1T/GXUCAXXXX—XXXX數(shù)字校園網(wǎng)絡(luò)安全攻防實(shí)戰(zhàn)演練工作規(guī)程本文件界定了數(shù)字校園網(wǎng)絡(luò)安全攻防實(shí)戰(zhàn)演練工作的術(shù)語(yǔ)和定義，規(guī)定了總體要求、參與主體及職能的內(nèi)容和演練流程等操作指示，描述了演練工作的追溯方法。本文件適用于指導(dǎo)全日制高等院校組織實(shí)施網(wǎng)絡(luò)安全攻防實(shí)戰(zhàn)演練的全流程活動(dòng)。2規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T22239信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求GB/T25069信息安全技術(shù)術(shù)語(yǔ)GB/T29246信息安全技術(shù)信息安全管理體系概述和詞匯GB/T32924信息安全技術(shù)網(wǎng)絡(luò)安全預(yù)警指南GB/T38645信息安全技術(shù)網(wǎng)絡(luò)安全事件應(yīng)急演練指南3術(shù)語(yǔ)和定義GB/T22239、GB/T25069、GB/T29246、GB/T32924、GB/T38645界定的以及下列術(shù)語(yǔ)和定義適用于本文件。3.1數(shù)字校園digitalcampus以高度發(fā)達(dá)的計(jì)算機(jī)網(wǎng)絡(luò)為核心技術(shù)，以信息和知識(shí)資源的共享為手段，強(qiáng)調(diào)合作、分享、傳承的精神，網(wǎng)絡(luò)化、數(shù)字化、智能化有機(jī)結(jié)合的新型教育、學(xué)習(xí)和研究的教育環(huán)境。3.2網(wǎng)絡(luò)安全攻防實(shí)戰(zhàn)演練cybersecurityattack-defensewargame一種模擬真實(shí)網(wǎng)絡(luò)攻擊和防御場(chǎng)景的活動(dòng)，通過(guò)組織3.4和3.5進(jìn)行對(duì)抗，來(lái)檢驗(yàn)和提升組織的網(wǎng)絡(luò)安全防御能力、應(yīng)急響應(yīng)能力和安全運(yùn)營(yíng)水平。3.3組織方（白隊(duì)）organizationalparty(whiteteam)指網(wǎng)絡(luò)安全攻防演練活動(dòng)的策劃者、組織者和協(xié)調(diào)者，由網(wǎng)絡(luò)安全專(zhuān)家、技術(shù)人員、管理人員等組成，負(fù)責(zé)整個(gè)演練活動(dòng)的規(guī)劃、準(zhǔn)備、執(zhí)行、監(jiān)控和評(píng)估工作。3.4攻擊方（紅隊(duì))attacker(redteam)指網(wǎng)絡(luò)安全攻防實(shí)戰(zhàn)演練中的攻擊一方，由網(wǎng)絡(luò)安全專(zhuān)業(yè)技術(shù)人員組成，針對(duì)技術(shù)和非技術(shù)安全控制的脆弱性，組織開(kāi)展網(wǎng)絡(luò)攻擊,達(dá)到獲得信息系統(tǒng)或網(wǎng)絡(luò)設(shè)備的訪問(wèn)權(quán)或敏感數(shù)據(jù)等目的。3.5防守方（藍(lán)隊(duì))defender(blueteam)指網(wǎng)絡(luò)安全攻防實(shí)戰(zhàn)演練中的防御一方，由網(wǎng)絡(luò)安全運(yùn)維人員為主組建的防守隊(duì)伍，通過(guò)檢測(cè)、響應(yīng)和抵御攻擊來(lái)提升組織的安全防護(hù)能力。4總體要求4.1安全可控T/GXUCAXXXX—XXXX2演練前，應(yīng)制定詳細(xì)的安全保障措施。