2026重大网安攻防演练防守解决方案

微信扫码，打开到小程序

重大网安攻防演练防守解决方案 Make Security Entrenched Still | 让安全无法撼动 目 录 01 攻防演练概述 02 攻防演练防守方 解决方案 03 常态化防守服务 解决方案 04 案例 & 公司介绍 01 攻防演练概述 国 际 形 势 变 化 随着国家网络空间战略和政策升级调整， 网络冲突和攻击成为国家间对抗的主要形 式 新 技 术 新 概 念 APT 、高级对抗等新兴技术和新兴概 念的持续发展与应用，网络攻击变得 更加复杂、多样 演 练 常 态 化 国内外网络安全演练日趋盛行，形成跨 域跨国的一体化模式，反映出各国强调 组织协同、情报共享等安全建设新趋势 黑 产 不 断 扩 大 地下黑产不断扩大，手法更加高级和隐 秘，产生的大量网络攻击，给社会企业 和个人造成难以估量的经济损失 数 据 安 全 伴随国家加强对包括数据跨境传输等 在内数据安全合规的推动力度，很多 企业难以摸清自身数据保护的能力 近 期 国 家 威 胁 国家操控的大规模网络监控和攻击造 成了国家间的严重不信任情绪，对国 际局势的稳定带来不良影响 国内 国际级、省级、行业级攻防演练 覆盖金融、能源、航运、通信、零售、 医疗、制造、运输等重要行业 国外 美国 -DHS 网络风暴 (Cyber Storm) 北约 - 锁定盾牌 欧盟 -ENISA/ 网络欧洲等 VS 攻防演练诞生背景 网络安全 攻防演练 攻防演练实战是新形式下关键基础设施网络安全 保护工作重要组成部分 国家监管机构推动下，实战网络攻防演练日益得 到重视 定期组织关键信息基础设施的运营者进行网络安全应急演练，提高应对网络安全事件的水平和协同配合能力。 第三十九条（二） 国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制，制定网络安全事件应急预案，并定 期组织演练。负责关键信息基础设施安全保护工作的部门应当制定本行业、本领域的网络安全事件应急预 案，并定期组织演练。 第五十三条 《网络安全法》 攻防演练的法规要求 检验和提高 安全应急响应能力 以攻促防，通过攻防演练发现安 全漏洞与风险，检验安全风险通 报机制、威胁情报共享机制以及 应急响应方案的合理性，并在演 练后总结优化，把能力融入日常 安全运营，提升防御能力。 培育和提升 安全人才实战能力 实战能力和技术水平是网络安全 人才的核心能力，面向真实系统 开展网络攻防演练，与在规模、 复杂度、网络状态都是仿真靶场 的情况无法比拟，能更好锻炼实 战能力，选拔人才。 培养和强化 网络安全风险意识 体验和感受网络被攻破的后果是 效果最好的网络安全意识教育， 有助于各领域管理和技术人员发 现网络安全威胁，了解网络攻击 带来的巨大危害，更能增强对网 络风险认知的直观性和紧迫性。 攻防演练的现实意义 初期试点  2016- 国内民航系统、 国家电网  2017- 网宿科技、中 国人寿、中科院、央 视网、国家旅游局等 2018 税务、能源、电 信、金融、广电、 教育、互联网、 公检法、交通等 19 个行业 2019  由国家相关机构牵 头组织  省级攻防逐步开展  行业监管组织行业 内护 2020 新增沙盘推演 2023 数据泄露成为 关键指标 组织：公安 / 网安 角色：裁判 / 攻击队 / 防守 队 2022 国家攻防演练模式的演变 聚焦供应链安全 外部网络 信息收集 资源开发 内部网络 核心区域 恶意代码执行 边界 突破 持久化 权限提升 安全防护机制逃逸 