中国移动通信网“铸盾2020”内部网络安全攻防演习方案.docx-淘文阁

资源描述

《中国移动通信网“铸盾2020”内部网络安全攻防演习方案.docx》由会员分享，可在线阅读，更多相关《中国移动通信网“铸盾2020”内部网络安全攻防演习方案.docx（28页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、中国移动通信网络“铸盾2020”攻防演习方案资产抽查与整改集团网络事业部将对各省互联网暴露面资产梳理情况开展抽查工作，每月对各省公司抽查结果进行排名通报，各省公司应该依据通报结果举一反三，加强自查整改。优化各类安全设备策略各省公司对已经部署的各类安全设备部署的合理性进行排查优化，对设备的防护、监测、响应策略进行持续调优，确保各类安全设备能够进一步精确防护、监测、响应。完善防护、监测、响应技术手段各省公司应结合自身实际情况，集中安全资源，开展互联网暴露面和重要信息系统的安全防护、监测、响应技术手段建设。（二）常态化演习阶段（4月中旬至11月）总部计划组织各省公司开展三轮次攻防演习，演习

2、的形式主要分为有通知和无通知演习两种方式。有通知网络攻击演习流程网络事业部将在演习平台上发起有通知网络攻击演习活动，明确告知各省攻击时间、目标。省公司根据防御方案进行监测处置，该演习方式重点检测各省公司安全监测手段的有效性和防守人员操作规程熟悉度。为了便于区分演习攻击和真实攻击，攻击队会在演习攻击流量中加入 “taishanceshi+md5hash” 格式的关键字符串，其中md5hash 值用于区分每省的攻击流量。无通知网络攻击演习流程网络事业部每月将在统一演习平台上挑选十个省份发起无通知网络攻击演习活动，活动工单中明确告知本次演习持续时间段。攻击队随机对参与演习的省公司资产发

3、动攻击，攻击方式、工具、时间等均为随机的，省公司防守方需开展7*24监测，实时发现攻击行为，并进行防御处置，形式贴近实战，该演习方式可以较为全面的检验防守方在人员值守、实时监测、攻击溯源、应急处置等全环节的防护水平。演习期间省公司发现网络安全攻击后，须将监测情况和处置结果通过平台上报，对上报结果进行研判。(1) 攻击队对目标系统进行各类安全攻击，包括但不限于系统漏洞扫描、web漏洞扫描、信息泄漏扫描、弱口令扫描以及人工渗透等流程。(2) 攻击队对防守方的某互联网暴露面资产发起攻击行为测试(并非成功入侵事件)，要求各防守方能在规定的时间范围内(攻击发生10分钟内)监测发现攻击事

4、件，并于演练结束2小时内将截图等证据文件上报至演习平台。本环节将对每个省发起两次攻击，要求能够全部监测发现。(3) 防守方在演习期间，按日将监测到的被攻击事件证据通过平台上报，由泰山队专家组与攻击队发起的攻击事件证据进行比对，检验各省日常状态下网络安全监测能力。泰山队专家组会根据各省监测情况对安全演练成绩单独评分。(4) 攻击结束后，统一演习平台会将演习中发现的漏洞信息转派至归属省公司账号名下，由各省公司确定设备归属及问题确认，最终泰山队专家组会根据各省反馈情况进行评分，并按照附件6完成整体评分。开展演习阶段总结整改对每次攻击发现各省公司的问题，进行举一反三整改。对常见攻击手

5、法进行总结和针对性整改，详见附件6：铸盾2020专项行动常见攻击手法应对。(三)重点演习阶段(根据上级安排时间待定)本部分工作时间安排将根据国家级攻防演练进行动态调整。主要工作内容如下：成立防守团队在实际保障阶段，各省公司成立参与部门齐全、人手充足的防守团队，并制定详细值班表。10开展值守监测各省公司7*24小时值班，对系统的安全状态、安全设备告警进行监控，并根据实际环境协助完善安全设备的告警规则，通过合理的规则配置，及时发现正在发生的安全事件以及现潜在的安全风险，并及时定位问题、处理问题、形成记录。开展应急处置当安全威胁事件发生后，各省公司应迅速采取的措施和行动，并形成记录，阻

