护网总结
背景及概述
201X年X月X日-201X年X月X日，XX发起了针对关键信息基础设施进行攻防演练的HW工作。
XXXX平台作为防守方，成功防御了XX的攻击，没有被攻破，同时发现并处理了XXXX，经XX确认，得分X分。
平台按照XX和XX的统一部署，重预警、早排查，演练期间，加强安全专项巡检，做好相关汇报工作，
对发现的安全问题及时整改，按照组织要求认真做好各阶段工作，顺利完成了防守任务，提升了XX平台的网络应急安全应急处置与协调能力，提升了XX平台安全防护水平。

一、前期准备
1、成立XX平台HW201X工作专项小组，并由公司负责人牵头，各部门协力配合，做到了分工明确，责任具体到人；
同时完善相关安全制度优化完成《XXXX平台应急处置方案》和《XX平台防守组工作方案》，保障HW工作正常有序开展。
2、开展运维自检自查工作以及第三方协查工作。通过资产梳理工作，对XX平台网络策略优化xx项，修复高危安全漏洞xx余项，
其中自主发现高危安全漏洞xx项，XX协助发现高危漏洞x个，包含在自主发现漏洞中，已做到对高危漏洞清零，检测发现并修复平台弱口令xx项。
3、组织防护工作演练，编写《xxXX平台工作部署》方案，对HW期间工作进行紧密部署，加强完善平台安全巡检，增强团队协作能力。
4、组织协调第三方能力，在此期间对物理机房、云服务商监测加强监控、检测要求，XX协助提供x云安全监测服务，
并配置入侵检测系统，同时安全部对公司内部进行安全意识宣贯，降低被钓鱼攻击风险。

二、组织实施
（一）加强组织协调
在公司内部设置专项防守场地，安排XX平台各部门负责人、核心部门驻场值守。安排专人进行对接，随时与防守团队保持联络，
通过电话会议每日协商，汇总当日所发生的安全事件，针对安全事件进行应急响应和处置。

（二）安排重点值守
各部门各司其职，加强防守整改。其中XX部整体把握XX防守情况，负责与总体防守组的沟通联系，负责信息对接，保持随时联络，
提交防守成果。XX部负责对网络安全策略进行梳理，删除无效策略；XX部负责对主机系统安全基线进行检查落地，修复主机漏洞，对中间件平台进行升级；XX梳理数据库相应安全权限，对权限进行严格控制；
XX部负责对代码层安全漏洞进行修复，并对后台管理进行安全防护；XX部负责撰写整体《安全应急相应方案》以及《HW工作安排部署方案》，加强安全监测预警、安全防护和应急处置能力。

（三）开展防守工作
攻防实施阶段
1、严格落实值班制度。平台加强了每日巡检力度，从巡检次数从每日二次调整为每日三次，同时安排专人负责安全巡检，对巡检项进行详细记录，
并于每日下午X点前上报；并安排专人在部机关值守，确保信息沟通顺畅。
2、认真落实报告制度。安排专人到XX负责联络工作X周，并每日于X点、X点进行工作汇报总结，对攻击手段、封禁IP地址，账号爆破情况进行梳理归纳，
发现攻击问题第一时间上报总体防守组。编制X份防守成果报告，经演戏指挥部确认，得分XX分。
3、全面做好检测预警工作。平台对WAF、IDS、以及邮箱、VPN等账户，系统状态、网络状态等进行全方位监控，共发现账户破解、扫描、命令执行、SQL注入等攻击数百次，
对异常IP进行及时封禁，共计封禁IPXX余个，未发现攻击成功现象。
4、加强监控应急处理能力。在平台发现被爆破的账号后，并在第一时间对问题账户进行删除操作；发现并删除恶意木马文件XX个，并阻止该恶意程序运行，上报防守成果，
同时优化平台相关服务，关闭木马上传路径。
5、攻防实施阶段XX平台共检测到恶意扫描攻击XX次，平台封禁恶意IP地址XX余个，公司邮箱账户被尝试爆破XX余个，均未成功，
XX平台业务账户被尝试暴力破解XX个，成功X个，VPN账号被尝试暴力破解X个，未成功，发现XXXXXXXX公司官网网站有异常IP入侵，发现XX平台、XX平台有异常IP入侵，
采取封禁IP措施，对XX平台网站应用系统弱口令问题进行整改。

