隨著網絡安全成為國家戰略，特別是《網絡安全法》的正式頒布實施，網絡安全建設正逐步走向實戰化、體系化和常態化的新時代。在這一大背景下，攻防演練越來越受到各方重視，成為檢驗安全體系建設水平，促進安全運營能力提升的常備動作。

在網絡安全攻防演練活動中，保障工作不是一蹴而就，需要系統化的規劃設計、統籌組織和部署執行。對于攻防演練的防御方，建議按照以下五個階段組織實施：

1.啟動階段

組建網絡攻防演練保障團隊并明確相關職責，制定工作計劃、流程和具體方案。對信息化網絡架構進行梳理和分析，評估當前網絡安全能力現狀。對內外網的信息化資產進行梳理。

2.備戰階段

通過資產安全評估、業務風險評估手段，對內外網信息化資產風險暴露面進行全面評估。制定合理可行的安全整改和建設方案，配合推動網絡安全整改與治理工作。開展內部人員的網絡安全意識宣貫。

3.臨戰階段

制定應急演練預案，有序組織開展內部紅藍對抗、釣魚攻擊等專項演練工作。對人員進行安全意識專項強化培訓。

4.保障階段

依托安全保障中臺，構建云地一體化聯防聯控安全保障體系，利用情報協同聯動機制，持續有效地進行威脅監控、分析研判、應急響應、溯源反制等網絡攻防演練保障工作。

5.總結階段

對攻防演練工作進行經驗總結和復盤，梳理總結報告，對演練中發現的問題進行優化改進和閉環處理。

一個完備高效的攻防演練過程，通過啟動、備戰、臨戰、保障和總結全流程的精心組織，充分調動內外部資源，達到檢驗建設成果、鍛煉運維團隊、提升運營能力的目標。下面綠盟科技將根據歷年參與攻防演練活動的實際經驗，總結介紹啟動、備戰、臨戰、保障和總結這五個攻防演練關鍵階段的具體操作建議，為企業安全負責人開展攻防演練工作提供參考。

1.啟動階段

啟動階段主要有三大工作：建隊伍，清家底，做規劃。

1）建隊伍

在啟動階段，應著手建立一個分工明確的網絡安全攻防演練職能團隊，以保證安全自查工作得到充分開展，安全防護能力得到有效驗證。因此必須明確安全保障團隊的組織架構和職責劃分。為做好演練工作，建議以如下方式建立安全保障團隊的整體架構：

各職能團隊分工如下表所示：

2）清家底

清家底是指對當前網絡架構進行合理分析和優化，盤點內外網資產，理順資產與業務系統的關系。摸清、理順自身家底，充分應用自身安全建設的成果，為后續風險排查、加固優化奠定良好基礎，主要包括三方面內容：

• 網絡架構分析調優
• 互聯網資產暴露面治理
• 內網資產發現梳理。

3）做規劃

做規劃是指在前期工作的基礎上，進一步明確安全保障應用需求，編制《安全運營保障實施計劃》與《安全運營保障方案》，制定網絡安全攻防演練工作目標，構建網絡安全攻防演練保障體系，以全面指導網絡安全攻防演練工作。

網絡安全攻防演練保障體系如上圖所示。體系覆蓋攻防演習的五大階段。對于每個階段都要建立三位一體的保障體系，包括管理保障、技術保障和人員保障。管理保障是通過梳理組織架構和各類保障流程，從管理層面打通各個環節。技術保障是基于安全基礎設施構建縱深防御和零信任機制，并接入安全運營平臺實現整體運營。人員保障是通過對演練人員的賦能培訓，滿足監控、研判、處置、上報等各環節中對人員的能力要求。

2.備戰階段

網絡安全攻防對抗中，考驗的不僅是雙方在對抗過程中的能力與技能，還有各自戰前準備工作是否周詳完備。備戰階段可以從資產全面評估、業務缺陷識別、風險整改推進、防護能力補差、整體策略優化和意識能力培訓六個方面，發現網絡和業務系統的脆弱性，評估面臨的安全風險，并通過技術和管理兩個方面進行增強，實現安全策略的全面優化。