横向移动 获取数据 C & C 凭证窃取 内部探索 计划制定及分工 纵向 突破 纵深扩展 静默控守 隐蔽隧道 木马 特马 靶 标 获 取 靶标获取 数据渗出 互联网突破口选择原则 产品供应商、服务供应商 未关闭的测试通道、调试接口 边缘系统 脆弱系统 关注度低、防护薄弱 存在未修复的高危漏洞 供应链系统 测试系统 攻击方杀伤链 攻击时间不固定 24 小时任意时间都有可能发起攻击 攻击目标不唯一 一切散落在互联网的资产都可能成为入口 攻击方式不固定 以远程入侵为主 , 但也会使现场 / 远程社 工的方式 - 攻击者特征 -  自动化攻击 C2 平台 / 后门生成工具 / 钓鱼平 台 / 免杀套件 / 漏洞利用框 架 / 侦察工具  间接渗透 分支机构 / 供应链 / 外包合作方 / 合作专网  攻击隐蔽 无文件攻击 / 后门免杀 / 痕迹清 理 / 隐蔽隧道 / 动态域名 / 低频 探测 / 域前置 / 合法软件签名  防御干扰 规模性探测 / 无效扫描 / 大流量 访问 / 日志污染  0day 利用 边界系统 / 集权系统 /CMS 系统 / 中 间件 / 邮件系统 /DevOps 系统 / 运 维系统 /OA 系统 / 安全设备  社工攻击 钓鱼邮件 /400 电话 / 利用信任关系 / 近源渗透  反溯源 VPN/ 匿名代理 / 纯净的渗透环 境 / 纯净的移动设备 / 虚拟机 / 匿名 邮箱 / 手机号 /VPS/ 无线设备 - 攻击方法 - 攻击队特征 02 攻防演练 防守方解决方案 安全预诊  攻防能力成熟度 评估（推荐）  资产梳理  脆弱性排查 11 布防加固  安全加固  安全意识提升  安全能力提升 预演练  攻防实战预演  流程磨合预演  预演核心目标 正式演练  分组防守流程  协同处置流程  **HW 情报体系 复盘总结  行动复盘  能力沉淀  总结汇报 22 33 44 55 防守解决方案 恢复 溯源 防护 运营 识别 响应 检测 情报 攻防能力成熟度评估是 ** 科技推出的企业安全防护能力 成熟度评估咨询服务。 攻防能力成熟度模型以安全运营能力为核心，以情报能 力为驱动，涵盖识别、防护、检测、响应、恢复、运 营、溯源、情报等八大实战能力，从资源、技术和管理 三个维度评价组织的各项能力指标，用以评估指导企业 实战能力建设。  召开项目启动会，确定组织架构、汇报与管理机制  调研网络安全基础环境  确定管理流程与策略  确认评估范围与实施计划  确定评估结论及提升建议  形成攻防能力成熟度评估报告  召开评估总结会议 人员访谈 文档审核 配置检查 工具测试 现场验证 评估方式： 评估流程  根据能力项对管理、技术人员进行现场调研访谈  依据评估工具，从技术、 资源、 管理三个维度进行调研及评估  专家组审核并评定成熟度等级 评估阶段 准备阶段  分析成熟度等级差异并形成差异报告  企业有选择的进行问题整改  评估小组对整改后结果再次评估并记录 分析阶段 汇报阶段 安全预诊 - 攻防能力成熟度评估 安全预诊 - 资产安全梳理服务 攻防演练中，企业内网各种隐形 / 幽灵资产是攻击方首要的攻击目标。 ** 梳理并以企业网络拓扑为基础，全面识别和 梳理企业现有信息资产，为企业构建清晰的资产地图，并对靶标资产防护措施进行综合评估，指导加强内网关键路径 的安全防护，切断攻击方从隐形资产突破的路径。 资产安全梳理服务 交付形态 交付物 服务：远程 / 现场 《资产安全梳理报告》 —————— 核心特色—————— 靶标防护 体系梳理 安全防护 体系梳理 梳理靶标系统及其防护体系，除 明确相应的归属人、位置、中间 件、开放服务等基础信息外，核 对靶标系统所具备的防护手段并 查漏补缺。 