《网络安全攻防演练防守方方案.docx》由会员分享,可在线阅读,更多相关《网络安全攻防演练防守方方案.docx(27页珍藏版)》请在金锄头文库上搜索。
1、本次演练是为了进一步提升网络安全突发事件应急处置能力,建立健全网络安全应急工作机制,预防和减少网络安全事件造成的损失和危害。演练前,电子数据处根据本局网络安全现状详细制定了演练方案。演练中严格按照演练方案执行,现场模拟内网遭受恶意扫描、网络遭受DDos攻击、交换机故障等情形,由局网络安全工作人员按照网络安全应急预案对突发情况进行研判、响应、处置、恢复,并做了详细记录。本次演练通过实战检验网络安全应急预案和应急处置工作的有效性,为进一步贯彻落实了网络安全责任制打下坚实基础。演练中,技术人员通过Web攻击、手机木马攻击、钓鱼WIFI三个演练情景直观展示了网络攻击对工作和生活带来的影响和威胁,同时给
2、予了相应的防范建议和安全建议。通过模拟网络安全事件及应急处置过程,给参与者留下深刻印象,提高对网络安全事件风险源的警惕性,促使各单位增强安全意识,主动学习网络安全相关知识。近年来,我市高度重视网络信息安全,多次开展网络安全宣传周、线下科普讲座等活动。通过此次演练“体检”,大大提高应对网络安全突发事件的分析研判、决策指挥和协调处置能力,提升应急响应熟练程度和实战技能,进一步压实全州各领域、各单位网络安全主体责任,深入排查问题隐患,加固安全防护,切实做好重大网络安全事件应急处置准备工作,坚决守住网络安全底线,筑牢厦门市网络安全屏障。各县(市)党委网信办、政治部、直部分单位共40余家单位参加。1、攻
3、防演习概述1.1.攻防演习背景网络安全实战攻防演习(以下简称“攻防演习”)是以获取目标系统的最高控制权为目标,由多领域安全专家组成攻击队,在保障业务系统安全的前提下,采用“不限攻击路径,不限制攻击手段”的攻击方式,而形成的“有组织”的网络攻击行为。攻防演习通常是在真实环境下对参演单位目标系统进行可控、可审计的网络安全实战攻击,通过攻防演习检验参演单位的安全防护和应急处置能力,提高网络安全的综合防控能力。近几年我国较大规模的攻防演习主要包括公安机关组织的针对关键信息基础设施的攻防演习、各部委组织的对各省和直属单位重要系统的攻防演习和大型企业组织的对下属单位重要系统的攻防演习。其中,公安部组织的“
4、护网行动”是面向国家重要信息系统和关键信息基础设施的网络安全实战演习,通过实战网络攻击的形式检验我国关键信息基础设施安全防护和应急处置能力,“护网行动”已开展了3年,取得了十分显著的效果,督促各单位有效提升了网络安全防护水平。1.2.攻击角度看防守在攻防演习中,为充分检验参演单位及目标系统的安全防护、监测和应急处置能力,演习组织方通常会选择由经验丰富的安全专家组成攻击队开展网络攻击,在确保不影响业务的前提下,选择一切可利用的资源和手段,采用多变、灵活、隐蔽的攻击力求取得最大战果参演单位作为防守方,面对“隐蔽”的网络攻击,如何才能有效防御呢?“知彼知己,百战不殆”,只有了解攻击方是如何开展攻击的
5、,才能根据攻击特点建立完善的安全防护体系,有效抵御网络攻击。攻击方在组织入侵攻击时,通常会首先制定攻击策略、规划攻击线路,攻击者分工合作,力争在短时间内取得最大战果,常见的攻击步骤为信息收集、漏洞分析、渗透攻击和后渗透攻击1.3.演习防守方法论“护网”行动的防护应是基于“战时”的防护工作模式,根据护网行动要求,会有防守方和攻击方,同时对防守方设计了加分事宜,基于我司长期积累的攻击方的攻击路径和攻击手段,我司建议采用在主动防御架构下,建立基于可持续监测分析和响应的协同防护模式,分成事前阶段、事中阶段和时候阶段。事前阶段是针对护网行动的前期准备阶段,重点是协助客户模式“护网”进行实战预演习,旨在发
