HW總結(jié)報(bào)告模板

HW總結(jié)報(bào)告模板一.HW背景能源：xxx是國(guó)家的支柱能源和經(jīng)濟(jì)命脈，其安全穩(wěn)定運(yùn)行不僅關(guān)系到國(guó)家的經(jīng)濟(jì)發(fā)展，而且維系國(guó)家安全。隨著xxx規(guī)模的逐漸擴(kuò)大，安全事故的影響范圍越來(lái)越大，安全問(wèn)題越來(lái)越突出，xxx網(wǎng)絡(luò)安全運(yùn)行已經(jīng)成為全球的研究熱點(diǎn)。/WXO銀行：隨著我國(guó)信息化發(fā)展的日新月異，信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估也被國(guó)家決策層納為重要項(xiàng)目。銀行信息安全是至關(guān)重要的問(wèn)題，因?yàn)樵谌魏我粋€(gè)環(huán)節(jié)出現(xiàn)問(wèn)題，就會(huì)影響到整個(gè)系統(tǒng)的發(fā)展，造成全局性的失誤。所以其中的信息安全成為重中之重。銀行給客戶提供服務(wù)的同時(shí)，必須要為客戶提供可靠的環(huán)境以及信息的準(zhǔn)確性和安全性。（以上選一即可）201X年X月X日-201X年X月X日，XX發(fā)起了針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行攻防演練的HW工作。XXXX平臺(tái)作為防守方，成功防御了XX的攻擊，沒有被攻破，同時(shí)發(fā)現(xiàn)并處理了XXXX。XXXX在演練期間，加強(qiáng)安全專項(xiàng)巡檢，做好相關(guān)匯報(bào)工作，對(duì)發(fā)現(xiàn)的安全問(wèn)題及時(shí)整改，按照組織要求認(rèn)真做好各階段工作，順利完成了防守任務(wù)，提升了XXXX的網(wǎng)絡(luò)應(yīng)急安全應(yīng)急處置與協(xié)調(diào)能力，提升了XXXX網(wǎng)安全防護(hù)水平。二人員安排現(xiàn)場(chǎng)專家：XXX研判分析人員：XXX監(jiān)控人員：XXX三、駐場(chǎng)時(shí)間如：2019年5月30日到2019年6月30日。1、成立XX平臺(tái)HW201X工作專項(xiàng)小組，并由公司負(fù)責(zé)人牽頭，各部門協(xié)力配合，做到了分工明確，責(zé)任具體到人；同時(shí)完善相關(guān)安全制度優(yōu)化完成《XXXX平臺(tái)應(yīng)急處置方案》和《XX平臺(tái)防守組工作方案》，保障HW工作正常有序開展。2、開展運(yùn)維自檢自查工作以及第三方協(xié)查工作。通過(guò)資產(chǎn)梳理工作，對(duì)XX平臺(tái)網(wǎng)絡(luò)策略優(yōu)化xx項(xiàng)，修復(fù)高危安全漏洞xx余項(xiàng)，其中自主發(fā)現(xiàn)高危安全漏洞xx項(xiàng)，XX協(xié)助發(fā)現(xiàn)高危漏洞x個(gè)，包含在自主發(fā)現(xiàn)漏洞中，已做到對(duì)高危漏洞清零，檢測(cè)發(fā)現(xiàn)并修復(fù)平臺(tái)弱口令xx項(xiàng)。3、組織防護(hù)工作演練，編寫《xxXX平臺(tái)工作部署》方案，對(duì)HW期間工作進(jìn)行緊密部署，加強(qiáng)完善平臺(tái)安全巡檢，增強(qiáng)團(tuán)隊(duì)協(xié)作能力。