本次演練是為了進一步提升網絡安全突發事件應急處置能力，建立健全網絡安全應急工作機制，預防和減少網絡安全事件造成的損失和危害。演練前，電子數據處根據本局網絡安全現狀詳細制定了演練方案。演練中嚴格按照演練方案執行，現場模擬內網遭受惡意掃描、網絡遭受DDos攻擊、交換機故障等情形，由局網絡安全工作人員按照網絡安全應急預案對突發情況進行研判、響應、處置、恢復，并做了詳細記錄。本次演練通過實戰檢驗網絡安全應急預案和應急處置工作的有效性，為進一步貫徹落實了網絡安全責任制打下堅實基礎。演練中，技術人員通過Web攻擊、手機木馬攻擊、釣魚WIFI三個演練情景直觀展示了網絡攻擊對工作和生活帶來的影響和威脅，同時給予了相應的防范建議和安全建議。通過模擬網絡安全事件及應急處置過程，給參與者留下深刻印象，提高對網絡安全事件風險源的警惕性，促使各單位增強安全意識，主動學習網絡安全相關知識。近年來，我市高度重視網絡信息安全，多次開展網絡安全宣傳周、線下科普講座等活動。通過此次演練“體檢”，大大提高應對網絡安全突發事件的分析研判、決策指揮和協調處置能力，提升應急響應熟練程度和實戰技能，進一步壓實全州各領域、各單位網絡安全主體責任，深入排查問題隱患，加固安全防護，切實做好重大網絡安全事件應急處置準備工作，堅決守住網絡安全底線，筑牢廈門市網絡安全屏障。各縣（市）黨委網信辦、政治部、直部分單位共40余家單位參加。1、攻防演習概述1.1.攻防演習背景網絡安全實戰攻防演習（以下簡稱“攻防演習”）是以獲取目標系統的最高控制權為目標，由多領域安全專家組成攻擊隊，在保障業務系統安全的前提下，采用“不限攻擊路徑，不限制攻擊手段”的攻擊方式，而形成的“有組織”的網絡攻擊行為。攻防演習通常是在真實環境下對參演單位目標系統進行可控、可審計的網絡安全實戰攻擊，通過攻防演習檢驗參演單位的安全防護和應急處置能力，提高網絡安全的綜合防控能力。近幾年我國較大規模的攻防演習主要包括公安機關組織的針對關鍵信息基礎設施的攻防演習、各部委組織的對各省和直屬單位重要系統的攻防演習和大型企業組織的對下屬單位重要系統的攻防演習。其中，公安部組織的“護網行動”是面向國家重要信息系統和關鍵信息基礎設施的網絡安全實戰演習，通過實戰網絡攻擊的形式檢驗我國關鍵信息基礎設施安全防護和應急處置能力，“護網行動”已開展了3年，取得了十分顯著的效果，督促各單位有效提升了網絡安全防護水平。1.2.攻擊角度看防守在攻防演習中，為充分檢驗參演單位及目標系統的安全防護、監測和應急處置能力，演習組織方通常會選擇由經驗豐富的安全專家組成攻擊隊開展網絡攻擊，在確保不影響業務的前提下，選擇一切可利用的資源和手段，采用多變、靈活、隱蔽的攻擊力求取得最大戰果參演單位作為防守方，面對“隱蔽”的網絡攻擊，如何才能有效防御呢？“知彼知己，百戰不殆”，只有了解攻擊方是如何開展攻擊的，才能根據攻擊特點建立完善的安全防護體系，有效抵御網絡攻擊。攻擊方在組織入侵攻擊時，通常會首先制定攻擊策略、規劃攻擊線路，攻擊者分工合作，力爭在短時間內取得最大戰果，常見的攻擊步驟為信息收集、漏洞分析、滲透攻擊和后滲透攻擊1.3.演習防守方法論“護網”行動的防護應是基于“戰時”的防護工作模式，根據護網行動要求，會有防守方和攻擊方，同時對防守方設計了加分事宜，基于我司長期積累的攻擊方的攻擊路徑和攻擊手段，我司建議采用在主動防御架構下，建立基于可持續監測分析和響應的協同防護模式，分成事前階段、事中階段和時候階段。事前階段是針對護網行動的前期準備階段，重點是協助客戶模式“護網”進行實戰預演習，旨在發現隱患、檢驗防護和協同應急處置流程，同時協助客戶減少被攻擊面，開展專項安全檢測，重點針對“攻擊方”可能利用的安全漏洞進行安全檢測，并提供安全建議?？蛻粢谝延械陌踩\營工作，進一步加強網絡安全策略優化。