演練過(guò)程中的攻擊行為不會(huì)對(duì)系統(tǒng)造成實(shí)質(zhì)性破壞，所有攻擊操作均在可控范圍內(nèi)進(jìn)行。4.2保密演練過(guò)程中涉及的敏感信息、系統(tǒng)架構(gòu)、安全策略等均屬于保密范圍，所有參與人員應(yīng)遵守保密規(guī)定。對(duì)演練過(guò)程中產(chǎn)生的數(shù)據(jù)和信息，應(yīng)進(jìn)行管理和控制。4.3模擬真實(shí)應(yīng)模擬真實(shí)的網(wǎng)絡(luò)攻擊場(chǎng)景和攻擊手段。4.4持續(xù)改進(jìn)每次演練后，應(yīng)對(duì)演練過(guò)程進(jìn)行總結(jié)和分析，找出存在的問(wèn)題和不足，改進(jìn)和優(yōu)化安全防護(hù)體系和應(yīng)急響應(yīng)流程。5參與主體及職能5.1參與主體網(wǎng)絡(luò)安全攻防實(shí)戰(zhàn)演練的參與主體為組織方（白隊(duì)）、攻擊方（紅隊(duì)）、防守方（藍(lán)隊(duì)）。5.2職能5.2.1組織方（白隊(duì)）主要包括：a)確定演練的目標(biāo)、范圍、時(shí)間和地點(diǎn)，制定詳細(xì)的演練計(jì)劃和方案；b)組織攻防雙方（紅隊(duì)和藍(lán)隊(duì)）以及其他參演單位進(jìn)行演練前的準(zhǔn)備和培訓(xùn)工作；c)在演練過(guò)程中，實(shí)時(shí)監(jiān)控演練進(jìn)度和情況，發(fā)現(xiàn)和解決問(wèn)題；d)提供技術(shù)支持和保障工作；e)對(duì)演練結(jié)果進(jìn)行評(píng)估和總結(jié)，提出改進(jìn)意見(jiàn)和建議。5.2.2攻擊方（紅隊(duì)）主要包括：a)根據(jù)演練目標(biāo)和場(chǎng)景，設(shè)計(jì)合理的攻擊策略和手段；b)在演練過(guò)程中，按照預(yù)定的攻擊策略，對(duì)目標(biāo)系統(tǒng)發(fā)起攻擊，實(shí)時(shí)監(jiān)控攻擊效果和系統(tǒng)的響應(yīng)情況；c)利用專(zhuān)業(yè)知識(shí)和工具，挖掘目標(biāo)系統(tǒng)存在的安全漏洞，利用漏洞進(jìn)行攻擊，檢驗(yàn)系統(tǒng)的安全防護(hù)能力。5.2.3防守方（藍(lán)隊(duì)）主要包括：a)通過(guò)監(jiān)測(cè)、分析和響應(yīng)攻擊行為，保護(hù)目標(biāo)系統(tǒng)免受損害；b)在演練過(guò)程中，實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)流量、系統(tǒng)日志和終端行為，發(fā)現(xiàn)并響應(yīng)紅隊(duì)的攻擊行為，包括快速隔離攻擊源、修復(fù)漏洞、恢復(fù)業(yè)務(wù)等；c)對(duì)目標(biāo)系統(tǒng)進(jìn)行漏洞掃描和安全評(píng)估，發(fā)現(xiàn)并修復(fù)潛在的安全問(wèn)題。6演練流程6.1流程圖見(jiàn)圖1。T/GXUCAXXXX—XXXX3圖1真實(shí)環(huán)境攻防演練工作流程6.2策劃階段6.2.1確定演練目標(biāo)和范圍主要內(nèi)容有：a)確定演練目標(biāo)：應(yīng)結(jié)合學(xué)校提升校園網(wǎng)絡(luò)安全防護(hù)能力、檢驗(yàn)應(yīng)急響應(yīng)機(jī)制的工作任務(wù)和現(xiàn)狀確定演練目標(biāo)；b)梳理目標(biāo)系統(tǒng)資產(chǎn)：目標(biāo)系統(tǒng)包括數(shù)字校園核心業(yè)務(wù)系統(tǒng)（教務(wù)管理、科研平臺(tái)、學(xué)工系統(tǒng)、一卡通）；職業(yè)教育特色場(chǎng)景（實(shí)訓(xùn)云平臺(tái)、產