本文目录导读:

- 第一阶段:准备与摸底(战前1-3个月)
- 第二阶段:安全架构强化(战前1个月)
- 第三阶段:演练与备战(战前2-4周)
- 第四阶段:实战防守(战中进行时)
- 第五阶段:总结与改进(战后)
- 防守方常见的“失分点”与避坑指南:
- 总结一句:
“HW行动”(护网行动)是中国针对网络安全进行的一场模拟实战演习,旨在检验和提升关键信息基础设施的防护能力,对于参与防守的单位来说,备战的核心逻辑是:常态化的安全运营 + 针对性的战时强化。
以下是针对HW行动防守的备战策略框架,分为五个阶段:
第一阶段:准备与摸底(战前1-3个月)
-
资产梳理与收敛
- 建立资产清单:包括IP、域名、端口、中间件、应用、API、云资源、物联网设备等,做到“横向到边、纵向到底”,需要特别关注那些因业务需要临时开设但缺乏管理的“僵尸资产”和“影子IT”。
- 攻击面最小化:关闭非必要的端口、服务、后台管理入口、测试接口,将管理后台(如VPN、堡垒机、数据库、云平台)全部收敛到零信任网络或指定IP白名单内。
- 互联网暴露面清理:通过各类工具排查GitHub、百度网盘等泄露的代码或配置文件,清理历史遗留的弱口令、默认密码。
-
漏洞扫描与修复
- 全量扫描:对所有资产进行系统漏洞、Web漏洞、弱口令扫描。
- 渗透测试:聘请专业红队对核心系统进行模拟攻击,先于红方发现高危漏洞(如未授权访问、SQL注入、RCE等)。
- 风险评估:重点修复已公开的、可利用的、危害大的漏洞,特别是HVV期间红队常用的攻击路径。
-
组件与依赖库清查
- 检查开发框架、第三方组件、开源库,特别是Log4j、Struts2、Spring等常见高危组件。
- 明确版本号,核验是否存在已知漏洞(NVD、CNNVD等),并准备相应的补丁升级包或应急缓解措施。
第二阶段:安全架构强化(战前1个月)
-
基础安全防护三层加固
- 网络层:优化防火墙规则,配置IPS/IDS、WAF策略(开启严格模式,防御SQL注入、XSS、CC攻击),开启DDoS防护,部署蜜罐/探针。
- 主机层:服务器安装EDR/AV、开启日志审计、配置HIDS(主机入侵检测系统)、加固SSH/RDP、关闭高危端口。
- 应用层:强制使用HTTPS、配置合理的CSP(内容安全策略)、同源策略、CSRF Token、登录验证码、会话超时,实施最小权限原则。
-
零信任与身份认证
- 核心系统和敏感操作强制启用多因素认证(MFA)。
- 部署或强化堡垒机:所有运维操作必须经过堡垒机,并全程录像。
- 梳理并收敛VPN远程接入权限,仅保留必要人员,并绑定MFA和设备指纹。
-
日志与监控体系优化
- 日志全量接入:确保防火墙、WAF、IPS、EDR、堡垒机、服务器、数据库、应用的日志上传至SOC/SIEM平台。
- 重点监控规则:建立针对高危攻击(如利用WebShell、横向移动、提权、挖矿程序)的检测规则。
- 告警收敛与标准化:减少误报,建立分级告警机制(如:紧急、高危、中危)。
-
备份与容灾
- 全量+增量备份:对核心业务数据、系统配置、日志进行异地、离线、多副本备份。
- 恢复演练:至少进行一次完整的数据恢复和业务切换演练。
第三阶段:演练与备战(战前2-4周)
-
红蓝对抗(内部演练)
- 组织内部或外聘第三方红队,对上述加固后的系统进行模拟攻击。
- 重点关注社工钓鱼、0day利用、弱口令、供应链攻击、运维通道攻击等。
-
应急预案桌面推演
- 模拟真实攻击场景(如:发现WebShell、勒索病毒、核心数据库被篡改)。
- 明确“断网”决策流程、上报路径、舆情应对方案。
- 关键动作:何时封IP?何时关服务?通知谁?如何在合规要求下保留攻击痕迹?
第四阶段:实战防守(战中进行时)
-
24小时值守
- 建立“安全运营中心”人员(红队、蓝队、业务、开发、网络、领导)共同值守机制。
- 实行15分钟监测告警,1小时内研判处置的严格SLA。
-
攻击发现与阻断
- 蜜罐诱捕:可以主动部署蜜罐、诱饵文件、虚假数据库。
- 动态封禁:对恶意IP、异常流量(扫描器、爬虫、攻击工具指纹)实施自动封禁(如WAF/IPS联动)。
- 溯源反制:在模拟环境下对攻击者进行身份ID、社交账号、设备指纹等溯源。
-
重点防护
- Web应用:重点关注WAF的应对能力,特别是针对JSON、GraphQL等新型接口。
- 身份认证:阻止暴力破解、撞库攻击,对异常登录行为(如凌晨、异地IP)及时预警。
- 供应链:密切监控第三方服务、SaaS产品的异常链接或跳转。
-
应急响应
- 发现确凿证据(如WebShell、反弹Shell)后,立即断网或封禁IP,启动应急流程。
- 使用EDR、系统日志、入侵痕迹进行快速取证,保留证据链。
第五阶段:总结与改进(战后)
- 复盘报告:分析被攻击路径、防守薄弱点、值班处置效率等。
- 攻击样本入库:将本次遇到的攻击手法、Payload、IP、域名、URL录入威胁情报库。
- 整改加固:针对暴露的问题(如APT长潜伏、慢速攻击、0day漏洞)制定长期改进计划,并纳入下一年度预算。
防守方常见的“失分点”与避坑指南:
- 高危端口或IP暴露:公司内网系统、弱密码的数据库、测试环境直接放在了公网上。→ 务必收敛IP和端口。
- 弱口令/默认口令:设备、系统、数据库沿用admin/admin、root/123456等。→ 强制密码策略并定期更换。
- 供应链或第三方系统失守:使用的某个开发商的API或SaaS平台被攻破。→ 建立资产清单和联络人,并关停非必要的。
- 运维人员社工:QQ、微信、钓鱼邮件攻击。→ 全员安全意识培训 + 技术手段限制外发。
- 日志缺失或告警被淹没:攻击流量隐藏在大量正常的错误告警中。→ 日志聚合分析与降噪。
总结一句:
“平时多流汗,战时少流血。” 真正的防守不是HVV期间才开始的,而是建立在持续的安全运营(资产、漏洞、配置、补丁、日志、监控)基础之上,HVV更像是一次年度大考和高强度演练。
如果你需要针对某一特定环节(如WAF配置策略、蜜罐搭建、红蓝对抗流程)更深入的具体方案,可以继续追问。