搜索
网络安全应急演练方案1网络安全应急演练方案2指导思想根据《中华人民共和国网络安全法》规定,定期开展安全应急演练工作,网络实战网络安全应急演练便是在新的网络安全形势下,通过攻防双方之间的对抗演习,实现“防患于未然”。3演练目的通过网络实战网络安全应急演练,检验并完善移动关键基础设施网络安全应急响应机制与提高技术防护能力,检验各公司遭遇网络攻击时发现和协同处置安全风险的能力,培养和提升网络安全人才实战能力,全力保障建党100周年大庆等国家重大活动网络安全。4演练时间演练时间:2021年x月x日5演练内容网络与信息安全事件应急演练6演练流程网络安全应急演练保障活动共分为启动阶段、准备阶段、演练阶段、保障阶段、总结阶段五个阶段,具体工作安排计划如下:总体流程,后续工作提供指导。全面安全评估、关注现有安全能力、完成安全策略的全面优化、人员的全面赋能等。的有效性及安全人员操作规程熟悉度。问题而导致出现重大事故。进行总结,将经验固化至相关的规章制度中,形成常态化、制度化。7演练方案7.1启动阶段7.1.1演练组织及职责分工在网络安全应急演练保障期间,组织建立保障小组,通过签署责任书,明确保障人员职责,确保各司其职,有序开展保障工作。“告,并输出安全能力建设的规划;流量、恶意样本、网络攻击行为;全流量分析等信息对攻击行为进行分析,找到攻击者的源IP地址、攻击服务器IP地址、邮件地址等信息;常状态;保障决策组;决并提供专业安全业务建议。7.1.2演练保密要求在网络安全应急演习保障期间,开展参演人员安全意识宣贯、签订网络安全承诺书和安全保密协议。宣贯内容包含但不限于:代码管理规范、接入账号安全、接入网络安全、办公设备安全等。网络安全承诺书内容至少包含但不限于:遵守甲方整体网络安全工作要求、遵守相关法律及行业相关规定、强化项目参与人员的信息安全意识、违约责任等。保密协议内容至少包含但不限于:演习保障期间的保密范围、保密期限、保密要求、违约责任等。7.2准备阶段7.2.1信息资产收集在网络安全应急演练准备阶段,对演练系统进行信息收集,包括单不限于IP地址、端口、服务名称及版本、操作系统类型及版本、应用框架类型及版本等,为开展演练行为做基础。在网络安全应急演练保障实施期间,信息资产收集可助于快速发现内部问题、定位问题、解决问题,提高企业内部的防御能力。7.2.2全面安全评估对演练系统涉及的主机、数据库、应用组件、网络设备、网络架构进行全面、综合的安全评估,充分的发现其潜在的风险。7.2.3安全策略优化根据网络安全架构评估以及网络现状,对网络设备策略、安全设备策略、主机策略等进行进一步调整和优化实施范围。7.2.4安全缺陷整改根据之前业务系统评估,对应用系统及其依赖的网络、数据信息等可能存在的软硬件缺陷,和信息安全管理中潜在的薄弱环节,而导致的不同程度的安全风险,提出临时解决方案和长期解决方案。7.2.5安全意识培训在网络安全应急演练备战阶段,为了提升内外部人员的安全意识,组织开展安全意识宣贯和安全技术赋能,避免因人为因素而导致信息安全事件发生,整体提高安全管理能力。7.3演练阶段7.3.1攻防场景演练采用攻防对抗的方式有效的检验相关业务系统的抗攻击能力,真正发现潜在的风险,从而为后续整改工作提供真实有效的依据。7.3.1.1攻击方工作7.3.1.1.1攻击路径设计攻击者可以通过各种方式各种攻击路径尝试攻破应用系统去危害客户的业务或者企业组织。每种路径方法都代表了一种风险。结合攻击路径相关的技术和对客户的业务影响,评估威胁来源、攻击向量和安全漏洞的可能性。7.3.1.1.2渗透测试设计内容针对信息系统业务系统和平台进行全局、深入安全渗透测试,关注其面临的主要安全风险和安全需求,提供安全渗透测试数据报告和针对性解决方案,建立一体化信息系统安全风险识别机制。7.3.1.1.3应用功能测试发现目标系统中存在的安全隐患(包括安全功能设计、安全弱点、以及安全部署中的弱点等),并针对问题提供解决方案建议。