事中階段是針對護網行動的實戰防護階段，重點是加強檢測、分析和響應處置，能夠及時發現網絡安全攻擊、威脅，并由專業技術人員進行分析，各部門之間協同進行響應和處置，必要時啟動應急響應預案。保證護網期間，與用戶及相關服務機構聯合作戰，充分利用現有安全檢測與防御手段，結合已有防護經驗，協助用戶實時檢測與分析攻擊行為，快速響應處置，解決攻擊事件。事后階段是針對護網工作的總結階段，可針對護網工作中的組織、流程和技術措施等進行綜合分析，并形成后續的改進建議。護網期間需要配套相應的安全工具，包括但不限于基于流量的威脅檢測、蜜罐技術、互聯網資產發現和主機加固等技術工具或產品。2.組織及職責分工2.1.攻防演習組織為確保本次攻防演習任務的順利完成，擬成立攻防演習領導小組（以下簡稱“領導小組”）和三個攻防演習工作組（以下簡稱“工作組”），組織架構如下圖。領導小組：組長：XX，副組長：XXX成員：辦公廳、信息管理處、信息網絡中心規劃硏究處、網絡處、信息安全處、專項應用管理處、XXX應用管理處、XXX科技處主要負責人三個工作組：綜合研判組、防護監測組、應急處置組，各組成員由相關處室人員和技術支持服務單位人員組成。2.2職責分工領導小組：負責領導、指揮和協調本次攻防演習工作開展，向XXX領導和公安部匯報攻防演習情況。綜合研判組是負責制定《網絡攻防演習防護方案》、《網絡攻防預演習方案》，對全網應用系統、網絡、安全監測與防護設備相關資產進行全面梳理，摸清網絡安全現狀，排查網絡安全薄弱點，為后續有針對性的網絡安全防護和監控點部署、自查整改等工作提供依據二是對全網系統資產進行安全檢查，發現安全漏洞、弱點和不完善的策略設置，內容包括◆應用風險自查：重點針對弱口令、風險服務與端口、審計日志是否開啟、漏洞修復等進行檢查；◆漏洞掃描和滲透測試：對應用系統、操作系統、數據庫、中間件等進行檢測；◆安全基線檢查：對網絡設備（路由器、交換機等）、服務器（操作系統、數據庫、中間件等）做安全基線檢查：◆安全策略檢查：對安全設備（WAF、防火墻、IDS等）做安全策略檢查。三是負責演習辦公環境及相關資源準備，對目標系統、網絡基礎環境和安全產品可用性確認，負責確定預演習攻擊隊伍人員組成等相關工作；四是負責與公安部演習指揮部聯系溝通；五是負責對本次攻防演習工作進行總結，編寫總結報告防護監測組：是梳理現有網絡安全監測、防護措施，查找不足二是根據綜合研判組安全自查發現的安全漏洞和風險進行整改加固及策略調優，完善安全防護措施；三是利用已有（全流量安全監測系統、防火墻、WAF、IDS、漏洞掃描系統）和新增（主機λ侵檢測系統、網站防護系統、安全策略分析系統）監測技術手段對網絡攻擊行為進行監測、分析、預警和處置（封禁IP地址、應用系統漏洞修復、惡意特征行為阻斷等）；四是對網絡和應用系統運行情況、審計日志進行全面監控，及時發現異常情況。應急處置組是根據公安部演習規則，制定《應急響應工作方案》；二是負責預演習應急演習中安全事件的應急處置，并對演習過程中應急響應方案存在的不足進行完善是負責正式攻防演習期間的應急響應處置工作2.3.各階段工作任務針對本次攻防演習，按照“統一指揮、職責明確、協同配合、有效應對，積極防御”的原則有序開展工作。準備階段（2019年4月26日-5月17日）明確各工作組參演人員工作職責和任務，對XXX應用系統、網絡、安全監測與防護設備相關資產進行全面梳理，摸清網絡安全現狀，排查網絡安全薄弱點，為后續有針對性的網絡安全防護和監控點部署、自查整改等工作提供依據。綜合研判組：負責預演習和正式演習的方案制定，對全網資產進行全面梳理，摸清網絡安全現狀，排查網絡安全薄弱點防護監測組梳理現有網絡安全監測、防護措施，查找不足。應急處置組根據公安部演習規則，制定應急響應方案。