1网络安全应急演练方案
2指导思想
根中华民国网络安全法规定定期开展安全应急演练工作网络实战网络安全应急演练便新网络安全形势通攻防双方间抗演实现防患未然
3演练目通网络实战网络安全应急演练检验完善移动关键基础设施网络安全应急响应机制提高技术防护力检验公司遭遇网络攻击时发现协处置安全风险力培养提升网络安全实战力全力保障建100周年庆等国家重活动网络安全
4演练时间
演练时间:2021年x月x日
5演练容
网络信息安全事件应急演练
6演练流程
网络安全应急演练保障活动分启动阶段准备阶段演练阶段保障阶段总结阶段五阶段具体工作安排计划:
Ø启动阶段:确定演练目标员团队职责划分演练总体流程续工作提供指导
Ø准备阶段:需演练目标进行安全分析梳理开展全面安全评估关注现安全力完成安全策略全面优化员全面赋等
Ø演练阶段:重点检测演练系统监测手段防御手段效性安全员操作规程熟悉度
Ø保障阶段:保障业务系统稳运行避免安全问题导致出现重事
Ø总结阶段:行动中发现相关问题进行快速整改进行总结验固化相关规章制度中形成常态化制度化
7演练方案
71启动阶段
711演练组织职责分工
网络安全应急演练保障期间组织建立保障组通签署责书明确保障员职责确保司职序开展保障工作
Ø总指挥
n负责网络安全应急演练保障期间重决策
n控项目整体进度质量
Ø指挥决策组
n协调组资源分配起传达等作
n演保障结束负责演保障进行总结形成报告输出安全力建设规划
n协组完成安全事件闭环
Ø安全监控组
n通实时监控台设备日志发现网络中异常流量恶意样网络攻击行
n发现异常行事件模版时攻击事件通报
Ø分析研判组
n通机日志网络设备日志安全设备日志全流量分析等信息攻击行进行分析找攻击者源IP址攻击服务器IP址邮件址等信息
Ø应急处置组
n恢复系统备份数恢复等方式系统业务恢复正常状态
n完整应急处置溯源流程记录报告报保障决策组
Ø支撑组
n支撑组二线专家组协助现场线工作组解决提供专业安全业务建议
712演练保密求
网络安全应急演保障期间开展参演员安全意识宣贯签订网络安全承诺书安全保密协议
宣贯容包含限:代码理规范接入账号安全接入网络安全办公设备安全等
网络安全承诺书容少包含限:遵守甲方整体网络安全工作求遵守相关法律行业相关规定强化项目参员信息安全意识违约责等
保密协议容少包含限:演保障期间保密范围保密期限保密求违约责等
72准备阶段
721信息资产收集
网络安全应急演练准备阶段演练系统进行信息收集包括单限IP址端口服务名称版操作系统类型版应框架类型版等开展演练行做基础
网络安全应急演练保障实施期间信息资产收集助快速发现部问题定位问题解决问题提高企业部防御力
722全面安全评估
演练系统涉机数库应组件网络设备网络架构进行全面综合安全评估充分发现潜风险
723安全策略优化
根网络安全架构评估网络现状网络设备策略安全设备策略机策略等进行进步调整优化实施范围
724安全缺陷整改
根前业务系统评估应系统赖网络数信息等存软硬件缺陷信息安全理中潜薄弱环节导致程度安全风险提出时解决方案长期解决方案
725安全意识培训
网络安全应急演练备战阶段提升外部员安全意识组织开展安全意识宣贯安全技术赋避免素导致信息安全事件发生整体提高安全理力
73演练阶段
731攻防场景演练
采攻防抗方式效检验相关业务系统抗攻击力真正发现潜风险续整改工作提供真实效
7311攻击方工作
73111攻击路径设计
攻击者通种方式种攻击路径尝试攻破应系统危害客户业务者企业组织种路径方法代表种风险结合攻击路径相关技术客户业务影响评估威胁源攻击量安全漏洞性
73112渗透测试设计容
针信息系统业务系统台进行全局深入安全渗透测试关注面安全风险安全需求提供安全渗透测试数报告针性解决方案建立体化信息系统安全风险识机制
73113应功测试
发现目标系统中存安全隐患(包括安全功设计安全弱点安全部署中弱点等)针问题提供解决方案建议
73114安全功弱点测试
应系统评估输入验证身份验证授权配置理敏感数保护会话理加密异常理等角度分析应系统安全功设计存安全隐患
