【木子李】一分钟带你了解什么是HVV行动？

“

前言

         大家好，一年一度的HVV马上就要开始了，各位小伙伴们是否知道具体的思路呢？本次，小编来到了某个重点医院进行HVV指导操作，接下就由小编带您了解一下如何进行HVV？又为什么要进行hvv？

了解什么是HVV行动？

       HVV的定义是以国家组织组织事业单位、国企单位、名企单位等开展攻防两方的网络安全演习。进攻方一个月内采取不限方式对防守方展开进攻，不管任何手段只要攻破防守方的网络并且留下标记即成功，直接冲到防守方的办公大楼，然后物理攻破也算成功。HVV是国家应对网络安全问题所做的重要布局之一。

      HVV随着中国对网络安全的重视，涉及单位不断扩大，越来越多都加入到“HVV”中，网络安全对抗演练越来越贴近实际情况，各机构对待网络安全需求也从被动构建，升级为业务保障刚需。随着大数据、物联网、云计算的快速发展，愈演愈烈的网络攻击已经成为国家安全的新挑战。HVV行动是由公安机关组织的“网络安全攻防演习”，每支队伍3-5人组成，明确目标系统，不限攻击路径，获取到目标系统的权限、数据即可得分，禁止对目标实施破坏性操作，对目标系统关键区域操作需得到指挥部批准。

HVV一般分为红蓝两队，做红蓝对抗。

红队为攻击队

构成主要有“国家队”（国家的网安等等专门从事网络安全的技术人员）、厂商的渗透技术人员。其中“国家队”的占比大概是60%左右，厂商的技术人员组成的攻击小队占比在40%左右。一般来说一个小队大概是3个人，分别负责信息收集、渗透、打扫战场的工作。

攻击方式有web攻击、主机攻击、已知漏洞、敏感文件、口令爆破。

蓝队为防守队

一般是随机抽取一些单位参与。

防守方式特征：1.策略收紧常态化：联系现有设备的厂商将现有的安全设备策略进行调整，将访问控制策略收紧，数据库、系统组件等进行加固。2.各种口令复杂化：不论是操作系统、业务入口，还是数据库、中间件，甚至于主机，凡是需要口令认证的都将口令复杂化设置。

要求：主机系统打补丁，即对业务系统做基线核查，将不符合标准的项进行整改，并对业务系统做漏洞检查，并对找出的脆弱性进行整改。

     通俗来讲“HVV-2023”网络安全攻防演练行动就是“为了防止羊被偷，我们得在羊被偷之前就开始识别风险、加固羊圈建设”。本小编在此呼吁各位小伙伴要提高网络安全意识，谨防麻痹思想！做到守护信息安全，人人有责！

了解一下安全厂商深信服？

       深信服是国内领先的网络安全解决方案提供商，其产品和服务涵盖了网络安全、云安全、终端安全、数据安全等多个领域。在网络安全领域，深信服提供了一整套网络安全解决方案，包括网络安全防护、入侵检测、流量分析等方面的产品和服务。在防守方需要做的事情方面，深信服也有着独特的优势和技术。

一、加强网络安全意识教育

       在防守网络攻击的过程中，加强网络安全意识教育是非常重要的。深信服在这方面做得非常出色，不仅在其产品和服务中嵌入了网络安全意识教育，还积极开展网络安全知识普及活动，提高公众对网络安全的认知和防范意识。

例如，深信服在其网络安全防护产品中，采用了智能学习、行为分析等先进技术，可以自动学习和识别网络攻击的行为和模式，帮助客户及时发现和防范网络攻击。同时，深信服还定期开展网络安全知识普及活动，向广大用户介绍网络安全的基本知识和防范方法，提高公众的网络安全意识和防范能力。

二、建立完善的网络安全体系

        建立完善的网络安全体系是防守方需要做的重要工作之一。深信服在这方面也有着独特的技术和优势。深信服的网络安全解决方案涵盖了网络安全防护、入侵检测、流量分析等多个方面，可以全面覆盖企业的网络安全需求。同时，深信服还提供了一系列网络安全管理工具和技术，如安全管理平台、安全信息与事件管理系统等，帮助企业建立完善的网络安全管理体系，实现网络安全的全面管理和控制。

