HW總結(jié)報告模板

HW總結(jié)報告模板一.HW背景能源：xxx是國家的支柱能源和經(jīng)濟(jì)命脈，其安全穩(wěn)定運(yùn)行不僅關(guān)系到國家的經(jīng)濟(jì)發(fā)展，而且維系國家安全。隨著xxx規(guī)模的逐漸擴(kuò)大，安全事故的影響范圍越來越大，安全問題越來越突出，xxx網(wǎng)絡(luò)安全運(yùn)行已經(jīng)成為全球的研究熱點(diǎn)。銀行：隨著我國信息化發(fā)展的日新月異，信息系統(tǒng)的風(fēng)險評估也被國家決策層納為重要項目。銀行信息安全是至關(guān)重要的問題，因為在任何一個環(huán)節(jié)出現(xiàn)問題，就會影響到整個系統(tǒng)的發(fā)展，造成全局性的失誤。所以其中的信息安全成為重中之重。銀行給客戶提供服務(wù)的同時，必須要為客戶提供可靠的環(huán)境以及信息的準(zhǔn)確性和安全性。（以上選一即可）201X年X月XH-201X年X月X日,XX發(fā)起了針對關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行攻防演練的HW工作。XXXX平臺作為防守方，成功防御yXX的攻擊，沒有被攻破，同時發(fā)現(xiàn)并處理了XXXX。XXXX在演練期間，加強(qiáng)安全專項巡檢，做好相關(guān)匯報工作，對發(fā)現(xiàn)的安全問題及時整改，按照組織要求認(rèn)真做好各階段工作，順利完成了防守任務(wù)，提升了XXXX的網(wǎng)絡(luò)應(yīng)急安全應(yīng)急處置與協(xié)調(diào)能力，提升了XXXX網(wǎng)安全防護(hù)水平。二人員安排現(xiàn)場專家：XXX研判分析人員：XXX監(jiān)控人員：XXX三,駐場時間如：2019年5月30日到2019年6月30日。，前期準(zhǔn)備1、成立XX平臺HW201X工作專項小組，并由公司負(fù)責(zé)人牽頭，各部門協(xié)力配合，做到了分工明確，責(zé)任具體到人；同時完善相關(guān)安全制度優(yōu)化完成《XXXX平臺應(yīng)急處置方案》和《XX平臺防守組工作方案》，保障HW工作正常有序開展。2、開展運(yùn)維自檢自查工作以及第三方協(xié)查工作。通過資產(chǎn)梳理工作，對XX平臺網(wǎng)絡(luò)策略優(yōu)化xx項，修復(fù)高危安全漏洞xx余項，其中自主發(fā)現(xiàn)高危安全漏洞xx項，XX協(xié)助發(fā)現(xiàn)高危漏洞x個，包含在自主發(fā)現(xiàn)漏洞中，已做到對高危漏洞清零，檢測發(fā)現(xiàn)并修復(fù)平臺弱口令xx項。3、組織防護(hù)工作演練，編寫《xxXX平臺工作部署》方案，對HW期間工作進(jìn)行緊密部署，加強(qiáng)完善平臺安全巡檢，增強(qiáng)團(tuán)隊協(xié)作能力。4、組織協(xié)調(diào)第三方能力，在此期間對物理機(jī)房、云服務(wù)商監(jiān)測加強(qiáng)監(jiān)控、檢測要求，XX協(xié)助提供x云安全監(jiān)測服務(wù)，并配置入侵檢測系統(tǒng)，同時安全部對公司內(nèi)部進(jìn)行安全意識宣貫，降低被釣魚攻擊風(fēng)險。五.組織實(shí)施（一）加強(qiáng)組織協(xié)調(diào)在公司內(nèi)部設(shè)置專項防守場地，安排XX平臺各部門負(fù)責(zé)人、核心部門駐場值守。安排專人進(jìn)行對接，隨時與防守團(tuán)隊保持聯(lián)絡(luò)，通過電話會議每日協(xié)商，匯總當(dāng)日所發(fā)生的安全事件，針對安全事件進(jìn)行應(yīng)急響應(yīng)和處置。（二）安排重點(diǎn)值守各部門各司其職，加強(qiáng)防守整改。其中XX部整體把握XX防守情況，負(fù)責(zé)與總體防守組的溝通聯(lián)系，負(fù)責(zé)信息對接，保持隨時聯(lián)絡(luò)，提交防守成果。