7.3.1.1.4安全功能弱点测试应用系统评估主要从输入验证、身份验证、授权、配置管理、敏感数据保护、会话管理、加密、异常管理等角度分析应用系统的安全功能设计以及存在的安全隐患。7.3.1.1.5应用安全性测试针对提供的业务系统进行非破坏性的模拟黑客攻击,充分挖掘应用系统各类组件存在的漏洞,并进行人工利用验证。7.3.1.2防守方工作在攻防对抗中,通过部署监测预警功能的平台,针对攻击行为进行监控及时阻断并上报,从而形成闭环的处置工作。在防守监测工作中,需结合现有态势平台、处置平台以及相关设备进行合理利用。7.3.1.2.1设备运行监控针对安全产品、网络产品、主机服务器等提供监控与运维服务,及时发现设备(系统)运行过程中出现的问题并协助客户进行解决,保障设备(系统)正常运转。监控指标可涵盖设备功能、设备性能、应用服务情况、连通性、操作审计等。7.3.1.2.2告警事件监控针对各类安全设备的告警数据进行监控,通过人工告警研判的方式对安全设备告警进行二次分析,排除告警中的误报,定位真实风险。监控告警类型可涵盖:DDoS攻击、Web攻击、信息破坏、口令猜测、僵尸主机、木马病毒、非授权访问、漏洞利用、网页篡改、SQL注入、非法连接、恶意扫描探测、网页篡改、网站敏感内容、网页挂马等。7.3.1.2.3安全事件溯源防守方对多种网络安全设备产生的丰富的日志和告警信息集中分析,发掘安全知识的效果,发现传统安全工具难以发现的安全事件。通过人工的方式判断安全事件是否为误报后,追溯该告警背后的威胁源,判断威胁源使用的攻击手段及漏洞利用情况。攻击溯源方案可分为三个层次的追踪:追踪溯源攻击主机、追踪溯源攻击控制主机、追踪溯源攻击者和追踪溯源攻击组织机构。7.3.1.2.4安全事件处置对于安全监控中发现的安全对象脆弱性问题(如高危漏洞、安全基线配置不合格等)、安全故障问题、安全事件等,监控值守人员通过攻防平台提供的工单流程进行处置任务指派,运维人员、二线支持人员及管理人员依照工单流程完成安全处置工作。7.3.2应急场景演练通过模拟攻击者发起0day攻击,对安全监控、安全防护、网络策略、安全策略等机制进行有效性校验,按照流程快速响应,推动0day的缓解处理和后续补丁修复,最大化减少0day的影响。对发现问题及时推动整改,闭环安全风险,确保自身的网络策略、安全策略符合安全预期。安全监控小组负责漏洞信息监测收集和危害判断,发现问题后通知分析研判小组、应急处置小组,通过资产管理平台或相关检测工具,确定受该漏洞影响的资产范围,再按照资产价值(重要程度)和网络暴露情况确定漏洞修复的优先级,确立响应的等级、需要哪些部门(厂商)参与。做好内部的漏洞修复通知和外部的业务升级暂停公告,应急处置小组协助做好系统备份工作,并且在非业务时间段实施升级。漏洞修复后,业务归属部门自行检查业务功能是否受影响,校验数据是否丢失。0day漏洞处理流程示意图如下图所示:完成0day处置的同时,应将其加入安全开发知识库,避免后续发生类似的安全问题。7.3.3应急响应支撑应急响应能够快速成功处置,关键是根据前期应急预设流程为指导,应急处置小组有条不紊对已发生安全事件进行解决,以最大限度地减少安全事件造成的损害,降低应急处置中的风险。7.3.3.1检测阶段检测是指以适当的方法确认在系统/网络中是否出现了恶意代码、文件和目录是否被篡改等异常活动/现象。安全监控小组在检测到网络安全事件或发现信息系统异常,上报分析研判小组。分析研判小组立即对上报事件的性质、影响范围、安全设备日志告警进行分析与评估。7.3.3.2分析阶段该阶段确定它的影响范围和问题原因及事件的性质。分析研判小组通过安全事件告警日志进行分析研判,评估事件的性质、影响范围判断,是否上报应急处置小组,开展应急响应:流程结束;响应,则结合实际情况对网络安全事件进行定位,启用相应的专项应急预案,上报演习保障决策组,并通知应急处置小组开展应急响应。应急处置小组根据应急预案处置流程开展应急处置操作。