端口、审计日志是否开启、漏洞修复等进行检查;
◆漏洞扫描和渗透测试:
对应用系统、操作系统、数据库、中间件等进行检测;
◆安全基线检查:
对网络设备(路由器、交换机等)、服务器(操作系统、数据库、中间件等)做安全基线检查:
◆安全策略检查:
对安全设备(WAF、防火墙、IDS等)做安全策略检查。
三是负责演习办公环境及相关资源准备,对目标系统、网络基础环境和安全产品可用性确认,负责确定预演习攻击队伍人员组成等相关工作;四是负责与公安部演习指挥部联系沟通;
五是负责对本次攻防演习工作进行总结,编写总结报告防护监测组:
是梳理现有网络安全监测、防护措施,查找不足二是根据综合研判组安全自查发现的安全漏洞和风险进行整改加固及策略调优,完善安全防护措施;三是利用已有(全流量安全监测系统、防火墙、WAF、IDS、漏洞扫描系统)和新增(主机λ侵检测系统、网站防护系统、安全策略分析系统)监测技术手段对网络攻击行为进行监测、分析、预警和处置(封禁IP地址、应用系统漏洞修复、恶意特征行为阻断等);四是对网络和应用系统运行情况、审计日志进行全面监控,及时发现异常情况。
应急处置组
是根据公安部演习规则,制定《应急响应工作方案》;二是负责预演习应急演习中安全事件的应急处置,并对演习过程中应急响应方案存在的不足进行完善
是负责正式攻防演习期间的应急响应处置工作
2.3.各阶段工作任务
针对本次攻防演习,按照“统一指挥、职责明确、协同配合、有效应对,积极防御”的原则有序开展工作。
(一)准备阶段(2019年4月26日-5月17日)
明确各工作组参演人员工作职责和任务,对XXX应用系统、网络、安全监测与防护设备相关资产进行全面梳理,摸清网络安全现状,排查网络安全薄弱点,为后续有针对性的网络安全防护和监控点部署、自查整改等工作提供依据。
综合研判组:
负责预演习和正式演习的方案制定,对全网资产进行全面梳理,摸清网络安全现状,排查网络安全薄弱点
防护监测组
梳理现有网络安全监测、防护措施,查找不足。
应急处置组
根据公安部演习规则,制定应急响应方案。
(二)自查整改阶段(2019年5月5日-24日)
针对全网主机、网络、安全设备、应用系统等开展全面的安全检查、漏洞扫描、安全基线检査、安全策略检査等工作,及时发现安全漏洞、弱点和不完善的策略设置。
进行安全加固、策略配置优化和改进,切实加强系统的自身防护能力和安全措施的效能,消除高风险安全隐患。
综合研判组:
对全网系统资产进行安全检查,及时发现和排除安全漏洞和风险隐。
防护监测组:
根据综合硏判组安全自查发现的安全漏洞和风险进行整改加固及策略调优,完善安全防护措施。
应急处置组:
根据公安部演习规则,完善应急响应方案。
(三)攻防预演习阶段②2019年5月20日-24日)
组织攻击队伍,开展攻防演习预演习。
通过攻防预演习,检验各工作组前期工作效果,检验对网络攻击监测、发现、分析和应急处置的能力,检验安全防护措施和监测技术手段的有效性,检验各工作组协调配合默契程度,充分验证工作方案及应急处置预案合理性,进一步完善工作方案和应急预案。
领导小组:
攻防预演习的统一协调、指挥和决策。
综合研判组
准备工作:
演习场所及环境准备,对目标系统、网络基础环境和安全产品可用性确认,负责确定预演习攻击队伍人员组成等相关工作。
组织协调:
负责具体组织协调各工作组开展监控、防护、应急等工作。
分析研判:
对防护监测组上报的安全事件进行研判,将分析研判结果上报领导小组,按照指示启动相应应急预案。
方案完善:
验证《网络攻防预演习方案》可行性,进一步完善《网络攻防演习防护方案》。
防护监测组:
监测分析:
负责对参演目标系统应用系统运行情况、审计日志进行全面监控,及时发现异常情况;利用已有和新增的技术手段监测攻击行为;预警处置:
