1網絡安全應急演練方案

2指導思想

根據《中華人民共和國網絡安全法》規定，定期開展安全應急演練工作，網絡實戰網絡安全應急演練便是在新的網絡安全形勢下，通過攻防雙方之間的對抗演習，實現“防患于未然”。

3演練目的通過網絡實戰網絡安全應急演練，檢驗并完善移動關鍵基礎設施網絡安全應急響應機制與提高技術防護能力，檢驗各公司遭遇網絡攻擊時發現和協同處置安全風險的能力，培養和提升網絡安全人才實戰能力，全力保障建黨100周年大慶等國家重大活動網絡安全。

4演練時間

演練時間：2021年x月x日

5演練內容

網絡與信息安全事件應急演練

6演練流程

網絡安全應急演練保障活動共分為啟動階段、準備階段、演練階段、保障階段、總結階段五個階段，具體工作安排計劃如下：

?啟動階段：確定演練目標、人員團隊職責劃分、演練總體流程，后續工作提供指導。

?準備階段：需對演練目標進行安全分析和梳理，開展全面安全評估、關注現有安全能力、完成安全策略的全面優化、人員的全面賦能等。

?演練階段：重點檢測演練系統的監測手段和防御手段的有效性及安全人員操作規程熟悉度。

?保障階段：為保障業務系統的平穩運行，避免因安全問題而導致出現重大事故。

?總結階段：對行動中發現的相關問題進行快速整改并進行總結，將經驗固化至相關的規章制度中，形成常態化、制度化。

7演練方案

7.1啟動階段

7.1.1演練組織及職責分工

在網絡安全應急演練保障期間，組織建立保障小組，通過簽署責任書，明確保障人員職責，確保各司其職，有序開展保障工作。

?總指揮

?負責網絡安全應急演練保障期間重大決策；

?把控項目的整體進度及質量；

?指揮決策組

?協調各小組資源分配，起到上傳下達的等作用；

?演習保障結束后，負責對演習保障進行總結，形成報告，并輸出安全能力建設的規劃；

?協同其他各小組完成安全事件的閉環；

?安全監控小組

?通過實時監控平臺、或設備日志，發現網絡中的異常流量、惡意樣本、網絡攻擊行為；

?發現異常行為后，按事件模版及時將攻擊事件通報；

?分析研判小組

?通過對主機日志、網絡設備日志、安全設備日志以及全流量分析等信息對攻擊行為進行分析，找到攻擊者的源IP地址、攻擊服務器IP地址、郵件地址等信息；

?應急處置小組

?恢復系統備份、數據恢復等方式將系統業務恢復到正常狀態；

?將完整的應急處置、溯源流程記錄到報告，并上報給保障決策組；

?支撐小組

?支撐小組為二線專家小組，協助現場一線工作小組解決并提供專業安全業務建議。

7.1.2演練保密要求

在網絡安全應急演習保障期間，開展參演人員安全意識宣貫、簽訂網絡安全承諾書和安全保密協議。

宣貫內容包含但不限于：代碼管理規范、接入賬號安全、接入網絡安全、辦公設備安全等。

網絡安全承諾書內容至少包含但不限于：遵守甲方整體網絡安全工作要求、遵守相關法律及行業相關規定、強化項目參與人員的信息安全意識、違約責任等。

保密協議內容至少包含但不限于：演習保障期間的保密范圍、保密期限、保密要求、違約責任等。

7.2準備階段

7.2.1信息資產收集

在網絡安全應急演練準備階段，對演練系統進行信息收集，包括單不限于IP地址、端口、服務名稱及版本、操作系統類型及版本、應用框架類型及版本等，為開展演練行為做基礎。

在網絡安全應急演練保障實施期間，信息資產收集可助于快速發現內部問題、定位問題、解決問題，提高企業內部的防御能力。

7.2.2全面安全評估

對演練系統涉及的主機、數據庫、應用組件、網絡設備、網絡架構進行全面、綜合的安全評估，充分的發現其潛在的風險。

7.2.3安全策略優化

根據網絡安全架構評估以及網絡現狀，對網絡設備策略、安全設備策略、主機策略等進行進一步調整和優化實施范圍。

7.2.4安全缺陷整改

根據之前業務系統評估，對應用系統及其依賴的網絡、數據信息等可能存在的軟硬件缺陷，和信息安全管理中潛在的薄弱環節，而導致的不同程度的安全風險，提出臨時解決方案和長期解決方案。

