聊聊企业在攻防演练该做点什么 – 作者:-吗

是什么？

由公安部等国家监管部门组织的，攻击队伍是由其内部技术团队，头部互联网巨头蓝军团队，以及安全公司渗透团队组成的技术力量，防守方为目标企业，经过几年的工作的有序开展，基本达到每年会搞一次。

为什么？

攻防演练是在真实环境下开展对抗，目的是检验工作成效、查找问题短板、深化巩固提升，进一步提高国家及行业的网络安全水平；同时让企业进一步认清形势，提高站位，夯实责任，将网络安全责任制工作要求落实落细，确保网络安全工作有序、安全、高效；

该做点什么？

前期准备：资产，人，技术，流程要明确

传达及时，收到通知后，一定要及时上报给高层领导；

高层重视，要有相应的网络安全攻防演练小组，主持及部署攻防演练相关工作；

摸清家底，做好系统，网络，服务器等的资产梳理，无用的系统及服务及时下线，减少利用点及攻击面；

做好监控，对网络及服务器运行状态的日常安全监测，出现异常进行报警；

值班值守，做好值班安排，实行7×24小时值班制度，采用0报告方式；

系统加固，补丁要打好，并提高漏洞扫描的力度，并做好修复工作；

做好培训及宣传，提高全体员工安全意识，减少被社工的风险；

应急预案，对各类突发事件做好预案，尽量做到及时响应并处理，将损失降到最小；

事中处理：攻防演练主要是考验的就是应急响应及处置的能力

攻防工作日例会制度，对当日攻防工作进行总结分析，安排部署下一日的攻防工作；

应急响应处理，在攻防演练中，攻击方是大量渗透专业的人士，不可能做到万无一失，当出现被攻破的情况时也不用慌张，针对相应应急预案作出适当的调整和修正；

应急措施的几个阶段：攻击阻断、网络隔离、调查取证、溯源反制、木马清除、业务恢复。

攻击阻断，发现外连IP，进行封禁；

网络隔离：将业务切走，并针对被攻击的服务器及疑似影响网络进行隔离排查；

调查取证：通过排查定位原因及影响，最好同取证单位一起收集证据链，并由取证单位开具电子数据司法鉴定报告；

溯源反制：根据证据定位攻击源，攻击对象，最好能确认攻击者，然后报警，防止出现有人在攻防演练过程中的真实攻击行为；

木马清除：清除相应的木马，后门文件，最好重装系统，防止持久化木马；

业务恢复：业务切回