三、实施安全防护措施

       实施安全防护措施是防守方需要做的另一个重要工作。深信服在这方面也有着独特的技术和产品。深信服的网络安全防护产品采用了多重技术手段，如防火墙、入侵检测、反病毒等，可以全面防范网络攻击的威胁。例如，深信服的防火墙产品采用了多层次的安全防护技术，包括应用层、协议层和网络层的安全防护，可以有效防范各类网络攻击和威胁。同时，深信服的入侵检测产品可以自动学习和识别网络攻击的行为和模式，实现实时监测和防范网络攻击。

四、加强安全监控和响应

       加强安全监控和响应是防守方需要做的另一个重要工作。深信服在这方面也有着独特的技术和服务。深信服的网络安全解决方案可以实现实时监控和分析网络流量，及时发现和处理网络攻击事件。同时，深信服还提供了一系列安全事件响应服务，如安全事件处置、安全事件分析等，帮助客户及时响应和处理网络攻击事件，降低损失和风险。

五、建立应急预案

      建立应急预案是防守方需要做的另一个重要工作。深信服在这方面也有着独特的技术和服务。深信服的网络安全解决方案可以提供全面的安全事件响应服务，包括安全事件处置、安全事件分析等，帮助客户在网络攻击事件发生时迅速响应和处理，尽快恢复网络正常运行。同时，深信服还提供了一系列应急预案编制和实施服务，帮助客户建立应急预案，提高应对网络攻击的能力和效率。

       总之，深信服在防守方需要做的事情方面有着独特的技术和优势，可以为客户提供全面的网络安全解决方案和服务，帮助客户有效地防范和应对网络攻击的威胁。

      

了解hvv行动前期准备工作

• 建立安全意识教育：

  
  

  
  

  
  
  
  开展网络安全培训：向员工提供网络安全意识培训，教育他们识别和防范网络威胁，以及正确的安全行为和操作方法。
  加强安全策略宣传：定期宣传和推广公司的安全策略和规定，确保员工了解并遵守相关的安全规范和操作流程。
  
  
• 强化身份认证和访问控制：

  
  

  
  

  
  
  
  多因素身份验证：采用多因素身份验证措施，如密码加令牌、指纹识别等，提高用户身份认证的安全性。
  访问控制策略：建立严格的访问控制策略，限制员工和外部用户的访问权限，并定期审查和更新权限列表。
  
  
• 实施安全审计和监控：

  
  

  
  

  
  
  
  安全事件日志：建立完整的安全事件日志记录机制，记录关键系统和网络的活动信息，以便在发生安全事件时进行溯源和分析。
  安全事件监控：部署安全事件监控系统，实时监测网络流量、系统行为和异常活动，及时发现和应对潜在的攻击和入侵行为。
  
  
• 建立安全漏洞管理流程：

  
  

  
  

  
  
  
  漏洞扫描和评估：定期进行漏洞扫描和评估，发现系统和应用程序中存在的漏洞，并及时修补或采取其他防御措施。
  漏洞补丁管理：建立漏洞补丁管理流程，及时应用供应商发布的安全补丁，以修复已知的漏洞。
  
  
• 数据备份和恢复：

  
  

  
  

  
  
  
  定期备份数据：建立定期的数据备份机制，确保关键数据的备份完整性和可靠性。
  数据恢复测试：定期测试数据备份和恢复的过程，确保在发生数据丢失或灾难事件时能够及时恢复数据。
  
  
• 响应和应急处理：

  
  

  
  

  
  
  
  建立应急响应计划：制定完善的应急响应计划，明确安全事件的处理流程和责任分工，以及恢复网络正常运行所需的步骤和资源。
  建立紧急联系渠道：建立与相关安全机构和供应商的紧急联系渠道，以便在发生紧急事件时能够及时获得支持和帮助。
  
  

hvv行动实际案例分享

（1）了解客户的网络拓扑环境?

