##背景：
HW行動，中間的心酸曲折與案例回顧本來想寫點，但總結回顧相關文章挺多了，不喜歡重復，從前天開始就有小伙伴已經開始接總結報告了，向我尋求一份模板，畢竟有保密協議，脫敏的道路還是有些累的，所以此文章主要是模板，內容未必真實，幫大家解決最后一公里路程，希望有點幫助——從HW的痛苦中結束，投入到70周年重保的痛苦中去，

護網總結

背景及概述

201X年X月X日-201X年X月X日，XX發起了針對關鍵資訊基礎設施進行攻防演練的HW作業，XXXX平臺作為防守方，成功防御了XX的攻擊，沒有被攻破，同時發現并處理了XXXX，經XX確認，得分X分，
平臺按照XX和XX的統一部署，重預警、早排查，演練期間，加強安全專項巡檢，做好相關匯報作業，對發現的安全問題及時整改，按照組織要求認真做好各階段作業，順利完成了防守任務，提升了XX平臺的網路應急安全應急處置與協調能力，提升了XX平臺安全防護水平，

一、前期準備

1、成立XX平臺HW201X作業專項小組，并由公司負責人牽頭，各部門協力配合，做到了分工明確，責任具體到人；同時完善相關安全制度優化完成《XXXX平臺應急處置方案》和《XX平臺防守組作業方案》，保障HW作業正常有序開展，
2、開展運維自檢自查作業以及第三方協查作業，通過資產梳理作業，對XX平臺網路策略優化xx項，修復高危安全漏洞xx余項，其中自主發現高危安全漏洞xx項，XX協助發現高危漏洞x個，包含在自主發現漏洞中，已做到對高危漏洞清零，檢測發現并修復平臺弱口令xx項，
3、組織防護作業演練，撰寫《xxXX平臺作業部署》方案，對HW期間作業進行緊密部署，加強完善平臺安全巡檢，增強團隊協作能力，
4、組織協調第三方能力，在此期間對物理機房、云服務商監測加強監控、檢測要求，XX協助提供x云安全監測服務，并配置入侵檢測系統，同時安全部對公司內部進行安全意識宣貫，降低被釣魚攻擊風險，

二、組織實施

（一）加強組織協調

在公司內部設定專項防守場地，安排XX平臺各部門負責人、核心部門駐場值守，安排專人進行對接，隨時與防守團隊保持聯絡，通過電話會議每日協商，匯總當日所發生的安全事件，針對安全事件進行應急回應和處置，

（二）安排重點值守

各部門各司其職，加強防守整改，其中XX部整體把握XX防守情況，負責與總體防守組的溝通聯系，負責資訊對接，保持隨時聯絡，提交防守成果，XX部負責對網路安全策略進行梳理，洗掉無效策略；XX部負責對主機系統安全基線進行檢查落地，修復主機漏洞，對中間件平臺進行升級；XX梳理資料庫相應安全權限，對權限進行嚴格控制；XX部負責對代碼層安全漏洞進行修復，并對后臺管理進行安全防護；XX部負責撰寫整體《安全應急相應方案》以及《HW作業安排部署方案》，加強安全監測預警、安全防護和應急處置能力，

（三）開展防守作業

攻防實施階段
1、嚴格落實值班制度，平臺加強了每日巡檢力度，從巡檢次數從每日二次調整為每日三次，同時安排專人負責安全巡檢，對巡檢項進行詳細記錄，并于每日下午X點前上報；并安排專人在部機關值守，確保資訊溝通順暢，
2、認真落實報告制度，安排專人到XX負責聯絡作業X周，并每日于X點、X點進行作業匯報總結，對攻擊手段、封禁IP地址，賬號爆破情況進行梳理歸納，發現攻擊問題第一時間上報總體防守組，編制X份防守成果報告，經演戲指揮部確認，得分XX分，
3、全面做好檢測預警作業，平臺對WAF、IDS、以及郵箱、VPN等賬戶，系統狀態、網路狀態等進行全方位監控，共發現賬戶破解、掃描、命令執行、SQL注入等攻擊數百次，對例外IP進行及時封禁，共計封禁IPXX余個，未發現攻擊成功現象，
4、加強監控應急處理能力，在平臺發現被爆破的賬號后，并在第一時間對問題賬戶進行洗掉操作；發現并洗掉惡意木馬檔案XX個，并阻止該惡意程式運行，上報防守成果，同時優化平臺相關服務，關閉木馬上傳路徑，
5、攻防實施階段XX平臺共檢測到惡意掃描攻擊XX次，平臺封禁惡意IP地址XX余個，公司郵箱賬戶被嘗試爆破XX余個，均未成功，XX平臺業務賬戶被嘗試暴力破解XX個，成功X個，VPN賬號被嘗試暴力破解X個，未成功，發現XXXXXXXX公司官網網站有例外IP入侵，發現XX平臺、XX平臺有例外IP入侵，采取封禁IP措施，對XX平臺網站應用系統弱口令問題進行整改，