(chǎn)教融合系統(tǒng)、智慧教室物聯(lián)網(wǎng)設(shè)備）；公共服務(wù)設(shè)施（網(wǎng)站群、郵件系統(tǒng)、VPN/遠(yuǎn)程接入系統(tǒng)）等；c)確定演練場(chǎng)景類(lèi)型：演練模式包括單校內(nèi)網(wǎng)攻防、跨校聯(lián)合對(duì)抗、基于云靶場(chǎng)的遠(yuǎn)程演練，專(zhuān)項(xiàng)場(chǎng)景演練（如釣魚(yú)攻擊防范、勒索軟件應(yīng)急響應(yīng)、數(shù)據(jù)泄露溯源）等；d)申請(qǐng)授權(quán)審批：獲得校領(lǐng)導(dǎo)及系統(tǒng)主管部門(mén)的書(shū)面授權(quán)。6.2.2制定演練計(jì)劃主要內(nèi)容有：a)確定演練時(shí)間：明確演練開(kāi)始與結(jié)束時(shí)間，設(shè)定關(guān)鍵防守任務(wù)的時(shí)間節(jié)點(diǎn)，選擇業(yè)務(wù)低峰期（如凌晨或假期），提前告知全校師生演練時(shí)段；b)確定演練地點(diǎn)：選擇校內(nèi)作為演練場(chǎng)地，場(chǎng)地應(yīng)具備相應(yīng)的安全措施和監(jiān)控手段，并能容納所有參與人員和相關(guān)設(shè)備的場(chǎng)所。c)確定演練過(guò)程：明確攻防雙方的任務(wù)，檢查現(xiàn)有應(yīng)急響應(yīng)機(jī)制，編制應(yīng)急響應(yīng)預(yù)案。6.2.3組織參與人員T/GXUCAXXXX—XXXX4組織學(xué)校網(wǎng)絡(luò)安全專(zhuān)業(yè)學(xué)生、教師，明確攻防雙方名單，邀請(qǐng)學(xué)校信息系統(tǒng)管理員、應(yīng)用開(kāi)發(fā)負(fù)責(zé)人、數(shù)據(jù)中心運(yùn)維人員等支持協(xié)助。6.2.4籌備資源主要有：a)硬件資源：準(zhǔn)備硬件設(shè)備，如服務(wù)器、路由器、電腦、交換機(jī)、帶寬、防火墻等；b)軟件資源：安裝軟件，如操作系統(tǒng)、數(shù)據(jù)庫(kù)、安全軟件等，準(zhǔn)備網(wǎng)絡(luò)安全工具，如漏洞掃描器、滲透測(cè)試工具、日志分析工具等；c)網(wǎng)絡(luò)環(huán)境：校園內(nèi)網(wǎng)（教學(xué)/辦公/實(shí)驗(yàn)網(wǎng)）、外網(wǎng)訪問(wèn)區(qū)、云平臺(tái)（公有云/私有云業(yè)務(wù)）。6.3準(zhǔn)備階段6.3.1組織方（白隊(duì)）召開(kāi)準(zhǔn)備會(huì)議主要內(nèi)容有：a)技術(shù)部署內(nèi)容：1)對(duì)所有攻擊流量添加特殊標(biāo)識(shí)（如HTTP頭X-Drill:true）；2)啟用審計(jì)功能，記錄所有查詢(xún)，對(duì)敏感字段實(shí)施動(dòng)態(tài)脫敏；3)為關(guān)鍵系統(tǒng)創(chuàng)建可回滾的快照；4)部署實(shí)時(shí)監(jiān)控，設(shè)置CPU/內(nèi)存閾值。b)網(wǎng)絡(luò)環(huán)境安全配置檢查內(nèi)容：1)全面排查校園網(wǎng)內(nèi)的所有互聯(lián)網(wǎng)暴露面資產(chǎn)，關(guān)閉或限制SSH、RDP等面向互聯(lián)網(wǎng)的高危服務(wù)端口，僅允許授權(quán)IP訪問(wèn)；2)對(duì)主機(jī)、數(shù)據(jù)庫(kù)、中間件、應(yīng)用系統(tǒng)進(jìn)行漏洞掃描，優(yōu)先修復(fù)高危漏洞，驗(yàn)證防火墻、WAF等防護(hù)策略的有效性；3)檢查網(wǎng)絡(luò)設(shè)備、安全設(shè)備的賬號(hào)權(quán)限和日志留存策略，刪除冗余賬號(hào)及默認(rèn)密碼。