可终于结束了，得了个空写个模板，方便自己记录下，也分享给各位参考下，如有建议可以私聊我修改。

甲方、乙方都可以参考，乙方需自行删除甲方视角部分

第一部分 汇报防守工作

内容组成：时间，事件背景，发起单位，发起原因。我方作为防守侧，需要开展的工作。最后描述工作成果与最终结果。

例：XX年XX月，XX方发起了XX行动，我方作为防守单位参与演习。本次演习共有XX项阶段，XX项流程。我方全程参与，投入XX人力，XX设备等资源统计。并成功防守XX攻击(可以是类也可以是次，最好经验证)。未失分，或失分多少。有无得分情况。通过XX溯源或XX应急处置得分。(最后来点套话：严格按照XX纪律，XX工作要求，顺利完成防守任务。最终取得了XX好成绩。或是虽然失分，但经过我方艰苦卓绝的奋斗，挣回了多少分，并如何地吸取了经验教训，在日后工作中开展改善任务等等...)

说明：交代整个工作的来龙去脉，以简短性的文字让领导一眼就了解整个工作内容及结果。突出交代亮点工作。(文字叙述需要照顾到不关心具体技术动作实现的领导，领导最关注的是开始与结束，过程相对而言并没有那么重要，要让领导关注过程，那就要学会给自己找亮点。)

第二部分 防守工作

内容组成：阶段性工作安排。例：我方按照演习常规等要求，分别开展了四阶段性的工作。

准备工作阶段

确定参与部门、人员、资源等。依据事先确定的工作方案，成立临时工作小组，分解任务，有序开展工作。小组分类参考：领导小组-指挥调度、监测&研判组、网络运维组、业务协调组、后勤保障组。

开展自身安全检查与主防单位协查工作。具体检查项可参考：内外网资产梳理、渗透测试、代码审计、基线检查、网络架构安全性评估、安全设备检查与增设、物理安全检查、安全相关制度检查、分析供应商与服务提供商及合作伙伴等第三方是否存在风险。(介绍工作内容及结果，如梳理了多少资产？渗透发现了多少高中低风险？)

检查完之后如何开展整改修复工作？

表格展示从问题发现--修复加固的时间进度，及完成度。

确定了防守主要手段。例：

1) 通过重要网络节点部署流量监测：如各网络出入口、核心交换；

2) 主机与终端部署安全防护：如杀毒与统一管控软件；

3) 应用安全防护：云Waf、硬件防火墙；

4) 集权类系统防护：VPN、堡垒机定期巡检；

5) 防守反制：如内、外网蜜罐、诱饵数据、主动反击；

6) 供应商、网络链路防护：定点定人、明确责任、业务部门复盘暂时舍弃边缘业务或线路；

7) 等等。

值守任务及工作安排：各部门根据XX预案。。。如何值守？如何安排工作？加些套话搞定。

预演推衍阶段：

攻方成果统计：漏洞数量、风险统计

防方成果统计：安全监测是否到位、应急处置实施效果、推演工作实施是否顺利

问题整改统计与跟踪等。

正式演习阶段：

威胁发现：发现了XX攻击、XX类攻击、阻拦成功XX次。其他威胁发现：如内网病毒木马。

事件研判：确认攻击成功与否XX次，确认XX次攻击队IP、确认XX非攻击队IP、封禁攻击IP数量。(亮点)区分业务正常流量干扰，及时进行策略优化的次数。避免扣分

应急处置：有事件的要写处置速度，处置结果。处置加分。

攻击溯源：结合自身情报与综合情报，(亮点)联动判断出了多少红队，多少傀儡机。成功溯源了XX安全事件。收集了XX项互联网公开漏洞情报，及时整改自身XX漏洞，避免被扣分。溯源加分

图表展示：受攻击趋势图、每日事件研判次数分布、0day漏洞跟踪处理表等

复盘总结阶段：

一、形成了如下成果交付物XX份：可参考

资产清单

工作分解与进度记录表

会议记录

黑、白盒测试报告(渗透、代码、基线等)

各类培训PPT

工作日报(工作内容汇总)

应急处置报告

溯源反制报告

告警汇总统计报告

威胁情报收集工作报告(热点事件，最新漏洞，工作情报等)

整改修复报告

风险与威胁事件报告

安全设备运行状态

安全巡检日志

策略优化汇总

总结报告  等。

二、阐述工作内容

列举本次任务中我方优缺点

薄弱点的临时解决方案与长久解决方案

(从上面具体点、下方角度摘选编写即可)

