如何组织一场实战攻防演练

一、实战攻防演练的组织要素

• 组织单位
  负责总体把控、资源协调、演练准备、演练组织、演练总结、落实整改等工作。

• 技术支撑单位
  由专业安全公司担任，负责提供对应的技术支撑和保障，进行攻防对抗演练环境搭建和攻防演练可视化展示。

• 攻击队
  一般由多家安全厂商独立组建，每支攻击队一般配备3～5人。在获得授权的前提下，以资产探查、工具扫描和人工渗透为主进行渗透攻击，以获取演练目标系统权限和数据。

• 防守队
  由来自参演单位、安全厂商等的人员组成，主要负责对防守队所管辖的资产进行防护，尽可能阻止蓝队拿到权限和数据。

二、实战攻防演练的组织形式

• 由国家、行业主管部门、监管机构组织的演练
  。此类演练一般由各级公安机关、各级网信部门、政府、金融、交通、卫生、教育、电力、运营商等国家、行业主管部门或监管机构组织开展。针对行业关键信息基础设施和重要系统，组织攻击队及行业内各企事业单位进行网络实战攻防演练。

• 大型企事业单位自行组织的演练
  。金融企业、运营商、行政机构、事业单位及其他政企单位，针对业务安全防御体系建设有效性的验证需求，组织攻击队及企事业单位进行实战攻防演练。

三、实战攻防演练的组织关键

• 演练范围
  ：优先选择重点（非涉密）关键业务系统及网络。

• 演练周期
  ：结合实际业务开展，一般建议1～2周。

• 演练场地
  ：依据演练规模选择相应的场地，要能够容纳组织单位、攻击队、防守队，且三方场地要分开。

• 演练设备
  ：搭建攻防演练平台、视频监控系统，为攻击方人员配发专用电脑（或提供虚拟攻击终端）等。

• 攻击队组建
  ：选择参演单位自有人员或聘请第三方安全服务商专业人员组建。

• 防守队组建
  ：以各参演单位自有安全技术人员为主，以第三方安全服务商专业人员为辅组建。

• 演练规则制定
  ：演练前明确制定攻击规则、防守规则和评分规则，保障攻防过程有理有据，避免攻击过程对业务运行造成不必要的影响。

四、实战攻防演练的风险规避措施

• 演练限定攻击目标系统，不限定攻击路径

• 除非经授权，演练不允许使用拒绝服务攻击

• 网页篡改攻击方式的说明

• 演练禁止采用的攻击方式

• 攻击方木马使用要求

• 非法攻击阻断及通报