4、組織協(xié)調(diào)第三方能力，在此期間對(duì)物理機(jī)房、云服務(wù)商監(jiān)測(cè)加強(qiáng)監(jiān)控、檢測(cè)要求，XX協(xié)助提供x云安全監(jiān)測(cè)服務(wù)，并配置入侵檢測(cè)系統(tǒng)，同時(shí)安全部對(duì)公司內(nèi)部進(jìn)行安全意識(shí)宣貫，降低被釣魚攻擊風(fēng)險(xiǎn)。組織實(shí)施（一）加強(qiáng)組織協(xié)調(diào)在公司內(nèi)部設(shè)置專項(xiàng)防守場(chǎng)地，安排XX平臺(tái)各部門負(fù)責(zé)人、核心部門駐場(chǎng)值守。安排專人進(jìn)行對(duì)接，隨時(shí)與防守團(tuán)隊(duì)保持聯(lián)絡(luò)，通過(guò)電話會(huì)議每日協(xié)商，匯總當(dāng)日所發(fā)生的安全事件，針對(duì)安全事件進(jìn)行應(yīng)急響應(yīng)和處置。（二）安排重點(diǎn)值守各部門各司其職，加強(qiáng)防守整改。其中XX部整體把握XX防守情況，負(fù)責(zé)與總體防守組的溝通聯(lián)系，負(fù)責(zé)信息對(duì)接，保持隨時(shí)聯(lián)絡(luò)，提交防守成果。XX部負(fù)責(zé)對(duì)網(wǎng)絡(luò)安全策略進(jìn)行梳理，刪除無(wú)效策略；XX部負(fù)責(zé)對(duì)主機(jī)系統(tǒng)安全基線進(jìn)行檢查落地，修復(fù)主機(jī)漏洞，對(duì)中間件平臺(tái)進(jìn)行升級(jí)；XX梳理數(shù)據(jù)庫(kù)相應(yīng)安全權(quán)限，對(duì)權(quán)限進(jìn)行嚴(yán)格控制；XX部負(fù)責(zé)對(duì)代碼層安全漏洞進(jìn)行修復(fù)，并對(duì)后臺(tái)管理進(jìn)行安全防護(hù)；XX部負(fù)責(zé)撰寫整體《安全應(yīng)急相應(yīng)方案》以及《HW工作安排部署方案》，加強(qiáng)安全監(jiān)測(cè)預(yù)警、安全防護(hù)和應(yīng)急處置能力。（三）開展防守工作攻防實(shí)施階段。1、嚴(yán)格落實(shí)值班制度。平臺(tái)加強(qiáng)了每日巡檢力度，從巡檢次數(shù)從每日二次調(diào)整為每日三次，同時(shí)安排專人負(fù)責(zé)安全巡檢，對(duì)巡檢項(xiàng)進(jìn)行詳細(xì)記錄，并于每日下午X點(diǎn)前上報(bào)；并安排專人在部機(jī)關(guān)值守，確保信息溝通順暢。2、認(rèn)真落實(shí)報(bào)告制度。安排專人到XX負(fù)責(zé)聯(lián)絡(luò)工作X周，并每日于X點(diǎn)、X點(diǎn)進(jìn)行工作匯報(bào)總結(jié)，對(duì)攻擊手段、封禁IP地址，賬號(hào)爆破情況進(jìn)行梳理歸納，發(fā)現(xiàn)攻擊問(wèn)題第一時(shí)間上報(bào)總體防守組。編制X份防守成果報(bào)告，經(jīng)演戲指揮部確認(rèn)，得分XX分。3、全面做好檢測(cè)預(yù)警工作。平臺(tái)對(duì)WAF、IDS、以及郵箱、VPN等賬戶，系統(tǒng)狀態(tài)、網(wǎng)絡(luò)狀態(tài)等進(jìn)行全方位監(jiān)控，共發(fā)現(xiàn)賬戶破解、掃描、命令執(zhí)行、SQL注入等攻擊數(shù)百次，對(duì)異常IP進(jìn)行及時(shí)封禁，共計(jì)封禁IPXX余個(gè)，未發(fā)現(xiàn)攻擊成功現(xiàn)象。4、加強(qiáng)監(jiān)控應(yīng)急處理能力。