一、活动及演练准备阶段

1.1 活动准备工作

• 成立专项安全保障小组

专项小组理论上应包含但不限于如下角色：

• 编写安全演练保障方案

重大活动及攻防演练保障方案，建议包括但不限于如下内容：

    网络安全保障范围：确认具体靶标系统或对外需重点关注的应用及系统；

    网络安全职责分工：明确安全活动保障期间网络安全应急响应的组织架构和具体工作内容，包括：网络安全领导小组、安全指挥小组、安全运营小组，产研线、运维以及外部安全专家团队等；

    网络安全保障措施：包括应用层面、系统主机层面、网络层面 、数据安全层面以及物理层面需要加强保障的风险点；

    网络安全自查自改：具体的内部安全检查条例和检查方法，可参考自家企业的安全基线等；

    网络安全应急值守清单：安全保障期间网络安全应急响应组织架构中每个人，以及其备选人员的具体联系方式和职能说明；

    网络安全事件应急处置预案：具体网络安全事件的处置方法和案例，例如遇到被通报安全漏洞、或者发现木马病毒等，如何具体的去对接和排查等，各企业应在日常安全工作中记录形成安全应急响应SOP，方便保障或安全演练活动中直接使用。

1.2 攻击路径梳理

1.3 企业暴露面资产梳理

    外部暴露面资产收集：可通过网络空间测绘站点或者工具进行外部暴露资产探测，包括不限于：quake、hunter、fofa、zoomeye、shodan、00信安等；

    外部暴露面资产收集维度：企业主体、主域名、子域名、外网IP地址、外网端口服务、云服务、网站、证书、API接口、公众号、小程序、移动APP、企业邮箱及其他企业人员联系方式（企微、脉脉等）、OssBucket、企业数据泄露（暗网/文库/Github）等；

    暴露面资产风险收敛：排查是否存在失效或错误配置的ACL策略，确认存在风险隐患后予以删除或修正；渗透测试，对API接口，web系统，移动App，小程序，公众号进行全面的安全测试，挖掘潜在漏洞，可以自行开展，也可以借助三方服务完成(安全众测，安全服务，红蓝对抗，专项SRC等)；被泄露数据风险评估，对于可以删除清理的予以处置，对于无法短时间处理的予以重点监控。

1.4 专项应急预案制定

专项应急预案应该具备如下特点：实用可落地、简单易执行、专业有流程。
具体可参考如下模板:

二、网络安全自查自改阶段

2.1 人员安全管理

在任何企业中，员工的安全意识建设都是最重要的一环，究其原因人为因素无法通过技术手段完全解决。因此重要保障或安全演练期间，人员安全的管理极为重要。我们可以通过如下几种方式去进行人员管理方面的自查自改。

• 邮件钓鱼演练

安全保障或演练活动前，进行一场钓鱼演练，验证企业全员的安全意识水位，提升全员安全意识是非常有必要的。
具体的钓鱼演练方案可以参考如下文章。

• 钓鱼邮件防守全员通知

【邮件标题】：关于“xxx”期间公司网络安全保障工作的通知

【邮件正文】：

各全资公司、控股子公司，总部各部门：

为保障“xxxx”期间公司网络安全，结合公司实际网络情况，请各单位、部门及员工做好网络安全保障工作，具体要求如下：

（1）员工应主动学习网络安全知识与技能，提升网络安全意识。

（2）禁止点击并访问钓鱼网站；

（3）禁止向钓鱼网站提交账号密码以及个人信息、银行卡号等敏感信息；

（4）禁止安装来历不明或盗版的软件；

（5）发现非*@test.com，非可信合作商邮件请勿点击访问网站，及时通过（企微、飞书）等上报IT部门；

（6）若有非企业微信人员假借“同事”名义要求点击不明了链接，安装不明软件脚本等请及时上报给IT部门；

• 安全意识培训

    【培训内容】：特殊时期内容应更有针对性，主要偏向于：防欺诈钓鱼案例、疑似钓鱼反馈上报流程等。建议增设对应的接口人处理钓鱼攻击事件、推动漏洞修复，缩短处置时长，保障企业安全保障或演练期间的安全性；当然人力资源充足的情况下，若能将人员安全管理的流程规范化，将安全演练及安全培训常态化是再好不过的选择。

    【培训统计指标】：全员覆盖率、实际参会率、考试通过率、满意度等；

2.2 网络安全保障

网络安全方面，主要针对网络设备、安全设备、应用网关等系统进行策略方面的检查：

    【检查是否存在“全通”的访问策略】：确保目前已有策略均按照"按需开放，最小开放"的原则开放，不存在协议和端口均为any的策略条目。这块儿理论上可结合申请流程对比排查，保证每条策略的开放关闭均有权属明细和审批记录。

    【检查是否存在过期或多余访问策略】：确保企业相关设备及系统中无多余或过期的网络策略，在与权属部门沟通确认后，应有序推动过期及多余策略的修改或关闭，例如一些因对外测试联调临时开放的端口和服务策略应及时关闭，若无法及时关闭，至少保证存在白名单的策略；

    【检查是否存在高危端口服务对外】：减少非必要端口服务、互联网出入库、及远程访问手段，确保未对互联网开放例如：22，23，3389,以及873、3306，6379、9200等；

    【检查是否存在弱口令】：着重检查对外系统是否存在测试账号密码、多余账号密码、使用默认账号密码以及弱密码、空密码等情况。针对网络设备、安全设备及应用网关等重要系统，应定期进行相关账号密码检查，及时清理离职员工或临时开通的测试账号等，以防被有机可乘；

