网络安全攻防演练：提升应急响应能力的关键步骤

01、全力以赴，一切为了客户更好的安全

（1）满足合规要求

网络安全法、地方性法规、等保2.0相关标准等均对此有明确的要求。

（2）了解安全“真实”现状

“真实”是我们认识事务的终极目标，如果我们能更真实地了解当前暴露在黑客面前真实的“自己”，我们就能更好地为此有所准备，更有目标地去完善自己，装备自己，改善我们的安全现状。

（3）验证真实防护水平

等保2.0相关标准对各级别等级保护对象的安全防护能力有具体的描述。

参照《信息安全技术 网络安全等级保护基本要求》（GB∕T 22239-2019）——“5.2 不同级别的安全保护能力”，我们以列表形式展示各级别等级保护对象安全防护能力要求（如下表所示）。

参照此表，在开展攻防型应急演练时，我们将配置相应资源实施授权“攻击”，以此检验相关系统及单位整体安全防护水平和应急处置能力。

表1 各级别等级保护对象安全防护能力要求一览表

等级保护对象级别	威胁源	安全防护能力
第一级	来自个人的、拥有很少资源的威胁源	（1）能够防护免受来自个人的、拥有很少资源的威胁源发起的恶意攻击； （2）能够防护其他相当危害程度的威胁所造成的关键资源损害； （3）在自身遭到损害后，能够恢复部分功能。
第二级	来自外部小型组织的、拥有少量资源的威胁源	（1）能够防护免受自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击； （2）能够防护其他相当危害程度的威胁所造成的重要资源损害； （3）能够发现重要的安全漏洞和处置安全事件； （4）在自身遭到损害后，能够一段时间内恢复部分功能。
第三级	来自外部有组织的团体、拥有较为丰富资源的威胁源	（1）能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击； （2）能够防护其他相当危害程度的威胁所造成的主要资源损害； （3）能够及时发现、监测攻击行为和处置安全事件； （4）在自身遭到损害后，能够较快恢复绝大部分功能。
第四级	来自国家级别的、敌对组织的、拥有丰富资源的威胁源	（1）能够在统一安全策略下防护免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击； （2）能够防护其他相当危害程度的威胁所造成的资源损害； （3）能够及时发现、监测发现攻击行为和安全事件； （4）在自身遭到损害后，能够迅速恢复所有功能。
第五级	略	略

注：如果一个三级系统，我们以“外部小型组织的、拥有少量资源的威胁源”形式实施授权“攻击”，系统重要权限或资源被突破，暴露较多安全问题，则证明该系统在现实环境下尚未达到第二级的“实际的（或实战的）”安全防护能力，更达不到第三级的实战要求。如果在授权“攻击”时，单位监测预警及应急处置过程暴露较多问题，则说明单位应急处置工作有待进一步加强。

（4）提出安全建议，为进一步整改完善提供指南

在完成攻防型应急演练后，我们将结合“攻击”和“演练”过程中发现的各类问题及风险，参照相应安全等级应具备的安全能力汇总输出具体安全建议，为进一步整改完善提供具体指南。

02、开展攻防型应急演练，有哪些要点，实施流程如何？

（1）要点一：明确服务对象

只有明确了具体的服务对象，才能更明确地有序实施。

通常，我们以相关信息系统为核心资产，针对单位整体实施授权“攻击”。

（2）要点二：提供完善的资源配置

只有配备了相应的资源作为授权的“威胁源”，才能更好地验证用户是否具备相应等级的安全防护能力。

我们将从以下几个方面确保资源配备满足具体服务需求，相关资产/能力得到充分测试：

●人员配备方面

为保证实施效果，我们将以冠军队成员为核心成员组成高水平实施队伍，实施全程“攻击”，成员来自省级或地市级攻防演练活动的冠军队，必要时可提供100%冠军成员全程参与。

●演练时间方面

为确保演练时间充分，除去前期及后期工作时间，我们通常申请5个授权日用于授权“攻击”。

注：具体服务时间及侧重点以双方沟通确认为准。

（3）要点三：实施全过程安全保障

合法合规、安全可控，是攻防型应急演练的基本要求。我们将从以下几方面确保服务过程合规、可控：

●活动报备

向上级主管单位及相关监管单位报备。

●签署保密协议

参演人员签署保密协议，知悉当尽的责任和义务，并严格执行。

●明确限定技术手段及约束措施

双方约定限定的技术手段及约束措施，并严格执行。

●正式授权

签署授权文件，确保活动得到正式授权并在约定的授权范围内开展。

●视频录制

对部分关键“攻击”过程进行视频录制，留存重要实施过程记录，同时作为演练汇报材料以及网络安全教育素材。

●可供审计的演练平台

按需部署专业的演练平台，实时采集流量数据，为攻防型应急演练活动审计和溯源提供支撑，确保演练活动可管控、可审计，同时，可动态展示攻击流量。

●团队服务支撑

设计团队、研发团队、质量保障团队、安全专家将各司其职为实施团队提供服务，确保演练活动围绕单位需求，合法合规，安全可控，合理有效开展。

（4）攻防型应急演练主要实施流程

●项目准备阶段

召开项目启动会，明确服务需求，按需求配置服务团队，同步开展信息调研、授权报备等前期工作。

●方案编制阶段

结合前期沟通情况编制服务方案，明确服务范围、内容、流程、成果等各方面服务细节，并经确认、批准。

按需协助完善应急预案，为应急处置提供可靠依据。

●项目实施阶段

在完成报备及正式授权情况下，参照服务方案，按照服务计划实施授权“攻击”和“演练”，检验真实防护水平和应急处置水平。

●报告总结阶段

汇总安全问题，提出安全建议。

按需提供安全培训、服务复盘。

注：项目准备阶段也可开展安全培训，具体服务事项及侧重点以双方沟通确认为准。

●项目验收阶段

依据合同约定，编制项目验收材料，申请项目验收。