HW总结报告模板.docx

《HW总结报告模板.docx》由会员分享，可在线阅读，更多相关《HW总结报告模板.docx（11页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、HW总结报告模板能源：XXX是国家的支柱能源和经济命脉，其安全稳定运行不仅关系到国 家的经济进展，而且维系国家安全。随着XXX规模的渐渐扩大，安全事故的影响 范围越来越大，安全问题越来越突出，XXX网络安全运行已经成为全球的争论热 点。银行：随着我国信息化进展的日月异，信息系统的风险评估也被国家决策 层纳为重要工程。银行信息安全是至关重要的问题，由于在任何一个环节消灭问 题，就会影响到整个系统的进展，造成全局性的失误。所以其中的信息安全成为 重中之重。银行给客户供给效劳的同时，必需要为客户彳招合牢靠的环境以及信息 的准确性和安全性。以上选一即可201X年X月X H-201X年X月X日，XX发起

2、了针对关键信息根底设施进 展攻防演练的HW工作。XXXX平台作为防守方,成功防范了XX的攻击，没有 被攻破,同时觉察并处理了 XXXX。XXXX在演练期间，加强安全专项巡检，做好相关汇报工作,对觉察的安 全问题准时整改，依据组织要求认真做好各阶段工作，顺当完成了防守任务，提 升了 XXXX的网络应急安全应急处置与协调力气，提升了 XXXX网安全防护水 平。二、人员安排现场专家：XXX 研判分析人员：XXX8.3、 蜜罐体系建设：除了依靠各种安全配置基线、部署防范设备直面安全 问题外，在内网可以使用哄骗技术来觉察可以行为，蜜罐。蜜罐技术本质上 是一种对攻击方进展哄骗的技术，通过布置一些作为诱饵的

3、主机、网络效劳 或者信息，诱使攻击方对他们实施攻击，从而可以对攻击行为进展捕获和分 析。8.3.1 核心系统安全应当警觉从合作机构或内部IP发送的可疑恳求，如有觉察内网主机存 在扫描或登录失败次数过多等可疑行为且确认非内部测试的行为后应准时 阻断并对其进展分析，避开内网被攻陷，维护核心系统安全。9蜜罐的主动防范HW的大规模推广以及溯源技术的普及，尤其蜜罐的作用在今年HW行动中大放异彩，蜜罐的推广与普及也必定成为攻击溯源的趋势。蜜罐的部 署可以提前捕获长期盯着xxx企业业务的一些apt组织，可通过主动手段 提前觉察潜在威逼。蜜罐可用于长期安全设备，部署在外网,通过扫描探测可以提前觉察攻击行为，通

4、过指纹抓取可以定位到攻击者信息。部署在内网，在边界失守的 状况下，内网蜜罐可提前觉察攻击者的内网探测行为，利用自身所带漏洞引 诱并拖延攻击者的内网横向行为，并抓取攻击者信息使溯源到攻击者身份。 10应急处置方面10.1、 建立健全安全预嫡口预警机制。力口强信息网络系统?设备的安全防护 工作，力口强信息网络日常运行状况的检测分析，对外部和内部可能对信息网 络产生重大影响的大事进展预警，保障信息网络安全畅通。10.2、 加强应急处置和演练。发生突发性大事时，启动应急预案，依据大事 级别，依据应急预案实行相应处置措施，确保网络通畅，业务连续性以 及信息安全。有打算、有重点的组织技术人员针对不同状况对

5、预案进展演练， 对预案中存在的问题和缺乏准时补充、完善。103,加强监控应急处理力气。如觉察特别紧急处置、在平台觉察被爆破的 账号后，并在第一时间对问题账户进展删除操作；觉察外围名目爬取、漏洞 扫描，并在第一时间对该IP进展封禁。10.4、爆Oday漏洞，分析对业务是否有影响，并对效劳器进展紧急打补丁 处置。监控人员：XXX三、驻场时间如：2023年5月30日到2023年6月30日。四、前期预备1、成立XX平台HW201X工作专项小组，并由公司负责人牵头,各部门协力协 作，做到了分工明确，责任具体到人；同时完善相关安全制度优化完成XXXX 平台应急处置方案和XX平台防守组工作方案，保障HW工作

