1網(wǎng)絡安全應急演練方案

2指導思想

根據(jù)《中華人民共和國網(wǎng)絡安全法》規(guī)定，定期開展安全應急演練工作，網(wǎng)絡實戰(zhàn)網(wǎng)絡安全應急演練便是在新的網(wǎng)絡安全形勢下，通過攻防雙方之間的對抗演習，實現(xiàn)“防患于未然”。

3演練目的通過網(wǎng)絡實戰(zhàn)網(wǎng)絡安全應急演練，檢驗并完善移動關鍵基礎設施網(wǎng)絡安全應急響應機制與提高技術防護能力，檢驗各公司遭遇網(wǎng)絡攻擊時發(fā)現(xiàn)和協(xié)同處置安全風險的能力，培養(yǎng)和提升網(wǎng)絡安全人才實戰(zhàn)能力，全力保障建黨100周年大慶等國家重大活動網(wǎng)絡安全。

4演練時間

演練時間：2021年x月x日

5演練內容

網(wǎng)絡與信息安全事件應急演練

6演練流程

網(wǎng)絡安全應急演練保障活動共分為啟動階段、準備階段、演練階段、保障階段、總結階段五個階段，具體工作安排計劃如下：

?啟動階段：確定演練目標、人員團隊職責劃分、演練總體流程，后續(xù)工作提供指導。

?準備階段：需對演練目標進行安全分析和梳理，開展全面安全評估、關注現(xiàn)有安全能力、完成安全策略的全面優(yōu)化、人員的全面賦能等。

?演練階段：重點檢測演練系統(tǒng)的監(jiān)測手段和防御手段的有效性及安全人員操作規(guī)程熟悉度。

?保障階段：為保障業(yè)務系統(tǒng)的平穩(wěn)運行，避免因安全問題而導致出現(xiàn)重大事故。

?總結階段：對行動中發(fā)現(xiàn)的相關問題進行快速整改并進行總結，將經(jīng)驗固化至相關的規(guī)章制度中，形成常態(tài)化、制度化。

7演練方案

7.1啟動階段

7.1.1演練組織及職責分工

在網(wǎng)絡安全應急演練保障期間，組織建立保障小組，通過簽署責任書，明確保障人員職責，確保各司其職，有序開展保障工作。

?總指揮

?負責網(wǎng)絡安全應急演練保障期間重大決策；

?把控項目的整體進度及質量；

?指揮決策組

?協(xié)調各小組資源分配，起到上傳下達的等作用；

?演習保障結束后，負責對演習保障進行總結，形成報告，并輸出安全能力建設的規(guī)劃；

?協(xié)同其他各小組完成安全事件的閉環(huán)；

?安全監(jiān)控小組

?通過實時監(jiān)控平臺、或設備日志，發(fā)現(xiàn)網(wǎng)絡中的異常流量、惡意樣本、網(wǎng)絡攻擊行為；

?發(fā)現(xiàn)異常行為后，按事件模版及時將攻擊事件通報；

?分析研判小組

?通過對主機日志、網(wǎng)絡設備日志、安全設備日志以及全流量分析等信息對攻擊行為進行分析，找到攻擊者的源IP地址、攻擊服務器IP地址、郵件地址等信息；

?應急處置小組

?恢復系統(tǒng)備份、數(shù)據(jù)恢復等方式將系統(tǒng)業(yè)務恢復到正常狀態(tài)；

?將完整的應急處置、溯源流程記錄到報告，并上報給保障決策組；

?支撐小組

?支撐小組為二線專家小組，協(xié)助現(xiàn)場一線工作小組解決并提供專業(yè)安全業(yè)務建議。

7.1.2演練保密要求

在網(wǎng)絡安全應急演習保障期間，開展參演人員安全意識宣貫、簽訂網(wǎng)絡安全承諾書和安全保密協(xié)議。

宣貫內容包含但不限于：代碼管理規(guī)范、接入賬號安全、接入網(wǎng)絡安全、辦公設備安全等。

網(wǎng)絡安全承諾書內容至少包含但不限于：遵守甲方整體網(wǎng)絡安全工作要求、遵守相關法律及行業(yè)相關規(guī)定、強化項目參與人員的信息安全意識、違約責任等。

