HW方案

防护检测组

梳理现有网络安全监测、防护措施，查找不足；
该修复修复，该上设备上设备。
根据综合研判组安全自查发现的安全漏洞和风险进行整改加固及策略调优，完善安全防护措施；
加固：盖好防御工事
调优：缩紧安全策略
利用（全流量安全监测系统、防火墙、WAF、IDS、漏洞扫描系统、主机入侵检测系统、网站防护系统、安全策略分析系统）监测技术手段对网络攻击行为进行监测、分析、预警和处置上报（封禁IP地址、恶意特征行为阻断、上报综合研判组以及应急处置组等）；
• 木马后门回连
• webshell上传
• 漏洞利用事件
• 主动外连事件
• 内网扫描漏洞利用事件
• 内网_蜜罐监控
对网络和应用系统运行情况、审计日志进行全面监控，及时发现上报异常情况。
发现问题后，及时上报研判组进行研判，并通知应急组，迅速应急处置
综合研判组
负责制定《网络攻防演习防护方案》、《网络攻防预演习方案》，对全网应用系统、网络、安全监测与防护设备相关资产进行全面梳理，摸清网络安全现状，排查网络安全薄弱点，为后续有针对性的网络安全防护和监控点部署、自查整改等工作提供依据。
对全网系统资产进行安全检查，发现安全漏洞、弱点和不完善的策略设置，内容包括：
• 应用风险自查：重点针对弱口令、风险服务与端口、审计日志是否开启、漏洞修复等进行检查；
• 漏洞扫描和渗透测试：对应用系统、操作系统、数据库、中间件等进行检测；
• 安全基线检查：对网络设备（路由器、交换机等）、服务器（操作系统、数据库、中间件等）做安全基线检查；
• 安全策略检查：对安全设备（WAF、防火墙、IDS等）做安全策略检查。
负责演习办公环境及相关资源准备，对目标系统、网络基础环境和安全产品可用性确认，负责确定预演习攻击队伍人员组成等相关工作；
负责与公安部演习指挥部联系沟通；
发现已被攻击拿到权限的服务器，在及时上报后，未批准，加以催促。[^_]我们服务器被攻击了，我们已溯源完成，请帮忙查看是否是攻击队IP，如不是，报警处理[^_]
对本次攻防演习工作进行总结，编写溯源报告，防护技战法法报告和总结报告。
报告是重点加分项。
应急处置组
根据公安部演习规则，制定《应急响应工作方案》；
遇到相关的情况现象，怎么处理，所有人的联系方式。
负责预演习应急演习中安全事件的应急处置，并对演习过程中应急响应方案存在的不足进行完善；
负责正式攻防演习期间的应急响应处置工作。
• 接到防护检测组反馈的安全事件后，第一时间开展安全问题整改，并将整改情况反馈；[^_]系统下线、漏洞修复、上机溯源，清除木马[^_]
• 依据溯源信息打回去！