網絡安全攻防演練護網工作報告

攻防演練概述攻防演練背景網絡安全實戰攻防演練（以下簡稱“攻防演練”）是以獲取目標系統的最高控制權為目標，由多領域安全專家組成攻擊隊，在保障業務系統安全的前提下，采用“不限攻擊路徑，不限制攻擊手段”的攻擊方式，而形成的“有組織”的網絡攻擊行為。本次攻防演練由xxxxx信息技術有限公司作為攻擊方，XXX單位的xxx系統、xxx業務系統等信息系統進行滲透性測試。攻防演練通常是在真實環境下對參演單位目標系統進行可控、可審計的網絡安全實戰攻擊，通過攻防演練檢驗參演單位的安全防護和應急處置能力，提高網絡安全的綜合防控能力。護網概述在攻防演練中，為充分檢驗參演單位及目標系統的安全防護、監測和應急處置能力，演練組織方通常會選擇由經驗豐富的安全專家組成攻擊隊開展網絡攻擊，在確保不影響業務的前提下，選擇一切可利用的資源和手段，采用多變、靈活、隱蔽的攻擊力求取得最大戰果。XXX單位作為防守方，面對“隱蔽”的網絡攻擊，如何才能有效防御呢？除了信息系統本身的完善性，可靠性、安全性外，還需要在信息系統的前端部署強大網絡安全防護體系，包括WAF、防火墻、IPS、IDS等安全設備。同時為了減少信息系統的攻擊面和薄弱點，防守方對信息系統主機的安全加固、網絡安全設備策略加固也顯得尤為重要。護網方案初步工作計劃攻防演練防護工作的初工作計劃如下：工作階段重點任務工作內容時間計劃準備階段目標系統梳理網絡路徑梳理關聯資產梳理針對本次參演系統進行網絡路徑和關聯資產梳理，為后續細化監測、防護方案奠定基礎。目標系統網絡安全專項應急預案梳理并確認目標系統網絡安全專項應急預案，確定網絡安全處置流程、措施等攻防預演練階段預演練啟動會啟動XXX系統“護網-2019”攻防預演練工作預演練平臺準備采用為公安部攻防演練提供支撐的專用攻防演練支撐平臺，攻擊人員的所有訪問通過VPN接入演練平臺，平臺對攻擊過程所有行為進行記錄、監管、分析、審計和追溯。正式預演練信息安全管理處組織攻擊隊針對XXX參演系統進行受控的網絡攻擊，防守方進行防守，攻擊隊分兩組，每組2-4人，攻擊時間2周。預演練總結針對攻防預演練中發現的問題進行總結，形成專項的安全自查和整改要求。安全自查整改階段安全自查--安全漏洞掃描--安全基線核查--源代碼安全檢測--日志審計--安全策略檢查開展防護安全自查和整改工作，針對演練中發現的問題進行整改和修復，同時針對參演系統相關資產和關聯問題進一步排查，能夠更全面的發現安全隱患。安全整改加固--安全加固--安全策略配置優化對系統漏洞隱患進行加固，修訂、優化網絡安全策略配置，加強安全措施效能發揮。正式演練和總結階段正式演練--攻擊監控和阻斷--溯源和分析研判正式演練期間參演系統的運維處室要加強網絡和應用系統安全監測，針對異常問題及時進行分析和處置，必要時對問題進行溯源和研判。總結匯報在攻防演練結束后，針對總結演練中發現的安全問題、安全漏洞隱患、攻擊情況、防守情況、安全防護措施、監測手段、響應和協同處置等進行總結匯報。準備階段網絡路徑梳理對目標系統相關的網絡訪問路徑進行梳理，明確系統訪問源（包括用戶、設備或系統）的類型、位置和途徑的網絡節點，繪制準確的網絡路徑圖。網絡路徑梳理須明確從互聯網訪問的路徑、內部訪問路徑等，全面梳理目標系統可能被訪問到的路徑和數據流向，為后續有針對性的網絡安全防護和監控點部署奠定基礎。關聯及未知資產梳理梳理xxx系統、xxx業務系統等信息系統關聯及未知資產，形成目標系統的關聯資產清單、未知資產清單，關聯資產包括目標系統網絡路徑中的各個節點設備、節點設備同一區域的其它設備以及目標系統相關資產，未知資產包括與目標系統可有關聯但未記錄在關聯資產清單里的資產，為后續安全自查和整改加固等工作提供基礎數據。專項應急預案確認針對本次攻防演練的目標系統進行專項應急預案的梳理，確定應急預案的流程、措施有效，針對應急預案的組織、技術、管理流程內容進行完善，確保能夠有效支撐后續演練工作。加強安全監測防御體系梳理當前已有的安全監測和防御產品，對其實現的功能和防御范圍進行確定，并根據已梳理的重要資產和網絡路徑，建立針對性的臨時性（租用或借用）或者長久性（購買）的安全監測防御體系，為后續正式演練及防護階段提供工具和手段支持。