以网络拓扑图为基础，明确各安 全设备能力类型、防护方向、使 用人、责任人等，发现防护体系 中的能力缺失和覆盖缺位。 内网攻击 路径梳理 梳理内网各类 IT 资产，并从攻击 者视角梳理可能进行的攻击路 径，并在攻击路径关键点进行攻 击检测和阻断。 内网攻击路径梳理 实战攻防中，外部攻击者会利用攻击面上大量可被利用突破 的点来入侵企业内网。 ** 基于自研攻击面检测管理平台 APTP ，自动或半自动绘制多维资产地图，持续检测攻击 面，并结合漏洞盒子情报体系，提供全面的攻击面安全评 估，帮助企业大幅减少对外暴露的潜在入口，强化对外暴露 资产安全防护，极大降低攻击者突破边界的可能性。 攻击面检测管理服务 安全预诊 - 攻击面检测管理服务 高精度 资产测绘 原子级任务场 景编排  高性能主被动资产探测引擎  多种途径对多类资产进行探测  从攻击者视角智能识别脆弱点  拆解任务场景为 20+ 类原子能力  支持按需自由组合编排配置  支持自定义检测场景周期巡航 丰富的 原生情报库  基于 14W+ 白帽子，拥有业内领 先的攻防情报数据库。  可基于资产指纹自动识别风险标签 和关联漏洞 交付形态 交付物 远程 《攻击面测绘报告》 资 产 测 绘 云端 SaaS 平台（外部攻击面管理） 企业组织架构 EDR 路由器 负载均衡 CMDB HIDS 攻击面 分析 策略关联 数据推送 流程工单 钉钉 / 微信 / 短信 VMS 漏洞管理系统 SIEM SOAR SOC ** 安全 运营服 务 云端数据运营中心 弱口令检测 敏感目录检测 文件泄露检测 普通漏洞检测 应用漏洞检测 组件漏洞检测 企业 IP/ 域名 组件指纹 公共代码托管 站点证书 雇员信息 全网测绘数据 漏洞信息 在野情况 修复建议 影响版本 POC/EXP 漏洞排序 敏感信息 passivedns 数据底座 WVS 漏扫循检服务 8000+ POC/EXP 多种 公用数据字典 多种 对抗服务 130000+ 注册白帽 7000+ 入驻厂商 ** 安全专家 漏洞盒子 VIP 漏洞情报 生产运营平台 情报数据源 漏洞情报 99+ 200000+ 斗 象 云 端 数 据 中 心 外部 资产沉淀 能力支撑 Open API 数据流转 漏扫巡检 风险验证 检测目标 输入 互联网资产 移动端资产 敏感信息 三方资产信息 仿冒资产 暗网泄漏资产 应用类资产 变 更 监 控 变更资产主体 变更时间 数据来源 归 属 确 认 关 联 分 析 iocn 权重识别 变更告警 授权权重识别 标题权重识别 来源权重识别 组织架构 层级结构 上下游关系 关联指纹 本地私有化平台（内外部攻击面管理） 外部资产数据 内网资产扫描 流量引擎识别资产 多 源 资 产 管 理 资产自动补齐 内外网资产关联 攻击面检测与管理（漏洞检测 & 告警处置） 资产分类分级 漏 洞 检 测 风 险 检 测 PoC 检 测 弱口令 敏感目录检测 文件泄漏 应用漏洞 组件漏洞 高危端口 文件上传 身份信息泄漏 AK/SK 泄漏 API 密钥 Token 泄漏 风险管理 风险告警 风险处置 生成报告 报告自动生成 安全专家审核 专业处置建议 安全预诊 - 攻击面检测管理服务 安全预诊 - 脆弱性排查服务 可信安全众测 依托中国最大的白帽社区和众测平台“漏洞盒子”，由 平台项目管理团队统一调配自营安服专家和认证精 英白帽，全程在 VPN 流量审计下，为客户提供高 效、透明、高质量的渗透测试服务。  