網絡安全應急演練方案

1網絡安全應急演練方案
2指導思想
根據《中(zhōng)華人民共和國網絡安資畫全法》規定，定期開展安全應急演練工(gōng)作(zuò)了購，網絡實戰網絡安全應急演練便是在新(xīn)的網絡說喝安全形勢下，通過攻防雙方之間(jiān)的對抗演習，實現“防患于未很這然”。
3演練目的通過網絡實戰網絡安全應急演練，檢驗并完善移動(d音化òng)關鍵基礎設施網絡安全應急響應機(jī)制與提高技術防護能力兒些，檢驗各公司遭遇網絡攻擊時發現和協同處置安全風險的能力，培養和提升作是網絡安全人才實戰能力，全力保障建黨100周年大慶等國家重大活動(dòng)網絡友不安全。
4演練時間(jiān)
演練時間(jiān)：2023年x月x日
5演練内容
網絡與信息安全事件應急演練
6演練流程
網絡安全應急演練保障活動(dòng)共分為啟動(dòng)階段、準備階問熱段、演練階段、保障階段、總結階段五個階段，具體(tǐ)工(技熱gōng)作(zuò)安排計劃如下：
啟動(dòng)階段：确定演練目标、人員團隊職責劃分、演練總體(tǐ)流唱來程，後續工(gōng)作(zuò)提供指導。
準備階段：需對演練目标進行安全分析和梳理，開展全面安全評估、關注現有安全能力弟匠、完成安全策略的全面優化、人員的全面賦能等。
演練階段：重點檢測演練系統的監測手段和防禦公腦手段的有效性及安全人員操作(zuò)規程熟悉度。姐場
保障階段：為保障業務系統的平穩運行，避免因安全問題而導緻出現重大事故。
總結階段：對行動(dòng)中(zhō校黃ng)發現的相關問題進行快速整改并進行總來門結，将經驗固化至相關的規章(zhāng)制度中(zhōng)，事場形成常态化、制度化。
7演練方案
7.1啟動(dòng)階段
7.1.1演練組織及職責分工(gōng)
在網絡安全應急演練保障期間(jiān)，組織建立保障小(xiǎo)組，通視爸過簽署責任書，明确保障人員職責，确保各司其職，有序開展保討什障工(gōng)作(zuò)。

總指揮
負責網絡安全應急演練保障期間(jiān)校生重大決策；
把控項目的整體(tǐ)進度及質量；
指揮決策組
協調各小(xiǎo)組資源分配，起到上傳下達的等作(zuò)用；
演習保障結束後，負責對演習保障進行總結，形成報告，并輸出安全能放街力建設的規劃；
協同其他各小(xiǎo)組完成安全事件的閉環；
安全監控小(xiǎo)組
通過實時監控平台、或設備日志，發現網絡中(zh下哥ōng)的異常流量、惡意樣本、網絡攻擊行為；
發現異常行為後，按事件模版及時将攻擊事件通報；
分析研判小(xiǎo)組
通過對主機(jī)日志、網絡設備日志、安全設備日老姐志以及全流量分析等信息對攻擊行為進行分析，找到攻擊者的草廠源IP地(dì)址、攻擊服務器IP地(dì)址、郵件地(dì)址等信志光息；
應急處置小(xiǎo)組
恢複系統備份、數據恢複等方式将系統業務恢複到正常狀态；
将完整的應急處置、溯源流程記錄到報告，并上報給保吧機障決策組；
支撐小(xiǎo)組
支撐小(xiǎo)組為二線專家小(xiǎo)組，協車厭助現場一線工(gōng)作(zuò)小(xiǎo)組解決家化并提供專業安全業務建議。
7.1.2演練保密要求
在網絡安全應急演習保障期間(jiān)，開展參演人員安全意識宣貫、簽訂網絡安有章全承諾書和安全保密協議。
宣貫内容包含但不(bù)限于：代碼管理規範、小分接入賬号安全、接入網絡安全、辦公設備安全等。
網絡安全承諾書内容至少(shǎo)包含但不(bù)限于：遵守甲家近方整體(tǐ)網絡安全工(gōng)作(zuò)要求、遵兒熱守相關法律及行業相關規定、強化項目參與人員的信湖章息安全意識、違約責任等。
