实战攻防演习服务投标方案

1、 实战攻防演习服务-投标方案 目录一、 项目技术方案11.1、 实战攻防演习服务11.1.1、 服务内容11.1.2、 服务方法21.1.3、 交付成果211.1.4、 服务优势211.1.5、 服务范围（略）22I一、 项目技术方案1.1、 实战攻防演习服务1.1.1、 服务内容实战攻防演习是有组织、有目的的，通过对实际环境的攻击，以达到分析参演目标安全风险，检验参演单位防守能力，最终提升安全防御能力的要求的演习。实战攻防演习方案设计是根据实际演习中各参与方的所需完成的工作，围绕既定目标，按照共同参与，攻防兼备的原则，对攻防演习工作各环节展开描述。图表 1：攻防演习架构图整个演习工作由演习组织单位对全局进行把控协调，攻击组和防守组按照演习约定分别对演习目标开展真实的攻击和阻断防护。为了能够对攻防演习过程进行实时情况了解，在攻防演习中，引入了 集团（以下简称 ）自有的攻防演习平台，为攻防演习过程提供统一网络资源，演习成果提交，攻击过程行为审计，通过攻防演习平台可视化功能对演习过程进行实时展示，方便演习组织者及时了解演习状态。1.1.2、 服务方法实战攻防演习服务是根据实际演习参与的角色

2、和特点，按照阶段划分的原则，针对每个阶段所需完成的工作逐步进行详细描述的方案。这四个阶段分别为：调研阶段，准备阶段，演习阶段和总结阶段。各阶段所需进行的工作如图所示：图表 2：攻防演习各阶段1.1.2.1、 调研阶段需求调研是攻防演习的首要环节，决定后续的工作方向。需求调研主要针对此次攻防演习的背景、组织单位、参与部门、演习目标及演习时间等内容进行明确，并对后续的工作内容进行职责划分。通过需求调研，本次攻防演习需要达到的目标得以明确。 针对演习需达到的目标，逐步开展演习工作，确保本次攻防演习按既定要求顺利完成。 通过和组织方召开项目会议的方式，加强与组织方沟通，明确此次攻防演习的具体需求。1.1.2.1.1、 目标系统选取演习目标系统选取是指根据本次实战攻防演习需要，组织方同各参与方协商确定本次攻防演习过程中的目标系统。考虑到网络安全工作的重要性和网络安全威胁现状，建议参演单位选择容易遭受境外攻击或受到较大威胁的若干关键信息基础设施作为参演系统。为了达到演习目的和保障演习效果，建议在正式演习前的准备阶段组织攻击方对较多的备选系统进行摸底调查和预备性攻击测试，从中选择有代表性的目标作为参

3、演系统。1.1.2.1.2、 明确演习时间根据实际工作部署明确攻防演习的具体时间。演习计划总时间为20个工作日。演习分为四个阶段，其中调研阶段1-2个工作日，准备阶段2-3个工作日，演习阶段5-10个工作日，总结阶段3-5个工作日，具体安排建议如下： 调研阶段（1-2个工作日） 与组织方人员召开会议，就演习目标系统选取、演习时间安排、约束条件以及通报机制等内容开展调研工作，为后续演习顺利进行奠定基础。 准备阶段（2-3个工作日）调研结束后， 技术支撑人员以演习调研结果为基准，根据实际环境搭建演习平台，并与组织方人员签署演习授权协议以及保密协议，保证演习过程中各参与人员合理、合规开展演习工作。 正式演习（5-10个工作日）演习领导小组组织所有参与本次演习的人员和单位召开会议，全面部署攻防演习工作，对攻防双方提出明确工作要求、制定相关的约束措施，明确正式演习时间，开始正式演习。 总结汇报（3-5个工作日）演习结束后，演习领导小组组织专家、攻防双方对整个演习过程进行评估总结，演习成果形成最终的评估报告。总结汇报工作完成后，开总结会议。1.1.2.1.3、 约束条件调研为了避免演习过程中攻击组