c)部署SIEM系統(tǒng)實(shí)現(xiàn)多源日志聚合分析，確保所有網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)的日志留存周期≥180d，建立日志異常實(shí)時(shí)告警機(jī)制。d)應(yīng)急響應(yīng)預(yù)案內(nèi)容：1)制定演練中斷熔斷條件：業(yè)務(wù)響應(yīng)時(shí)間延長(zhǎng)50%以上，發(fā)現(xiàn)未預(yù)料的嚴(yán)重漏洞，敏感數(shù)據(jù)被異常訪問(wèn)。2)應(yīng)急響應(yīng)恢復(fù)措施：停止攻擊行為，回滾到攻擊前快照，保留證據(jù)鏈。e)組織全員簽署保密協(xié)議，嚴(yán)明保密紀(jì)律。提供培訓(xùn)下達(dá)攻擊任務(wù)和防守任務(wù)，講解演練規(guī)則，為攻擊方（紅隊(duì)）和防守方（藍(lán)隊(duì)）提供網(wǎng)絡(luò)安全知識(shí)和技能培訓(xùn)。搭建演練環(huán)境搭建包含虛擬機(jī)、防火墻、入侵檢測(cè)及防御系統(tǒng)的完整攻防環(huán)境，模擬真實(shí)攻擊場(chǎng)景。6.3.2攻擊方（紅隊(duì)）根據(jù)分配任務(wù)，進(jìn)一步完善攻擊手段，在搭建的演練環(huán)境中進(jìn)行模擬攻擊，測(cè)試攻擊策略的有效性。6.3.3防守方（藍(lán)隊(duì)）根據(jù)分配任務(wù)，調(diào)整和優(yōu)化防御計(jì)劃，在搭建的演練環(huán)境中進(jìn)行模擬防守，測(cè)試防守策略的有效性。6.4攻防對(duì)抗階段6.4.1組織方（白隊(duì)）按演練活動(dòng)計(jì)劃進(jìn)行攻防對(duì)抗，實(shí)時(shí)監(jiān)控演練過(guò)程。T/GXUCAXXXX—XXXX記錄攻擊和防御過(guò)程中的關(guān)鍵信息，如攻擊手段、防御策略及效果等。6.4.2攻擊方（紅隊(duì)）在監(jiān)控下，按照預(yù)定的攻擊策略發(fā)起真實(shí)攻擊?？墒褂谜鎸?shí)漏洞攻擊，不應(yīng)進(jìn)行數(shù)據(jù)刪除/篡改操作、拒絕服務(wù)攻擊和物理設(shè)備操作等。根據(jù)防御方的反應(yīng)，調(diào)整攻擊手段，測(cè)試防御體系的韌性。6.4.3防守方（藍(lán)隊(duì)）根據(jù)攻擊方的攻擊手段，進(jìn)行監(jiān)控、檢測(cè)和響應(yīng)。使用現(xiàn)有安全設(shè)備（防火墻/IDS等）進(jìn)行防御，所有處置操作需通過(guò)運(yùn)維流程審批。在演練過(guò)程中發(fā)現(xiàn)的漏洞，應(yīng)及時(shí)進(jìn)行修復(fù)并記錄。6.5總結(jié)與改進(jìn)6.5.1組織方（白隊(duì)）主要內(nèi)容有：a)組織評(píng)估會(huì)議：邀請(qǐng)紅隊(duì)、藍(lán)隊(duì)及相關(guān)人員參加評(píng)估會(huì)議，分析演練過(guò)程中的成功經(jīng)驗(yàn)和不足之處；b)重點(diǎn)分析：紅隊(duì)攻擊路徑與藍(lán)隊(duì)檢測(cè)響應(yīng)時(shí)間軸對(duì)比、漏洞利用成功率與防御策略失效原因；c)整理演練報(bào)告：根據(jù)評(píng)估會(huì)議的結(jié)果，整理演練報(bào)告，包括演練概述、范圍、參與方、計(jì)劃安排、工作成果及改進(jìn)建議等（詳見(jiàn)附錄A）；d)輸出成果：漏洞修復(fù)方案、安全設(shè)備策略調(diào)整建議、師生安全意識(shí)培訓(xùn)方案等。