護(hù)網(wǎng)行動(dòng)工作方案范本一、總體目標(biāo)1.在30天內(nèi)完成全網(wǎng)資產(chǎn)“可發(fā)現(xiàn)、可定位、可控制”三同步，實(shí)現(xiàn)“零重大失陷、零數(shù)據(jù)泄露、零業(yè)務(wù)中斷”三零指標(biāo)。2.建立“7×24小時(shí)監(jiān)測(cè)、分鐘級(jí)響應(yīng)、小時(shí)級(jí)閉環(huán)”的實(shí)戰(zhàn)化運(yùn)營(yíng)機(jī)制，確保高危漏洞24小時(shí)內(nèi)修復(fù)率≥95%，中危漏洞72小時(shí)內(nèi)修復(fù)率≥100%。3.通過(guò)紅藍(lán)對(duì)抗、沙盤(pán)推演、溯源反制、應(yīng)急演練四線(xiàn)并行，把攻擊者平均停留時(shí)間從行業(yè)均值15天壓縮到4小時(shí)以?xún)?nèi)。4.沉淀一套“可復(fù)用、可擴(kuò)展、可演進(jìn)”的護(hù)網(wǎng)知識(shí)庫(kù)，形成后續(xù)常態(tài)化運(yùn)營(yíng)底座，次年復(fù)用率≥80%，新增腳本工具≤5%。二、組織架構(gòu)與職責(zé)1.領(lǐng)導(dǎo)小組：由單位一把手任總指揮，分管信息化副職任副總指揮，成員包括業(yè)務(wù)部門(mén)、合規(guī)、審計(jì)、采購(gòu)、人力、財(cái)務(wù)、紀(jì)檢負(fù)責(zé)人，負(fù)責(zé)戰(zhàn)略決策、資源調(diào)度、問(wèn)責(zé)督辦。2.指揮調(diào)度中心（SOC）：設(shè)值班長(zhǎng)1名、副值班長(zhǎng)2名、作戰(zhàn)參謀6名，統(tǒng)一接入省廳級(jí)、行業(yè)級(jí)、廠商級(jí)三條威脅情報(bào)通道，承擔(dān)“監(jiān)測(cè)、研判、指揮、通報(bào)”四項(xiàng)核心職能。3.資產(chǎn)測(cè)繪組：分互聯(lián)網(wǎng)側(cè)、內(nèi)網(wǎng)側(cè)、云側(cè)、工控側(cè)、物聯(lián)網(wǎng)側(cè)5個(gè)小組，每組設(shè)組長(zhǎng)1名、骨干3名、外包支撐≤2名，負(fù)責(zé)“發(fā)現(xiàn)、分類(lèi)、打標(biāo)簽、定級(jí)、入庫(kù)”。4.漏洞治理組：按“Web、主機(jī)、容器、移動(dòng)、API、供應(yīng)鏈”六大方向設(shè)6支小隊(duì)，每隊(duì)設(shè)隊(duì)長(zhǎng)1名、漏洞驗(yàn)證工程師2名、復(fù)測(cè)工程師1名，負(fù)責(zé)“驗(yàn)證、復(fù)現(xiàn)、定級(jí)、派單、復(fù)測(cè)、歸檔”。5.紅隊(duì)：分外部紅隊(duì)（國(guó)家級(jí)攻防演習(xí)授權(quán)）與內(nèi)部紅隊(duì)（自有滲透團(tuán)隊(duì)），外部紅隊(duì)側(cè)重0day、1day、供應(yīng)鏈、社工，內(nèi)部紅隊(duì)側(cè)重內(nèi)網(wǎng)橫向、域控、云原生、容器逃逸。6.藍(lán)隊(duì)：按“監(jiān)測(cè)、分析、處置、溯源、反制”五環(huán)設(shè)崗，每環(huán)設(shè)A、B角，確保單點(diǎn)故障5分鐘內(nèi)切換；同時(shí)設(shè)“威脅獵捕”小組，專(zhuān)盯“低慢可疑”行為。7.應(yīng)急保障組：分業(yè)務(wù)連續(xù)性、網(wǎng)絡(luò)通信、電力空調(diào)、后勤物資、法律合規(guī)、輿情管控6個(gè)模塊，每個(gè)模塊設(shè)“現(xiàn)場(chǎng)+遠(yuǎn)程”雙崗，關(guān)鍵崗位AB角異地備份。8.宣傳培訓(xùn)組：負(fù)責(zé)“每日戰(zhàn)報(bào)、每周簡(jiǎn)報(bào)、每月通報(bào)、專(zhuān)題警示片、釣魚(yú)演練、全員考試”，確保員工釣魚(yú)郵件點(diǎn)擊率≤3%，安全知識(shí)考試平均分≥90分。三、資產(chǎn)梳理與風(fēng)險(xiǎn)畫(huà)像1.