6、止和降低安全威胁事件带来的严重性影响，保障系统平稳运行，维护业务系统的安全。开展溯源反制在保障期间，各省公司应依据经验或开源威胁情报数据，溯源攻击者的行为、攻击历史、攻击特征、攻击个人信息等内容，最后形成安全溯源反制报告。各省公司可在能力范围内，对一些攻击者的攻击源，采用合法的攻击手段，对其进行反制攻击，并在目标机器上获取攻击者的攻击个人信息，形成反制报告。重要信息上报在专项行动保障阶段，实行“多方汇集，统一报告”的汇报机制, 各省公司对于发现的重要事件、可疑行为，应及时上报集团网络事业11部。重大事件汇报为事件发生十分钟以内，常规汇报为每日一次，汇报内容包括：监控情况、应急检查情

7、况、溯源取证情况以及应对措施等。（四）总结评价阶段（12月）演习总结各省公司应对行动中的成果进行深入总结，进而将经验固化至相关的规章制度中，形成常态化、制度化成果，并对行动中发现的相关问题进行快速整改，形成整改方案，做到举一反三。各省公司依据整改方案制定整改计划，鼓励各省公司上报新型的、创新的精细化安全监测、防护、处置等方案。总部组织专家评审全网总结优秀案例，纳入演习成果案例库进行全网推广，提升全网攻防实战水平。考核评价总部依据附件7铸盾2020专项行动评估测试评分规则按照各省发现演习攻击、威胁处置、被成功入侵事件的数量等因素综合考评打分，本次演习成绩纳入各省公司年度网络工作考

8、评。12附录附件1：铸盾2020专项行动保密协议与测试行为规范承诺书保密协议与测试行为规范承诺书为保障中国移动网络与信息安全，本人承诺在测试相关网络与信息网络资源、网络设备以及有关业务应用系统的过程中严格遵守国家相关法律法规和中国移动有关信息安全和保密规定，以及测试人员行为规范，并签订承诺书如下：第一条保密信息约定此次网络安全漏洞测试工作中所涉及到的保密信息包括（但不限于）以下内容：用户信息、平台技术信息、网络拓扑信息、登录用户名与密码、所挖掘到的漏洞信息等。第二条测试人员保密责任及义务1 .对于向中国移动提交的漏洞，保证是通过自身知识技能发现漏洞，且保证研究发现漏洞的方式方法、工

9、具及手段合理合法，中国移动对此不承担任何法律责任；2 .保证不能利用各种技术手段破坏、扰乱中国移动网站及业务系统的信息安全；3 .保证该保密信息仅用于与测试有关的用途，不得将涉及被测系统保密的信息用于测试项目以外的任何用途。除为执行测试项目目的外，不得对保密信息进行复制，对外泄漏。未经中国移动同意，也不得利用保密信息进行新的研究或开发；4 .保证对保密信息予以妥善保管，并对保密信息在测试期间发生的非技术原因失密事故承担保密责任；5 .非经中国移动授权，不得将本承诺书所涉及的各项安全信息保存在非中国移动所属（如个人自有设备或外部安全云存储网络空间）的个人网络存储空间或移动存储介质之

10、中；136 .若违反本保密协议的保密条款，如发生失、泄密，造成严重损失和影响的，中国移动将依法追究法律责任。第三条其他本保密承诺书，由测试人员签字生效，并严格按照本承诺书遵守执行，中国移动监督执行。附录测试人员行为规范凡参与本次网络安全漏洞测试工作的测试人员必须遵守以下行为规范，包括但不限于：1 .禁止对规定被测对象外的中国移动网站和系统进行测试；2 .禁止采取破坏性攻击方式；3 .禁止恶意删除、修改和复制重要数据；4 .禁止损坏中国移动业务系统的稳定性和可用性；5 .禁止收集下载用户信息等敏感信息；6 .禁止向第三方泄露相关漏洞信息；7 .禁止对被测对象功能和应用程序进行删除、修改或增