6、现隐患、检验防护和协同应急处置流程,同时协助客户减少被攻击面,开展专项安全检测,重点针对“攻击方”可能利用的安全漏洞进行安全检测,并提供安全建议。客户要基于已有的安全运营工作,进一步加强网络安全策略优化。事中阶段是针对护网行动的实战防护阶段,重点是加强检测、分析和响应处置,能够及时发现网络安全攻击、威胁,并由专业技术人员进行分析,各部门之间协同进行响应和处置,必要时启动应急响应预案。保证护网期间,与用户及相关服务机构联合作战,充分利用现有安全检测与防御手段,结合已有防护经验,协助用户实时检测与分析攻击行为,快速响应处置,解决攻击事件。事后阶段是针对护网工作的总结阶段,可针对护网工作中的组织、流
7、程和技术措施等进行综合分析,并形成后续的改进建议。护网期间需要配套相应的安全工具,包括但不限于基于流量的威胁检测、蜜罐技术、互联网资产发现和主机加固等技术工具或产品。2.组织及职责分工2.1.攻防演习组织为确保本次攻防演习任务的顺利完成,拟成立攻防演习领导小组(以下简称“领导小组”)和三个攻防演习工作组(以下简称“工作组”),组织架构如下图。领导小组:组长:XX,副组长:XXX成员:办公厅、信息管理处、信息网络中心规划硏究处、网络处、信息安全处、专项应用管理处、XXX应用管理处、XXX科技处主要负责人三个工作组:综合研判组、防护监测组、应急处置组,各组成员由相关处室人员和技术支持服务单位人员组
8、成。2.2职责分工领导小组:负责领导、指挥和协调本次攻防演习工作开展,向XXX领导和公安部汇报攻防演习情况。综合研判组是负责制定网络攻防演习防护方案、网络攻防预演习方案,对全网应用系统、网络、安全监测与防护设备相关资产进行全面梳理,摸清网络安全现状,排查网络安全薄弱点,为后续有针对性的网络安全防护和监控点部署、自查整改等工作提供依据二是对全网系统资产进行安全检查,发现安全漏洞、弱点和不完善的策略设置,内容包括应用风险自查:重点针对弱口令、风险服务与端口、审计日志是否开启、漏洞修复等进行检查;漏洞扫描和渗透测试:对应用系统、操作系统、数据库、中间件等进行检测;安全基线检查:对网络设备(路由器、交
9、换机等)、服务器(操作系统、数据库、中间件等)做安全基线检查:安全策略检查:对安全设备(WAF、防火墙、IDS等)做安全策略检查。三是负责演习办公环境及相关资源准备,对目标系统、网络基础环境和安全产品可用性确认,负责确定预演习攻击队伍人员组成等相关工作;四是负责与公安部演习指挥部联系沟通;五是负责对本次攻防演习工作进行总结,编写总结报告防护监测组:是梳理现有网络安全监测、防护措施,查找不足二是根据综合研判组安全自查发现的安全漏洞和风险进行整改加固及策略调优,完善安全防护措施;三是利用已有(全流量安全监测系统、防火墙、WAF、IDS、漏洞扫描系统)和新增(主机侵检测系统、网站防护系统、安全策略分
10、析系统)监测技术手段对网络攻击行为进行监测、分析、预警和处置(封禁IP地址、应用系统漏洞修复、恶意特征行为阻断等);四是对网络和应用系统运行情况、审计日志进行全面监控,及时发现异常情况。应急处置组是根据公安部演习规则,制定应急响应工作方案;二是负责预演习应急演习中安全事件的应急处置,并对演习过程中应急响应方案存在的不足进行完善是负责正式攻防演习期间的应急响应处置工作2.3.各阶段工作任务针对本次攻防演习,按照“统一指挥、职责明确、协同配合、有效应对,积极防御”的原则有序开展工作。(一) 准备阶段(2019年4月26日-5月17日)明确各工作组参演人员工作职责和任务,对XXX应用系统、网络、安全
11、监测与防护设备相关资产进行全面梳理,摸清网络安全现状,排查网络安全薄弱点,为后续有针对性的网络安全防护和监控点部署、自查整改等工作提供依据。综合研判组:负责预演习和正式演习的方案制定,对全网资产进行全面梳理,摸清网络安全现状,排查网络安全薄弱点防护监测组梳理现有网络安全监测、防护措施,查找不足。应急处置组根据公安部演习规则,制定应急响应方案。(二)自查整改阶段(2019年5月5日-24日)针对全网主机、网络、安全设备、应用系统等开展全面的安全检查、漏洞扫描、安全基线检査、安全策略检査等工作,及时发现安全漏洞、弱点和不完善的策略设置。进行安全加固、策略配置优化和改进,切实加强系统的自身防护能力和