保密協議内容至少(shǎo)包含但不(bù)限于：演習保障期間(jiān)工喝的保密範圍、保密期限、保密要求、違約責任等。
7.2準備階段
7.2.1信息資産收集
在網絡安全應急演練準備階段，對演練系統進行信息收集習你，包括單不(bù)限于IP地(dì)址、端口、服務名稱及版本、操作匠商(zuò)系統類型及版本、應用框架類型及版本等，為開展演練行為做地門基礎。
在網絡安全應急演練保障實施期間(jiān都匠)，信息資産收集可助于快速發現内部問題、定位問題、解決問就了題，提高企業内部的防禦能力。
7.2.2全面安全評估
對演練系統涉及的主機(jī)、數據庫、應用組件、網絡設備、網絡架構進算志行全面、綜合的安全評估，充分的發現其潛在的風險。
7.2.3安全策略優化
根據網絡安全架構評估以及網絡現狀，對網絡設備策略、安全設備策略、主機(jī)歌器策略等進行進一步調整和優化實施範圍。
7.2.4安全缺陷整改
根據之前業務系統評估，對應用系統及其依賴的網絡、數據信息等可能存在的軟硬件視志缺陷，和信息安全管理中(zhōng)潛在的薄通得弱環節，而導緻的不(bù)同程度的安全風險，提出臨時大黑解決方案和長期解決方案。
7.2.5安全意識培訓
在網絡安全應急演練備戰階段，為了提升内外部人員長光的安全意識，組織開展安全意識宣貫和安全技術賦能，避免因人為因素而導緻信息安全舞如事件發生，整體(tǐ)提高安全管理能力。
7.3演練階段
7.3.1攻防場景演練
采用攻防對抗的方式有效的檢驗相關業務系統的抗攻擊能力，真正玩路發現潛在的風險，從而為後續整改工(gōng)作(zu員秒ò)提供真實有效的依據。
7.3.1.1攻擊方工(gōng)作(zuò)
7.3.1.1.1攻擊路徑設計
攻擊者可以通過各種方式各種攻擊路徑嘗試攻破應用系統去危害客戶的但西業務或者企業組織。每種路徑方法都代表了一種照資風險。結合攻擊路徑相關的技術和對客戶的業務影(綠店yǐng)響，評估威脅來(lái)源、攻擊向量和安全漏洞的可能購又性。
7.3.1.1.2滲透測試設計内容
針對信息系統業務系統和平台進行全局、深入安全來門滲透測試，關注其面臨的主要安全風險和安全需求，提通了供安全滲透測試數據報告和針對性解決方案，建立一體(tǐ)化信息系統安全風險識民腦别機(jī)制。
7.3.1.1.3應用功能測試
發現目标系統中(zhōng)存在的安全隐了服患（包括安全功能設計、安全弱點、以及安全部署中(zhōng)的弱點等這關），并針對問題提供解決方案建議。
7.3.1.1.4安全功能弱點測試
應用系統評估主要從輸入驗證、身份驗證、授權、配置管理、敏感數據保護、會話管新線理、加密、異常管理等角度分析應用系統的安全功能設計以及存在的安全議坐隐患。
7.3.1.1.5應用安全性測試
針對提供的業務系統進行非破壞性的模拟黑客攻擊，充分挖掘應用系統各類嗎和組件存在的漏洞，并進行人工(gōng)利用驗證。
7.3.1.2防守方工(gōng)作(zuò)
在攻防對抗中(zhōng)，通過部署監測預警功能的平台，針對攻擊行為進去器行監控及時阻斷并上報，從而形成閉環的處置工(gōng)作(zuò)。理外
在防守監測工(gōng)作(zuò)中(zhōng)，需結合現有态勢平台、訊影處置平台以及相關設備進行合理利用。
7.3.1.2.1設備運行監控
針對安全産品、網絡産品、主機(jī)服務器等提供監控與運維服務，及時發現設書自備（系統）運行過程中(zhōng)出現的問題并協助客戶進師飛行解決，保障設備（系統）正常運轉。
監控指标可涵蓋設備功能、設備性能、應用服務情況、連通性、操作(zuò)子木審計等。
7.3.1.2.2告警事件監控