在平臺(tái)發(fā)現(xiàn)被爆破的賬號(hào)后，并在第一時(shí)間對(duì)問(wèn)題賬戶進(jìn)行刪除操作；發(fā)現(xiàn)并刪除惡意木馬文件XX個(gè)，并阻止該惡意程序運(yùn)行，上報(bào)防守成果，同時(shí)優(yōu)化平臺(tái)相關(guān)服務(wù)，關(guān)閉木馬上傳路徑。5、攻防實(shí)施階段XX平臺(tái)共檢測(cè)到惡意掃描攻擊XX次，平臺(tái)封禁惡意IP地址XX余個(gè)，公司郵箱賬戶被嘗試爆破XX余個(gè)，均未成功，XX平臺(tái)業(yè)務(wù)賬戶被嘗試暴力破解XX個(gè)，成功X個(gè),VPN賬號(hào)被嘗試暴力破解X個(gè)，未成功，發(fā)現(xiàn)XXXXXXXX公司官網(wǎng)網(wǎng)站有異常IP入侵，發(fā)現(xiàn)XX平臺(tái)、XX平臺(tái)有異常IP入侵，采取封禁IP措施，對(duì)XX平臺(tái)網(wǎng)站應(yīng)用系統(tǒng)弱口令問(wèn)題進(jìn)行整改。六、威脅匯總及整改情況演習(xí)結(jié)束后，根據(jù)XX與XX相關(guān)要求，對(duì)攻防演習(xí)工作中發(fā)現(xiàn)的問(wèn)題成果進(jìn)行梳理，共有X項(xiàng)其中XX平臺(tái)安全隱患X項(xiàng)，非XX平臺(tái)安全隱患共X項(xiàng)，通知相關(guān)部門進(jìn)行整改，已經(jīng)完全整改完畢。（_）XX平臺(tái)威脅整改情況本次參演的XX平臺(tái)共被發(fā)現(xiàn)X處安全隱患，存在XX問(wèn)題，目前已全部修復(fù)。（二）非目標(biāo)系，統(tǒng)威脅整改情況本次演習(xí)攻擊方對(duì)演習(xí)目標(biāo)所屬公司系統(tǒng)進(jìn)行了攻擊滲透，共發(fā)現(xiàn)威脅X個(gè)。截止目前，已完成所有問(wèn)題整改、漏洞修復(fù)。七、企業(yè)暴露弱點(diǎn)經(jīng)分析，攻擊方主要是通過(guò)三種途徑開展?jié)B透攻擊：一是利用系統(tǒng)已知漏洞；二是利用用戶弱口令漏洞；三是通過(guò)SQL注入、文件上傳漏洞等攻擊方式，對(duì)目標(biāo)系統(tǒng)開展攻擊；四是利用逆向調(diào)試；五是通過(guò)新爆Oday漏洞。其中在對(duì)HW期間的防守工作中，發(fā)現(xiàn)企業(yè)暴露弱點(diǎn)如下：1人員安全意識(shí)較低，內(nèi)網(wǎng)賬號(hào)弱口令較多，應(yīng)用平臺(tái)以及系統(tǒng)賬號(hào)存在弱口令。2夕卜包管理資產(chǎn)不明確，發(fā)現(xiàn)告警行為無(wú)法第一時(shí)間對(duì)應(yīng)到資產(chǎn)，造成幾次判斷失誤。3內(nèi)部網(wǎng)絡(luò)交互不明確，內(nèi)網(wǎng)服務(wù)器與內(nèi)網(wǎng)服務(wù)器的交互，內(nèi)網(wǎng)終端與域控驗(yàn)證服務(wù)器的交互等，內(nèi)部網(wǎng)絡(luò)交互不明確造成幾次研判失誤。4缺少內(nèi)部資產(chǎn)統(tǒng)一管理平臺(tái)、以及缺少安全技術(shù)人員定期對(duì)內(nèi)部資產(chǎn)進(jìn)行跟蹤整理。5缺少安全技術(shù)人員定期對(duì)內(nèi)部資產(chǎn)進(jìn)行滲透測(cè)試，缺少安全技術(shù)人員定期對(duì)業(yè)務(wù)服務(wù)器進(jìn)行基線檢查。6日常工作中缺少安全技術(shù)人員對(duì)最新安全事件的跟蹤，而不應(yīng)該只在護(hù)網(wǎng)期間緊急更新補(bǔ)丁。