網(wǎng)絡(luò)安全攻防演練防守方案

一、演練背景

（一）基本情況

為迎接最高法院組織開展的XXX年度XXXXXX網(wǎng)絡(luò)安全攻防演練，扎實做好防守保障工作，特制定本方案。

（二）演練安排

準備階段：XXXXX時間之前，XXXX運維服務(wù)中心成立攻防演練分指揮部、工作組、保障組，上報參演人員信息，組織轄區(qū)法院開展演習準備工作，包括服務(wù)器安全軟件安裝情況檢查關(guān)閉匿名訪客權(quán)限，已知高危漏洞補丁安裝，業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫弱密碼問題及默認鏈接端口未設(shè)限問題檢查，辦公終端關(guān)閉高危共享端口，安全監(jiān)控軟件、安全防護軟件安裝情況檢查，遠程提審設(shè)備弱密碼及匿名登錄檢查，監(jiān)控平臺及監(jiān)控終端弱密碼問題檢查等安全防御工作。

實戰(zhàn)階段：XXXXX（含周六、周日），每日9時-21時。進入防守狀態(tài)，嚴密監(jiān)測安全狀況，應(yīng)急預案處置方案，記錄準備各類動態(tài)等。

整改階段：2023年2月25日至3月31日，針對攻防演練發(fā)現(xiàn)的問題，進行整改修復，并對攻防演練活動進行總結(jié)。

二、演練保障組織

根據(jù)攻防演練相關(guān)要求，建立防守保障團隊，包括攻防演練分指揮部、工作組、保障組。

（一）分指揮部

成員：XXXXX

負責本次攻防演練浙江省法院防守方的統(tǒng)籌管理工作，包括人員安排，指揮調(diào)度，物資管理等。

（一）工作組

成員：XXXXXX。

XXXX負責攻防演練期間技術(shù)類事項，安全設(shè)備監(jiān)測、預警告警處置、安全網(wǎng)關(guān)IP封堵、漏洞通報，惡意IP封堵，安全事件應(yīng)急響應(yīng)及相關(guān)材料收集。

XXX管理人員負責安全事件應(yīng)急響應(yīng)及相關(guān)材料收集。

（二）保障組

成員：各安全合作廠商安全聯(lián)絡(luò)員（XXXXXX）

負責攻防演練期間業(yè)務(wù)系統(tǒng)保障、協(xié)助安全事件應(yīng)急響應(yīng)、漏洞整改，防護加固、協(xié)助惡意IP封堵等。

具體工作分配如下表：

三、準備工作要求

（一）組織建設(shè)要求：二級運維分中心組建分指揮部，組織內(nèi)外部資源開展防守工作。

（二）方案要求：編制本次攻防演練防守方案，應(yīng)急預案，并組織人員開展方案學習工作。

（三）材料上報要求：XXXXX前，完成參演人員名單，安全資產(chǎn)、業(yè)務(wù)資產(chǎn)等材料的上報。

（四）攻防演練前期防御技術(shù)實施：

防火墻方面：

1、業(yè)務(wù)網(wǎng)專線主備側(cè)各法院均設(shè)置了深信服專業(yè)防火墻，完成本地區(qū)域外IP訪問內(nèi)部業(yè)務(wù)服務(wù)器的精細化配置，實現(xiàn)源IP到源目的IP及端口訪問的精細配置，過濾多數(shù)不不要的訪問，可大幅減少攻擊地址池存量，降低被攻擊風險。

