网络安全攻防演练护网工作报告

攻防演练概述攻防演练背景网络安全实战攻防演练（以下简称“攻防演练”）是以获取目标系统的最高控制权为目标，由多领域安全专家组成攻击队，在保障业务系统安全的前提下，采用“不限攻击路径，不限制攻击手段”的攻击方式，而形成的“有组织”的网络攻击行为。本次攻防演练由xxxxx信息技术有限公司作为攻击方，XXX单位的xxx系统、xxx业务系统等信息系统进行渗透性测试。攻防演练通常是在真实环境下对参演单位目标系统进行可控、可审计的网络安全实战攻击，通过攻防演练检验参演单位的安全防护和应急处置能力，提高网络安全的综合防控能力。护网概述在攻防演练中，为充分检验参演单位及目标系统的安全防护、监测和应急处置能力，演练组织方通常会选择由经验丰富的安全专家组成攻击队开展网络攻击，在确保不影响业务的前提下，选择一切可利用的资源和手段，采用多变、灵活、隐蔽的攻击力求取得最大战果。XXX单位作为防守方，面对“隐蔽”的网络攻击，如何才能有效防御呢？除了信息系统本身的完善性，可靠性、安全性外，还需要在信息系统的前端部署强大网络安全防护体系，包括WAF、防火墙、IPS、IDS等安全设备。同时为了减少信息系统的攻击面和薄弱点，防守方对信息系统主机的安全加固、网络安全设备策略加固也显得尤为重要。护网方案初步工作计划攻防演练防护工作的初工作计划如下：工作阶段重点任务工作内容时间计划准备阶段目标系统梳理网络路径梳理关联资产梳理针对本次参演系统进行网络路径和关联资产梳理，为后续细化监测、防护方案奠定基础。目标系统网络安全专项应急预案梳理并确认目标系统网络安全专项应急预案，确定网络安全处置流程、措施等攻防预演练阶段预演练启动会启动XXX系统“护网-2019”攻防预演练工作预演练平台准备采用为公安部攻防演练提供支撑的专用攻防演练支撑平台，攻击人员的所有访问通过VPN接入演练平台，平台对攻击过程所有行为进行记录、监管、分析、审计和追溯。正式预演练信息安全管理处组织攻击队针对XXX参演系统进行受控的网络攻击，防守方进行防守，攻击队分两组，每组2-4人，攻击时间2周。预演练总结针对攻防预演练中发现的问题进行总结，形成专项的安全自查和整改要求。安全自查整改阶段安全自查--安全漏洞扫描--安全基线核查--源代码安全检测--日志审计--安全策略检查开展防护安全自查和整改工作，针对演练中发现的问题进行整改和修复，同时针对参演系统相关资产和关联问题进一步排查，能够更全面的发现安全隐患。安全整改加固--安全加固--安全策略配置优化对系统漏洞隐患进行加固，修订、优化网络安全策略配置，加强安全措施效能发挥。正式演练和总结阶段正式演练--攻击监控和阻断--溯源和分析研判正式演练期间参演系统的运维处室要加强网络和应用系统安全监测，针对异常问题及时进行分析和处置，必要时对问题进行溯源和研判。总结汇报在攻防演练结束后，针对总结演练中发现的安全问题、安全漏洞隐患、攻击情况、防守情况、安全防护措施、监测手段、响应和协同处置等进行总结汇报。准备阶段网络路径梳理对目标系统相关的网络访问路径进行梳理，明确系统访问源（包括用户、设备或系统）的类型、位置和途径的网络节点，绘制准确的网络路径图。网络路径梳理须明确从互联网访问的路径、内部访问路径等，全面梳理目标系统可能被访问到的路径和数据流向，为后续有针对性的网络安全防护和监控点部署奠定基础。关联及未知资产梳理梳理xxx系统、xxx业务系统等信息系统关联及未知资产，形成目标系统的关联资产清单、未知资产清单，关联资产包括目标系统网络路径中的各个节点设备、节点设备同一区域的其它设备以及目标系统相关资产，未知资产包括与目标系统可有关联但未记录在关联资产清单里的资产，为后续安全自查和整改加固等工作提供基础数据。专项应急预案确认针对本次攻防演练的目标系统进行专项应急预案的梳理，确定应急预案的流程、措施有效，针对应急预案的组织、技术、管理流程内容进行完善，确保能够有效支撑后续演练工作。加强安全监测防御体系梳理当前已有的安全监测和防御产品，对其实现的功能和防御范围进行确定，并根据已梳理的重要资产和网络路径，建立针对性的临时性（租用或借用）或者长久性（购买）的安全监测防御体系，为后续正式演练及防护阶段提供工具和手段支持。安全自查和整改阶段根据准备阶段形成的目标系统关联资产清单、未知资产清单，对与组成目标系统相关的网络设备、服务器、中间件、数据库、应用系统、安全设备等开展安全自查和整改工作。通过安全自查对目标系统的安全状况得以真实反映，结合整改加固手段对评估发现的问题逐一进行整改。设置必要的防御规则，基于最小权限原则制定，即仅仅开放允许业务正常运行所必须的网络和系统资源。确保目标系统在攻防预演练前所有安全问题均已采取措施得到处理。网络安全检查网络架构评估针对目标系统开展网络架构评估工作，以评估目标系统在网络架构方面的合理性，网络安全防护方面的健壮性，是否已具备有效的防护措施；形成网络架构评估报告。网络安全策略检查针对目标系统所涉及的网络设备进行策略检查，确保目前已有策略均按照“按需开放，最小开放”的原则进行开放；确保目标系统所涉及的网络设备中无多余、过期的网络策略；形成网络安全策略检查报告。网络安全基线检查针对目标系统所涉及的网络设备进行安全基线检查，重点检查多余服务、多余账号、口令策略，禁止存在默认口令和弱口令等配置情况；形成网络安全基线检查报告。