1网络安全应急演练方案
2指导思想
根据《中华人民共和国网络安全法》规定,定期开展安全应急演练工作,网络实战网络安全应急演练便是在新的网络安全形势下,通过攻防双方之间的对抗演习,实现“防患于未然”。
3演练目的通过网络实战网络安全应急演练,检验并完善移动关键基础设施网络安全应急响应机制与提高技术防护能力,检验各公司遭遇网络攻击时发现和协同处置安全风险的能力,培养和提升网络安全人才实战能力,全力保障建党100周年大庆等国家重大活动网络安全。
4演练时间
演练时间:2021年x月x日
5演练内容
网络与信息安全事件应急演练
6演练流程
网络安全应急演练保障活动共分为启动阶段、准备阶段、演练阶段、保障阶段、总结阶段五个阶段,具体工作安排计划如下:
?启动阶段:确定演练目标、人员团队职责划分、演练总体流程,后续工作提供指导。
?准备阶段:需对演练目标进行安全分析和梳理,开展全面安全评估、关注现有安全能力、完成安全策略的全面优化、人员的全面赋能等。
?演练阶段:重点检测演练系统的监测手段和防御手段的有效性及安全人员操作规程熟悉度。
?保障阶段:为保障业务系统的平稳运行,避免因安全问题而导致出现重大事故。
?总结阶段:对行动中发现的相关问题进行快速整改并进行总结,将经验固化至相关的规章制度中,形成常态化、制度化。
7演练方案
7.1启动阶段
7.1.1演练组织及职责分工
在网络安全应急演练保障期间,组织建立保障小组,通过签署责任书,明确保障人员职责,确保各司其职,有序开展保障工作。
“”
?总指挥
?负责网络安全应急演练保障期间重大决策;
?把控项目的整体进度及质量;
?指挥决策组
?协调各小组资源分配,起到上传下达的等作用;
?演习保障结束后,负责对演习保障进行总结,形成报告,并输出安全能力建设的规划;
?协同其他各小组完成安全事件的闭环;
?安全监控小组
?通过实时监控平台、或设备日志,发现网络中的异常流量、恶意样本、网络攻击行为;
?发现异常行为后,按事件模版及时将攻击事件通报;
?分析研判小组
?通过对主机日志、网络设备日志、安全设备日志以及全流量分析等信息对攻击行为进行分析,找到攻击者的源IP地址、攻击服务器IP地址、邮件地址等信息;
?应急处置小组
?恢复系统备份、数据恢复等方式将系统业务恢复到正常状态;
?将完整的应急处置、溯源流程记录到报告,并上报给保障决策组;
?支撑小组
?支撑小组为二线专家小组,协助现场一线工作小组解决并提供专业安全业务建议。
7.1.2演练保密要求
在网络安全应急演习保障期间,开展参演人员安全意识宣贯、签订网络安全承诺书和安全保密协议。
宣贯内容包含但不限于:代码管理规范、接入账号安全、接入网络安全、办公设备安全等。
网络安全承诺书内容至少包含但不限于:遵守甲方整体网络安全工作要求、遵守相关法律及行业相关规定、强化项目参与人员的信息安全意识、违约责任等。
保密协议内容至少包含但不限于:演习保障期间的保密范围、保密期限、保密要求、违约责任等。
7.2准备阶段
7.2.1信息资产收集
在网络安全应急演练准备阶段,对演练系统进行信息收集,包括单不限于IP地址、端口、服务名称及版本、操作系统类型及版本、应用框架类型及版本等,为开展演练行为做基础。
在网络安全应急演练保障实施期间,信息资产收集可助于快速发现内部问题、定位问题、解决问题,提高企业内部的防御能力。
7.2.2全面安全评估
对演练系统涉及的主机、数据库、应用组件、网络设备、网络架构进行全面、综合的安全评估,充分的发现其潜在的风险。
7.2.3安全策略优化
根据网络安全架构评估以及网络现状,对网络设备策略、安全设备策略、主机策略等进行进一步调整和优化实施范围。
7.2.4安全缺陷整改
根据之前业务系统评估,对应用系统及其依赖的网络、数据信息等可能存在的软硬件缺陷,和信息安全管理中潜在的薄弱环节,而导致的不同程度的安全风险,提出临时解决方案和长期解决方案。
7.2.5安全意识培训
在网络安全应急演练备战阶段,为了提升内外部人员的安全意识,组织开展安全意识宣贯和安全技术赋能,避免因人为因素而导致信息安全事件发生,整体提高安全管理能力。
7.3演练阶段
7.3.1攻防场景演练
采用攻防对抗的方式有效的检验相关业务系统的抗攻击能力,真正发现潜在的风险,从而为后续整改工作提供真实有效的依据。