6.5.2攻擊方（紅隊(duì)）分享攻擊過(guò)程中的發(fā)現(xiàn)和建議，提交攻擊成果報(bào)告（詳見(jiàn)附錄B），幫助防守方改進(jìn)防御策略。6.5.3防守方（藍(lán)隊(duì)）分享防御過(guò)程中的經(jīng)驗(yàn)和教訓(xùn)，提交防守成果報(bào)告（詳見(jiàn)附錄C），提出改進(jìn)防御體系的建議。7追溯方法7.1歸檔文件對(duì)演練策劃階段、準(zhǔn)備階段、攻防對(duì)抗階段和總結(jié)與改進(jìn)過(guò)程中產(chǎn)生的文件進(jìn)行歸檔。7.2過(guò)程記錄記錄并保存演練各階段的內(nèi)容，包括但不限于人員、時(shí)間、地點(diǎn)、網(wǎng)絡(luò)路徑、工具方法、操作內(nèi)容、結(jié)果及改進(jìn)建議等。T/GXUCAXXXX—XXXX6（資料性）網(wǎng)絡(luò)安全攻防實(shí)戰(zhàn)演練總結(jié)報(bào)告示例A.1演練概述根據(jù)網(wǎng)絡(luò)安全工作部署,某學(xué)校于×年×月×日至×年×月×日組織開(kāi)展與數(shù)字校園核心業(yè)務(wù)相關(guān)的系統(tǒng)演練。A.2演練范圍數(shù)字校園核心業(yè)務(wù)相關(guān)的系統(tǒng)(包括但不限于:業(yè)務(wù)系統(tǒng)、職業(yè)教育特色場(chǎng)景平臺(tái)、主機(jī)及其他設(shè)備)。A.3演練參與方組織方負(fù)責(zé)組織協(xié)調(diào)此次演練工作,并對(duì)實(shí)施進(jìn)度和質(zhì)量進(jìn)行把控；攻擊方負(fù)責(zé)演練中的攻擊工作；防守方負(fù)責(zé)演練中的防守工作。A.4演練計(jì)劃安排×年×月×日至×年×月×日,研究演練工作方案,落實(shí)演練條件,制定了風(fēng)險(xiǎn)控制措施，落實(shí)相關(guān)要求，確定相應(yīng)應(yīng)急預(yù)案，明確攻擊報(bào)告成果及評(píng)價(jià)內(nèi)容，完成備案等必要程序。×年×月×日,完成了本次演練工作總結(jié)報(bào)告。A.5演練工作成果本次演練共發(fā)現(xiàn)高危漏洞××個(gè),其中互聯(lián)網(wǎng)側(cè)漏洞××個(gè),內(nèi)網(wǎng)側(cè)漏洞××個(gè);獲得個(gè)人信息××余條,敏感數(shù)據(jù)××余條,應(yīng)用系統(tǒng)權(quán)限××個(gè)(含管理員);專(zhuān)項(xiàng)釣魚(yú)行動(dòng)共獲取××臺(tái)終端控制權(quán)限。主要涉及部分系統(tǒng)存在高危風(fēng)險(xiǎn)及漏洞、工作人員網(wǎng)絡(luò)安全意識(shí)不夠等問(wèn)題。A.5.1存在風(fēng)險(xiǎn)的系統(tǒng)主要涉及××關(guān)鍵業(yè)務(wù)信息系統(tǒng)等。A.5.2漏洞情況本次演練共發(fā)現(xiàn)高危漏洞×個(gè),主要為弱口令、未授權(quán)訪問(wèn)等類(lèi)型的漏洞。A.5.3專(zhuān)項(xiàng)釣魚(yú)行動(dòng)情況通過(guò)社會(huì)工程學(xué)攻擊投放程序執(zhí)行文件,共有××臺(tái)終端執(zhí)行。A.6改進(jìn)建議根據(jù)某學(xué)校實(shí)際情況,結(jié)合本次演練發(fā)現(xiàn)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)及隱患,形成詳細(xì)的網(wǎng)絡(luò)安全防護(hù)改進(jìn)和建議。A.7資源保障程度為了切實(shí)保障演練工作順利開(kāi)展,某學(xué)校通過(guò)人員保障、環(huán)境保障、過(guò)程保障、風(fēng)險(xiǎn)保障等措施保障本次演練。