針對各類安全設備的告警數據進行監控，通過人工(gōng)告警研判的方式對安全愛山設備告警進行二次分析，排除告警中(zhōng)的媽多誤報，定位真實風險。
監控告警類型可涵蓋：DDoS攻擊、Web攻擊、信息破壞、口令猜測、僵屍主機(j和月ī)、木馬病毒、非授權訪問、漏洞利用、網頁篡改土學、SQL注入、非法連接、惡意掃描探測、網頁篡改、網站敏自南感内容、網頁挂馬等。
7.3.1.2.3安全事件溯源
防守方對多種網絡安全設備産生的豐富的日志和告警信息集中(和一zhōng)分析，發掘安全知識的效果，發現傳統安全工(gōng)具難以好個發現的安全事件。通過人工(gōng)的方式判斷安全事件是否為誤報後，追溯該告警體少背後的威脅源，判斷威脅源使用的攻擊手段及漏洞利用情況。
攻擊溯源方案可分為三個層次的追蹤：追蹤溯源攻擊主機(jī)、追蹤溯源車玩攻擊控制主機(jī)、追蹤溯源攻擊者和追大喝蹤溯源攻擊組織機(jī)構。
7.3.1.2.4安全事件處置
對于安全監控中(zhōng)發現的安全對象脆弱中說性問題（如高危漏洞、安全基線配置不(bù)合格等）、的站安全故障問題、安全事件等，監控值守人員通過攻防平台提供的工(gōn關訊g)單流程進行處置任務指派，運維人員、二線支持人員及管理人員依照工(外坐gōng)單流程完成安全處置工(gōng)作(zuò)。
7.3.2應急場景演練
通過模拟攻擊者發起0 day攻擊，對安全監控、安全防議長護、網絡策略、安全策略等機(jī)制進行有效慢友性校驗，按照流程快速響應，推動(dòng)0day空我的緩解處理和後續補丁修複，最大化減少(shǎo)朋市0day的影(yǐng)響。對發現問題及時推動(高飛dòng)整改，閉環安全風險，确保自身的網絡策生區略、安全策略符合安全預期。
安全監控小(xiǎo)組負責漏洞信息監測收集和危害判他年斷，發現問題後通知分析研判小(xiǎo)組、應急處置小(xiǎ友東o)組，通過資産管理平台或相關檢測工(gō用報ng)具，确定受該漏洞影(yǐng)響的資産範圍，再按照資産價值文資（重要程度）和網絡暴露情況确定漏洞修複的優先級，确立響在熱應的等級、需要哪些部門（廠商）參與。
做好(hǎo)内部的漏洞修複通知和外部的業務不工升級暫停公告，應急處置小(xiǎo)組協助做好(區年hǎo)系統備份工(gōng)作(zuò)，并且在非業務時間(個站jiān)段實施升級。漏洞修複後，業務歸屬部門自行檢查業務功能是否受影(y們對ǐng)響，校驗數據是否丢失。
0 day漏洞處理流程示意圖如下圖所示：
完成0day處置的同時，應将其加入安全開發知識庫，避免後續發生類似的安全問題。師都
7.3.3應急響應支撐
應急響應能夠快速成功處置，關鍵是根據前期應急預設流程為指導作短，應急處置小(xiǎo)組有條不(bù)紊對已發生安全事件進行廠微解決，以最大限度地(dì)減少(shǎo)安全事件造成的損愛外害，降低應急處置中(zhōng)的風險。
7.3.3.1檢測階段
檢測是指以适當的方法确認在系統/網絡中(zhōn長聽g)是否出現了惡意代碼、文件和目錄是否被篡改等異常活動(dòng)/現象厭家。
安全監控小(xiǎo)組在檢測到網絡安全事件或發現信息系統異常線日，上報分析研判小(xiǎo)組。
分析研判小(xiǎo)組立即對上報事件的性質、影(yǐng)響範圍、技拿安全設備日志告警進行分析與評估。
7.3.3.2分析階段
該階段确定它的影(yǐng)響範圍和問題原因及事物資件的性質。
分析研判小(xiǎo)組通過安全事件告警日志進行分析研判，評估事件的性質、信相影(yǐng)響範圍判斷，是否上報應急處置小(xiǎo)組，開如風展應急響應：
