下载地址在文末，资料定期更新

一、保密要求 

禁止泄露任何与用户相关的信息、数据、文档等内容；

禁止将客户信息化系统账号、密码、敏感信息粘贴到物理 办公位置任何地方；

严格遵守和执行和客户签订的保密协议内容，对于其中的 禁止事项必须严格执行。

二、网络传播 

1. 禁止私自在社交平台、微信朋友圈发布传播客户任何 HW 相关信息、客户资料等内容；

2. 禁止将客户系统设计文档、网络拓扑、网站或系统代码等 文件传播到互联网；

3. 禁止在互联网上的外部网站或应用（如论坛、微博、即时 通信软件等）上使用与客户公司设备、系统上相同的账号或口 令；

4. 禁止通过云盘（包括天翼云盘、百度云、360 云盘等）、 社交软件（包括微信、QQ、易信）等方式进行企业敏感信息的 共享、存储。

三、个人终端 

禁止将个人终端账号与口令告知他人和设置终端弱口令；

禁止离开工位不锁屏；

禁止个人终端裸奔现象（未安装杀毒软件或杀毒软件病毒 库未更新），个人终端基线需要进行自我检查和安全加固，避免 被攻击；

禁止个人终端设备存放客户任何口令类电子文件、网络拓 扑、系统源码等敏感文件；

禁止点击来路不明邮件中的链接或打开附件（邮件附件内 容不是常见的文件格式，如后缀名是 exe、 htm、html、chm、 txt，vba、vbs，bat，7z 等的邮件）；

禁止开启远程协助类工具，包括但不限于 Windows 远程 桌面功能、QQ 远程协助工具、TeamViewer、VNC 等；

禁止访问可疑网站网址域名不是以（.com、.cn、 com.cn、.net、.net.cn、.org ）的网站及浏览器反馈访问网站有 证书错误、域名过长、域名不是由明显汉语拼音或英文单词组 成的网站等；

禁止使用非工作邮箱代收工作邮件；

禁止将个人终端同时跨接内外网；

禁止在个人终端上搭建无线热点；

下班离开办公室前关闭终端计算机。

四、值守要求 

1. HW期间禁止擅离职守，全员必须 7*24 小时开机，并保持通讯畅通；

2. HW期间禁止隐瞒和恶意利用已发现的木马程序和漏洞，发现问题随时上报；

3. HW值守期间禁止开展与HW无关的任何工作；

4. HW值守期间禁止在客户现场拍摄现场照片，包括“指挥 部”、“HW”字样的条幅、铭牌、办公室环境等；

5. HW值守期间禁止向公司内部攻击队成员或其他攻击队成 员打探当前防守客户的成绩，不允许向客户承诺“可以打探成 绩”。

五、关键操作行为

1. 禁止任何形式的未授权的扫描探测、漏洞验证、渗透测试 行为；

2. 重要操作必须上报项目经理或用户同意后，方可执行。如 使用一个漏洞验证语句或任何安全工具等；

3. 禁止在办公网络及其他内网中搭建无线热点；

4. 禁止未经审批开放内部系统的互联网出口；

5. 禁止来路不明的人员远程控制公司内各类设备或执行其告 知的各项指令；

6. 禁止手机连入客户内部网络并点击任何不明链接；

7. 禁止未经授权和安全检查直接向客户信息化系统设备私自 插入移动设备；

8. 禁止在用户各类信息化系统上传木马后门程序；

9. 禁止在具有投放屏幕的电脑上进行敏感业务操作；

10. 禁止使用和下载任何来历不明的安全工具、软件等。

资产发现步骤：

1、根据一级域名发现所有子域名，可以采取搜索引擎探测，site:xxx.com，暴力破解等方式。

2、根据子域名DNS解析记录查找IP

3、针对子域名和IP做端口探测

4、针对IP做域名反查，备选，很难保证准确性。

网络安全风险排查

小编这里对网络拓扑、主机、应用配置需要注意的部分“划了重点”，单位可以对照进行排查：

1、HW目标系统是否与单位其他网段网络隔离。

2、服务器、网络设备、安全设备运维方式确认，是否为堡垒机，如果直接运维，建议HW期间，只允许运维人员网络访问SSH、RDP等。

3、核心系统安全策略确认，建议HW期间配置更严格的ACL策略。

4、终端杀毒软件保证HW前期和HW期间每天进行病毒查杀。

5、口令安全，网络设备、安全设备口令设置为强口令，不能统一口令，业务系统是否对外部用户开启注册。若提供外部用户注册，是否对外部用户注册时口令复杂度及长度进行强制要求。是否有密码找回功能。