（二）自查整改階段（2019年5月5日-24日）針對全網主機、網絡、安全設備、應用系統等開展全面的安全檢查、漏洞掃描、安全基線檢査、安全策略檢査等工作，及時發現安全漏洞、弱點和不完善的策略設置。進行安全加固、策略配置優化和改進，切實加強系統的自身防護能力和安全措施的效能，消除高風險安全隱患。綜合研判組：對全網系統資產進行安全檢查，及時發現和排除安全漏洞和風險隱。防護監測組：根據綜合硏判組安全自查發現的安全漏洞和風險進行整改加固及策略調優，完善安全防護措施。應急處置組：根據公安部演習規則，完善應急響應方案。（三）攻防預演習階段②2019年5月20日-24日）組織攻擊隊伍，開展攻防演習預演習。通過攻防預演習，檢驗各工作組前期工作效果，檢驗對網絡攻擊監測、發現、分析和應急處置的能力，檢驗安全防護措施和監測技術手段的有效性，檢驗各工作組協調配合默契程度，充分驗證工作方案及應急處置預案合理性，進一步完善工作方案和應急預案。領導小組：攻防預演習的統一協調、指揮和決策。綜合研判組準備工作：演習場所及環境準備，對目標系統、網絡基礎環境和安全產品可用性確認，負責確定預演習攻擊隊伍人員組成等相關工作。組織協調：負責具體組織協調各工作組開展監控、防護、應急等工作。分析研判：對防護監測組上報的安全事件進行研判，將分析研判結果上報領導小組，按照指示啟動相應應急預案。方案完善：驗證《網絡攻防預演習方案》可行性，進一步完善《網絡攻防演習防護方案》。防護監測組：監測分析：負責對參演目標系統應用系統運行情況、審計日志進行全面監控，及時發現異常情況；利用已有和新增的技術手段監測攻擊行為；預警處置：對惡意攻擊行為進行行為阻斷，封禁攻擊IP地址；事件反饋：將初步分析判定的安全事件反饋綜合硏判組進行綜合研應急處置組對預演習應急演習中安全事件按照應急響應流程進行應急處置，并對演習過程中應急響應方案存在的不足進行完善（四）正式演習階段（2019年6月3日21日）按照公安部演習指揮部的工作安排，全體參演人員到位到崗，在領導小組的統一指揮下，各工作組根據職責分工全天候開展安全監測、分析，及時發現攻擊和異常情況。針對網絡安全事件啟動相應應急預案，開展應急處置工作，抑制網絡攻擊行為，消除演習目標系統和網絡安全風險。領導小組：攻防演習的統一協調、指揮和決策。綜合研判組：準備工作：演習場所及環境準備，對目標系統、網絡基礎環境和安全品可用性確認，負責確定預演習攻擊隊伍人員組成等相關工作組織協調：負責具體組織協調各工作組開展監控、防護、應急等工作。分析研判：對防護監測組上報的安全事件進行研判，將分析研判結果上報領導小組，按照指示啟動相應應急預案。方案完善：驗證《網絡攻防預演習方案》可行性，進一步完善《網絡攻防演習防護方案》。防護監測組監測分析：負責對參演目標系統應用系統運行情況、審計日志進行全面監控，及時發現異常情況；利用已有和新增的技術手段監測攻擊行為；預警處置：對惡意攻擊行為進行行為阻斷，封禁攻擊IP地址；事件反饋：將初步分析判定的安全事件反饋綜合硏判組進行綜合研判應急處置組對預演習應急演習中安全事件按照應急響應流程進行應急處置，并對演習過程中應急響應方案存在的不足進行完善。（四）正式演習階段②2019年6月3日21日）按照公安部演習指揮部的工作安排，全體參演人員到位到崗，在領導小組的統一指揮下，各工作組根據職責分工全天候開展安全監測、分析，及時發現攻擊和異常情況。針對網絡安全事件啟動相應應急預案，開展應急處置工作，抑制網絡攻擊行為，消除演習目標系統和網絡安全風險。領導小組：攻防演習的統一協調、指揮和決策。綜合研判組：準備工作：演習場所及環境準備，對目標系統、網絡基礎環境和安全產品可用性確認組織協調：負責與公安部演習指揮部聯系溝通，具體組織協調各工作組開展監控、防護、應急等工作。