护网

概要

护网是以国家组织组织事业单位、国企单位、名企单位等开展攻防两方的网络安全演习。

进攻方一个月内采取不限方式对防守方展开进攻，不管任何手段只要攻破防守方的网络并且留下标记即成功，直接冲到防守方的办公大楼，然后物理攻破也算成功。

护网是国家应对网络安全问题所做的重要布局之一。

护网随着中国对网络安全的重视，涉及单位不断扩大，越来越多都加入到“护网”中，网络安全对抗演练越来越贴近实际情况，各机构对待网络安全需求也从被动构建，升级为业务保障刚需。

随着大数据、物联网、云计算的快速发展，愈演愈烈的网络攻击已经成为国家安全的新挑战。

护网行动是由公安机关组织的“网络安全攻防演习”，每支队伍3-5人组成，明确目标系统，不限攻击路径，获取到目标系统的权限、数据即可得分，禁止对目标实施破坏性 *** 作，对目标系统关键区域 *** 作需得到指挥部批准。

发展

2016年试点阶段

试点阶段
认可度低，不了解担心出问题。

战场范围不仅局限于互联网边界，也涉猎于智能终端类的网络边界设备，打破传统安服模式

2017年拓展阶段

拓展阶段
监管利器，被监管单位认知不足。

重保必要条件，攻击行为“组织化”状态明显，集权类设备是攻击队宝藏防守不够严密，监测能力不足是较大短板

2018年头部客户认可阶段

头部客户快速接受与认可，部分行业开始组织实战攻防演习。

防守方认知逐渐清晰，部分参与过的单位能力大幅提升攻击队难度加大开始尝试“更隐蔽”的攻击方式

2019年普及阶段
信息化依托性大的机构，普遍尝试实战攻防演习。

行业现象明显，能力强弱两级分化，传统攻击很难取得成效，钓鱼水坑、供应链等攻击普遍；防守“应试性”显现，游戏规则出现了局限性。

实战攻防演习中的角色
红、蓝、紫三队：

紫队支持（组织单位）

红方主攻，蓝方防守通过实战，检测目标系统的安全状态与安全防御能力。

蓝队，一般是指网络实战攻防演习中的防守一方
蓝队-防守方
跨部门、单位的工作队伍
以现有网络安全为基础

备战阶段

前期准备

自查与整改

工作总结

临战阶段
模拟演习

实战阶段
正式演习

总结阶段

工作总结

护网项目岗位	岗位要求
蓝队见习岗	职责： 1、在客户现场开展7*24的安全监控、风险处置和应急响应等工作； 2、对安全设备运行状态进行监控，对安全报警、安全日志等安全数据信息进行监控与分析； 人员要求： 1、计算机专业、电子信息专业、网安专业大 三、大四同学优先； 2、遵守客户现场工作安排，要求有较强责任意识，服从全国项目调动。
初级监测岗	职责： 1、安全值守和安全监测分析，对安全设备运行状态进行监控，对安全报警、安全日志等安全数据信息进行监控与分析； 2、对发现的高危事件或紧急事件进行应急处置，定位攻击来源、封堵攻击IP等； 能力要求： 1、有安全运维经验，熟悉网络安全技术，了解常见安全设备知识（基本工作原理、用途等）； 2、熟悉常用安全技术检测工具，如漏扫、配置核查等； 3、熟悉常见针对系统、网络及用户环境等网络攻击原理、攻击检测及防御手段； 4、熟悉常见网络攻击行为的检测、分析、处置方法； 5、熟悉各种常用安全设备的 *** 作或 *** 作方法，包括但不限于 waf、 ips、 防火墙等。
中级研判岗	职责： 1、现场事件研判及应急处置; 2、负责重保期间对我行所使用的安全产品或设备上报的事件告警进行分析研判，确定攻击行为、影响范围等，并给出专家处置意见； 3、负责对日常采集到的数据进行分析研究，通过异常行为模型等进行二次分析，输出规则策略优化建议； 4、并负责对确认的安全事件，出具分析报告，梳理后续工作建议； 人员要求： 1、服务工作安排，严守职业 *** 守，具备团队协作能力。 2、具备渗透攻防实战经验，如参加国家HW或区HW、提交过安全漏洞等。 3、能够独立分析各类攻击行为、事件，能够及时进行有效处置。 4、具备攻击行为、事件的溯源能力。