    【策略规则配置备份】：确保核心网络设备、安全设备、应用网关的策略规则存在备份，一旦因误操作或迁移导致规则缺失，可以立马回滚补缺，以防防护策略失效；

2.3 系统安全保障

    针对服务器，建议结合主机漏洞扫描器、HIDS等工具排查是否存在严重、高危级别漏洞待修复升级；

    针对服务器，建议通过HIDS等安全设备排查是否存在异常外联，着重排查生产环境及测试环境；

    针对主机类漏洞，建议将无需重启主机及服务的严重，高危级别漏洞进行修复，对于无法及时修复的主机，建议通过HIDS等主机安全设备进行监控。

2.4 应用安全保障

• 渗透测试：

    渗透测试范围包括不限于：API接口、WEB系统、小程序、APP、公众号等；

    针对外网应用，包括不限于生产应用以及对外联调应用进行渗透测试，排查是否存在弱口令、SQL注入、命令执行、SSRF等风险较高的严重、高危级别漏洞；

    由内部安全人员自发性的安全测试，加上购买三方安全服务（渗透测试、安全众测等），尽可能覆盖对互联网公开的风险面。

• 漏洞扫描：

    黑盒扫描：建议根据企业实际情况针对核心或全量应用、主机进行漏洞扫描，尽量避免存在未知不可监控的严重、高危级别漏洞（主要指扫描后人工验证后的漏洞）。

    白盒扫描：建议针对企业核心项目代码，进行代码扫描，并人工进行验证确认，尽量避免存在：SQL注入、命令执行、SSRF、XXE等风险较高可能外带数据的严重、高危级别漏洞。

• 未修复漏洞治理

针对应用类漏洞，必需将严重、高危级别漏洞修复，若因客观条件实在无法修复的外网应用建议新增防御规则，通过WAF等安全设备进行攻击行为的监控和拦截。

2.5 办公安全检查

通过办公区域全流量设备，排查办公电脑是否存在异常外联；

通过集中的终端管理平台，排查办公电脑是否全部覆盖；

通过集中的终端管理平台，排查办公电脑系统是否存在严重的提权漏洞，排查办公电脑安装的第三方软件是否存在严重、高危的命令执行漏洞，若存在以上风险，及时升级修复；

排查终端安全设备或者终端管控设备是否可以有效识别常见木马程序、外发协议，并对其进行查杀阻断；

通过自定义脚本程序，或者BAS设备，排查终端安全设备或者终端管控设备的安全策略是否失效。

2.6 数据安全保障

针对重要系统数据，从如下几方面进行保障：

核对数据备份设备工作状态，确保备份正常：

验证异地数据备份有效性，确保备份正常：

验证数据服务器冗余有效性。确保数据库故障切换正常；

对于上述检查过程中存在异常或者策略无效的备份系统进行标记，明确改进措施及排期，专人跟进处理。

三、活动及演练安全预演阶段

若企业内部具备自建红蓝军能力，可以自主进行攻防演练，模拟实战中可能发生的攻击，尽可能突破薄弱边界，验证企业的安全防御能力是否到位；

若企业内部不具备自建红蓝军能力，尽可能购买三方服务，包括不限于：红蓝对抗、安全众测等。建议不要自我设限，禁止类似邮件钓鱼、通讯软件钓鱼之类的攻击场景，全面模拟真实场景。

四、活动及演练保障阶段

4.1 应急防守

重大保障活动及演练保障期间，企业应安排专岗的安全人员进行值守防护，主要工作内容，包括不限于：

【监控预警】：通过反入侵设备，监测来自外部的攻击，通过分析往来业务流量，挖掘潜在威胁，并推送给安全人员进行进一步分析确认；

【分析研判】：针对安全设备推送的告警，进行进一步的分析确认。这是因为大多数告警是通过规则匹配，存在一定误报率，人工分析判定是降低误报的最有效技术手段；

【应急处置】：一旦人工确认存在事实安全事件，紧急启动安全应急响应流程，进行处置，及时止损；

【应急恢复】：排查处置安全事件的同时，快速恢复业务，以免影响正常业务是应急防守过程中必不可少的一环。

4.2 阶段汇报

企业重大保障或安全演练期间，为了让领导能够实时了解安全保障进度和状态，建议建立专项沟通群组，将信息安全相关领导及执行人员全部拉入，包括不限于：技术条线高管、信息安全负责人、运维负责人、信息安全人员以及其他相关技术负责人或执行人员。

4.3 汇报方式

    阶段性报告：由安全值守人员整理安全监测报告发布到演练期间专项沟通群组内，并着重提醒直属领导关注；

    每日总结报告：由安全值守人员整理全天的安全监测态势报告，内容包括不限于：由安全设备主动阻断的攻击数、人工风险处置数、实际确认攻击行为数量，以及风险处置整改进度等；

    值守报告模板：可参考如下《信息安全演练值守保障日报》模板自我调整：

4.4 汇报频次

阶段性报告：建议每天发2-3次，具体频次可参考如下，具体时间范围可根据各家企业实际情况予以调整。

12:05左右发送当天9:00-12:00的监测日报到专项群组；

15:05左右发送当天12:00-15:00的监测日报到专项群组；

18:05左右发送当天15:00-18:00的监测日报到专项群组；

每日总结汇报：

18:30前邮件及专项群组发送当天的每日总结汇报。

五、复盘总结阶段

重大活动及攻防演练完成后，一般需要信息安全人员出具复盘总结报告。
一来说明活动前后进行的工作部署，二来说明演练成果，通过前后数据对比，证明工作价值，同时针对演练过程中发现的一些安全防御能力上的不足予以复盘分析，并进行项目排期。
具体内容可参考如下模板：

xxxx年-信息安全演练工作部署：

xxxx年信息安全演练总结：