八、安全防護(hù)建議1安全意識(shí)培訓(xùn)通過(guò)信息安全培訓(xùn)提高XXX企業(yè)員工的信息安全意識(shí)水平，將全員信息安全意識(shí)的點(diǎn)滴提升作用到具體的工作中，可以成倍地放大信息安全工作的效果。XXX企業(yè)信息安全培訓(xùn)必要性主要表現(xiàn)在：1.1、XXX企業(yè)涉及信息的敏感性極高，主要包括：與客戶相關(guān)的信息，客戶基本信息、客戶賬戶信息以及客戶交易信息等，這幾類信息都涉及客戶的個(gè)人利益。1.2、XXX企業(yè)信息安全意識(shí)仍然普遍較為薄弱；企業(yè)自身痛點(diǎn)以及培訓(xùn)內(nèi)容范圍：（1）企業(yè)人員對(duì)網(wǎng)絡(luò)安全意識(shí)不足，內(nèi)網(wǎng)賬號(hào)弱口令較多。（2）業(yè)務(wù)線人員對(duì)安全意識(shí)不足，應(yīng)用平臺(tái)以及系統(tǒng)賬號(hào)存在弱口令。（3）不僅要在護(hù)網(wǎng)前對(duì)賬號(hào)密碼統(tǒng)一整改，在平時(shí)工作要?jiǎng)?chuàng)建密碼定期更改的管理制度。（4）定期對(duì)企業(yè)內(nèi)部人員以及研發(fā)技術(shù)人員的安全培訓(xùn)，包括安全意識(shí)培訓(xùn)，辦公網(wǎng)終端管控、密碼管理制度、安全編碼規(guī)范培訓(xùn)，體系制度培訓(xùn)等。2夕卜包安全管理2.1、綜合考慮信息科技戰(zhàn)略、外包市場(chǎng)環(huán)境、自身風(fēng)險(xiǎn)控制能力、制定合適的外包管理制度2.2、建立企業(yè)長(zhǎng)期有效的資產(chǎn)管理平臺(tái)，由各業(yè)務(wù)線負(fù)責(zé)人對(duì)資產(chǎn)進(jìn)行定期更改（其中包括業(yè)務(wù)線、ip、域名、端口、web服務(wù)器以及數(shù)據(jù)庫(kù)服務(wù)器等相關(guān)的資產(chǎn)信息），安全人員統(tǒng)一管理平臺(tái)，發(fā)現(xiàn)安全事件，通過(guò)資產(chǎn)管理平臺(tái)第一時(shí)間定位到相關(guān)負(fù)責(zé)人。2.3、事前預(yù)防：外包項(xiàng)目風(fēng)險(xiǎn)評(píng)估，安全人員定期對(duì)資產(chǎn)管理平臺(tái)同業(yè)務(wù)線相關(guān)負(fù)責(zé)人進(jìn)行審核，審核是否有資產(chǎn)不對(duì)應(yīng)或更新不及時(shí)。2.4、考核外包商基本情況和戰(zhàn)略，是否具有持久發(fā)展?jié)摿?。檢測(cè)外包商的硬件情況、整體組織結(jié)構(gòu)、關(guān)聯(lián)公司、市場(chǎng)占有率、以及產(chǎn)品安全性、研發(fā)以及運(yùn)維技術(shù)團(tuán)隊(duì)實(shí)力、重點(diǎn)關(guān)注外包商的安全團(tuán)隊(duì)實(shí)力以及安全管理制度等。3安全測(cè)試3.1、安全技術(shù)人員季度性對(duì)內(nèi)部資產(chǎn)進(jìn)行滲透測(cè)試檢測(cè)，發(fā)現(xiàn)問(wèn)題并上報(bào)問(wèn)題。3.2、針對(duì)第三方外包業(yè)務(wù)，企業(yè)安全負(fù)責(zé)人應(yīng)安排技術(shù)人員進(jìn)行抽查式測(cè)試，發(fā)現(xiàn)問(wèn)題并及時(shí)上班。