11、加8 .禁止故意制作、传播计算机病毒等破坏性程序；9 .禁止利用中国移动网站及相关服务进行存储、发布、传播违反国家法律法规、涉及国家秘密或安全、妨碍互联网运行安全等信息和内容；10 .禁止使用、修改、复制、公开传播、改变、散布、发行或公开发表与中国移动相关的知识产权信息（包括但不限于商标权、专利权、著作权、商业秘密等）；11 .禁止其他危害计算机信息网络安全的行为。若违反以上规范，中国移动有权取消您此次众测活动资格，如因您上述行为给中国移动造成损失，中国移动会依据实际情况采取不同力度的处罚措施，对于严重侵入行为，中国移动有权追究其法律责任。测试人员（签字）：14附件2：铸盾2020专

12、项行动安全意识宣贯方案（一）社会工程学意识教育开展覆盖全体员工和第三方人员的社会工程学攻击手段及防范教育，内容应包括电子邮件钓鱼、短信钓鱼、电话钓鱼、人员接触方面的社会工程学攻击防范意识教育，重点宣贯内容包括：1 .不准设置弱口令；2 .不准使用非工作邮箱代收工作邮件；3 .不准点击来路不明邮件中的链接或打开附件；4 .不准将账号与口令明文保存于终端上；5 .不准将系统设计文档、网络拓朴等敏感信息存放于服务器上;6 .不准将本人使用的账号与口令告知他人；7 .不准在互联网上的外部网站或应用（如论坛、微博、即时通信软件等）上使用与公司设备、系统上相同的账号或口令；8 .不准允许来路不明的人

13、员远程控制公司内各类设备或执行其告知的各项指令；9 .不准将网站或系统源代码上传至互联网上；10 .不准设置公司内业务系统为自动登录；11 .不准私自在办公网络及其他内网中搭建无线热点；12 .不准将终端同时跨接内外网；13 .不准未经审批开通内部系统的互联网出口（二）开放区域/办公区域风险防范检查营业厅、展示厅等向公众开放区域的防范措施，具体要求15包括：1 .检查开放区域的公共WiFi防护措施。开放区域的公共WiFi 应具备流量监控技术能力，与内网实施隔离控制；2 .检查核实开放区域内搜索到的共享WiFi。禁止所有员工在开放区域工作终端上开启共享WiFi；3 .检查开放区域内向客户开放

14、区域的所有网络接口以及连接的终端，核实其是否与内网进行隔离，确保外部人员不能通过这类网口访问内网；4 .检查开放区域办公区域的工作终端的防护措施。工作终端应具备阻止无关人员使用工作终端的物理措施和上网审计等技术能力。各省公司应检查本单位办公楼宇、营业厅的工作专用区域等非开放的办公区域的门禁管理措施。所有办公区域应具备对进入场所的外来人员进行身份核验检查的有效措施，防止无关人员进入办公区域。（三）第三方安全风险防范各省公司明确各第三方网络安全任部门，明确第三方其网络安全责任界面划分及罚则，对能接触到网络设施和信息系统的重点岗位的操作行为进行记录与审计；对演习备战及实施期间的场地

15、进入、设备接入等情况需事先审批并采取有效防护措施。各省公司需加强第三方账号管理，对第三方人员所持账号执行严格的实名管理和行为审批机制，禁止共用账号、禁止外部人员长16 期掌握我公司自有系统高权限账号；严格检查第三方人员涉及的相关系统、邮件、人员、代码、业务组件等安全情况，理清责任边界，防止内部信息被上传至互联网。各省公司需加强对于供应链（第三方）的管理，可以采用的方法有以下几种：1 .建立规范的第三方管理制度。各省公司应根据自身情况，建立适合自身的第三方人员安全管理制度，并且与第三方单位签订保密与责任协议。2 .建议各省公司定期从各代码开放平台（如Github、码云等）搜索属于

16、本单位系统代码的信息，如有发现则需责令相应支撑方人员对其进行下架，修改已暴露在互联网上的账号与密码，防止攻击者通过类似途径进行攻击。附件3：铸盾2020专项行动暴露面资产信息自查表痛面信自自杳表.xlsx附件4：铸盾2020专项行动互联网敏感信息清理方案（一）互联网暴露敏感信息的发现首先收集资产信息，包括：域名、IP、开放端口、证书信息、企业名称、备案信息、whois信息等作为搜索的敏感特征。再配合关键词如网络架构图、网络拓扑图、邮箱、密码、文件名、通讯录、内部资料、安装说明等在互联网敏感信息暴漏源中进行搜索发现。17目录一、工作目标1二、组织分工1三、总体工作要求2四、实

