文範網網絡安全攻防演練防守方案
- 實用文精選
- 關注:3.15W次
一、演練背景
(一)基本情況
為迎接最高法院組織開展的XXX年度XXXXXX網絡安全攻防演練,紮實做好防守保障工作,特制定本方案。
(二)演練安排
準備階段:XXXXX時間之前,XXXX運維服務中心成立攻防演練分指揮部、工作組、保障組,上報參演人員信息,組織轄區法院開展演習準備工作,包括服務器安全軟件安裝情況檢查關閉匿名訪客權限,已知高危漏洞補丁安裝,業務系統數據庫弱密碼問題及默認鏈接端口未設限問題檢查,辦公終端關閉高危共享端口,安全監控軟件、安全防護軟件安裝情況檢查,遠程提審設備弱密碼及匿名登錄檢查,監控平台及監控終端弱密碼問題檢查等安全防禦工作。
實戰階段:XXXXX(含週六、週日),每日9時-21時。進入防守狀態,嚴密監測安全狀況,應急預案處置方案,記錄準備各類動態等。
整改階段:2023年2月25日至3月31日,針對攻防演練發現的問題,進行整改修復,並對攻防演練活動進行總結。
二、演練保障組織
根據攻防演練相關要求,建立防守保障團隊,包括攻防演練分指揮部、工作組、保障組。
(一)分指揮部
成員:XXXXX
負責本次攻防演練浙江省法院防守方的統籌管理工作,包括人員安排,指揮調度,物資管理等。
(一)工作組
成員:XXXXXX。
XXXX負責攻防演練期間技術類事項,安全設備監測、預警告警處置、安全網關IP封堵、漏洞通報,惡意IP封堵,安全事件應急響應及相關材料收集。
XXX管理人員負責安全事件應急響應及相關材料收集。
(二)保障組
成員:各安全合作廠商安全聯絡員(XXXXXX)
負責攻防演練期間業務系統保障、協助安全事件應急響應、漏洞整改,防護加固、協助惡意IP封堵等。
具體工作分配如下表:
工作組 | 人員 | 工作細分 | 頻率 | 工作描述 |
分中心指揮部 | XX | 統籌管理,整體指揮調度 | 每日 | 法院攻防演練整體工作指揮工作 |
XXX | 人員安排,具體事項管理 | 每日 | 整體人員安排,具體事項的安排等 | |
工作組 | XXXX | 工作組管理,安全問題定級,研判,整體協調,安全設備告警監控與預警、邊界安全網關IP封堵,威脅情報收集,安全事件應急響應。 | 每日 | 安全運維工作協調,統籌監管,對互聯網側安全監測,封堵惡意IP等,法院專網側安全監測,封堵惡意IP等,監測日誌審計設備等,針對已經發生的安全事件開展分析處置,收集護網威脅情報,包括威脅IP和0day與nday漏洞等安全情報,進行信息收集整理等,包括防守方案,攻防演練報告等材料。 |
基層網絡管理員 | 威脅情報收集、終端安全,攻防各類信息收集 | 實時 | 終端安全監測防護,終端外聯風險監測,強化終端應急響應,進行信息收集整理等,包括防守方案,攻防演練報告等材料。 | |
保障組 | 各廠商安全聯絡員 | 應用系統(外網網站、司法公證碼)安全保障 | 每天進行1次保障分析 | 對自身應用系統開展監控保障自查 |
協助應急響應 | 按需 | 協助安全組對安全事件應急響應 | ||
漏洞整改與加固 | 按需 | 保障期間漏洞整改及加固 | ||
安全監控、協助惡意IP封堵 | 15分鐘監控分析1次 | 對自身資產進行監控,風險預警通知安全組進一步排查分析 | ||
協助應急響應、協助惡意IP封堵 | 按需 | 協助安全組對安全事件應急響應 |
三、準備工作要求
(一)組織建設要求:二級運維分中心組建分指揮部,組織內外部資源開展防守工作。
(二)方案要求:編制本次攻防演練防守方案,應急預案,並組織人員開展方案學習工作。
(三)材料上報要求:XXXXX前,完成參演人員名單,安全資產、業務資產等材料的上報。