73115应安全性测试
针提供业务系统进行非破坏性模拟黑客攻击充分挖掘应系统类组件存漏洞进行工利验证
7312防守方工作
攻防抗中通部署监测预警功台针攻击行进行监控时阻断报形成闭环处置工作
防守监测工作中需结合现态势台处置台相关设备进行合理利
73121设备运行监控
针安全产品网络产品机服务器等提供监控运维服务时发现设备(系统)运行程中出现问题协助客户进行解决保障设备(系统)正常运转
监控指标涵盖设备功设备性应服务情况连通性操作审计等
73122告警事件监控
针类安全设备告警数进行监控通工告警研判方式安全设备告警进行二次分析排告警中误报定位真实风险
监控告警类型涵盖:DDoS攻击Web攻击信息破坏口令猜测僵尸机木马病毒非授权访问漏洞利网页篡改SQL注入非法连接恶意扫描探测网页篡改网站敏感容网页挂马等
73123安全事件溯源
防守方种网络安全设备产生丰富日志告警信息集中分析发掘安全知识效果发现传统安全工具难发现安全事件通工方式判断安全事件否误报追溯该告警背威胁源判断威胁源攻击手段漏洞利情况
攻击溯源方案分三层次追踪:追踪溯源攻击机追踪溯源攻击控制机追踪溯源攻击者追踪溯源攻击组织机构
73124安全事件处置
安全监控中发现安全象脆弱性问题(高危漏洞安全基线配置合格等)安全障问题安全事件等监控值守员通攻防台提供工单流程进行处置务指派运维员二线支持员理员工单流程完成安全处置工作
732应急场景演练
通模拟攻击者发起0 day攻击安全监控安全防护网络策略安全策略等机制进行效性校验流程快速响应推动0day缓解处理续补丁修复化减少0day影响发现问题时推动整改闭环安全风险确保身网络策略安全策略符合安全预期
安全监控组负责漏洞信息监测收集危害判断发现问题通知分析研判组应急处置组通资产理台相关检测工具确定受该漏洞影响资产范围资产价值(重程度)网络暴露情况确定漏洞修复优先级确立响应等级需部门(厂商)参
做部漏洞修复通知外部业务升级暂停公告应急处置组协助做系统备份工作非业务时间段实施升级漏洞修复业务属部门行检查业务功否受影响校验数否丢失
0 day漏洞处理流程示意图图示:
完成0day处置时应加入安全开发知识库避免续发生类似安全问题
733应急响应支撑
应急响应够快速成功处置关键根前期应急预设流程指导应急处置组条紊已发生安全事件进行解决限度减少安全事件造成损害降低应急处置中风险
7331检测阶段
检测指适方法确认系统网络中否出现恶意代码文件目录否篡改等异常活动现象
安全监控组检测网络安全事件发现信息系统异常报分析研判组
分析研判组立报事件性质影响范围安全设备日志告警进行分析评估
7332分析阶段
该阶段确定影响范围问题原事件性质
分析研判组通安全事件告警日志进行分析研判评估事件性质影响范围判断否报应急处置组开展应急响应:
Ø判断需开展应急响应发布相关预警通告应急流程结束
Ø判断需开展应急响应结合实际情况网络安全事件进行定位启相应专项应急预案报演保障决策组通知应急处置组开展应急响应
应急处置组根应急预案处置流程开展应急处置操作
7333抑制阶段
恢复阶段目限制攻击破坏波范围时限制潜损失抑制活动建立正确检测事件基础抑制活动必须结合检测阶段发现安全事件现象性质范围等属性制定实施正确抑制策略
应急处置组应急预案开展应急处置执行抑制方案记录抑制程检查恢复效果果抑制成功收集信息重新制定抑制方案
阶段保障决策组协调资源进行技术业务支撑必时协调支撑组进行支撑协助开展事件处置业务恢复系统监控等工作容
7334根阶段
根阶段准确抑制事件找出事件根源彻底根避免攻击者次相手段攻击系统引发安全事件根阶段中需利准备阶段中产生结果
应急组应急预案关键业务信息执行备份状态检查事件进行原分析业务系统进步进行检查根发现问题漏洞制定事件根方案
阶段支撑组协调资源协助应急组开展业务系统排查漏洞整改等工作容
7335恢复阶段
应急组应急预案开展应急处置业务恢复工作应急执行组组织相关部门安全理员运维操作员等技术员网络安全事件进行现场处置执行恢复方案记录恢复程检查恢复效果果恢复成功收集信息重新制定业务恢复方案快恢复系统正常运行