7.2.5安全意識培訓

在網絡安全應急演練備戰階段，為了提升內外部人員的安全意識，組織開展安全意識宣貫和安全技術賦能，避免因人為因素而導致信息安全事件發生，整體提高安全管理能力。

7.3演練階段

7.3.1攻防場景演練

采用攻防對抗的方式有效的檢驗相關業務系統的抗攻擊能力，真正發現潛在的風險，從而為后續整改工作提供真實有效的依據。

7.3.1.1攻擊方工作

7.3.1.1.1攻擊路徑設計

攻擊者可以通過各種方式各種攻擊路徑嘗試攻破應用系統去危害客戶的業務或者企業組織。每種路徑方法都代表了一種風險。結合攻擊路徑相關的技術和對客戶的業務影響，評估威脅來源、攻擊向量和安全漏洞的可能性。

7.3.1.1.2滲透測試設計內容

針對信息系統業務系統和平臺進行全局、深入安全滲透測試，關注其面臨的主要安全風險和安全需求，提供安全滲透測試數據報告和針對性解決方案，建立一體化信息系統安全風險識別機制。

7.3.1.1.3應用功能測試

發現目標系統中存在的安全隱患（包括安全功能設計、安全弱點、以及安全部署中的弱點等），并針對問題提供解決方案建議。

7.3.1.1.4安全功能弱點測試

應用系統評估主要從輸入驗證、身份驗證、授權、配置管理、敏感數據保護、會話管理、加密、異常管理等角度分析應用系統的安全功能設計以及存在的安全隱患。

7.3.1.1.5應用安全性測試

針對提供的業務系統進行非破壞性的模擬黑客攻擊，充分挖掘應用系統各類組件存在的漏洞，并進行人工利用驗證。

7.3.1.2防守方工作

在攻防對抗中，通過部署監測預警功能的平臺，針對攻擊行為進行監控及時阻斷并上報，從而形成閉環的處置工作。

在防守監測工作中，需結合現有態勢平臺、處置平臺以及相關設備進行合理利用。

7.3.1.2.1設備運行監控

針對安全產品、網絡產品、主機服務器等提供監控與運維服務，及時發現設備（系統）運行過程中出現的問題并協助客戶進行解決，保障設備（系統）正常運轉。

監控指標可涵蓋設備功能、設備性能、應用服務情況、連通性、操作審計等。

7.3.1.2.2告警事件監控

針對各類安全設備的告警數據進行監控，通過人工告警研判的方式對安全設備告警進行二次分析，排除告警中的誤報，定位真實風險。

監控告警類型可涵蓋：DDoS攻擊、Web攻擊、信息破壞、口令猜測、僵尸主機、木馬病毒、非授權訪問、漏洞利用、網頁篡改、SQL注入、非法連接、惡意掃描探測、網頁篡改、網站敏感內容、網頁掛馬等。

7.3.1.2.3安全事件溯源

防守方對多種網絡安全設備產生的豐富的日志和告警信息集中分析，發掘安全知識的效果，發現傳統安全工具難以發現的安全事件。通過人工的方式判斷安全事件是否為誤報后，追溯該告警背后的威脅源，判斷威脅源使用的攻擊手段及漏洞利用情況。

攻擊溯源方案可分為三個層次的追蹤：追蹤溯源攻擊主機、追蹤溯源攻擊控制主機、追蹤溯源攻擊者和追蹤溯源攻擊組織機構。

7.3.1.2.4安全事件處置

對于安全監控中發現的安全對象脆弱性問題（如高危漏洞、安全基線配置不合格等）、安全故障問題、安全事件等，監控值守人員通過攻防平臺提供的工單流程進行處置任務指派，運維人員、二線支持人員及管理人員依照工單流程完成安全處置工作。