XX部負(fù)責(zé)對網(wǎng)絡(luò)安全策略進(jìn)行梳理，刪除無效策略；XX部負(fù)責(zé)對主機(jī)系統(tǒng)安全基線進(jìn)行檢查落地，修復(fù)主機(jī)漏洞，對中間件平臺進(jìn)行升級； XX梳理數(shù)據(jù)庫相應(yīng)安全權(quán)限，對權(quán)限進(jìn)行嚴(yán)格控制；XX部負(fù)責(zé)對代碼層安全漏洞進(jìn)行修復(fù)，并對后臺管理進(jìn)行安全防護(hù)；XX部負(fù)責(zé)撰寫整體《安全應(yīng)急相應(yīng)方案》以及《HW工作安排部署方案》，加強(qiáng)安全監(jiān)測預(yù)警、安全防護(hù)和應(yīng)急處置能力。（三）開展防守工作攻防實(shí)施階段。1、嚴(yán)格落實(shí)值班制度。平臺加強(qiáng)了每日巡檢力度，從巡檢次數(shù)從每日二次調(diào)整為每日三次，同時安排專人負(fù)責(zé)安全巡檢，對巡檢項進(jìn)行詳細(xì)記錄，并于每日下午X點(diǎn)前上報；并安排專人在部機(jī)關(guān)值守，確保信息溝通順暢。2、認(rèn)真落實(shí)報告制度。安排專人到XX負(fù)責(zé)聯(lián)絡(luò)工作X周，并每日于X點(diǎn)、X點(diǎn)進(jìn)行工作匯報總結(jié)，對攻擊手段、封禁IP地址，賬號爆破情況進(jìn)行梳理歸納，發(fā)現(xiàn)攻擊問題第一時間上報總體防守組。編制X份防守成果報告，經(jīng)演戲指揮部確認(rèn)，得分XX分。3、全面做好檢測預(yù)警工作。平臺對WAF、IDS、以及郵箱、VPN等賬戶，系統(tǒng)狀態(tài)、網(wǎng)絡(luò)狀態(tài)等進(jìn)行全方位監(jiān)控，共發(fā)現(xiàn)賬戶破解、掃描、命令執(zhí)行、SQL注入等攻擊數(shù)百次，對異常IP進(jìn)行及時封禁，共計封禁IPXX余個，未發(fā)現(xiàn)攻擊成功現(xiàn)象。4、加強(qiáng)監(jiān)控應(yīng)急處理能力。在平臺發(fā)現(xiàn)被爆破的賬號后，并在第一時間對問題賬戶進(jìn)行刪除操作；發(fā)現(xiàn)并刪除惡意木馬文件XX個，并阻止該惡意程序運(yùn)行，上報防守成果，同時優(yōu)化平臺相關(guān)服務(wù)，關(guān)閉木馬上傳路徑。5、攻防實(shí)施階段XX平臺共檢測到惡意掃描攻擊XX次，平臺封禁惡意IP地址XX余個，公司郵箱賬戶被嘗試爆破XX余個，均未成功，XX平臺業(yè)務(wù)賬戶被嘗試暴力破解XX個，成功X個，VPN賬號被嘗試暴力破解X個，未成功，發(fā)現(xiàn)XXXXXXXX公司官網(wǎng)網(wǎng)站有異常IP入侵，發(fā)現(xiàn)XX平臺、XX平臺有異常IP入侵，采取封禁IP措施，對XX平臺網(wǎng)站應(yīng)用系統(tǒng)弱口令問題進(jìn)行整改。六、威脅匯總及整改情況演習(xí)結(jié)束后，根據(jù)XX與XX相關(guān)要求，對攻防演習(xí)工作中發(fā)現(xiàn)的問題成果進(jìn)行梳理，共有X項其中XX平臺安全隱患X項，非XX平臺安全隱患共X項，通知相關(guān)部門進(jìn)行整改，已經(jīng)完全整改完畢。（一）XX平臺威脅整改情況本次參演的XX平臺共被發(fā)現(xiàn)X處安全隱患，存在XX問題，目前已全部修復(fù)。（二）非目標(biāo)系，統(tǒng)威脅整改情況本次演習(xí)攻擊方對演習(xí)目標(biāo)所屬公司系統(tǒng)進(jìn)行了攻擊滲透，共發(fā)現(xiàn)威脅X個。截止目前，已完成所有問題整改、漏洞修復(fù)。七,企業(yè)暴露弱點(diǎn)經(jīng)分析，攻擊方主要是通過三種途徑開展?jié)B透攻擊：一是利用系統(tǒng)已知漏洞；二是利用用戶弱口令漏洞；三是通過SQL注入、文件上傳漏洞等攻擊方式，對目標(biāo)系統(tǒng)開展攻擊；四是利用逆向調(diào)試；五是通過新爆0day漏洞。