17、施步骤4（一）准备阶段（3月至4月中旬）4（二）常态化演习阶段（4月中旬至11月）8（三）重点演习阶段（根据上级安排时间待定）10（四）总结评价阶段（12月）12附录13附件1：铸盾2020专项行动保密协议与测试行为规范承诺书13附件2：铸盾2020专项行动安全意识宣贯方案15附件3：铸盾2020专项行动暴露面资产信息自查表17附件4：铸盾2020专项行动互联网敏感信息清理方案17附件5：铸盾2020专项行动互联网暴露面收敛方案20附件6：铸盾2020专项行动常见攻击手法应对22附件7：铸盾2020专项行动评估测试评分规则25附件8：历年演习典型案例分析271）互联网敏感信息暴露

18、源a）搜索引擎类，如百度、网神、搜狗、谷歌、必应、搜搜、雅虎、有道、阿里云搜等；b）学术网站类，如知网Cnki、Google学术、百度学术；c）网盘类，如微盘Vdisk、百度网盘、网神云盘等；d）代码托管平台类，如 Github、Bitbucket Gitlib、Gitee 等；e）招投标网站类，自建招投标网站、第三方招投标网站等； f）文库类，如百度文库、豆丁网、doc88等；g）社交平台类，如微信群、QQ群、论坛、贴吧等h）已有漏洞类：如补天，乌云平台。2）互联网敏感信息的发现方法a）搜索引擎举例通过Google,百度、Bing、网神等搜索引擎，根据上述获取的域名等敏感特征结合如密码、

19、通讯录等关键词在搜索框内进行搜索。常用的有site：cmbc. comext：文件类型（重点是xlsx、docx、pdf、 txt、sql5 种文件类型）。或者 site： cmbc. comintext： password （或者密码等内容）。除针对该域名之外，还可以通过搜索引擎在pastebin. com平台来搜索相关信息，这种平台主要是一些黑客利用该平台共享一些文本信息。可以检索暴露的信息。b）代码托管平台18代码托管平台主要有、bitbucket o通过域名 +password, smtp、以及配置信息等进行搜索敏感信息。例如搜索 cmbc. comsmtp, cmbc. co

20、mpassword 等。平台地址如下：https：/www. https：/bitbucket, org/c）网盘国内主流网盘主要包括百度云盘、新浪微盘、网神云盘等。目前网络中存在针对各类网盘平台的公开在线网络爬虫系统，利用该系统可搜索相关数据。爬虫系统举例如下：http：/www. pansoso. com/http：/www. sobaidupan. com/d）社交平台国内主流社交平台主要包括微信、微博、QQ、论坛、贴吧等，可借助各社交平台的搜索功能来发现暴露的信息。比如利用QQ群的搜索功能，搜索客户相关关键词来发现客户相关内容，同时可以尝试加群，通过群共享等内容获取内部暴露的

21、信息。e）已有漏洞信息众多的白帽子对已发现的企业漏洞信息会及时发布在漏洞平台上，可以通过在漏洞平台上查询企业信息系统的漏洞信息，并根据漏洞信息及时核对漏洞是否存在，并进行相应整改。19补天平台：https:butian.网神.cn乌云镜像：http： /www. anquan. us漏洞盒子：https：/www. vulbox. comHankone： https：/www. hackerone. com（二）互联网暴露敏感信息的清理对暴露的敏感信息清理主要有四种途径：一是可自主控制类，如自建的招投标网站，使用账号发布的信息等，可自行清理。督促本单位员工主动清理发布在论坛、网盘、社交

22、网站等网站和系统中的敏感信息；二是商业类网站，如百度、知网等，可联系网站管理机构请求协助删除；三是开放式网站，如Github、论坛等可联系发布原作者进行删除；四是对无法协调的清理的内容，可向总部提出申请，由总部视情况严重性向公安机关等执法单位申请清理。附件5：铸盾2020专项行动互联网暴露面收敛方案（一）全面清查梳理暴露在互联网上的信息资产情况1）梳理暴露在互联网上的信息资产，明确信息资产的责任部门和责任人，形成详细清单。2）对发现的在互联网上暴露的“四无”资产立即实施互联网访问关停。203）对不满安全要求的足“七边”资产暂时切断互联网访问, 在进行安全评估加固，完善优化安全防护、监测

