护网定义：

护网行动是由公安机关组织的“网络实战攻防演习”

护网的目的：

及时发现并整改网络安全深层次问题隐患，检验并提升国家关键信息基础设施安全防护能力

进一步加强重点单位、社会力量与公安机关的协同配合和联合作战能力

通过攻防实战，提高攻防双方技术对抗，决策指挥及应急处理能力

攻防演习防护过程：

1、准备阶段：

​ （1）防守方案编制
​ （2）防守工作启动会
​ （3）人员结构组织
​ （4）目标系统梳理
​ （5）网络架构检查
​ （6）安全防护设备，厂商梳理了解
​ （7）APT检测、流量分析、态势感知等安全检测设备梳理了解

2、自查阶段

​ （1）互联网资产扫描探测
​ （2）漏洞扫描
​ （3）渗透测试
​ （4）安全风险检查（集权类系统、网络划分应用系统、网络攻击风险等检查）
​ （5）安全基线/配置检查
​ （6）安全设别策略有效性检查
​ （7）日志审计情况检查
​ （8）重大活动或之前进行的安全评估结果复查
​ （9）安全检测、防护设备补充完善
​ （10）安全整改加固

需要部署的安全设备：

边界隔离：网闸、下一代防火墙/UTM
旁路检测：IDS/CS，网络审计、数据库审计、APT、全流量分析系统
数据传输加密：VPN、加密机
WEB服务器重点防护：服务器区前端部署WAF、部署网页防篡改系统
终端管控：EDR
平台监控：安全管理平台
其他设备：漏洞扫描、基线核查、威胁情报系统、蜜罐、攻防演练平台

3、演练阶段

​ （1）授权与备案
​ （2）预演习攻击
​ （3）预演习防护
​ （4）问题分析总结
​ （5）安全整改与加固

4、实战阶段

​ （1）安全事件实时监测
​ （2）安全事件分析
​ （3）应急响应和决策处理

5、总结阶段

在演戏过程中还存在的脆弱点，开展整改工作，进一步提高目标系统的安全防护能力

防守事件分类：

木马后门事件、异常登录事件、钓鱼邮件事件、漏洞攻击事件、暴力破解事件、数据窃取事件、拒绝服务事件

事件分级：

一级：演习目标被控制
二级：重要系统或设备被控制
三级：内网一般设备被控制
四级：DMZ区一般设备被控制
五级：DMZ区设备遭到攻击或内网终端遭到攻击

攻击方式

防守策略