三、威胁汇总及整改情况
演习结束后，根据XX与XX相关要求，对攻防演习工作中发现的问题成果进行梳理，共有X项其中XX平台安全隐患X项，非XX平台安全隐患共X项，通知相关部门进行整改，已经完全整改完毕。

（一）XX平台威胁整改情况
本次参演的XX平台共被发现X处安全隐患，存在XX问题，目前已全部修复。

（二）非目标系，统威胁整改情况
本次演习攻击方对演习目标所属公司系统进行了攻击渗透，共发现威胁X个。截止目前，已完成所有问题整改、漏洞修复。

四、存在问题
（一）XX平台系统此次攻防演习过程中，存在以下问题
1、基础运维存在薄弱环节…
2、系统存在弱口令问题…

（二）公司存在的问题
公司的其他信息系统不在本次攻防演习范围内，故本次演习前准备阶段未对XXX平台、XXX平台进行风险隐患排查和整改加固。
经分析，攻击方主要是通过三种途径开展渗透攻击：
一是利用系统已知漏洞，获得系统服务器权限，对内网开展渗透共计；
二是利用用户弱口令漏洞，获取网络及信息系统关键信息；
三是通过SQL注入、文件上传漏洞等攻击方式，对目标系统开展攻击，获取系统权。根据上述攻击方式，反映出公司存在的问题有：
xxxxxxx…

五、整改计划
针对XX平台存在的问题，我司将进一步提高认识，加强人员往来安全意识教育，组织信息安全培训，不断提高全员安全意识。
针对上述存在的安全问题整改完成后，举一反三，查找存在类似安全隐患并整改，不断完善网络及信息系统的网络架构规划及制度管理。主要措施如下：

（一）基础运维方面
1、加强设备管理，梳理资产信息，严格核对CMDB中信息，将密码变更列入季度安全运维工作，对不在用的策略、服务器进行清理线下，将继续使用的设备进行资产审核，确认资产信息准确性。
2、严格杜绝系统弱口令，加强口令强度设置；需要用户注册功能的，要对注册用户加以限制，要对上传文件格式限制；
加强信息系统及用户账号的管理，定期查看使用情况，确认不用的系统、用户账号及时进行关停处理。
3、需要对防火墙策略申请、端口映射申请进行周期性梳理，删除无效、无用策略，防止内部服务被误开放到互联网平台。
4、严格控制运维、研发、测试等技术型人员在服务器上明文存储备份账号密码，随意开放查看权限，对离职员工账号密码进行严格审查，删除，关闭。

（二）安全防护方面
1、加强公司网络边界防护，更新升级防火墙、防毒墙等安全设备，做好外部入侵防护控制。
2、加强网络安全设备如VPN、堡垒机等权限管理，对人员进行基于角色划分管理权限。
3、对各平台网络严格按照等级保护要求进行区域区分，加强信息系统安全防护和管理。
4、对数据安全加强防护，防止未授权访问敏感数据，防止技术和业务人员对数据误操作或恶意操作导致数据泄露。

（三）安全监测方面
1、充分利用安全设备及监控平台进行监控。分析安全设备的日志，对应用系统的运行状态、资源占用率等情况进行查看，
及时发现和应对攻击行为，根据记录的入侵源IP、攻击类型、攻击访问等特征进行关联分析。
2、增加安全预警手段。推进公司预警监测和态势感知能力，加强主机端安全监控能力，将安全设备及系统逐步进行整合。

（四）应急处置方面
1、建立健全安全预防和预警机制。加强信息网络系统和设备的安全防护工作，加强信息网络日常运行状况的检测分析，
对外部和内部可能对信息网络产生重大影响的事件进行预警，保障信息网络安全畅通。
2、加强应急处置和演练。发生突发性事件时，启动应急预案，根据事件级别，根据《XXXXXXXXXX平台应急相应预案》
采取相应处置措施，确保网络通畅，业务连续性以及信息安全。有计划、有重点的组织技术人员针对不同情况对预案进行演练，对预案中存在的问题和不足及时补充、完善。

六、总结
我司计划将进一步推进网络安全和信息化工作，进一步用好攻防演练成果，在XX的指导下，提升态势感知和应急处置能力，
提高关键信息基础设施防护水平，不断完善网络安全工作体制机制，构建与信息化工作相适应的网络安全保障体系，有力维护XX平台业务及数据安全。