若判斷無需開展應急響應，發布相關預警通秒喝告，應急流程結束；
若判斷需開展應急響應，則結合實際情況對網絡安冷哥全事件進行定位，啟用相應的專項應急預案，上報演習保障決策組，并通知應急處置飛務小(xiǎo)組開展應急響應。
應急處置小(xiǎo)組根據應急預案處置流程開展應急處置操作(zuò通服)。
7.3.3.3抑制階段
恢複階段是它的目的是限制攻擊/破壞所波及的範圍。同時也是限制潛在的損失街玩。所有的抑制活動(dòng)都是建立在能正确檢這很測事件的基礎上，抑制活動(dòng)必須結合檢測階段發現的安全事件的現象、性舞光質、範圍等屬性，制定并實施正确的抑制策略。
應急處置小(xiǎo)組按照應急預案開展應急處置，執行有志抑制方案，并記錄抑制過程，檢查恢複效果，如果抑制不(bù)成功則收集信息重畫區新(xīn)制定抑制方案。
在此階段，保障決策組協調資源進行技術或業務笑在支撐，必要時協調支撐小(xiǎo)組進行支撐，協助開展事件報姐處置、業務恢複、系統監控等工(gōng)作(z得近uò)内容
7.3.3.4根除階段
根除階段即在準确的抑制事件後，找出事件的根源并徹木好底根除它，以避免攻擊者再次使用相同手段攻擊系統，引發安全事件。在根除階段用媽中(zhōng)将需要利用到在準備階段中(zhōng)産村醫生的結果。
應急小(xiǎo)組按照應急預案對關鍵業務信息執行備份和狀态通樂檢查，對事件進行原因分析，對業務系統進一步進行檢查，根據發現件城的問題與漏洞制定事件根除方案。
在此階段，支撐小(xiǎo)組協調資源協助應急小(xiǎo)組開展費廠業務系統排查、漏洞整改等工(gōng)作(zuò)内容。
7.3.3.5恢複階段
應急小(xiǎo)組按照應急預案開展應急處置和業務恢複謝空工(gōng)作(zuò)，由應急執行小(xiǎo)組組織相關部門雪哥安全管理員和運維操作(zuò)人員等技術有外人員對網絡安全事件進行現場處置，執行恢複方案，并記錄恢複司飛過程，檢查恢複效果，如果恢複不(bù)成為木功則收集信息重新(xīn)制定業務恢複方案，盡快恢複系統正常爸木運行。
系統恢複後及時将事件處置結果逐級上報至集團應急領導小(xiǎo)組。
7.3.3.6總結階段
該階段的目标是回顧并整合發生事件的相關信息，主要有助于從安全事件中(裡答zhōng)吸取經驗教訓，提高技能；有助于評判應急響應組織兵司的事件響應能力。
應急處置小(xiǎo)組對業務影(yǐng)響、範圍、損失進行總結，對應急措小多施的有效性進行評估，對事件原因進行分析，編寫安全事件處置總冷就結報告。
應急處置小(xiǎo)組向指揮決策組提交報告，并組織各業務系統現去管理人員對類似安全隐患的業務系統進行自查自檢，必要時可近錯采取緊急抑制手段避免同類安全事件的發生。生有
7.4保障階段
在演習實戰階段，為保障業務系統的平穩運行，避免因安全問題而導緻出現重大南如事故，将開展安全值守監控、配合中(zhōng)台支撐的優計會勢，研判預警通告、威脅分析、應急響應支撐及演習事件上美和報等工(gōng)作(zuò)。
7.4.1安全值守監控
7.4.1.1網站及業務監控
1.主機(jī)資産監控
在演習保障期間(jiān)，為及時發現資産對外暴小內露安全風險，安全監控小(xiǎo)組将定時對外網資雪站産進行監測，統計當天外網活躍主機(jī)數目，開放端口個數及端東務口服務類型，并通過人工(gōng)分析确認是否存在異常一城端口對外開放。
2.網站安全監控
在演習保障期間(jiān)，對網站提供完整性工弟檢測、可用性檢測。完整性監測能夠甄别出防護站點頁面樹你是否發生了惡意篡改，是否被惡意挂馬，是否被嵌入敏感内容等信息；可用性檢測能夠化腦幫助防守方了解站點此時的通斷狀況，延遲狀況。