保密協(xié)議內容至少包含但不限于：演習保障期間的保密范圍、保密期限、保密要求、違約責任等。

7.2準備階段

7.2.1信息資產(chǎn)收集

在網(wǎng)絡安全應急演練準備階段，對演練系統(tǒng)進行信息收集，包括單不限于IP地址、端口、服務名稱及版本、操作系統(tǒng)類型及版本、應用框架類型及版本等，為開展演練行為做基礎。

在網(wǎng)絡安全應急演練保障實施期間，信息資產(chǎn)收集可助于快速發(fā)現(xiàn)內部問題、定位問題、解決問題，提高企業(yè)內部的防御能力。

7.2.2全面安全評估

對演練系統(tǒng)涉及的主機、數(shù)據(jù)庫、應用組件、網(wǎng)絡設備、網(wǎng)絡架構進行全面、綜合的安全評估，充分的發(fā)現(xiàn)其潛在的風險。

7.2.3安全策略優(yōu)化

根據(jù)網(wǎng)絡安全架構評估以及網(wǎng)絡現(xiàn)狀，對網(wǎng)絡設備策略、安全設備策略、主機策略等進行進一步調整和優(yōu)化實施范圍。

7.2.4安全缺陷整改

根據(jù)之前業(yè)務系統(tǒng)評估，對應用系統(tǒng)及其依賴的網(wǎng)絡、數(shù)據(jù)信息等可能存在的軟硬件缺陷，和信息安全管理中潛在的薄弱環(huán)節(jié)，而導致的不同程度的安全風險，提出臨時解決方案和長期解決方案。

7.2.5安全意識培訓

在網(wǎng)絡安全應急演練備戰(zhàn)階段，為了提升內外部人員的安全意識，組織開展安全意識宣貫和安全技術賦能，避免因人為因素而導致信息安全事件發(fā)生，整體提高安全管理能力。

7.3演練階段

7.3.1攻防場景演練

采用攻防對抗的方式有效的檢驗相關業(yè)務系統(tǒng)的抗攻擊能力，真正發(fā)現(xiàn)潛在的風險，從而為后續(xù)整改工作提供真實有效的依據(jù)。

7.3.1.1攻擊方工作

7.3.1.1.1攻擊路徑設計

攻擊者可以通過各種方式各種攻擊路徑嘗試攻破應用系統(tǒng)去危害客戶的業(yè)務或者企業(yè)組織。每種路徑方法都代表了一種風險。結合攻擊路徑相關的技術和對客戶的業(yè)務影響，評估威脅來源、攻擊向量和安全漏洞的可能性。

7.3.1.1.2滲透測試設計內容

針對信息系統(tǒng)業(yè)務系統(tǒng)和平臺進行全局、深入安全滲透測試，關注其面臨的主要安全風險和安全需求，提供安全滲透測試數(shù)據(jù)報告和針對性解決方案，建立一體化信息系統(tǒng)安全風險識別機制。

7.3.1.1.3應用功能測試

發(fā)現(xiàn)目標系統(tǒng)中存在的安全隱患（包括安全功能設計、安全弱點、以及安全部署中的弱點等），并針對問題提供解決方案建議。

7.3.1.1.4安全功能弱點測試

應用系統(tǒng)評估主要從輸入驗證、身份驗證、授權、配置管理、敏感數(shù)據(jù)保護、會話管理、加密、異常管理等角度分析應用系統(tǒng)的安全功能設計以及存在的安全隱患。

7.3.1.1.5應用安全性測試

針對提供的業(yè)務系統(tǒng)進行非破壞性的模擬黑客攻擊，充分挖掘應用系統(tǒng)各類組件存在的漏洞，并進行人工利用驗證。

7.3.1.2防守方工作

在攻防對抗中，通過部署監(jiān)測預警功能的平臺，針對攻擊行為進行監(jiān)控及時阻斷并上報，從而形成閉環(huán)的處置工作。

在防守監(jiān)測工作中，需結合現(xiàn)有態(tài)勢平臺、處置平臺以及相關設備進行合理利用。

7.3.1.2.1設備運行監(jiān)控

針對安全產(chǎn)品、網(wǎng)絡產(chǎn)品、主機服務器等提供監(jiān)控與運維服務，及時發(fā)現(xiàn)設備（系統(tǒng)）運行過程中出現(xiàn)的問題并協(xié)助客戶進行解決，保障設備（系統(tǒng)）正常運轉。