6、正常有序开 展。2、开展运维自检自查工作以及第三方协查工作。通过资产梳理工作，对XX平 台网络策略优化xx项，修复高危安全漏洞xx余项,其中自主觉察高危安全漏洞 xx项，XX帮助觉察高危漏洞x个，包含在自主觉察漏洞中，已做到对高危漏洞 清零，检测觉察并修复平台弱口令xx项。3、组织防护工作演练，编写xxXX平台工作部署方案，对HW期间工作 进展严密部署，加强完善平台安全巡检，增加团队协作力气。4、组织协调第三方力气，在此期间对物理机房、云效劳商监测加强监控、 检测要求，XX帮助供给x云安全监测效劳,并配置入侵检测系统,同时安 全部对公司内部进展安全意识宣贯，降低被钓鱼攻击风险。五.组织实施一加

7、强组织协调在公司内部设置专项防守场地，安排 XX平台各部门负责人、核心部门驻场值守。安排专人进展对接，随时与防守团队保持联络，通过 会议每日协商，汇总当日所发生的安全大事，针对安全大事进展应急响应和处置。二安排重点值守各部门各司其职，加强防守整改。其中XX部整体把握XX防守状况， 负责与总体防守组的沟通联系，负责信息对接，保持随时联络，提交防守成 果。XX部负责对网络安全策略进展梳理，删除无效策略；XX部负责对主机 系统安全基线进展检查落地，修复主机漏洞，对中间件平台进展升级；XX 梳理数据库相应安全权限，对权限进展严格把握；XX部负责对代码层安全 漏洞进展修复,并对后台治理进展安全防护；XX

8、部负责撰写整体安全应 急相应方案以及HW工作安排部署方案，加强安全监测预警、安全防 护和应急处置力气。三开展防守工作攻防实施阶段。1、严格落实值班制度。平台加强了每日巡检力度，从巡检次数从每日二次 调整为每日三次，同时安排专人负责安全巡检，对巡检项进展具体记录，并 于每日下午X点前上报；并安排专人在部机关值守，确保信息沟通顺畅。2、认真落实报告制度。安排专人到XX负责联络工作X周，并每日于X点、 X点进展工作汇报总结,对攻击手段、封禁IP地址，账号爆破状况进展梳 理归纳,觉察攻击问题第一时间上报总体防守组。编制X份防守成果报告， 经演戏指挥部确认，得分XX分。3、全面做好检测预警工作。平台对

9、WAF、IDS、以及邮箱、VPN等账户， 系统状态、网络状态等进展全方位监控，共觉察账户破解、扫描、命令执行、SQL注入等攻击数百次，对特别IP进展准时封禁，共计封禁IP XX余个, 未觉察攻击成功现象。4、加强监控应急处理力气。在平台觉察被爆破的账号后，并在第一时间对问题账户进展删除操作；觉察并删除恶意木马文件 XX个，并阻挡该恶意程 序运行，上报防守成果，同时优化平台相关效劳，关闭木马上传路径。5、攻防实施阶段XX平台共检测到恶意扫描攻击XX次，平台封禁恶意IP 地址XX余个，公司邮箱账户被尝试爆破 XX余个，均未成功,XX平台业 务账户被尝试暴力破解XX个，成功X个，VPN账号被尝试暴力