23、措施方可接入互联网。4）对所有暴露在互联网上的的信息资产应评估暴露的必要性，原则上对面向非用户的、仅供内部员工使用的信息资产需断开互联网连接转入内网。5）确需通过互联网访问的要实施严格的访问控制策略，并且进行安全评估加固，完善优化安全防护、监测措施方可接入互联网。（二）互联网暴露面资产关停、迁移方式1）对保留至互联网上的系统，可通过域名、IP或端口整合的方式，进行合并，以减少暴露在互联网的资产。2）对保留至互联网上的系统，能够实施迁移入云的应全部实施迁移操作，即集中迁移至自有云资源池专用区域。3）对确需保留至互联网上，但短期无法进行物理迁移的系统可采取将系统功能迁移合并的方式降

24、低互联网暴露面，也可暂使用流量牵引等方式进行集约防护。4）对于安全防护能力已符合防护要求且暂时难以纳入集约防护的暴露在互联网上的系统，经核准后可暂维持原状, 不纳入集约防护。（三）进行互联网暴露面网络安全集约防护1）对于迁移入内网的系统台，迁移中应统筹考虑IP地址分21配的问题，尽量全部纳入4A系统进行访问控制和防护。2）对于迁移入云的系统，应设立集中部署云资源池专用区域，在实施迁移过程中要落实好安全域划分和边界防护要求。（四）互联网暴露面网络安全集约防护能力建设1）对于拟迁移入云的系统，要保证其IP地址配置、系统配置满足入云条件，对不符合项进行必要的升级改造，确保入云后系统使用正

25、常。同时，要严抓系统自身安全防护，持续做好补丁升级、配置合规、访问控制策略配置。2）通过多层级威胁监测和处置防护手段建设，使各网络与系统具备防病毒、防入侵、防篡改、防DDoS的能力，对迁移入云和流量迁转的网站与系统进行全覆盖。3）对于云平台本身，要着重加强安全管理，明确云平台的安全责任，从严按照等级保护标准，提升云安全能力。4）对于保留至互联网上的系统，统一上报，确保所有互联网上的系统均覆盖防护能力。附件6：铸盾2020专项行动常见攻击手法应对序号威胁名称解决方法（细化）典型案例1弱口令攻击通过安全评估、弱口令检查等排查系统存在的弱口令并进行整改攻击者通过弱口令进行连接，直接控制系

26、统与分析口令规律，生成更有针对性的口令攻击字典，对其他22系统产生威胁。2互联网上泄露敏感信息利用通过Github、百度文库、网盘等排查敏感信息泄露情况，及时进行清除攻击者通过分析泄露的源代码及配置文件，发现源代码中的安全漏洞及配置信息，进一步进行有针对性攻击。3专网非法外联通道攻击通过红队模拟攻防演习，发现非法外联通道攻击，及时进行整改内部工作人员故意或无意的疏忽，在内部网络与外部网络间开出了新的联结通道,外部的攻击者或者病毒能够绕过内部网络、外部网络之间的防护屏障，顺利侵入非法外联的计算机，获得内部网络的敏感信息和机密数据，甚至利用该机作为跳板，攻击、传染内部网络的

27、重要服务器。4老旧资产跳板攻击通过资产梳理，排查老旧资产，该下线的下线，该加固的加固老旧资产由于缺乏厂商支撑、系统补更新不及时等，存在较大安全隐患，如ms08067漏洞，攻击者使用工具轻松控制服务器，以此做为网络跳板攻击具他目标服务器5未修复漏洞攻击通过安全评估，及进发现未修复的漏洞，并及时加固修复攻击者通过漏洞扫描等发现可利用的漏洞进行攻击。236邮箱敏感文件攻击通过蓝队培训、安全意识培训等，提升人员安全意识，自觉隔离邮件中敏感文件,抵御攻击者社工邮件中常存有敏感信息文件，如资产信息表、网络拓扑图、项目建设资料、操作手册甚至维护账号密码等；攻击者分析该信息发起针对性