1）資產全面評估

對信息資產的安全性進行全面評估，主要包括7大評估方法：漏洞掃描、配置核查、弱口令檢查、滲透測試、入侵痕跡排查、敏感信息檢查、安全機制校驗。

2）業務缺陷識別

在業務層面，需要對業務系統進行分級，針對重要業務系統，特別是攻防演練確定的靶標系統和重要業務系統，梳理系統關鍵流程（如登錄、認證、查詢、申請、審批、交易等）繪制相應時序圖，分析業務流程和數據流轉中可能遭遇的攻擊和敏感信息泄露等安全隱患，輸出相應風險處置措施以降低風險，保障系統安全。

在此基礎上，還應該對身份認證系統、VPN、域控系統、網管系統等集權系統和防火墻，入侵防御系統，Web安全防護系統，主機防護系統等安全設備進行風險評估，確保其集權管控和安全防護機制能夠正常運行，且系統本身不存在中高危安全漏洞。此外，還需要來自供應鏈，相關業務鏈，第三方人員鏈等第三方的安全風險，防止攻擊者利用第三方實施入侵。

3）風險整改推進

對在資產安全評估和業務缺陷識別中發現的問題，需要制定整改方案，及時進行修復。主要包括歷史發現風險閉環復盤、自查發現風險跟進巡查和各類設備風險跟進處置三方面。

4）防護能力補差

面對實戰攻防演練，需要構建集預警、防護、檢測、響應于一體的自適應聯動響應體系。參與攻防演練的防守方，可依照下圖展示的網絡安全最佳實踐技術體系，查漏補缺，消除短板，整體提升安全防護能力。

5）整體策略優化

在構建完成整體防線后，下一步就需要提升攻擊檢測和防護的效率，對整體策略進行優化，主要包括三方面的優化動作。一是優化日志分析，采用事件分析法、時間分析法以及流量包樣本分析法等方式，在大量日志中捕獲關鍵信息，區分設備關注重點事件；二是處置設備誤報，及時拉通業務側溝通渠道，核實能否夠及時對業務代碼邏輯進行修改，解決業務誤攔問題；三是優化平臺和設備策略，根據日志分析及誤報處理的結果，對網絡設備策略、安全設備策略、主機策略等進行進一步調整和優化。

6）意識能力培訓

在安全意識培訓方面，需要在三大方向發力。一是要加強安全意識宣傳；二是要加強內部安全意識培訓；三是要面向第三方開發商和服務商人員等開展安全意識宣貫，同時簽訂安全保密協議、責任界定書，增強其安全敏感度。

在安全能力培訓方面，首先要展開威脅分析能力培訓，通過告警分析實現對常見攻擊行為和結果的識別，包括利用漏洞執行惡意代碼，手工嘗試弱口令，服務器被攻陷，惡意程序被運行等。其次要對應急響應能力進行培訓，通過排查服務器上的木馬程序，分析攻擊者入侵途徑，登錄服務器操作以驗證事件的準確性等方法實現安全事件的事中和事后取證分析與及時處置。

3.臨戰階段

臨戰階段也叫演練階段，即通過實戰攻防演練驗證網絡安全體系建設成果，助力企業建立常態化的防御機制。這四個攻防演練“錦囊”，請您收好。

錦囊一 安全應急演練

為提升對網絡信息安全攻擊事件的響應能力和應對突發安全事件的緊急處理能力，切實保障防守方的網絡安全，需要根據當前的網絡安全現狀和面臨的安全威脅編制覆蓋各類應急場景的重大保障應急預案，并組織開展網絡安全專項應急演練，檢驗網絡安全應急體系和工作機制運行情況，及時發現問題，完善應急預案，提高應急處置能力。

錦囊二 釣魚攻擊演練

為模擬防守方在攻防演練期間可能面臨的真實攻擊，同時對日常的安全意識培訓效果進行驗證，在實戰開展前釣魚攻擊演練可謂是一計良策。

通過相應渠道給防守方員工發送釣魚測試郵件，度量員工安全意識整體狀態。在企業郵件辦公環境下，還原釣魚郵件真實場景，使員工實際感受郵件釣魚威脅，激發員工郵件辦公的警惕心理，彌補員工的安全意識短板。

錦囊三 內部紅藍對抗演練

在保證業務正常運轉的前提下，建議實戰演練雙方的攻防演習保障項目組在真實網絡環境下開展紅藍對抗，及時發現網絡資產的真實隱患，檢驗安全威脅監測發現能力、應急處置能力和安全防護能力，并通過演練結果進一步改進保障能力。