2、防火墻設(shè)置強化滲透掃描和攻擊檢查的業(yè)務(wù)安全防護策略，并開啟詳細日志記錄，以便做攻擊溯源處理。

3、防火墻設(shè)置禁止高危端口（201-23 135-139,445,3389，監(jiān)控漏洞端口8443）的訪問。

服務(wù)器方面：

1、安裝360殺毒軟件及安全防護軟件。

2、關(guān)閉135-139,445,3389端口。

3、清理匿名登陸賬號，聯(lián)系業(yè)務(wù)系統(tǒng)運維人員檢查相應(yīng)數(shù)據(jù)庫是否存在弱密碼并進行整改。

4、網(wǎng)站服務(wù)器安裝D盾軟件，做到實時監(jiān)測數(shù)據(jù)修改情況，可以更快速點位攻擊源并進行封禁處理。

終端方面：

1、非國產(chǎn)電腦安裝360殺毒及應(yīng)用防護軟件、安管平臺，國產(chǎn)電腦覆蓋安裝奇安信網(wǎng)神殺毒防護軟件，安管平臺。

2、覆蓋安裝全國法院違規(guī)外聯(lián)客戶端，實時監(jiān)控內(nèi)外網(wǎng)互聯(lián)問題。

視頻會議終端：

設(shè)置登錄復雜密碼，關(guān)閉匿名FTP登錄權(quán)限

監(jiān)控終端：

已對cve-2023-36260安全漏洞進行補丁升級，無法完成升級的僅對可視化平臺服務(wù)器地址開放，關(guān)閉其他訪問鏈接。

云服務(wù)器方面：

1、由云waf側(cè)設(shè)置服務(wù)器地址訪問安全策略，進行雙因子認證。

2、由安恒-玄武盾防護公司進行域名訪問安全防護。

3、服務(wù)器安裝D盾網(wǎng)站防火墻進行防護監(jiān)測。

四、保障工作要求

1.人員就位要求。所有參與本次演練的人員，需保證每天8:25前在各自辦公場地就位，做好使用電腦巡查系統(tǒng)及處置突發(fā)情況的準備。

2.工作時間要求。XXXXX日，8:25-21:30。

3.信息匯報要求。護網(wǎng)演練期間，如發(fā)現(xiàn)安全預警事件或安全應(yīng)急事件，安全運營團隊人員與對應(yīng)廠商聯(lián)絡(luò)員做好相應(yīng)處置工作，需第一時間匯報事件信息至XXX處。。

四、保障工作內(nèi)容

（一）指揮組

1.統(tǒng)籌管理，整體指揮調(diào)度。轄區(qū)內(nèi)攻防演練整體工作指揮工作，包括整體人員安排，具體事項的協(xié)助調(diào)度管理。

2.任務(wù)傳達，信息收集。轄區(qū)內(nèi)法院聯(lián)絡(luò)工作，法院內(nèi)部各組間命令傳遞。

（二）工作組

1.告警監(jiān)控與預警。監(jiān)控各類安全設(shè)備告警，并對各類告警進行研判分析，提供風險預警。針對可能會出現(xiàn)的0day漏洞，加強監(jiān)測，積極收集其他防守方共享的威脅IP，強化應(yīng)急響應(yīng)。

2.安全事件應(yīng)急響應(yīng)。針對已經(jīng)發(fā)生的安全事件開展分析處置，并及時溯源。

3.政務(wù)云安全監(jiān)控。開展云上安全中心監(jiān)測，包括玄武盾態(tài)勢告警、Skyeye漏洞隱患告警、玄武盾攻擊分析、玄武盾漏洞監(jiān)控等。

（三）保障組

1.業(yè)務(wù)系統(tǒng)自檢保障。針對業(yè)務(wù)系統(tǒng)從以下幾個方面開展巡檢排查，有問題及時上報。巡檢內(nèi)容包括但不限于服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)、WEB站點。

服務(wù)器操作系統(tǒng)：巡檢系統(tǒng)CPU、內(nèi)存、進程等安全可用狀態(tài)。

數(shù)據(jù)庫：巡檢數(shù)據(jù)庫讀取、性能等安全可用狀態(tài)。

網(wǎng)絡(luò)：巡檢網(wǎng)絡(luò)安全可用狀態(tài)。

WEB站點：巡檢站點頁面、站點訪問情況等安全可用狀態(tài)。

2.協(xié)助應(yīng)急響應(yīng)。協(xié)助安全運營團隊針對已經(jīng)發(fā)生的安全事件開展處置分析。

3.漏洞整改與加固。針對保障期間發(fā)現(xiàn)的安全漏洞以及威脅情報提供的新漏洞開展整改和加固。

4.協(xié)助IP封堵。協(xié)助封堵發(fā)現(xiàn)的惡意IP。

附件1：安全防護聯(lián)系人表