网络安全攻防演练：提升应急响应能力的关键步骤

01、全力以赴，一切为了客户更好的安全

（1）满足合规要求

网络安全法、地方性法规、等保2.0相关标准等均对此有明确的要求。

（2）了解安全“真实”现状

“真实”是我们认识事务的终极目标，如果我们能更真实地了解当前暴露在黑客面前真实的“自己”，我们就能更好地为此有所准备，更有目标地去完善自己，装备自己，改善我们的安全现状。

（3）验证真实防护水平

等保2.0相关标准对各级别等级保护对象的安全防护能力有具体的描述。

参照《信息安全技术 网络安全等级保护基本要求》（GB∕T 22239-2019）——“5.2 不同级别的安全保护能力”，我们以列表形式展示各级别等级保护对象安全防护能力要求（如下表所示）。

参照此表，在开展攻防型应急演练时，我们将配置相应资源实施授权“攻击”，以此检验相关系统及单位整体安全防护水平和应急处置能力。

表1 各级别等级保护对象安全防护能力要求一览表

等级保护对象级别	威胁源	安全防护能力
第一级	来自个人的、拥有很少资源的威胁源	（1）能够防护免受来自个人的、拥有很少资源的威胁源发起的恶意攻击；（2）能够防护其他相当危害程度的威胁所造成的关键资源损害；（3）在自身遭到损害后，能够恢复部分功能。
第二级	来自外部小型组织的、拥有少量资源的威胁源	（1）能够防护免受自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击；（2）能够防护其他相当危害程度的威胁所造成的重要资源损害；（3）能够发现重要的安全漏洞和处置安全事件；（4）在自身遭到损害后，能够一段时间内恢复部分功能。
第三级	来自外部有组织的团体、拥有较为丰富资源的威胁源	（1）能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击；（2）能够防护其他相当危害程度的威胁所造成的主要资源损害；（3）能够及时发现、监测攻击行为和处置安全事件；（4）在自身遭到损害后，能够较快恢复绝大部分功能。
第四级	来自国家级别的、敌对组织的、拥有丰富资源的威胁源	（1）能够在统一安全策略下防护免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击；（2）能够防护其他相当危害程度的威胁所造成的资源损害；（3）能够及时发现、监测发现攻击行为和安全事件；（4）在自身遭到损害后，能够迅速恢复所有功能。
第五级	略	略

注：如果一个三级系统，我们以“外部小型组织的、拥有少量资源的威胁源”形式实施授权“攻击”，系统重要权限或资源被突破，暴露较多安全问题，则证明该系统在现实环境下尚未达到第二级的“实际的（或实战的）”安全防护能力，更达不到第三级的实战要求。如果在授权“攻击”时，单位监测预警及应急处置过程暴露较多问题，则说明单位应急处置工作有待进一步加强。

（4）提出安全建议，为进一步整改完善提供指南

在完成攻防型应急演练后，我们将结合“攻击”和“演练”过程中发现的各类问题及风险，参照相应安全等级应具备的安全能力汇总输出具体安全建议，为进一步整改完善提供具体指南。

02、开展攻防型应急演练，有哪些要点，实施流程如何？

（1）要点一：明确服务对象

只有明确了具体的服务对象，才能更明确地有序实施。

通常，我们以相关信息系统为核心资产，针对单位整体实施授权“攻击”。

（2）要点二：提供完善的资源配置

只有配备了相应的资源作为授权的“威胁源”，才能更好地验证用户是否具备相应等级的安全防护能力。

我们将从以下几个方面确保资源配备满足具体服务需求，相关资产/能力得到充分测试：

●人员配备方面

为保证实施效果，我们将以冠军队成员为核心成员组成高水平实施队伍，实施全程“攻击”，成员来自省级或地市级攻防演练活动的冠军队，必要时可提供100%冠军成员全程参与。

●演练时间方面