2016年《网络安全法》颁布，出台网络安全演练相关规定：关键信息基础设施的运营者应“制定网络安全事件应急预案，并定期进行演练”。网络安全实战化攻防演练作为国家层面促进各个行业重要信息系统顺利建设、加强关键信息基础设施的网络安全防护、提升应急响应水平等的关键工作，以实战、对抗等方式促进网络安全保障能力提升，具有非常重要的意义。

随着大规模攻防演练行动的开展，如何有效地实施演练，提升红蓝攻防对抗演练效果，让防守方在行动时做出更加准确的判断成为了大量用户的关注重点。

本文希望通过防守方案经验的分享，协助客户在实际工作中减少互联网侧的暴露面，加固网络内部的安全基线，全面提升其安全应对能力，以降低安全事件的发生概率。此外，本文同时希望可以为客户在重要时期（如护网、重保等）提供专业的安全团队与客户协同防护的经验。

攻击角度看防守

在攻防演练的过程中，我们从攻击方的视角可以了解到一些常见的攻击手段（如弱口令攻击、DDOS攻击、暴力破解等），通过这些攻击手段我们可以在攻防演练中，充分检验参演单位及目标系统的安全防护、攻击监测和应急处置能力。

演练组织方通常会选择具有丰富攻防经验的安全专家组成攻击队开展网络攻击，在确保不影响参演方正常业务的前提下，选择一切可利用的资源和手段，采用多变、灵活、隐蔽的攻击手段力求取得最大战果。

参演单位作为防守方，面对“隐蔽”的网络攻击，只有了解攻击方是如何开展攻击的，才能根据攻击特点建立完善的安全防护体系，有效抵御网络攻击。

一般而言，攻击方在组织入侵攻击时的具体步骤如下：首先制定攻击策略，明确攻击目标及手段；其次规划攻击线路，使攻击者分工合作，力争在短时间内取得最大战果。

攻击步骤中常用的手段有信息收集、漏洞分析、渗透攻击和后渗透攻击。

防守工作方案

了解到攻击方常见的攻击手段后，为有效应对攻防演练相关工作，攻防演练防守工作分成五个阶段，分别是准备阶段、安全自查和整改阶段、攻防预演练阶段、正式演练防护阶段和总结阶段。

第1阶段：准备阶段

在正式攻防演练开始前，应充分做好准备阶段工作，为后续演练工作其他阶段提供有效的支撑。

防守方案编制

攻防演练工作应按计划逐步有效的进行，参演单位应在演练前，根据实际情况，完成攻防演练防守方案编写，通过演练防守方案指导攻防演练防守工作的开展，确保演练防守工作的效果。

防守工作启动会

在攻防演练开始前，应组织各参演部门相关人员，召开演练工作启动会。以启动会的形式明确演练防守工作的目的、工作分工、计划安排和基本工作流程。

通过启动会确定演练防守工作主要牵头部门和演练接口人，明确演练时间计划和工作安排，并对演练各阶段参演部门人员的工作内容和职责进行宣贯 。同时，建立演练工作中的沟通联络机制，并建立各参演人员的联系清单，确保演练工作顺利开展。

重要工作开展

针对攻防演练的重要工作梳理，确保能够有效支撑后续演练。梳理内容如下：

网络路径梳理

关联及未知资产梳理

专项应急预案确认

安全监测防御体系

第2阶段：安全自查和整改阶段

通过安全自查对目标系统的安全状况得以真实反映，结合整改加固手段对评估发现的问题逐一进行整改。设置必要的防御规则，基于最小权限原则制定，即仅仅开放允许业务正常运行所必须的网络和系统资源。确保目标系统在攻防预演练前所有安全问题均已采取措施得到处理。自查内容如下：

网络安全检查

网络架构评估

网络安全策略检查

网络安全基线检查

安全设备基线检查

主机安全检查

主机安全基线

数据库安全基线

中间件安全基线

主机漏洞扫描

应用系统安全检查

应用系统合规检查

应用系统源代码检测

应用系统渗透测试

运维终端安全检查

运维终端安全策略

运维终端安全基线

运维终端漏洞扫描

日志审计

网络设备日志

主机日志

中间件日志

数据库日志

应用系统日志

安全设备日志