公司组织的攻防演练 设计的实现方案(脱敏版)

前期准备阶段

要保证实战攻防演练顺利、高效开展，必须提前做好两项准备工 作：一是资源准备，涉及演练场地、演练平台、演练人员专用电脑、 视频监控、演练备案、演练授权、保密协议及规则制定等；二是人员 准备，包括攻击队、防守队的人员选拔与审核，队伍组建等。

资源准备

1）演练场地布置：演练展示大屏、办公桌椅、攻击队网络搭建、 演练会场布置等。

2）演练平台搭建：完成攻防平台开通、攻击队账户开通、IP分 配、防守队账户开通，做好平台运行保障工作。

3）演练人员专用电脑：为演练人员配备专用电脑，安装安全监控 软件、防病毒软件、录屏软件等，做好事件回溯机制。

4）视频监控部署：部署攻防演练场地办公环境监控，做好物理环 境监控保障。

5）演练备案：演练组织方向上级主管单位及监管机构（公安、网 信等）进行演练备案。

6）演练授权：演练组织方向攻击队和平台提供方进行正式授权， 确保演练工作在授权范围内有序进行。

7）保密协议：与参与演练工作的第三方人员签署相关保密协议， 确保信息安全。

8）攻击规则制定：攻击规则包括攻击队接入方式、攻击时间、攻 击范围、特定攻击事件报备等，明确禁止使用的攻击行为，如导致业 务瘫痪、信息篡改、信息泄露、潜伏控制等的动作。防守规则包括防 守时间、防守范围及明确禁止的防守行为，如直接断网下线、长时间 或大范围封禁攻击IP等。

9）评分规则制定：依据攻击规则和防守规则制定评分规则。例 如，防守队评分规则包括发现类、消除类、应急处置类、追踪溯源 类、演练总结类加分项及减分项等，攻击队评分规则包括目标系统、 集权类系统、账户信息、关键信息系统加分项及减分项等。

人员准备

1）蓝队：组建攻击队，确定攻击队数量，建议每队参与人员为3 ～5人，对人员进行技术能力、背景等方面的审核；确定攻击队负责人 并构建攻击队组织架构，签订保密协议；向攻击人员宣贯攻击规则及 演练相关要求。

2）红队：组建防守队，确定是全部采用本组织人员作为防守人员 还是请第三方人员加入；对人员进行技术能力、背景等方面的审核， 确定防守方负责人并构建防守方组织架构；与第三方人员签署保密协 议，向防守人员宣贯防守规则及演练相关要求。

实战攻防演练阶段

1. 演练启动

演练组织方组织相关单位召开启动会议，部署实战攻防演练工 作，对攻防双方提出明确的工作要求并制定相关约束措施，确定相应 的应急预案，明确演练时间，宣布正式开始演练。

实战攻防演练启动会的召开是整个演练过程的开始。启动会需要 准备好相关领导发言，宣布规则、时间、纪律要求，攻防双方人员签 到与鉴别，攻击队抽签分组等工作。启动会约为30分钟，确保会议相 关单位及部门领导及人员到位。

2. 演练过程

演练过程中组织方依据演练策划内容，协调攻击队和防守队实施 演练，在过程中主要开展演练监控、演练研判、应急处置等工作。

（1）演练监控

演练过程中攻方和守方的实时状态以及比分情况将通过安全可靠 的方式接入组织方内部的指挥调度大屏，领导、裁判、监控人员可以 随时指导和视察。全程监控攻击系统的运行状态、攻击人员操作行 为、攻击成果、防守队的攻击发现和响应处置，从而掌握演练全过 程，确保公平、公正、可控。

（2）演练研判

演练过程中对攻击队及防守队的成果进行研判，从攻击队及防守 队的过程结果进行研判评分。对攻击方的评分机制包括攻击方对目标 系统攻击所造成实际危害程度、准确性、攻击时间长短以及漏洞贡献

数量等，对防守方的评分机制包括发现攻击行为、响应流程、防御手

段、防守时间等。从多个角度进行综合评分，得出攻击队及防守队的 最终得分和排名。

（3）演练处置

演练过程中遇突发事件，防守队无法有效应对时，演练组织方提 供应急处置人员对防守队出现的问题进行快速定位、分析、解决，保 障演练系统或相关系统安全稳定运行，实现演练过程安全可控。

（4）演练保障

人员安全保障：演练开始后需要每日让攻防双方人员签到并进行 鉴别，保障参与人员全程一致，避免出现替换人员的现象，保障演练 过程公平、公正。

攻击过程监控：演练开始后，通过演练平台监控攻击人员的操作 行为，并进行网络全流量监控；通过视频监控对物理环境及人员全程 监控，并且每日输出日报，对演练进行总结。

专家研判：聘请专家通过演练平台开展研判，确认攻击成果，确 认防守成果，判定违规行为等，对攻击和防守给出准确的裁决。

攻击过程回溯：通过演练平台核对攻击队提交的成果与攻击流 量，发现违规行为及时处理。

信息通告：利用信息交互工具，如蓝信平台，建立指挥群，统一 发布和收集信息，做到信息快速同步。

人员保障：采用身份验证的方式对攻击人员进行身份核查，派专 人现场监督，建立应急团队待命处置突发事件；演练期间派医务人员 实施医务保障。

资源保障：每日对设备、系统、网络链路进行例行检查，做好资 源保障。

后勤保障：安排演练相关人员合理饮食，现场预备食物与水。

突发事件应急处置：确定紧急联系人列表和执行预案，遇突发事 件报告指挥部，开展应急演练工作。

应急演练阶段

在演练过程中，针对参演单位失陷的业务系统，组织攻击队和参 演单位进行应急事件处理，目的是通过应急演练，快速恢复业务和检 验参演单位的应急响应机制与流程，利用实战演练环境将演练实战 化，提升参演单位的应急响应能力和完善应急响应机制。

