一、演练背景
(一)基本情况
为迎接最高法院组织开展的XXX年度XXXXXX网络安全攻防演练,扎实做好防守保障工作,特制定本方案。
(二)演练安排
准备阶段:XXXXX时间之前,XXXX运维服务中心成立攻防演练分指挥部、工作组、保障组,上报参演人员信息,组织辖区法院开展演习准备工作,包括服务器安全软件安装情况检查关闭匿名访客权限,已知高危漏洞补丁安装,业务系统数据库弱密码问题及默认链接端口未设限问题检查,办公终端关闭高危共享端口,安全监控软件、安全防护软件安装情况检查,远程提审设备弱密码及匿名登录检查,监控平台及监控终端弱密码问题检查等安全防御工作。
实战阶段:XXXXX(含周六、周日),每日9时-21时。进入防守状态,严密监测安全状况,应急预案处置方案,记录准备各类动态等。
整改阶段:2023年2月25日至3月31日,针对攻防演练发现的问题,进行整改修复,并对攻防演练活动进行总结。
二、演练保障组织
根据攻防演练相关要求,建立防守保障团队,包括攻防演练分指挥部、工作组、保障组。
(一)分指挥部
成员:XXXXX
负责本次攻防演练浙江省法院防守方的统筹管理工作,包括人员安排,指挥调度,物资管理等。
(一)工作组
成员:XXXXXX。
XXXX负责攻防演练期间技术类事项,安全设备监测、预警告警处置、安全网关IP封堵、漏洞通报,恶意IP封堵,安全事件应急响应及相关材料收集。
XXX管理人员负责安全事件应急响应及相关材料收集。
(二)保障组
成员:各安全合作厂商安全联络员(XXXXXX)
负责攻防演练期间业务系统保障、协助安全事件应急响应、漏洞整改,防护加固、协助恶意IP封堵等。
具体工作分配如下表:
工作组 | 人员 | 工作细分 | 频率 | 工作描述 |
分中心指挥部 | XX | 统筹管理,整体指挥调度 | 每日 | 法院攻防演练整体工作指挥工作 |
XXX | 人员安排,具体事项管理 | 每日 | 整体人员安排,具体事项的安排等 | |
工作组 | XXXX | 工作组管理,安全问题定级,研判,整体协调,安全设备告警监控与预警、边界安全网关IP封堵,威胁情报收集,安全事件应急响应。 | 每日 | 安全运维工作协调,统筹监管,对互联网侧安全监测,封堵恶意IP等,法院专网侧安全监测,封堵恶意IP等,监测日志审计设备等,针对已经发生的安全事件开展分析处置,收集护网威胁情报,包括威胁IP和0day与nday漏洞等安全情报,进行信息收集整理等,包括防守方案,攻防演练报告等材料。 |
基层网络管理员 | 威胁情报收集、终端安全,攻防各类信息收集 | 实时 | 终端安全监测防护,终端外联风险监测,强化终端应急响应,进行信息收集整理等,包括防守方案,攻防演练报告等材料。 | |
保障组 | 各厂商安全联络员 | 应用系统(外网网站、司法公证码)安全保障 | 每天进行1次保障分析 | 对自身应用系统开展监控保障自查 |
协助应急响应 | 按需 | 协助安全组对安全事件应急响应 | ||
漏洞整改与加固 | 按需 | 保障期间漏洞整改及加固 | ||
安全监控、协助恶意IP封堵 | 15分钟监控分析1次 | 对自身资产进行监控,风险预警通知安全组进一步排查分析 | ||
协助应急响应、协助恶意IP封堵 | 按需 | 协助安全组对安全事件应急响应 |
三、准备工作要求
(一)组织建设要求:二级运维分中心组建分指挥部,组织内外部资源开展防守工作。
(二)方案要求:编制本次攻防演练防守方案,应急预案,并组织人员开展方案学习工作。