28、攻击。7网络缺之细粒度隔离措施通过防火墙、网络设备AC L做一个严格的访问控制策略，只自固定的几个IP可对其进行管理端口访问攻击者在获得内网权限后，通过跳版机进行横向攻击，如弱口令扫描、高危漏洞扫描等。8供应链攻击通过蓝队培训、安全准入等手段，一是提升防护人员安全手平，二是对供应链产品进彳技全准入控制，只有通过安全检验合格才允许入网攻击者通过攻击目标系统产品供应商，利用用户对J商产品的信任，在厂商产品下载安装或者更新时进行恶意软件植入进攻击。9社工钓鱼通提安全意识教育，提升人员安全意识水平，防范社工钓鱼攻击攻击者通过伪造管理员或者IT运维部等邮箱发邮件，状取信任使对

29、方打开附带的木马文件或者回复想要获取的敏感资料等，如护网安全检查_L具、工会发福利”等，2410维护终端攻击通过防病毒、安全补丁更新等手段，加强维护终端的安全性攻击者攻击维护人员维护终端，获取维护终端内敏感资料，如：运维手册、账号密、码等。11Oday攻击通过增加威胁情报、全流量分析设备等手段，增强对Oday攻击的发现能力攻击者通过购买黑市的Oday漏洞对目标系统进行攻击，由于Oday 漏洞无明显特征，系统无修复补丁 , 攻击成功概率较高。附件7：铸盾2020专项行动评估测试评分规则(1)攻击方评分标准：由裁判组按照渗透程度，依据赋分标准、赋分规则进行评分，逐项打分，总分为各分

30、项之和。主要考核攻击渗透能力。威胁类型赋值规则备注次取Webshell权限20分/个。特别重要的系统，附加分20分得分累计不超过300分认取权限(无需提权)狭取互联网邮箱、ftp应用、web应用系统、数据库远程访问、互联网 vpn接入等系统的账号密码普通用户权限10分，管理员权限30分。特别重要的系统，附加分30分同一设备两种权限得分取局值，得分累计不超过600分状取web应用系统服务普通用户权限30分,两种权限得分取图值彳导分累器、邮件服务器、数据管理员权限50分。特计不超过500分25库服务器等服务器权限别重要的系统，附加分50分认取域控服务器权限管理员权限300分。特别重要的，附加

31、分300分得分累计不超过2000分获取路由器、交换机、防火墙等网络设备权限接入层设备50分，汇聚层设备100分。特别重要的，附加分 100 至 300 分。得分累计不超过1000分共取具他设备权限/由裁判组核定给分(2)评估测试防守方评分标准:工作阶段评分标准赋值规则备注发现攻击发现木马攻击50分/个累计不超过500分，提交拦截证据截图发现漏洞攻击50分/个累计不超过500分，提交分析报告和攻击有效载荷发现其他赃/由裁判组核定给分消除威胁处置webshell木马或主机木马程序50分/个累计不超过500分，提交分析报告，包括木马样本分析及分析报告、控制流量证据等提前主动处置web系统、ftp

32、等20分/个累计不超过200分，提交分析报告，包括账号异常登录源IP、审计日志证据、异常登录26流量证据等异常账号，处置被爆破账号密码消除其他威胁/由裁判组核定给分入侵成功被攻击入侵成功/由裁判组根据被入侵的严重程度核定扣分事件(3 )攻击方泰山队专家贡献评分，每期演习参与演习的专家根据参与时长分配2-5分，每期专家贡献得分不超过9分(折合成百分制后的得分(4)其他任何攻击和防守评分情况，以裁判组评判结果为准。附件8：历年演习典型案例分析置历年HW演习典型案例分析.pptx27工作目标为落实集团公司要求，全面提升网络人员安全意识，检验网络安全防护、监测、响应能力，提升国家关键信息基础设施安