三、威脅匯總及整改情況

演習結束后，根據XX與XX相關要求，對攻防演習作業中發現的問題成果進行梳理，共有X項其中XX平臺安全隱患X項，非XX平臺安全隱患共X項，通知相關部門進行整改，已經完全整改完畢，

（一）XX平臺威脅整改情況

本次參演的XX平臺共被發現X處安全隱患，存在XX問題，目前已全部修復，

（二）非目標系，統威脅整改情況

本次演習攻擊方對演習目標所屬公司系統進行了攻擊滲透，共發現威脅X個，截止目前，已完成所有問題整改、漏洞修復，

四、存在問題

（一）XX平臺系統此次攻防演習程序中，存在以下問題

1、基礎運維存在薄榷訓節…
2、系統存在弱口令問題…

（二）公司存在的問題

公司的其他資訊系統不在本次攻防演習范圍內，故本次演習前準備階段未對XXX平臺、XXX平臺進行風險隱患排查和整改加固，經分析，攻擊方主要是通過三種途徑開展滲透攻擊：一是利用系統已知漏洞，獲得系統服務器權限，對內網開展滲透共計；二是利用用戶弱口令漏洞，獲取網路及資訊系統關鍵資訊；三是通過SQL注入、檔案上傳漏洞等攻擊方式，對目標系統開展攻擊，獲取系統權，根據上述攻擊方式，反映出公司存在的問題有：
xxxxxxx…

五、整改計劃

針對XX平臺存在的問題，我司將進一步提高認識，加強人員往來安全意識教育，組織資訊安全培訓，不斷提高全員安全意識，針對上述存在的安全問題整改完成后，舉一反三，查找存在類似安全隱患并整改，不斷完善網路及資訊系統的網路架構規劃及制度管理，主要措施如下：

（一）基礎運維方面

1、加強設備管理，梳理資產資訊，嚴格核對CMDB中資訊，將密碼變更列入季度安全運維作業，對不在用的策略、服務器進行清理線下，將繼續使用的設備進行資產審核，確認資產資訊準確性，
2、嚴格杜絕系統弱口令，加強口令強度設定；需要用戶注冊功能的，要對注冊用戶加以限制，要對上傳檔案格式限制；加強資訊系統及用戶賬號的管理，定期查看使用情況，確認不用的系統、用戶賬號及時進行關停處理，
3、需要對防火墻策略申請、埠映射申請進行周期性梳理，洗掉無效、無用策略，防止內部服務被誤開放到互聯網平臺，
4、嚴格控制運維、研發、測驗等技術型人員在服務器上明文存盤備份賬號密碼，隨意開放查看權限，對離職員工賬號密碼進行嚴格審查，洗掉，關閉，

（二）安全防護方面

1、加強公司網路邊界防護，更新升級防火墻、防毒墻等安全設備，做好外部入侵防護控制，
2、加強網路安全設備如VPN、堡壘機等權限管理，對人員進行基于角色劃分管理權限，
3、對各平臺網路嚴格按照等級保護要求進行區域區分，加強資訊系統安全防護和管理，
4、對資料安全加強防護，防止未授權訪問敏感資料，防止技術和業務人員對資料誤操作或惡意操作導致資料泄露，

（三）安全監測方面

1、充分利用安全設備及監控平臺進行監控，分析安全設備的日志，對應用系統的運行狀態、資源占用率等情況進行查看，及時發現和應對攻擊行為，根據記錄的入侵源IP、攻擊型別、攻擊訪問等特征進行關聯分析，
2、增加安全預警手段，推進公司預警監測和態勢感知能力，加強主機端安全監控能力，將安全設備及系統逐步進行整合，

（四）應急處置方面

1、建立健全安全預防和預警機制，加強資訊網路系統和設備的安全防護作業，加強資訊網路日常運行狀況的檢測分析，對外部和內部可能對資訊網路產生重大影響的事件進行預警，保障資訊網路安全暢通，
2、加強應急處置和演練，發生突發性事件時，啟動應急預案，根據事件級別，根據《XXXXXXXXXX平臺應急相應預案》采取相應處置措施，確保網路通暢，業務連續性以及資訊安全，有計劃、有重點的組織技術人員針對不同情況對預案進行演練，對預案中存在的問題和不足及時補充、完善，

六、總結

我司計劃將進一步推進網路安全和資訊化作業，進一步用好攻防演練成果，在XX的指導下，提升態勢感知和應急處置能力，提高關鍵資訊基礎設施防護水平，不斷完善網路安全作業體制機制，構建與資訊化作業相適應的網路安全保障體系，有力維護XX平臺業務及資料安全，