攻防演练技术方案

一、演练组织

（一）成立演练指挥部

由XXXXXXX成立演练指挥部，加强演练的组织领导。指挥部下设材料组、技术组、专家组、裁判组、保障组、主持组、摄影组等。指挥部确定攻防双方和演练目标系统，组织制定演练方案，搭建演练环境，组织技术支撑单位，对参演各方进行培训，明确演练要求。

1）工作组如下表

负责组	单位名称	工作职责
指挥部	XXXXXXX	负责统一部署、统一指挥。由指挥长、指挥员等组成。
材料组	XXXXXXX	负责指导、协调，总体把控。
材料组	网络安全专家团队	负责演练方案各类总结报告的编写工作。
技术组	XXXXXXX、	负责攻防过程中实时状态监控、阻断非法操作等。维护演练IT环境和演练监控平台的正常运转。
专家组	XXXXXXX、	负责指导、协调，总体把控。
专家组	XXXXXXX、	负责对演练整体方案进行研究把关，在演练过程中对攻击效果进行总体把控，对攻击成果进行研判，负责演练中的应急响应保障演练安全可控。
裁判组	XXXXXXX、	负责指导、协调，总体把控。
裁判组	XXXXXXX、	负责攻防演练过程中巡查各个攻击小组的攻击状态，监督攻击行为是否符合演练规则，并对攻击效果进行评价，对攻击成功判定相应分数，依据公平、公正的原则对参演攻击团队给予排名。
保障组	XXXXXXX、	负责指导、协调，总体把控。
保障组	XXXXXXX、	负责整个活动的保障工作。

技术支持单位：

技术支持联络人：

（二）确定参演单位和技术支持单位

演练之前，需明确攻击方、防守方和演练目标系统。提供演练平台和相关技术支持，提供攻击人员和资源，落实演练的平台、技术、人力、资源等方面的保障措施，保障演练顺利进行。

1.技术支持单位及分工，如下表。

单位名称	工作职责	总负责人
	全面协助负责攻防演练平台搭建、调试、测试，负责攻防演练实时监控和保障。
攻击1队	提供攻击人员和资源，协助支持后续漏洞整改。
攻击2队	提供攻击人员和资源，协助支持后续漏洞整改。
攻击3队	提供攻击人员和资源，协助支持后续漏洞整改。

2.工作任务分工，如下表。

分工内容	XXXXXXX
场地提供	主导	协助
攻防演练系统搭建、调试、测试和部署联调	协助	主导
技术专家组、裁判组决策、裁定工作	主导	协助
攻防演练系统实时监控和保障	协助	主导
演练环境拆除	协助	主导

（三）人员背景审核和签署保密协议

演练指挥部需对参演人员进行背景审核，确保演练过程安全可控。

一是由攻击单位本次参演负责人对参演人员初步审核，确保选派人员政治可靠，所在单位表现优异。

二是组织专家进行二次审核，对备选人员职业操守，口碑进行评测，对于一些曾经有过非法拖库、违规出售数据、贩卖网站漏洞等违反网络安全法律法规的人员一律不允许参与演练。

三是XXXXXXX、对参演人员进行违法犯罪记录及社会背景的核实，确保参演人员没有违法犯罪记录。参演的攻击方及个人均应与签署保密协议，承诺不泄露、不利用演练过程中接触到的重要数据和发现的系统漏洞。

（四）明确演练指挥部下设各组工作职责

1.演练指挥部，下设材料组、技术组、专家组、裁判组、保障组。其中，材料组负责演练方案、各类总结报告的编写工作。技术组负责攻防过程中状态监控、阻断非法操作等，维护演练IT环境和演练监控平台的正常运转。专家组负责对演练整体方案进行研究把关，在演练过程中对攻击效果进行总体把控，对攻击成果进行研判，负责演练中的应急响应保障演练安全可控。裁判组负责攻防演练过程中巡查各个攻击小组的攻击状态，监督攻击行为是否符合演练规则，并对攻击效果进行评价。保障组负责演练过程中的协调联络和后勤保障等相关工作。

