隨著《網絡安全法》和《等級保護制度條例2.0》的頒布與實施，國家層面對網絡安全的重視程度逐步提高，各級主管部門和監管機構出臺了一系列法律法規來指導企事業單位的網絡安全建設。

網絡安全的本質在于對抗，對抗的本質在于攻防兩端能力的較量。華為網絡安全攻防技術專家們將以本文為開篇，推出一系列攻防相關文章。本期首先介紹在攻防演練中，企業的防守之道。

經過多年實踐，通過定期開展實戰性的攻防演練，組織具備豐富網絡安全攻防經驗的隊伍，對關鍵信息基礎設施相關的企事業單位進行模擬攻擊，已經成為檢驗各企事業單位抗攻擊能力和抵御APT組織滲透能力的行之有效的方法。

在攻防演練中，高強度不間斷的各類高級攻擊，頻頻突破企業建立的網絡安全體系，對企業提出了極大的挑戰，這同時也是企業的機會。通過攻防演練可以暴露企業網絡中的漏洞、安全建設的薄弱點和應急響應能力的不足點，從而進行針對性的加強，提高企業的整體網絡安全水平。

經過多年的攻防演練經驗積累，我們對企業的防守行動開展流程進行了規范和總結。

為充分發揮攻防演練的價值，企業需要成立正式的防守組織，并通過一系列關鍵活動來提高基礎防御水平和應急響應能力等。

企業防守組織

通常情況下，防守組織需要企業的網絡、安全、業務三個資源線共同參與，由統籌組統一協調，成立包括對外聯絡小組、業務網絡保障小組、安全加固小組、風險評估小組、監控分析小組、應急響應小組的防守隊伍。各小組各司其職互相配合，保障信息流暢、響應及時。

攻防演練關鍵活動

我們將攻防演練劃分為4個階段，分別是計劃、準備、實戰、總結。

在計劃階段，統籌組制定保障計劃和保障方案，并成立各個防守小組；

在準備階段，各小組重點進行資產梳理和風險分析，部署各類安全防護產品如態勢感知、防火墻、WAF、蜜罐等，并根據實際情況進行安全、網絡、業務策略調優，制定應急響應預案應對可能的主機失陷問題，通過開展模擬演練磨合演練軟對和完善協防流程；

進入實戰階段后，各小組根據預設的流程開展工作，利用自動化的檢測和響應機制對攻擊者進行快速隔離，盡可能減少攻擊的時間窗口，增加攻擊成本，持續跟蹤現網爆發的0day漏洞并及時加固，同時通過蜜罐等技術實現溯源反制增加防守得分；

在總結階段，各小組對攻防演練過程中的風險進行復盤分析及業務恢復，根據演練過程中暴露出來的薄弱點開展系統加固和安全建設規劃。

下面我們對攻防演練過程中的幾個關鍵活動進行詳細介紹。

1摸清家底---資產梳理

利用資產管理系統對企業所有的服務器、網絡設備、安全設備、應用等進行梳理，重點關注僵尸資產、無主資產、無用資產、老舊資產等，做到資產和人員的對應。

資產梳理是否全面在一定程度上決定了企業最終的防守效果，在開展該活動時不應把目標局限于集團公司內部，還需要對各個分公司進行排查。通過資產梳理做到：

資產暴露面最大限度收斂

集權類系統（如堡壘機）白名單訪問

業務無關資產下線

公網已泄露信息及時整改

軟硬件供應鏈全面管理

內外部溝通渠道規范化

資產梳理的簡易流程如下圖所示：

2主動防御---風險評估

對信息系統進行全面風險評估，通過技術測試、調查等多種途徑，定性與定量相結合，對網絡、系統、應用等的脆弱性、威脅和影響進行全方位評估，總結風險、及時加固。

在開展該活動時，應重點應用如漏洞掃描、滲透測試、基線配置核查等技術手段，識別應用系統中存在的高危漏洞、薄弱口令、區域隔離不嚴、安全策略配置錯誤、防御缺失等問題，修復安全防護體系的短板。

風險評估的簡易流程如下圖所示：

3安全加固---安全防護體系建設

基于風險評估階段識別的企業薄弱點和風險，依據縱深防御的安全體系建設思想，在假定攻擊者可以成功入侵的基礎上，企業需要從主機、應用、網絡等方面構建完善的防御體系和實時預警體系，將各類安全設備有機結合，建設完成如下8個防護體系，達成安全防護實效。

4戰前實訓---模擬演練

在企業各項活動已準備充分的基礎上，組織攻擊方和防守方，通過模擬真實的攻擊場景，檢驗安全防御體系和防守隊員應對網絡攻擊的能力，對防御薄弱點進行查漏補缺，同時可快速讓防守人員熟悉正式的演練流程。模擬演練流程應盡量貼近現網攻擊。

模擬演練的簡易流程如下圖所示：

5實戰對抗---安全值守&應急溯源

在實戰對抗中，值守人員需要持續監控和分析網絡中的Web攻擊、APT攻擊、暴力破解、惡意文件等各類威脅事件，結合最新威脅情報和業務情況，得出精準的威脅分析結果并及時封堵攻擊，對失陷類事件溯源分析，定位威脅來源和影響范圍。

在該階段，企業應盡可能采用自動化的分析和封堵策略，減小攻擊者的有效攻擊時間窗，重點對如下異常行為進行監控：

結束語

攻防演練是對企業網絡安全建設有效性的一種實戰化考核，通過短時間高強度的攻擊發現企業網絡的薄弱點，對于企業下一步的安全規劃具有重要的指導意義。

從企業的角度來看，應該重視并積極擁抱此類活動，以更加開放的心態將攻防演練中積累的經驗應用到日常的安全建設中，網絡安全在規劃、在建設、在平時，企業要以抵御各類APT攻擊為目標樹立網絡安全意識，筑牢網絡安全防線。