讲安全的几个面

安全制度

人员管理

技术能力

历次攻防与应急演练

从业务角度分析问题

应用安全方面

必须开放的系统，实际中如何保证完整性、可用性的同时，解决应用安全面临的问题。

系统安全，主机层防护

终端安全，管控与杀毒

用户安全，用户不可控，采取零信任方案

第三方安全威胁：供应商与服务提供商及合作伙伴，在本次任务中如何解决的。

图表对比三个阶段：

开展前存在哪些问题

开展后存在哪些问题

未来长期需要解决已知的哪些问题

三、总结阶段回顾所有工作内容形成了内部标准解决方案：

网络安全意识培训方案

各类技术培训方案

突发性网络安全事件应急预案

演习防守工作方案

(特殊时期)工作手册

XX安全事件学习案例  等。

说明：主要需要体现任务期间的工作量，工作成果。突出亮点、突出数据计次，建议统计数据以图表形式展示更优。

第三部分 下一步工作计划

内容组成：针对上述问题，增加整改修复方案，与优化方案。再谈谈未来发展。其实这部分也都是套话了。主要是要高大上，形式上要足，如：

• 进一步推进网络安全与信息化建设工作，坚持以双轮驱动为核心的发展计划；
• 进一步加强安全意识培训；
• 加强建设网络安全三位一体防御体系，从互联网出口到业务核心，形成纵深防御，增强态势感知能力；
• 继续完善现有的网络安全工作制度；
• 定期组织攻防演练与演练，及时发现问题，提升整体安全防护能力，制定适宜自身业务发展的网络安全计划。等等

这里额外举个应急后的整体安全防护建议：

1. 完全启用现有的安全设备的可用功能模块，增加防病毒软件。

2. 加强密码口令强度，定期修改密码。

3. 对内网服务器和终端进行失陷检测，对相关网络资产做全面的安全评估。

4. 对全网进行漏洞排查及病毒查杀，检查服务器上所有第三方服务及时更新系统及第三方补丁。

5. 推荐部署全流量监控设备，定期开展全流量深度分析工作，以及时发现安全攻击事件，并可对攻击事件在流量中进行追踪溯源。

6. 推荐开展专项安全评估服务，保障网络的安全运行。

7. 在重要网络边界防火墙上关闭常见高危端口或只对特定IP开放。

8. 开启Windows防火墙，尽量关闭3389、445、139、135等不用的高危端口。

9. 安装相关杀毒软件及服务器加固软件。

10. 对系统用户密码及时进行更改，并使用LastPass等密码管理器对相关密码进行加密存储，避免使用本地明文文本的方式进行存储。系统相关用户杜绝使用弱口令，同时，应该使用高复杂强度的密码，尽量包含大小写字母、数字、特殊符号等的混合密码，加强运维人员安全意识，禁止密码重用的情况出现，并定期对密码进行更改；

11. 限制内网主机可进行访问的网络、主机范围。有效加强访问控制ACL策略，细化策略粒度，按区域按业务严格限制各个网络区域以及服务器之间的访问，采用白名单机制只允许开放特定的业务必要端口，其他端口一律禁止访问，仅管理员IP可对管理端口进行访问，如FTP、数据库服务、远程桌面等管理端口；

12. 配置并开启相关关键系统、应用日志，对系统日志进行定期异地归档、备份，避免在攻击行为发生时，导致无法对攻击途径、行为进行溯源等，加强安全溯源能力；

13. 遵循权限最小化原则，服务器中间件、数据库等相关系统服务使用较低权限的用户进行运行，避免攻击者通过相关服务获取高用户权限，对系统实施进一步的攻击，建议对系统相关服务默认端口进行更改，以便对固定化端口扫描探测、攻击等进行防御；

14. 禁止服务器主动发起外部连接请求，对于需要向外部服务器推送共享数据的，应使用白名单的方式，在防火墙加入相关策略，对主动连接IP范围进行限制，例如放行反病毒更新服务器、数据库服务器，禁止服务器主动对其他内外部服务器进行访问；

15. 定期开展对系统、应用以及网络层面的安全评估、渗透测试以及代码审计工作，主动发现目前系统、应用存在的安全隐患；

16. 加强日常安全巡检制度，定期对系统配置、网络设备配合、安全日志以及安全策略落实情况进行检查，常态化信息安全工作。