2.评分要求。

一是演练中发现的同一链路、系统上的所有漏洞需要在成果上报时一并提交。

二是演练中不涉及攻击方之间互相攻防的环节，禁止采取影响其他队伍得分的任何手段、攻击方式。

三是演练中发现的同一漏洞，仅最先发现的队伍得分。

四是演练中发现的带有敏感信息的关基单位账户（邮箱、VPN、SVN等），同一账户仅最先发现的队伍得分。

五是不应攻击跟本次演练最终目标、行业无关的系统，如过程中无意间发现漏洞需要及时提交指挥部，根据发现的安全隐患对国家安全、社会稳定以及公共秩序造成的威胁和影响，指挥长可酌情嘉奖，但不计入攻击对能力得分。

（五）演练报告制度

指挥部应建立值班备勤制度，安排人员值守。攻击方可在可控环境下对目标实施攻击，如发现以下情况，及时向演练指挥部报告：

一是如发现防守方系统无法正常访问、攻击方IP地址被封等异常情况。

二是发现系统层、应用层等方面漏洞、若干条有效入侵途径等。

三是在任意途径成功获取网站/系统控制权限后。

四是在内网进行横向扩展和渗透。

五是演练过程中，可能影响系统正常运行的操作，应及时报指挥部并得到批准后方可执行，未经确认和批准的操作引起的不良后果由攻击方自行承担。

二、演练保障措施

（一）搭建演练监控指挥平台

由协助XXXXXXX搭建演练监控平台，保障演练过程中全程监控和全程审计。

1.组织形式

本次网络安全攻防演练由XXXX负责协调参演人员，拟组建5个队伍。采取集中的平台搭建、人员培训、演练部署、过程监督、裁定管理，本次演练提供了统一的专网接入通道，所有攻击必须通过专网通道进行；受疫情影响，同时为更好的模拟真实网络环境，本次演练在XXXXXX举办，所有攻击队集中在XXX大厅，各攻击队间保持有效的防护距离、人员分散的工作举措，以达到演练真实、安全、可控的目的。

XXXX委托单位	工作职责	备注
攻击队1	作为本次网络安全攻防演练参演攻击方
攻击队2	作为本次网络安全攻防演练参演攻击方
攻击队3	作为本次网络安全攻防演练参演攻击方
攻击队4	作为本次网络安全攻防演练参演攻击方
攻击队5	作为本次网络安全攻防演练参演攻击方

2.经认证的IP地址

由XXXX委托单位负责提供经认证IP地址，并确保演练之外的非法攻击IP和跳板能在第一时间进行验证、并通知防守方进行阻断。攻方连接至VPN，分配有效私网地址（根据用户认证码有效范围划分），并手动设置HTTP代理（防止内部NAT机制），即可实现模拟多个网络节点攻击的场景。

3.对演练攻击流量进行全面分析

技术支持单位通过连接专网设备的内网交换机进行全流量镜像，并传输全流量至APT、DPI等攻击状态分析设备，进行流量分析与监测，以发现不合规的攻击行为，进行阻断。

4.统一管控攻击设备

由参演单位自备的攻击设备（虚拟机或笔记本）。通过身份认证系统后需要使用代理进行相应攻击，所有攻击使用工具软件由攻击团队自行安装，演练完成后自行清理。

（二）攻击过程安全可控

技术支持单位为演练建设专用的支持平台，对攻击过程进行监控，对所有行为进行监管、分析、审计和追溯，发现违规情况第一时间阻断，以保障演练的过程可控、风险可控。

1.攻击流量实时监测

技术支持单位通过连接专网的内网交换机进行全流量镜像，使用APT、DPI等攻击状态分析设备进行流量分析与监测，以发现不合规的攻击行为，进行阻断。具体应开展以下工作：一是对网络通信行为进行还原和记录，供安全人员进行取证分析，还原内容包括：TCP会话记录、Web访问记录、SQL访问记录、DNS解析记录、文件传输行为、LDAP登录行为。二是对流量中出现文件传输行为进行发现和还原，将文件MD5发送至分析平台。三是对SQL Server、MySQL、Oracle三种SQL协议进行分析和还原。四是对文件传输协议进行还原和分析，可分析的协议至少包括：邮件（SMTP、POP3、IMAP、WebMail）、Web（HTTP）、FTP、SMB。五是对常见可执行文件进行还原，如EXE、DLL、OCX、SYS、COM、APK等。六是对RAR、ZIP、GZ、7Z等常见压缩格式进行还原。七是对Word、Excel、PDF、RTF、PPT等常见文档类型进行还原。