綜合研判：對防護監測組上報的安全事件進行研判，將分析研判結果報領導小組。方案完善：驗證《網絡攻防預演習方案》可行性，進一步完善《網絡攻防演習防護方案》。防護監測組：監測分析：負責對參演目標系統應用系統運行情況、審計日志進行全面監控，及時發現異常情況；利用已有和新增的技術手段監測攻擊行為預警處置：對惡意攻擊行為進行行為阻斷，封禁攻擊IP地址；事件反饋：對已確認的安全事件反饋綜合研判組研判應急處置組：負責攻防演習期間按照應急響應流程進行應急處置工作，完善應急響應體系（五）總結階段（2019年7月1日-31日）演習結束，對演習過程中工作情況進行總結，包括組織隊伍、攻擊情況、防守情況、安全防護措施、監測手段、響應和協同處置等。進一步完善XXX網絡安全監測措施、應急響應機制及預案，提升網絡安全防護水平。3.防守工作方案為有效應對攻防演習相關工作，攻防演習防守工作分成四個階段，分別是準備階段、安全自查和整改階段、攻防預演習階段、正式演習防護階段第一階段：準備階段準備階段主要是組建隊伍，明確演習流程和分工，進一步梳理本次參演系統的網絡路徑、數據流和相關資產信息，輸岀真實的網絡拓撲和相關資產信息，整理并確定目標系統的網絡安全專項應急預案。第二階段：安全自查和整改階段安全自查和整改階段，主要是在攻防演習開始前，針對攻防演習對象進行安全自查和安全加固。通過安全自查發現的問題，進行整改、加固和完善，確保參演系統在攻防時已做好自身防護工作。第三階段：攻防預演習階段攻防預演習階段，由預演攻擊小組，采用專業的攻防演習平臺，對目標系統進行實戰攻擊，防護工作小組牽頭防守方工作，實施對抗并進行安全防護演習工作小組針對攻防預演習中發現的問題進一步梳理、整改、加固和完善，更深一步分析問題的主要原因，提供杜絕問題再現的有效解決方案和整改措施，同時通過攻防預演習發現的問題逆向推導，以改進和完善安全自查和整改階段的工作。第四階段：正式演習防護階段正式演習防護階段，要確保防護人員能夠持續對網絡攻擊進行實時監測，并及時進行響應處置，針對演習中發現的漏洞和弱點，能及時進行修補和加固，積極應對，協同進行安全處置。演習結束后全面總結本次攻防演習工作情況，對于發現的問題和短板及時進行歸納整改和彌補，總結有效應對的措施和協同處置的規范流程。3.1.第一階段：準備階段在正式攻防演習開始前，應充分做好準備階段工作，為后續演習工作其他階段提供有效的支撐3.1.1.防守方案編制攻防演習工作應按計劃逐步有效的進行，參演單位應在演習前，根據本單位實際情況，完成攻防演習防守方案編寫，通過演習防守方案指導攻防演習防守工作的開展，確保演習防守工作的效果。3.1.2.防守工作啟動會應在攻防演習開始前，應組織各參演部門相關人員，召開演習工作啟動會。以啟動會的形式明確本次演習防守工作的目的、工作分工、計劃安排和基本工作流程通過啟動會確定演習防守工作主要牽頭部門和演習接口人，明確演習時間計劃和工作安排，并對演習各階段參演部門人員的工作內容和職責進行宣貫。同時，建立演習工作中的溝通聯絡機制，并建立各參演人員的聯系清單，確保演習工作順利開展。3.1.3.重要工作開展3.1.3.1.網絡路徑梳理對目標系統相關的網絡訪問路徑進行梳理，明確系統訪問源（包括用戶、設備或系統）的類型、位置和途徑的網絡節點，繪制準確的網絡路徑圖。網絡路徑梳理須眀確從互聯網訪間的路徑、內部訪冋路徑等，全面梳理目標系統可能被訪問到的路徑和數據流向，為后續有針對性的網絡安全防護和監控點部署奠定基礎。3.1.3.2.關聯及未知資產梳理梳理目標系統的關聯及未知資產，形成目標系統的關聯資產清單、未知資產清單，關聯資產包括目標系統網絡路徑中的各個節點設備、節點設備同一區域的其它設備以及目標系統相關資產，未知資產包括與目標系統可有關聯但未記錄在關聯資產清單里的資產，為后續安全自查和整改加固等工作提供基礎數據。