4、的不当攻击行为对业务系统产生影响，从而导致演习工作受阻或停滞，应根据客户实际环境对演习中客户系统所能接受的攻击方式进行调研，以确保攻防演习工作不因攻击人员的攻击行为不当，而影响整个演习工作的进行。攻击人员攻击约束方式包括但不限制于以下方式： 禁止使用的攻击方式l DDOS攻击l ARP欺骗攻击、DHCP欺骗l 域名系统（DNS）劫持攻击l 感染与自动复制功能病毒l 多守护进程木马等攻击方式l 破坏性的物理入侵（例如：截断监听外部光纤等方式进行攻击）l 通过收买防守方人员进行攻击l 在约定时间范围之外攻击l 在约定IP范围之外攻击 谨慎使用的攻击方式l 物理攻击（如智能门禁、智能电表）l 通过内网端口大规模扫描l 获取权限后有侵害的操作l 修改业务数据l 内存溢出l 暴力破解l 大批量查询1.1.2.1.4、 通报机制调研演习开始之前应根据客户实际需求调研，为演习参与人员建立有效的通报机制，以方便在演习过程中快速对各类问题进行通报和处理。应在演习过程中设立演习专用电话，由演习领导小组指定人员值守。明确演习过程中关键操作、成果必须报备演习领导小组审批后方可执行后续动作。如发生但不限于以下情

5、况时，应及时向演习工作组报备： 发现防守方系统无法正常访问、攻击方IP地址被封等异常情况； 发现系统层、应用层等方面漏洞、若干条有效入侵途径等； 在任一途径成功获取网站/系统控制权限后； 在内网进行横向扩展和渗透； 其他可能存在风险的情况，例如：重启、服务器宕机等。演习过程中，可能影响系统正常运行的操作应及时报告演习领导小组，待批准方可执行，未经批准的操作引起的不良后果由攻击方自行承担。1.1.2.2、 准备阶段准备阶段是对攻防演习前期工作的准备，根据本次攻防演习预期达到的目标，梳理出前期需完成的工作，为后续演习正式开展提供保障。准备阶段主要完成平台搭建、演习授权和保密协议等方面工作。1.1.2.2.1、 平台搭建 可提供攻防演习平台搭建和调试，该平台可以为攻击人员分配网络资源，可以通过展示大屏，展示整个攻击过程，同时可以对攻击方技术人员行为做审计，防止攻击方人员越界做破坏行为，以保证整个攻防演习过程的安全。攻防演习平台通过云平台方式为客户提供服务，客户不需要部署任何设备即可随时展开真实的攻防演习。1.1.2.2.2、 平台功能实战攻防演习平台是 公司以多年实践经验和科研成果为基础自主

6、研发而成的，从攻击终端、网络通道、数据分析等各个环节充分保障演习的安全性、可靠性、时效性和灵活性。攻防演习中使用该平台主要实现以下功能： 可视化功能该平台可以直观的反映出攻守双方的实时攻防状态，可以对演习攻击方和防守方现场实况和成果进行展示。 审计功能攻击方通过平台接入演习环境，在演习过程中所有的攻击行为都会被平台记录，审计人员、专家组人员都可以通过平台对攻击组人员的攻击行为进行分析和确认，以判断所有攻击行为是否合规。 权限管理功能演习平台独有的后台管理系统，可实现对演习中专家、裁判、防守方、攻击方人员进行合理的权限分配，每个参与角色只能在其特定的角色权限中使用平台。1.1.2.2.3、 平台体系实战攻防演习平台为使各参演组织、队伍更好地履行工作职责，保障演习过程安全可控而设计，其系统架构如图所示：图表 3：攻防演习平台系统架构实战攻防演习平台包括硬件和软件两大部分： 硬件设备：硬件设备主要涉及攻防演习平台所需的网络及环境基础设备，主要由交换机、路由器、防火墙、IDS、IPS、WAF、天眼分析平台、代理服务器、视频监控设备、攻击主机及目标主机组成，硬件设备统一由云平台提供支持，用户无需