2.攻击过程实时监控

为确保整个攻防过程安全可控，采用技术专家巡查与工具自动化分析相结合的监控方式。技术专家负责在演练平台全程巡查，巡视各个攻击小组的攻击状态，监督其攻击行为是否符合演练规则。同时，由技术组的监控人员使用全流量分析系统对网络流量数据进行攻击行为分析。

3.及时攻击阻断及报警

当攻击过程监控中发现异常攻击行为，例如攻击目标系统超出演练范围、攻击行为违规、攻击目标系统已出现异常等，裁判组确认后由演练技术组在网络出口及时实施攻击阻断。此外，通过实时的网络数据收集和攻击状态分析，技术组可提前预测攻击的破坏程度，必要情况下应及时告知裁判组，以便与攻击小组有效沟通进行风险规避。

4.制作演练操作手册下发攻防双方

指挥部向攻击方团队下发关于攻击资源使用的手册，说明攻击范围及攻击手法原则，严格禁止攻击团队违规操作，对因违规操作造成的后果予以追责，指挥部向防守方团队下发关于防守方法的规范，说明防守原则，遇到攻击时应正常应急处置，严禁进行断网等影响业务正常生产、过度防守的操作。

（三）建立演练研判系统

1.建立成果上交系统。攻击者登录系统上交攻击成果，包括攻击域名、IP、系统描述、截屏图片、攻击手段等。

2.建立裁判打分系统。裁判可使用裁判专有账户登录系统对攻击团队提交的攻击成果进行人工打分。

（四）协助制定约定措施

指挥部制定攻防演练的约束措施，明确规定攻防操作限定规则，确保攻防演练能够完全可控开展。

1.演练限定攻击目标系统不限定攻击路径

演练时，可通过多种路径进行攻击，不对攻击方采用的攻击路径进行限定，在攻击路径中发现的安全漏洞和隐患，攻击方应及时向指挥部报备，不允许对其破坏性的操作、避免影响业务系统正常运行。

2.除特别授权外演练不采用拒绝服务攻击

由于演练在真实环境下开展，为不影响被攻击对象业务的正常开展，演练除非经指挥部授权，不允许使用SYN FLOOD、CC等拒绝服务攻击。

3.关于网页篡改攻击方式的说明

演练只针对互联网网站或重要应用的一级或二级页面进行篡改，以检验防守方的应急响应和处置能力。演练过程中，攻击团队要围绕攻击目标系统进行攻击渗透，在获取网站控制权限后，先请示指挥部，指挥部同意后在指定网页张贴特定图片（由指挥部下发）。由于攻击团队较多，不能全部实施网页篡改，攻击方只要获取了相应的网站控制权限，经报指挥部和专家组研究同意，也可记入分数。

4.演练禁止采用的攻击方式

演练禁止近源类攻击。

一是禁止通过收买防守方人员进行攻击；

二是禁止通过物理入侵、截断监听外部光纤等方式进行攻击；

三是禁止采用无线电干扰等直接影响目标系统运行的攻击方式。

5.非法攻击阻断及通报

为加强攻击监测，避免演练影响业务正常运行，指挥部组织技术支持单位对攻击全流量进行记录、分析，在发现不合规攻击行为时，阻断非法攻击行为，并转人工处置，对攻击团队进行通报。

（五）制定演练应急预案

为防止攻防演练中发现不可控突发事件导致演练过程中断、终止，需要预先对可能发生的紧急事件（如断电、断网、疫情防控等）制定应急预案。攻防演练中一旦参演系统出现问题，防守方应做出临时安排措施，及时向指挥部报告，由指挥部通知攻击方在第一时间停止攻击。

（六）参演各方职责与要求

1.攻击方的职责与要求

按照演练要求，选拔政治可靠、技术优良的技术团队组成攻击队伍参加演练。攻击方人员在演练过程中严格遵守各项规定，充分发挥技术水平，展现各攻击团队的技术实力。具体要求如下：

