防御体系构建落地实施执行过程

在实战环境中的防护工作，无论是面对常态化的一般网络攻击， 还是面对有组织、有规模的高级攻击，对于防护单位而言，都是对其 网络安全防御体系的直接挑战。在实战环境中，红队防守需要按照备 战、临战、实战和总结四个阶段来开展安全防护工作，采取信息清 理、纵深防御、协同作战、溯源反制等防守策略以及防钓鱼、防信息 泄露等防护手段，全面确保有效构建红队防御体系。

红队防守的实施阶段

在实战环境下，无论是常态化的一般网络攻击，还是有组织、有 规模的高级攻击，对于防护单位而言，都是对其网络安全防御体系的 直接挑战。红队需要按照备战、临战、实战和总结4个阶段来开展安全 防护工作。

1. 备战阶段：兵马未动，粮草先行
2. 管理方面

在管理方面，要建立合理的安全组织架构，明确工作职责，建立 具体的工作小组，同时结合工作小组的责任和内容，有针对性地制定 工作计划、技术方案、相关方协同机制及工作内容，责任到人、明确 到位，按照工作计划进行进度和质量把控，确保管理工作落实到位， 技术工作有效执行。

（1）备战阶段组织架构及职责分工 备战阶段组织架构如图6-1所示。

图6-1　备战阶段组织架构图

1）领导小组。为确保备战阶段的工作能顺利开展，应由最高级别 领导担任组长（局长、主任或集团副总以上级别），由高层领导组成 领导小组，统一领导、指挥和协调备战阶段的准备工作，定期听取备 战指挥组的工作汇报。领导小组的主要职责如下。

• 确认各工作组职责并将执行权力赋予备战指挥组。 - 确定战时目标（战略目标：零失分、保障排名等）。 - 审核并确定防护范围（是否包含下辖单位及子公司等）。 - 参与项目启动会。

• 提供经费及人员保障。

• 做出重大事件决策。

• 确定考核机制。

• 定期听取备战指挥组的工作汇报并做出批示（红线）。

2）备战指挥组。建议由负责演练防守的主责部门及其他协同部门 领导组成备战指挥组，具体组织安全自查与整改、防护与监测设备部 署、人员能力与意识提升、应急预案制定以及外协单位联络等战前准 备工作，与监管单位建立长效沟通机制，保持随时联络。备战指挥组 的主要职责如下。

• 向领导小组说明战时工作的背景、重要性及影响，引起领导重 视。

• 建立战时组织架构，明确各组工作职责。

• 结合现状评估和攻防演练评估得出防护风险后，提出战时目标 及防护范围建议，并提交领导小组审核。

• 建立工作机制，协调各工作组开展相关工作，并明确考核标

准。

• 编写工作方案及计划。

• 根据战时战略目标、工作方案核算资源投入（人员需求、设备 需求、场地需求等）情况。

• 组织战时工作的宣贯和培训。 - 监督、推动各工作组按计划落实工作。 - 总结问题并协调解决。 - 定期向领导小组汇报工作进展。

• 与战时组织机构保持良好沟通，及时获取相关信息。

3）网络工作组。一般由网络主管部门及其运维管理人员组成，负 责网络架构及网络设备（路由、交换、负载均衡、防火墙等）的梳 理、加固，协助安全工作组部署新增设备等网络相关工作。

• 资产梳理：

• 网络架构、出口IP、域名梳理； - 网络设备资产及对应供应商梳理； - 集权系统（如网管系统）梳理。 - 网络架构梳理和优化： - 互联网区域和内网重要业务区域的业务路径排查与梳理； - 外连单位接入路径排查与梳理； - 网络设备运维访问路径梳理。

• 整改加固：

• 网络设备互联网暴露整改； - 内网中无用网络资产清理；

• 加密流量的调整； - 协助安全防护、监控设备部署； - 网络设备特权账号及基线检查（弱口令）排查整改； - 运维终端、跳板机自身风险检查与加固； - 演练作战室专用网络搭建； - 其他网络相关问题整改与加固。

4）安全工作组。一般由参演单位的安全运维团队和安全公司项目 组的部分成员组成，负责安全设备风险整改、新增安全设备部署等安 全防护相关工作。

• 资产梳理： - 安全设备资产及对应供应商梳理； - 集权系统梳理（如堡垒机、安全监控系统）； - 口令安全专项梳理。

• 网络架构梳理优化： - 安全设备运维访问路径梳理； - 重要系统访问路径梳理。

• 整改加固： - 安全监控、防护、诱捕类设备部署与加固； - 运维终端、跳板机自身风险检查与加固； - 安全防护类设备可用性检查； - 安全设备基线检查与加固； - 安全设备安全加固；

• 安全策略调优； - 账号和口令安全检查； - VPN加固或下线； - 集权系统管控加固、策略优化； - 协助各工作组开展安全检查与加固。

5）基础环境工作组。一般由基础环境组、云服务商组成，负责应 用的基础环境（操作系统、中间件、云、容器）的资产梳理、风险识 别及整改等相关工作。

• 资产梳理：

• 配合应用系统进行资产梳理； - 集权系统（如域控、云管平台、集群管理系统）梳理； - 云资产梳理。

• 整改加固：

• 操作系统加固；

• 特权账号梳理整改； - 操作系统检查、整改、加固，非必要服务及服务器关停下线；

• 集权系统安全检查与加固； - 运维终端、跳板机自身风险检查与加固。

6）应用系统工作组。一般由应用系统开发商、运维商组成，负责 应用系统资产梳理、风险识别及整改等相关工作。

• 资产梳理：

• 应用系统资产梳理，包括但不限于开发框架、组件、责任人、 系统重要性梳理；

• 集权系统（如SSO、认证系统、4A - 供应商梳理； - 非重要系统关停下线梳理； - 管理后台互联网开放情况梳理； - 重要系统（含靶标系统）关联应用梳理。 - 网络架构梳理和优化： - 网络访问路径梳理； - 运维访问路径梳理。