7、部署。 软件系统：软件系统为攻防演习平台的核心系统，其中核心管理系统为攻防演习平台的支撑系统，为攻击行为审计系统、后台管理系统、可视化展示系统和视频监控系统提供支撑。l 攻击行为审计系统：通过安全设备收集的日志及流量进行审计及分析，包括：应急处置、追踪溯源、漏洞特征分析、日志收集分析、攻击行为手段分析，将分析结果推送给核心管理系统进行集中管理，核心管理系统把相关攻击行为推送到可视化展示系统进行展示；l 后台管理系统：主要对攻防演习过程进行集中管理，包括：平台管理、队伍管理、人员管理、资产管理、成绩管理、报表管理和日志管理；l 可视化展示系统：提供可供投放到大屏幕的动态可视化界面，主要包括网络安全攻防演习实况展示、网络安全攻防演习成果展示、网络安全攻防演习可用性检测、网络安全攻防演习网络监控；l 视频监控系统：对攻防演习的攻守双方进行实时监控，通过监控各角色人员行为保障攻防演习过程安全可控。包括：裁判人员行为监控、运维人员行为监控、审计人员行为监控、防守方行为监控、进攻击方行为监控。1.1.2.2.4、 平台部署实战攻防演习平台服务部署时包括：攻击场地、防守场地、指挥大厅、攻击行为分析中

8、心四个部分。攻击方通过有效的身份验证后可采用场内攻击或场外攻击以及不同的网络攻击方法进行攻击，防守方则对攻击方的攻击行为进行实时防守。攻击行为分析中心则对整个攻击行为进行收集及分析，由日志分析得出攻击步骤，建立完整的攻击场景，直观地反应目标主机受攻击的状况，实时监控攻击过程，并通过可视化大屏实时展现。指挥大厅则通过视频监控对整个攻防过程进行实况监控。实战攻防演习平台拓扑架构如图所示：图表 4：平台网络拓扑图 指挥大厅演习过程中，攻击方和防守方的实时状态将接入到指挥大厅的监控大屏，领导可以随时进行指导、视察。 攻击目标信息系统攻击目标信息系统即企业的网络资产系统，防守方在被攻击系统开展相应的防御工作。 攻击行为分析中心攻击行为分析中心通过部署网络安全审计设备对攻击者攻击行为进行收集及分析，由日志分析得出攻击步骤，建立完整的攻击场景，直观地反应目标主机受攻击的状况，实时监控攻击过程，并通过可视化大屏实时展现。 攻击场地攻击场地可分为场内攻击和场外攻击，通过搭建专用的网络环境并配以充足的攻击资源。正式攻击阶段，攻击小组在对应场所内实施真实性网络攻击。场地内部署攻防演习监控系统，协助技术专家监

9、控攻击行为和流量，以确保演习中攻击的安全可控。1.1.2.2.5、 演习授权演习开始前期，由演习工作组织方对第三方攻击团队进行正式授权，确保演习工作在授权范围内有序进行。所有攻击组应在获取演习攻击授权后，才可对演习目标开展演习攻击。演习授权书详见“附件一：攻防演习授权委托书”。1.1.2.2.6、 保密协议为了防止攻防演习过程中泄露客户信息， 与客户签订保密协议，对参演服务人员提出保密要求，确保参演服务人员认同、认可泄露客户信息的严重后果，提高参演服务人员保密意识。保密协议详见“附件二：攻防演习保密协议”。1.1.2.3、 演习阶段演习阶段作为实战攻防演习的重要阶段，主要包括攻击过程、过程监控、成果提交、应急处置和成果研判等工作。在前期准备工作基础上，对真实网络环境中的系统开展攻击和防守，以获取目标系统的最高控制权为目标，检验客户人机结合、协同处置等方面的综合防护能力，同时通过对攻击过程的监控和应急处置，保障整个攻击过程的安全。1.1.2.3.1、 攻击过程演习开始后，攻击方利用网络攻击的技术手段，在不影响客户业务系统可用性的前提下，对目标系统开展攻击演习。攻击方将按照网络边界打点突破，内网资产发现并深入挖掘漏洞，从而实现横向渗透，进而实现整个网络的夺权思路，达成攻击目的。攻击方在对某系统进行有针对性的、有组织的入侵攻击时，通常会首先制定攻击策略、规划攻击线路，攻击者分工合作，力争在短时间内取得最大战果，常见的攻击步骤和方法如下：图表 5：攻击线路示意图1.1.2.3.2、 信息探测与收集信息探测与收集属于攻击前的准备环节，攻击人员通过对目标信息系统开展一系列的工具探测，人工收集，利用一切能利用的技

《实战攻防演习服务投标方案》由会员我****海分享，可在线阅读，更多相关《实战攻防演习服务投标方案》请在金锄头文库上搜索。