3.1.3.3.專項應急預案確認針對本次攻防演習的目標系統進行專項應急預案的梳理，確定應急預案的流程、措施有效，針對應急預案的組織、技術、管理流程內容進行完善，確保能夠有效支撐后續演習工作3.1.3.4.加強安全監測防御體系梳理當前已有的安全監測和防御產品，對其實現的功能和防御范圍進行確定，并根據已梳理的重要資產和網絡路徑，建立針對性●臨時性（租用或借用）或者長久性（購買）的安全監測防御體系，為后續正式演練及防護階段提供工具和手段支持3.2.第二階段：安全自查和整改階段根據準備階段形成的目標系統關聯資產清單、未知資產清單，對與組成目標系統相關的網絡設備、服務器、中間件、數據庫、應用系統、安全設備等開展安全自查和整改工作。通過安全自查對目標系統的安全狀況得以真實反映，結合整改加固手段對評估發現的問題逐一進行整改。設置必要的防御規則，基于最小權限原則制定，即僅僅開放允許業務正常運行所必須的網絡和系統資源。確保目標系統在攻防預演習前所有安全問題均已采取措施得到處理。3.2.1.網絡安全檢查網絡架構評估●針對目標系統開展網絡架構評估工作，以評估目標系統在網絡架構方面的合理性，網絡安全防護方面的健壯性，是否已具備有效的防護措施；●形成網絡架構評估報告冫網絡安全策略檢查●針對目標系統所涉及的網絡設備進行策略檢查，確保目前已有策略均按照“按需開放，最小開放”的原則進行開放●確保目標系統所涉及的網絡設備中無多余、過期的網絡策略●形成網絡安全策略檢查報告冫網絡安全基線檢查●針對目標系統所涉及的網絡設備進行安全基線檢查，重點檢查多余服務、多余賬號、口令策略，禁止存在默認口令和弱口令等配置情況●形成網絡安全基線檢查報告。安全設備基線檢查●針對目標系統所涉及的安全設備進行安全基線檢查，重點檢查多余賬號、口令策略、策略啟用情況、應用規則、特征庫升級情況，禁止存在默認口令和弱口令等配置情況；形成安全設備基線檢查報告3.2.2.主機安全檢查冫主機安全基線●針對目標系統所涉及的主機進行安全檢查，重點檢查多余賬號口令策略、賬號策略、遠程管理等情況；●形成主機安全基線檢查報告冫數據庫安全基線●針對目標系統所涉及的數據庫進行安全檢查，重點檢查多余賬號、口令策略、賬號策略、遠程管理等情況；形成主機安全基線檢查報告冫中間件安全基線針對目標系統所涉及的中間件進行安全檢查，重點檢查中間件管理后臺、口令策略、賬號策略、安全配置等情況；●形成中間件安全基線檢查報告。冫主機漏洞掃描●針對目標系統所涉及的主機、數據庫以及中間件進行安全漏洞掃描●形成主機安全漏洞掃描報告。3.2.3.應用系統安全檢查冫應用系統合規檢查●針對目標系統應用進行安全合規檢查，重點檢查應用系統多余賬號、賬號策略、口令策略、后臺管理等情況形成應用系統合規檢查報告。冫應用系統源代碼檢測●針對目標系統應用進行源代碼檢測；●形成應用系統源代碼檢測報告。冫應用系統滲透測試●針對目標系統應用進行滲透測試；形成應用系統滲透測試報告。3.2.4.運維終端安全檢查冫運維終端安全策略●針對目標系統運維終端安全進行安全檢查，重點檢查運維終端訪問目標系統的網絡策略等情況；●形成運維終端安全策略檢查報告冫運維終端安全基線●針對目標系統運維終端進行安全檢查，重點檢查運維終端的多余賬號、賬號策略、口令策略、遠程管理等情況；形成運維終端安全基線檢查報告。冫運維終端漏洞掃描●針對目標系統運維終端進行安全漏洞掃描●形成運維終端安全漏洞掃描報告。3.2.5.日志審計冫網絡設備日志●針對本次目標系統中網絡設備的日志記錄進行檢查，確認能夠對訪問和操作行為進行記錄；●明確日志開通級別和記錄情況，并對未能進行日志記錄的情況進行標記，明確改進措施。