其中在對HW期間的防守工作中，發(fā)現(xiàn)企業(yè)暴露弱點(diǎn)如下：1人員安全意識較低，內(nèi)網(wǎng)賬號弱口令較多，應(yīng)用平臺以及系統(tǒng)賬號存在弱口令。2外包管理資產(chǎn)不明確，發(fā)現(xiàn)告警行為無法第一時間對應(yīng)到資產(chǎn)，造成幾次判斷失誤。3內(nèi)部網(wǎng)絡(luò)交互不明確，內(nèi)網(wǎng)服務(wù)器與內(nèi)網(wǎng)服務(wù)器的交互，內(nèi)網(wǎng)終端與域控驗證服務(wù)器的交互等，內(nèi)部網(wǎng)絡(luò)交互不明確造成幾次研判失誤。4缺少內(nèi)部資產(chǎn)統(tǒng)一管理平臺、以及缺少安全技術(shù)人員定期對內(nèi)部資產(chǎn)進(jìn)行跟蹤整理。5缺少安全技術(shù)人員定期對內(nèi)部資產(chǎn)進(jìn)行滲透測試，缺少安全技術(shù)人員定期對業(yè)務(wù)服務(wù)器進(jìn)行基線檢查。6日常工作中缺少安全技術(shù)人員對最新安全事件的跟蹤，而不應(yīng)該只在護(hù)網(wǎng)期間緊急更新補(bǔ)丁。八、安全防護(hù)建議1安全意識培訓(xùn)通過信息安全培訓(xùn)提高xxx企業(yè)員工的信息安全意識水平，將全員信息安全意識的點(diǎn)滴提升作用到具體的工作中，可以成倍地放大信息安全工作的效果。xxx企業(yè)信息安全培訓(xùn)必要性主要表現(xiàn)在：xxx企業(yè)涉及信息的敏感性極高，主要包括：與客戶相關(guān)的信息、，客戶基本信息、客戶賬戶信息以及客戶交易信息等，這幾類信息都涉及客戶的個人利益。xxx企業(yè)信息安全意識仍然普遍較為薄弱；企業(yè)自身痛點(diǎn)以及培訓(xùn)內(nèi)容范圍：（1）企業(yè)人員對網(wǎng)絡(luò)安全意識不足，內(nèi)網(wǎng)賬號弱口令較多。（2）業(yè)務(wù)線人員對安全意識不足，應(yīng)用平臺以及系統(tǒng)賬號存在弱口令。（3）不僅要在護(hù)網(wǎng)前對賬號密碼統(tǒng)一整改，在平時工作要創(chuàng)建密碼定期更改的管理制度。（4）定期對企業(yè)內(nèi)部人員以及研發(fā)技術(shù)人員的安全培訓(xùn)，包括安全意識培訓(xùn)I，辦公網(wǎng)終端管控、密碼管理制度、安全編碼規(guī)范培訓(xùn)，體系制度培訓(xùn)等。2外包安全管理綜合考慮信息科技戰(zhàn)略、外包市場環(huán)境、自身風(fēng)險控制能力、制定合適的外包管理制度建立企業(yè)長期有效的資產(chǎn)管理平臺，由各業(yè)務(wù)線負(fù)責(zé)人對資產(chǎn)進(jìn)行定期更改（其中包括業(yè)務(wù)線、ip、域名、端口、web服務(wù)器以及數(shù)據(jù)庫服務(wù)器等相關(guān)的資產(chǎn)信息），安全人員統(tǒng)一管理平臺，發(fā)現(xiàn)安全事件，通過資產(chǎn)管理平臺第一時間定位到相關(guān)負(fù)責(zé)人。事前預(yù)防：外包項目風(fēng)險評估，安全人員定期對資產(chǎn)管理平臺同業(yè)務(wù)線相關(guān)負(fù)責(zé)人進(jìn)行審核，審核是否有資產(chǎn)不對應(yīng)或更新不及時?？己送獍袒厩闆r和戰(zhàn)略，是否具有持久發(fā)展?jié)摿?。檢測外包商的硬件情況、整體組織結(jié)構(gòu)、關(guān)聯(lián)公司、市場占有率、以及產(chǎn)品安全性、研發(fā)以及運(yùn)維技術(shù)團(tuán)隊實(shí)力、重點(diǎn)關(guān)注外包商的安全團(tuán)隊實(shí)力以及安全管理制度等。3安全測試安全技術(shù)人員季度性對內(nèi)部資產(chǎn)進(jìn)行滲透測試檢測，發(fā)現(xiàn)問題并上報問題。