一年一度的网络安全大型实战攻防演练即将拉开帷幕，为了帮助所有关基用户更好的进行备战，青藤安全服务团队汇总了一百多个重保项目经验，提炼了六大类二十项备战工作关键内容，助力关基单位轻松应对实战攻防演练。

1资产信息梳理与核查

 

1.1资产统一纳管与防护

 

开展资产清查盘点，更新资产信息清单，明确所有资产责任人。确保所有资产纳入4A统一管理，所有服务器安装主机安全防护Agent。

1.2互联网暴露面收敛

 

开展互联网暴露面系统清点，更新IP地址、域名、端口、承载业务、承载网络、互联关系等信息，明确主管部门与责任人。持续做好互联网暴露面收敛工作，进一步降低互联网暴露面风险。

1.3“三无七边”系统处置

 

全面清查“三无七边”系统，攻防演练重保开始前关停所有“三无”系统，针对所有“七边”系统明确安全责任并签订安全责任书，无需对外开放的系统转为内网或采取临时关停措施。

1.4非必要系统清理关停

 

清点并关停所有非办公时段不需要使用的系统，清理并下线所有不再使用的测试资源和测试系统。

 

2资产漏洞风险治理

 

2.1账号口令管理检查

 

按照安全管理制度要求组织所有平台/系统开展账号口令自查工作，并抽查重要平台/系统的账号实名制、账号权限最小化、弱口令、离职账号未清理等情况。

2.2扫描、基线核查与渗透

 

确保安全扫描系统软件以及插件库更新到最新版本，不间断进行全量互联网资产漏洞扫描，开展资产安全配置检查，针对重要系统进行渗透测试，确保备战阶段完成所有发现漏洞与风险的整改加固。

2.3访问控制策略清理

 

梳理访问控制策略，确保服务器IP及端口访问控制列表、防火墙NAT和过滤策略符合最小化白名单原则，关闭一切不必要的对外开放服务。

3安全防护能力提升

 

3.1互联网资产防护

 

确保所有互联网暴露面系统主机100%安装主机安全防护Agent。内部人员使用的互联网暴露面系统采取IP地址限制、白名单管控、VPN接入等措施。

3.2安全设备/系统强化

 

清查所有安全设备/系统，明确运行维护责任人，确保安全设备/系统的版本、病毒库、特征库、规则库等已经升级到最新，确保安全策略启用并生效。

3.3特权系统安全强化

 

开展域控、4A、VPN等系统的账号权限清查及整改，确保域控、VPN、4A等系统具备登录认证防暴破能力（双因子认证），如不具备双因子认证需要对所有账号进行密码重置操作。

3.4终端安全强化

 

检查所有终端，完成所有补丁升级，确保安装防病毒软件，并且病毒库升级到最新。要求所有终端使用人清理敏感数据，或者将敏感数据进行加密存储。

3.5邮箱安全强化

 

启用防病毒软件中邮件过滤病毒查杀功能；重置所有邮箱用户密码；要求所有人员清空非工作邮箱中的所有办公邮件。

3.6WIFI安全强化

 

检查并取消所有共享WIFI或私接WIFI路由器，严禁私自开通共享WIFI；更改所有正在使用的WIFI密码。

4安全监测能力提升

 

4.1日志存留与推送

 

检查主机、数据库、中间件、应用日志是否正确配置，且日志留存6个月及以上，并确保上述日志信息传输到安全大数据平台进行监测分析。

4.2安管平台能力优化

 

更行并优化安管平台关联分析规则，对接攻防演练重保标签特殊威胁情报数据，提升安管平台威胁检测能力。

5安全响应能力提升

 

5.1IP溯源及自动化封禁

 

优化IP溯源系统及一键封禁工具，实现WAF、IPS告警信息自动溯源及自动化封堵；编写自动溯源封禁和人工溯源封禁操作流程，并对相关人员进行宣贯培训。

5.2应急预案及演练

 

组织相关人员更新所有应急预案，开展网络攻防重保相关场景的专项应急演练，并根据演练结果更新应急预案。

6社会工程学防范

 

6.1敏感信息清理

 

组织全员删除互联网云盘、社交软件上的企业敏感信息，删除GitHub、码云等开源平台上发布的与业务相关的源码，删除在服务器上明文存放敏感信息（网络拓朴、账号口令等）。

6.2钓鱼邮件测试

 

策划并开展全员钓鱼邮件演练，测试不同岗位人员面对钓鱼邮件的处置方式，根据测试结果强化全员邮件安全意识。

6.3安全意识培训

 

组织开展全员信息安全意识培训，宣贯日常需要注意的安全行为习惯，传达重保期间必须遵守的管理要求以及需要注意关键事项。

总结

 

实战攻防演练本质上是对参与组织综合安全防护与运营能力的检验，从以上需要筹备的内容可以看出，想要在实战攻防演练中取得好的成绩并没有捷径，只有扎实做好常态化安全运营工作，并在备战阶段进行强化工作效果，才能避免在实战攻防演练中被淘汰出局。

附1：青藤基于“攻防+运营”实战化核心能力的安全服务框架

 

 

附2：青藤基于“3+9+6”的实战攻防演习服务解决方案