12、安全措施的效能,消除高风险安全隐患。综合研判组:对全网系统资产进行安全检查,及时发现和排除安全漏洞和风险隐。防护监测组:根据综合硏判组安全自查发现的安全漏洞和风险进行整改加固及策略调优,完善安全防护措施。应急处置组:根据公安部演习规则,完善应急响应方案。(三)攻防预演习阶段2019年5月20日-24日)组织攻击队伍,开展攻防演习预演习。通过攻防预演习,检验各工作组前期工作效果,检验对网络攻击监测、发现、分析和应急处置的能力,检验安全防护措施和监测技术手段的有效性,检验各工作组协调配合默契程度,充分验证工作方案及应急处置预案合理性,进一步完善工作方案和应急预案。领导小组:攻防预演习的统一协调、指
13、挥和决策。综合研判组准备工作:演习场所及环境准备,对目标系统、网络基础环境和安全产品可用性确认,负责确定预演习攻击队伍人员组成等相关工作。组织协调:负责具体组织协调各工作组开展监控、防护、应急等工作。分析研判:对防护监测组上报的安全事件进行研判,将分析研判结果上报领导小组,按照指示启动相应应急预案。方案完善:验证网络攻防预演习方案可行性,进一步完善网络攻防演习防护方案。防护监测组:监测分析:负责对参演目标系统应用系统运行情况、审计日志进行全面监控,及时发现异常情况;利用已有和新增的技术手段监测攻击行为;预警处置:对恶意攻击行为进行行为阻断,封禁攻击IP地址;事件反馈:将初步分析判定的安全事件反
14、馈综合硏判组进行综合研应急处置组对预演习应急演习中安全事件按照应急响应流程进行应急处置,并对演习过程中应急响应方案存在的不足进行完善(四)正式演习阶段(2019年6月3日21日)按照公安部演习指挥部的工作安排,全体参演人员到位到岗,在领导小组的统一指挥下,各工作组根据职责分工全天候开展安全监测、分析,及时发现攻击和异常情况。针对网络安全事件启动相应应急预案,开展应急处置工作,抑制网络攻击行为,消除演习目标系统和网络安全风险。领导小组:攻防演习的统一协调、指挥和决策。综合研判组:准备工作:演习场所及环境准备,对目标系统、网络基础环境和安全品可用性确认,负责确定预演习攻击队伍人员组成等相关工作组织
15、协调:负责具体组织协调各工作组开展监控、防护、应急等工作。分析研判:对防护监测组上报的安全事件进行研判,将分析研判结果上报领导小组,按照指示启动相应应急预案。方案完善:验证网络攻防预演习方案可行性,进一步完善网络攻防演习防护方案。防护监测组监测分析:负责对参演目标系统应用系统运行情况、审计日志进行全面监控,及时发现异常情况;利用已有和新增的技术手段监测攻击行为;预警处置:对恶意攻击行为进行行为阻断,封禁攻击IP地址;事件反馈:将初步分析判定的安全事件反馈综合硏判组进行综合研判应急处置组对预演习应急演习中安全事件按照应急响应流程进行应急处置,并对演习过程中应急响应方案存在的不足进行完善。(四)正
16、式演习阶段2019年6月3日21日)按照公安部演习指挥部的工作安排,全体参演人员到位到岗,在领导小组的统一指挥下,各工作组根据职责分工全天候开展安全监测、分析,及时发现攻击和异常情况。针对网络安全事件启动相应应急预案,开展应急处置工作,抑制网络攻击行为,消除演习目标系统和网络安全风险。领导小组:攻防演习的统一协调、指挥和决策。综合研判组:准备工作:演习场所及环境准备,对目标系统、网络基础环境和安全产品可用性确认组织协调:负责与公安部演习指挥部联系沟通,具体组织协调各工作组开展监控、防护、应急等工作。综合研判:对防护监测组上报的安全事件进行研判,将分析研判结果报领导小组。方案完善:验证网络攻防预演习方案可行性,进一步完善网