錦囊四 實戰演練前安全意識專項強化

攻防演練正式開始前，攻防演練保障項目組需要進行戰前宣貫，針對前期安全意識培訓及釣魚攻擊演練中發現的問題進行同步，重點關注IT技術人員及演練中被釣魚成功人員，對攻擊隊常用社工手段及防守方法突出強調，通過實戰案例的介紹使防守方人員對攻防演習中的社工攻擊有更直觀的認識，爭取最大程度降低人員的隱患。

4.保障階段

企業應建立以情報驅動為核心，協同研判分析、溯源反制、應急響應、產品支持等安全防護能力，以點帶面，實現“一點發現，全面風險閉環”的聯防聯控機制，構建云地一體化安全保障體系，持續有效地開展網絡攻防演練保障工作。

綠盟科技安全中臺支撐全過程

本地安全監控：包括對外網資產（主機資產和網站安全）監控，以及安全情報、安全設備、安全行為的監控，并將每日的監控記錄進行整理匯總。

云端安全監控：對網站提供完整性檢測、可用性檢測。完整性檢測能夠甄別出防護站點頁面是否發生了惡意篡改，是否被掛惡意木馬，是否被嵌入敏感內容等信息；可用性檢測能夠幫助防守方了解站點此時的通斷狀況，延遲狀況。

威脅分析研判：多渠道匯集安全通告，線下結合線上、現場結合中臺、情報結合狩獵，疊加多級網絡安全專家研判體系，實現安全風險預警通告、安全事件應急通告、可疑安全行為通告迅速研判定性。

應急響應處置：應急響應預設流程全面高效啟動，應急小組有條不紊分級分類處置安全事件，節奏化完成攻擊阻斷、取證備份、故障恢復、總結評估，雙向聯動全國跨地理、跨行業多維情報體系，多區域實時下發，技術策略實時滾動升級。

威脅狩獵溯源：一體化融合安全威脅檢測設備、安全威脅分析平臺、安全專家服務，整合平臺監控、分析研判、中臺應急能力，多技術手段溯源攻擊方特性，遏制攻擊擴散。鎖定攻擊源，針對性設計反制策略，多重誘捕，由點帶面形成團隊威懾力。

高質量事件上報：融合中臺實時情報，持續強化一線作戰研判水平與上報質量，分角色、分職能、分事件等級實現攻擊取證、分析、研判過程記錄，全面把控上報品質與上報效率，結合體系化得分點分析，確保防守團隊取得有效防守成果。

5.總結階段

實戰化場景下網絡攻防演練的目的是為了發現企業當前防護體系中存在的不足，找出解決的方案。因此在演練結束之后，必須及時進行復盤總結，以期全面改進。在總結階段，需要做三項工作：復盤總結、報告輸出和安全規劃。

1）復盤總結

• 安全事件匯總分析

攻防演練防護結束后，攻防演練防護項目組將對演練期間的數據進行匯總，并從攻擊事件、風險等級、攻擊路徑和漏洞利用四個維度展開分析。

• 缺陷問題輸出閉環

攻防演練防護項目組將針對本次保障前期的待處理事件和中期發生的安全事件進行梳理，根據安全問題風險程度由高到低設置處理優先級，繪制輸出安全事件跟蹤表，內容包括但不限于：問題分類、影響范圍、問題描述、發現時間、處置完成時間、主要跟進人、問題進展、是否閉環、事件優先級等。

• 保障經驗總結

攻防演習階段結束后，開展攻防演習總結會議，整理攻防演習整體數據并上報，分析缺陷，提出改正建議，總結經驗，編制網絡安全監測和應急保障工作指導手冊。

2）報告輸出

在保障結束后，將組織攻防演練防護參與人員進行總結分析，并于總結會議后，輸出攻防演練總結報告，遞交至攻防演練防護組、總指揮進行初步審閱及最終審閱。

3）安全規劃

通過本次攻防演練活動發現的問題，結合當前安全運營現狀，有針對性地設計一體化安全運營方案，也就是需要改進的方向。

網絡安全攻防演練，既是檢查網絡安全建設成果的試金石，也是指導開展下一步建設的指路燈。通過攻防演練，企業應以體系化建設為指引，構建“全場景、可信任、實戰化”的安全運營能力，實現“全面防護，智能分析，自動響應”的防護效果，構建網絡安全保障體系、提升網絡安全防護能力。