实战攻防演习服务投标方案.docx

实战攻防演习服务-投标方案目录一、项目技术方案11.1、 实战攻防演习服务1I .1.1、服务内容1LL2、服务方法2II .3、交付成果19III .4、服务优势20IV 1.5> 服务范围（略） 21一、项目技术方案1.1. 实战攻防演习服务1.1.1 v服务内容实战攻防演习是有组织、有目的的，通过对实际环境的攻击，以达到分析参 演目标安全风险,检验参演单位防守能力，最终提升安全防御能力的要求的演习。 实战攻防演习方案设计是根据实际演习中各参与方的所需完成的工作，围绕既定 目标，按照共同参与，攻防兼备的原则，对攻防演习工作各环节展开描述。组织单位主办：总体把控、资源协调、专 家把控、裁判打分、应急响应。成立若干攻击小组，以竞 赛或合作的方式展开真实 的网络攻击，发现安全漏 洞，获得服务器权限。可视化展示，所有攻击行 为安全可控，攻击录屏， 视频监控。成立应急响应小组，实时 监控网络，进行实时阻断, 应急响应等工作。图表1：攻防演习架构图整个演习工作由演习组织单位对全局进行把控协调，攻击组和防守组按照演 习约定分别对演习目标开展真实的攻击和阻断防护。为了能够对攻防演习过程进 行实时情况了解，在攻防演习中，引入了集团（以下简称）自有的攻防演习平 台，为攻防演习过程提供统一网络资源，演习成果提交，攻击过程行为审计，通 过攻防演习平台可视化功能对演习过程进行实时展示，方便演习组织者及时了解 演习状态。1.1.2、服务方法实战攻防演习服务是根据实际演习参与的角色和特点，按照阶段划分的原 则，针对每个阶段所需完成的工作逐步进行详细描述的方案。这四个阶段分别 为：调研阶段，准备阶段，演习阶段和总结阶段。各阶段所需进行的工作如图调研阶段准备阶段Z*演习目标系统选取明确演习时间攻防演习约束条件调 研攻防演习通报机制调 研<攻防演习平台搭建签署演习授权签署保密协议攻防演习攻击过程顺演习过½攻防演习成果提交演习过程应急处置对上报结果进行研判图表2：攻防演习各阶段演习阶段总结阶段所示: 演习资源回收 攻击蜂总结 对结翩源审计 总结报告并; 下发并整改需求调研是攻防演习的首要环节，决定后续的工作方向。需求调研主要针对 此次攻防演习的背景、组织单位、参与部门、演习目标及演习时间等内容进行明 确，并对后续的工作内容进行职责划分。通过需求调研，本次攻防演习需要达到的目标得以明确。针对演习需达到 的目标，逐步开展演习工作，确保本次攻防演习按既定要求顺利完成。通过和组织方召开项目会议的方式，加强与组织方沟通，明确此次攻防演 习的具体需求。1.1.2.1.1 v目标系统选取演习目标系统选取是指根据本次实战攻防演习需要，组织方同各参与方协商 确定本次攻防演习过程中的目标系统。考虑到网络安全工作的重要性和网络安全威胁现状，建议参演单位选择容易 遭受境外攻击或受到较大威胁的若干关键信息基础设施作为参演系统。为了达到 演习目的和保障演习效果，建议在正式演习前的准备阶段组织攻击方对较多的备 第2页选系统进行摸底调查和预备性攻击测试，从中选择有代表性的目标作为参演系统。1.1.2.1.2 ,明确演习时间根据实际工作部署明确攻防演习的具体时间。演习计划总时间为20个工作日。演习分为四个阶段，其中调研阶段1-2个 工作日，准备阶段2-3个工作日，演习阶段5-10个工作日，总结阶段3-5个工 作日，具体安排建议如下：> 调研阶段（1-2个工作日）与组织方人员召开会议，就演习目标系统选取、演习时间安排、约束条件 以及通报机制等内容开展调研工作，为后续演习顺利进行奠定基础。> 准备阶段（2-3个工作日）调研结束后，技术支撑人员以演习调研结果为基准，根据实际环境搭建演 习平台，并与组织方人员签署演习授权协议以及保密协议，保证演习过程中各参 与人员合理、合规开展演习工作。