主要包括下列內(nèi)容：a)人員保障程度:參演人員及審查情況；b)環(huán)境保障程度:監(jiān)控設(shè)備、正版授權(quán)軟件和場(chǎng)地的保障情況；c)過(guò)程保障程度:過(guò)程數(shù)據(jù)留存情況；d)風(fēng)險(xiǎn)保障程度:高風(fēng)險(xiǎn)操作、行為等保障情況。T/GXUCAXXXX—XXXX7（資料性）網(wǎng)絡(luò)安全攻防實(shí)戰(zhàn)演練攻擊成果報(bào)告示例B.1演練概述經(jīng)某學(xué)校授權(quán),某攻擊方于×年×月×日至×年×月×日,對(duì)某關(guān)鍵業(yè)務(wù)系統(tǒng)及相關(guān)平臺(tái)、設(shè)備等進(jìn)行了攻擊,通過(guò)模擬真實(shí)網(wǎng)絡(luò)攻擊行為,評(píng)估系統(tǒng)是否存在可以被攻擊者利用的漏洞以及由此引發(fā)的風(fēng)險(xiǎn)大小,為制定相應(yīng)的安全措施與解決方案提供實(shí)際的依據(jù)。B.2攻擊過(guò)程B.2.1攻擊路徑說(shuō)明B.2.1.1通過(guò)信息收集,發(fā)現(xiàn)某突破點(diǎn),經(jīng)某系統(tǒng)漏洞,獲取某業(yè)務(wù)系統(tǒng)應(yīng)用管理員權(quán)限。B.2.1.2通過(guò)信息收集,發(fā)現(xiàn)某突破點(diǎn),利用某系統(tǒng)的弱口令,獲取某業(yè)務(wù)微信小程序應(yīng)用管理員權(quán)限。B.2.2成果說(shuō)明B.2.2.1通過(guò)某系統(tǒng)漏洞獲取某業(yè)務(wù)系統(tǒng)應(yīng)用管理員權(quán)限?！聊辍猎隆寥眨@取某業(yè)務(wù)系統(tǒng)應(yīng)用管理員權(quán)限成功。詳細(xì)情況見(jiàn)表B.1。表B.1某業(yè)務(wù)系統(tǒng)應(yīng)用管理員權(quán)限成果詳情成果名稱(chēng)通過(guò)某系統(tǒng)漏洞獲取×業(yè)務(wù)系統(tǒng)應(yīng)用管理員權(quán)限資產(chǎn)信息資產(chǎn)類(lèi)型互聯(lián)網(wǎng)應(yīng)用系統(tǒng)資產(chǎn)URL暴露面獲取權(quán)限某業(yè)務(wù)系統(tǒng)的應(yīng)用管理員權(quán)限攻擊情況攻擊方法突破網(wǎng)路邊界存在隱患影響的業(yè)務(wù)系統(tǒng)漏洞詳情被攻擊方式漏洞名稱(chēng)是否零時(shí)差漏洞漏洞類(lèi)型影響操作系統(tǒng)影響應(yīng)用系統(tǒng)或產(chǎn)品8B.2.2.2利用弱口令獲取某業(yè)務(wù)微信小程序應(yīng)用管理員權(quán)限。×年×月×日，獲取某業(yè)務(wù)微信小程序權(quán)限成功。詳細(xì)情況見(jiàn)表B.2。表B.2某業(yè)務(wù)微信小程序應(yīng)用管理員權(quán)限成果詳情成果名稱(chēng)通過(guò)弱口令獲取某業(yè)務(wù)微信小程序應(yīng)用管理員權(quán)限資產(chǎn)信息資產(chǎn)類(lèi)型互聯(lián)網(wǎng)應(yīng)用系統(tǒng)資產(chǎn)URL暴露面獲取權(quán)限某業(yè)務(wù)微信小程序的應(yīng)用管理員權(quán)限攻擊情況攻擊方法突破網(wǎng)路邊界存在隱患影響的業(yè)務(wù)系統(tǒng)漏洞詳情被攻擊方式漏洞名稱(chēng)是否零時(shí)差漏洞漏洞類(lèi)型影響操作系統(tǒng)影響應(yīng)用系統(tǒng)或產(chǎn)品B.2.3存在的問(wèn)題本次演練共發(fā)現(xiàn)漏洞××個(gè)，應(yīng)用系統(tǒng)權(quán)限××個(gè)。