文章目錄
- 護網總結
- 背景及概述
- 一、前期準備
- 二、組織實施
- (一)加強組織協調
- (二)安排重點值守
- (三)開展防守作業
- 三、威脅匯總及整改情況
- (一)XX平臺威脅整改情況
- (二)非目標系,統威脅整改情況
- 四、存在問題
- (一)XX平臺系統此次攻防演習程序中,存在以下問題
- (二)公司存在的問題
- 五、整改計劃
- (一)基礎運維方面
- (二)安全防護方面
- (三)安全監測方面
- (四)應急處置方面
- 六、總結
##背景:
HW行動,中間的心酸曲折與案例回顧本來想寫點,但總結回顧相關文章挺多了,不喜歡重復,從前天開始就有小伙伴已經開始接總結報告了,向我尋求一份模板,畢竟有保密協議,脫敏的道路還是有些累的,所以此文章主要是模板,內容未必真實,幫大家解決最后一公里路程,希望有點幫助——從HW的痛苦中結束,投入到70周年重保的痛苦中去,
護網總結
背景及概述
201X年X月X日-201X年X月X日,XX發起了針對關鍵資訊基礎設施進行攻防演練的HW作業,XXXX平臺作為防守方,成功防御了XX的攻擊,沒有被攻破,同時發現并處理了XXXX,經XX確認,得分X分,
平臺按照XX和XX的統一部署,重預警、早排查,演練期間,加強安全專項巡檢,做好相關匯報作業,對發現的安全問題及時整改,按照組織要求認真做好各階段作業,順利完成了防守任務,提升了XX平臺的網路應急安全應急處置與協調能力,提升了XX平臺安全防護水平,
一、前期準備
1、成立XX平臺HW201X作業專項小組,并由公司負責人牽頭,各部門協力配合,做到了分工明確,責任具體到人;同時完善相關安全制度優化完成《XXXX平臺應急處置方案》和《XX平臺防守組作業方案》,保障HW作業正常有序開展,
2、開展運維自檢自查作業以及第三方協查作業,通過資產梳理作業,對XX平臺網路策略優化xx項,修復高危安全漏洞xx余項,其中自主發現高危安全漏洞xx項,XX協助發現高危漏洞x個,包含在自主發現漏洞中,已做到對高危漏洞清零,檢測發現并修復平臺弱口令xx項,
3、組織防護作業演練,撰寫《xxXX平臺作業部署》方案,對HW期間作業進行緊密部署,加強完善平臺安全巡檢,增強團隊協作能力,
4、組織協調第三方能力,在此期間對物理機房、云服務商監測加強監控、檢測要求,XX協助提供x云安全監測服務,并配置入侵檢測系統,同時安全部對公司內部進行安全意識宣貫,降低被釣魚攻擊風險,
二、組織實施
(一)加強組織協調
在公司內部設定專項防守場地,安排XX平臺各部門負責人、核心部門駐場值守,安排專人進行對接,隨時與防守團隊保持聯絡,通過電話會議每日協商,匯總當日所發生的安全事件,針對安全事件進行應急回應和處置,
(二)安排重點值守
各部門各司其職,加強防守整改,其中XX部整體把握XX防守情況,負責與總體防守組的溝通聯系,負責資訊對接,保持隨時聯絡,提交防守成果,XX部負責對網路安全策略進行梳理,洗掉無效策略;XX部負責對主機系統安全基線進行檢查落地,修復主機漏洞,對中間件平臺進行升級;XX梳理資料庫相應安全權限,對權限進行嚴格控制;XX部負責對代碼層安全漏洞進行修復,并對后臺管理進行安全防護;XX部負責撰寫整體《安全應急相應方案》以及《HW作業安排部署方案》,加強安全監測預警、安全防護和應急處置能力,
(三)開展防守作業
攻防實施階段
1、嚴格落實值班制度,平臺加強了每日巡檢力度,從巡檢次數從每日二次調整為每日三次,同時安排專人負責安全巡檢,對巡檢項進行詳細記錄,并于每日下午X點前上報;并安排專人在部機關值守,確保資訊溝通順暢,
2、認真落實報告制度,安排專人到XX負責聯絡作業X周,并每日于X點、X點進行作業匯報總結,對攻擊手段、封禁IP地址,賬號爆破情況進行梳理歸納,發現攻擊問題第一時間上報總體防守組,編制X份防守成果報告,經演戲指揮部確認,得分XX分,
3、全面做好檢測預警作業,平臺對WAF、IDS、以及郵箱、VPN等賬戶,系統狀態、網路狀態等進行全方位監控,共發現賬戶破解、掃描、命令執行、SQL注入等攻擊數百次,對例外IP進行及時封禁,共計封禁IPXX余個,未發現攻擊成功現象,
4、加強監控應急處理能力,在平臺發現被爆破的賬號后,并在第一時間對問題賬戶進行洗掉操作;發現并洗掉惡意木馬檔案XX個,并阻止該惡意程式運行,上報防守成果,同時優化平臺相關服務,關閉木馬上傳路徑,