7.3.2應急場景演練

通過模擬攻擊者發起0 day攻擊，對安全監控、安全防護、網絡策略、安全策略等機制進行有效性校驗，按照流程快速響應，推動0day的緩解處理和后續補丁修復，最大化減少0day的影響。對發現問題及時推動整改，閉環安全風險，確保自身的網絡策略、安全策略符合安全預期。

安全監控小組負責漏洞信息監測收集和危害判斷，發現問題后通知分析研判小組、應急處置小組，通過資產管理平臺或相關檢測工具，確定受該漏洞影響的資產范圍，再按照資產價值（重要程度）和網絡暴露情況確定漏洞修復的優先級，確立響應的等級、需要哪些部門（廠商）參與。

做好內部的漏洞修復通知和外部的業務升級暫停公告，應急處置小組協助做好系統備份工作，并且在非業務時間段實施升級。漏洞修復后，業務歸屬部門自行檢查業務功能是否受影響，校驗數據是否丟失。

0 day漏洞處理流程示意圖如下圖所示：

完成0day處置的同時，應將其加入安全開發知識庫，避免后續發生類似的安全問題。

7.3.3應急響應支撐

應急響應能夠快速成功處置，關鍵是根據前期應急預設流程為指導，應急處置小組有條不紊對已發生安全事件進行解決，以最大限度地減少安全事件造成的損害，降低應急處置中的風險。

7.3.3.1檢測階段

檢測是指以適當的方法確認在系統/網絡中是否出現了惡意代碼、文件和目錄是否被篡改等異常活動/現象。

安全監控小組在檢測到網絡安全事件或發現信息系統異常，上報分析研判小組。

分析研判小組立即對上報事件的性質、影響范圍、安全設備日志告警進行分析與評估。

7.3.3.2分析階段

該階段確定它的影響范圍和問題原因及事件的性質。

分析研判小組通過安全事件告警日志進行分析研判，評估事件的性質、影響范圍判斷，是否上報應急處置小組，開展應急響應：

?若判斷無需開展應急響應，發布相關預警通告，應急流程結束；

?若判斷需開展應急響應，則結合實際情況對網絡安全事件進行定位，啟用相應的專項應急預案，上報演習保障決策組，并通知應急處置小組開展應急響應。

應急處置小組根據應急預案處置流程開展應急處置操作。

7.3.3.3抑制階段

恢復階段是它的目的是限制攻擊/破壞所波及的范圍。同時也是限制潛在的損失。所有的抑制活動都是建立在能正確檢測事件的基礎上，抑制活動必須結合檢測階段發現的安全事件的現象、性質、范圍等屬性，制定并實施正確的抑制策略。

應急處置小組按照應急預案開展應急處置，執行抑制方案，并記錄抑制過程，檢查恢復效果，如果抑制不成功則收集信息重新制定抑制方案。

在此階段，保障決策組協調資源進行技術或業務支撐，必要時協調支撐小組進行支撐，協助開展事件處置、業務恢復、系統監控等工作內容

7.3.3.4根除階段

根除階段即在準確的抑制事件后，找出事件的根源并徹底根除它，以避免攻擊者再次使用相同手段攻擊系統，引發安全事件。在根除階段中將需要利用到在準備階段中產生的結果。

應急小組按照應急預案對關鍵業務信息執行備份和狀態檢查，對事件進行原因分析，對業務系統進一步進行檢查，根據發現的問題與漏洞制定事件根除方案。

在此階段，支撐小組協調資源協助應急小組開展業務系統排查、漏洞整改等工作內容。

7.3.3.5恢復階段

應急小組按照應急預案開展應急處置和業務恢復工作，由應急執行小組組織相關部門安全管理員和運維操作人員等技術人員對網絡安全事件進行現場處置，執行恢復方案，并記錄恢復過程，檢查恢復效果，如果恢復不成功則收集信息重新制定業務恢復方案，盡快恢復系統正常運行。