6、应用系统后台地址暴露情况，是否对公网暴露。

7、网站上传目录是否有运行权限。

8、VPN、服务器账号是否有长期不用的测试账号、临时账号等。

9、监控设备如流量分析、态势感知设备流量接入是否全部覆盖单位互联网网络，尤其容易疏忽的是第三方接入流量。

10、安全设备如WAF、IPS可以根据网络情况，安全策略级别调高，如访问频率阀值，封堵时间等。

11、前期发现的漏洞，高危利用难度低的漏洞优先修复。

风险排查PDCA

HW期间工作计划

最后需要对HW期间的工作做好计划安排，组织架构，威胁上报流程，应急处置预案，HW环境确认等。

组织架构：可以分为领导小组，监控小组，分析小组，处置小组，应急小组，报告编写小组，根据HW团队规模分组，规模较小的单位，部分小组可以合并为一个，比如监控和分析。

威胁上报流程：单位安全部门需要与运维、应用、网络部门做好沟通，发现威胁后的处置流程，配合部门也要派出相应的人员值守，专职负责支撑HW。小编以及小编小伙伴们HW的几家单位，HW期间大部分工作都是监控攻击，然后封堵IP。

应急处置预案：拟定HW期间的不同场景，编写应急处置预案，与各支撑部分进行确认。

HW环境确认：HW值守人员工作场所，监控设备登录方式，堡垒机账号，各支撑部门沟通方式等。

考前一天

内部演练

经过一周的抱佛脚，“学渣”们上考场前，已经提升了不少信心。在HW前一天，可以来一次内部演练，磨合一下流程。

内部演练主要的目的是为了验证攻击方的流量都能够监控到，以及应急处置流程的顺利实施：

安排红队攻击方，对单位网络模拟攻击，攻击范围要覆盖单位全部系统（可以根据前期资产发现结果），攻击方式也要多样化，力求模拟攻击方几乎所有类型的攻击手段，包括web渗透、暴力破解、内网渗透、钓鱼邮件等。监控小组需要确认，不同系统不同攻击方式，是否全部监控到，如果有遗漏，需要及时调整。

模拟应急处置流程，监控小组发现攻击后，提交给应急处置小组，开展应急处置工作，如封堵攻击IP，通知收到钓鱼邮件的员工，隔离内网被控制的主机等。

复盘总结，内部演练后，总结演练过程中发现的问题，保证HW开始后，一切按照计划开展。

安全意识宣讲

HW期间，攻击方的目标不仅仅是业务系统，也包括普通员工的电脑，如钓鱼邮件、钓鱼网页、社会工程学之类，需要对全单位进行安全意识宣讲，这里小编拟了几个需要注意的场景：

1、长时间使用叫号机器、ATM等单位信息系统，不做业务办理情况。（银行单位）

2、无证件或者无证明文件的外部人员要求进机房、办公区等。

3、自称是打印机、办公电脑维护的IT人员，需要在办公电脑操作或者插U盘。

4、之前没连接过的WiFi，WiFi名称一般为某某餐饮或门店，突然出现在WiFi列表中。

5、收到异常邮件，邮件中含有异常链接、附件等。

HW开始

准备了那么久，终于到了考试的日子啦，放轻松心态，吃点清淡有营养易消化的早餐，元气满满的走进考场。

HW开始后，按照原定计划开展监控、处置、应急工作。防守比攻击被动，不清楚什么时候攻击方开始攻击自己，只能7*24小时盯着监控平台。这里笔者分享一些“考试技巧”：

1、长时间使用叫号机器、ATM等单位信息系统，不做业务办理情况。（银行单位）

2、无证件或者无证明文件的外部人员要求进机房、办公区等。

3、自称是打印机、办公电脑维护的IT人员，需要在办公电脑操作或者插U盘。

4、之前没连接过的WiFi，WiFi名称一般为某某餐饮或门店，突然出现在WiFi列表中。

5、收到异常邮件，邮件中含有异常链接、附件等。

转载于:https://www.cnblogs.com/Security-X/p/11245237.html

星球是免费的，某些蹭热度的喷子请自重！

HW期间欢迎大家交流经验以及提出问题！我也会和大家多讨论讨论

1933份网络安全资料，申请加入请介绍自己及来意，否则认为广告不予通过。份网络安全

部分HW资料预览:

HW行动专项应急演练方案.pdf

企业做好这些，不怕HW.txt

HW总结模板.txt

2019年HW行动必备防御手册(V1).pdf

HW2019工作方案介绍及配套工作文档.zip

秘密···················