7.3.3.3抑制阶段恢复阶段是它的目的是限制攻击/破坏所波及的范围。同时也是限制潜在的损失。所有的抑制活动都是建立在能正确检测事件的基础上,抑制活动必须结合检测阶段发现的安全事件的现象、性质、范围等属性,制定并实施正确的抑制策略。应急处置小组按照应急预案开展应急处置,执行抑制方案,并记录抑制过程,检查恢复效果,如果抑制不成功则收集信息重新制定抑制方案。在此阶段,保障决策组协调资源进行技术或业务支撑,必要时协调支撑小组进行支撑,协助开展事件处置、业务恢复、系统监控等工作内容7.3.3.4根除阶段根除阶段即在准确的抑制事件后,找出事件的根源并彻底根除它,以避免攻击者再次使用相同手段攻击系统,引发安全事件。在根除阶段中将需要利用到在准备阶段中产生的结果。应急小组按照应急预案对关键业务信息执行备份和状态检查,对事件进行原因分析,对业务系统进一步进行检查,根据发现的问题与漏洞制定事件根除方案。在此阶段,支撑小组协调资源协助应急小组开展业务系统排查、漏洞整改等工作内容。7.3.3.5恢复阶段应急小组按照应急预案开展应急处置和业务恢复工作,由应急执行小组组织相关部门安全管理员和运维操作人员等技术人员对网络安全事件进行现场处置,执行恢复方案,并记录恢复过程,检查恢复效果,如果恢复不成功则收集信息重新制定业务恢复方案,尽快恢复系统正常运行。系统恢复后及时将事件处置结果逐级上报至集团应急领导小组。7.3.3.6总结阶段该阶段的目标是回顾并整合发生事件的相关信息,主要有助于从安全事件中吸取经验教训,提高技能;有助于评判应急响应组织的事件响应能力。应急处置小组对业务影响、范围、损失进行总结,对应急措施的有效性进行评估,对事件原因进行分析,编写安全事件处置总结报告。应急处置小组向指挥决策组提交报告,并组织各业务系统管理人员对类似安全隐患的业务系统进行自查自检,必要时可采取紧急抑制手段避免同类安全事件的发生。7.4保障阶段在演习实战阶段,为保障业务系统的平稳运行,避免因安全问题而导致出现重大事故,将开展安全值守监控、配合中台支撑的优势,研判预警通告、威胁分析、应急响应支撑及演习事件上报等工作。7.4.1安全值守监控7.4.1.1网站及业务监控1.主机资产监控在演习保障期间,为及时发现资产对外暴露安全风险,安全监控小组将定时对外网资产进行监测,统计当天外网活跃主机数目,开放端口个数及端口服务类型,并通过人工分析确认是否存在异常端口对外开放。2.网站安全监控在演习保障期间,对网站提供完整性检测、可用性检测。完整性监测能够甄别出防护站点页面是否发生了恶意篡改,是否被恶意挂马,是否被嵌入敏感内容等信息;可用性检测能够帮助防守方了解站点此时的通断状况,延迟状况。a)远程网页挂马及黑链监测:远程实时监测目标站点是否存在被植入恶意代码、黄赌毒私服等词汇的恶意链接的告警,在第一时间得知在防护网站的安全状态,及时清除网页木马及黑链。b)远程网页篡改监测:远程实时监测目标站点是否是存在页面被篡改情况,避免网站被篡改不能及时发现,造成恶劣影响,此服务是网站防护的最后一道屏障。c)远程网站域名监测:实时监测各地主流ISP的DNS缓存服务器和客户DNS授权服务器的可用性,以及它们对被监测域名的解析结果情况。一旦发现客户域名无法解析或解析不正确,第一时间上报评估小组进行处置。d)远程网站平稳度监测服务:远程实时监测目标站点在多种网络协议下的响应速度、首页加载时间等反映网站性能状况的内容,一旦发现客户域名无法解析或解析不正确,第一时间上报评估小组进行处置。7.4.1.2安全设备监控在网络安全应急演练保障期间,安全监控小组对安全设备进行监控,开展设备性能监控、安全攻击监控等工作。a)安全攻击监控:安全设备告警事件实时监控,包含:拒绝服务攻击,网络病毒爆发,漏洞远程利用、恶意代码传递等高危事件告警信息,对攻击告警日志进行分析处置,策略调整优化,对高危风险行为IP执行封禁封堵,可密切关注来源请求异常,接口请求异常,恶意IP攻击等事件。7.4