对恶意攻击行为进行行为阻断,封禁攻击IP地址;
事件反馈:
将初步分析判定的安全事件反馈综合硏判组进行综合研应急处置组
对预演习应急演习中安全事件按照应急响应流程进行应急处置,并对演习过程中应急响应方案存在的不足进行完善
(四)正式演习阶段(2019年6月3日21日)
按照公安部演习指挥部的工作安排,全体参演人员到位到岗,在领导小组的统一指挥下,各工作组根据职责分工全天候开展安全监测、分析,及时发现攻击和异常情况。
针对网络安全事件启动相应应急预案,开展应急处置工作,抑制网络攻击行为,消除演习目标系统和网络安全风险。
领导小组:
攻防演习的统一协调、指挥和决策。
综合研判组:
准备工作:
演习场所及环境准备,对目标系统、网络基础环境和安全品可用性确认,负责确定预演习攻击队伍人员组成等相关工作组织协调:
负责具体组织协调各工作组开展监控、防护、应急等工作。
分析研判:
对防护监测组上报的安全事件进行研判,将分析研判结果上报领导小组,按照指示启动相应应急预案。
方案完善:
验证《网络攻防预演习方案》可行性,进一步完善《网络攻防演习防护方案》。
防护监测组
监测分析:
负责对参演目标系统应用系统运行情况、审计日志进行全面监控,及时发现异常情况;利用已有和新增的技术手段监测攻击行为;预警处置:
对恶意攻击行为进行行为阻断,封禁攻击IP地址;
事件反馈:
将初步分析判定的安全事件反馈综合硏判组进行综合研判
应急处置组
对预演习应急演习中安全事件按照应急响应流程进行应急处置,并对演习过程中应急响应方案存在的不足进行完善。
(四)正式演习阶段②2019年6月3日21日)
按照公安部演习指挥部的工作安排,全体参演人员到位到岗,在领导小组的统一指挥下,各工作组根据职责分工全天候开展安全监测、分析,及时发现攻击和异常情况。
针对网络安全事件启动相应应急预案,开展应急处置工作,抑制网络攻击行为,消除演习目标系统和网络安全风险。
领导小组:
攻防演习的统一协调、指挥和决策。
综合研判组:
准备工作:
演习场所及环境准备,对目标系统、网络基础环境和安全产品可用性确认
组织协调:
负责与公安部演习指挥部联系沟通,具体组织协调各工作组开展监控、防护、应急等工作。
综合研判:
对防护监测组上报的安全事件进行研判,将分析研判结果报领导小组。
方案完善:
验证《网络攻防预演习方案》可行性,进一步完善《网络攻防演习防护方案》。
防护监测组:
监测分析:
负责对参演目标系统应用系统运行情况、审计日志进行全面监控,及时发现异常情况;利用已有和新增的技术手段监测攻击行为预警处置:
对恶意攻击行为进行行为阻断,封禁攻击IP地址;事件反馈:
对已确认的安全事件反馈综合研判组研判应急处置组:
负责攻防演习期间按照应急响应流程进行应急处置工作,完善应急响应体系
(五)总结阶段(2019年7月1日-31日)
演习结束,对演习过程中工作情况进行总结,包括组织队伍、攻击情况、防守情况、安全防护措施、监测手段、响应和协同处置等。
进一步完善XXX网络安全监测措施、应急响应机制及预案,提升网络安全防护水平。
3.防守工作方案
为有效应对攻防演习相关工作,攻防演习防守工作分成四个阶段,分别是准备阶段、安全自查和整改阶段、攻防预演习阶段、正式演习防护阶段
第一阶段:
准备阶段
准备阶段主要是组建队伍,明确演习流程和分工,进一步梳理本次参演系统的网络路径、数据流和相关资产信息,输岀真实的网络拓扑和相关资产信息,整理并确定目标系统的网络安全专项应急预案。
第二阶段:
安全自查和整改阶段
安全自查和整改阶段,主要是在攻防演习开始前,针对攻防演习对象进行安全自查和安全加固。
通过安全自查发现的问题,进行整改、加固和完善,确保参演系统在攻防时已做好自身防护工作。
第三阶段:
攻防预演习阶段
攻防预演习阶
升级会员 