• 整改加固： - 弱口令、通用口令、默认口令整改； - 重要系统、集权系统基线检查； - 安全自查和整改； - 配合安装主机防护软件；
  系统）梳理；

• 删除安全工作组发现的泄露的敏感信息。

7）协调联络工作组。一般由参演单位及其集成商人员组成，负责 下级单位、供应商等的协调联络工作。

• 协助演练指挥组建立与下级单位相关的工作机制，向下级单位 下达相关工作指令，向备战指挥组反馈执行情况。

• 协助演练指挥组建立与供应商相关的工作机制，向供应商下达 安全管理和技术防护的相关工作要求，协调供应商提供人员、设备等 方面的支持。

• 与业务连接单位建立协同机制，情报共享，进行联防联控。 - 进行技术培训，包括战时防守的工作重点、具体工作内容、防

守流程等。

（2）实战阶段组织架构及职责分工 实战阶段组织架构如图6-2所示。

图6-2　实战阶段组织架构图

1）领导小组。为加强攻防演练的组织领导，确保攻防演练效果， 应成立演练领导小组，统一领导和指挥攻防演练工作。领导小组的主 要职责如下。

• 确认演练工作组职责并赋予指挥组执行权力。 - 参加战时实战阶段启动会，鼓舞士气。 - 做出重大安全事件决策。

• 进行危机公关。

2）演练指挥组。领导小组下设演练指挥组，组织和部署攻防演练 的工作任务，具体管理和协调攻防演练工作，向上级单位、战时指挥 部汇报工作。演练指挥组的主要职责如下。

• 防守策略的侧重点决策。 - 推动落实各小组的工作机制、流程、人员值班安排。 - 组织防守日例会，统计和分析当天防守成果并向领导小组输出

工作日报。

• 协调和解决防守工作中的其他问题。

3）监测组。由网络、安全、系统、应用等多个监控点的人员组 成，实时监控可疑的攻击行为，并进行初步分析；监测组人员应具备 初步渗透的能力。

4）研判分析组。对疑似入侵行为进行研判分析。

5）应急处置组。对攻击行为及时封堵、处置，对被攻击资产进行 下线、加固。

6）溯源反制组。进行攻击对象溯源，对攻击者进行反制，协助编 制防守报告。

7）情报组。与情报协同单位、各供应商（设备、应用、服务）搜 集攻击线索、漏洞情报，及时上报，做到情报共享。

8）保障组。为基础环境和设施可用性提供技术保障，为作战现场 所需生活物资提供后勤保障。

9）协调联络组。负责下级单位、外连单位、兄弟及友邻单位的协 调联络工作。

（3）建立工作沟通机制与考核机制

此外，还要建立有效的工作沟通机制，通过安全可信的即时通信 工具建立实战工作指挥群，及时发布工作通知，共享信息数据，了解 工作情况，实现快速、有效的工作沟通和信息传递。

建立考核机制的要求如下。

1）与参演单位原有考核机制相关联，如要求参演单位在绩效考核 上给予一定的权限，对准备工作执行不力的单位进行敲打。

2）制定考核红线，如被通过弱口令、钓鱼等方式打穿，则KPI考 核为0，并通报批评。

（4）对下级单位的工作要求 1）提出防守要求（必须）。

• 开展资产梳理，形成《互联网资产调研表》；整理可在实战阶 段下线的资产，在实战演练前进行下线处理，并将未下线资产向防守 主单位报备。

• 开展安全检查与加固。 - 提供《检查与加固手册》，对重要系统逐项开展检查与加固工

作。

• 对非重要系统进行实战阶段的临时下线处理。 - 定期汇报工作成果。 - 每周定期开例会汇报工作进展。 - 自我组织防守。

• 依据实战开展时间自我组织战时防守工作。 - 实战阶段联防要求。 - 防守情况：每日开例会汇报攻击和防守情况，有紧急情况随时

汇报。

• 情报共享：通过联络员随时共享情报内容（包括但不限于漏洞 情报、得失分情报、攻击者情报）。

2）要求下级单位组建防守队伍，通过周例会的形式监督防守准备 工作完成情况。

3）进行技术检查：针对重点业务以全面检查的形式进行风险识 别，提出加固建议。

4）进行技术培训：内容包括战时防守的工作重点、具体工作内 容、防守流程等。

（5）对供应商的工作要求 1）人员支持：为现场支持、远程保障提供技术人员。 2）安全加固：做好自身设备漏洞收集及安全加固工作。

3）安全管理：做好本单位安全管理工作，禁止未经授权部署与客 户侧应用系统相似的测试系统，禁止留存客户侧相关的敏感信息（包 括但不限于账号和密码信息、配置信息、人员信息）。

（6）业务连接单位工作机制 1）防护准备工作联动。

2）情报共享：通过联络员随时共享情报内容（包括但不限于漏洞 情报、得失分情报、攻击者情报）。

（7）对公有云单位的工作要求

1）时刻对参演单位托管的业务系统进行监测，防范外部机构或人 员对业务系统的攻击行为。

2）对来自同一公有云内部其他云租户的异常流量进行阻断。

参考资料

红蓝攻防构建实战化网络安全防御体系
青藤云安全 2022攻防演练蓝队防守指南