（1）保密要求。参演的攻击方团队及个人均应与XXXXXXX签署保密协议，承诺不泄露、不利用演练过程中接触到的重要数据和发现的系统漏洞。

（2）VPN攻击通道使用要求。指挥部提供的VPN账户仅限攻击团队内部使用，不得告知其他无关人员。

（3）攻击方所使用攻击终端的管理要求。攻击方所使用的攻击终端由参赛单位自行准备。攻击过程需要使用演练提供的指定途径进行，攻击过程中不对攻击方使用的攻击手法及零日漏洞利用方式进行监控，允许攻击方向终端拷贝数据，但禁止拷出。演练结束后，攻击方将攻击相关软件和脚本自行删除，攻击过程中获取的与防守方相关的各类信息都须清理和删除。

2.防守方的职责与要求

演练前防守方应保证被攻击系统的可用性，不得采用断网、关闭服务等方式妨碍演练活动，应完善内部应急响应机制，准备应急保障资源；演练开始后防守方应采取有效的技术措施对被攻击系统进行监测，在监测到可疑行为时应及时保存监控视频和截屏数据，并及时上报指挥部；演练结束后应根据攻击方提供的整改报告对演练发现的安全问题进行整改，对防守方的要求如下：

（1）保密要求。参与防守的人员不得向攻击方人员提供系统安全弱点、防守措施等信息，在未经授权的情况下不得向外界公布演练过程和演练结果。

（2）发现攻击源时的处置要求。指挥部在演练前列出演练攻击方的攻击源IP白名单，所有参与演练的攻击IP在指挥部均有备案，当防守方发现攻击行为后，采用电话方式通报给指挥部，经指挥部确认后，告知是否可以阻断以及何时进行阻断。

（3）系统监控和应急响应。防守方应对演练目标系统实施监控，加强人员值守，建立应急响应机制，在发生安全事件后应及时启动应急机制，快速响应。

（4）防守效果展示。防守方应配合指挥部在演练前部署视频监控系统和接入内部监控系统，并在演练中保障其可用性。

（5）防守回避原则。如有技术支持单位提供防守方网络安防服务的情况：比如攻击人员所在单位、专家所在单位，应向指挥部提出，不适合作为防守方。

3.XXXXXXX的职责和要求

XXXX除统筹组织开展演练外，还承担以下任务：

（1）作为监督方。监控攻击方行为，发现违规行为立即禁止。演练结束后，清理攻击现场，督促和监督攻击方清理攻击终端上与演练相关的各类信息。

（2）作为参演方。随时待命，在防守方报送攻击事件后，协助其开展应急处置，并按照实际流程进行通报预警、调查取证、追踪溯源等工作。

三、攻击及防御方式

（一）攻击环节

1.攻击场景及其安全保障规则

一是信息篡改。针对攻击目标的业务网络，攻击方通过控制网关和路由等网络关键节点，利用流量劫持、会话劫持等中间人攻击手段修改正常的网络服务业务传输数据，导致正常产生的业务被恶意利用。当攻击者已渗透到能够进行业务篡改操作时，可以用目录结构、屏幕截屏的形式来记录攻击效果，并与指挥部取得联系，在其确认攻击效果后即可遵循演练规则，中止攻击。攻击者应在完成演练后协助指挥部回溯攻击过程。

二是信息泄露。当攻击方渗透到能够获取包含大量机密信息或敏感信息的关键阶段时，应及时暂停攻击并与指挥部取得联系，在攻击效果被确认后即可遵循演练规则，终止攻击行为，并在演练后协助指挥部回溯整个攻击过程。演练中应严格禁止使用“拖库”等手段，造成业务系统信息泄露的严重后果。

三是潜伏控制。攻击方利用各种手段突破防火墙、安全网关、入侵检测设备、杀毒软件的防护，通过在目标主机和设备上安置后门程序获得其控制权，在真正攻击行动未开始前保持静默状态，形成“潜伏控制”。在经指挥部允许后，攻击方可上传小型单次的控制后门，并在演练后为攻击过程的回溯提供协助，演练中严禁攻击方上传BOTNET或者具有自行感染扫描却无法自行终止卸载的样本。

2.攻击方式

一是Web渗透。演练过程中攻击方对成功的Web渗透应保存相关可回溯信息，在整个链条攻击完成后及时通知指挥部并提供相关信息，演练结束后告知防守方相关信息并指导其及时修复相关漏洞。