3.3、針對(duì)第三方外包業(yè)務(wù)，新上線項(xiàng)目，在經(jīng)過(guò)第三方安全技術(shù)人員測(cè)試后，需出示相關(guān)安全檢測(cè)、滲透測(cè)試報(bào)告，并由企業(yè)安全負(fù)責(zé)人安排技術(shù)人員進(jìn)行安全測(cè)試，檢測(cè)外包方安全檢測(cè)是否全面，是否還存在安全問(wèn)題，發(fā)現(xiàn)問(wèn)題并上報(bào)問(wèn)題。Oday跟蹤與處置由企業(yè)安全技術(shù)人員對(duì)最新爆出來(lái)的0day事件，進(jìn)行跟蹤，分析是否影響企業(yè)應(yīng)該安全，并與網(wǎng)絡(luò)、運(yùn)維商定最快處置方案，在不影響業(yè)務(wù)情況下對(duì)系統(tǒng)進(jìn)行打補(bǔ)丁或升級(jí)處置。企業(yè)內(nèi)網(wǎng)安全5.1、安全域：網(wǎng)絡(luò)安全域是指同一系統(tǒng)內(nèi)有相同的安全保護(hù)需求、相互信任、并具有相同的安全訪問(wèn)控制和邊界控制策略的子網(wǎng)或網(wǎng)絡(luò)，相同的網(wǎng)絡(luò)安全域共享一樣的安全策略。廣義的安全域是指具有相同業(yè)務(wù)要求和安全要求的IT系統(tǒng)要素的集合。安全域的劃分是一個(gè)非常重要的工作，企業(yè)按自己的實(shí)際情況劃分不同的安全域同時(shí)還需要指定各安全域的安全策略并加以實(shí)現(xiàn)。5.2、終端安全：終端安全涉及資產(chǎn)管理、補(bǔ)丁管理、終端準(zhǔn)入、防病毒、外設(shè)管控、上網(wǎng)行為管理等內(nèi)容。辦公終端電腦設(shè)置網(wǎng)絡(luò)隔離，在該網(wǎng)段可以部署蜜罐，在感染病毒木馬的情況下，可有效提升發(fā)現(xiàn)速度，對(duì)進(jìn)出該網(wǎng)段的流量進(jìn)行監(jiān)控，入站郵件內(nèi)容進(jìn)行更多層的分析。5.3、重點(diǎn)關(guān)注安全：活動(dòng)目錄、郵件系統(tǒng)、VPN、堡壘機(jī)。5.4、蜜罐體系建設(shè)：除了依靠各種安全配置基線、部署防御設(shè)備直面安全問(wèn)題外，在內(nèi)網(wǎng)可以使用欺騙技術(shù)來(lái)發(fā)現(xiàn)可以行為，蜜罐。蜜罐技術(shù)本質(zhì)上是一種對(duì)攻擊方進(jìn)行欺騙的技術(shù)，通過(guò)布置一些作為誘餌的主機(jī)、網(wǎng)絡(luò)服務(wù)或者信息，誘使攻擊方對(duì)他們實(shí)施攻擊，從而可以對(duì)攻擊行為進(jìn)行捕獲和分析。6基礎(chǔ)運(yùn)維方面6.1、加強(qiáng)設(shè)備管理，梳理資產(chǎn)信息，嚴(yán)格核對(duì)CMDB中信息，將密碼變更列入季度安全運(yùn)維工作，對(duì)不在用的策略、服務(wù)器進(jìn)行清理線下，將繼續(xù)使用的設(shè)備進(jìn)行資產(chǎn)審核，確認(rèn)資產(chǎn)信息準(zhǔn)確性。6.2、嚴(yán)格杜絕系統(tǒng)弱口令，加強(qiáng)口令強(qiáng)度設(shè)置；需要用戶注冊(cè)功能的，要對(duì)注冊(cè)用戶加以限制，要對(duì)上傳文件格式限制；加強(qiáng)信息系統(tǒng)及用戶賬號(hào)的管理，定期查看使用情況，確認(rèn)不用的系統(tǒng)、用戶賬號(hào)及時(shí)進(jìn)行關(guān)停處理。6.3、需要對(duì)防火墻策略申請(qǐng)、端口映射申請(qǐng)進(jìn)行周期性梳理，刪除無(wú)效、無(wú)用策略，防止內(nèi)部服務(wù)被誤開放到互聯(lián)網(wǎng)平臺(tái)。