网络安全实战攻防演习 防守方案 汇报人 XXX 致力于打造世界一流网络安全企业 1. 概述 网络安全实战攻防演习简介 检测国家关键基础设施与单位备案重要信息系统的安全问题和隐患，检验其 事件监测、安全防护与应急处置，快速协同、应急处突的能力。 目 的 涉及的行业众多、范围广泛，包含政府、金融、电力、运营商、重点企业等 国家关键基础设施行业，每年由选中单位上报资产或国家指定对应关键目标。 针对真实关键目标开展红蓝攻防对抗，攻击方在不破坏目标正常业务工作的 前提下挖掘相关安全隐患，并将结果实时上报至指挥部，防护方依据监测的 安全事件开展追踪溯源、应急处置、安全防护工作。 形 式 2.攻击视角 从攻击者视角分析整体安全视图 以核心系统为目标（重要系统、重要人） 总部无法突破打击分支机构 分支机构无法突破打击供应链（研发） 国舜一所的金融工作站，攻防演练攻击队成员，从攻击者视角分析客户问题和隐患 视角分析客户问题和隐患 攻击者视角 攻击方入侵方式及思路 攻防演练攻击战法中出现的新特征，传统安全防御手段难以检测 新型攻击战法介绍 利用百度文 库、 github 、 fofa 、脉 脉等渠道收集信息 利用网站、 VPN 、邮件 系统、 JAVA 等应用的漏 洞打开入口 迂回攻击下属单位，进 入内网后绕道攻击总部 目标 对内部员工发动邮件、 即时通讯的钓鱼攻击接 入内网

但单阶段博弈模型只考虑了攻防过程中各种随机因素稳 定不变的情况,并不符合真实网络攻防情景[５５]. ②多阶段博弈指所有参与者可以在多个阶段进行决策, 根据其他参与者的决策及时调整策略,每个阶段的决策都可 能影响后续阶段的决策和收益.参与者之间进行相互博弈, 力求自身收益最大化.多阶段博弈模型考虑了长期攻防对抗 中,攻防策略改变等随机因素的影响,扩大了移动目标防御机 制在攻防场景下的适用范围. Chen等根据攻防具有多阶段多状态的特性,提出一种移 动目标 Markov信号博弈模型,引 入 贝 叶 斯 决 策 重 新 量 化 双 方收益,加强高权重阶段中防御策略的制定[５６]. ２)根据博弈时间性分类 ①基于离散时间的博弈指在博弈过程中时间被离散化为 一系列固定的时间点,所有参与者必须在指定的时间点进行 决策. Lei等将 MTD 对抗过程看作离散时间序列上的多阶段 动态事件 弈 模 型 的 移 动 目 标 防 御 系统,将攻防行为转化为攻击面和探测面的变化,提高了模型 的通用性[５７]. ②基于连续时间的博弈指在博弈过程中时间是连续的而 不是离散的,所有参与者可以在任何的时间点进行决策. Huang等根据当前网络攻防过程中连续化、动态化的特 点与传统博弈模型下时间离散、多阶段攻防的特性不同,提出 一种网络攻防定性微分博弈模型,引入多维空间欧氏距离评 估威胁程度

典型厂商 1、 应用层0Day漏洞自免疫 2、 内存马注入攻击防护及应急查杀 3、 组件资产全量测绘及漏洞治理 4、 API资产全量排查及风险预警 5、 应用弱密码检测 1、 攻防演练高危未知威胁防护 2、 供应链安全风险治理与闭环 3、 云上应用防护 4、 API风险防护能力提升 5、 老旧业务风险治理 1、 对多样化应用的兼用适配能力 2、 防护效果和性能占用的平衡机制 防御、内外兼顾”的 一体化防护，真正实现战时可防+日常可用。 方案拓扑图： 1. 面对令客户谈虎色变的0Day漏洞、内存马等新型高危未知威胁，高效、精准防护和 查杀，保护客户核心应用，轻松应对攻防演练及可能发生的实网攻击。 2.面对日益严峻的外采供应链、老旧业务、云上应用及互联网暴露面风险，为客户应用 提供兜底方案，实现供应链安全风险治理闭环，并排查“两高一弱” 等风险。 3.AI智能 业级网络安全产品和服务，在人员规模、收入规模和产品覆盖度上均位居行业第一。2019年，中国电子战略入股奇安信，奇安信成为网络安全“国家 队”，迄今已完成91次国家重要活动网络安全保障任务，参与近千场实战攻防演习。 作为网络安全领军企业，奇安信将针对新技术下产生的新业态、新业务和新场景，继续为用户提供全面、有效的网络安全解决方案，向成为“全球第一 的网络安全公司”的愿景目标不断奋进，助力实现“十五五”良好开局。

