网络攻防实战演练_网络攻防演练防守总结

什么是攻防演练？网络安全攻防演练包含几个阶段？

　对网络安全圈了解的人肯定都听说过“攻防演练”，它是检阅政企机构安全防护和应急处置能力的有效手段之一，而且每年国家都会举行实战攻防演练。那么网络安全中攻防演练分为哪5个阶段?以下是详细的内容介绍。

攻防演练保障工作不是一蹴而就，需要系统化的规划设计、统筹组织和部署执行。对于攻防演练的防御方，应按照以下五个阶段组织实施：

启动阶段：组建网络攻防演练保障团队并明确相关职责，制定工作计划、流程和具体方案。对信息网络架构进行梳理和分析，评估当前网络安全能力现状。对内外网的信息化资产进行梳理。

备战阶段：通过风险评估手段，对内外网信息化资产风险暴露面进行全面评估。制定合理可行的安全整改和建设方案，配合推动网络安全整改与治理工作。开展内部人员的网络安全意识宣贯。

临战阶段：制定应急演练预案，有序组织开展内部红蓝对抗、钓鱼攻击等专项演练工作。对人员进行安全意识专项强化培训。

保障阶段：依托安全保障中台，构建云地一体化联防联控安全保障体系，利用情报协同联动机制，持续有效地进行威胁监控、分析研判、应急响应、溯源反制等网络攻防演练保障工作。

总结阶段：对攻防演练工作进行经验总结和复盘，梳理总结报告，对演练中发现的问题进行优化改进和闭环处理。

国家电网 攻防演练什么意思

据悉，各地电网的收费服务系统，以及超市、网银的代收费系统等都涉及信息安全问题，这些与老百姓的生活息息相关。

国家电网一直高度重视信息安全建设工作。结合信息安全形势，攻防演练组织专家设计训练实战内容，以达到学为致用的专项培训效果，提高信息安全管理人员的攻防能力。

信息安全培训一般分为技术培训和管理培训两方面。“培训有利于我们今后全面排查信息系统安全隐患，准确调查信息安全事件，及时消除信息安全威胁。”无论是加速APP应用还是迎接大数据时代的到来，信息安全在国家电网发展的过程中都十分关注。

网络攻防演习活动大致可分四个阶段：备战阶段、实战阶段、决战阶段和总结阶段。

在攻防演习备战阶段，参演单位需对已有信息资产进行识别、分析网络架构及进行安全风险（威胁）识别；同时需成立攻防小组，制定针对性的攻防演练应急预案，并参考网络安全等级保护要求建立安全防御体系。

在攻防演习备战阶段，参演单位根据网络安全等级保护基本要求对网络和目标系统的关联资产进行安全自查，结合基线核查、配置扫描及漏洞扫描等手段，梳理已有安全措施，发现网络中可能存在的风险。

参演单位结合网络中存在的安全问题和已有的安全措施，进行安全措施补充完善、安全加固。在技术方面全面完善基础安全加固、网络区域合理划分、安全监测、风险预警和事件分析等措施；管理方面完善“攻防演习领导小组”工作流程及安全事件应急处置机制。

在进行防护目标加固时，应安全技术与管理并重，将制定的针对性技术方案责任到人，按照项目实施计划严格进行进度把控，确保技术整改措施落地。

在攻防演习实战阶段，攻守双方正式进行演练，防守方保障目标业务系统的安全，需从攻击监测、攻击分析、事件上报、事件研判、攻击阻断、应急响应、漏洞修复和追踪溯源等方面进行全面安全防护。

在攻防演习决战阶段，攻击方发起的各类攻击是检验防守方各部门在遭遇网络攻击时发现和协同处置安全风险的能力，对检验参演单位应急方案有效性和完善网络安全应急响应机制与提高技术防护能力具有重要意义。

攻防演练防守方注意要点

要点一：安全设备拦截

虽然目前大多数企业都非常重视信息安全，但是在攻防演练初期，大部分攻击者会使用扫描工具来收集资产及漏洞信息，攻击告警量会大幅度增加，对应的防守人员无法逐个处理所有攻击告警。因此各企业需要部署带有拦截功能的安全设备，比如防火墙、Web应用防护系统、入侵防御系统等，以便在演练前做好兼容性测试及告警拦截策略优化，提升处置效率。

要点二：攻击源封堵

在攻防演练前，应收集威胁源IP及恶意域名进行封堵，然后在演练中对安全设备的高危告警IP进行封堵，进一步降低告警数量，避免防守人员监控精力的消耗，将重心放在真实攻击的研判分析上。

要点三：应急响应和追踪溯源

在攻防演练中，当主机被夺取权限，会造成防守方阵地沦陷。因此需要实时监控异常流量及告警信息，及时对失陷主机或被攻击成功的系统启动响应处置流程：检测阶段、系统隔离、问题定位、调查取证、木马清除、主机修复及恢复。根据应急响应过程中取证的数据，结合威胁情报、蜜罐等工具，利用社工等多种手段进行追踪溯源，从而实现为防守方有效加分。

要点四：漏洞修复

当安全监控人员发现因漏洞导致的攻击事件时，必须及时进行漏洞修复，以防止问题进一步扩大。漏洞修复的主要流程为：封堵攻击IP以及非正常请求的IP，监控被攻击的流量数据，制定漏洞修复方案，评估和测试方案的可行性，完成漏洞修复。

要点五：补丁修复

补丁修复也是关乎防守效果的重要环节，即使系统、应用的补丁在演练前完成修复，在演练中仍可能会出现“高危0day漏洞”或“官方补丁”。由于防守方既要保证生产系统的稳定又要保证安全，存在不能及时更新版本的问题，攻击者有可能利用老版本的漏洞进行攻击。因此在演练过程中应成立安全专家组，专门负责评估、测试和修复此类型的问题，完善该类系统的应急预案。