冫主機日志●針對本次目標系統中主機的日志記錄進行檢查，確認能夠對訪問和操作行為進行記錄●明確日志開通級別和記錄情況，并對未能進行日志記錄的情況進行標記，明確改進措施。冫中間件日志●針對本次目標系統中中間件的日志記錄進行檢查，確認能夠對訪問和操作行為進行記錄；●對未能進行日志記錄的情況進行標記，明確改進措施冫數據庫日志●針對本次目標系統中數據庫的日志記錄進行檢查，確認能夠對訪問和操作行為進行記錄；●明確日志開通級別和記錄情況，并對未能進行日志記錄的情況進行標記，明確改進措施冫應用系統日志●針對本次目標系統中應用的日志記錄進行檢查，確認能夠對訪問和操作行為進行記錄；●對未能進行日志記錄的情況進行標記，明確改進措施。冫安全設備日志●針對本次目標系統中的安全設備的日志記錄進行檢查，確認能夠對訪問和操作行為進行記錄●對未能進行日志記錄的情況進行標記，明確改進措施。3.2.6.備份效性檢查冫備份策略檢查●針對本次目標系統中的備份策略（配置備份、重要數據備份等）進行檢查，確認備份策略的有效性；●對無效的備份策略進行標記，明確改進措施。冫備份系統有效性檢查●針對本次目標系統中的備份系統有效性進行檢查，確認備份系統可用性；●對無效的備份系統進行標記，明確改進措施。3.2.7.安全意識培訓●針對本次演習參與人員進行安全意識培訓，明確演習工作中應注意的安全事項●提高本次演習參與人員的安全意識，針對演習攻擊中可能面對的社會工程學攻擊、郵件釣魚等方式，應重點關注；●提高本次演習參與人員的安全處置能力，針對演習攻擊中可能用到的手段和應對措施進行培訓。3.2.8.安全整改加固基于以上安全自查發現的問題和隱患，及時進行安全加固、策略配置優化和改進，切實加強系統的自身防護能力和安全措施的效能，減少安全隱患，降低可能被外部攻擊利用的脆弱性和風險。業務主管單位協同安全部門完善網絡安全專項應急預案，針對可能產生的網絡安全攻擊事件建立專項處置流程和措施。3.3.第三階段：攻防預演習階段攻防預演習是為了在正式演習前，檢驗安全自查和整改階段的工作效果以及防護小組否能順利開展防守工作，而組織攻擊小組對目標系統開展真實的攻擊。通過攻防預演習結果，及時發現目標系統還存在的安全風險，并對遺留（漏）風險進行分析和整改，確保目標系統在正式演習時，所有發現的安全問題均已得到有效的整改和處置。3.3.1.預演習啟動會由領導小組組長牽頭，通過正式會議的形式，組織預攻擊小組和防護工作小組各成員單位和個人，啟動攻防預演習工作，明確攻防演習隊伍組成，職責分工，時間計劃和工作安排，啟動會計劃時間X月。啟動會上各成員單位共同確定演習采用的攻擊方式和風險規避措施，各單位明確預演習工作聯系人、各方溝通機制，建立聯系人通訊錄，根據啟動會決議內容，應將此次攻防預演習工作情況及所使用的攻擊IP地址等信息，向國家網絡安全相關主管部門（公安部、網信辦等）進行備案說明。3.3.2.授權及備案演習開始前期，在對目標系統進行前期的安全準備工作中，參演單位應對第三方技術支撐單位進行正式授權。同時第三方技術支撐單位應向參演單位提供IP信息，參演單位將此次攻防預演習工作情況及所使用的攻擊IP地址等信息，向國家網絡安全相關主管部門（公安部、網信辦等）進行備案說明。確保演習各項工作，均在授權范圍內有序進行。3.3.3.預演習平臺本次預演習使用的攻防演習支撐平臺，攻擊人員的所有行為通過平臺進行記錄、監管、分析、審計和追溯，保障整個攻擊演習的過程可控、風險可控。同時，演習平臺提供實況展示、可用性監測和攻擊成果展示三個圖形化展示頁面，在預演習期間可通過大屏進行演示。●攻擊實況展示展示網絡攻擊的實時狀態，展示攻擊方與被攻擊目標的IP地址及名稱，通過光線流動效果及數字標識形成攻擊流量信息的直觀展示?！窨捎眯员O測實時監測并展示攻擊參演系統的健康性，保障攻擊目標業務不受影響。通過攻擊流量大小準確反應攻擊方網絡資源占用情況及其對攻擊目標形成的壓力情況。