试图用一个产品代替一个体系 18 安全攻防 BG- 威胁检测与响应 1. 威胁感知 1. 威胁感知（天眼） 2. 网神攻击诱捕系统（蜜罐） 3. 邮件 威 胁检测系统 4. 自动化渗透测试系统 5. 应急响应分析处置系统 6. 安全 DNS 检测防御系统 7. 权威 DNS 防护与备份服务平台 2. 实战攻防演习平台 1. 网神实战攻防演习平台 2. 实战 化威 胁运营平台 3. 产品部（上网行为管理） 反金融犯罪产品部 代码安全事业部 代码卫士 开源卫士 4. 安全攻防 BG 全球鹰事业部 补天事业部 天眼事业部 5. 安全监管 BG 态势感知事业部 6. 安全运营 BG 盛华安事业部（ SOAR ） NGSOC 事业部 取证事业部（盘古） 防水堡 脆弱性检测 威胁检测 持续响应 攻防演习 安全咨询规划 安全运营 考试与培训 举例：终端安全治理 21 举例：终端自适应防御模型 威胁检测能力 响应处置能力 风险预警能力 安全运行能力 数据支撑能力 持续监测能力 情报获取 业务管理能力 指挥决策能力 脆弱性检测服务 威胁检测服务 持续响应服务 安全咨询规划服务 攻防演习服务 安全运营服务 认证培训服务 身份认证 PKI 深度包检测（ DPI ） 深度流检测（ DFI ） 应用行为检测 Metadata 检测 全非编程 特征库 39 结论 所有已经有的框架、参考架构、会

供操作界面”的软件（命令解析器） 。它类似于 DOS 下 的 command. com 和 后 来 的 cmd. exe 。 它 接 收 用户命令，然后调用相应的应用程序。 攻防对抗理解能力 c\at /e\t\c/\ho\s\ts 是一个命令注入攻击的 payload ，该 payload 使用了插入了特殊字符 , 还原后的 payload 为： /index.action HTTP/1.1 ... 通过海量的 HTTP 流量、日志、代码等数据的预训练而成的深信服大 模 型具备了 HTTP 流量理解能力、代码理解能力、攻防对抗理解能力 和安 全常识理解能力 , 类似一个攻防专家。 大模型突出的“语言”能力，高效解析安全文本 自注意力机制的引入，大大减轻了遗忘问题并提高了上下文关联性的识别。 颜色越深说明与生成词之间的相关性越高。 0 网页语义意图 投递方式识别 附件行为意图 URL 跳转意图 历史邮件分析 正文语义意图 视觉特征分析 攻击目的分析 防钓鱼新时代 基于“攻击理解 + 逻辑推理”识别钓鱼 懂攻防、懂技术、 懂人情世故的“安 全专家” 安全 GPT ：钓鱼防御“新时代” 防 钓 鱼 核 心 能 力 全 景 图 终端检测 安全

IEC62443 国际安全标准认证的工业网络安全企业，打造的“天墀”、“地盾”、“和睿”、“兴 邦”四大产品系列，覆盖检测评估、防护隔离、审计分析、平台管理等全域工业网络安全需求， 具备安全风险管理、渗透测试、攻防演练、安全培训、安全测评、应急响应等全方位的工业网 络安全服务能力。 网址：http://www.tdhx.com 电话：010-56380988 地址：北京市海淀区西北旺东路 10 号院 7 IEC62443 国际安全标准认证的工业网络安全企业，打造的“天墀”、“地盾”、“和睿”、“兴 邦”四大产品系列，覆盖检测评估、防护隔离、审计分析、平台管理等全域工业网络安全需求， 具备安全风险管理、渗透测试、攻防演练、安全培训、安全测评、应急响应等全方位的工业网 络安全服务能力。 网址：http://www.tdhx.com 电话：010-56380988 地址：北京市海淀区西北旺东路 10 号院 7 里，一 直专注于网络安全产品与服务领域。以创新研发和实战攻防为核心，致力于探索网络安全的最 新前沿方向。 在科研成果方面，累计获得了福建省、市科学技术进步奖 8 项；发明专利授权 10 项；拥 有软件著作权 100 多项。海峡信息独立承担的福建省高新技术重点项目、火炬计划项目及福建 省重大招标项目。所有产品均以创新研发和实战攻防为核心，构建了一个基于主动防御、动态 防御、精准防护、整体

