隨著新一代通信技術的發展以及物聯網、信息化、智能化等新一輪技術革命的到來，各個行業面臨的網絡安全防護壓力也在不斷加重。為更加全面地保障網絡安全、社會安全、關鍵信息基礎設施安全，國家對攻防演練的重視程度不斷提升，自《網絡安全法》頒布后，越來越多的行業都進行了網絡攻防實戰對抗演練。天融信攻防專家根據以往經驗，總結出攻防演練防守工作中應注意的要點。

攻防演練防守方注意要點

要點一：安全設備攔截

雖然目前大多數企業都非常重視信息安全，但是在攻防演練初期，大部分攻擊者會使用掃描工具來收集資產及漏洞信息，攻擊告警量會大幅度增加，對應的防守人員無法逐個處理所有攻擊告警。因此各企業需要部署帶有攔截功能的安全設備，比如防火墻、Web應用防護系統、入侵防御系統等，以便在演練前做好兼容性測試及告警攔截策略優化，提升處置效率。

要點二：攻擊源封堵

在攻防演練前，應收集威脅源IP及惡意域名進行封堵，然后在演練中對安全設備的高危告警IP進行封堵，進一步降低告警數量，避免防守人員監控精力的消耗，將重心放在真實攻擊的研判分析上。

要點三：應急響應和追蹤溯源

在攻防演練中，當主機被奪取權限，會造成防守方陣地淪陷。因此需要實時監控異常流量及告警信息，及時對失陷主機或被攻擊成功的系統啟動響應處置流程：檢測階段、系統隔離、問題定位、調查取證、木馬清除、主機修復及恢復。根據應急響應過程中取證的數據，結合威脅情報、蜜罐等工具，利用社工等多種手段進行追蹤溯源，從而實現為防守方有效加分。

要點四：漏洞修復

當安全監控人員發現因漏洞導致的攻擊事件時，必須及時進行漏洞修復，以防止問題進一步擴大。漏洞修復的主要流程為：封堵攻擊IP以及非正常請求的IP，監控被攻擊的流量數據，制定漏洞修復方案，評估和測試方案的可行性，完成漏洞修復。

要點五：補丁修復

補丁修復也是關乎防守效果的重要環節，即使系統、應用的補丁在演練前完成修復，在演練中仍可能會出現“高危0day漏洞”或“官方補丁”。由于防守方既要保證生產系統的穩定又要保證安全，存在不能及時更新版本的問題，攻擊者有可能利用老版本的漏洞進行攻擊。因此在演練過程中應成立安全專家組，專門負責評估、測試和修復此類型的問題，完善該類系統的應急預案。

總 結

天融信攻防專家總結的上述要點，目的是幫助相關防守單位提升防護能力，更好地應對實戰攻擊。通過該服務能成功幫助企業應對安全威脅、處置安全事件，將臨時安全措施進行鞏固并做常態化處理，有效提升企業的網絡安全整體防御能力。