“講一百遍不如打一遍”，都說網絡安全實戰攻防演練是檢閱機構單位安全防護和應急處置能力，提高綜合防控能力的最有效的手段之一。那么，如何搞一場安全、高效的網絡安全實戰攻防演練？

不要慌，你可能需要這一份由安恒信息打造的《2020網絡安全實戰攻防演練應對指南》（以下簡稱“應對指南”）。

什么是網絡安全實戰攻防演練？

網絡安全實戰攻防演練是以獲取指定目標系統（標靶系統）的管理權限為目標的攻防演練，由攻防領域經驗豐富的紅隊專家組成攻擊隊，在保障業務系統穩定運行的前提下，采用“不限攻擊路徑，不限制攻擊手段”的貼合實戰方式，而形成的“有組織”的網絡攻擊行動。攻防演練通常是在真實網絡環境下對參演單位目標系統進行全程可控、可審計的實戰攻擊，擬通過演練檢驗參演單位的安全防護和應急處置能力，提高網絡安全的綜合防控能力。

如何高效應對“網絡安全實戰攻防演練”？

安恒信息基于Gartner自適應保護模型，有效覆蓋預防（P）、保護（P）、檢測（D）、響應（R）四個階段，形成PDCA安全防御閉環，達到安全縱深防御的效果。對應PPDR自適應攻擊保護架構四個階段要求，安恒信息分別提供：

安全基線：基線/邊界梳理、威脅模型、態勢感知

防御強化：網絡加固、對抗演練、應急體系

威脅狩獵：對攻擊展開識別、響應、干預、誘捕

威脅分析：調查分析、復盤攻擊、策略優化

有效應對紅隊攻擊路徑：

攻防演練綜合安全管控中心：

01準備階段，安全基線

資產摸底：通過資產梳理、滲透測試、基線評估等安全服務方式，摸清網絡資產底數、評估信息系統的脆弱性、分析網絡安全架構等，全面了解和掌握該系統面臨的信息安全威脅和風險以及網絡邊界到標靶系統的所有路徑。

威脅評估：分析和指出有關網絡的安全漏洞及被測系統的薄弱環節，給出詳細的檢測報告，并針對檢測到的網絡安全隱患給出相應的修補措施和安全建議。

威脅建模：通過分解業務場景——繪制數據流圖——評估風險點等步驟劃定攻擊路徑，形成威脅模型。包含：核心資產模型、業務訪問模型、網絡行為模型、網絡威脅模型等。

02強化階段，防御加強

安全加固：通過添加策略優化，部署監測、防護、審計、分析等類型的安全設備和有效措施，將風險降低到最低，以及做到保障時威脅可見、可防、可溯源等綜合能力。

組織預演：采用實戰模式，以紅藍軍網絡安全對抗進行實戰攻擊演練，檢驗響應流程、設備穩定可靠性、整體防御方案的有效性，及時發現問題并整改優化，提升對攻擊手法感知的熟悉度和敏捷性。

安全培訓：安全意識、郵件釣魚、社工防范、工作流程、安全技術等培訓，提高技術人員處置能力以及全員安全意識，預防和減少紅隊通過社工方式釣魚攻擊非技術人員的嘗試和成功率。

03保障階段，威脅狩獵

從攻擊監測、攻擊分析、攻擊阻斷、漏洞修復和追蹤溯源等全面加強防守，重點關注云服務檢測與防御、全景網絡邊界防護、Web攻擊檢測與防御、郵件安全、主機安全管控、數據庫操作審計、運維操作審計、異常流量分析等，通過全面威脅檢測、APT級別的入侵分析、攻擊誘捕措施、大數據安全分析，以及網絡安全運營平臺部署、專家組安全處置響應等方面合理部署，保障演練過程中安全防守效果。

同時，網絡攻防經驗豐富的藍隊專家現場服務，全程參與并提供安全態勢監控、威脅情報值守、安全大數據分析、威脅主動誘捕、演練總結等專家級服務支撐。

04總結階段，復盤改進

全面總結：總結攻防演練整體實施報告，包括：組織隊伍、攻擊情況、防守情況、安全防護措施、監測手段、響應和協同處置等各階段工作的成果，并形成總結報告上報。

整改提升：全面復盤在演練中暴露的脆弱點，并開展整改，進一步提高目標系統的安全防護能力，為下一步安全建設規劃提供必要的數據支撐。

安恒信息演練全景圖

目前，安恒信息實戰攻防演練服務已支撐全國20多個省份，支持國家級、省部級和各企事業單位等演練行動百余次，多次承辦部委、央企、金融、運營商等行業實戰攻防演練。

針對不同需求的用戶，安恒信息根據規模、資金、自身安全情況等方面制定了不同的防護體系方案，主要分為:基礎防護、標配防護、定制防護。