33、全防护水平, 总部网络事业部于2020年3月正式启动铸盾2020专项行动，完善统一指挥调度体系、全方位纵深防御体系、全天候监测溯源处置体系，组织开展“铸盾2020”内部网络安全攻防实战演习，常态化开展资产策略梳理、风险评估整改，监测溯源处置，全面提升网络关键信息基础设施“体系化、实战化、常态化”的综合防御对抗能力。本次演习业务系统范围包括通信网及其运行维护支撑系统。二、组织分工组织方：总部网络事业部总体牵头，统筹协调，制定工作方案并组织开展扫描评估、渗透测试、模拟演习、支撑重大疑难安全事件的应急处置。对演习中发现的漏洞以及省公司监测上报的结果进行复核研判，对攻防演习中典型的案例

34、/优秀成果进行经验推广。组织各省演习陈果进行考核评价。攻击方：总部组织网络安全专家开展多轮次应急攻防演练的组织实施工作，对各省发起网络安全攻击测试，检验各省公司网络安全监测和应急处置能力。攻击方严格遵守操作行为规范，在不影响网络正常运行的前提下发现现网安全风险和隐患，严禁使用DDOS、嗅探、劫持、溢出、暴力破解等高危攻击手法。同时，将对攻击方发出的攻击流量进行留存安排专人实时检测，对违规行为进行审计追责。防守方：各省公司负责对自有系统进行资产梳理和安全防护，配置人员力量，进行7*24小时安全监测处置，发现由攻击队伍发起的安全攻击事件，保留证据，及时上报。各防守方须对重要业务系统的

35、数据及配置进行备份，做好安全监控和应急处置工作。对于安全防护类设备，提前防护策略，完善应急预案，发生影响生产的安全事件及时响应处置，确保网络运行安全。三、总体工作要求铸盾2020攻防演习参考风险识别I、安全防护P、安全监测D、安全响应R、安全恢复R,即IPDRR模型，各省公司应结合自身实际风险识别I情况采用适合自身单位的安全措施。安全防护P1 .安全意识宣贯2 .资产梳理3 .网络路径梳理4 .清理互联网敏感信息5 .收缩互联网暴露面6 .基础评估7 .渗透测试8 .优化各类设备策略9 .安全培训10 .模拟演习11 安全响应R1 .完善应急预案2 .应急处置3 .溯源反制4 1 . FW

36、2 . IPS3 . WAF4 .防病毒5 .主机安全加固6 安全检测D1 . IDS2 .蜜罐3 .态势感知4 .全流量威胁检测5 .人员安全值守6 请各省公司严格落实以下工作要求:（一）网络安全责任落实到位：按照“谁主管谁负责，谁运营谁负责，谁接入谁负责”的原则，各省公司确保所有信息资产网络安全责任落实到具体责任部门和责任人。（二）加强社会工程防范学攻击防范：确保各省公司所有人员，以及第三方支撑人员，了解行动基本情况，提高全员安全意识，特别是注意对社会工程学攻击的防范，防止攻击队伍通过社会工程学手段获取敏感信息、重要权限或入侵重要内部系统。（三）理清所有信息资产现状：各省公司确保

37、“四无”（无管理、无使用、无防护、无必要）资产全部消除，确保“七边”（测试系统、实验系统、退网未离网系统、已上线但未正式交维系统、与合作伙伴共同运营的系统、责任交接不清晰的系统、处于衰退期系统）得到全部治理。（四）梳理互联网暴露面：各省公司全面梳理信息资产接入互联网的必要性和安全性，按照最小化原则，没有必要接入互联网上的信息资产应断开互联网连接，必须接入互联网的信息资产应实现收敛集中、安全可控，对于存在安全隐患或安全防护薄弱的信息资产原则上应整改消除隐患、完备防护能力后再接入互联网。（五）开展安全自查和抽查：各省公司对所有信息资产，尤其是暴露在互联网的、重要定级的以及其他容易

38、被攻击的信息系统（终端、 VPN、邮箱、4A、域控等）开展全面安全自查，同时，集团网络事业部对暴露在互联网的信息资产开展安全抽查，全面发现存在的安全隐患。（六）开展安全隐患整改：各省公司对各类信息资产存在的安全隐患进行整改加固，杜绝弱口令、典型高危漏洞（特别是可导致远程控制和敏感信息泄露的高危漏洞）、网络接入不合规、网络安全域划分不合理情况的存在。（七）完善安全防护、监测和响应体系：各省公司进一步强化安全防护、监测和响应的技术手段，原则上，安全防护、监测和响应的技术手段全覆盖互联网暴露面上的资产和重要定级资产。（A）加强保密意识教育：各省公司关于铸盾2020相关信息仅限0A、企