安全设备基线检查针对目标系统所涉及的安全设备进行安全基线检查，重点检查多余账号、口令策略、策略启用情况、应用规则、特征库升级情况，禁止存在默认口令和弱口令等配置情况；形成安全设备基线检查报告。主机安全检查操作系统安全基线针对目标系统所涉及主机的操作系统进行安全检查，重点检查多余账号、口令策略、账号策略、远程管理等情况；形成主机安全基线检查报告。数据库安全基线针对目标系统所涉及的数据库进行安全检查，重点检查多余账号、口令策略、账号策略、远程管理等情况；形成主机安全基线检查报告。中间件安全基线针对目标系统所涉及的中间件进行安全检查，重点检查中间件管理后台、口令策略、账号策略、安全配置等情况；形成中间件安全基线检查报告。操作系统漏洞扫描针对目标系统所涉及的主机、数据库以及中间件进行安全漏洞扫描；形成主机安全漏洞扫描报告。应用系统安全检查应用系统合规检查针对目标系统应用进行安全合规检查，重点检查应用系统多余账号、账号策略、口令策略、后台管理等情况；形成应用系统合规检查报告。应用系统源代码检测针对目标系统应用进行源代码检测；形成应用系统源代码检测报告。应用系统漏洞扫描针对目标应用系统的URL、WEB页面进行安全漏洞扫描；形成应用系统安全漏洞扫描报告。安全整改加固基于以上安全自查发现的问题和隐患，及时进行安全加固、策略配置优化和改进，切实加强系统的自身防护能力和安全措施的效能，减少安全隐患，降低可能被外部攻击利用的脆弱性和风险。业务主管单位协同安全部门完善网络安全专项应急预案，针对可能产生的网络安全攻击事件建立专项处置流程和措施。正式防护阶段当开启正式防护后，防护小组组织各部门人员，根据岗位职责开展安全事件实时监测工作。安全部门组织其他部门人员借助安全防护设备（全流量分析设备、Web防火墙、IDS、IPS、数据库审计等）开展攻击安全事件实时监测，对发现的攻击行为进行确认，详细记录攻击相关数据，为后续处置工作开展提供信息。事件分析与处置防护小组在演练期间安排专人进行值守，对业务进行实时监测，根据监测到安全事件，协同进行分析和确认。如有必要可通过主机日志、网络设备日志、入侵检测设备日志等信息对攻击行为进行分析，以找到攻击者的源IP地址、攻击服务器IP地址、邮件地址等信息，并对攻击方法、攻击方式、攻击路径和工具等进行分析研判。防护小组根据分析结果，应采取相应的处置措施，来确保目标系统安全。通过遏制攻击行为，使其不再危害目标系统和网络，依据攻击行为的具体特点实时制定攻击阻断的安全措施，详细记录攻击阻断操作。业务主管单位对业务稳定性进行监测，工作接口人及时通报相关信息。演练工作小组应针对攻击演练中可能产生的攻击事件，根据已经制定的网络安全专项应急预案进行协同处置，同时在明确攻击源和攻击方式后，保证正常业务运行的前提下，可以通过调整安全设备策略的方式对攻击命令或IP进行阻断，分析确认攻击尝试利用的安全漏洞，确认安全漏洞的影响，制定漏洞修复方案并及时修复。防护总结与整改全面总结本次攻防演练各阶段的工作情况，包括组织队伍、攻击情况、防守情况、安全防护措施、监测手段、响应和协同处置等，形成总结报告并向有关单位汇报。针对演练结果，对在演练过程中还存在的脆弱点，开展整改工作，进一步提高目标系统的安全防护能力。护网实施资产梳理在演练期间攻击方会针对用户的各个业务系统进行批量扫描和收集信息以获取攻击点进行攻击。用户应以对外服务的业务系统为单位进行逐一的安全检查，因此用户对于自身的业务系统以及IT资产的统计和梳理显得尤为重要。XXX单位共有六个业务系统部署在政务云平台之上，详细如下:互联网区公用网络区网络架构梳理拓扑政务云平台除了运行XXX单位的业务系统外还部署了其它众多单位的业务系统，各单位之间以云租户进行区分。为了防止其它单位某些服务器失陷后攻击方借此进行横向攻击，XXX单位应对本租户的防火墙进行检查和安全策略加固，除有必要数据交互外，禁止本单位所有服务器与其它单位服务器进行互访。安全自查及整改加固服务器安全基线自查针对XXX单位六个业务系统中的服务器进行安全基线设置检查，检查项如下：测试项基本要求测试子项测试内容测试方法要求结果身份鉴别应对登录操作系统的用户进行身份标识和鉴别检查系统登录是否需要密码登陆系统是否需要密码检查是否有无需输入密码就可访问的用户帐户不能存在空密码帐户操作系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换口令复杂度“密码必须符合复杂性要求”选择“已启动”进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：查看是否“密码必须符合复杂性要求”选择“已启动”最短密码长度8个字符，启用本机组策略中密码必须符合复杂性要求的策略。