a)遠程網頁挂馬及黑鍊監測：遠程實時監測目标站點是文木否存在被植入惡意代碼、黃賭毒私服等詞彙的惡意鍊接的告警，在第窗短一時間(jiān)得知在防護網站的安全狀态，及時清除女場網頁木馬及黑鍊。
b)遠程網頁篡改監測：遠程實時監測目标站點是否是信學存在頁面被篡改情況，避免網站被篡改不(bù)能及時發現，造成惡劣東討影(yǐng)響，此服務是網站防護的最後一道屏障。
c)遠程網站域名監測：實時監測各地(dì)主媽雨流ISP的DNS緩存服務器和客戶DNS授權服務器的那時可用性，以及它們(men)對被監測域名的解析謝海結果情況。一旦發現客戶域名無法解析或解析不(bù)正确，第一時間(jiān志樹)上報評估小(xiǎo)組進行處置。
d)遠程網站平穩度監測服務：遠程實時監測目标站點在多種網絡協議下的響那花應速度、首頁加載時間(jiān)等反映網站性能狀況的内容，一旦作答發現客戶域名無法解析或解析不(bù)正确，第一時間(jiān)照船上報評估小(xiǎo)組進行處置。
7.4.1.2安全設備監控
在網絡安全應急演練保障期間(jiān)，安全監控小(xiǎo)組對爸風安全設備進行監控，開展設備性能監控、安全攻擊監控等工(唱空gōng)作(zuò)。
a)安全攻擊監控：安全設備告警事件實時監控，包含：拒絕中車服務攻擊，網絡病毒爆發，漏洞遠程利用、惡意代碼傳遞等高危事件告警信息，對行少攻擊告警日志進行分析處置，策略調整優化，對高危風險行為IP執行封個到禁封堵，可密切關注來(lái)源請求異常，接口請求異常樹信，惡意IP攻擊等事件。
7.4.1.3安全行為監控
在網絡安全應急演練實戰期間(jiān)，VP風購N、堡壘機(jī)、關鍵設備主機(jī)等設備是黑客突破的重要目标，農快當獲取到權限賬戶後，黑客可能會選擇在夜間(jiān)薄弱時間(j場黑iān)點發起攻擊行為，或執行高危操作(zuò)，故安全監信也控小(xiǎo)組将對設備賬戶安全行為進了明行監控，并對日志進行安全審計。
安全監控小(xiǎo)組通過人工(gōng)分析日志，審計目前監控設備務業是否存在僵屍賬戶、異地(dì)登錄、頻繁登錄、異常時間(jiān靜她)登陸、賬戶威脅操作(zuò)等行為情況，并針對但說不(bù)同事件采取相應措施，防止風險擴散。
a)僵屍賬戶分析：安全監控小(xiǎo)組通過人工(gōng)分析日志，查找習子近期未活躍的賬戶，對疑是僵屍賬戶進行逐一确認，紅海非必要賬戶或權限不(bù)合理賬戶，需進行回收處理。
b)異地(dì)登錄分析：安全監控小(xiǎo)組通過人工(gōng)亮謝分析日志，查看(kàn)設備賬戶近期是否舊男頻繁更換登陸地(dì)點，地(dì)點變劇拍更間(jiān)隔是否符合常理，對出現異常賬戶進行逐呢見一确認，确保賬戶登錄環境安全。
c)頻繁登錄分析：安全監控小(xiǎo)組通過人工(照土gōng)分析日志，查看(kàn)設備賬戶近期是否存空雨在頻繁登錄行為，重點關注頻繁登錄失敗事件視姐，分析當前賬戶是否遭受暴力破解。
d)異常時間(jiān)登錄分析：安全監控小(xiǎo)組通過電如人工(gōng)分析日志，查看(kàn)設備火商賬戶近期是否在異常時間(jiān)段(淩晨1點至6點)期間(jiān)登錄，嗎河對出現異常賬戶進行逐一确認，确保賬戶均為賬戶申請人本人操紅聽作(zuò)。
e)賬戶威脅操作(zuò)分析：安全監控小(xiǎo妹醫)組通過人工(gōng)分析日志，查看(kàn)設備賬戶近期執行是否一爸正常，如删除數據庫、修改關鍵信息等操作(zuò愛很)，對出現異常賬戶進行逐個确認，确保高風險操作(跳愛zuò)是正常操作(zuò)。