實時呈現網絡流量大小等信息，并展示異常情況的描述。●攻擊成果展示攻擊人員取得攻擊成果后，及時提交到演習平臺并進行展示，顯示每個目標系統被發現的安全漏洞和問題數量及細節，防守方可依據攻擊成果進行安全修復整改。3.3.4.預演習攻擊預演習攻擊由安全部門組織開展，攻擊人員從互聯網對目標系統系統進行攻擊，攻擊中禁止使用DDoS攻擊等可能影響業務系統運行的破壞性攻擊方式，可能使用的攻擊方式包括但不限于●Web滲透Web滲透攻擊是指攻擊者通過目標網絡對外提供Web服務存在的漏洞，控制Web服務所在服務器和設備的一種攻擊方式。●旁路滲透旁路滲透攻擊是指攻擊者通過各種攻擊手段取得內部網絡中主機、服務器和設備控制權的一種攻擊。內部網絡不能接受來自外部網絡的直接流量，因此攻擊者通常需要繞過防火墻，并基于外網（非軍事區）主機作為跳板來間接控制內部網絡中的主機。●口令攻擊口令攻擊是攻擊者最喜歡采用的入侵系統的方法。攻擊者通過猜測或暴力破解的方式獲取系統管理員或其他用戶的口令，獲得系統的管理權，竊取系統信息、修改系統配置?！襻烎~欺騙魚叉攻擊是黑客攻擊方式之一，最常見的做法是，將木馬程序作為電子郵件的附件，并起上一個極具誘惑力的名稱，發送給目標電腦，誘使受害者打開附件，從而感染木馬，或者攻擊者通過誘導受害者（IM，郵件內鏈接）訪問其控制的偽裝網站頁面，使得受害者錯誤相信該頁面為某提供其他正常業務服務的網站頁面，從而使得攻擊者可以獲取受害者隱私信息的一種攻擊方式。通過釣魚欺騙攻擊，攻擊者通?？梢垣@得受害者的銀行賬號和密碼、其他網站賬號和密碼等?！裆鐣こ虒W社會工程學是指攻擊者通過各種欺騙手法誘導受害者實施某種行為的種攻擊方式。社會工程學通用用來竊取受害者隱私，或者誘導受害者實施需要一定權限才能操作的行為以便于攻擊者實施其他攻擊行為。3.3.5.預演習防守預演習防守工作由防護小組開展，在預演習期間，防護小組中各部門應組織技術人員開展安全監測、攻擊處置和應急響應等防守工作●業務監測目標系統的相關運維部門利用系統監測手段實時監測應用系統和服務器運行狀態，包括系統訪問是否正常、業務數據是否有異常變更、系統目錄是否出現可疑文件、服務器是否有異常訪問和修改等，監測到異常事件后及時協同相關部門共同分析處置●攻擊監測預演習期間，安全部門、網絡部門等利用全流量分析設備、Web防火墻、IDS、IPS、數據庫審計等安全設備對網絡攻擊行為進行實時監測?；诹髁糠治?，對網絡安全策略有效性進行檢驗，并對安全設備的攻擊告警進行初步分析，評估攻擊真實性和影響，及時協同相關部門共同分析處置●事件處置在業務系統運行發生異常事件或安全設備出現攻擊告警后，防護小組應協同對事件進行處置，分析事件原因、明確攻擊方式和影響、確定處置方案，通過調整安全設備策略等方式盡快阻斷攻擊、恢復系統?！駪表憫谑录幹眠^程中，經分析確定已發生網絡攻擊，且攻擊已成功進入系統、獲取部分權限、上傳后門程序，應立即啟動專項應急響應預案，根據攻擊影響可采取阻斷攻擊、系統下線等方式進行處置，并全面排查清理系統內攻擊者創建的系統賬號、后門程序等?！裥迯驼脑诰W絡攻擊事件處置完畢后，安全部門和業務主管部門應針對攻擊利用的安全漏洞或缺陷，組織技術力量盡快進行漏洞修復和問題整改。3.3.6預演習總結參加預演人員對演習過程中發現的問題進行總結，包括是否存在系統漏洞、安全設備策略是否有缺陷、監測手段是否有效等，針對性提岀整改計劃和方案，盡快進行整改，同時通過攻防預演習發現的問題改進和完善安全自查和整改階段的工作，為后續工作積累經驗。3.4第四階段：正式防護階段在正式防護階段，重點加強防護過程中的安全保障工作，各崗位人員各司其職，從攻擊監測、攻擊分析、攻擊阻斷、漏洞修復和追蹤溯源等方面全面加強演習過程的安全防護效果3.4.1.