系統恢復后及時將事件處置結果逐級上報至集團應急領導小組。

7.3.3.6總結階段

該階段的目標是回顧并整合發生事件的相關信息，主要有助于從安全事件中吸取經驗教訓，提高技能；有助于評判應急響應組織的事件響應能力。

應急處置小組對業務影響、范圍、損失進行總結，對應急措施的有效性進行評估，對事件原因進行分析，編寫安全事件處置總結報告。

應急處置小組向指揮決策組提交報告，并組織各業務系統管理人員對類似安全隱患的業務系統進行自查自檢，必要時可采取緊急抑制手段避免同類安全事件的發生。

7.4保障階段

在演習實戰階段，為保障業務系統的平穩運行，避免因安全問題而導致出現重大事故，將開展安全值守監控、配合中臺支撐的優勢，研判預警通告、威脅分析、應急響應支撐及演習事件上報等工作。

7.4.1安全值守監控

7.4.1.1網站及業務監控

1.主機資產監控

在演習保障期間，為及時發現資產對外暴露安全風險，安全監控小組將定時對外網資產進行監測，統計當天外網活躍主機數目，開放端口個數及端口服務類型，并通過人工分析確認是否存在異常端口對外開放。

2.網站安全監控

在演習保障期間，對網站提供完整性檢測、可用性檢測。完整性監測能夠甄別出防護站點頁面是否發生了惡意篡改，是否被惡意掛馬，是否被嵌入敏感內容等信息；可用性檢測能夠幫助防守方了解站點此時的通斷狀況，延遲狀況。

a)遠程網頁掛馬及黑鏈監測：遠程實時監測目標站點是否存在被植入惡意代碼、黃賭毒私服等詞匯的惡意鏈接的告警，在第一時間得知在防護網站的安全狀態，及時清除網頁木馬及黑鏈。

b)遠程網頁篡改監測：遠程實時監測目標站點是否是存在頁面被篡改情況，避免網站被篡改不能及時發現，造成惡劣影響，此服務是網站防護的最后一道屏障。

c)遠程網站域名監測：實時監測各地主流ISP的DNS緩存服務器和客戶DNS授權服務器的可用性，以及它們對被監測域名的解析結果情況。一旦發現客戶域名無法解析或解析不正確，第一時間上報評估小組進行處置。

d)遠程網站平穩度監測服務：遠程實時監測目標站點在多種網絡協議下的響應速度、首頁加載時間等反映網站性能狀況的內容，一旦發現客戶域名無法解析或解析不正確，第一時間上報評估小組進行處置。

7.4.1.2安全設備監控

在網絡安全應急演練保障期間，安全監控小組對安全設備進行監控，開展設備性能監控、安全攻擊監控等工作。

a)安全攻擊監控：安全設備告警事件實時監控，包含：拒絕服務攻擊，網絡病毒爆發，漏洞遠程利用、惡意代碼傳遞等高危事件告警信息，對攻擊告警日志進行分析處置，策略調整優化，對高危風險行為IP執行封禁封堵，可密切關注來源請求異常，接口請求異常，惡意IP攻擊等事件。

7.4.1.3安全行為監控

在網絡安全應急演練實戰期間，VPN、堡壘機、關鍵設備主機等設備是黑客突破的重要目標，當獲取到權限賬戶后，黑客可能會選擇在夜間薄弱時間點發起攻擊行為，或執行高危操作，故安全監控小組將對設備賬戶安全行為進行監控，并對日志進行安全審計。

