如何组织一场实战攻防演练

实战攻防演练通常以实际运行的信息系统作为演练目标，通过有监督的攻防对抗，最大限度地模拟真实的网络攻击，以检验信息系统的安全性和运维保障的有效性。演练在保障业务系统安全性的前提下，明确目标系统，不限制攻击路径，以提权、控制业务、获取数据为目的。实战攻防演练包含攻击、防守、组织三方，并配备实战攻防演练平台。组织方负责演练整体工作的组织协调，主要包括以下几部分：演练组织、演练过程监控、演练技术指导、应急保障、演练总结、防守技术措施与策略优化建议等。实战攻防演练一般可分为准备、演练、收尾三个阶段。

一、实战攻防演练的组织要素

实战攻防演练的组织要素包括组织单位、技术支撑单位、攻击队、防守队四部分。

• 组织单位负责总体把控、资源协调、演练准备、演练组织、演练总结、落实整改等工作。

• 技术支撑单位由专业安全公司担任，负责提供对应的技术支撑和保障，进行攻防对抗演练环境搭建和攻防演练可视化展示。

• 攻击队一般由多家安全厂商独立组建，每支攻击队一般配备 3～5 人。在获得授权的前提下，以资产探查、工具扫描和人工渗透为主进行渗透攻击，以获取演练目标系统权限和数据。

• 防守队由来自参演单位、安全厂商等的人员组成，主要负责对防守队所管辖的资产进行防护，尽可能阻止蓝队拿到权限和数据。

二、实战攻防演练的组织形式

从实际需要出发，实战攻防演练的组织形式主要有以下两种。

• 由国家、行业主管部门、监管机构组织的演练。此类演练一般由各级公安机关、各级网信部门、政府、金融、交通、卫生、教育、电力、运营商等国家、行业主管部门或监管机构组织开展。针对行业关键信息基础设施和重要系统，组织攻击队及行业内各企事业单位进行网络实战攻防演练。

• 大型企事业单位自行组织的演练。金融企业、运营商、行政机构、事业单位及其他政企单位，针对业务安全防御体系建设有效性的验证需求，组织攻击队及企事业单位进行实战攻防演练。

三、实战攻防演练的组织关键

要保证实战攻防演练顺利实施，关键在于组织工作。关键的组织工作包括确定演练的范围、周期、场地和设备，组建攻防队伍，制定规则，录制视频等多方面。

• 演练范围：优先选择重点（非涉密）关键业务系统及网络。

• 演练周期：结合实际业务开展，一般建议 1～2 周。

• 演练场地：依据演练规模选择相应的场地，要能够容纳组织单位、攻击队、防守队，且三方场地要分开。

• 演练设备：搭建攻防演练平台、视频监控系统，为攻击方人员配发专用电脑（或提供虚拟攻击终端）等。

• 攻击队组建：选择参演单位自有人员或聘请第三方安全服务商专业人员组建。

• 防守队组建：以各参演单位自有安全技术人员为主，以第三方安全服务商专业人员为辅组建。

• 演练规则制定：演练前明确制定攻击规则、防守规则和评分规则，保障攻防过程有理有据，避免攻击过程对业务运行造成不必要的影响。

实战攻防演练前须制定攻防演练约束措施，规避可能出现的风险，明确提出攻防操作的限定规则，保证攻防演练能够在有限范围内安全开展。

四、实战攻防演练的风险规避措施

• 演练限定攻击目标系统，不限定攻击路径

演练时，可通过多种路径攻击，不对攻击队所采用的攻击路径进行限定。在攻击路径中发现安全漏洞和隐患，攻击队应将实施的攻击及时向演练指挥部报备，不允许对其进行破坏性的操作，避免影响业务系统正常运行。

• 除非经授权，演练不允许使用拒绝服务攻击

由于演练在真实环境下开展，为不影响被攻击对象业务的正常开展，除非经演练主办方授权，演练不允许使用 SYN Flood、CC 等拒绝服务攻击手段。

• 网页篡改攻击方式的说明

演练只针对互联网系统或重要应用的一级或二级页面进行篡改，以检验防守队的应急响应和侦查、调查能力。演练过程中，攻击队要围绕攻击目标系统进行攻击渗透，在获取网站控制权限后，需先请示演练指挥部，获同意后在指定网页张贴特定图片（由演练指挥部下发）。如目标系统的互联网网站和业务应用防护严密，攻击队可以将与目标系统关系较为密切的业务应用作为渗透目标。

• 演练禁止采用的攻击方式

实战攻防演练中的攻防手法也有一些禁区。设置禁区的目的是确保通过演练发现的信息系统安全问题真实有效。一般来说，禁止采用的攻击方式主要有三种：1）禁止通过收买防守队人员进行攻击；2）禁止通过物理入侵、截断并监听外部光纤等方式进行攻击；3）禁止采用无线电干扰机等直接影响目标系统运行的攻击方式。

• 攻击方木马使用要求

木马控制端须使用由演练指挥部统一提供的软件，所使用的木马应不具有自动删除目标系统文件、损坏引导扇区、主动扩散、感染文件、造成服务器宕机等破坏性功能。演练禁止使用具有破坏性和感染性的病毒、蠕虫。

• 非法攻击阻断及通报

为加强对各攻击队攻击的监测，通过攻防演练平台开展演练全过程的监督、记录、审计和展现，避免演练影响业务正常运行。演练指挥部应组织技术支撑单位对攻击全流量进行记录、分析，在发现不合规攻击行为时阻断非法攻击行为，并转由人工处置，对攻击队进行通报。