監(jiān)控指標可涵蓋設備功能、設備性能、應用服務情況、連通性、操作審計等。

7.3.1.2.2告警事件監(jiān)控

針對各類安全設備的告警數(shù)據(jù)進行監(jiān)控，通過人工告警研判的方式對安全設備告警進行二次分析，排除告警中的誤報，定位真實風險。

監(jiān)控告警類型可涵蓋：DDoS攻擊、Web攻擊、信息破壞、口令猜測、僵尸主機、木馬病毒、非授權訪問、漏洞利用、網(wǎng)頁篡改、SQL注入、非法連接、惡意掃描探測、網(wǎng)頁篡改、網(wǎng)站敏感內容、網(wǎng)頁掛馬等。

7.3.1.2.3安全事件溯源

防守方對多種網(wǎng)絡安全設備產(chǎn)生的豐富的日志和告警信息集中分析，發(fā)掘安全知識的效果，發(fā)現(xiàn)傳統(tǒng)安全工具難以發(fā)現(xiàn)的安全事件。通過人工的方式判斷安全事件是否為誤報后，追溯該告警背后的威脅源，判斷威脅源使用的攻擊手段及漏洞利用情況。

攻擊溯源方案可分為三個層次的追蹤：追蹤溯源攻擊主機、追蹤溯源攻擊控制主機、追蹤溯源攻擊者和追蹤溯源攻擊組織機構。

7.3.1.2.4安全事件處置

對于安全監(jiān)控中發(fā)現(xiàn)的安全對象脆弱性問題（如高危漏洞、安全基線配置不合格等）、安全故障問題、安全事件等，監(jiān)控值守人員通過攻防平臺提供的工單流程進行處置任務指派，運維人員、二線支持人員及管理人員依照工單流程完成安全處置工作。

7.3.2應急場景演練

通過模擬攻擊者發(fā)起0 day攻擊，對安全監(jiān)控、安全防護、網(wǎng)絡策略、安全策略等機制進行有效性校驗，按照流程快速響應，推動0day的緩解處理和后續(xù)補丁修復，最大化減少0day的影響。對發(fā)現(xiàn)問題及時推動整改，閉環(huán)安全風險，確保自身的網(wǎng)絡策略、安全策略符合安全預期。

安全監(jiān)控小組負責漏洞信息監(jiān)測收集和危害判斷，發(fā)現(xiàn)問題后通知分析研判小組、應急處置小組，通過資產(chǎn)管理平臺或相關檢測工具，確定受該漏洞影響的資產(chǎn)范圍，再按照資產(chǎn)價值（重要程度）和網(wǎng)絡暴露情況確定漏洞修復的優(yōu)先級，確立響應的等級、需要哪些部門（廠商）參與。

做好內部的漏洞修復通知和外部的業(yè)務升級暫停公告，應急處置小組協(xié)助做好系統(tǒng)備份工作，并且在非業(yè)務時間段實施升級。漏洞修復后，業(yè)務歸屬部門自行檢查業(yè)務功能是否受影響，校驗數(shù)據(jù)是否丟失。

0 day漏洞處理流程示意圖如下圖所示：

完成0day處置的同時，應將其加入安全開發(fā)知識庫，避免后續(xù)發(fā)生類似的安全問題。

7.3.3應急響應支撐

應急響應能夠快速成功處置，關鍵是根據(jù)前期應急預設流程為指導，應急處置小組有條不紊對已發(fā)生安全事件進行解決，以最大限度地減少安全事件造成的損害，降低應急處置中的風險。