为做好网络攻防演习实战阶段的防守组织与实施工作，特制定本工作手册。

确保现场工作人员可顺利完成基本信息收集、安全设备及工作准备、组织结构建立、重点安全风险复查、应急流程确定等相关前期准备工作。

确保在正式演习期间，与用户及第三方厂商联合作战，充分利用现有安全检测与防护手段，结合实战经验，协助用户开展监测与分析快速响应处置，抑制攻击事件，保障工作顺利完成

适用于HW正式演习1-2两周前到演习结束期间，在已完成前期准备、检查整改与预演习工作，为正式演习做最后一轮的准备，正式演习期间工作的具体实施提供指导参考。

本手册适用于负责防守项目的现场项目经理（组织、协调与沟通）、安全值守人员（安全监测、分析、验证、应急处置和总结等）。

本手册按照我司现场主防（配合用户，牵头组织、协调用户各部门、第三方厂商开展现场防守）角度撰写，配合用户开展主防工作的项目经理与值守人员要按照本文档开展相关工作；若现场配合用户协防（用户或其他厂商牵头，我司为监测防守方一员）工作的项目，可根据情况参考本文档开展相关安全监测防守工作

流程

在HW正式演习过程中，应建立监测分析组、事件处置组和横向潮源组等工作组，并按照工作职责与阶段开展既定工作内容工作分组类别和人员数量应按照每个项目的场景建立符合自身情况的分组与职责

安全监测分析

在安全监测分析阶段按照天眼、椒图、EDR工作手册开展工作，天眼如下实时重点关注天眼平台关于重要目标的告警信息；天眼分析不同于日常的威助情报、日志搜索分析。

首先，日常天眼分析要对流量进行全面分析，包括终端主机分析和服务器方面的分析，而护网期间，因为主要面对的威胁来自攻击队的网络攻击，主要形式为通过攻陷目标服务器达到攻击的目的，本质主要为Web攻击，所以在护网期间应重点关注传感器中Web攻击和Web漏洞利用功能、分析平台中威协感知-威协试图-web攻击。

事件响应处置

1、封堵攻击源IP
事件处置组人员根据攻击事件通报信息或报告，封禁攻击源IP。

注：如攻击者地址为代理地址（确认为HW攻击者，属于违规演练行为），如果是CDN节点地址，请协调CDN厂商进行封堵
2、处置安全事件
事件处置组人员根据攻击事件报告，处置安全事件，处置方式包括：安全设备策略调整、系统下线、服务器排查、应用排查、加固整改、系统上线
3、上报安全事件
HW上报接口人根据攻击行为报告和处置报告，对攻击事件、威助处置上报“演习系统上报平台”

横向潮源分析

在横向潮源阶段，应按照《产品工作手册》开展潮源分析工作，主要是针对被上传后门、木马作为跳板的系统分析，确定是否通过已失陷的系统对内网其他系统或设备进一步攻击。

若在此过程中，发现其他系统存在安全漏洞隐患应及时进行整改加固，并对新发现的恶意攻击IP地址进行封禁

报告模板

防守方成果报告

防守单位、目标系统名称、目标系统IP、URL、攻击IP、攻击手段、防御手段、修复建议、成果截图。

红线要求

在开展安全技术工作的同时，还要加强生产工作要求，对网络安全防护工作实施过程中的安
全风险进行控制，降低因人员违反工作要求产生的安全风险，建议生产工作要求如下
1.保密要求：禁止泄露任何与工作相关的信息、数据，与第三方技术支持单位人员签订保
密协议；
2.网络传播：严禁私自传播任何与工作相关信息，如发朋友圈
3.个人终端安全：对接入网络的计算机终端须进行病毒查杀，安全基线合规检查和加固
4.值守要求：工作期间禁止擅离职守，全员7*24小时开机，并保持通讯畅通；
5.工作要求：现场禁止开展与工作无关的任何事情；
6.时间要求：严格按照工作要求时间开展相关工作；
7.漏洞上报：禁止隐腾和恶意利用已发现的木马和其他漏洞，下级单位发现有效的安全漏
洞应及时上报；