網(wǎng)絡(luò)安全攻防演練防守方方案

本次演練是為了進(jìn)一步提升網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急處置能力，建立健全網(wǎng)絡(luò)安全應(yīng)急工作機制，預(yù)防和減少網(wǎng)絡(luò)安全事件造成的損失和危害。演練前，電子數(shù)據(jù)處根據(jù)本局網(wǎng)絡(luò)安全現(xiàn)狀詳細(xì)制定了演練方案。演練中嚴(yán)格按照演練方案執(zhí)行，現(xiàn)場模擬內(nèi)網(wǎng)遭受惡意掃描、網(wǎng)絡(luò)遭受DDos攻擊、交換機故障等情形，由局網(wǎng)絡(luò)安全工作人員按照網(wǎng)絡(luò)安全應(yīng)急預(yù)案對突發(fā)情況進(jìn)行研判、響應(yīng)、處置、恢復(fù)，并做了詳細(xì)記錄。本次演練通過實戰(zhàn)檢驗網(wǎng)絡(luò)安全應(yīng)急預(yù)案和應(yīng)急處置工作的有效性，為進(jìn)一步貫徹落實了網(wǎng)絡(luò)安全責(zé)任制打下堅實基礎(chǔ)。演練中，技術(shù)人員通過Web攻擊、手機木馬攻擊、釣魚WIFI三個演練情景直觀展示了網(wǎng)絡(luò)攻擊對工作和生活帶來的影響和威脅，同時給予了相應(yīng)的防范建議和安全建議。通過模擬網(wǎng)絡(luò)安全事件及應(yīng)急處置過程，給參與者留下深刻印象，提高對網(wǎng)絡(luò)安全事件風(fēng)險源的警惕性，促使各單位增強安全意識，主動學(xué)習(xí)網(wǎng)絡(luò)安全相關(guān)知識。近年來，我市高度重視網(wǎng)絡(luò)信息安全，多次開展網(wǎng)絡(luò)安全宣傳周、線下科普講座等活動。通過此次演練“體檢”，大大提高應(yīng)對網(wǎng)絡(luò)安全突發(fā)事件的分析研判、決策指揮和協(xié)調(diào)處置能力，提升應(yīng)急響應(yīng)熟練程度和實戰(zhàn)技能，進(jìn)一步壓實全州各領(lǐng)域、各單位網(wǎng)絡(luò)安全主體責(zé)任，深入排查問題隱患，加固安全防護，切實做好重大網(wǎng)絡(luò)安全事件應(yīng)急處置準(zhǔn)備工作，堅決守住網(wǎng)絡(luò)安全底線，筑牢廈門市網(wǎng)絡(luò)安全屏障。各縣（市）黨委網(wǎng)信辦、政治部、直部分單位共40余家單位參加。1、攻防演習(xí)概述1.1.攻防演習(xí)背景網(wǎng)絡(luò)安全實戰(zhàn)攻防演習(xí)（以下簡稱“攻防演習(xí)”）是以獲取目標(biāo)系統(tǒng)的最高控制權(quán)為目標(biāo)，由多領(lǐng)域安全專家組成攻擊隊，在保障業(yè)務(wù)系統(tǒng)安全的前提下，采用“不限攻擊路徑，不限制攻擊手段”的攻擊方式，而形成的“有組織”的網(wǎng)絡(luò)攻擊行為。攻防演習(xí)通常是在真實環(huán)境下對參演單位目標(biāo)系統(tǒng)進(jìn)行可控、可審計的網(wǎng)絡(luò)安全實戰(zhàn)攻擊，通過攻防演習(xí)檢驗參演單位的安全防護和應(yīng)急處置能力，提高網(wǎng)絡(luò)安全的綜合防控能力。近幾年我國較大規(guī)模的攻防演習(xí)主要包括公安機關(guān)組織的針對關(guān)鍵信息基礎(chǔ)設(shè)施的攻防演習(xí)、各部委組織的對各省和直屬單位重要系統(tǒng)的攻防演習(xí)和大型企業(yè)組織的對下屬單位重要系統(tǒng)的攻防演習(xí)。其中，公安部組織的“護網(wǎng)行動”是面向國家重要信息系統(tǒng)和關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全實戰(zhàn)演習(xí)，通過實戰(zhàn)網(wǎng)絡(luò)攻擊的形式檢驗我國關(guān)鍵信息基礎(chǔ)設(shè)施安全防護和應(yīng)急處置能力，“護網(wǎng)行動”已開展了3年，取得了十分顯著的效果，督促各單位有效提升了網(wǎng)絡(luò)安全防護水平。1.2.攻擊角度看防守在攻防演習(xí)中，為充分檢驗參演單位及目標(biāo)系統(tǒng)的安全防護、監(jiān)測和應(yīng)急處置能力，演習(xí)組織方通常會選擇由經(jīng)驗豐富的安全專家組成攻擊隊開展網(wǎng)絡(luò)攻擊，在確保不影響業(yè)務(wù)的前提下，選擇一切可利用的資源和手段，采用多變、靈活、隱蔽的攻擊力求取得最大戰(zhàn)果參演單位作為防守方，面對“隱蔽”的網(wǎng)絡(luò)攻擊，如何才能有效防御呢？“知彼知己，百戰(zhàn)不殆”，只有了解攻擊方是如何開展攻擊的，才能根據(jù)攻擊特點建立完善的安全防護體系，有效抵御網(wǎng)絡(luò)攻擊。攻擊方在組織入侵攻擊時，通常會首先制定攻擊策略、規(guī)劃攻擊線路，攻擊者分工合作，力爭在短時間內(nèi)取得最大戰(zhàn)果，常見的攻擊步驟為信息收集、漏洞分析、滲透攻擊和后滲透攻擊1.3.演習(xí)防守方法論“護網(wǎng)”行動的防護應(yīng)是基于“戰(zhàn)時”的防護工作模式，根據(jù)護網(wǎng)行動要求，會有防守方和攻擊方，同時對防守方設(shè)計了加分事宜，基于我司長期積累的攻擊方的攻擊路徑和攻擊手段，我司建議采用在主動防御架構(gòu)下，建立基于可持續(xù)監(jiān)測分析和響應(yīng)的協(xié)同防護模式，分成事前階段、事中階段和時候階段。事前階段是針對護網(wǎng)行動的前期準(zhǔn)備階段，重點是協(xié)助客戶模式“護網(wǎng)”進(jìn)行實戰(zhàn)預(yù)演習(xí)，旨在發(fā)現(xiàn)隱患、檢驗防護和協(xié)同應(yīng)急處置流程，同時協(xié)助客戶減少被攻擊面，開展專項安全檢測，重點針對“攻擊方”可能利用的安全漏洞進(jìn)行安全檢測，并提供安全建議。客戶要基于已有的安全運營工作，進(jìn)一步加強網(wǎng)絡(luò)安全策略優(yōu)化。事中階段是針對護網(wǎng)行動的實戰(zhàn)防護階段，重點是加強檢測、分析和響應(yīng)處置，能夠及時發(fā)現(xiàn)網(wǎng)絡(luò)安全攻擊、威脅，并由專業(yè)技術(shù)人員進(jìn)行分析，各部門之間協(xié)同進(jìn)行響應(yīng)和處置，必要時啟動應(yīng)急響應(yīng)預(yù)案。