安全自查和整改階段根據準備階段形成的目標系統關聯資產清單、未知資產清單，對與組成目標系統相關的網絡設備、服務器、中間件、數據庫、應用系統、安全設備等開展安全自查和整改工作。通過安全自查對目標系統的安全狀況得以真實反映，結合整改加固手段對評估發現的問題逐一進行整改。設置必要的防御規則，基于最小權限原則制定，即僅僅開放允許業務正常運行所必須的網絡和系統資源。確保目標系統在攻防預演練前所有安全問題均已采取措施得到處理。網絡安全檢查網絡架構評估針對目標系統開展網絡架構評估工作，以評估目標系統在網絡架構方面的合理性，網絡安全防護方面的健壯性，是否已具備有效的防護措施；形成網絡架構評估報告。網絡安全策略檢查針對目標系統所涉及的網絡設備進行策略檢查，確保目前已有策略均按照“按需開放，最小開放”的原則進行開放；確保目標系統所涉及的網絡設備中無多余、過期的網絡策略；形成網絡安全策略檢查報告。網絡安全基線檢查針對目標系統所涉及的網絡設備進行安全基線檢查，重點檢查多余服務、多余賬號、口令策略，禁止存在默認口令和弱口令等配置情況；形成網絡安全基線檢查報告。安全設備基線檢查針對目標系統所涉及的安全設備進行安全基線檢查，重點檢查多余賬號、口令策略、策略啟用情況、應用規則、特征庫升級情況，禁止存在默認口令和弱口令等配置情況；形成安全設備基線檢查報告。主機安全檢查操作系統安全基線針對目標系統所涉及主機的操作系統進行安全檢查，重點檢查多余賬號、口令策略、賬號策略、遠程管理等情況；形成主機安全基線檢查報告。數據庫安全基線針對目標系統所涉及的數據庫進行安全檢查，重點檢查多余賬號、口令策略、賬號策略、遠程管理等情況；形成主機安全基線檢查報告。中間件安全基線針對目標系統所涉及的中間件進行安全檢查，重點檢查中間件管理后臺、口令策略、賬號策略、安全配置等情況；形成中間件安全基線檢查報告。操作系統漏洞掃描針對目標系統所涉及的主機、數據庫以及中間件進行安全漏洞掃描；形成主機安全漏洞掃描報告。應用系統安全檢查應用系統合規檢查針對目標系統應用進行安全合規檢查，重點檢查應用系統多余賬號、賬號策略、口令策略、后臺管理等情況；形成應用系統合規檢查報告。應用系統源代碼檢測針對目標系統應用進行源代碼檢測；形成應用系統源代碼檢測報告。應用系統漏洞掃描針對目標應用系統的URL、WEB頁面進行安全漏洞掃描；形成應用系統安全漏洞掃描報告。安全整改加固基于以上安全自查發現的問題和隱患，及時進行安全加固、策略配置優化和改進，切實加強系統的自身防護能力和安全措施的效能，減少安全隱患，降低可能被外部攻擊利用的脆弱性和風險。業務主管單位協同安全部門完善網絡安全專項應急預案，針對可能產生的網絡安全攻擊事件建立專項處置流程和措施。正式防護階段當開啟正式防護后，防護小組組織各部門人員，根據崗位職責開展安全事件實時監測工作。安全部門組織其他部門人員借助安全防護設備（全流量分析設備、Web防火墻、IDS、IPS、數據庫審計等）開展攻擊安全事件實時監測，對發現的攻擊行為進行確認，詳細記錄攻擊相關數據，為后續處置工作開展提供信息。事件分析與處置防護小組在演練期間安排專人進行值守，對業務進行實時監測，根據監測到安全事件，協同進行分析和確認。如有必要可通過主機日志、網絡設備日志、入侵檢測設備日志等信息對攻擊行為進行分析，以找到攻擊者的源IP地址、攻擊服務器IP地址、郵件地址等信息，并對攻擊方法、攻擊方式、攻擊路徑和工具等進行分析研判。防護小組根據分析結果，應采取相應的處置措施，來確保目標系統安全。通過遏制攻擊行為，使其不再危害目標系統和網絡，依據攻擊行為的具體特點實時制定攻擊阻斷的安全措施，詳細記錄攻擊阻斷操作。業務主管單位對業務穩定性進行監測，工作接口人及時通報相關信息。演練工作小組應針對攻擊演練中可能產生的攻擊事件，根據已經制定的網絡安全專項應急預案進行協同處置，同時在明確攻擊源和攻擊方式后，保證正常業務運行的前提下，可以通過調整安全設備策略的方式對攻擊命令或IP進行阻斷，分析確認攻擊嘗試利用的安全漏洞，確認安全漏洞的影響，制定漏洞修復方案并及時修復。