護網總結模闆

   6月28日護網總結

    今天終于結束了為期三周的攻HW行動，中間的心酸曲折與案例回顧本來想寫點，但總結回顧相關文章挺多了，不喜歡重複。從前天開始就有小夥伴已經開始接總結報告了，向我尋求一份模闆，畢竟有保密協定，脫敏的道路還是有些累的，是以此文章主要是模闆，内容未必真實，幫大家解決最後一公裡路程，希望有點幫助——從HW的痛苦中結束，投入到70周年重保的痛苦中去~~~

    由于每家企業防護手段不一、組織架構不一，并且以下案例未必真實，是以完全照抄的可能性不大，是以僅供參考~~~：

    201X年X月X日-201X年X月X日，XX發起了針對關鍵資訊基礎設施進行攻防演練的HW工作。XXXX平台作為防守方，成功防禦了XX的攻擊，沒有被攻破，同時發現并處理了XXXX，經XX确認，得分X分。

    平台按照XX和XX的統一部署，重預警、早排查，演練期間，加強安全專項巡檢，做好相關彙報工作，對發現的安全問題及時整改，按照組織要求認真做好各階段工作，順利完成了防守任務，提升了XX平台的網絡應急安全應急處置與協調能力，提升了XX平台安全防護水準。

    具體情況如下：

一、前期準備

    1、成立XX平台HW201X工作專項小組，并由公司負責人牽頭，各部門協力配合，做到了分工明确，責任具體到人；同時完善相關安全制度優化完成《XXXX平台應急處置方案》和《XX平台防守組工作方案》，保障HW工作正常有序開展。

    2、開展運維自檢自查工作以及第三方協查工作。通過資産梳理工作，對XX平台網絡政策優化xx項，修複高危安全漏洞xx餘項，其中自主發現高危安全漏洞xx項，XX協助發現高危漏洞x個，包含在自主發現漏洞中，已做到對高危漏洞清零，檢測發現并修複平台弱密碼xx項。

    3、組織防護工作演練，編寫《xxXX平台工作部署》方案，對HW期間工作進行緊密部署，加強完善平台安全巡檢，增強團隊協作能力。

    4、組織協調第三方能力，在此期間對實體機房、雲服務商監測加強監控、檢測要求，XX協助提供x雲安全監測服務，并配置入侵檢測系統，同時安全部對公司内部進行安全意識宣貫，降低被釣魚攻擊風險。

二、組織實施

（一）加強組織協調

    在公司内部設定專項防守場地，安排XX平台各部門負責人、核心部門駐場值守。安排專人進行對接，随時與防守團隊保持聯絡，通過電話會議每日協商，彙總當日所發生的安全事件，針對安全事件進行應急響應和處置。

（二）安排重點值守

    各部門各司其職，加強防守整改。其中XX部整體把握XX防守情況，負責與總體防守組的溝通聯系，負責資訊對接，保持随時聯絡，送出防守成果。XX部負責對網絡安全政策進行梳理，删除無效政策；XX部負責對主機系統安全基線進行檢查落地，修複主機漏洞，對中間件平台進行更新；XX梳理資料庫相應安全權限，對權限進行嚴格控制；XX部負責對代碼層安全漏洞進行修複，并對背景管理進行安全防護；XX部負責撰寫整體《安全應急相應方案》以及《HW工作安排部署方案》，加強安全監測預警、安全防護和應急處置能力。

（二）開展防守工作

  攻防實施階段

    1、嚴格落實值班制度。平台加強了每日巡檢力度，從巡檢次數從每日二次調整為每日三次，同時安排專人負責安全巡檢，對巡檢項進行詳細記錄，并于每日下午X點前上報；并安排專人在部機關值守，確定資訊溝通順暢。

    2、認真落實報告制度。安排專人到XX負責聯絡工作X周，并每日于X點、X點進行工作彙報總結，對攻擊手段、封禁IP位址，賬号爆破情況進行梳理歸納，發現攻擊問題第一時間上報總體防守組。編制X份防守成果報告，經演戲指揮部确認，得分XX分。

    3、全面做好檢測預警工作。平台對WAF、IDS、以及郵箱、VPN等賬戶，系統狀态、網絡狀态等進行全方位監控，共發現賬戶破解、掃描、指令執行、SQL注入等攻擊數百次，對異常IP進行及時封禁，共計封禁IPXX餘個，未發現攻擊成功現象。

    4、 加強監控應急處理能力。在平台發現被爆破的賬号後，并在第一時間對問題賬戶進行删除操作；發現并删除惡意木馬檔案XX個，并阻止該惡意程式運作，上報防守成果，同時優化平台相關服務，關閉木馬上傳路徑。

    5、攻防實施階段XX平台共檢測到惡意掃描攻擊XX次，平台封禁惡意IP位址XX餘個，公司郵箱賬戶被嘗試爆破XX餘個，均未成功，XX平台業務賬戶被嘗試暴力破解XX個，成功X個，VPN賬号被嘗試暴力破解X個，未成功，發現XXXXXXXX公司官網網站有異常IP入侵，發現XX平台、XX平台有異常IP入侵，采取封禁IP措施，對XX平台網站應用系統弱密碼問題進行整改。