針對第三方外包業(yè)務(wù)，企業(yè)安全負(fù)責(zé)人應(yīng)安排技術(shù)人員進(jìn)行抽查式測試，發(fā)現(xiàn)問題并及時上班。針對第三方外包業(yè)務(wù)，新上線項目，在經(jīng)過第三方安全技術(shù)人員測試后，需出示相關(guān)安全檢測、滲透測試報告，并由企業(yè)安全負(fù)責(zé)人安排技術(shù)人員進(jìn)行安全測試，檢測外包方安全檢測是否全面，是否還存在安全問題，發(fā)現(xiàn)問題并上報問題。40day跟蹤與處置由企業(yè)安全技術(shù)人員對最新爆出來的0day事件，進(jìn)行跟蹤，分析是否影響企業(yè)應(yīng)該安全，并與網(wǎng)絡(luò)、運(yùn)維商定最快處置方案，在不影響業(yè)務(wù)情況下對系統(tǒng)進(jìn)行打補(bǔ)丁或升級處置。5企業(yè)內(nèi)網(wǎng)安全安全域：網(wǎng)絡(luò)安全域是指同一系統(tǒng)內(nèi)有相同的安全保護(hù)需求、相互信任、并具有相同的安全訪問控制和邊界控制策略的子網(wǎng)或網(wǎng)絡(luò)，相同的網(wǎng)絡(luò)安全域共享一樣的安全策略。廣義的安全域是指具有相同業(yè)務(wù)要求和安全要求的IT系統(tǒng)要素的集合。安全域的劃分是一個非常重要的工作，企業(yè)按自己的實(shí)際情況劃分不同的安全域同時還需要指定各安全域的安全策略并加以實(shí)現(xiàn)。終端安全：終端安全涉及資產(chǎn)管理、補(bǔ)丁管理、終端準(zhǔn)入、防病毒、外設(shè)管控、上網(wǎng)行為管理等內(nèi)容。辦公終端電腦設(shè)置網(wǎng)絡(luò)隔離，在該網(wǎng)段可以部署蜜罐，在感染病毒木馬的情況下，可有效提升發(fā)現(xiàn)速度，對進(jìn)出該網(wǎng)段的流量進(jìn)行監(jiān)控，入站郵件內(nèi)容進(jìn)行更多層的分析。重點(diǎn)關(guān)注安全：活動目錄、郵件系統(tǒng)、 VPN、堡壘機(jī)。蜜罐體系建設(shè)：除了依靠各種安全配置基線、部署防御設(shè)備直面安全問題外，在內(nèi)網(wǎng)可以使用欺騙技術(shù)來發(fā)現(xiàn)可以行為，蜜罐。蜜罐技術(shù)本質(zhì)上是一種對攻擊方進(jìn)行欺騙的技術(shù)，通過布置一些作為誘餌的主機(jī)、網(wǎng)絡(luò)服務(wù)或者信息，誘使攻擊方對他們實(shí)施攻擊，從而可以對攻擊行為進(jìn)行捕獲和分析。6基礎(chǔ)運(yùn)維方面加強(qiáng)設(shè)備管理，梳理資產(chǎn)信息，嚴(yán)格核對CMDB中信息，將密碼變更列入季度安全運(yùn)維工作，對不在用的策略、服務(wù)器進(jìn)行清理線下，將繼續(xù)使用的設(shè)備進(jìn)行資產(chǎn)審核，確認(rèn)資產(chǎn)信息準(zhǔn)確性。嚴(yán)格杜絕系統(tǒng)弱口令，加強(qiáng)口令強(qiáng)度設(shè)置；需要用戶注冊功能的，要對注冊用戶加以限制，要對上傳文件格式限制；加強(qiáng)信息系統(tǒng)及用戶賬號的管理，定期查看使用情況，確認(rèn)不用的系統(tǒng)、用戶賬號及時進(jìn)行關(guān)停處理。需要對防火墻策略申請、端口映射申請進(jìn)行周期性梳理，刪除無效、無用策略，防止內(nèi)部服務(wù)被誤開放到互聯(lián)網(wǎng)平臺。嚴(yán)格控制運(yùn)維、研發(fā)、測試等技術(shù)型人員在服務(wù)器上明文存儲備份賬號密碼，隨意開放查看權(quán)限，對離職員工賬號密碼進(jìn)行嚴(yán)格審查，刪除，關(guān)閉。端口管控，即在防火墻上嚴(yán)格限制對外開放的端口，原則上DMZ服務(wù)器只允許對外開放80和443，而且DMZ服務(wù)器不允許主動訪問外部。