7.3.3.1檢測階段

檢測是指以適當?shù)姆椒ù_認在系統(tǒng)/網(wǎng)絡中是否出現(xiàn)了惡意代碼、文件和目錄是否被篡改等異常活動/現(xiàn)象。

安全監(jiān)控小組在檢測到網(wǎng)絡安全事件或發(fā)現(xiàn)信息系統(tǒng)異常，上報分析研判小組。

分析研判小組立即對上報事件的性質、影響范圍、安全設備日志告警進行分析與評估。

7.3.3.2分析階段

該階段確定它的影響范圍和問題原因及事件的性質。

分析研判小組通過安全事件告警日志進行分析研判，評估事件的性質、影響范圍判斷，是否上報應急處置小組，開展應急響應：

?若判斷無需開展應急響應，發(fā)布相關預警通告，應急流程結束；

?若判斷需開展應急響應，則結合實際情況對網(wǎng)絡安全事件進行定位，啟用相應的專項應急預案，上報演習保障決策組，并通知應急處置小組開展應急響應。

應急處置小組根據(jù)應急預案處置流程開展應急處置操作。

7.3.3.3抑制階段

恢復階段是它的目的是限制攻擊/破壞所波及的范圍。同時也是限制潛在的損失。所有的抑制活動都是建立在能正確檢測事件的基礎上，抑制活動必須結合檢測階段發(fā)現(xiàn)的安全事件的現(xiàn)象、性質、范圍等屬性，制定并實施正確的抑制策略。

應急處置小組按照應急預案開展應急處置，執(zhí)行抑制方案，并記錄抑制過程，檢查恢復效果，如果抑制不成功則收集信息重新制定抑制方案。

在此階段，保障決策組協(xié)調資源進行技術或業(yè)務支撐，必要時協(xié)調支撐小組進行支撐，協(xié)助開展事件處置、業(yè)務恢復、系統(tǒng)監(jiān)控等工作內容

7.3.3.4根除階段

根除階段即在準確的抑制事件后，找出事件的根源并徹底根除它，以避免攻擊者再次使用相同手段攻擊系統(tǒng)，引發(fā)安全事件。在根除階段中將需要利用到在準備階段中產(chǎn)生的結果。

應急小組按照應急預案對關鍵業(yè)務信息執(zhí)行備份和狀態(tài)檢查，對事件進行原因分析，對業(yè)務系統(tǒng)進一步進行檢查，根據(jù)發(fā)現(xiàn)的問題與漏洞制定事件根除方案。

在此階段，支撐小組協(xié)調資源協(xié)助應急小組開展業(yè)務系統(tǒng)排查、漏洞整改等工作內容。

7.3.3.5恢復階段

應急小組按照應急預案開展應急處置和業(yè)務恢復工作，由應急執(zhí)行小組組織相關部門安全管理員和運維操作人員等技術人員對網(wǎng)絡安全事件進行現(xiàn)場處置，執(zhí)行恢復方案，并記錄恢復過程，檢查恢復效果，如果恢復不成功則收集信息重新制定業(yè)務恢復方案，盡快恢復系統(tǒng)正常運行。

系統(tǒng)恢復后及時將事件處置結果逐級上報至集團應急領導小組。

7.3.3.6總結階段

該階段的目標是回顧并整合發(fā)生事件的相關信息，主要有助于從安全事件中吸取經(jīng)驗教訓，提高技能；有助于評判應急響應組織的事件響應能力。

應急處置小組對業(yè)務影響、范圍、損失進行總結，對應急措施的有效性進行評估，對事件原因進行分析，編寫安全事件處置總結報告。

應急處置小組向指揮決策組提交報告，并組織各業(yè)務系統(tǒng)管理人員對類似安全隱患的業(yè)務系統(tǒng)進行自查自檢，必要時可采取緊急抑制手段避免同類安全事件的發(fā)生。

7.4保障階段

在演習實戰(zhàn)階段，為保障業(yè)務系統(tǒng)的平穩(wěn)運行，避免因安全問題而導致出現(xiàn)重大事故，將開展安全值守監(jiān)控、配合中臺支撐的優(yōu)勢，研判預警通告、威脅分析、應急響應支撐及演習事件上報等工作。

7.4.1安全值守監(jiān)控

7.4.1.1網(wǎng)站及業(yè)務監(jiān)控

1.主機資產(chǎn)監(jiān)控

在演習保障期間，為及時發(fā)現(xiàn)資產(chǎn)對外暴露安全風險，安全監(jiān)控小組將定時對外網(wǎng)資產(chǎn)進行監(jiān)測，統(tǒng)計當天外網(wǎng)活躍主機數(shù)目，開放端口個數(shù)及端口服務類型，并通過人工分析確認是否存在異常端口對外開放。