保證護網(wǎng)期間，與用戶及相關(guān)服務(wù)機構(gòu)聯(lián)合作戰(zhàn)，充分利用現(xiàn)有安全檢測與防御手段，結(jié)合已有防護經(jīng)驗，協(xié)助用戶實時檢測與分析攻擊行為，快速響應(yīng)處置，解決攻擊事件。事后階段是針對護網(wǎng)工作的總結(jié)階段，可針對護網(wǎng)工作中的組織、流程和技術(shù)措施等進(jìn)行綜合分析，并形成后續(xù)的改進(jìn)建議。護網(wǎng)期間需要配套相應(yīng)的安全工具，包括但不限于基于流量的威脅檢測、蜜罐技術(shù)、互聯(lián)網(wǎng)資產(chǎn)發(fā)現(xiàn)和主機加固等技術(shù)工具或產(chǎn)品。2.組織及職責(zé)分工2.1.攻防演習(xí)組織為確保本次攻防演習(xí)任務(wù)的順利完成，擬成立攻防演習(xí)領(lǐng)導(dǎo)小組（以下簡稱“領(lǐng)導(dǎo)小組”）和三個攻防演習(xí)工作組（以下簡稱“工作組”），組織架構(gòu)如下圖。領(lǐng)導(dǎo)小組：組長：XX，副組長：XXX成員：辦公廳、信息管理處、信息網(wǎng)絡(luò)中心規(guī)劃硏究處、網(wǎng)絡(luò)處、信息安全處、專項應(yīng)用管理處、XXX應(yīng)用管理處、XXX科技處主要負(fù)責(zé)人三個工作組：綜合研判組、防護監(jiān)測組、應(yīng)急處置組，各組成員由相關(guān)處室人員和技術(shù)支持服務(wù)單位人員組成。2.2職責(zé)分工領(lǐng)導(dǎo)小組：負(fù)責(zé)領(lǐng)導(dǎo)、指揮和協(xié)調(diào)本次攻防演習(xí)工作開展，向XXX領(lǐng)導(dǎo)和公安部匯報攻防演習(xí)情況。綜合研判組是負(fù)責(zé)制定《網(wǎng)絡(luò)攻防演習(xí)防護方案》、《網(wǎng)絡(luò)攻防預(yù)演習(xí)方案》，對全網(wǎng)應(yīng)用系統(tǒng)、網(wǎng)絡(luò)、安全監(jiān)測與防護設(shè)備相關(guān)資產(chǎn)進(jìn)行全面梳理，摸清網(wǎng)絡(luò)安全現(xiàn)狀，排查網(wǎng)絡(luò)安全薄弱點，為后續(xù)有針對性的網(wǎng)絡(luò)安全防護和監(jiān)控點部署、自查整改等工作提供依據(jù)二是對全網(wǎng)系統(tǒng)資產(chǎn)進(jìn)行安全檢查，發(fā)現(xiàn)安全漏洞、弱點和不完善的策略設(shè)置，內(nèi)容包括◆應(yīng)用風(fēng)險自查：重點針對弱口令、風(fēng)險服務(wù)與端口、審計日志是否開啟、漏洞修復(fù)等進(jìn)行檢查；◆漏洞掃描和滲透測試：對應(yīng)用系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫、中間件等進(jìn)行檢測；◆安全基線檢查：對網(wǎng)絡(luò)設(shè)備（路由器、交換機等）、服務(wù)器（操作系統(tǒng)、數(shù)據(jù)庫、中間件等）做安全基線檢查：◆安全策略檢查：對安全設(shè)備（WAF、防火墻、IDS等）做安全策略檢查。三是負(fù)責(zé)演習(xí)辦公環(huán)境及相關(guān)資源準(zhǔn)備，對目標(biāo)系統(tǒng)、網(wǎng)絡(luò)基礎(chǔ)環(huán)境和安全產(chǎn)品可用性確認(rèn)，負(fù)責(zé)確定預(yù)演習(xí)攻擊隊伍人員組成等相關(guān)工作；四是負(fù)責(zé)與公安部演習(xí)指揮部聯(lián)系溝通；五是負(fù)責(zé)對本次攻防演習(xí)工作進(jìn)行總結(jié)，編寫總結(jié)報告防護監(jiān)測組：是梳理現(xiàn)有網(wǎng)絡(luò)安全監(jiān)測、防護措施，查找不足二是根據(jù)綜合研判組安全自查發(fā)現(xiàn)的安全漏洞和風(fēng)險進(jìn)行整改加固及策略調(diào)優(yōu)，完善安全防護措施；三是利用已有（全流量安全監(jiān)測系統(tǒng)、防火墻、WAF、IDS、漏洞掃描系統(tǒng)）和新增（主機λ侵檢測系統(tǒng)、網(wǎng)站防護系統(tǒng)、安全策略分析系統(tǒng)）監(jiān)測技術(shù)手段對網(wǎng)絡(luò)攻擊行為進(jìn)行監(jiān)測、分析、預(yù)警和處置（封禁IP地址、應(yīng)用系統(tǒng)漏洞修復(fù)、惡意特征行為阻斷等）；四是對網(wǎng)絡(luò)和應(yīng)用系統(tǒng)運行情況、審計日志進(jìn)行全面監(jiān)控，及時發(fā)現(xiàn)異常情況。應(yīng)急處置組是根據(jù)公安部演習(xí)規(guī)則，制定《應(yīng)急響應(yīng)工作方案》；二是負(fù)責(zé)預(yù)演習(xí)應(yīng)急演習(xí)中安全事件的應(yīng)急處置，并對演習(xí)過程中應(yīng)急響應(yīng)方案存在的不足進(jìn)行完善是負(fù)責(zé)正式攻防演習(xí)期間的應(yīng)急響應(yīng)處置工作2.3.各階段工作任務(wù)針對本次攻防演習(xí)，按照“統(tǒng)一指揮、職責(zé)明確、協(xié)同配合、有效應(yīng)對，積極防御”的原則有序開展工作。準(zhǔn)備階段（2019年4月26日-5月17日）明確各工作組參演人員工作職責(zé)和任務(wù)，對XXX應(yīng)用系統(tǒng)、網(wǎng)絡(luò)、安全監(jiān)測與防護設(shè)備相關(guān)資產(chǎn)進(jìn)行全面梳理，摸清網(wǎng)絡(luò)安全現(xiàn)狀，排查網(wǎng)絡(luò)安全薄弱點，為后續(xù)有針對性的網(wǎng)絡(luò)安全防護和監(jiān)控點部署、自查整改等工作提供依據(jù)。綜合研判組：負(fù)責(zé)預(yù)演習(xí)和正式演習(xí)的方案制定，對全網(wǎng)資產(chǎn)進(jìn)行全面梳理，摸清網(wǎng)絡(luò)安全現(xiàn)狀，排查網(wǎng)絡(luò)安全薄弱點防護監(jiān)測組梳理現(xiàn)有網(wǎng)絡(luò)安全監(jiān)測、防護措施，查找不足。