单位参加攻防演练的防守思路总结 卖黄金话术演练心得

将近几年参加攻防演练的经验进行提炼并进行总结分享。

攻防演练建议站在黑客的视角下，审视其攻击流程，再针对性的进行防守，防止出现木桶效应，即攻击者只会从短板攻入，但构建的防守措施却和短板无关。

外网纵向入侵流程以及备注信息如下所示：

内网横向渗透流程以及备注信息如下所示：

攻防演练前应进行的工作建议为周期性工作，例如每年1次、每月1次、每日1次，不建议攻防演练前才开始。攻防演练前的工作总结如下所示：

人员培养

培养单位日常运维人员，以应对随着信息化日趋完善，软硬件过多的日常运维工作，同时提升紧急突发事件发生时现场人员的可协调性，以及重保期间的人员值守工作，因为重保期间非一个单位重保，向其他单位抽调人员相对较难。

日常运维及资产台账月度梳理

梳理软硬件资产：互联网/专网/内网的端口暴露面积，老旧资产；

协调软件开发商自查、清理通用型框架暴露在互联网、软件中的特征；

更新软硬件资产的信息；

启用操作系统本地针对系统日志、应用日志、中间件的访问日志的记录功能，对产生的日志保存6个月以上；

针对网络、主机进行安全检查，并针对性的优化加固。

新上线业务系统的风险评估

未进行风险评估的业务系统禁止上线。

防护机制月度检查

互联网/专网/内网区域边界具有监测告警/安全防护机制；尤其是专网边界，【上级单位主动通报攻击行为来自下级单位并对其断网和要求自查】和【下级单位主动拦截攻击行为并交付相关报告至上级单位】在性质层面是具有本质区别的；

安全设备应用层防护策略检查；

网络/安全设备网络层访问控制检查；

操作系统本地访问控制检查；

操作系统本地安全软件的防护策略检查；

如有条件以及具备可行性、可操作性的情况下可建立运行基线，并周期性的巡检。

软件版本漏洞月度检查

跟踪第三方漏洞公布平台，匹配本地资产（操作系统/第三方软硬件/web容器/web框架）的特征，自动化告警存在的漏洞和进行漏洞修复。

软件逻辑漏洞年度检查

通过代码审计、渗透测试发现逻辑漏洞，并进行修复。

安全意识年度培训

针对单位全员的安全意识培训；

针对单位信息化相关人员的安全技术培训。

监测告警机制构建

针对操作系统、应用系统的可用性事件进行内网监测告警；

针对操作系统、应用系统的安全性事件进行内外网监测告警；

构建威胁情报系统，威胁情报源越多越好，可同时录入内部/外部的威胁情报，且可根据情报维度相互关联，可读性强、可关联性强，适合日常运维人员的习惯，例如威胁情报系统可自动化将攻击源ip、攻击工具、攻击流量等特征进行多维度关联从而形成更高价值的内部威胁情报。

应急响应机制构建和年度检查

制定特定安全事件的信息系统安全性专项应急预案；

根据预案搭建环境，定期针对特定安全事件进行应急演练；

定期针对内网安全防护体系的有效性进行验证，第一是当下不应该将关注点全部位于外部的可攻击面积，内部的可攻击面积直接关系核心系统、数据的安危；第二是防止投入了大量人力物力，结果内网安全防护体系是否有效却无一个相对准确的答案（相对准确取决于攻方能力）；

组建常规事件的现场应急支撑团队以及后台支撑专家团队，以及干系人群聊。

容错机制构建

构建重要数据、痕迹操作系统本地备份机制；

构建重要数据、痕迹异机备份机制；

针对可用性较高的业务系统构建异地备份机制和容灾切换机制；

针对备份机制周期性进行检查确认是否正常，并周期性的进行恢复测试。

蜜罐密网构建

不建议使用开源的蜜罐技术，没有技术支撑，容易发生蜜罐逃逸安全事件，任何信息系统的变更应该以安全稳定为主；

单位日常运维人员技术条件较好，以产品形态购买，并熟练使用和定制化需求；单位日常运维人员技术条件较差，以服务形态购买，除了首次服务，建议附加年度周期性、维护性服务，频率越高越好；体现形态取决于单位的态度以及供方的本地化实力以及服务态度；

无论哪种体现形态，建议购买原厂服务，禁止渠道服务，打一个比方，写文档的人可以将文档的表面含义、深层次的含义口述出来，但是不同使用文档的人，则高低无标准；因为无论是原厂亦或是渠道均是非特别熟悉单位应用系统架构、特性的技术人员，因此可能会出现【实施开始→交付通用性实施方案→现场简单调研→搭建功能可运行的某阵→简单功能测试→交付实施报告和用户手册→简单功能使用培训→实施结束即项目结束】的情况；

该情况会给供方带来看不见的负面影响（因为不知道），让产品未在单位体现出真实的应用价值，也未通过产品/服务的成果给供方引发、带来