防護總結與整改全面總結本次攻防演練各階段的工作情況，包括組織隊伍、攻擊情況、防守情況、安全防護措施、監測手段、響應和協同處置等，形成總結報告并向有關單位匯報。針對演練結果，對在演練過程中還存在的脆弱點，開展整改工作，進一步提高目標系統的安全防護能力。護網實施資產梳理在演練期間攻擊方會針對用戶的各個業務系統進行批量掃描和收集信息以獲取攻擊點進行攻擊。用戶應以對外服務的業務系統為單位進行逐一的安全檢查，因此用戶對于自身的業務系統以及IT資產的統計和梳理顯得尤為重要。XXX單位共有六個業務系統部署在政務云平臺之上，詳細如下:互聯網區公用網絡區網絡架構梳理拓撲政務云平臺除了運行XXX單位的業務系統外還部署了其它眾多單位的業務系統，各單位之間以云租戶進行區分。為了防止其它單位某些服務器失陷后攻擊方借此進行橫向攻擊，XXX單位應對本租戶的防火墻進行檢查和安全策略加固，除有必要數據交互外，禁止本單位所有服務器與其它單位服務器進行互訪。安全自查及整改加固服務器安全基線自查針對XXX單位六個業務系統中的服務器進行安全基線設置檢查，檢查項如下：測試項基本要求測試子項測試內容測試方法要求結果身份鑒別應對登錄操作系統的用戶進行身份標識和鑒別檢查系統登錄是否需要密碼登陸系統是否需要密碼檢查是否有無需輸入密碼就可訪問的用戶帳戶不能存在空密碼帳戶操作系統管理用戶身份標識應具有不易被冒用的特點，口令應有復雜度要求并定期更換口令復雜度“密碼必須符合復雜性要求”選擇“已啟動”進入“控制面板->管理工具->本地安全策略”，在“帳戶策略->密碼策略”：查看是否“密碼必須符合復雜性要求”選擇“已啟動”最短密碼長度8個字符，啟用本機組策略中密碼必須符合復雜性要求的策略。口令定期更換對于采用靜態口令認證技術的設備，檢查賬戶口令的生存期進入“控制面板->管理工具->本地安全策略”，在“帳戶策略->密碼策略”：查看“密碼最長存留期”“密碼最長存留期”設置不大于“90天”應啟用登錄失敗處理功能，可采取結束會話、限制非法登錄次數和自動退出等措施登錄失敗措施檢查對于采用靜態口令認證技術的設備，檢查當用戶連續認證失敗次數的限制進入“控制面板->管理工具->本地安全策略”，在“帳戶策略->帳戶鎖定策略”：查看“賬戶鎖定閥值”設置“賬戶鎖定閥值”設置為小于或等于6次訪問控制當對服務器進行遠程管理時，應采取必要措施，防止鑒別信息在網絡傳輸過程中被竊聽遠程管理服務數據傳輸安全禁用Telnet服務進入“控制面板->管理工具->服務”，查看“Telnet”的啟動類型和服務狀態Telnet啟動類型為禁用，服務狀態為已停止應為操作系統不同用戶分配不同的用戶名，確保用戶名具有唯一性應用和操作系統用戶權限檢查系統賬號數量，和管理員確認每個賬號的使用人和用途進入“控制面板->管理工具->計算機管理”，查看存在多少啟用賬戶，做好記錄不同用戶使用不同的用戶名，不存在共用賬戶、無用賬戶現象應限制默認賬戶的訪問權限，重命名系統默認賬戶，修改這些賬戶的默認口令默認賬號檢查對于管理員帳號，要求更改缺省帳戶名稱；禁用guest（來賓）帳號。進入“控制面板->管理工具->計算機管理”，在“系統工具->本地用戶和組”：

缺省帳戶Administrator－>屬性

Guest帳號->屬性缺省賬戶Administrator名稱已更改。

Guest帳號已停用。應限制遠程登錄系統賬戶允許遠程登錄的賬戶檢查檢查允許遠程登錄的賬戶"進入“我的電腦->屬性->系統屬性”，在“遠程->遠程桌面->選擇用戶”：查看允許遠程登錄的賬戶記錄可以遠程登錄的賬戶，以及使用人安全審計審計范圍應覆蓋到服務器和重要客戶端上的每個操作系統用戶審核登錄設備應配置日志功能，對用戶登錄進行記錄，記錄內容包括用戶登錄使用的賬號，登錄是否成功，登錄時間，以及遠程登錄時，用戶使用的IP地址。“控制面板->管理工具->本地安全策略->審核策略”審核登錄事件。審核登錄事件，設置為成功和失敗都審核。