應(yīng)急處置組根據(jù)公安部演習(xí)規(guī)則，制定應(yīng)急響應(yīng)方案。（二）自查整改階段（2019年5月5日-24日）針對全網(wǎng)主機、網(wǎng)絡(luò)、安全設(shè)備、應(yīng)用系統(tǒng)等開展全面的安全檢查、漏洞掃描、安全基線檢査、安全策略檢査等工作，及時發(fā)現(xiàn)安全漏洞、弱點和不完善的策略設(shè)置。進(jìn)行安全加固、策略配置優(yōu)化和改進(jìn)，切實加強系統(tǒng)的自身防護能力和安全措施的效能，消除高風(fēng)險安全隱患。綜合研判組：對全網(wǎng)系統(tǒng)資產(chǎn)進(jìn)行安全檢查，及時發(fā)現(xiàn)和排除安全漏洞和風(fēng)險隱。防護監(jiān)測組：根據(jù)綜合硏判組安全自查發(fā)現(xiàn)的安全漏洞和風(fēng)險進(jìn)行整改加固及策略調(diào)優(yōu)，完善安全防護措施。應(yīng)急處置組：根據(jù)公安部演習(xí)規(guī)則，完善應(yīng)急響應(yīng)方案。（三）攻防預(yù)演習(xí)階段②2019年5月20日-24日）組織攻擊隊伍，開展攻防演習(xí)預(yù)演習(xí)。通過攻防預(yù)演習(xí)，檢驗各工作組前期工作效果，檢驗對網(wǎng)絡(luò)攻擊監(jiān)測、發(fā)現(xiàn)、分析和應(yīng)急處置的能力，檢驗安全防護措施和監(jiān)測技術(shù)手段的有效性，檢驗各工作組協(xié)調(diào)配合默契程度，充分驗證工作方案及應(yīng)急處置預(yù)案合理性，進(jìn)一步完善工作方案和應(yīng)急預(yù)案。領(lǐng)導(dǎo)小組：攻防預(yù)演習(xí)的統(tǒng)一協(xié)調(diào)、指揮和決策。綜合研判組準(zhǔn)備工作：演習(xí)場所及環(huán)境準(zhǔn)備，對目標(biāo)系統(tǒng)、網(wǎng)絡(luò)基礎(chǔ)環(huán)境和安全產(chǎn)品可用性確認(rèn)，負(fù)責(zé)確定預(yù)演習(xí)攻擊隊伍人員組成等相關(guān)工作。組織協(xié)調(diào)：負(fù)責(zé)具體組織協(xié)調(diào)各工作組開展監(jiān)控、防護、應(yīng)急等工作。分析研判：對防護監(jiān)測組上報的安全事件進(jìn)行研判，將分析研判結(jié)果上報領(lǐng)導(dǎo)小組，按照指示啟動相應(yīng)應(yīng)急預(yù)案。方案完善：驗證《網(wǎng)絡(luò)攻防預(yù)演習(xí)方案》可行性，進(jìn)一步完善《網(wǎng)絡(luò)攻防演習(xí)防護方案》。防護監(jiān)測組：監(jiān)測分析：負(fù)責(zé)對參演目標(biāo)系統(tǒng)應(yīng)用系統(tǒng)運行情況、審計日志進(jìn)行全面監(jiān)控，及時發(fā)現(xiàn)異常情況；利用已有和新增的技術(shù)手段監(jiān)測攻擊行為；預(yù)警處置：對惡意攻擊行為進(jìn)行行為阻斷，封禁攻擊IP地址；事件反饋：將初步分析判定的安全事件反饋綜合硏判組進(jìn)行綜合研應(yīng)急處置組對預(yù)演習(xí)應(yīng)急演習(xí)中安全事件按照應(yīng)急響應(yīng)流程進(jìn)行應(yīng)急處置，并對演習(xí)過程中應(yīng)急響應(yīng)方案存在的不足進(jìn)行完善（四）正式演習(xí)階段（2019年6月3日21日）按照公安部演習(xí)指揮部的工作安排，全體參演人員到位到崗，在領(lǐng)導(dǎo)小組的統(tǒng)一指揮下，各工作組根據(jù)職責(zé)分工全天候開展安全監(jiān)測、分析，及時發(fā)現(xiàn)攻擊和異常情況。針對網(wǎng)絡(luò)安全事件啟動相應(yīng)應(yīng)急預(yù)案，開展應(yīng)急處置工作，抑制網(wǎng)絡(luò)攻擊行為，消除演習(xí)目標(biāo)系統(tǒng)和網(wǎng)絡(luò)安全風(fēng)險。領(lǐng)導(dǎo)小組：攻防演習(xí)的統(tǒng)一協(xié)調(diào)、指揮和決策。綜合研判組：準(zhǔn)備工作：演習(xí)場所及環(huán)境準(zhǔn)備，對目標(biāo)系統(tǒng)、網(wǎng)絡(luò)基礎(chǔ)環(huán)境和安全品可用性確認(rèn)，負(fù)責(zé)確定預(yù)演習(xí)攻擊隊伍人員組成等相關(guān)工作組織協(xié)調(diào)：負(fù)責(zé)具體組織協(xié)調(diào)各工作組開展監(jiān)控、防護、應(yīng)急等工作。分析研判：對防護監(jiān)測組上報的安全事件進(jìn)行研判，將分析研判結(jié)果上報領(lǐng)導(dǎo)小組，按照指示啟動相應(yīng)應(yīng)急預(yù)案。方案完善：驗證《網(wǎng)絡(luò)攻防預(yù)演習(xí)方案》可行性，進(jìn)一步完善《網(wǎng)絡(luò)攻防演習(xí)防護方案》。防護監(jiān)測組監(jiān)測分析：負(fù)責(zé)對參演目標(biāo)系統(tǒng)應(yīng)用系統(tǒng)運行情況、審計日志進(jìn)行全面監(jiān)控，及時發(fā)現(xiàn)異常情況；利用已有和新增的技術(shù)手段監(jiān)測攻擊行為；預(yù)警處置：對惡意攻擊行為進(jìn)行行為阻斷，封禁攻擊IP地址；事件反饋：將初步分析判定的安全事件反饋綜合硏判組進(jìn)行綜合研判應(yīng)急處置組對預(yù)演習(xí)應(yīng)急演習(xí)中安全事件按照應(yīng)急響應(yīng)流程進(jìn)行應(yīng)急處置，并對演習(xí)過程中應(yīng)急響應(yīng)方案存在的不足進(jìn)行完善。（四）正式演習(xí)階段②2019年6月3日21日）按照公安部演習(xí)指揮部的工作安排，全體參演人員到位到崗，在領(lǐng)導(dǎo)小組的統(tǒng)一指揮下，各工作組根據(jù)職責(zé)分工全天候開展安全監(jiān)測、分析，及時發(fā)現(xiàn)攻擊和異常情況。