> 正式演习（5T0个工作日）演习领导小组组织所有参与本次演习的人员和单位召开会议，全面部署攻防 演习工作，对攻防双方提出明确工作要求、制定相关的约束措施，明确正式演习 时间，开始正式演习。> 总结汇报（3-5个工作日）演习结束后，演习领导小组组织专家、攻防双方对整个演习过程进行评估总 结，演习成果形成最终的评估报告。总结汇报工作完成后，开总结会议。1.1.2.1.3 v约束条件调研为了避免演习过程中攻击组的不当攻击行为对业务系统产生影响，从而导致 演习工作受阻或停滞，应根据客户实际环境对演习中客户系统所能接受的攻击方 式进行调研，以确保攻防演习工作不因攻击人员的攻击行为不当，而影响整个演 习工作的进行。攻击人员攻击约束方式包括但不限制于以下方式：>禁止使用的攻击方式 DDOS攻击ARP欺骗攻击、DHCP欺骗域名系统（DNS）劫持攻击感染与自动复制功能病毒多守护进程木马等攻击方式破坏性的物理入侵（例如：截断监听外部光纤等方式进行攻 击）通过收买防守方人员进行攻击在约定时间范围之外攻击在约定IP范围之外攻击谨慎使用的攻击方式物理攻击（如智能门禁、智能电表）通过内网端口大规模扫描获取权限后有侵害的操作修改业务数据内存溢出暴力破解大批量查询1.1.2.1.4v通报机制调研演习开始之前应根据客户实际需求调研，为演习参与人员建立有效的通报机 制，以方便在演习过程中快速对各类问题进行通报和处理。应在演习过程中设立演习专用电话，由演习领导小组指定人员值守。明确演 习过程中关键操作、成果必须报备演习领导小组审批后方可执行后续动作。如发 生但不限于以下情况时，应及时向演习工作组报备：发现防守方系统无法正常访问、攻击方IP地址被封等异常情况；发现系统层、应用层等方面漏洞、若干条有效入侵途径等；在任一途径成功获取网站/系统控制权限后；在内网进行横向扩展和渗透；其他可能存在风险的情况，例如：重启、服务器宕机等。第4页演习过程中，可能影响系统正常运行的操作应及时报告演习领导小组，待批 准方可执行，未经批准的操作引起的不良后果由攻击方自行承担。1.122、准备阶段准备阶段是对攻防演习前期工作的准备，根据本次攻防演习预期达到的目 标，梳理出前期需完成的工作，为后续演习正式开展提供保障。准备阶段主要 完成平台搭建、演习授权和保密协议等方面工作。1.1.2.2.1 v平台搭建可提供攻防演习平台搭建和调试，该平台可以为攻击人员分配网络资源， 可以通过展示大屏，展示整个攻击过程，同时可以对攻击方技术人员行为做审计, 防止攻击方人员越界做破坏行为，以保证整个攻防演习过程的安全。攻防演习平 台通过云平台方式为客户提供服务，客户不需要部署任何设备即可随时展开真实 的攻防演习。1.1.2.2.2 v平台功能实战攻防演习平台是 公司以多年实践经验和科研成果为基础自主研发而成 的，从攻击终端、网络通道、数据分析等各个环节充分保障演习的安全性、可靠 性、时效性和灵活性。攻防演习中使用该平台主要实现以下功能：可视化功能该平台可以直观的反映出攻守双方的实时攻防状态，可以对演习攻击方和防 守方现场实况和成果进行展示。 审计功能攻击方通过平台接入演习环境，在演习过程中所有的攻击行为都会被平台 记录，审计人员、专家组人员都可以通过平台对攻击组人员的攻击行为进行分 析和确认，以判断所有攻击行为是否合规。权限管理功能演习平台独有的后台管理系统，可实现对演习中专家、裁判、防守方、攻击方人员进行合理的权限分配，每个参与角色只能在其特定的角色权限中使用平台。