7.4.1.4重要系統巡檢
系統巡檢工(gōng)作(zuò)能保證服務器正常、有序、安全地(了開dì)運轉，保障更好(hǎo)地(dì)應用網絡及相關服務。在網絡安章友全應急演練實戰期間(jiān)，靶标、關鍵系統、服務器等設備是突破的了雪重要目标，通過對重要系統的巡檢，可發現目标存在的師算一些異常，以便在系統故障或應急事件發生時及時作(秒光zuò)出處理，減少(shǎo)不(bù)良影(yǐng)響。
1.系統可用性檢查
檢查設備或服務器系統時間(jiān)、是否升級包、證這中書信息等信息。
2.系統日志分析
通過對日志進行統計、分析、彙總，能有效掌握服務器的運行狀況視刀，及時發現問題，排除安全隐患。其中(zhōng)關注以年飛下幾個方面的行為日志：
a)可疑賬戶的登錄：查找登錄的賬戶，對可疑賬戶進行逐一确認、非必友議要賬戶、權限不(bù)合理賬戶，進行回收處理。
b)異地(dì)登錄的賬戶：查看(kàn)設備賬戶近期是我廠否頻繁更換登陸地(dì)點，地(dì)點變更畫姐間(jiān)隔是否符合常理，對出現異地(dì通和)賬 戶進行逐一确認，确保賬戶登錄環境安全。
c)頻繁登錄分析：查看(kàn)設備賬戶是否存在頻繁登錄行為，重點關注頻繁少兒登錄失敗事件，分析當前賬戶是否遭受暴力破解。
d)異常時間(jiān)登錄分析：查看(kàn)設備賬戶近期是否在物吧異常時間(jiān)段(非工(gōng)作(zuò)時間(jiān)段)期間(爸車jiān)登錄，對出現異常賬戶進行逐一确認，确保賬戶均為賬戶申請人本人操暗的作(zuò)。
7.4.1.5重要設備監控
在網絡安全應急演練實戰期間(jiān)，安全監控小(xiǎo)組對安全設畫金備進行監控，開展設備性能監控、安全攻擊監控等工(gōng)作(zuò)。
1.設備性能監控
安全設備健康情況實時監控，包含：CPU使用率、内存占用率、接音務口流量、接口工(gōng)作(zuò)狀态、硬盤使用情況等高玩設備健康相關的基本參數監控，監控過程需密切關注設備性能占比，通過分析當前劇嗎業務負載，及設備各項性能指标，确保過程中(zhōng)設備可用性。地還
2.系統性能檢查
檢查服務器資源使用情況，合理分配資源，能夠提高服務器的工離兵(gōng)作(zuò)效率。内存不(bù可歌)足或CPU使用率居高不(bù)下，不(bù)僅對服務器性能造地靜成較大影(yǐng)響，而且可能存在攻擊或病些自毒感染等問題。通過對磁盤剩餘空間(jiān)、CPU、進生都程、内存等參數進行檢查，掌握系統目前的運行狀況。
3.數據備份檢查
查數據備份是否存在或異常的情況，能為之後可能出現的系統故障處理提供保障。方便妹是故障後恢複系統配置提供極大的便利。
7.4.2研判預警處置
在網絡安全應急演練保障期間(jiān)，研判分析小(xiǎo)組将對安也視全監控小(xiǎo)組上報事件進行研判處置，對符合預警條件的事件進行通知處理。人請
安全預警通告主要類型包括安全風險預警通告、安全事件應急女術通告、可疑安全行為通告，當研判分析小(xi長工ǎo)組收到上述通告時，及時研判被通告事件與保障目标資産美他吻合度，對風險内容進行定位分析，确認實際影(yǐng)響範圍，威脅程雨東度，緊急程度等，并協調應急處置小(xiǎo)組進行處多到理，以達到快速閉環安全風險目的。
1.安全通告接收
安全監控小(xiǎo)組接收到安全風險預警，安全事件應急及視到可疑安全行為等各類安全事件。
2.安全通告研判
研判分析小(xiǎo)組研判被通告事件與保障目标資産吻合度，對風話事險内容進行定位分析，确認實際影(yǐng)響範圍，威脅程些看度，緊急程度等。
3.安全通告處置