中再次强调了梳理网络资产、建立资产 档案、分区分域及收敛暴露面的重要性 APT 、勒索软件等威胁的屡屡得手和安 全防护失效的根本原因往往都是资产底 数不清、防护有死角； 不管是实际的网络战还是在攻防演习当 中，资产暴露面的风险程度直接决定了 防守方的安全能力 在统一安全管理体系的建设中，除了传 统的威胁统计和漏洞管理之外，还需要 从资产管理的角度来合理组织线索； 在安全规范落地的过程中，除了技术实 求 © Copyright 2021 WebRAY Tech （ BeiJing ） Co., Ltd. All rights reserved 现状需求 • 新资产快速识别的要求 • 实战化攻防水平的要求 • 风险自查能力的要求 • 应急响应能力的要求 • 从静态到动 态检测的需求 • 从被动 到主动 防御的需求 • 从堆叠到有机结合的需求 • 从技术到技管并重的需求 短期能合规

效的漏洞补丁管理、统一的软件管理，及时进行系统加固，达到收缩暴露面、 40 网络安全专用产品指南 第二版（下册） 40 “强身健体”的目的。 ◎威胁防御与检测 集成多个防护引擎，再结合奇安信强大的攻防研究能力及丰富的规则库储备及生产能力， 实现对可疑行 为、已知病毒、未知病毒和各类攻击的实时拦截、高效检测、准确定位、完整溯 源，并有效防御针对停服系 统的漏洞利用攻击，确保终端始终安全。 ◎终端管控与审计 功能特点 ◎勒索挖矿防护 挖矿木马和勒索病毒的肆虐，对终端资源的榨取已经到了无以复加的地步。如何有效守护 合法拥有的计算资源、数据资源，是广大政企用户必须要重视的问题。终端作为网络攻防的主 战场，将持续聚焦攻防视角下的端点安全防护痛点与难点，围绕构建有效的查、杀、防体系， 坚强守护端点安全防线，提供动态化、持续化、高效化的安全防护能力。 ◎高级威胁检测与响应（EDR） 如今的网络威胁已 谷、日本东京、英国伦敦、新加坡及巴西圣保罗设立海外子公司和代表处，深入开展全球业务。 绿盟科技高度重视安全研究和技术创新，致力于跟踪国内外最新网络安全攻防技术，星云、格 物、伏影、天机、天枢、天元、平行、威胁情报八大实验室，分别专注于云安全、物联网安全、 威胁感知与监测、漏洞挖掘与利用、数据智能、新型攻防对抗、网络空间安全战略、威胁情报 八个领域，在基础安全研究和前沿安全领域进行积极的探索。基于多年的安全研究，绿盟科技

加密机制和查询机制，十分合适等保、密保等行业的应 用要求。 智能关联分析 自研高效关联分析引擎，具备多项核心专利技术。 实现全维度、跨设备、细粒度关联分析，内置众多的关 联规则，支持网络安全攻防检测、合规性检测，客户可 轻松实现各资产间的关联分析。 23 智安网络等级保护安全防御体系方案 脆弱性管理 具备多厂商资产脆弱性管理，兼容性较强。支持主流漏 洞扫描工具的漏洞管理分析，可结合日志和资产进行关 态势感知平台是在深入分析与研究常见安全漏洞与流行的攻击技术后，结合新 时代新监管的技术创新与管理要求，研制开发的一款具备等级保护、实时监测、威 胁感知、通报预警、追踪溯源、应急处置、安保指挥、攻防演习、管理考核等功能 的网络安全综合管理平台。平台主要面向政府、网信、公安、行业主管单位及重要 行业企事业单位；平台利用技术手段重要门户网站、重要信息系统（大数据平台、 云计算中心、移动互联网 攻击者及其使用的攻击手法、攻击途径、攻击资源、攻 击位置、攻击后果等攻击链路还原，还原黑客的整个攻 击过程，包括黑客首次入侵、黑客成功入侵、发现入侵 事件、建立黑客画像等，为侦查打击、安全防范提供情 报线索支撑。 攻防演练能力 平台支持开展红蓝军实时对抗演练，在演习过程中，支 持对攻击方实时分析、审计攻击动作，防止攻击违规并 准确感知攻击动作有效性，全方位保障演练的安全有序 的开展！ 3.4.2安全技术体系的设计

网络空间安全战略提出 内涵概念的变化，从网络、系统和信息的安全改变为网络空间安全。 保障原则的变化，从谁主管谁负责，改变为强调共建共享共治 保证策略的变化，从合规驱动，以防御为主，改变为强调业务为主、攻防兼备，变被动为主动 保障重心的变化，从保障网络和信息系统为主，改变为强调业务、应用和数据的保障 保障模式的变化，从单纯依靠自己力量，改变为强调专业化，依靠平台和更强大的服务团队 《网络安全法》 •