2.網(wǎng)站安全監(jiān)控

在演習保障期間，對網(wǎng)站提供完整性檢測、可用性檢測。完整性監(jiān)測能夠甄別出防護站點頁面是否發(fā)生了惡意篡改，是否被惡意掛馬，是否被嵌入敏感內容等信息；可用性檢測能夠幫助防守方了解站點此時的通斷狀況，延遲狀況。

a)遠程網(wǎng)頁掛馬及黑鏈監(jiān)測：遠程實時監(jiān)測目標站點是否存在被植入惡意代碼、黃賭毒私服等詞匯的惡意鏈接的告警，在第一時間得知在防護網(wǎng)站的安全狀態(tài)，及時清除網(wǎng)頁木馬及黑鏈。

b)遠程網(wǎng)頁篡改監(jiān)測：遠程實時監(jiān)測目標站點是否是存在頁面被篡改情況，避免網(wǎng)站被篡改不能及時發(fā)現(xiàn)，造成惡劣影響，此服務是網(wǎng)站防護的最后一道屏障。

c)遠程網(wǎng)站域名監(jiān)測：實時監(jiān)測各地主流ISP的DNS緩存服務器和客戶DNS授權服務器的可用性，以及它們對被監(jiān)測域名的解析結果情況。一旦發(fā)現(xiàn)客戶域名無法解析或解析不正確，第一時間上報評估小組進行處置。

d)遠程網(wǎng)站平穩(wěn)度監(jiān)測服務：遠程實時監(jiān)測目標站點在多種網(wǎng)絡協(xié)議下的響應速度、首頁加載時間等反映網(wǎng)站性能狀況的內容，一旦發(fā)現(xiàn)客戶域名無法解析或解析不正確，第一時間上報評估小組進行處置。

7.4.1.2安全設備監(jiān)控

在網(wǎng)絡安全應急演練保障期間，安全監(jiān)控小組對安全設備進行監(jiān)控，開展設備性能監(jiān)控、安全攻擊監(jiān)控等工作。

a)安全攻擊監(jiān)控：安全設備告警事件實時監(jiān)控，包含：拒絕服務攻擊，網(wǎng)絡病毒爆發(fā)，漏洞遠程利用、惡意代碼傳遞等高危事件告警信息，對攻擊告警日志進行分析處置，策略調整優(yōu)化，對高危風險行為IP執(zhí)行封禁封堵，可密切關注來源請求異常，接口請求異常，惡意IP攻擊等事件。

7.4.1.3安全行為監(jiān)控

在網(wǎng)絡安全應急演練實戰(zhàn)期間，VPN、堡壘機、關鍵設備主機等設備是黑客突破的重要目標，當獲取到權限賬戶后，黑客可能會選擇在夜間薄弱時間點發(fā)起攻擊行為，或執(zhí)行高危操作，故安全監(jiān)控小組將對設備賬戶安全行為進行監(jiān)控，并對日志進行安全審計。

安全監(jiān)控小組通過人工分析日志，審計目前監(jiān)控設備是否存在僵尸賬戶、異地登錄、頻繁登錄、異常時間登陸、賬戶威脅操作等行為情況，并針對不同事件采取相應措施，防止風險擴散。

a)僵尸賬戶分析：安全監(jiān)控小組通過人工分析日志，查找近期未活躍的賬戶，對疑是僵尸賬戶進行逐一確認，非必要賬戶或權限不合理賬戶，需進行回收處理。

b)異地登錄分析：安全監(jiān)控小組通過人工分析日志，查看設備賬戶近期是否頻繁更換登陸地點，地點變更間隔是否符合常理，對出現(xiàn)異常賬戶進行逐一確認，確保賬戶登錄環(huán)境安全。

c)頻繁登錄分析：安全監(jiān)控小組通過人工分析日志，查看設備賬戶近期是否存在頻繁登錄行為，重點關注頻繁登錄失敗事件，分析當前賬戶是否遭受暴力破解。

d)異常時間登錄分析：安全監(jiān)控小組通過人工分析日志，查看設備賬戶近期是否在異常時間段(凌晨1點至6點)期間登錄，對出現(xiàn)異常賬戶進行逐一確認，確保賬戶均為賬戶申請人本人操作。

e)賬戶威脅操作分析：安全監(jiān)控小組通過人工分析日志，查看設備賬戶近期執(zhí)行是否正常，如刪除數(shù)據(jù)庫、修改關鍵信息等操作，對出現(xiàn)異常賬戶進行逐個確認，確保高風險操作是正常操作。