安全攻与守的实战效果

网络中面临着各类常见的攻击，例如服务器的破坏、敏感数据窃取、服务干预甚至直接的网络设备破坏导致服务异常或中断。诸如此类的事件一直在上演，从未停歇。应对如此现状，势必要做好网络安全防御，以检测各种类型的网络攻击，并采取适当的措施保护内网免受恶意攻击，从而保证内网和系统的正常运行。

而且，随着《网络安全法》和《等级保护制度条例2.0》的颁布实施，对网络安全提出了更高的要求。实战攻防的必要性也就愈发凸显，“以战验防，以攻促防”，从而提升安全防御能力。自实战攻防施行以来，越来越多的企事业单位参与其中，且越来越常态化。一切源于攻防的江湖风起云涌，暗流涌动。攻守双方不断更新各自的技法，以求一胜！

对于攻击方而言，通常会通过暴露的攻击面进行信息搜集、利用漏洞探测、资产扫描等手段收集到各种问题进行汇总分析，发现可利用漏洞，然后采用APT等攻击手段对被攻击目标进行渗透，以期望获得目标系统的访问权限。整个流程的完成，比较符合于Cyber-Kill-Chain（网络杀伤链）。



图1 网络杀伤链

1、侦察跟踪

攻击者进行探测、识别及锁定攻击对象（目标）的阶段。信息一般通过互联网进行收集（内容包括网站、邮箱、电话、社会工程学等一切可能相关的情报）

2、武器构建

攻击者对锁定目标针对性的准备网络武器。一般由攻击者直接构建或使用自动化工具构建等。

3、载荷投递

攻击者将构建完成的网络武器向目标投递的阶段。投递方式一般包括钓鱼邮件、物理USB投递等。

4、漏洞利用

攻击者在网络武器投递成功后，启动恶意代码的阶段。一般会利用应用程序或操作系统的漏洞或缺陷等。

5、安装植入

攻击者在目标系统植入木马、后门等，并进行持续性的观察和后续攻击活动。

6、命令与控制

攻击者建立目标系统攻击路径的阶段。一般使用自动和手工相结合的方式进行，一旦攻击路径确立后，则盗取用户登录信息，再进行横向移动，并进一步控制目标系统。

7、目标达成

攻击者达到预期目标的阶段。攻击目标呈现多样化，可能包括侦察、敏感信息收集、数据破坏、系统摧毁等。

而在近年的攻防演练中，攻击者也往往利用通用性系统如OA、CMS、ERP等设备的0day漏洞进行漏洞利用发起攻击；或者利用内存WebShell、PowerShell攻击等方式获取目标系统访问权限，从而进行恶意攻击。还有将攻击重心放在DC上，通常向一个或多个用户发送鱼叉式网络钓鱼电子邮件，使攻击者能够在目标网络内的计算机上运行恶意代码。一旦攻击者在企业内部运行了恶意代码，便可以执行侦察以发现有用的资源，以提升权限保留目标主机的访问权限，从而发起恶意攻击。此外，还有社工等诸多攻击方式，都是为了突破安全防线，达成攻击目的。除此之外还有ATTCK攻击模型的利用，后面再为大家展开！

对于防守方来讲，应对攻防演练一般需要做好四个方面的工作：备战阶段、临战阶段、决战阶段、战后总结。

1、备战阶段：对自身资产进行梳理、针对性风险评估、自查自纠、开展安全培训、建立安全防护体系。

2、临战阶段：开展资产巡查、渗透测试、制定应急预案、开展实战应急演练、依据内外网检测结果进行系统加固及应急优化。

3、决战阶段：7*24小时现场值守，实时监控安全态势，并对安全事件进行应急响应确保整个重大活动期间的安全保障，包含依据安全审计防护设备告警信息进行实时监控与上报、实时监测重点系统的风险及安全隐患第一时间进行应急处置、现场依据策略调整进行处理突发事件、针对产生的安全事件进行应急溯源分析等。

4、战后总结：对攻防演练工作成果及不足进行讨论总结，并根据经验持续改进优化网络安全整体建设。

在攻防演练中，防守方也会做好安全的排查，做好安全边界的防御与内网的隔离，树立安全防线，像WAF、HIPS、态势感知等类型的产品都会被选择使用；也包括像蜜罐等工具，对攻击方进行诱捕和反制；此外还可以选择内存保护系统，以解决像无文件攻击、0day漏洞等传统安全手段难以检测与防护的高级威胁。在2021年的攻防演练中，安芯网盾的内存保护系统为客户守护了10万+台服务器，对内存马、无文件攻击、远程溢出漏洞攻击等防护千余次。

攻防演练的兴起是时代的需求，也是行业的必然。从攻与守的角度来讲，包含的内容细节也是众多。在接下来的系列内容中也会从此视角角度为大家慢慢简述攻与防。攻守有道，慢慢道来！















安芯网盾（北京）科技有限公司（简称安芯网盾）是专注于内存安全的高新技术企业，致力于为政府、金融、运营商、军工、教育、医疗、互联网及大型企业等行业客户提供面向未来的网络安全解决方案。安芯网盾帮助企业构建基于硬件虚拟化技术的内存安全环境，防御并终止在业务关键应用程序中的无文件攻击、0day漏洞攻击等高级威胁，切实有效保障用户的核心业务不被阻断、核心数据不被窃取，已为百度、海关、金山、Google、G42等众多国际知名企事业单位持续提供服务。