10、破解X个， 未成功,觉察XXXXXXXX公司官网网站有特别IP入侵，觉察XX平台、XX 平台有特别IP入侵，实行封禁IP措施,对XX平台网站应用系统弱口令问 题进展整改。六、威逼汇总及整改状况演习完毕后，依据XX与XX相关要求，对攻防演习工作中觉察的问题 成果进展梳理，共有X项其中XX平台安全隐患X项，非XX平台安全隐患 共X项，通知相关部门进展整改，已经完全整改完毕。一XX平台威逼整改状况本次参演的XX平台共被觉察X处安全隐患，存在XX问题，目前已全 部修复。二非目标系，统威逼整改状况本次演习攻击方对演习目标所属公司系统进展了攻击渗透，共觉察威逼 X个。截止目前，已完成全部问题整改、漏洞修复

11、。七、企业暴露弱点经分析，攻击方主要是通过三种途径开展渗透攻击：一是利用系统漏洞;二是利用用户弱口令漏洞；三是通过SQL注入、文件上传漏洞等攻击方式，对目标系统开展攻击；四是利用逆向调试；五是通过爆Oday漏洞。其中在对HW期间的防守工作中，觉察企业暴露弱点如下：1人员安全意识较低，内网账号弱口令较多,应用平台以及系统账号存在弱 口令。2外包治理资产不明确，觉察告警行为无法第一时间对应到资产，造成几次 推断失误。3内部网络交互不明确，内网效劳器与内网效劳器的交互，内网终端与域控 验证效劳器的交互等，内部网络交互不明确造成几次研判失误。4缺少内部资产统一治理平台、以及缺少安全技术人员定期对内部资

12、产进 展跟踪整理。5缺少安全技术人员定期对内部资产进展渗透测试，缺少安全技术人员定 期对业务效劳器进展基线检查。6日常工作中缺少安全技术人员对最安全大事的跟踪，而不应当只在护网 期间紧急更补丁。八、安全防护建议1安全意识培训通过信息安全培训提高xxx企业员工的信息安全意识水平，将全员信息 安全意识的点滴提升作用到具体的工作中，可以成倍地放大信息安全工作 的效果。xxx企业信息安全培训必要性主要表现在：1.1、 XXX企业涉及信息的敏感性极高，主要包括：与客户相关的信息,客户 根本信息、客户账户信息以及客户交易信息等，这几类信息都涉及客户的个 人利益。1.2、 xxx企业信息安全意识照旧普遍较为

13、薄弱；企业自身痛点以及培训内容范围：(1)企业人员对网络安全意识缺乏，内网账号弱口令较多。2业务线人员对安全意识缺乏，应用平台以及系统账号存在弱口令。3不仅要在护网前对账号密码统一整改,在寻常工作要创立密码定期更 改的治理制度。4定期对企业内部人员以及研发技术人员的安全培训，包括安全意识培 训，办公网终端管控、密码治理制度、安全编码标准培训，体系制度培训等。2 外包安全治理综合考虑信息科技战略、外包市场环境、自身风险把握力气、制定合 适的外包治理制度2.1、 建立企业长期有效的资产治理平台，由各业务线负责人对资产进展定 期更改其中包括业务线、ip、域名、端口、web效劳器以及数据库效劳器 等相

14、关的资产信息，安全人员统一治理平台，觉察安全大事,通过资产管 理平台第一时间定位到相关负责人。2.2、 事前预防：外包工程风险评估，安全人员定期对资产治理平台同业务 线相关负责人进展审核，审核是否有资产不对应或更不准时。2.3、 考核外包商根本状况和战略，是否具有长期进展潜力。检测外包商的 硬件状况、整体组织构造、关联公司、市场占有率、以及产品安全性、研发 以及运维技术团队实力、重点关注外包商的安全团队实力以及安全治理制 度等。3安全测试安全技术人员季度性对内部资产进展渗透测试检测，觉察问题并上报 问题。3.1、 针对第三方外包业务，企业安全负责人应安排技术人员进展抽查式测试，觉察问题并准时上