審核賬戶管理啟用組策略中對Windows系統的審核帳戶管理，成功和失敗都要審核進入“控制面板->管理工具->本地安全策略”，在“本地策略->審核策略”中：查看“審核賬戶管理”設置“審核賬戶管理”設置為“成功”和“失敗”都要審核審計內容應包括重要用戶行為、系統資源的異常使用和重要系統命令的使用等系統內重要的安全相關事件審核對象訪問啟用組策略中對Windows系統的審核對象訪問，成功和失敗都要審核進入“控制面板->管理工具->本地安全策略”，在“本地策略->審核策略”中：查看“審核對象訪問”設置“審核對象訪問”設置為“成功”和“失敗”都要審核審核事件目錄服務器訪問啟用組策略中對Windows系統的審核目錄服務訪問，失敗進入“控制面板->管理工具->本地安全策略”，在“本地策略->審核策略”中：查看“審核目錄服務器訪問”設置“審核目錄服務器訪問”設置為“成功”和“失敗”都要審核審核特權使用啟用組策略中對Windows系統的審核特權使用，成功和失敗都要審核進入“控制面板->管理工具->本地安全策略”，在“本地策略->審核策略”中：查看“審核特權使用”設置“審核特權使用”設置為“成功”和“失敗”都要審核審核過程追蹤啟用組策略中對Windows系統的審核過程追蹤失敗進入“控制面板->管理工具->本地安全策略”，在“本地策略->審核策略”中：查看“審核過程追蹤”設置“審核過程追蹤”設置為“失敗”需要審核審核系統事件啟用組策略中對Windows系統的審核系統事件，成功和失敗都要審核進入“控制面板->管理工具->本地安全策略”，在“本地策略->審核策略”中：查看“審核系統事件”設置“審核系統事件”設置為“成功”和“失敗”都要審核日志文件大小設置應用日志文件大小至少為8192KB，設置當達到最大的日志尺寸時，按需要改寫事件進入“控制面板->管理工具->事件查看器”，在“事件查看器（本地）”中：查看“應用日志”“系統日志”“安全日志”屬性中的日志大小,以及設置當達到最大的日志尺寸時的相應策略“應用日志”“系統日志”“安全日志”屬性中的日志大小設置不小于“8192KB”,設置當達到最大的日志尺寸時，“按需要改寫事件”應保護審計記錄，避免受到未預期的刪除、修改或覆蓋等審核策略更改啟用組策略中對Windows系統的審核策略更改，成功和失敗都要審核進入“控制面板->管理工具->本地安全策略”，在“本地策略->審核策略”中查看“審核策略更改”設置“審核策略更改”設置為“成功”和“失敗”都要審核入侵防范操作系統應遵循最小安裝的原則，僅安裝需要的組件和應用程序，并通過設置升級服務器等方式保持系統補丁及時得到更新系統補丁更新檢查查看系統內核版本號以及系統補丁更新情況進入“開始->運行”，輸入“winmsd.exe”,記錄OS名稱、版本；

進入“控制面板->添加或刪除程序”，查看Windows最近安裝補丁的時間；安裝最新的補丁，建議配置wsus自動更新應用程序安裝情況檢查查看系統安裝程序情況進入“控制面板->添加或刪除程序”，查看除了系統補丁之外的安裝程序刪除已應用無關的程序安裝專門的殺毒軟件檢查殺毒軟件情況查看殺毒軟件版本以及病毒庫更新情況記錄殺毒軟件的版本號，病毒庫更新時間，更新頻率，以及殺毒策略安裝統一的殺毒軟件開啟防火墻檢查防火墻開啟情況查看系統自帶或第三方防火墻開啟情況如是第三方防火墻，記錄相關信息Windows防火墻開啟，并阻斷以業務無關的端口檢查系統是否有惡意文件、病毒惡意文件、病毒檢查檢查系統是否存在惡意文件、病毒使用系統安裝的殺毒軟件進行殺毒操作，記錄結果；并查看歷時殺毒結果上線之前進行一次病毒查殺安全配置系統服務檢查系統服務檢查Alerter–禁用Clipbook–禁用ComputerBrowser–禁用Messenger–禁用RemoteRegistry–禁用RoutingandRemoteAccess–禁用Telnet–禁用AutomaticUpdates–手動BackgroundIntelligentTransferService–手動檢查系統是否啟用SYN攻擊保護在“開始->運行->鍵入regedit”查看注冊表項HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect;HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxPortsExhausted;HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpen;HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpenRetried。