网络安全防护技战法报告

网络安全防护技战法报告

一、防守技战法概述

为了顺利完成本次护网行动任务，切实加强网络安全防护能力，XXXX设立HW2019领导组和工作组，工作组下设技术组和协调组。护网工作组由各部门及各二级单位信息化负责人组成，由股份公司副总裁担任护网工作组的组长。

为提高护网工作组人员的安全防护能力，对不同重要系统进行分等级安全防护，从互联网至目标系统，依次设置如下三道安全防线：

第一道防线：集团总部互联网边界防护、二级单位企业互联网边界防护。

第二道防线：广域网边界防护、DMZ区边界防护。

第三道防线：目标系统安全域边界防护、VPN。

根据三道防线现状，梳理出主要防护内容，包括但不限于：梳理对外发布的互联网应用系统,设备和安全措施，明确相关责任人，梳理网络结构，重要的或需要重点保护的信息系统、应用系统与各服务器之间的拓扑结构，网络安全设备及网络防护情况， SSLVPN和IPSECVPN接入情况。集团广域网、集团专线边界，加强各单位集团广域网、集团专线边界防护措施，无线网边界，加强对无线WIFI、蓝牙等无线通信方式的管控，关闭不具备安全条件及不必要开启的无线功能。

结合信息化资产梳理结果，攻防演习行动安全保障小组对集团信息化资产及重点下属单位的网络安全状况进行安全风险评估和排查，确认薄弱环节以便进行整改加固。

二、 防守技战法详情

2.1 第一道防线--互联网边界及二级单位防护技战法

……此处隐藏5247个字……测与预警通报平台，即可对互联网业务进行统一监测，统一预警。云端专家7*24小时值守，一旦发现篡改、漏洞等常规安全事件，即可实时进行处置。对于webshell、后门等高阶事件，可以及时升级到技术分析组进行研判，一旦确认，将会实时转交应急响应组进行处置。

监测与相应组成员实时监控安全检测类设备安全告警日志，并根据攻击者特征分析入侵事件，记录事件信息，填写文件并按照流程上报。

若同一来源IP地址触发多条告警，若触发告警时间较短，判断可能为扫描行为，若告警事件的协议摘要中存在部分探测验证payload，则确认为漏洞扫描行为，若协议摘要中出现具有攻击性的payload，则确认为利用漏洞执行恶意代码。

若告警事件为服务认证错误，且错误次数较多，认证错误间隔较小，且IP地址为同一IP地址，则判断为暴力破解事件；若错误次数较少，但超出正常认证错误频率，则判断为攻击者手工尝试弱口令。

2.4.2 应急处置

应急处置组对真实入侵行为及时响应，并开展阻断工作，协助排查服务器上的木马程序，分析攻击者入侵途径并溯源。

安全事件的处置步骤如下：

(1)根据攻击者入侵痕迹及告警详情，判断攻击者的入侵途径。

(2)排查服务器上是否留下后门，若存在后门，在相关责任人的陪同下清理后门。

(3)分析攻击者入侵之后在服务器上的详细操作，并根据相应的安全事件应急处置措施及操作手册展开应对措施。

(4)根据排查过程中的信息进行溯源。

(5)梳理应急处置过程，输出安全建议。

2.4.3 事件上报

对发现确认的入侵事件，一经确认，快速编写事件报告，上报给公安部。