三、威脅彙總及整改情況

    演習結束後，根據XX與XX相關要求，對攻防演習工作中發現的問題成果進行梳理，共有X項其中XX平台安全隐患X項，非XX平台安全隐患共X項，通知相關部門進行整改，已經完全整改完畢。

（一）XX平台威脅整改情況

    本次參演的XX平台共被發現X處安全隐患，存在XX問題，目前已全部修複。

（二）非目标系，統威脅整改情況

    本次演習攻擊方對演習目标所屬公司系統進行了攻擊滲透，共發現威脅X個。截止目前，已完成所有問題整改、漏洞修複。

四、存在問題

（一）XX平台系統此次攻防演習過程中，存在問題如下:

    1、基礎運維存在薄弱環節....

    2、系統存在弱密碼問題.....

（二）公司存在的問題

    公司的其他資訊系統不在本次攻防演習範圍内，故本次演習前準備階段未對XXX平台、XXX平台進行風險隐患排查和整改加強。

    經分析，攻擊方主要是通過三種途徑開展滲透攻擊：一是利用系統已知漏洞，獲得系統伺服器權限，對内網開展滲透共計；二是利用使用者弱密碼漏洞，擷取網絡及資訊系統關鍵資訊；三是通過SQL注入、檔案上傳漏洞等攻擊方式，對目标系統開展攻擊，擷取系統權。根據上述攻擊方式，反映出公司存在的問題有：

    xxxxxxx......

* 下一步工作

    針對XX平台存在的問題，我司将進一步提高認識，加強人員往來安全意識教育，組織資訊安全教育訓練，不斷提高全員安全意識。針對上述存在的安全問題整改完成後，舉一反三，查找存在類似安全隐患并整改，不斷完善網絡及資訊系統的網絡架構規劃及制度管理。主要措施如下：

（一）基礎運維方面

    1、加強裝置管理，梳理資産資訊，嚴格核對CMDB中資訊，将密碼變更列入季度安全運維工作，對不在用的政策、伺服器進行清理線下，将繼續使用的裝置進行資産稽核，确認資産資訊準确性。

    2、嚴格杜絕系統弱密碼，加強密碼強度設定；需要使用者注冊功能的，要對注冊使用者加以限制，要對上傳檔案格式限制；加強資訊系統及使用者賬号的管理，定期檢視使用情況，确認不用的系統、使用者賬号及時進行關停處理。

    3、需要對防火牆政策申請、端口映射申請進行周期性梳理，删除無效、無用政策，防止内部服務被誤開放到網際網路平台。

    4、嚴格控制運維、研發、測試等技術型人員在伺服器上明文存儲備份賬号密碼，随意開放檢視權限，對離職員工賬号密碼進行嚴格審查，删除，關閉。

（二）安全防護方面

    1、加強公司網絡邊界防護，更新更新防火牆、防毒牆等安全裝置，做好外部入侵防護控制。

    2、加強網絡安全裝置如VPN、堡壘機等權限管理，對人員進行基于角色劃分管理權限。

    3、對各平台網絡嚴格按照等級保護要求進行區域區分，加強資訊系統安全防護和管理。

    4、對資料安全加強防護，防止未授權通路敏感資料，防止技術和業務人員對資料誤操作或惡意操作導緻資料洩露。

（三）安全監測方面

    1、充分利用安全裝置及監控平台進行監控。分析安全裝置的日志，對應用系統的運作狀态、資源占用率等情況進行檢視，及時發現和應對攻擊行為，根據記錄的入侵源IP、攻擊類型、攻擊通路等特征進行關聯分析。

    2、增加安全預警手段。推進公司預警監測和态勢感覺能力，加強主機端安全監控能力，将安全裝置及系統逐漸進行整合。

（四）應急處置方面

    1、建立健全安全預防和預警機制。加強資訊網絡系統和裝置的安全防護工作，加強資訊網絡日常運作狀況的檢測分析，對外部和内部可能對資訊網絡産生重大影響的事件進行預警，保障資訊網絡安全暢通。

     2、加強應急處置和演練。發生突發性事件時，啟動應急預案，根據事件級别，根據《XXXXXXXXXX平台應急相應預案》采取相應處置措施，確定網絡通暢，業務連續性以及資訊安全。有計劃、有重點的組織技術人員針對不同情況對預案進行演練，對預案中存在的問題和不足及時補充、完善。

    下一步，我司将進一步推進網絡安全和資訊化工作，進一步用好攻防演練成果，在XX的指導下，提升态勢感覺和應急處置能力，提高關鍵資訊基礎設施防護水準，不斷完善網絡安全工作體制機制，建構與資訊化工作相适應的網絡安全保障體系，有力維護XX平台業務及資料安全。