(三)材料上报要求:XXXXX前,完成参演人员名单,安全资产、业务资产等材料的上报。
(四)攻防演练前期防御技术实施:
防火墙方面:
1、业务网专线主备侧各法院均设置了深信服专业防火墙,完成本地区域外IP访问内部业务服务器的精细化配置,实现源IP到源目的IP及端口访问的精细配置,过滤多数不不要的访问,可大幅减少攻击地址池存量,降低被攻击风险。
2、防火墙设置强化渗透扫描和攻击检查的业务安全防护策略,并开启详细日志记录,以便做攻击溯源处理。
3、防火墙设置禁止高危端口(201-23 135-139,445,3389,监控漏洞端口8443)的访问。
服务器方面:
1、安装360杀毒软件及安全防护软件。
2、关闭135-139,445,3389端口。
3、清理匿名登陆账号,联系业务系统运维人员检查相应数据库是否存在弱密码并进行整改。
4、网站服务器安装D盾软件,做到实时监测数据修改情况,可以更快速点位攻击源并进行封禁处理。
终端方面:
1、非国产电脑安装360杀毒及应用防护软件、安管平台,国产电脑覆盖安装奇安信网神杀毒防护软件,安管平台。
2、覆盖安装全国法院违规外联客户端,实时监控内外网互联问题。
视频会议终端:
设置登录复杂密码,关闭匿名FTP登录权限
监控终端:
已对cve-2021-36260安全漏洞进行补丁升级,无法完成升级的仅对可视化平台服务器地址开放,关闭其他访问链接。
云服务器方面:
1、由云waf侧设置服务器地址访问安全策略,进行双因子认证。
2、由安恒-玄武盾防护公司进行域名访问安全防护。
3、服务器安装D盾网站防火墙进行防护监测。
四、保障工作要求
1.人员就位要求。所有参与本次演练的人员,需保证每天8:25前在各自办公场地就位,做好使用电脑巡查系统及处置突发情况的准备。
2.工作时间要求。XXXXX日,8:25-21:30。
3.信息汇报要求。护网演练期间,如发现安全预警事件或安全应急事件,安全运营团队人员与对应厂商联络员做好相应处置工作,需第一时间汇报事件信息至XXX处。。
四、保障工作内容
(一)指挥组
1.统筹管理,整体指挥调度。辖区内攻防演练整体工作指挥工作,包括整体人员安排,具体事项的协助调度管理。
2.任务传达,信息收集。辖区内法院联络工作,法院内部各组间命令传递。
(二)工作组
1.告警监控与预警。监控各类安全设备告警,并对各类告警进行研判分析,提供风险预警。针对可能会出现的0day漏洞,加强监测,积极收集其他防守方共享的威胁IP,强化应急响应。
2.安全事件应急响应。针对已经发生的安全事件开展分析处置,并及时溯源。
3.政务云安全监控。开展云上安全中心监测,包括玄武盾态势告警、Skyeye漏洞隐患告警、玄武盾攻击分析、玄武盾漏洞监控等。
(三)保障组
1.业务系统自检保障。针对业务系统从以下几个方面开展巡检排查,有问题及时上报。巡检内容包括但不限于服务器操作系统、数据库、网络、WEB站点。
服务器操作系统:巡检系统CPU、内存、进程等安全可用状态。
数据库:巡检数据库读取、性能等安全可用状态。
网络:巡检网络安全可用状态。
WEB站点:巡检站点页面、站点访问情况等安全可用状态。
2.协助应急响应。协助安全运营团队针对已经发生的安全事件开展处置分析。
3.漏洞整改与加固。针对保障期间发现的安全漏洞以及威胁情报提供的新漏洞开展整改和加固。
4.协助IP封堵。协助封堵发现的恶意IP。
附件1:安全防护联系人表
工作组 | 法院 | 人员 | 联系方式 |
安全防护组 | |||
精彩范文吧