5、攻防實施階段XX平臺共檢測到惡意掃描攻擊XX次,平臺封禁惡意IP地址XX余個,公司郵箱賬戶被嘗試爆破XX余個,均未成功,XX平臺業務賬戶被嘗試暴力破解XX個,成功X個,VPN賬號被嘗試暴力破解X個,未成功,發現XXXXXXXX公司官網網站有例外IP入侵,發現XX平臺、XX平臺有例外IP入侵,采取封禁IP措施,對XX平臺網站應用系統弱口令問題進行整改,
三、威脅匯總及整改情況
演習結束后,根據XX與XX相關要求,對攻防演習作業中發現的問題成果進行梳理,共有X項其中XX平臺安全隱患X項,非XX平臺安全隱患共X項,通知相關部門進行整改,已經完全整改完畢,
(一)XX平臺威脅整改情況
本次參演的XX平臺共被發現X處安全隱患,存在XX問題,目前已全部修復,
(二)非目標系,統威脅整改情況
本次演習攻擊方對演習目標所屬公司系統進行了攻擊滲透,共發現威脅X個,截止目前,已完成所有問題整改、漏洞修復,
四、存在問題
(一)XX平臺系統此次攻防演習程序中,存在以下問題
1、基礎運維存在薄榷訓節…
2、系統存在弱口令問題…
(二)公司存在的問題
公司的其他資訊系統不在本次攻防演習范圍內,故本次演習前準備階段未對XXX平臺、XXX平臺進行風險隱患排查和整改加固,經分析,攻擊方主要是通過三種途徑開展滲透攻擊:一是利用系統已知漏洞,獲得系統服務器權限,對內網開展滲透共計;二是利用用戶弱口令漏洞,獲取網路及資訊系統關鍵資訊;三是通過SQL注入、檔案上傳漏洞等攻擊方式,對目標系統開展攻擊,獲取系統權,根據上述攻擊方式,反映出公司存在的問題有:
xxxxxxx…
五、整改計劃
針對XX平臺存在的問題,我司將進一步提高認識,加強人員往來安全意識教育,組織資訊安全培訓,不斷提高全員安全意識,針對上述存在的安全問題整改完成后,舉一反三,查找存在類似安全隱患并整改,不斷完善網路及資訊系統的網路架構規劃及制度管理,主要措施如下:
(一)基礎運維方面
1、加強設備管理,梳理資產資訊,嚴格核對CMDB中資訊,將密碼變更列入季度安全運維作業,對不在用的策略、服務器進行清理線下,將繼續使用的設備進行資產審核,確認資產資訊準確性,
2、嚴格杜絕系統弱口令,加強口令強度設定;需要用戶注冊功能的,要對注冊用戶加以限制,要對上傳檔案格式限制;加強資訊系統及用戶賬號的管理,定期查看使用情況,確認不用的系統、用戶賬號及時進行關停處理,
3、需要對防火墻策略申請、埠映射申請進行周期性梳理,洗掉無效、無用策略,防止內部服務被誤開放到互聯網平臺,
4、嚴格控制運維、研發、測驗等技術型人員在服務器上明文存盤備份賬號密碼,隨意開放查看權限,對離職員工賬號密碼進行嚴格審查,洗掉,關閉,
(二)安全防護方面
1、加強公司網路邊界防護,更新升級防火墻、防毒墻等安全設備,做好外部入侵防護控制,
2、加強網路安全設備如VPN、堡壘機等權限管理,對人員進行基于角色劃分管理權限,
3、對各平臺網路嚴格按照等級保護要求進行區域區分,加強資訊系統安全防護和管理,
4、對資料安全加強防護,防止未授權訪問敏感資料,防止技術和業務人員對資料誤操作或惡意操作導致資料泄露,
(三)安全監測方面
1、充分利用安全設備及監控平臺進行監控,分析安全設備的日志,對應用系統的運行狀態、資源占用率等情況進行查看,及時發現和應對攻擊行為,根據記錄的入侵源IP、攻擊型別、攻擊訪問等特征進行關聯分析,
2、增加安全預警手段,推進公司預警監測和態勢感知能力,加強主機端安全監控能力,將安全設備及系統逐步進行整合,
(四)應急處置方面
1、建立健全安全預防和預警機制,加強資訊網路系統和設備的安全防護作業,加強資訊網路日常運行狀況的檢測分析,對外部和內部可能對資訊網路產生重大影響的事件進行預警,保障資訊網路安全暢通,
2、加強應急處置和演練,發生突發性事件時,啟動應急預案,根據事件級別,根據《XXXXXXXXXX平臺應急相應預案》采取相應處置措施,確保網路通暢,業務連續性以及資訊安全,有計劃、有重點的組織技術人員針對不同情況對預案進行演練,對預案中存在的問題和不足及時補充、完善,
六、總結
我司計劃將進一步推進網路安全和資訊化作業,進一步用好攻防演練成果,在XX的指導下,提升態勢感知和應急處置能力,提高關鍵資訊基礎設施防護水平,不斷完善網路安全作業體制機制,構建與資訊化作業相適應的網路安全保障體系,有力維護XX平臺業務及資料安全,
轉載請註明出處,本文鏈接:https://www.uj5u.com/ruanti/131890.html
標籤:其他