針對網(wǎng)絡(luò)安全事件啟動相應(yīng)應(yīng)急預(yù)案，開展應(yīng)急處置工作，抑制網(wǎng)絡(luò)攻擊行為，消除演習(xí)目標(biāo)系統(tǒng)和網(wǎng)絡(luò)安全風(fēng)險。領(lǐng)導(dǎo)小組：攻防演習(xí)的統(tǒng)一協(xié)調(diào)、指揮和決策。綜合研判組：準(zhǔn)備工作：演習(xí)場所及環(huán)境準(zhǔn)備，對目標(biāo)系統(tǒng)、網(wǎng)絡(luò)基礎(chǔ)環(huán)境和安全產(chǎn)品可用性確認(rèn)組織協(xié)調(diào)：負(fù)責(zé)與公安部演習(xí)指揮部聯(lián)系溝通，具體組織協(xié)調(diào)各工作組開展監(jiān)控、防護、應(yīng)急等工作。綜合研判：對防護監(jiān)測組上報的安全事件進(jìn)行研判，將分析研判結(jié)果報領(lǐng)導(dǎo)小組。方案完善：驗證《網(wǎng)絡(luò)攻防預(yù)演習(xí)方案》可行性，進(jìn)一步完善《網(wǎng)絡(luò)攻防演習(xí)防護方案》。防護監(jiān)測組：監(jiān)測分析：負(fù)責(zé)對參演目標(biāo)系統(tǒng)應(yīng)用系統(tǒng)運行情況、審計日志進(jìn)行全面監(jiān)控，及時發(fā)現(xiàn)異常情況；利用已有和新增的技術(shù)手段監(jiān)測攻擊行為預(yù)警處置：對惡意攻擊行為進(jìn)行行為阻斷，封禁攻擊IP地址；事件反饋：對已確認(rèn)的安全事件反饋綜合研判組研判應(yīng)急處置組：負(fù)責(zé)攻防演習(xí)期間按照應(yīng)急響應(yīng)流程進(jìn)行應(yīng)急處置工作，完善應(yīng)急響應(yīng)體系（五）總結(jié)階段（2019年7月1日-31日）演習(xí)結(jié)束，對演習(xí)過程中工作情況進(jìn)行總結(jié)，包括組織隊伍、攻擊情況、防守情況、安全防護措施、監(jiān)測手段、響應(yīng)和協(xié)同處置等。進(jìn)一步完善XXX網(wǎng)絡(luò)安全監(jiān)測措施、應(yīng)急響應(yīng)機制及預(yù)案，提升網(wǎng)絡(luò)安全防護水平。3.防守工作方案為有效應(yīng)對攻防演習(xí)相關(guān)工作，攻防演習(xí)防守工作分成四個階段，分別是準(zhǔn)備階段、安全自查和整改階段、攻防預(yù)演習(xí)階段、正式演習(xí)防護階段第一階段：準(zhǔn)備階段準(zhǔn)備階段主要是組建隊伍，明確演習(xí)流程和分工，進(jìn)一步梳理本次參演系統(tǒng)的網(wǎng)絡(luò)路徑、數(shù)據(jù)流和相關(guān)資產(chǎn)信息，輸岀真實的網(wǎng)絡(luò)拓?fù)浜拖嚓P(guān)資產(chǎn)信息，整理并確定目標(biāo)系統(tǒng)的網(wǎng)絡(luò)安全專項應(yīng)急預(yù)案。第二階段：安全自查和整改階段安全自查和整改階段，主要是在攻防演習(xí)開始前，針對攻防演習(xí)對象進(jìn)行安全自查和安全加固。通過安全自查發(fā)現(xiàn)的問題，進(jìn)行整改、加固和完善，確保參演系統(tǒng)在攻防時已做好自身防護工作。第三階段：攻防預(yù)演習(xí)階段攻防預(yù)演習(xí)階段，由預(yù)演攻擊小組，采用專業(yè)的攻防演習(xí)平臺，對目標(biāo)系統(tǒng)進(jìn)行實戰(zhàn)攻擊，防護工作小組牽頭防守方工作，實施對抗并進(jìn)行安全防護演習(xí)工作小組針對攻防預(yù)演習(xí)中發(fā)現(xiàn)的問題進(jìn)一步梳理、整改、加固和完善，更深一步分析問題的主要原因，提供杜絕問題再現(xiàn)的有效解決方案和整改措施，同時通過攻防預(yù)演習(xí)發(fā)現(xiàn)的問題逆向推導(dǎo)，以改進(jìn)和完善安全自查和整改階段的工作。第四階段：正式演習(xí)防護階段正式演習(xí)防護階段，要確保防護人員能夠持續(xù)對網(wǎng)絡(luò)攻擊進(jìn)行實時監(jiān)測，并及時進(jìn)行響應(yīng)處置，針對演習(xí)中發(fā)現(xiàn)的漏洞和弱點，能及時進(jìn)行修補和加固，積極應(yīng)對，協(xié)同進(jìn)行安全處置。演習(xí)結(jié)束后全面總結(jié)本次攻防演習(xí)工作情況，對于發(fā)現(xiàn)的問題和短板及時進(jìn)行歸納整改和彌補，總結(jié)有效應(yīng)對的措施和協(xié)同處置的規(guī)范流程。3.1.第一階段：準(zhǔn)備階段在正式攻防演習(xí)開始前，應(yīng)充分做好準(zhǔn)備階段工作，為后續(xù)演習(xí)工作其他階段提供有效的支撐3.1.1.防守方案編制攻防演習(xí)工作應(yīng)按計劃逐步有效的進(jìn)行，參演單位應(yīng)在演習(xí)前，根據(jù)本單位實際情況，完成攻防演習(xí)防守方案編寫，通過演習(xí)防守方案指導(dǎo)攻防演習(xí)防守工作的開展，確保演習(xí)防守工作的效果。3.1.2.防守工作啟動會應(yīng)在攻防演習(xí)開始前，應(yīng)組織各參演部門相關(guān)人員，召開演習(xí)工作啟動會。以啟動會的形式明確本次演習(xí)防守工作的目的、工作分工、計劃安排和基本工作流程通過啟動會確定演習(xí)防守工作主要牽頭部門和演習(xí)接口人，明確演習(xí)時間計劃和工作安排，并對演習(xí)各階段參演部門人員的工作內(nèi)容和職責(zé)進(jìn)行宣貫。同時，建立演習(xí)工作中的溝通聯(lián)絡(luò)機制，并建立各參演人員的聯(lián)系清單，確保演習(xí)工作順利開展。3.1.3.重要工作開展3.1.3.1.網(wǎng)絡(luò)路徑梳理對目標(biāo)系統(tǒng)相關(guān)的網(wǎng)絡(luò)訪問路徑進(jìn)行梳理，明確系統(tǒng)訪問源（包括用戶、設(shè)備或系統(tǒng)）的類型、位置和途徑的網(wǎng)絡(luò)節(jié)點，繪制準(zhǔn)確的網(wǎng)絡(luò)路徑圖。