6.4、嚴(yán)格控制運(yùn)維、研發(fā)、測(cè)試等技術(shù)型人員在服務(wù)器上明文存儲(chǔ)備份賬號(hào)密碼，隨意開放查看權(quán)限，對(duì)離職員工賬號(hào)密碼進(jìn)行嚴(yán)格審查，刪除，關(guān)閉。6.5、端口管控，即在防火墻上嚴(yán)格限制對(duì)外開放的端口，原則上DMZ服務(wù)器只允許對(duì)外開放80和443，而且DMZ服務(wù)器不允許主動(dòng)訪問(wèn)外部。6.6、端口管控工作是基礎(chǔ)，做好端口管控后，重點(diǎn)放在web安全上。web應(yīng)用防火墻：針對(duì)常規(guī)掃描行為，web應(yīng)用防火墻基本上可以直接攔截。入侵檢測(cè)/防御系統(tǒng)：對(duì)WAF后端的流量進(jìn)行分析，發(fā)現(xiàn)惡意行為。漏洞掃描和滲透測(cè)試：針對(duì)企業(yè)應(yīng)用季度性的安全檢測(cè)，同上面提到的2.3安全檢測(cè)。7安全防護(hù)方面7.1、加強(qiáng)公司網(wǎng)絡(luò)邊界防護(hù)，更新升級(jí)防火墻、防毒墻等安全設(shè)備，做好外部入侵防護(hù)控制。7.2、加強(qiáng)網(wǎng)絡(luò)安全設(shè)備如VPN、堡壘機(jī)等權(quán)限管理，對(duì)人員進(jìn)行基于角色劃分管理權(quán)限。7.3、對(duì)各平臺(tái)網(wǎng)絡(luò)嚴(yán)格按照等級(jí)保護(hù)要求進(jìn)行區(qū)域區(qū)分，加強(qiáng)信息系統(tǒng)安全防護(hù)和管理。7.4、對(duì)數(shù)據(jù)安全加強(qiáng)防護(hù)，防止未授權(quán)訪問(wèn)敏感數(shù)據(jù)，防止技術(shù)和業(yè)務(wù)人員對(duì)數(shù)據(jù)誤操作或惡意操作導(dǎo)致數(shù)據(jù)泄露。8安全監(jiān)測(cè)方面8.1、充分利用安全設(shè)備及監(jiān)控平臺(tái)進(jìn)行監(jiān)控。分析安全設(shè)備的日志，對(duì)應(yīng)用系統(tǒng)的運(yùn)行狀態(tài)、資源占用率等情況進(jìn)行查看，及時(shí)發(fā)現(xiàn)和應(yīng)對(duì)攻擊行為，根據(jù)記錄的入侵源IP、攻擊類型、攻擊訪問(wèn)等特征進(jìn)行關(guān)聯(lián)分析。8.2、增加安全預(yù)警手段。推進(jìn)公司預(yù)警監(jiān)測(cè)和態(tài)勢(shì)感知能力，加強(qiáng)主機(jī)端安全監(jiān)控能力，將安全設(shè)備及系統(tǒng)逐步進(jìn)行整合。8.3、蜜罐體系建設(shè)：除了依靠各種安全配置基線、部署防御設(shè)備直面安全問(wèn)題外，在內(nèi)網(wǎng)可以使用欺騙技術(shù)來(lái)發(fā)現(xiàn)可以行為，蜜罐。蜜罐技術(shù)本質(zhì)上是一種對(duì)攻擊方進(jìn)行欺騙的技術(shù)，通過(guò)布置一些作為誘餌的主機(jī)、網(wǎng)絡(luò)服務(wù)或者信息，誘使攻擊方對(duì)他們實(shí)施攻擊，從而可以對(duì)攻擊行為進(jìn)行捕獲和分析。8.3.1核心系統(tǒng)安全應(yīng)當(dāng)警惕從合作機(jī)構(gòu)或內(nèi)部IP發(fā)送的可疑請(qǐng)求，如有發(fā)現(xiàn)內(nèi)網(wǎng)主機(jī)存在掃描或登錄失敗次數(shù)過(guò)多等可疑行為且確認(rèn)非內(nèi)部測(cè)試的