二是内网渗透。攻击者需要绕过防火墙，并基于外网主机作为跳板来间接控制内部网络中的主机，演练过程中攻击方对成功的内网渗透过程应保存相关可回溯信息，在整个链条攻击完成后及时上报指挥部并提供相关数据，演练结束后告知防守方相关信息并指导其及时修复相关漏洞。

三是钓鱼欺骗。攻击者将木马程序作为电子邮件的附件，并以一个极具诱惑力的名称命名，发送给目标客户，诱使受害者打开附件，从而感染木马。演练过程中攻击方对成功的钓鱼欺骗手法应保存相关回溯信息，在整个链条攻击完成后及时上报指挥部，演练结束后告知被攻击方及时整改。

四是社会工程学。攻击者通过各种欺骗手段诱导受害者实施某种行为。演练过程中攻击方对成功的社工案例应保存相关回溯信息，在整个链条攻击完成后及时上报指挥部并提供相关信息，演练结束后告知防守方及时找到责任人和源头。

（二）防御环节

1.演练前加固

作为关键信息基础设施和重要信息系统的安全责任主体，各单位应制定符合相关标准的网络安全管理规范，其中包括：网络硬件、软件部署和配置的基本安全要求，网络组件安全要求，网络服务配置安全要求，主机配置安全要求，安全设备配置要求，安全管理制度等。防守方在各单位的网络安全管理规范及相关规定的基础上，应对目标系统进行安全检查和加固，禁止对目标系统采取超过日常防护水平的超常规防护措施，防守方可依据各单位的网络安全管理规范及相关规定进行安全巡检。

2.防御规则

防御规则是指在保证正常业务运行的前提下，尽可能阻止攻击者对目标网络实施攻击而制定的安全策略。通常防御规则基于最小权限原则而定，即仅仅开放允许业务正常运行所必须的网络资源访问，不能采取极端的防御措施（如屏蔽所有端口，终止或下线业务）。

3.攻击发现

防守方通过流量监听、恶意样本检测、主机日志审计、安全设备检测等途径发现所属网络中有拒绝服务、异常流量等攻击行为后，应自行采取相应的处理措施并按通报规则将攻击及时上报指挥部，当攻击的方式危及到业务正常运行时，防守方应尽快报告指挥部，由指挥部通知攻击方停止攻击。

4.攻击阻断

攻击阻断是防守方检测到攻击行为时，为抑制攻击行为，使其不再危害目标网络而采取的安全应急手段。通常攻击阻断需要依据攻击行为的具体特点实时制定攻击阻断的安全措施，如关闭指定端口、屏蔽指定IP、切断相关链接、查杀恶意样本等手段。防守方采取的攻击阻断方式应详细记录在案。

5．业务恢复

当目标系统网络被攻击后，被攻击方通过系统镜像恢复、数据恢复、系统和软件重装等方式将系统业务恢复到未被攻击状态。演练规则中正常状态下不应出现需要业务恢复的场景，当出现需要业务恢复的场景后，防守方应尽可能详细的记录各种网络环境状态参数用于事后的追踪溯源。

6.追踪溯源

当目标网络被攻击后，通过主机日志、网络设备日志、入侵检测设备日志等信息对攻击行为进行分析，已找到攻击者的源IP地址、攻击服务器IP地址、邮件地址等信息。溯源的目的是要区分出攻击方式和来源以判断是否为演练组织的攻击者，防守方应及时上报指挥部。

四、工作计划表

本次网络安全攻防演练过程分为以下三个阶段：

阶段	阶段内容	工作任务	日期
第一阶段	准备阶段	演练前期准备（目标信息列表整理、攻击队伍人员信息汇总和保密承诺收集、演练平台账号部署（攻击队、裁判）等）。
第二阶段	演练阶段	演练期间不区分演练阶段；裁判组响应攻击队伍、防守方咨询，对演练过程中出现问题进行处置。演练成果随时（至少以天为单位）整理通报材料，及时通报相关相关单位进行整改。
第三阶段	总结阶段	裁判组评分和汇总，汇总演练成果及相关单位通报材料，准备总结大会相关材料；筹备和召开此次攻防演练总结大会与攻防演练经验交流（线下、线上）。