15、班。3.2、 针对第三方外包业务，上线工程，在经过第三方安全技术人员测试后，需出示相关安全检测、渗透测试报告，并由企业安全负责人安排技术人 员进展安全测试，检测外包方安全检测是否全面，是否还存在安全问题，发 现问题并上报问题。4 Oday跟踪与处置由企业安全技术人员对最爆出来的Oday大事，进展跟踪，分析是否影响企业应当安全，并与网络、运维商定最快处置方案，在不影响业务状况 下对系统进展打补丁或升级处置。5企业内网安全安全域：网络安全域是指同一系统内有一样的安全保护需求、相互信任、并具有一样的安全访问把握和边界把握策略的子网或网络，一样的网络安全域共享一样的安全策略。广义的安全域是指具有一样业

16、务要求和安全 要求的IT系统要素的集合。安全域的划分是一个格外重要的工作，企业按自己的实际状况划分不同 的安全域同时还需要指定各安全域的安全策略并加以实现。5.1、 终端安全：终端安全涉及资产治理、补丁治理、终端准入、防病毒、 外设管控、上网行为治理等内容。办公终端电脑设置网络隔离，在该网段可 以部署蜜罐，在感染病毒木马的状况下，可有效提升觉察速度，对进出该网段的流量进展监控，入站邮件内容进展更多层的分析。5.2、 重点关注安全：活动名目、邮件系统、VPN、堡垒机。5.3、 蜜罐体系建设：除了依靠各种安全配置基线、部署防范设备直面安全 问题外，在内网可以使用哄骗技术来觉察可以行为，蜜罐。蜜罐技

17、术本质上 是一种对攻击方进展哄骗的技术，通过布置一些作为诱饵的主机、网络效劳 或者信息，诱使攻击方对他们实施攻击，从而可以对攻击行为进展捕获和分 析。6根底运维方面加强设备治理,梳理资产信息，严格核对 CMDB中信息，将密码变更 列入季度安全运维工作，对不在用的策略、效劳器进展清理线下，将连续使 用的设备进展资产审核，确认资产信息准确性。6.1、 严格杜绝系统弱口令，加强口令强度设置；需要用户注册功能的,要 对注册用户加以限制，要对上传文件格式限制；加强信息系统及用户账号的 治理，定期查看使用状况，确认不用的系统、用户账号准时进展关停处理。6.2、 需要对防火墙策略申请、端口映射申请进展周期性

18、中瓶里，删除秘、无用策略，防止内部效劳被误开放到互联网平台。6.3、 严格把握运维、研发、测试等技术型人员在效劳器上明文存贮存份账 号密码，任凭开放查看权限，对离职员工账号密码进展严格审查，删除，关 闭。DMZ服6.4、 端口管控，即在防火墙上严格限制对夕方放的端口 ,原则上 务器只允许对外开放80和443 ,而且DMZ效劳器不允许主动访问外部。6.5、 端口管控工作是根底，做好端口管控后，重点放在web安全上。web应用防火墙：针对常规扫描行为，web应用防火墙根本上可以直接拦截。入侵检测/防范系统：对 WAF后端的流量进展分析，觉察恶意行为。漏洞扫描和渗透测试：针对企业应用季度性的安全检测

19、，同上面提到的2.3安全检测。7安全防护方面加强公司网络边界防护，更升级防火墙、防毒墙等安全设备,做好 外部入侵防护把握。7.1、 加强网络安全设备如VPN、堡垒机等权限治理，对人员进展基于角色 划分治理权限。7.2、 对各平台网络严格依据等级保护要求进展区域区分,加强信息系统安 全防护和治理。7.3、 对朗酸全加强防护，防止未授权访问敏感数据，防止技相口业务人 员对数据误操作或恶意操作导致数据泄露。8安全监测方面充分利用安全设备及监控平台进展监控。分析安全设备的日志，对应 用系统的运行状态、资源占用率等状况进展查看，准时觉察和应对攻击行为， 依据记录的入侵源IP、攻击类型、攻击访问等特征进展关联分析。8.1、 增加安全预警手段。推动公司预警监测和态势感知力气,力口强主机端 安全监控力气，将安全设备及系统逐步进展整合。