B.3漏洞或高風(fēng)險(xiǎn)分析及處置建議B.3.1針對(duì)某業(yè)務(wù)系統(tǒng)的漏洞,結(jié)合某學(xué)校網(wǎng)絡(luò)安全現(xiàn)狀,形成詳細(xì)處置建議。B.3.2針對(duì)某業(yè)務(wù)微信小程序弱口令,結(jié)合某學(xué)校網(wǎng)絡(luò)安全現(xiàn)狀,形成詳細(xì)處置建議。9（資料性）網(wǎng)絡(luò)安全攻防實(shí)戰(zhàn)演練防守成果報(bào)告示例C.1防守概述本學(xué)校在吸取××網(wǎng)絡(luò)安全事件的經(jīng)驗(yàn)教訓(xùn)后,為貫徹落實(shí)有關(guān)工作要求,提升網(wǎng)絡(luò)安全保護(hù)能力、防范網(wǎng)絡(luò)安全事故,在指導(dǎo)思想和工作原則下,特組織開(kāi)展與××關(guān)鍵業(yè)務(wù)相關(guān)的系統(tǒng)演練。×年×月×日×?xí)r×分,通過(guò)監(jiān)測(cè)發(fā)現(xiàn)某業(yè)務(wù)系統(tǒng)被攻擊,相關(guān)信息見(jiàn)表C.1。表C.1某業(yè)務(wù)系統(tǒng)被攻擊信息事件名稱(chēng)涉及范圍系統(tǒng)名稱(chēng)某業(yè)務(wù)系統(tǒng)涉及系統(tǒng)互聯(lián)網(wǎng)IP網(wǎng)絡(luò)層級(jí)涉及系統(tǒng)內(nèi)網(wǎng)IP涉及系統(tǒng)URL攻擊情況源攻擊IP是否關(guān)鍵節(jié)點(diǎn)事件描述C.2監(jiān)測(cè)發(fā)現(xiàn)C.2.1監(jiān)測(cè)發(fā)現(xiàn)及時(shí)性監(jiān)測(cè)發(fā)現(xiàn)及時(shí)性見(jiàn)表C.2。表C.2監(jiān)測(cè)發(fā)現(xiàn)及時(shí)性填報(bào)事項(xiàng)填報(bào)內(nèi)容攻擊時(shí)間攻擊證據(jù)截圖檢出時(shí)間檢出證據(jù)截圖務(wù)系統(tǒng)應(yīng)用服務(wù)器被上傳某攻擊組件(提供截圖)。C.2.2影響范圍影響范圍見(jiàn)表C.3。表C.3影響范圍填報(bào)事項(xiàng)填報(bào)內(nèi)容歸屬學(xué)院/部門(mén)定級(jí)備案情況承載數(shù)據(jù)類(lèi)型數(shù)據(jù)量涉及業(yè)務(wù)C.3分析研判C.3.1事件基本情況體現(xiàn)事件類(lèi)型、涉事系統(tǒng)類(lèi)型、涉事系統(tǒng)所處區(qū)域、涉事系統(tǒng)重要級(jí)別,進(jìn)行攻擊路徑分析,包括攻擊者攻擊方式、權(quán)限獲取情況、橫向移動(dòng)情況及方法等。C.3.2事件詳情分析體現(xiàn)攻擊者利用的漏洞詳情,包括漏洞名稱(chēng)、漏洞編號(hào)、漏洞類(lèi)型、漏洞描述,排查是否出現(xiàn)數(shù)據(jù)泄露情況,涉及數(shù)據(jù)類(lèi)型、泄露機(jī)制、數(shù)據(jù)量等。C.3.3攻擊痕跡提取體現(xiàn)攻擊痕跡提取采用的技術(shù)方法,提取的痕跡類(lèi)型(日志/流量)、痕跡說(shuō)明,痕跡應(yīng)能包括原始攻擊日志,能支持攻擊特征、攻擊鏈條、攻擊方法等分析研判工作,提供痕跡附件或截圖。C.3.4攻擊鏈分析×年×月×日×?xí)r×分,通過(guò)某監(jiān)測(cè)預(yù)警系統(tǒng)發(fā)現(xiàn)某樣本,根據(jù)某分析過(guò)程,確認(rèn)其為攻擊。C.4應(yīng)急處置C.4.1阻斷攻擊×年×月×日×?xí)r×分,某操作人員發(fā)現(xiàn)某業(yè)務(wù)系統(tǒng)流量告警,研判確認(rèn)某IP為攻擊者,實(shí)