口令定期更换对于采用静态口令认证技术的设备，检查账户口令的生存期进入“控制面板->管理工具->本地安全策略”，在“帐户策略->密码策略”：查看“密码最长存留期”“密码最长存留期”设置不大于“90天”应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施登录失败措施检查对于采用静态口令认证技术的设备，检查当用户连续认证失败次数的限制进入“控制面板->管理工具->本地安全策略”，在“帐户策略->帐户锁定策略”：查看“账户锁定阀值”设置“账户锁定阀值”设置为小于或等于6次访问控制当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听远程管理服务数据传输安全禁用Telnet服务进入“控制面板->管理工具->服务”，查看“Telnet”的启动类型和服务状态Telnet启动类型为禁用，服务状态为已停止应为操作系统不同用户分配不同的用户名，确保用户名具有唯一性应用和操作系统用户权限检查系统账号数量，和管理员确认每个账号的使用人和用途进入“控制面板->管理工具->计算机管理”，查看存在多少启用账户，做好记录不同用户使用不同的用户名，不存在共用账户、无用账户现象应限制默认账户的访问权限，重命名系统默认账户，修改这些账户的默认口令默认账号检查对于管理员帐号，要求更改缺省帐户名称；禁用guest（来宾）帐号。进入“控制面板->管理工具->计算机管理”，在“系统工具->本地用户和组”：

缺省帐户Administrator－>属性

Guest帐号->属性缺省账户Administrator名称已更改。

Guest帐号已停用。应限制远程登录系统账户允许远程登录的账户检查检查允许远程登录的账户"进入“我的电脑->属性->系统属性”，在“远程->远程桌面->选择用户”：查看允许远程登录的账户记录可以远程登录的账户，以及使用人安全审计审计范围应覆盖到服务器和重要客户端上的每个操作系统用户审核登录设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。“控制面板->管理工具->本地安全策略->审核策略”审核登录事件。审核登录事件，设置为成功和失败都审核。审核账户管理启用组策略中对Windows系统的审核帐户管理，成功和失败都要审核进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：查看“审核账户管理”设置“审核账户管理”设置为“成功”和“失败”都要审核审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件审核对象访问启用组策略中对Windows系统的审核对象访问，成功和失败都要审核进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：查看“审核对象访问”设置“审核对象访问”设置为“成功”和“失败”都要审核审核事件目录服务器访问启用组策略中对Windows系统的审核目录服务访问，失败进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：查看“审核目录服务器访问”设置“审核目录服务器访问”设置为“成功”和“失败”都要审核审核特权使用启用组策略中对Windows系统的审核特权使用，成功和失败都要审核进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：查看“审核特权使用”设置“审核特权使用”设置为“成功”和“失败”都要审核审核过程追踪启用组策略中对Windows系统的审核过程追踪失败进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：查看“审核过程追踪”设置“审核过程追踪”设置为“失败”需要审核审核系统事件启用组策略中对Windows系统的审核系统事件，成功和失败都要审核进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中：查看“审核系统事件”设置“审核系统事件”设置为“成功”和“失败”都要审核日志文件大小设置应用日志文件大小至少为8192KB，设置当达到最大的日志尺寸时，按需要改写事件进入“控制面板->管理工具->事件查看器”，在“事件查看器（本地）”中：查看“应用日志”“系统日志”“安全日志”属性中的日志大小,以及设置当达到最大的日志尺寸时的相应策略“应用日志”“系统日志”“安全日志”属性中的日志大小设置不小于“8192KB”,设置当达到最大的日志尺寸时，“按需要改写事件”应保护审计记录，避免受到未预期的删除、修改或覆盖等审核策略更改启用组策略中对Windows系统的审核策略更改，成功和失败都要审核进入“控制面板->管理工具->本地安全策略”，在“本地策略->审核策略”中查看“审核策略更改”设置“审核策略更改”设置为“成功”和“失败”都要审核入侵防范操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新系统补丁更新检查查看系统内核版本号以及系统补丁更新情况进入“开始->运行”，输入“winmsd.exe”,记录OS名称、版本；