安全事件實時監測當開啟正式防護后，防護小組組織各部門人員，根據崗位職責開展安全事件實時監測工作。安全部門組織其他部門人員借助安全防護設備（全流量分析設備、Web防火墻、IDS、IPS、數據庫審計等）開展攻擊安全事件實時監測，對發現的攻擊行為進行確認，詳細記錄攻擊相關數據，為后續處置工作開展提供信息。3.4.2.事件分析與處置防護小組根據監測到安全事件，協同進行分析和確認。如有必要可通過主機日志、網絡設備日志、入侵檢測設備日志等信息對攻擊行為進行分析，以找到攻擊者的源IP地址、攻擊服務器IP地址、郵件地址等信息，并對攻擊方法、攻擊方式、攻擊路徑和工具等進行分析研判。防護小組根據分析結果，應采取相應的處置措施，來確保目標系統安全。通過遏制攻擊行為，使其不再危害目標系統和岡絡，依據攻擊行為的具體特點實時制定攻擊阻斷的安全措施，詳細記錄攻擊阻斷操作。業務主管單位對業務穩定性進行監測，工作接口人及時通報相關信息。演習工作小組應針對攻擊演習中可能產生的攻擊事件，根據已經制定的網絡安全專項應急預案進行協同處置，同時在明確攻擊源和攻擊方式后，保證正常業務運行的前提下，可以通過調整安全設備策略的方式對攻擊命令或IP進行阻斷，分析確認攻擊嘗試利用的安全漏洞，確認安全漏洞的影響，制定漏洞修復方案并及時修復3.4.3.防護總結與整改全面總結本次攻防演習各階段的工作情況，包括組織隊伍、攻擊情況防守情況、安全防護措施、監測手段、響應和協同處置等，形成總結報告并向有關單位匯報。針對演習結果，對在演習過程中還存在的脆弱點，開展整改工作，進一步提高目標系統的安全防護能力4.演習組織及工作計劃4.1.演習工作單位和組織分工4.1.1.明確參演單位根據攻防演習確定的系統情況，明確參加演習防守的相關單位，一般應包括業務、應用、網絡和安全等相關主管和運維單位業務：●主管單位、業務維護單位；●應用系統開發、運維單位和第三方支持廠商；●網絡運維單位和第三方支持廠商；●安全運維單位和第三方支持廠商。4.1.2.演習工作組織架構4.1.2.1.演習領導小組為加強攻防演習的組織領導，確保攻防演習實效，應成立演習領導小組，統一領導和指揮攻防演習工作。4.1.2.2.演習工作小組演習領導小組下設演習工作小組，組織部署攻防演習的工作任務，具體管理和協調攻防演習工作4.1.3.演習工作職責分工（一）攻防演習參演系統的業務主管單位，負責業務安全相關工作，指定專人接口本次攻防演習工作，在攻防預演習和正式演習階段監測業務安全穩定性，并對業務安全相關問題及時進行內部溝通、信息通報和協同處置，必要時啟動專項應急預案。（二）攻防演習參演系統的技術管理單位，負責攻防演習的技術防護工作，具體組織攻防預演習、安全自查整改、安全防護、安全監測和應急處置等工作。（三）專家隊伍可參與演習防護工作，協助提出防護技術方案，并針對相關系統潛在的安全隱患協助提出安全整改建議，開展內部安全測試等相關技術支持工作。（四）外部專家和第三方技術支持單位（安全服務商）協助進行本次攻防演習工作，在攻防預演習中組建攻擊隊，在正式演習中提供協同防護技術支持，并針對演習中發現的問題提供整改建議。4.2.初步工作計劃根據工作階段的劃分和組織分工情況，攻防演習防護工作的初工作計劃如下：工作階段重點任務工作內容組織分工時間計劃準備階段目標系統梳理--網絡路徑梳理--關聯資產梳理針對本次參演系統進行網絡路徑和關聯資產梳理，為后續細化監測、防護方案莫定基礎。負責部門：電子XX管理中心,XX技術管理處、X技術管理處配合部門：電子XX管理中心運行監控處、信息安全管理處及相關業務司局20個工作日目標系統網絡安全專項應急預案梳理并確認目標系統網絡安全專項應急預案，確定網絡安全處置流程、措施等負責部門：力公廳、貨物與XXX司、XX技術管理處、