安全監控小組通過人工分析日志，審計目前監控設備是否存在僵尸賬戶、異地登錄、頻繁登錄、異常時間登陸、賬戶威脅操作等行為情況，并針對不同事件采取相應措施，防止風險擴散。

a)僵尸賬戶分析：安全監控小組通過人工分析日志，查找近期未活躍的賬戶，對疑是僵尸賬戶進行逐一確認，非必要賬戶或權限不合理賬戶，需進行回收處理。

b)異地登錄分析：安全監控小組通過人工分析日志，查看設備賬戶近期是否頻繁更換登陸地點，地點變更間隔是否符合常理，對出現異常賬戶進行逐一確認，確保賬戶登錄環境安全。

c)頻繁登錄分析：安全監控小組通過人工分析日志，查看設備賬戶近期是否存在頻繁登錄行為，重點關注頻繁登錄失敗事件，分析當前賬戶是否遭受暴力破解。

d)異常時間登錄分析：安全監控小組通過人工分析日志，查看設備賬戶近期是否在異常時間段(凌晨1點至6點)期間登錄，對出現異常賬戶進行逐一確認，確保賬戶均為賬戶申請人本人操作。

e)賬戶威脅操作分析：安全監控小組通過人工分析日志，查看設備賬戶近期執行是否正常，如刪除數據庫、修改關鍵信息等操作，對出現異常賬戶進行逐個確認，確保高風險操作是正常操作。

7.4.1.4重要系統巡檢

系統巡檢工作能保證服務器正常、有序、安全地運轉，保障更好地應用網絡及相關服務。在網絡安全應急演練實戰期間，靶標、關鍵系統、服務器等設備是突破的重要目標，通過對重要系統的巡檢，可發現目標存在的一些異常，以便在系統故障或應急事件發生時及時作出處理，減少不良影響。

1.系統可用性檢查

檢查設備或服務器系統時間、是否升級包、證書信息等信息。

2.系統日志分析

通過對日志進行統計、分析、匯總，能有效掌握服務器的運行狀況，及時發現問題，排除安全隱患。其中關注以下幾個方面的行為日志：

a)可疑賬戶的登錄：查找登錄的賬戶，對可疑賬戶進行逐一確認、非必要賬戶、權限不合理賬戶，進行回收處理。

b)異地登錄的賬戶：查看設備賬戶近期是否頻繁更換登陸地點，地點變更間隔是否符合常理，對出現異地賬 戶進行逐一確認，確保賬戶登錄環境安全。

c)頻繁登錄分析：查看設備賬戶是否存在頻繁登錄行為，重點關注頻繁登錄失敗事件，分析當前賬戶是否遭受暴力破解。

d)異常時間登錄分析：查看設備賬戶近期是否在異常時間段(非工作時間段)期間登錄，對出現異常賬戶進行逐一確認，確保賬戶均為賬戶申請人本人操作。

7.4.1.5重要設備監控

在網絡安全應急演練實戰期間，安全監控小組對安全設備進行監控，開展設備性能監控、安全攻擊監控等工作。

1.設備性能監控

安全設備健康情況實時監控，包含：CPU使用率、內存占用率、接口流量、接口工作狀態、硬盤使用情況等設備健康相關的基本參數監控，監控過程需密切關注設備性能占比，通過分析當前業務負載，及設備各項性能指標，確保過程中設備可用性。

2.系統性能檢查

檢查服務器資源使用情況，合理分配資源，能夠提高服務器的工作效率。內存不足或CPU使用率居高不下，不僅對服務器性能造成較大影響，而且可能存在攻擊或病毒感染等問題。通過對磁盤剩余空間、CPU、進程、內存等參數進行檢查，掌握系統目前的運行狀況。

3.數據備份檢查

查數據備份是否存在或異常的情況，能為之后可能出現的系統故障處理提供保障。方便故障后恢復系統配置提供極大的便利。

7.4.2研判預警處置

在網絡安全應急演練保障期間，研判分析小組將對安全監控小組上報事件進行研判處置，對符合預警條件的事件進行通知處理。

安全預警通告主要類型包括安全風險預警通告、安全事件應急通告、可疑安全行為通告，當研判分析小組收到上述通告時，及時研判被通告事件與保障目標資產吻合度，對風險內容進行定位分析，確認實際影響范圍，威脅程度，緊急程度等，并協調應急處置小組進行處理，以達到快速閉環安全風險目的。