39、业邮件及“和飞信”指定小组内交流，严禁在论坛、微信、微博等互联网平台上发布、传播本专项行动相关信息。实施步骤铸盾2020攻防演习共分为准备阶段、常态化演习阶段、重点演习阶段、总结评价四个阶段，其中重点演习阶段开展时间根据国家级网络安全演习活动时间安排进行动态调整，每个阶段具体工作安排与关键时间节点安排计划如下（整体时间计划将根据疫情及国家级演习情况动态调整）.（一）准备阶段（3月至4月中旬）准备演习方案总部网络事业部组织制定本次专项演习行动方案。各省公司依据总部演习方案制定本单位演习行动方案。准备演习平台为了保证模拟演习安全可控，演习期间所有流程全在集团网络事业部提供的统一演习平台

40、上完成，包括各省资产上报、演习期间任务下发、监测结果反馈、漏洞闭环等流程，由杭研负责统一演习平台的运维支撑工作。召开启动会议铸盾2020专项行动启动会议由总部网络事业部组织，省公司网络安全主管二级经理及相关安全人员参与。通过召开启动会，明确工作目标、组织与分工、工作要求、时间安排，确保演习工作顺利开展。签署保密协议与责任书杭研、泰山队专家参与支撑铸盾2020专项行动人员，均需在开展工作之前签署个人保密协议和安全责任书，详见附件L铸盾2020 专项行动保密协议与测试行为规范承诺书。本项工作各省公司根据省内情况自行组织。完善应急预案各省公司应针对互联网攻击和实战攻防演习的一些特点，梳理

41、完善现有应急预案，确保预案场景全面、流程合理、措施有效，以及相关人员熟悉预案内容，以能够有效支撑后续工作。安全意识宣贯为防止攻击者利用人员安全意识薄弱取敏感信息、重要权限或入侵重要内部系统，各省公司组织全员持续开展安全意识宣贯，宣贯内容至少包括社会工程学攻击防范、开放区域/办公区域风险防范、第三方安全风险防范，宣贯内容可参考附件2：铸盾2020专项行动安全意识宣贯方案。资产梳理为了确保所有资产得到合理有效的安全防护，加强内外网资产管理，各省公司需对已经掌握的内外网信息资产台账，通过资产识别工具结合人工核查方式持续进行梳理完善，确保不存在“四无”（无管理、无使用、无防护、无必要）

42、资产，完成附件3：铸盾2020专项行动暴露面资产信息自查表。网络路径梳理各省公司须对开放互联网系统、重要业务系统进行访问路径梳理，明确系统访问源（包括用户、设备或系统）的类型、位置和途径的网络节点，绘制准确的网络路径图。网络路径梳理须明确从互联网访问的路径、内部访问路径等，全面梳理目标系统可能被访问到的路径和数据流向，确保防护、监测手段全覆盖重要业务系统所有访问路径。清理互联网敏感信息互联网敏感信息暴露会带来极大的隐患，敏感信息主要有资产信息、技术方案、网络拓扑图、系统源代码、账号、口令等。各省公司须通过技术、管理和服务等方式持续开展互联网暴露敏感信息的发现及清理相关工作，具体清理方法可参考附件4：铸盾2020专项行动互联网敏感信息清理方案。收缩互联网暴露面各省公司要全面梳理互联网暴露面资产情况，持续收敛暴露面，全面消除“四无”（无管理、无使用、无防护、无必要）互联网暴露面资产；排查完善互联网暴露面资产安全防护、监测情况，详见附件 5：铸盾2020专项行动互联网暴露面收敛方案。对于前期梳理的所有资产各省公司应通过配置核查、漏洞扫描、渗透测试、安全众测、模拟演习等多种方式持续开展安全自查，汇总历史漏洞，逐条落实整改，确保每一个安全隐患均得到有效处置，对于无法整改的安全隐患，应通过其他防护手段进行补救。

展开阅读全文