面向互联网的业务系统、 App 、小程序、 H5 等 应用，提供可信的安全众测服务。  “ 盒子闪测” 为用户新业务上线提供快速安全测 试。全天候响应用户测试需求（ 7*24 ），远程 随时开展测试，即时反馈。从提需求到交付报 告，最快 1 个工作日内完成，过程可在线实时查 看进度。  国内最强的精英白帽团队，完善的白帽风险管控  测试覆盖度可视化、业务全覆盖，发现可利用的 安全漏洞  不同技能方向的平台顶级精英白帽投入、稳定且 高水准的服务质量、可信可控可溯源（实名认 证、保密协议、流量审计）…… 交付形式：远程 交付物：《众测漏洞报告》《众测漏洞复测报告》 专项排查 按需进行互联网敏感信息、弱口令、管理后台暴 露、失陷主机和 Webshell 等排查服务。帮助企业 发现并清理潜在的安全风险。 交付形式：远程 / 现场 交付物：《敏感信息排查报告》《弱口令排查报 告》《管理后台暴露排查报告》《失陷主机排查报 告》《 Webshell 排查报告》等 渗透测试 由 ** 渗透测试专家，通过多层次、多角度的模拟真 实攻击，深入检测系统和应用的安全漏洞，评估其 抵御攻击的能力。 交付形式：远程 / 现场 交付物：《安全渗透测试报告》《安全渗透测试复 测报告》 安全配置核查 对企业的安全基线和配置进行全面检查，确保符合 最佳安全实践和行业标准，同时对安全设备的策略 配置进行审查和优化，降低演练中因配置或策略不 当导致的安全风险。 交付形式：远程 / 现场 交付物：《安全基线核查报告》《安全配置核查报 告》《安全基线复查报告》《安全配置复查报告》 漏洞扫描 利用自研、开源、商业漏洞扫描器，基于 ** 安全情 报中心漏洞情报，为客户提供针对多种资产的全面、 快速的漏洞扫描服务，避免攻击者利用已知漏洞和新 发漏洞对企业展开攻击。 交付形式：远程 / 现场 交付物：《安全漏洞扫描报告》《安全漏洞扫描复 测报告》 靶标防护加固 应急响应体系优化 攻击路径模拟 阻断 脆弱性加固 技术型加固： 修复型 - 安全漏洞、弱口令、日志、配置等 ; 改进 型 - 安全策略、规则、安全设备等 管理型加固： 处置流程改进、人员优化等 布 防 加 固 布防加固 敏感信息清理  清查内部敏感资料  清查合作单位敏感资料  排查清除在互联网上敏感信 息 安全整改加固  收敛攻击面  纵深防御  主动防御  重点防护 主动防御措施  重点区域流量监控  主机 EDR 防护  蜜罐诱捕  威胁情报联动  全网安全态势感知 安 全 意 识 能 力 提 升 安全技能培训 安全设备使用和配置、恶 意流量分析、联动协作培 训…… 安全意识宣导 攻防演练宣传册、防社工宣传海报、 安全知识竞赛、安全展板宣传、安全 警示片播放…… 社工攻击演练 钓鱼邮件演练、近源攻击模拟 …… 安全意识培训 日常安全意识培训、重大保障时期安全培训、关 键岗位人员安全意识培训、个人信息安全…… 态势感知 基 础 防 护 设 施 补 强 SIEM EDR WAF 邮件防护 全流量 蜜罐 HIDS 布防加固 - 安全意识提升 实战攻防中，人员是最薄弱的环节，这使得钓鱼攻击成为最具性价比的攻击手段被高频使用。由 ** 社工专家基于 **CPS 钓鱼演练云平台，通过定制化的高仿真高诱惑的文案 / 钓鱼页面、精心伪造的邮件元数据，帮助企业定期实施 钓鱼邮件演练，提升员工识别和处置钓鱼邮件的能力，避免内部人员被攻击者钓鱼导致整体防护失效。 