7.4.1.4重要系統(tǒng)巡檢

系統(tǒng)巡檢工作能保證服務器正常、有序、安全地運轉，保障更好地應用網(wǎng)絡及相關服務。在網(wǎng)絡安全應急演練實戰(zhàn)期間，靶標、關鍵系統(tǒng)、服務器等設備是突破的重要目標，通過對重要系統(tǒng)的巡檢，可發(fā)現(xiàn)目標存在的一些異常，以便在系統(tǒng)故障或應急事件發(fā)生時及時作出處理，減少不良影響。

1.系統(tǒng)可用性檢查

檢查設備或服務器系統(tǒng)時間、是否升級包、證書信息等信息。

2.系統(tǒng)日志分析

通過對日志進行統(tǒng)計、分析、匯總，能有效掌握服務器的運行狀況，及時發(fā)現(xiàn)問題，排除安全隱患。其中關注以下幾個方面的行為日志：

a)可疑賬戶的登錄：查找登錄的賬戶，對可疑賬戶進行逐一確認、非必要賬戶、權限不合理賬戶，進行回收處理。

b)異地登錄的賬戶：查看設備賬戶近期是否頻繁更換登陸地點，地點變更間隔是否符合常理，對出現(xiàn)異地賬 戶進行逐一確認，確保賬戶登錄環(huán)境安全。

c)頻繁登錄分析：查看設備賬戶是否存在頻繁登錄行為，重點關注頻繁登錄失敗事件，分析當前賬戶是否遭受暴力破解。

d)異常時間登錄分析：查看設備賬戶近期是否在異常時間段(非工作時間段)期間登錄，對出現(xiàn)異常賬戶進行逐一確認，確保賬戶均為賬戶申請人本人操作。

7.4.1.5重要設備監(jiān)控

在網(wǎng)絡安全應急演練實戰(zhàn)期間，安全監(jiān)控小組對安全設備進行監(jiān)控，開展設備性能監(jiān)控、安全攻擊監(jiān)控等工作。

1.設備性能監(jiān)控

安全設備健康情況實時監(jiān)控，包含：CPU使用率、內存占用率、接口流量、接口工作狀態(tài)、硬盤使用情況等設備健康相關的基本參數(shù)監(jiān)控，監(jiān)控過程需密切關注設備性能占比，通過分析當前業(yè)務負載，及設備各項性能指標，確保過程中設備可用性。

2.系統(tǒng)性能檢查

檢查服務器資源使用情況，合理分配資源，能夠提高服務器的工作效率。內存不足或CPU使用率居高不下，不僅對服務器性能造成較大影響，而且可能存在攻擊或病毒感染等問題。通過對磁盤剩余空間、CPU、進程、內存等參數(shù)進行檢查，掌握系統(tǒng)目前的運行狀況。

3.數(shù)據(jù)備份檢查

查數(shù)據(jù)備份是否存在或異常的情況，能為之后可能出現(xiàn)的系統(tǒng)故障處理提供保障。方便故障后恢復系統(tǒng)配置提供極大的便利。

7.4.2研判預警處置

在網(wǎng)絡安全應急演練保障期間，研判分析小組將對安全監(jiān)控小組上報事件進行研判處置，對符合預警條件的事件進行通知處理。

安全預警通告主要類型包括安全風險預警通告、安全事件應急通告、可疑安全行為通告，當研判分析小組收到上述通告時，及時研判被通告事件與保障目標資產(chǎn)吻合度，對風險內容進行定位分析，確認實際影響范圍，威脅程度，緊急程度等，并協(xié)調應急處置小組進行處理，以達到快速閉環(huán)安全風險目的。

1.安全通告接收

安全監(jiān)控小組接收到安全風險預警，安全事件應急及可疑安全行為等各類安全事件。

2.安全通告研判

研判分析小組研判被通告事件與保障目標資產(chǎn)吻合度，對風險內容進行定位分析，確認實際影響范圍，威脅程度，緊急程度等。

3.安全通告處置

協(xié)調應急處置小組對安全風險進行閉環(huán)，并記錄進統(tǒng)計表中。

7.4.3安全事件上報

在網(wǎng)絡安全應急演練保障期間，防守方對檢測到的告警信息進行研判分析，對確屬攻擊行為的安全事件，及時根據(jù)規(guī)定格式編寫防守方成果報告，提交至保障決策組，由安全接口人統(tǒng)一上報。

