一、演练背景 

网络安全事件频发，网络安全“战”从未停止，甚至呈现愈演愈烈的趋势，随着数字化时代的来临，新技术的应用，企业的网络架构会愈发庞大，复杂、多变，网络安全面临严峻的挑战，对网络安全建设也提出了新的要求。

2017年6月1日正式实施 《中华人民共和国网络安全法》第三十九条中，明确提出“定期组织关键信息基础设施的运营者进行网络安全应急演练，提高应对网络安全事件的水平和协调配合能力”，应急演练，就是攻防演练，这种“以攻击促防御”的方法，有效的检验了企业网络安全防御能力及安全事件应急响应能力。 

面对攻防演练，企业关心的问题我们需要做什么准备？我们该如何进行防御？

二、面临问题 

1、对攻防演练不了解 

很多企业首次参加攻防演练，对攻防演练认知并不是很清晰，什么是攻防演练？攻防演练的目的是什么？进行攻防演练我需要准备什么？ 

（1）什么是攻防演练 

攻防演练更像是一场在监管机构统一组织和监管下有规则的“攻防游戏”，提前制定好游戏得分机制，在一定时间范围内、或某个时间点，攻击团队在不明确或明确目标的情况下、不限制攻击路径的，不限制攻击手段，以控制业务系统、获取重要数据等为最终目的，全面展开攻击。防守团队实时监控、分析，风险应急处置，全面展开防御。 

（2）攻防演练的目的 

攻防演练的目的是“以攻促防”，通过“攻击”来检验企业的安全防御水平，通过攻防过程中暴露的问题来提升企业的防御水准。挖掘出企业暴露的网络安全脆弱点，对暴露出的问题进行专项分析、归纳总结、核查整改，以此提升企业的网络安全防御水平，为企业网络安全建设提供强有力的支持。 

（3）攻防演练需要做哪些准备 

首先企业要建立明确演练架构，总协调指挥、运维团队、攻击团队、防守团队，应急事件处理团队，裁判团队、保障演练的正常运行。需要制定演练方案，明确评审规则。同时根据企业自身情况，可进行内部的小演练，自查整改，资产清点、安全策略整改、增加安全防御，同时建立轮岗值班机制，确保风险及时发现，及时处理。

2、整体防御，准备不足

（1）企业资产不明确 

企业暴露面资产不明确，企业到底有多少资产？有哪些业务系统，哪些服务，哪些中间件？是否存在风险漏洞？ 这些问题企业不全面掌握的话，就给了攻击者可利用的攻击点，造成互联网边界被突破、入侵成功的严重后果。 

（2）风险排查不全面

对暴露资产、敏感信息、常见漏洞、安全策略等层面进行全面风险排查，企业风险自查结果如果不全面，不精准，就会有风险漏洞遗漏，给攻击者留下攻击入口。 

（3）安全态势未感知 

企业风险安全实时监控，可视化的风险感知、以及应急响应是网络安全的必要条件。有些企业不能做到风险的实时监控，所以应急响应能力不足，导致安全事件发生，做好风险的实时监控是攻防演练的重要举措，实时监控才可及时发现，及时处置。

 （4）安全策略难自查 

随着企业的发展业务的增长与变化不可避免，安全策略容易混乱，开启高危端口、本该下线的系统还在运行、甚至出现逻辑漏洞，而这些也给企业带来了安全隐患。

3、安全建设，专业人员缺乏 

在攻防演练的整个过程中，从准备演练、提前布防、演练开始、总结整改都有大量专业性较强的工作，需要专业的安全人员梳理、分析、给出结论，而专业安全人员的缺乏，就导致了工作中会出现一些不深入、不精准的错误结论，导致安全问题不能及时规避、发现，处理，留下了安全风险。

三、我们的建议 

1、摸清家底 

无法对未知资产进行防御，首先就要摸清家底，梳理资产暴露面，发现暗资产、遗弃资产等，通过多维度的技术手段，进行精准资产画像关联，减少暴露面可以攻击媒介，持续监测资产信息的变动，支撑企业高水平运营，为风险溯源提供数据支撑。 

2、风险精准识别 

对风险资产、违规操作进行精准识别，描绘风险影响范围、优先级，为企业做风险事件处置及加固安全策略提供真实、严谨的依据。 

3、自动化持久监控 

风险的持久监控和应急处置能力是企业安全的重要一步，风险漏洞、违规行为要实时监控，发现异常行为及时预警，闭环的安全事件的处置流程，缩短处置时间，提高安全事件响应能力。  

4、安全体系建设 

对企业的安全策略进行不断的自查整改，加固网络边界，同时企业应建立符合企业自身的安全组织架构，培养网络安全人才，提升企业安全防御水平，同时企业应定期进行安全教育培训，提高企业员工的安全意识及安全技能。

四、结束语

北京华顺信安科技有限公司以“攻击”视角看待防御的安全公司，可以在演练开始之前为企业梳理资产暴露面做到资产、风险心中有数，帮助企业完善安全机制，演练过程中风险实时监控、分析，闭环的应急处置，保障演练过程中为企业提供最新的风险资产视图。