企业安全之做好这三点，护网没在怕！

护网就像期末考试一样，平时没怎么上心的学生，考试最怕挂科。学生时代，考前会恳求老师划重点，临时抱佛脚，好在考试中及格。临近护网，做好这三点，能够让我们顺利度过护网，取得好成绩。

考前一周

从接到护网通知，到护网开始，一般会有一周的时间，可以给护网的同学们做准备。这一周是临时抱佛脚的时间，学霸们可能没这样的经历，对于“学渣”来说，考前复习，没时间一点一点看知识点，主要根据考试内容做准备。护网前期一周，怎么开始“复习”呢？“学渣”们赶快看过来。

互联网资产发现 往年护网经验来看，很多被打穿的单位，不是通过门户网站等主要系统进来的，而是通过攻击平时不怎么关注的边缘系统，第三方外联系统，一步一步渗透进单位核心服务器，所以，梳理清楚资产，是考前准备的第一步。

笔者这些年服务的甲方单位，很多不能拿出一份本单位完整的资产列表，各部门独立运营自己的系统，根据需要开放域名和端口，安全部门很难对暴露在互联网的资产进行控制，手上只有使用较多的资产信息。

资产发现步骤：

1、根据一级域名发现所有子域名，可以采取搜索引擎探测，site:xxx.com ，暴力破解等方式。

2、根据子域名 DNS 解析记录查找 IP

3、针对子域名和 IP 做端口探测

4、针对 IP 做域名反查，备选，很难保证准确性。

网络安全风险排查

我这里对网络拓扑、主机、应用配置需要注意的部分“划了重点”，单位可以对照进行排查：

1、护网目标系统是否与单位其他网段网络隔离。

2、服务器、网络设备、安全设备运维方式确认，是否为堡垒机，如果直接运维，建议护网期间，只允许运维人员网络访问 SSH、RDP 等。

3、核心系统安全策略确认，建议护网期间配置更严格的 ACL 策略。

4、终端杀毒软件保证护网前期和护网期间每天进行病毒查杀。

5、口令安全，网络设备、安全设备口令设置为强口令，不能统一口令，业务系统是否对外部用户开启注册。若提供外部用户注册，是否对外部用户注册时口令复杂度及长度进行强制要求。是否有密码找回功能。

6、应用系统后台地址暴露情况，是否对公网暴露。

7、网站上传目录是否有运行权限。

8、VPN、服务器账号是否有长期不用的测试账号、临时账号等。

9、监控设备如流量分析、态势感知设备流量接入是否全部覆盖单位互联网网络，尤其容易疏忽的是第三方接入流量。

10、安全设备如 WAF、IPS 可以根据网络情况，安全策略级别调高，如访问频率阀值，封堵时间等。

11、前期发现的漏洞，高危利用难度低的漏洞优先修复。

风险排查 PDCA： 此处该有一图……

**护网期间工作计划

最后需要对护网期间的工作做好计划安排，组织架构，威胁上报流程，应急处置预案，护网环境确认等。

组织架构：可以分为领导小组，监控小组，分析小组，处置小组，应急小组，报告编写小组，根据护网团队规模分组，规模较小的单位，部分小组可以合并为一个，比如监控和分析。

威胁上报流程：单位安全部门需要与运维、应用、网络部门做好沟通，发现威胁后的处置流程，配合部门也要派出相应的人员值守，专职负责支撑护网。小编以及小编小伙伴们护网的几家单位，护网期间大部分工作都是监控攻击，然后封堵 IP。

应急处置预案：拟定护网期间的不同场景，编写应急处置预案，与各支撑部分进行确认。

护网环境确认：护网值守人员工作场所，监控设备登录方式，堡垒机账号，各支撑部门沟通方式等。

考前一天

内部演练 经过一周的抱佛脚，“学渣”们上考场前，已经提升了不少信心。在护网前一天，可以来一次内部演练，磨合一下流程。

内部演练主要的目的是为了验证攻击方的流量都能够监控到，以及应急处置流程的顺利实施：

安排红队攻击方，对单位网络模拟攻击，攻击范围要覆盖单位全部系统（可以根据前期资产发现结果），攻击方式也要多样化，力求模拟攻击方几乎所有类型的攻击手段，包括 web 渗透、暴力破解、内网渗透、钓鱼邮件等。监控小组需要确认，不同系统不同攻击方式，是否全部监控到，如果有遗漏，需要及时调整。

模拟应急处置流程，监控小组发现攻击后，提交给应急处置小组，开展应急处置工作，如封堵攻击 IP，通知收到钓鱼邮件的员工，隔离内网被控制的主机等。

复盘总结，内部演练后，总结演练过程中发现的问题，保证护网开始后，一切按照计划开展。

安全意识宣讲 护网期间，攻击方的目标不仅仅是业务系统，也包括普通员工的电脑，如钓鱼邮件、钓鱼网页、社会工程学之类，需要对全单位进行安全意识宣讲，这里小编拟了几个需要注意的场景：

1、长时间使用叫号机器、ATM 等单位信息系统，不做业务办理情况。（银行单位）

2、无证件或者无证明文件的外部人员要求进机房、办公区等。

3、自称是打印机、办公电脑维护的 IT 人员，需要在办公电脑操作或者插 U 盘。

4、之前没连接过的 WiFi，WiFi 名称一般为某某餐饮或门店，突然出现在 WiFi 列表中。

5、收到异常邮件，邮件中含有异常链接、附件等。

护网开始

准备了那么久，终于到了考试的日子啦，放轻松心态，吃点清淡有营养易消化的早餐，元气满满的走进考场。

护网开始后，按照原定计划开展监控、处置、应急工作。防守比攻击被动，不清楚什么时候攻击方开始攻击自己，只能 7*24 小时盯着监控平台。这里笔者分享一些“考试技巧”：

1、长时间使用叫号机器、ATM 等单位信息系统，不做业务办理情况。（银行单位）

2、无证件或者无证明文件的外部人员要求进机房、办公区等。

3、自称是打印机、办公电脑维护的 IT 人员，需要在办公电脑操作或者插 U 盘。

4、之前没连接过的 WiFi，WiFi 名称一般为某某餐饮或门店，突然出现在 WiFi 列表中。

5、收到异常邮件，邮件中含有异常链接、附件等。

有人说，没参加过护网的安全从业人员，和没参加过高考的学生一样，是终身的遗憾。最后预祝各位护网的小伙伴，享受护网过程，尊重护网结果，开心安全工作每一天。