協調應急處置小(xiǎo)組對安全風險進行閉環，并記錄進統計表中(z匠身hōng)。
7.4.3安全事件上報
在網絡安全應急演練保障期間(jiān)，防守方個議對檢測到的告警信息進行研判分析，對确屬攻擊行為的安全事件，及時根據規定格式編寫件車防守方成果報告，提交至保障決策組，由安全接口人統一上妹也報。
7.4.4安全事件跟蹤
将針對網絡安全應急演練前期的待處理事件和笑吃中(zhōng)期發生的安全事件進行梳理，根據安全問題風險程度由高到低員得設置處理優先級，繪制輸出安全事件跟蹤表。
7.5總結階段
在網絡安全應急演練保障結束後，将對保障期間(jiān)所涉麗分及到的攻擊事件進行彙總梳理，通過分析還原攻擊手段，對存在安全缺陷話街進行整改跟進，總結經驗教訓，提升業務安全防護能力，強化業務安全費湖。
7.5.1安全事件梳理
在保障結束後，将組織保障參與人員對應急演練期間(jiān腦些)出現的攻擊事件進行彙總統計，包括但不(bù)限于：話下
針對攻擊事件進行攻擊時段、頻率、次數的統計，分析常見攻擊事件行為識别已受攻民計擊的業務風險；
分析攻擊源地(dì)址的地(dì)域、攻擊時間(jiān)、攻玩木擊次數等維度識别攻擊者攻擊意圖；分析攻擊目的地(dì)址識别易受攻擊的業務火日模塊；
從風險等級由高到低排序，重點關注高危行為，根據高危行為指向的目的志很地(dì)址，識别易受攻擊的業務模塊。
7.5.2事件總結歸檔
在保障結束後，将組織演習保障參與人員進行總結分析，并于收尾會議後的3個工(火草gōng)作(zuò)日内，輸出網絡安全應急演練活動(厭請dòng)總結報告，并遞交至演習保障組、總指揮進行站醫初步審閱及最終審閱，最後發送給保障聯絡組各小(xiǎo)組部門制銀負責人，歸檔至信息安全部門。
8演練平台說明
在網絡安全應急演練保障期間(jiān)，演習保障人員均通過“安全設備—态得西勢感知—攻防平台—封堵平台”形成安全事件從發現、分析、研判、行什封堵的全生命周期閉環管理。
在演練期間(jiān)，态勢平台會獲取所有安全設備事件日志統一房體處理，攻防平台獲取态勢平台的安全事件，并前往封堵平台購作查看(kàn)告警IP是否被封禁。這一系列動(dò老銀ng)作(zuò)可通過自動(dòng)化的腳本執行，演練人員需要國些重點查看(kàn)安全事件是否正常。
1、登錄簽到
訪問攻防平台輸入賬戶、密碼進行登陸。若提示證書錯誤，請添加是說例外或繼續訪問。登錄攻防平台後請先進行簽到那現，點擊右上角的日曆圖标，在我的簽到頁面下，點擊簽到，如下圖所示：放志

2、安全設備/事件監控
安全值守監控人員實時監控各安全設備、态勢平台、攻防平台拍民、封堵平台的安全事件條數、處置狀态，确保各類攻擊事件均已處置完用農畢,對于未處置完畢的安全事件，手工(gōng)派發安全事件林農工(gōng)單，通知對應人員在規定時間(j體弟iān)内手工(gōng)處置完畢。
安全值守監控人員實時監控各安全設備（各安全身熱域的DDOS、防病毒、防篡改、WAF、防呢作火牆、天眼、IDS、IPS）、态勢平台、攻防平台、封堵平台的運行情況，安全值通船守人員對統計數據進行複核确認。
3、安全事件處置
在攻防平台的左側進入安全事件中(zhōng)心，查看嗎答(kàn)平台從态勢平台所取得的安全事件，如下圖所示：

點擊事件列表右側的處理，進入事件處理的詳情後點擊結束事件

此時将事件狀态切換為已解決，可以看(kàn)到她喝剛才的事件狀态已經轉換成已解決

在封堵平台的左側進入攻防封堵頁面，查看(k從睡àn)安全事件處置結果，顯示時間(jiān)處置類型及處置狀街腦态：

4、簽出
在完成任務後，要點擊頁面右上角的日曆标志，在我的黑舞簽到頁面中(zhōng)，點擊簽出