HW工作内容和操作建议

操作建议：

1.流量采集是否完善（覆盖核心网络、DMZ及攻击路径）；

2.安全设备、网络设备、主机日志采集情况；协调网络管理员、系统管理员配合安全厂商对网络流量采集和各种日志传输情况进行价差；验证安全运营运行的有效性；

3.安全事件、风险主机的处置情况应予闭环。

2.统一日志管理

操作建议：

1.应对重要系统日志设置情况做梳理并开启日志，有条件时应建立一套独立的日志分析系统和存储机制，正式攻防时可派专人对目标系统日志和中间件日志每日进行恶意行为监控分析。

2.提示：日志信息是帮助分析攻击行为的一种有效手段，攻击者攻击成功后，打扫战场的首要任务就是删除 日志，或者切断主机的日志外发，防止防守者追踪；

3.安全设备策略检查

操作建议：

1.防火墙、VPN、暴力及等安全设备的安全策略：自身安全策略开启、规则库更新，授权是否到期、设备的安全补丁是否打齐、账号安全；建议限定对设备的可管理地址；可要求设备厂商进行协查；

2.如果有深信服设备，确认AF、SIP是否升级到护网版本；

3.报警策略是否开启；有无指定合适的接收人员；

4.检查自动阻断策略、联动封锁策略是否开启；评估对可用性有无影响；

5.在扫描、渗透、演习阶段可验证设备策略是否有效。

4.预演习，准备工作闭环

操作建议：

1.HW安全意识宣导，包括通知、培训、海报张贴、屏保宣传等；

2.现场模拟预演习，按照工作内容和职责，使用相应工作模板开展相关工作；由攻击队进行攻击，现场防守方进行检测、分析、处置；

3.使用资产及漏洞扫描工具，对防守范围（公网、DMZ、服务器）做全网段漏洞扫描，确认漏洞整改有无遗漏；

4.根据预演习过程暴露的问题，进行改进，依照前27条，重新闭环；

5.本项工作的人力投入较重，具体开展方式、范围、深度取决于项目预算及双方约定，PM应做评估合理安排；

6.本项工作应上传交付物附件！包括所有高危漏洞、高风险项的关闭结果；最后一次暴露面梳理及漏洞扫描结果等；同时说明HW准备工作是否已全部完成，如未完成在护网中阶段应继续。

原文始发于微信公众号（菜鸟小新）：HW工作内容和操作建议