7.3.1.1攻击方工作
7.3.1.1.1攻击路径设计
攻击者可以通过各种方式各种攻击路径尝试攻破应用系统去危害客户的业务或者企业组织。每种路径方法都代表了一种风险。结合攻击路径相关的技术和对客户的业务影响,评估威胁来源、攻击向量和安全漏洞的可能性。
7.3.1.1.2渗透测试设计内容
针对信息系统业务系统和平台进行全局、深入安全渗透测试,关注其面临的主要安全风险和安全需求,提供安全渗透测试数据报告和针对性解决方案,建立一体化信息系统安全风险识别机制。
7.3.1.1.3应用功能测试
发现目标系统中存在的安全隐患(包括安全功能设计、安全弱点、以及安全部署中的弱点等),并针对问题提供解决方案建议。
7.3.1.1.4安全功能弱点测试
应用系统评估主要从输入验证、身份验证、授权、配置管理、敏感数据保护、会话管理、加密、异常管理等角度分析应用系统的安全功能设计以及存在的安全隐患。
7.3.1.1.5应用安全性测试
针对提供的业务系统进行非破坏性的模拟黑客攻击,充分挖掘应用系统各类组件存在的漏洞,并进行人工利用验证。
7.3.1.2防守方工作
在攻防对抗中,通过部署监测预警功能的平台,针对攻击行为进行监控及时阻断并上报,从而形成闭环的处置工作。
在防守监测工作中,需结合现有态势平台、处置平台以及相关设备进行合理利用。
7.3.1.2.1设备运行监控
针对安全产品、网络产品、主机服务器等提供监控与运维服务,及时发现设备(系统)运行过程中出现的问题并协助客户进行解决,保障设备(系统)正常运转。
监控指标可涵盖设备功能、设备性能、应用服务情况、连通性、操作审计等。
7.3.1.2.2告警事件监控
针对各类安全设备的告警数据进行监控,通过人工告警研判的方式对安全设备告警进行二次分析,排除告警中的误报,定位真实风险。
监控告警类型可涵盖:DDoS攻击、Web攻击、信息破坏、口令猜测、僵尸主机、木马病毒、非授权访问、漏洞利用、网页篡改、SQL注入、非法连接、恶意扫描探测、网页篡改、网站敏感内容、网页挂马等。
7.3.1.2.3安全事件溯源
防守方对多种网络安全设备产生的丰富的日志和告警信息集中分析,发掘安全知识的效果,发现传统安全工具难以发现的安全事件。通过人工的方式判断安全事件是否为误报后,追溯该告警背后的威胁源,判断威胁源使用的攻击手段及漏洞利用情况。
攻击溯源方案可分为三个层次的追踪:追踪溯源攻击主机、追踪溯源攻击控制主机、追踪溯源攻击者和追踪溯源攻击组织机构。
7.3.1.2.4安全事件处置
对于安全监控中发现的安全对象脆弱性问题(如高危漏洞、安全基线配置不合格等)、安全故障问题、安全事件等,监控值守人员通过攻防平台提供的工单流程进行处置任务指派,运维人员、二线支持人员及管理人员依照工单流程完成安全处置工作。
7.3.2应急场景演练
通过模拟攻击者发起0 day攻击,对安全监控、安全防护、网络策略、安全策略等机制进行有效性校验,按照流程快速响应,推动0day的缓解处理和后续补丁修复,最大化减少0day的影响。对发现问题及时推动整改,闭环安全风险,确保自身的网络策略、安全策略符合安全预期。
安全监控小组负责漏洞信息监测收集和危害判断,发现问题后通知分析研判小组、应急处置小组,通过资产管理平台或相关检测工具,确定受该漏洞影响的资产范围,再按照资产价值(重要程度)和网络暴露情况确定漏洞修复的优先级,确立响应的等级、需要哪些部门(厂商)参与。
做好内部的漏洞修复通知和外部的业务升级暂停公告,应急处置小组协助做好系统备份工作,并且在非业务时间段实施升级。漏洞修复后,业务归属部门自行检查业务功能是否受影响,校验数据是否丢失。
0 day漏洞处理流程示意图如下图所示:
完成0day处置的同时,应将其加入安全开发知识库,避免后续发生类似的安全问题。
7.3.3应急响应支撑
应急响应能够快速成功处置,关键是根据前期应急预设流程为指导,应急处置小组有条不紊对已发生安全事件进行解决,以最大限度地减少安全事件造成的损害,降低应急处置中的风险。
7.3.3.1检测阶段
检测是指以适当的方法确认在系统/网络中是否出现了恶
如若转载,请注明出处:https://www.qiantufanwen.com/46999.html