網(wǎng)絡(luò)路徑梳理須眀確從互聯(lián)網(wǎng)訪間的路徑、內(nèi)部訪冋路徑等，全面梳理目標(biāo)系統(tǒng)可能被訪問到的路徑和數(shù)據(jù)流向，為后續(xù)有針對性的網(wǎng)絡(luò)安全防護和監(jiān)控點部署奠定基礎(chǔ)。3.1.3.2.關(guān)聯(lián)及未知資產(chǎn)梳理梳理目標(biāo)系統(tǒng)的關(guān)聯(lián)及未知資產(chǎn)，形成目標(biāo)系統(tǒng)的關(guān)聯(lián)資產(chǎn)清單、未知資產(chǎn)清單，關(guān)聯(lián)資產(chǎn)包括目標(biāo)系統(tǒng)網(wǎng)絡(luò)路徑中的各個節(jié)點設(shè)備、節(jié)點設(shè)備同一區(qū)域的其它設(shè)備以及目標(biāo)系統(tǒng)相關(guān)資產(chǎn)，未知資產(chǎn)包括與目標(biāo)系統(tǒng)可有關(guān)聯(lián)但未記錄在關(guān)聯(lián)資產(chǎn)清單里的資產(chǎn)，為后續(xù)安全自查和整改加固等工作提供基礎(chǔ)數(shù)據(jù)。3.1.3.3.專項應(yīng)急預(yù)案確認(rèn)針對本次攻防演習(xí)的目標(biāo)系統(tǒng)進(jìn)行專項應(yīng)急預(yù)案的梳理，確定應(yīng)急預(yù)案的流程、措施有效，針對應(yīng)急預(yù)案的組織、技術(shù)、管理流程內(nèi)容進(jìn)行完善，確保能夠有效支撐后續(xù)演習(xí)工作3.1.3.4.加強安全監(jiān)測防御體系梳理當(dāng)前已有的安全監(jiān)測和防御產(chǎn)品，對其實現(xiàn)的功能和防御范圍進(jìn)行確定，并根據(jù)已梳理的重要資產(chǎn)和網(wǎng)絡(luò)路徑，建立針對性●臨時性（租用或借用）或者長久性（購買）的安全監(jiān)測防御體系，為后續(xù)正式演練及防護階段提供工具和手段支持3.2.第二階段：安全自查和整改階段根據(jù)準(zhǔn)備階段形成的目標(biāo)系統(tǒng)關(guān)聯(lián)資產(chǎn)清單、未知資產(chǎn)清單，對與組成目標(biāo)系統(tǒng)相關(guān)的網(wǎng)絡(luò)設(shè)備、服務(wù)器、中間件、數(shù)據(jù)庫、應(yīng)用系統(tǒng)、安全設(shè)備等開展安全自查和整改工作。通過安全自查對目標(biāo)系統(tǒng)的安全狀況得以真實反映，結(jié)合整改加固手段對評估發(fā)現(xiàn)的問題逐一進(jìn)行整改。設(shè)置必要的防御規(guī)則，基于最小權(quán)限原則制定，即僅僅開放允許業(yè)務(wù)正常運行所必須的網(wǎng)絡(luò)和系統(tǒng)資源。確保目標(biāo)系統(tǒng)在攻防預(yù)演習(xí)前所有安全問題均已采取措施得到處理。3.2.1.網(wǎng)絡(luò)安全檢查網(wǎng)絡(luò)架構(gòu)評估●針對目標(biāo)系統(tǒng)開展網(wǎng)絡(luò)架構(gòu)評估工作，以評估目標(biāo)系統(tǒng)在網(wǎng)絡(luò)架構(gòu)方面的合理性，網(wǎng)絡(luò)安全防護方面的健壯性，是否已具備有效的防護措施；●形成網(wǎng)絡(luò)架構(gòu)評估報告冫網(wǎng)絡(luò)安全策略檢查●針對目標(biāo)系統(tǒng)所涉及的網(wǎng)絡(luò)設(shè)備進(jìn)行策略檢查，確保目前已有策略均按照“按需開放，最小開放”的原則進(jìn)行開放●確保目標(biāo)系統(tǒng)所涉及的網(wǎng)絡(luò)設(shè)備中無多余、過期的網(wǎng)絡(luò)策略●形成網(wǎng)絡(luò)安全策略檢查報告冫網(wǎng)絡(luò)安全基線檢查●針對目標(biāo)系統(tǒng)所涉及的網(wǎng)絡(luò)設(shè)備進(jìn)行安全基線檢查，重點檢查多余服務(wù)、多余賬號、口令策略，禁止存在默認(rèn)口令和弱口令等配置情況●形成網(wǎng)絡(luò)安全基線檢查報告。安全設(shè)備基線檢查●針對目標(biāo)系統(tǒng)所涉及的安全設(shè)備進(jìn)行安全基線檢查，重點檢查多余賬號、口令策略、策略啟用情況、應(yīng)用規(guī)則、特征庫升級情況，禁止存在默認(rèn)口令和弱口令等配置情況；形成安全設(shè)備基線檢查報告3.2.2.主機安全檢查冫主機安全基線●針對目標(biāo)系統(tǒng)所涉及的主機進(jìn)行安全檢查，重點檢查多余賬號口令策略、賬號策略、遠(yuǎn)程管理等情況；●形成主機安全基線檢查報告冫數(shù)據(jù)庫安全基線●針對目標(biāo)系統(tǒng)所涉及的數(shù)據(jù)庫進(jìn)行安全檢查，重點檢查多余賬號、口令策略、賬號策略、遠(yuǎn)程管理等情況；形成主機安全基線檢查報告冫中間件安全基線針對目標(biāo)系統(tǒng)所涉及的中間件進(jìn)行安全檢查，重點檢查中間件管理后臺、口令策略、賬號策略、安全配置等情況；●形成中間件安全基線檢查報告。冫主機漏洞掃描●針對目標(biāo)系統(tǒng)所涉及的主機、數(shù)據(jù)庫以及中間件進(jìn)行安全漏洞掃描●形成主機安全漏洞掃描報告。3.2.3.應(yīng)用系統(tǒng)安全檢查冫應(yīng)用系統(tǒng)合規(guī)檢查●針對目標(biāo)系統(tǒng)應(yīng)用進(jìn)行安全合規(guī)檢查，重點檢查應(yīng)用系統(tǒng)多余賬號、賬號策略、口令策略、后臺管理等情況形成應(yīng)用系統(tǒng)合規(guī)檢查報告。冫應(yīng)用系統(tǒng)源代碼檢測●針對目標(biāo)系統(tǒng)應(yīng)用進(jìn)行源代碼檢測；●形成應(yīng)用系統(tǒng)源代碼檢測報告。冫應(yīng)用系統(tǒng)滲透測試●針對目標(biāo)系統(tǒng)應(yīng)用進(jìn)行滲透測試；形成應(yīng)用系統(tǒng)滲透測試報告。3.2.4.