实战攻防演习平台为使各参演组织、队伍更好地履行工作职责，保障演习过 程安全可控而设计，其系统架构如图所示：啾躺网络设备安全设备攻击主机代理服务器视频监控设备目标主机设备图表3：攻防演习平台系统架构实战攻防演习平台包括硬件和软件两大部分： 硬件设备：硬件设备主要涉及攻防演习平台所需的网络及环境基础设备, 主要由交换机、路由器、防火墙、IDS、IPS、WAF天眼分析平台、代理 服务器、视频监控设备、攻击主机及目标主机组成，硬件设备统一由云 平台提供支持，用户无需部署。软件系统：软件系统为攻防演习平台的核心系统，其中核心管理系统为 攻防演习平台的支撑系统，为攻击行为审计系统、后台管理系统、可视 化展示系统和视频监控系统提供支撑。攻击行为审计系统：通过安全设备收集的日志及流量进行审计及分 析，包括：应急处置、追踪溯源、漏洞特征分析、日志收集分析、 攻击行为手段分析，将分析结果推送给核心管理系统进行集中管理， 第6页核心管理系统把相关攻击行为推送到可视化展示系统进行展示； 后台管理系统：主要对攻防演习过程进行集中管理，包括：平台管 理、队伍管理、人员管理、资产管理、成绩管理、报表管理和日志 管理； 可视化展示系统：提供可供投放到大屏幕的动态可视化界面，主要 包括网络安全攻防演习实况展示、网络安全攻防演习成果展示、网 络安全攻防演习可用性检测、网络安全攻防演习网络监控； 视频监控系统：对攻防演习的攻守双方进行实时监控，通过监控各 角色人员行为保障攻防演习过程安全可控。包括：裁判人员行为监 控、运维人员行为监控、审计人员行为监控、防守方行为监控、进 攻击方行为监控。1.1.2.2.4v平台部署实战攻防演习平台服务部署时包括：攻击场地、防守场地、指挥大厅、攻击 行为分析中心四个部分。攻击方通过有效的身份验证后可采用场内攻击或场外攻 击以及不同的网络攻击方法进行攻击，防守方则对攻击方的攻击行为进行实时防 守。攻击行为分析中心则对整个攻击行为进行收集及分析，由日志分析得出攻击 步骤，建立完整的攻击场景，直观地反应目标主机受攻击的状况，实时监控攻击 过程，并通过可视化大屏实时展现。指挥大厅则通过视频监控对整个攻防过程进 行实况监控。实战攻防演习平台拓扑架构如图所示：图表4：平台网络拓扑图 指挥大厅演习过程中，攻击方和防守方的实时状态将接入到指挥大厅的监控大屏，领 导可以随时进行指导、视察。 攻击目标信息系统攻击目标信息系统即企业的网络资产系统，防守方在被攻击系统开展相应的 防御工作。 攻击行为分析中心攻击行为分析中心通过部署网络安全审计设备对攻击者攻击行为进行收集 及分析，由日志分析得出攻击步骤，建立完整的攻击场景，直观地反应目标主机 受攻击的状况，实时监控攻击过程，并通过可视化大屏实时展现。 攻击场地攻击场地可分为场内攻击和场外攻击，通过搭建专用的网络环境并配以充足 的攻击资源。正式攻击阶段，攻击小组在对应场所内实施真实性网络攻击。场地 内部署攻防演习监控系统，协助技术专家监控攻击行为和流量，以确保演习中攻 击的安全可控。1.1.2.2.5v演习授权演习开始前期，由演习工作组织方对第三方攻击团队进行正式授权，确保 演习工作在授权范围内有序进行。所有攻击组应在获取演习攻击授权后，才可 对演习目标开展演习攻击。演习授权书详见“附件一：攻防演习授权委托 书”。1.1.2.2.6保密协议为了防止攻防演习过程中泄露客户信息，与客户签订保密协议，对参演服 务人员提出保密要求，确保参演服务人员认同、认可泄露客户信息的严重后果, 提高参演服务人员保密意识。保密协议详见“附件二：攻防演习保密协议”。1.1.23.演习阶段演习阶段作为实战攻防演习的重要阶段，主要包括攻击过程、过程监控、成 果提交、应急处置和成果研判等工作。在前期准备工作基础上，对真实网络环境 中