1.安全通告接收

安全監控小組接收到安全風險預警，安全事件應急及可疑安全行為等各類安全事件。

2.安全通告研判

研判分析小組研判被通告事件與保障目標資產吻合度，對風險內容進行定位分析，確認實際影響范圍，威脅程度，緊急程度等。

3.安全通告處置

協調應急處置小組對安全風險進行閉環，并記錄進統計表中。

7.4.3安全事件上報

在網絡安全應急演練保障期間，防守方對檢測到的告警信息進行研判分析，對確屬攻擊行為的安全事件，及時根據規定格式編寫防守方成果報告，提交至保障決策組，由安全接口人統一上報。

7.4.4安全事件跟蹤

將針對網絡安全應急演練前期的待處理事件和中期發生的安全事件進行梳理，根據安全問題風險程度由高到低設置處理優先級，繪制輸出安全事件跟蹤表。

7.5總結階段

在網絡安全應急演練保障結束后，將對保障期間所涉及到的攻擊事件進行匯總梳理，通過分析還原攻擊手段，對存在安全缺陷進行整改跟進，總結經驗教訓，提升業務安全防護能力，強化業務安全。

7.5.1安全事件梳理

在保障結束后，將組織保障參與人員對應急演練期間出現的攻擊事件進行匯總統計，包括但不限于：

?針對攻擊事件進行攻擊時段、頻率、次數的統計，分析常見攻擊事件行為識別已受攻擊的業務風險；

?分析攻擊源地址的地域、攻擊時間、攻擊次數等維度識別攻擊者攻擊意圖；分析攻擊目的地址識別易受攻擊的業務模塊；

?從風險等級由高到低排序，重點關注高危行為，根據高危行為指向的目的地址，識別易受攻擊的業務模塊。

7.5.2事件總結歸檔

在保障結束后，將組織演習保障參與人員進行總結分析，并于收尾會議后的3個工作日內，輸出網絡安全應急演練活動總結報告，并遞交至演習保障組、總指揮進行初步審閱及最終審閱，最后發送給保障聯絡組各小組部門負責人，歸檔至信息安全部門。

8演練平臺說明

在網絡安全應急演練保障期間，演習保障人員均通過“安全設備—態勢感知—攻防平臺—封堵平臺”形成安全事件從發現、分析、研判、封堵的全生命周期閉環管理。

在演練期間，態勢平臺會獲取所有安全設備事件日志統一處理，攻防平臺獲取態勢平臺的安全事件，并前往封堵平臺查看告警IP是否被封禁。這一系列動作可通過自動化的腳本執行，演練人員需要重點查看安全事件是否正常。

1、登錄簽到

訪問攻防平臺輸入賬戶、密碼進行登陸。若提示證書錯誤，請添加例外或繼續訪問。登錄攻防平臺后請先進行簽到，點擊右上角的日歷圖標，在我的簽到頁面下，點擊簽到，如下圖所示：

2、安全設備/事件監控

安全值守監控人員實時監控各安全設備、態勢平臺、攻防平臺、封堵平臺的安全事件條數、處置狀態，確保各類攻擊事件均已處置完畢,對于未處置完畢的安全事件，手工派發安全事件工單，通知對應人員在規定時間內手工處置完畢。

安全值守監控人員實時監控各安全設備（各安全域的DDOS、防病毒、防篡改、WAF、防火墻、天眼、IDS、IPS）、態勢平臺、攻防平臺、封堵平臺的運行情況，安全值守人員對統計數據進行復核確認。

3、安全事件處置

在攻防平臺的左側進入安全事件中心，查看平臺從態勢平臺所取得的安全事件，如下圖所示：

點擊事件列表右側的處理，進入事件處理的詳情后點擊結束事件，如下圖所示：

此時將事件狀態切換為已解決，可以看到剛才的事件狀態已經轉換成已解決，如下圖所示：

在封堵平臺的左側進入攻防封堵頁面，查看安全事件處置結果，顯示時間處置類型及處置狀態：

4、簽出

在完成任務后，要點擊頁面右上角的日歷標志，在我的簽到頁面中，點擊簽出，如下圖所示：