       小编了解到客户出口为(H3c防护墙），中间有华为的IPS入侵检测，核心有深信服态势感知,服务器区前端有个深信服WAF防火墙。并引导客户从最外层设备到内依次关注。

（2）了解客户的业务系统？

       通过深信服态势感知，了解到客户的业务信息，配合用户进行资产梳理，可以更快更准确的找到终端。

（3）了解各安全厂商设备是否有进行安全加固操作，以及规则库是否更新？

1、使用深信服巡检工具acheck进行安全加固设备，其他厂商设备建议客户联系具体厂商进行操作。

2、查看设备规则库是否更新，设备是否为最新版本，sip升级到3.0.73版本，如果为内网环境手动在社区下载规则库更新。

（4）查看设备的配置是否合理化？

1、登录AF优化应用控制，尽量控制到具体端口。

2、查看出口H3c防火墙，查看是否有放通服务器端口。

（5）登录态势感知，查看处置中心-风险资产视角，把‘已失陷’的业务系统进行杀毒，加固打补丁。

备注：如果内网有DNS的情况，可以根据指导手册进行优化DNS日志源，小编的DNS通过加白后减少误报。

（6）通过资产中心，查看到业务系统的漏洞、弱密码、Web明文传输等信息。

1、查看脆弱性感知查看系统漏洞进行安全加固。

2、通过查看弱密码，可以登录到客户的业务系统里面，建议客户找开发软件进行整改，并建议设置密码周期复杂度以及校验码。

（7）查看重保中心-威胁类型进行查看是否有入侵痕迹，并通过分析中心-日志检索进行查看，并跟客户确定是否为正常业务需求，如不是到防火墙上进行加入黑名单处置。

（8）防火墙上查看业务安全是否有遭受到攻击，并把攻击地址加入黑名单。

（9）查看防火墙上面的安全日志，查看动作为“允许”的动作进行修改。

（10）了解到客户外网ip地址并通过fofa shodan hunter进行分析。

（11）深信服HW期间需要关注设备攻击日志，经过客户判断后进行封堵。

（12）其他建议

1、建议客户为了防止社攻，减少网口的暴露面，优化接入交换机策略。

2、如客户杀毒没有企业杀毒软件，推荐测试深信服EDR，并指导客户安装杀毒；

3、提供HW期间业务保障服务，配合用户进行溯源等操作。

4、培训客户安全防范意识，引导客户如何进行防护减少丢分操作。

hvv行动总结

• 目标达成情况：回顾hvv行动的目标和期望结果，评估是否成功达成。考虑网络安全风险的降低程度、安全事件的减少、攻击的阻止以及系统和数据的保护情况。
• hvv措施效果评估：对采取的各项hvv措施进行评估，确定其对网络安全的影响。分析使用的安全工具、技术和流程的有效性，并检查它们是否适应了当前的威胁环境。
• 事件响应与处理：回顾过去的安全事件，分析其发生原因和应对措施的有效性。了解是否有任何漏洞或疏漏导致了安全事件的发生，并提出改进建议。
• 漏洞管理与修复：评估漏洞管理和修复的过程，确保已对发现的漏洞采取适当的补救措施。检查漏洞修复的及时性和有效性，并确保持续的漏洞管理流程。
• 人员培训与意识提升：评估员工的网络安全培训和意识提升计划。了解员工对网络安全的理解程度和对安全最佳实践的遵守情况，鼓励持续的培训和教育活动。
• 产品和技术更新：考虑是否需要更新或升级网络安全产品和技术，以适应不断变化的威胁环境。评估当前使用的安全解决方案的性能和功能，了解是否需要引入新的技术和工具来提高网络的安全性。
• 经验教训和改进措施：总结整个hvv行动的经验教训，识别成功的做法和面临的挑战。制定改进措施和行动计划，以加强网络安全防御和响应能力。
• 持续监测与维护：护网行动结束并不意味着安全工作的完成。确保建立持续的安全监测和维护机制，对网络进行定期的安全评估和漏洞扫描，及时更新安全策略和措施。

  
  

  
  

  
  

  
  

  
  

  
  

  
  

  
  
  
  

     最后小编在此预祝各位小伙伴们，2023hvv行动圆满结束！！！

感谢分享，构建全联接的未来

感谢分享，构建全联接的未来

文章图文并茂，清晰易懂

感谢分享，构建全联接的未来

满满的知识点 学到了

每日打卡学习，感谢分享，学习了！！！

感谢楼主分享，努力学习中！！！！

文章图文并茂，清晰易懂