钓鱼邮件演练服务 丰富的钓鱼 邮件模板 定制化 钓鱼邮件 可视化演练 成果展现 —————— 服务特色——————  高仿真、高诱惑、易上钩  持续更新最新钓鱼文案。  可针对企业要求定制  支持仿造 OA 系统的钓鱼页 面、伪造发件人信息等内容  支持警示页面定制，可提供配 套安全意识培训材料  纵向对比员工及部门每次演练 情况，多维统计，综合评分  可提供 PDF 和 EXCEL 报告 交付形态 交付物 服务：远程 / 现场 产品： SaaS 服务、私有化部署 《钓鱼邮件演练服务报告》 攻防实战预演练 流程磨合预演练 预演练准备 01  召开预演练启动会议  明确主 / 协防人员工作安排  制定相关约束条件及应急预案  明确预演练时间  明确白 / 夜班值守工作流程 流程磨合预演练 02  各司其职，做好监控、记录、研判、处置 等相关工作，熟悉 HW 流程  多剧本演练（夜间攻击演练、探测式攻击 演练、内网突破攻击演练、社工攻击攻击 演练等） 预演练总结 03  熟悉蓝队 HW 的工作流程  优化安全应急响应机制  提升联动通报处置能力 预演练准备 01  红蓝紫团队组建  演练评分规则制定  攻防实战平台准备  攻防实战内容准备 攻防实战预演练 02  多次攻防实战预演练  纵向攻击  横向攻击  社工攻击 预演练总结 03  修复已发现的漏洞  加强防御体系中的薄弱项 以红队为主，不限路径进行全面攻击，攻击手法不限于病毒 攻击、提权、拖库、挂马等，尽可能多的发现企业安全防护 中的脆弱点并加以整改，旨在对安全防御体系查漏补缺 以蓝队为主，在多种剧本式攻防演练过程中，对安全小组成员的监 控、研判、处置、溯源等行为跟踪，分析流程协作过程中的阻塞点 并进行优化，旨在提升安全应急响应机制与联动通报处置能力。 预演练 2 • 快速准确找到受控设备，不影响业务连续性前提下进行断网等处置 • 快速在安全防护设备上加恶意 IP ，阻断攻击源 • 快速导出系统日志，保存攻击证据。 • 熟悉应急预案，按照预案能准确处置事件 • 熟练使用产品功能，能识别出常见攻击事件 • 熟练使用系统，能查看拦截恶意 IP 的攻击行为 • 熟练使用防护产品，能读懂报警类型，准确判断攻击 途径 • 能从其他安全设备及审计设备中分析出攻击事件 熟练掌握监测预警方法 • 及时查看指挥部下发事件，查清处置后能 准确反馈。 • 能在事件处置平台上报监测到内网跨企业 攻击事件，协助指挥部向攻击所在单位通 报和处置。 熟悉联动通报处置机制 • 熟练使用产品系统，根据主机情况配置和更改防 护策略 • 熟练使用安全访问控制设备，配置访问控制策略 • 熟练使用安全防护产品，配置攻击阻断或检测策 略 熟练配置安全防护策略 • 对内部攻防演练发现的风险和漏洞及时处 置并举一反三修补同类风险和漏洞。 及时处置风险和漏洞 熟练掌握应急处置方法 1 3 4 5 预演练 - 预演核心目标 ** 安服人员根据厂商要求监测 各类安全设备，防火 墙、 WAF ， HIDS 、 EDR 等，并借助全流量设备对各类 攻击事件实时监测上报 ** 安服专家为主 由 ** 安全专家配合甲方对安全事 件进行分类分级，关联漏洞威胁平 台，进行事件关联分析 甲方 +** 安全专家 ** 借助 NTA 、蜜罐等安全设 备，根据客户需要进行溯源取 证甚至反制工作 ** 溯源专家 ** 安全专家通过事件运营平台于 甲方对事件进行协作处置、风险事 件全流程管理，帮助甲方提升防守 工作应急处置能力 甲方 +** 应急处置专家 监测 分析组 专家 研判组 溯源 分析组 应急 处置组 指挥 统筹组 甲方及 ** 的