1. 检测阶段

1）目标：接到事故报警后在服务对象的配合下对异常系统进行初 步分析，确认其是否真正发生信息安全事件，制订进一步的响应策略 并保留证据。

2）角色：应急服务实施小组成员、样本分析组、漏洞分析组。 3）内容：

• 检测范围及对象的确定；

• 检测方案的确定；

• 检测方案的实施；

• 检测结果的处理。

4）输出：《应急响应检查单》。

2. 抑制阶段

1）目标：及时采取行动抑制事件扩散，控制潜在的损失与破坏， 同时要确保封锁方法对相关业务影响最小。

2）角色：应急服务实施小组成员、样本分析组、漏洞分析组。 3）内容：

• 抑制方案的确定；

• 抑制方案的认可；

• 抑制方案的实施；

• 抑制效果的判定。

4）输出：《应急处置方案》。

3. 根除阶段

1）目标：对事件进行抑制之后，通过对有关事件或行为的分析， 找出事件根源，明确相应的补救措施并彻底清除。

2）角色：应急服务实施小组成员、样本分析组、漏洞分析组。 3）内容：

• 根除方案的确定；

• 根除方案的认可；

• 根除方案的实施；

• 根除效果的判定。

4）输出：《根除处理记录表》。

4. 恢复阶段

1）目标：恢复安全事件所涉及的系统并还原到正常状态，使业务 能够正常进行，恢复工作中应避免出现误操作，导致数据丢失。

2）角色：应急服务实施小组。 3）内容：

• 恢复方案的确定； - 恢复信息系统。

5. 总结阶段

1）目标：通过以上各个阶段的记录表格，回顾安全事件处理的全 过程，整理与事件相关的各种信息，进行总结，并尽可能把所有信息 记录到文档中。
2）角色：应急服务实施小组。
3）内容。

• 事故总结。应急服务提供者应及时检查安全事件处理记录是否 齐全，是否具备可塑性，并对事件处理过程进行总结和分析。应急处 理总结的具体工作包括但不限于以下几项：

• 事件发生的现象总结；

• 事件发生的原因分析；

• 系统的损害程度评估；

• 事件损失估计；

• 采取的主要应对措施；

• 相关的工具文档（如专项预案、方案等）归档。

• 事故报告：

• 应急服务提供者应向服务对象提供完备的网络安全事件处理报告；

• 应急服务提供者应向服务对象提供网络安全方面的措施和建 议。

1. 演练总结阶段
2. 演练恢复

演练结束后须做好相关保障工作，如收集报告、清除后门、收回 账号及权限、回收设备、回收网络访问权限、清理演练数据等，确保 后续业务正常运行。相关内容如下。

1）收集报告：收集攻击队提交的总结报告和防守方提交的总结报 告并汇总信息。

2）清除后门：依据攻击队报告和监控到的攻击流量，将攻击方上 传的后门进行清除。

3）收回账号及权限：攻击队提交报告后，收回攻击队所有账号及 权限，包括攻击队在目标系统上新建的账号。

4）回收设备：对攻击队电脑（或虚拟终端）进行格式化处理，清 除过程数据。

5）收回网络访问权限：收回攻击队的网络访问权限。

6）清理演练数据：当主办方完成演练数据导出后，对平台侧的演 练数据进行清理。

2. 演练总结

演练总结主要包括参演单位编写总结报告，评委专家汇总演练成 果，演练全体单位召开总结会议，开展编排演练视频与开展宣传工 作。对整个演练进行全面总结，对发现的问题积极整改，开展后期宣 传工作，体现演练的实用性。

1）成果确认：以攻击队提供的攻击成果确认被攻陷目标的归属单 位或部门，落实攻击成果。

2）数据统计：汇总攻击队和防守队成果，统计攻防数据，进行评

分与排名。

3）总结会议：参演单位进行总结汇报，组织方对演练进行总体评 价，攻击队与防守队进行经验分享，为成绩优异的参演队伍颁发奖杯 和证书，对问题提出改进建议和整改计划。

4）视频编排与宣传：制作实战攻防演练视频，供防守队在内部播 放与宣传，提高人员安全意识。

5）整改建议：实战攻防演练工作完成后，演练组织方组织专业技 术人员和专家，汇总、分析所有攻击数据，进行充分、全面的复盘分 析，总结经验教训，并对不足之处给出合理整改建议，为防守队提供 具有针对性的详细过程分析报告，随后下发参演防守单位，督促整改 并上报整改结果。后续防守队应不断优化防护工作模式，循序渐进地 完善安全防护措施，优化安全策略，强化人员队伍技术能力，整体提 升网络安全防护水平。

参考资料

青藤云安全 2022攻防演练蓝队防守指南
青藤云安全 主机安全能力建设指南 2022

这篇好文章是转载于：学新通技术网