(四)攻防演練前期防禦技術實施:
防火牆方面:
1、業務網專線主備側各法院均設置了深信服專業防火牆,完成本地區域外IP訪問內部業務服務器的精細化配置,實現源IP到源目的IP及端口訪問的精細配置,過濾多數不不要的訪問,可大幅減少攻擊地址池存量,降低被攻擊風險。
2、防火牆設置強化滲透掃描和攻擊檢查的業務安全防護策略,並開啟詳細日誌記錄,以便做攻擊溯源處理。
3、防火牆設置禁止高危端口(201-23 135-139,445,3389,監控漏洞端口8443)的訪問。
服務器方面:
1、安裝360殺毒軟件及安全防護軟件。
2、關閉135-139,445,3389端口。
3、清理匿名登陸賬號,聯繫業務系統運維人員檢查相應數據庫是否存在弱密碼並進行整改。
4、網站服務器安裝D盾軟件,做到實時監測數據修改情況,可以更快速點位攻擊源並進行封禁處理。
終端方面:
1、非國產電腦安裝360殺毒及應用防護軟件、安管平台,國產電腦覆蓋安裝奇安信網神殺毒防護軟件,安管平台。
2、覆蓋安裝全國法院違規外聯客户端,實時監控內外網互聯問題。
視頻會議終端:
設置登錄複雜密碼,關閉匿名FTP登錄權限
監控終端:
已對cve-2021-36260安全漏洞進行補丁升級,無法完成升級的僅對可視化平台服務器地址開放,關閉其他訪問鏈接。
雲服務器方面:
1、由雲waf側設置服務器地址訪問安全策略,進行雙因子認證。
2、由安恆-玄武盾防護公司進行域名訪問安全防護。
3、服務器安裝D盾網站防火牆進行防護監測。
四、保障工作要求
1.人員就位要求。所有參與本次演練的人員,需保證每天8:25前在各自辦公場地就位,做好使用電腦巡查系統及處置突發情況的準備。
2.工作時間要求。XXXXX日,8:25-21:30。
3.信息彙報要求。護網演練期間,如發現安全預警事件或安全應急事件,安全運營團隊人員與對應廠商聯絡員做好相應處置工作,需第一時間彙報事件信息至XXX處。。
四、保障工作內容
(一)指揮組
1.統籌管理,整體指揮調度。轄區內攻防演練整體工作指揮工作,包括整體人員安排,具體事項的協助調度管理。
2.任務傳達,信息收集。轄區內法院聯絡工作,法院內部各組間命令傳遞。
(二)工作組
1.告警監控與預警。監控各類安全設備告警,並對各類告警進行研判分析,提供風險預警。針對可能會出現的0day漏洞,加強監測,積極收集其他防守方共享的威脅IP,強化應急響應。
2.安全事件應急響應。針對已經發生的安全事件開展分析處置,並及時溯源。
3.政務雲安全監控。開展雲上安全中心監測,包括玄武盾態勢告警、Skyeye漏洞隱患告警、玄武盾攻擊分析、玄武盾漏洞監控等。
(三)保障組
1.業務系統自檢保障。針對業務系統從以下幾個方面開展巡檢排查,有問題及時上報。巡檢內容包括但不限於服務器操作系統、數據庫、網絡、WEB站點。
服務器操作系統:巡檢系統CPU、內存、進程等安全可用狀態。
數據庫:巡檢數據庫讀取、性能等安全可用狀態。
網絡:巡檢網絡安全可用狀態。
WEB站點:巡檢站點頁面、站點訪問情況等安全可用狀態。
2.協助應急響應。協助安全運營團隊針對已經發生的安全事件開展處置分析。
3.漏洞整改與加固。針對保障期間發現的安全漏洞以及威脅情報提供的新漏洞開展整改和加固。
4.協助IP封堵。協助封堵發現的惡意IP。
附件1:安全防護聯繫人表
工作組 | 法院 | 人員 | 聯繫方式 |
安全防護組 | |||
- 文章版權屬於文章作者所有,轉載請註明 https://wenfanwang.com/shiyongwen/shiyongjingxuan/mjdvn1.html