7.4.4安全事件跟蹤

將針對網(wǎng)絡安全應急演練前期的待處理事件和中期發(fā)生的安全事件進行梳理，根據(jù)安全問題風險程度由高到低設置處理優(yōu)先級，繪制輸出安全事件跟蹤表。

7.5總結階段

在網(wǎng)絡安全應急演練保障結束后，將對保障期間所涉及到的攻擊事件進行匯總梳理，通過分析還原攻擊手段，對存在安全缺陷進行整改跟進，總結經(jīng)驗教訓，提升業(yè)務安全防護能力，強化業(yè)務安全。

7.5.1安全事件梳理

在保障結束后，將組織保障參與人員對應急演練期間出現(xiàn)的攻擊事件進行匯總統(tǒng)計，包括但不限于：

?針對攻擊事件進行攻擊時段、頻率、次數(shù)的統(tǒng)計，分析常見攻擊事件行為識別已受攻擊的業(yè)務風險；

?分析攻擊源地址的地域、攻擊時間、攻擊次數(shù)等維度識別攻擊者攻擊意圖；分析攻擊目的地址識別易受攻擊的業(yè)務模塊；

?從風險等級由高到低排序，重點關注高危行為，根據(jù)高危行為指向的目的地址，識別易受攻擊的業(yè)務模塊。

7.5.2事件總結歸檔

在保障結束后，將組織演習保障參與人員進行總結分析，并于收尾會議后的3個工作日內，輸出網(wǎng)絡安全應急演練活動總結報告，并遞交至演習保障組、總指揮進行初步審閱及最終審閱，最后發(fā)送給保障聯(lián)絡組各小組部門負責人，歸檔至信息安全部門。

8演練平臺說明

在網(wǎng)絡安全應急演練保障期間，演習保障人員均通過“安全設備—態(tài)勢感知—攻防平臺—封堵平臺”形成安全事件從發(fā)現(xiàn)、分析、研判、封堵的全生命周期閉環(huán)管理。

在演練期間，態(tài)勢平臺會獲取所有安全設備事件日志統(tǒng)一處理，攻防平臺獲取態(tài)勢平臺的安全事件，并前往封堵平臺查看告警IP是否被封禁。這一系列動作可通過自動化的腳本執(zhí)行，演練人員需要重點查看安全事件是否正常。

1、登錄簽到

訪問攻防平臺輸入賬戶、密碼進行登陸。若提示證書錯誤，請?zhí)砑永饣蚶^續(xù)訪問。登錄攻防平臺后請先進行簽到，點擊右上角的日歷圖標，在我的簽到頁面下，點擊簽到，如下圖所示：

2、安全設備/事件監(jiān)控

安全值守監(jiān)控人員實時監(jiān)控各安全設備、態(tài)勢平臺、攻防平臺、封堵平臺的安全事件條數(shù)、處置狀態(tài)，確保各類攻擊事件均已處置完畢,對于未處置完畢的安全事件，手工派發(fā)安全事件工單，通知對應人員在規(guī)定時間內手工處置完畢。

安全值守監(jiān)控人員實時監(jiān)控各安全設備（各安全域的DDOS、防病毒、防篡改、WAF、防火墻、天眼、IDS、IPS）、態(tài)勢平臺、攻防平臺、封堵平臺的運行情況，安全值守人員對統(tǒng)計數(shù)據(jù)進行復核確認。

3、安全事件處置

在攻防平臺的左側進入安全事件中心，查看平臺從態(tài)勢平臺所取得的安全事件，如下圖所示：

點擊事件列表右側的處理，進入事件處理的詳情后點擊結束事件，如下圖所示：

此時將事件狀態(tài)切換為已解決，可以看到剛才的事件狀態(tài)已經(jīng)轉換成已解決，如下圖所示：

在封堵平臺的左側進入攻防封堵頁面，查看安全事件處置結果，顯示時間處置類型及處置狀態(tài)：

4、簽出

在完成任務后，要點擊頁面右上角的日歷標志，在我的簽到頁面中，點擊簽出，如下圖所示：