運維終端安全檢查冫運維終端安全策略●針對目標(biāo)系統(tǒng)運維終端安全進(jìn)行安全檢查，重點檢查運維終端訪問目標(biāo)系統(tǒng)的網(wǎng)絡(luò)策略等情況；●形成運維終端安全策略檢查報告冫運維終端安全基線●針對目標(biāo)系統(tǒng)運維終端進(jìn)行安全檢查，重點檢查運維終端的多余賬號、賬號策略、口令策略、遠(yuǎn)程管理等情況；形成運維終端安全基線檢查報告。冫運維終端漏洞掃描●針對目標(biāo)系統(tǒng)運維終端進(jìn)行安全漏洞掃描●形成運維終端安全漏洞掃描報告。3.2.5.日志審計冫網(wǎng)絡(luò)設(shè)備日志●針對本次目標(biāo)系統(tǒng)中網(wǎng)絡(luò)設(shè)備的日志記錄進(jìn)行檢查，確認(rèn)能夠?qū)υL問和操作行為進(jìn)行記錄；●明確日志開通級別和記錄情況，并對未能進(jìn)行日志記錄的情況進(jìn)行標(biāo)記，明確改進(jìn)措施。冫主機日志●針對本次目標(biāo)系統(tǒng)中主機的日志記錄進(jìn)行檢查，確認(rèn)能夠?qū)υL問和操作行為進(jìn)行記錄●明確日志開通級別和記錄情況，并對未能進(jìn)行日志記錄的情況進(jìn)行標(biāo)記，明確改進(jìn)措施。冫中間件日志●針對本次目標(biāo)系統(tǒng)中中間件的日志記錄進(jìn)行檢查，確認(rèn)能夠?qū)υL問和操作行為進(jìn)行記錄；●對未能進(jìn)行日志記錄的情況進(jìn)行標(biāo)記，明確改進(jìn)措施冫數(shù)據(jù)庫日志●針對本次目標(biāo)系統(tǒng)中數(shù)據(jù)庫的日志記錄進(jìn)行檢查，確認(rèn)能夠?qū)υL問和操作行為進(jìn)行記錄；●明確日志開通級別和記錄情況，并對未能進(jìn)行日志記錄的情況進(jìn)行標(biāo)記，明確改進(jìn)措施冫應(yīng)用系統(tǒng)日志●針對本次目標(biāo)系統(tǒng)中應(yīng)用的日志記錄進(jìn)行檢查，確認(rèn)能夠?qū)υL問和操作行為進(jìn)行記錄；●對未能進(jìn)行日志記錄的情況進(jìn)行標(biāo)記，明確改進(jìn)措施。冫安全設(shè)備日志●針對本次目標(biāo)系統(tǒng)中的安全設(shè)備的日志記錄進(jìn)行檢查，確認(rèn)能夠?qū)υL問和操作行為進(jìn)行記錄●對未能進(jìn)行日志記錄的情況進(jìn)行標(biāo)記，明確改進(jìn)措施。3.2.6.備份效性檢查冫備份策略檢查●針對本次目標(biāo)系統(tǒng)中的備份策略（配置備份、重要數(shù)據(jù)備份等）進(jìn)行檢查，確認(rèn)備份策略的有效性；●對無效的備份策略進(jìn)行標(biāo)記，明確改進(jìn)措施。冫備份系統(tǒng)有效性檢查●針對本次目標(biāo)系統(tǒng)中的備份系統(tǒng)有效性進(jìn)行檢查，確認(rèn)備份系統(tǒng)可用性；●對無效的備份系統(tǒng)進(jìn)行標(biāo)記，明確改進(jìn)措施。3.2.7.安全意識培訓(xùn)●針對本次演習(xí)參與人員進(jìn)行安全意識培訓(xùn)，明確演習(xí)工作中應(yīng)注意的安全事項●提高本次演習(xí)參與人員的安全意識，針對演習(xí)攻擊中可能面對的社會工程學(xué)攻擊、郵件釣魚等方式，應(yīng)重點關(guān)注；●提高本次演習(xí)參與人員的安全處置能力，針對演習(xí)攻擊中可能用到的手段和應(yīng)對措施進(jìn)行培訓(xùn)。3.2.8.安全整改加固基于以上安全自查發(fā)現(xiàn)的問題和隱患，及時進(jìn)行安全加固、策略配置優(yōu)化和改進(jìn)，切實加強系統(tǒng)的自身防護能力和安全措施的效能，減少安全隱患，降低可能被外部攻擊利用的脆弱性和風(fēng)險。業(yè)務(wù)主管單位協(xié)同安全部門完善網(wǎng)絡(luò)安全專項應(yīng)急預(yù)案，針對可能產(chǎn)生的網(wǎng)絡(luò)安全攻擊事件建立專項處置流程和措施。3.3.第三階段：攻防預(yù)演習(xí)階段攻防預(yù)演習(xí)是為了在正式演習(xí)前，檢驗安全自查和整改階段的工作效果以及防護小組否能順利開展防守工作，而組織攻擊小組對目標(biāo)系統(tǒng)開展真實的攻擊。通過攻防預(yù)演習(xí)結(jié)果，及時發(fā)現(xiàn)目標(biāo)系統(tǒng)還存在的安全風(fēng)險，并對遺留（漏）風(fēng)險進(jìn)行分析和整改，確保目標(biāo)系統(tǒng)在正式演習(xí)時，所有發(fā)現(xiàn)的安全問題均已得到有效的整改和處置。3.3.1.預(yù)演習(xí)啟動會由領(lǐng)導(dǎo)小組組長牽頭，通過正式會議的形式，組織預(yù)攻擊小組和防護工作小組各成員單位和個人，啟動攻防預(yù)演習(xí)工作，明確攻防演習(xí)隊伍組成，職責(zé)分工，時間計劃和工作安排，啟動會計劃時間X月。啟動會上各成員單位共同確定演習(xí)采用的攻擊方式和風(fēng)險規(guī)避措施，各單位明確預(yù)演習(xí)工作聯(lián)系人、各方溝通機制，建立聯(lián)系人通訊錄，根據(jù)啟動會決議內(nèi)容，應(yīng)將此次攻防預(yù)演習(xí)工作情況及所使用的攻擊IP地址等信息，向國家網(wǎng)絡(luò)安全相關(guān)主管部門（公安部、網(wǎng)信辦等）進(jìn)行備案說明。3.3.2.授權(quán)及備案演習(xí)開始前期，在對目標(biāo)系統(tǒng)進(jìn)行前期的安全準(zhǔn)備工作中，參演單位應(yīng)對第三方技術(shù)支撐單位進(jìn)行正式授權(quán)。同時第三方技術(shù)支撐單位應(yīng)向參演單位提供IP信息，參演單位將此次攻防預(yù)演習(xí)工作情況及所使用的攻擊IP地址等信息，向國家網(wǎng)絡(luò)安全相關(guān)主管部門（公安部、網(wǎng)信辦等）進(jìn)行備案說明。確保演習(xí)各項工作，均在授權(quán)范圍內(nèi)有序進(jìn)行。3.3.3.預(yù)演習(xí)平臺本次預(yù)演習(xí)使用的攻防演習(xí)支撐平臺，攻擊人員的所有行為通過平臺進(jìn)行記錄、監(jiān)管、分析、審計和追溯，保障整個攻擊演習(xí)的過程可控、風(fēng)險可控。