系统恢复时事件处置结果逐级报集团应急领导组
7336总结阶段
该阶段目标回顾整合发生事件相关信息助安全事件中吸取验教训提高技助评判应急响应组织事件响应力
应急处置组业务影响范围损失进行总结应急措施效性进行评估事件原进行分析编写安全事件处置总结报告
应急处置组指挥决策组提交报告组织业务系统理员类似安全隐患业务系统进行查检必时采取紧急抑制手段避免类安全事件发生
74保障阶段
演实战阶段保障业务系统稳运行避免安全问题导致出现重事开展安全值守监控配合中台支撑优势研判预警通告威胁分析应急响应支撑演事件报等工作
741安全值守监控
7411网站业务监控
1机资产监控
演保障期间时发现资产外暴露安全风险安全监控组定时外网资产进行监测统计天外网活跃机数目开放端口数端口服务类型通工分析确认否存异常端口外开放
2网站安全监控
演保障期间网站提供完整性检测性检测完整性监测够甄出防护站点页面否发生恶意篡改否恶意挂马否嵌入敏感容等信息性检测够帮助防守方解站点时通断状况延迟状况
a)远程网页挂马黑链监测:远程实时监测目标站点否存植入恶意代码黄赌毒私服等词汇恶意链接告警第时间知防护网站安全状态时清网页木马黑链
b)远程网页篡改监测:远程实时监测目标站点否存页面篡改情况避免网站篡改时发现造成恶劣影响服务网站防护道屏障
c)远程网站域名监测:实时监测流ISPDNS缓存服务器客户DNS授权服务器性监测域名解析结果情况旦发现客户域名法解析解析正确第时间报评估组进行处置
d)远程网站稳度监测服务:远程实时监测目标站点种网络协议响应速度首页加载时间等反映网站性状况容旦发现客户域名法解析解析正确第时间报评估组进行处置
7412安全设备监控
网络安全应急演练保障期间安全监控组安全设备进行监控开展设备性监控安全攻击监控等工作
a)安全攻击监控:安全设备告警事件实时监控包含:拒绝服务攻击网络病毒爆发漏洞远程利恶意代码传递等高危事件告警信息攻击告警日志进行分析处置策略调整优化高危风险行IP执行封禁封堵密切关注源请求异常接口请求异常恶意IP攻击等事件
7413安全行监控
网络安全应急演练实战期间VPN堡垒机关键设备机等设备黑客突破重目标获取权限账户黑客会选择夜间薄弱时间点发起攻击行执行高危操作安全监控组设备账户安全行进行监控日志进行安全审计
安全监控组通工分析日志审计目前监控设备否存僵尸账户异登录频繁登录异常时间登陆账户威胁操作等行情况针事件采取相应措施防止风险扩散
a)僵尸账户分析:安全监控组通工分析日志查找期未活跃账户疑僵尸账户进行逐确认非必账户权限合理账户需进行回收处理
b)异登录分析:安全监控组通工分析日志查设备账户期否频繁更换登陆点点变更间隔否符合常理出现异常账户进行逐确认确保账户登录环境安全
c)频繁登录分析:安全监控组通工分析日志查设备账户期否存频繁登录行重点关注频繁登录失败事件分析前账户否遭受暴力破解
d)异常时间登录分析:安全监控组通工分析日志查设备账户期否异常时间段(凌晨1点6点)期间登录出现异常账户进行逐确认确保账户均账户申请操作
e)账户威胁操作分析:安全监控组通工分析日志查设备账户期执行否正常删数库修改关键信息等操作出现异常账户进行逐确认确保高风险操作正常操作
7414重系统巡检
系统巡检工作保证服务器正常序安全运转保障更应网络相关服务网络安全应急演练实战期间靶标关键系统服务器等设备突破重目标通重系统巡检发现目标存异常便系统障应急事件发生时时作出处理减少良影响
1系统性检查
检查设备服务器系统时间否升级包证书信息等信息
2系统日志分析
通日志进行统计分析汇总效掌握服务器运行状况时发现问题排安全隐患中关注方面行日志:
a)疑账户登录:查找登录账户疑账户进行逐确认非必账户权限合理账户进行回收处理
b)异登录账户:查设备账户期否频繁更换登陆点点变更间隔否符合常理出现异账 户进行逐确认确保账户登录环境安全