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect;推薦值：2。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxPortsExhausted;推薦值：5。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpen;推薦值數據：500。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpenRetried。推薦值數據：400。注冊表檢查項防止icmp重定向報文的攻擊防止icmp重定向報文的攻擊查看：

hkey_local_machine\system\currentcontrolset\services\tcpip\parameters建議將enableicmpredirects值設為0禁止ipc空連接禁止ipc空連接查看：local_machine\system\currentcontrolset\control\lsa\建議將restrictanonymous值設為1資源控制應通過設定終端接入方式、網絡地址范圍等條件限制終端登錄遠程管理IP限制檢查防火墻配置進行限制進入“控制面板-Windows防火墻”，在“Windows防火墻->例外”:查看“遠程桌面->編輯->更改范圍”的設置在主機防火墻上做訪問控制，指定的IP地址對服務器進行遠程管理應根據安全策略設置登錄終端操作超時鎖定屏幕保護設置啟用屏幕保護程序，防止管理員忘記鎖定機器被非法攻擊進入“控制面板－>顯示－>屏幕保護程序”：查看是否啟用屏幕保護程序并記錄當前的設置查看是否啟用屏幕保護程序，設置等待時間為“5分鐘”，啟用“在恢復時使用密碼保護”。超時檢查啟用遠程回話掛起時間限制進入“控制面板->管理工具->本地安全策略”，在“本地策略->安全選項”:查看“Microsoft網絡服務器：在掛起會話之前所需的空閑時間”設置設置值不大于15分鐘操作系統遠程關機策略安全遠程關機在本地安全設置中從遠端系統強制關機只指派給Administrators組進入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶權利指派”:查看“從遠端系統強制關機”設置“從遠端系統強制關機”設置為“只指派給Administrtors組”操作系統本地關機策略安全本地關機在本地安全設置中關閉系統僅指派給Administrators組進入“控制面板->管理工具->本地安全策略”，在“本地策略->用戶權利指派”:查看“關閉系統”設置“關閉系統”設置為“只指派給Administrators組”操作系統數據執行保護安全數據執行保護對Windows操作系統程序和服務啟用系統自帶DEP功能(數據執行保護)，防止在受保護內存位置運行有害代碼進入“控制面板－>系統”，在“高級”選項卡的“性能”下的“設置”。進入“數據執行保護”選項卡。查看“僅為基本Windows操作系統程序和服務啟用DEP”“數據執行保護”選項卡已設置為“僅為基本Windows操作系統程序和服務啟用DEP”共享文件夾及訪問權限關閉默認共享非域環境中，關閉Windows硬盤默認共享，例如C$，D$進入“開始->運行”，輸入“cmd”，在cmd.exe窗口中輸入“netshare”，記錄結果默認共享關閉根據需求對SNMP進行設定關閉SNMP服務管理或修改默認團體字關閉SNMP服務管理或修改默認團體字打開“控制面板”，打開“管理工具”中的“服務”，找到“SNMPService”，單擊右鍵打開“屬性”面