同時，演習(xí)平臺提供實況展示、可用性監(jiān)測和攻擊成果展示三個圖形化展示頁面，在預(yù)演習(xí)期間可通過大屏進(jìn)行演示?！窆魧崨r展示展示網(wǎng)絡(luò)攻擊的實時狀態(tài)，展示攻擊方與被攻擊目標(biāo)的IP地址及名稱，通過光線流動效果及數(shù)字標(biāo)識形成攻擊流量信息的直觀展示?！窨捎眯员O(jiān)測實時監(jiān)測并展示攻擊參演系統(tǒng)的健康性，保障攻擊目標(biāo)業(yè)務(wù)不受影響。通過攻擊流量大小準(zhǔn)確反應(yīng)攻擊方網(wǎng)絡(luò)資源占用情況及其對攻擊目標(biāo)形成的壓力情況。實時呈現(xiàn)網(wǎng)絡(luò)流量大小等信息，并展示異常情況的描述?！窆舫晒故竟羧藛T取得攻擊成果后，及時提交到演習(xí)平臺并進(jìn)行展示，顯示每個目標(biāo)系統(tǒng)被發(fā)現(xiàn)的安全漏洞和問題數(shù)量及細(xì)節(jié)，防守方可依據(jù)攻擊成果進(jìn)行安全修復(fù)整改。3.3.4.預(yù)演習(xí)攻擊預(yù)演習(xí)攻擊由安全部門組織開展，攻擊人員從互聯(lián)網(wǎng)對目標(biāo)系統(tǒng)系統(tǒng)進(jìn)行攻擊，攻擊中禁止使用DDoS攻擊等可能影響業(yè)務(wù)系統(tǒng)運行的破壞性攻擊方式，可能使用的攻擊方式包括但不限于●Web滲透Web滲透攻擊是指攻擊者通過目標(biāo)網(wǎng)絡(luò)對外提供Web服務(wù)存在的漏洞，控制Web服務(wù)所在服務(wù)器和設(shè)備的一種攻擊方式。●旁路滲透旁路滲透攻擊是指攻擊者通過各種攻擊手段取得內(nèi)部網(wǎng)絡(luò)中主機、服務(wù)器和設(shè)備控制權(quán)的一種攻擊。內(nèi)部網(wǎng)絡(luò)不能接受來自外部網(wǎng)絡(luò)的直接流量，因此攻擊者通常需要繞過防火墻，并基于外網(wǎng)（非軍事區(qū)）主機作為跳板來間接控制內(nèi)部網(wǎng)絡(luò)中的主機?！窨诹罟艨诹罟羰枪粽咦钕矚g采用的入侵系統(tǒng)的方法。攻擊者通過猜測或暴力破解的方式獲取系統(tǒng)管理員或其他用戶的口令，獲得系統(tǒng)的管理權(quán)，竊取系統(tǒng)信息、修改系統(tǒng)配置?！襻烎~欺騙魚叉攻擊是黑客攻擊方式之一，最常見的做法是，將木馬程序作為電子郵件的附件，并起上一個極具誘惑力的名稱，發(fā)送給目標(biāo)電腦，誘使受害者打開附件，從而感染木馬，或者攻擊者通過誘導(dǎo)受害者（IM，郵件內(nèi)鏈接）訪問其控制的偽裝網(wǎng)站頁面，使得受害者錯誤相信該頁面為某提供其他正常業(yè)務(wù)服務(wù)的網(wǎng)站頁面，從而使得攻擊者可以獲取受害者隱私信息的一種攻擊方式。通過釣魚欺騙攻擊，攻擊者通常可以獲得受害者的銀行賬號和密碼、其他網(wǎng)站賬號和密碼等?！裆鐣こ虒W(xué)社會工程學(xué)是指攻擊者通過各種欺騙手法誘導(dǎo)受害者實施某種行為的種攻擊方式。社會工程學(xué)通用用來竊取受害者隱私，或者誘導(dǎo)受害者實施需要一定權(quán)限才能操作的行為以便于攻擊者實施其他攻擊行為。3.3.5.預(yù)演習(xí)防守預(yù)演習(xí)防守工作由防護小組開展，在預(yù)演習(xí)期間，防護小組中各部門應(yīng)組織技術(shù)人員開展安全監(jiān)測、攻擊處置和應(yīng)急響應(yīng)等防守工作●業(yè)務(wù)監(jiān)測目標(biāo)系統(tǒng)的相關(guān)運維部門利用系統(tǒng)監(jiān)測手段實時監(jiān)測應(yīng)用系統(tǒng)和服務(wù)器運行狀態(tài)，包括系統(tǒng)訪問是否正常、業(yè)務(wù)數(shù)據(jù)是否有異常變更、系統(tǒng)目錄是否出現(xiàn)可疑文件、服務(wù)器是否有異常訪問和修改等，監(jiān)測到異常事件后及時協(xié)同相關(guān)部門共同分析處置●攻擊監(jiān)測預(yù)演習(xí)期間，安全部門、網(wǎng)絡(luò)部門等利用全流量分析設(shè)備、Web防火墻、IDS、IPS、數(shù)據(jù)庫審計等安全設(shè)備對網(wǎng)絡(luò)攻擊行為進(jìn)行實時監(jiān)測?；诹髁糠治?，對網(wǎng)絡(luò)安全策略有效性進(jìn)行檢驗，并對安全設(shè)備的攻擊告警進(jìn)行初步分析，評估攻擊真實性和影響，及時協(xié)同相關(guān)部門共同分析處置●事件處置在業(yè)務(wù)系統(tǒng)運行發(fā)生異常事件或安全設(shè)備出現(xiàn)攻擊告警后，防護小組應(yīng)協(xié)同對事件進(jìn)行處置，分析事件原因、明確攻擊方式和影響、確定處置方案，通過調(diào)整安全設(shè)備策略等方式盡快阻斷攻擊、恢復(fù)系統(tǒng)。●應(yīng)急響應(yīng)在事件處置過程中，經(jīng)分析確定已發(fā)生網(wǎng)絡(luò)攻擊，且攻擊已成功進(jìn)入系統(tǒng)、獲取部分權(quán)限、上傳后門程序，應(yīng)立即啟動專項應(yīng)急響應(yīng)預(yù)案，根據(jù)攻擊影響可采取阻斷攻擊、系統(tǒng)下線等方式進(jìn)行處置，并全面排查清理系統(tǒng)內(nèi)攻擊者創(chuàng)建的系統(tǒng)賬號、后門程序等?！裥迯?fù)整改在網(wǎng)絡(luò)攻擊事件處置完畢后，安全部門和業(yè)務(wù)主管部門應(yīng)針對攻擊利用的安全漏洞或缺陷，組織技術(shù)力量盡快進(jìn)行漏洞修復(fù)和問題整改。3.3.6預(yù)演習(xí)總結(jié)參加預(yù)演人員對演習(xí)過程中發(fā)現(xiàn)的問題進(jìn)行總結(jié)，包括是否存在系統(tǒng)漏洞、安全設(shè)備策略是否有缺陷、監(jiān)測手段是否有效等，針對性提岀整改計劃和方案，盡快進(jìn)行整改，同時通過攻防預(yù)演習(xí)發(fā)現(xiàn)的問題改進(jìn)和完善安全自查和整改階段的工作，為后續(xù)工作積累經(jīng)驗。3.4第四階段：正式防護階段在正式防護階段，重點加強防護過程中的安全保障工作，各崗位人員各司其職，從攻擊監(jiān)測、攻擊分析、攻擊阻斷、漏洞修復(fù)和追蹤溯源等方面全面加強演習(xí)過程的安全防護效果3.4.1.