c)频繁登录分析:查设备账户否存频繁登录行重点关注频繁登录失败事件分析前账户否遭受暴力破解
d)异常时间登录分析:查设备账户期否异常时间段(非工作时间段)期间登录出现异常账户进行逐确认确保账户均账户申请操作
7415重设备监控
网络安全应急演练实战期间安全监控组安全设备进行监控开展设备性监控安全攻击监控等工作
1设备性监控
安全设备健康情况实时监控包含:CPU率存占率接口流量接口工作状态硬盘情况等设备健康相关基参数监控监控程需密切关注设备性占通分析前业务负载设备项性指标确保程中设备性
2系统性检查
检查服务器资源情况合理分配资源够提高服务器工作效率存足CPU率居高仅服务器性造成较影响存攻击病毒感染等问题通磁盘剩余空间CPU进程存等参数进行检查掌握系统目前运行状况
3数备份检查
查数备份否存异常情况出现系统障处理提供保障方便障恢复系统配置提供极便利
742研判预警处置
网络安全应急演练保障期间研判分析组安全监控组报事件进行研判处置符合预警条件事件进行通知处理
安全预警通告类型包括安全风险预警通告安全事件应急通告疑安全行通告研判分析组收述通告时时研判通告事件保障目标资产吻合度风险容进行定位分析确认实际影响范围威胁程度紧急程度等协调应急处置组进行处理达快速闭环安全风险目
1安全通告接收
安全监控组接收安全风险预警安全事件应急疑安全行等类安全事件
2安全通告研判
研判分析组研判通告事件保障目标资产吻合度风险容进行定位分析确认实际影响范围威胁程度紧急程度等
3安全通告处置
协调应急处置组安全风险进行闭环记录进统计表中
743安全事件报
网络安全应急演练保障期间防守方检测告警信息进行研判分析确属攻击行安全事件时根规定格式编写防守方成果报告提交保障决策组安全接口统报
744安全事件踪
针网络安全应急演练前期处理事件中期发生安全事件进行梳理根安全问题风险程度高低设置处理优先级绘制输出安全事件踪表
75总结阶段
网络安全应急演练保障结束保障期间涉攻击事件进行汇总梳理通分析原攻击手段存安全缺陷进行整改进总结验教训提升业务安全防护力强化业务安全
751安全事件梳理
保障结束组织保障参员应急演练期间出现攻击事件进行汇总统计包括限:
Ø针攻击事件进行攻击时段频率次数统计分析常见攻击事件行识已受攻击业务风险
Ø分析攻击源址域攻击时间攻击次数等维度识攻击者攻击意图分析攻击目址识易受攻击业务模块
Ø风险等级高低排序重点关注高危行根高危行指目址识易受攻击业务模块
752事件总结档
保障结束组织演保障参员进行总结分析收尾会议3工作日输出网络安全应急演练活动总结报告递交演保障组总指挥进行初步审阅终审阅发送保障联络组组部门负责档信息安全部门
8演练台说明
网络安全应急演练保障期间演保障员均通安全设备—态势感知—攻防台—封堵台形成安全事件发现分析研判封堵全生命周期闭环理
演练期间态势台会获取安全设备事件日志统处理攻防台获取态势台安全事件前封堵台查告警IP否封禁系列动作通动化脚执行演练员需重点查安全事件否正常
1登录签
访问攻防台输入账户密码进行登陆提示证书错误请添加例外继续访问登录攻防台请先进行签点击右角日历图标签页面点击签图示:
2安全设备事件监控
安全值守监控员实时监控安全设备态势台攻防台封堵台安全事件条数处置状态确保类攻击事件均已处置完毕未处置完毕安全事件手工派发安全事件工单通知应员规定时间手工处置完毕
安全值守监控员实时监控安全设备(安全域DDOS防病毒防篡改WAF防火墙天眼IDSIPS)态势台攻防台封堵台运行情况安全值守员统计数进行复核确认
3安全事件处置
攻防台左侧进入安全事件中心查台态势台取安全事件图示:
点击事件列表右侧处理进入事件处理详情点击结束事件图示:
时事件状态切换已解决刚事件状态已转换成已解决图示:
封堵台左侧进入攻防封堵页面查安全事件处置结果显示时间处置类型处置状态:
4签出
完成务点击页面右角日历标志签页面中点击签出图示:
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档