端口管控工作是基礎(chǔ)，做好端口管控后，重點(diǎn)放在web安全上。web應(yīng)用防火墻：針對常規(guī)掃描行為，web應(yīng)用防火墻基本上可以直接攔截。入侵檢測/防御系統(tǒng)：對WAF后端的流量進(jìn)行分析，發(fā)現(xiàn)惡意行為。漏洞掃描和滲透測試：針對企業(yè)應(yīng)用季度性的安全檢測，同上面提到的2.3安全檢測。7安全防護(hù)方面加強(qiáng)公司網(wǎng)絡(luò)邊界防護(hù)，更新升級防火墻、防毒墻等安全設(shè)備，做好外部入侵防護(hù)控制。加強(qiáng)網(wǎng)絡(luò)安全設(shè)備如VPN、堡壘機(jī)等權(quán)限管理，對人員進(jìn)行基于角色劃分管理權(quán)限。對各平臺網(wǎng)絡(luò)嚴(yán)格按照等級保護(hù)要求進(jìn)行區(qū)域區(qū)分，加強(qiáng)信息系統(tǒng)安全防護(hù)和管理。對數(shù)據(jù)安全加強(qiáng)防護(hù)，防止未授權(quán)訪問敏感數(shù)據(jù)，防止技術(shù)和業(yè)務(wù)人員對數(shù)據(jù)誤操作或惡意操作導(dǎo)致數(shù)據(jù)泄露。8安全監(jiān)測方面充分利用安全設(shè)備及監(jiān)控平臺進(jìn)行監(jiān)控。分析安全設(shè)備的日志，對應(yīng)用系統(tǒng)的運(yùn)行狀態(tài)、資源占用率等情況進(jìn)行查看，及時發(fā)現(xiàn)和應(yīng)對攻擊行為，根據(jù)記錄的入侵源IP、攻擊類型、攻擊訪問等特征進(jìn)行關(guān)聯(lián)分析。增加安全預(yù)警手段。推進(jìn)公司預(yù)警監(jiān)測和態(tài)勢感知能力，加強(qiáng)主機(jī)端安全監(jiān)控能力，將安全設(shè)備及系統(tǒng)逐步進(jìn)行整合。蜜罐體系建設(shè)：除了依靠各種安全配置基線、部署防御設(shè)備直面安全問題外，在內(nèi)網(wǎng)可以使用欺騙技術(shù)來發(fā)現(xiàn)可以行為，蜜罐。蜜罐技術(shù)本質(zhì)上是一種對攻擊方進(jìn)行欺騙的技術(shù)，通過布置一些作為誘餌的主機(jī)、網(wǎng)絡(luò)服務(wù)或者信息，誘使攻擊方對他們實(shí)施攻擊，從而可以對攻擊行為進(jìn)行捕獲和分析。核心系統(tǒng)安全應(yīng)當(dāng)警惕從合作機(jī)構(gòu)或內(nèi)部IP發(fā)送的可疑請求，如有發(fā)現(xiàn)內(nèi)網(wǎng)主機(jī)存在掃描或登錄失敗次數(shù)過多等可疑行為且確認(rèn)非內(nèi)部測試的行為后應(yīng)及時阻斷并對其進(jìn)行分析，避免內(nèi)網(wǎng)被攻陷，維護(hù)核心系統(tǒng)安全。9蜜罐的主動防御HW的大規(guī)模推廣以及溯源技術(shù)的普及，尤其蜜罐的作用在今年 HW行動中大放異彩，蜜罐的推廣與普及也必然成為攻擊溯源的趨勢。蜜罐的部署可以提前捕獲長期盯著xxx企業(yè)業(yè)務(wù)的一些apt組織，可通過主動手段提前發(fā)現(xiàn)潛在威脅。蜜罐可用于長期安全設(shè)備，部署在外網(wǎng)，通過掃描探測可以提前發(fā)現(xiàn)攻擊行為，通過指紋抓取可以定位到攻擊者信息。部署在內(nèi)網(wǎng)，在邊界失守的情況下，內(nèi)網(wǎng)蜜罐可提前發(fā)現(xiàn)攻擊者的內(nèi)網(wǎng)探測行為，利用自身所帶漏洞引誘并拖延攻擊者的內(nèi)網(wǎng)橫向行為，并抓取攻擊者信息使溯源到攻擊者身份。10應(yīng)急處置方面建立健全安全預(yù)防和預(yù)警機(jī)制。加強(qiáng)信息網(wǎng)絡(luò)系統(tǒng)和設(shè)備的安全防護(hù)工作，加強(qiáng)信息網(wǎng)絡(luò)日常運(yùn)行狀況