安全事件實時監(jiān)測當(dāng)開啟正式防護后，防護小組組織各部門人員，根據(jù)崗位職責(zé)開展安全事件實時監(jiān)測工作。安全部門組織其他部門人員借助安全防護設(shè)備（全流量分析設(shè)備、Web防火墻、IDS、IPS、數(shù)據(jù)庫審計等）開展攻擊安全事件實時監(jiān)測，對發(fā)現(xiàn)的攻擊行為進(jìn)行確認(rèn)，詳細(xì)記錄攻擊相關(guān)數(shù)據(jù)，為后續(xù)處置工作開展提供信息。3.4.2.事件分析與處置防護小組根據(jù)監(jiān)測到安全事件，協(xié)同進(jìn)行分析和確認(rèn)。如有必要可通過主機日志、網(wǎng)絡(luò)設(shè)備日志、入侵檢測設(shè)備日志等信息對攻擊行為進(jìn)行分析，以找到攻擊者的源IP地址、攻擊服務(wù)器IP地址、郵件地址等信息，并對攻擊方法、攻擊方式、攻擊路徑和工具等進(jìn)行分析研判。防護小組根據(jù)分析結(jié)果，應(yīng)采取相應(yīng)的處置措施，來確保目標(biāo)系統(tǒng)安全。通過遏制攻擊行為，使其不再危害目標(biāo)系統(tǒng)和岡絡(luò)，依據(jù)攻擊行為的具體特點實時制定攻擊阻斷的安全措施，詳細(xì)記錄攻擊阻斷操作。業(yè)務(wù)主管單位對業(yè)務(wù)穩(wěn)定性進(jìn)行監(jiān)測，工作接口人及時通報相關(guān)信息。演習(xí)工作小組應(yīng)針對攻擊演習(xí)中可能產(chǎn)生的攻擊事件，根據(jù)已經(jīng)制定的網(wǎng)絡(luò)安全專項應(yīng)急預(yù)案進(jìn)行協(xié)同處置，同時在明確攻擊源和攻擊方式后，保證正常業(yè)務(wù)運行的前提下，可以通過調(diào)整安全設(shè)備策略的方式對攻擊命令或IP進(jìn)行阻斷，分析確認(rèn)攻擊嘗試?yán)玫陌踩┒矗_認(rèn)安全漏洞的影響，制定漏洞修復(fù)方案并及時修復(fù)3.4.3.防護總結(jié)與整改全面總結(jié)本次攻防演習(xí)各階段的工作情況，包括組織隊伍、攻擊情況防守情況、安全防護措施、監(jiān)測手段、響應(yīng)和協(xié)同處置等，形成總結(jié)報告并向有關(guān)單位匯報。針對演習(xí)結(jié)果，對在演習(xí)過程中還存在的脆弱點，開展整改工作，進(jìn)一步提高目標(biāo)系統(tǒng)的安全防護能力4.演習(xí)組織及工作計劃4.1.演習(xí)工作單位和組織分工4.1.1.明確參演單位根據(jù)攻防演習(xí)確定的系統(tǒng)情況，明確參加演習(xí)防守的相關(guān)單位，一般應(yīng)包括業(yè)務(wù)、應(yīng)用、網(wǎng)絡(luò)和安全等相關(guān)主管和運維單位業(yè)務(wù)：●主管單位、業(yè)務(wù)維護單位；●應(yīng)用系統(tǒng)開發(fā)、運維單位和第三方支持廠商；●網(wǎng)絡(luò)運維單位和第三方支持廠商；●安全運維單位和第三方支持廠商。4.1.2.演習(xí)工作組織架構(gòu)4.1.2.1.演習(xí)領(lǐng)導(dǎo)小組為加強攻防演習(xí)的組織領(lǐng)導(dǎo)，確保攻防演習(xí)實效，應(yīng)成立演習(xí)領(lǐng)導(dǎo)小組，統(tǒng)一領(lǐng)導(dǎo)和指揮攻防演習(xí)工作。4.1.2.2.演習(xí)工作小組演習(xí)領(lǐng)導(dǎo)小組下設(shè)演習(xí)工作小組，組織部署攻防演習(xí)的工作任務(wù)，具體管理和協(xié)調(diào)攻防演習(xí)工作4.1.3.演習(xí)工作職責(zé)分工（一）攻防演習(xí)參演系統(tǒng)的業(yè)務(wù)主管單位，負(fù)責(zé)業(yè)務(wù)安全相關(guān)工作，指定專人接口本次攻防演習(xí)工作，在攻防預(yù)演習(xí)和正式演習(xí)階段監(jiān)測業(yè)務(wù)安全穩(wěn)定性，并對業(yè)務(wù)安全相關(guān)問題及時進(jìn)行內(nèi)部溝通、信息通報和協(xié)同處置，必要時啟動專項應(yīng)急預(yù)案。（二）攻防演習(xí)參演系統(tǒng)的技術(shù)管理單位，負(fù)責(zé)攻防演習(xí)的技術(shù)防護工作，具體組織攻防預(yù)演習(xí)、安全自查整改、安全防護、安全監(jiān)測和應(yīng)急處置等工作。（三）專家隊伍可參與演習(xí)防護工作，協(xié)助提出防護技術(shù)方案，并針對相關(guān)系統(tǒng)潛在的安全隱患協(xié)助提出安全整改建議，開展內(nèi)部安全測試等相關(guān)技術(shù)支持工作。（四）外部專家和第三方技術(shù)支持單位（安全服務(wù)商）協(xié)助進(jìn)行本次攻防演習(xí)工作，在攻防預(yù)演習(xí)中組建攻擊隊，在正式演習(xí)中提供協(xié)同防護技術(shù)支持，并針對演習(xí)中發(fā)現(xiàn)的問題提供整改建議。4.2.初步工作計劃根據(jù)工作階段的劃分和組織分工情況，攻防演習(xí)防護工作的初工作計劃如下：工作階段重點任務(wù)工作內(nèi)容組織分工時間計劃準(zhǔn)備階段目標(biāo)系統(tǒng)梳理--網(wǎng)絡(luò)路徑梳理--關(guān)聯(lián)資產(chǎn)梳理針對本次參演系統(tǒng)進(jìn)行網(wǎng)絡(luò)路徑和關(guān)聯(lián)資產(chǎn)梳理，為后續(xù)細(xì)化監(jiān)測、防護方案莫定基礎(chǔ)。負(fù)責(zé)部門：電子XX管理中心,XX技術(shù)管理處、X技術(shù)管理處配合部門：電子XX管理中心運行監(jiān)控處、信息安全管理處及相關(guān)業(yè)務(wù)司局20個工作日目標(biāo)系統(tǒng)網(wǎng)絡(luò)安全專項應(yīng)急預(yù)案梳理并確認(rèn)目標(biāo)系統(tǒng)網(wǎng)絡(luò)安全專項應(yīng)急預(yù)案，確定網(wǎng)絡(luò)安全處置流程、措施等負(fù)責(zé)部門：力公廳、貨物與XXX司、XX技術(shù)管理處、