进入“控制面板->添加或删除程序”，查看Windows最近安装补丁的时间；安装最新的补丁，建议配置wsus自动更新应用程序安装情况检查查看系统安装程序情况进入“控制面板->添加或删除程序”，查看除了系统补丁之外的安装程序删除已应用无关的程序安装专门的杀毒软件检查杀毒软件情况查看杀毒软件版本以及病毒库更新情况记录杀毒软件的版本号，病毒库更新时间，更新频率，以及杀毒策略安装统一的杀毒软件开启防火墙检查防火墙开启情况查看系统自带或第三方防火墙开启情况如是第三方防火墙，记录相关信息Windows防火墙开启，并阻断以业务无关的端口检查系统是否有恶意文件、病毒恶意文件、病毒检查检查系统是否存在恶意文件、病毒使用系统安装的杀毒软件进行杀毒操作，记录结果；并查看历时杀毒结果上线之前进行一次病毒查杀安全配置系统服务检查系统服务检查Alerter–禁用Clipbook–禁用ComputerBrowser–禁用Messenger–禁用RemoteRegistry–禁用RoutingandRemoteAccess–禁用Telnet–禁用AutomaticUpdates–手动BackgroundIntelligentTransferService–手动检查系统是否启用SYN攻击保护在“开始->运行->键入regedit”查看注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect;HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxPortsExhausted;HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpen;HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpenRetried。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SynAttackProtect;推荐值：2。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxPortsExhausted;推荐值：5。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpen;推荐值数据：500。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TcpMaxHalfOpenRetried。推荐值数据：400。注册表检查项防止icmp重定向报文的攻击防止icmp重定向报文的攻击查看：

hkey_local_machine\system\currentcontrolset\services\tcpip\parameters建议将enableicmpredirects值设为0禁止ipc空连接禁止ipc空连接查看：local_machine\system\currentcontrolset\control\lsa\建议将restrictanonymous值设为1资源控制应通过设定终端接入方式、网络地址范围等条件限制终端登录远程管理IP限制检查防火墙配置进行限制进入“控制面板-Windows防火墙”，在“Windows防火墙->例外”:查看“远程桌面->编辑->更改范围”的设置在主机防火墙上做访问控制，指定的IP地址对服务器进行远程管理应根据安全策略设置登录终端操作超时锁定屏幕保护设置启用屏幕保护程序，防止管理员忘记锁定机器被非法攻击进入“控制面板－>显示－>屏幕保护程序”：查看是否启用屏幕保护程序并记录当前的设置查看是否启用屏幕保护程序，设置等待时间为“5分钟”，启用“在恢复时使用密码保护”。超时检查启用远程回话挂起时间限制进入“控制面板->管理工具->本地安全策略”，在“本地策略->安全选项”:查看“Microsoft网络服务器：在挂起会话之前所需的空闲时间”设置设置值不大于15分钟操作系统远程关机策略安全远程关机在本地安全设置中从远端系统强制关机只指派给Administrators组进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”:查看“从远端系统强制关机”设置“从远端系统强制关机”设置为“只指派给Administrtors组”操作系统本地关机策略安全本地关机在本地安全设置中关闭系统仅指派给Administrators组进入“控制面板->管理工具->本地安全策略”，在“本地策略->用户权利指派”:查看“关闭系统”设置“关闭系统”设置为“只指派给Administrators组”操作系统数据执行保护安全数据执行保护对Windows操作系统程序和服务启用系统自带DEP功能(数据执行保护)，防止在受保护内存位置运行有害代码进入“控制面板－>系统”，在“高级”选项卡的“性能”下的“设置”。进入“数据执行保护”选项卡。查看“仅为基本Windows操作系统程序和服务启用DEP”“数据执行保护”选项卡已设置为“仅为基本Windows操作系统程序和服务启用DEP”共享文件夹及访问权限关闭默认共享非域环境中，关闭Windows硬盘默认共享，例如C$，D$进入“开始->运行”，输入“cmd”，在cmd.exe窗口中输入“netshare”，记录结果默认共享关闭根据需求对SNMP进行设定关闭SNMP服务管理或修改默认团体字关闭SNMP服务管理或修改默认团体字打开“控制面板”，打开“管理工具”中的“服务”，找到“SNMPService”，单击右键打开“属性”面