互聯(lián)網(wǎng)側(cè)：采用“主動(dòng)+被動(dòng)”雙引擎，主動(dòng)引擎每日凌晨2:00—5:00對(duì)全端口進(jìn)行SYN+ACK+UDP+ICMP四協(xié)議探測(cè)，被動(dòng)引擎通過(guò)流量鏡像持續(xù)監(jiān)聽(tīng)DNS、CDN、NS、證書(shū)透明日志，7天內(nèi)新增資產(chǎn)自動(dòng)入庫(kù)，誤報(bào)率控制在1%以?xún)?nèi)。2.內(nèi)網(wǎng)側(cè)：以“域控+交換機(jī)+VPN+WiFi”四類(lèi)關(guān)鍵節(jié)點(diǎn)為錨點(diǎn)，采用ARP、CDP、LLDP、SNMP、NetBIOS、WMI六協(xié)議交叉發(fā)現(xiàn)，結(jié)合DHCP、AD、NAC、802.1X日志，建立“IP—MAC—賬號(hào)—交換機(jī)端口—VLAN—業(yè)務(wù)系統(tǒng)”六元組綁定表，異常漂移30秒內(nèi)告警。3.云側(cè)：對(duì)接阿里云、騰訊云、華為云、AWS四家API，每4小時(shí)拉取一次“實(shí)例、鏡像、磁盤(pán)、快照、安全組、負(fù)載均衡、RDS、KMS、OSS、函數(shù)計(jì)算”十類(lèi)資源，自動(dòng)計(jì)算“公網(wǎng)暴露面、過(guò)期證書(shū)、未加密存儲(chǔ)、高危端口、共享鏡像、跨區(qū)克隆”六大風(fēng)險(xiǎn)指數(shù)，分值>80自動(dòng)派發(fā)工單。4.工控側(cè)：對(duì)DCS、PLC、SCADA、RTU、HMI五類(lèi)設(shè)備采用“白名單+黑名單”雙清單，白名單內(nèi)置1200余種廠商型號(hào)指紋，黑名單內(nèi)置“Stuxnet、Havex、BlackEnergy、Triton、Industroyer”五家族IOC，發(fā)現(xiàn)異常Modbus、S7、DNP3、IEC104功能碼即觸發(fā)隔離。5.物聯(lián)網(wǎng)側(cè)：對(duì)視頻監(jiān)控、門(mén)禁、打印機(jī)、IP電話(huà)、智能燈控、環(huán)境監(jiān)測(cè)六類(lèi)終端，采用“MAC地址前三位+HTTPBanner+SNMPOID+DHCP指紋”四重聚類(lèi)，建立“終端類(lèi)型—固件版本—默認(rèn)口令—漏洞編號(hào)”四維畫(huà)像，默認(rèn)口令匹配即強(qiáng)制下線(xiàn)。四、漏洞全生命周期管理1.發(fā)現(xiàn)：外部通過(guò)眾測(cè)平臺(tái)、SRC、CNVD、漏洞盒子、GitHub監(jiān)控、暗網(wǎng)爬蟲(chóng)、郵件列表、推特時(shí)間線(xiàn)、RSS聚合九通道；內(nèi)部通過(guò)Nessus、OpenVAS、AWVS、Xray、Goby、巡風(fēng)、自研POC框架七引擎，每日8:00、12:00、20:00三輪掃描，新增漏洞4小時(shí)內(nèi)入庫(kù)。2.定級(jí)：采用“CVSS3.1+業(yè)務(wù)影響度+暴露面+利用成熟度”四維矩陣，生成0—1000的“風(fēng)險(xiǎn)值”，≥900為P0、700—899為P1、400—699為P2、<400為P3，P0立即電話(huà)通知到業(yè)務(wù)副總，P1短信+郵件通知到部門(mén)經(jīng)理，P2工單通知到系統(tǒng)負(fù)責(zé)人，P3納入月度例會(huì)。3.派單：工單字段含“漏洞編號(hào)、風(fēng)險(xiǎn)值、系統(tǒng)名稱(chēng)、IP端口、URL、復(fù)現(xiàn)步驟、修復(fù)建議、補(bǔ)丁鏈接、驗(yàn)證腳本、業(yè)務(wù)測(cè)試建議”十項(xiàng)，工單系統(tǒng)與Jira、禪道、飛書(shū)、企業(yè)微信四平臺(tái)API打通，支持“一鍵轉(zhuǎn)需求、一鍵拉群、一鍵創(chuàng)建分支”。4.修復(fù)：Web類(lèi)漏洞要求“代碼層+WAF層+CDN層”三層同防，主機(jī)類(lèi)漏洞要求“補(bǔ)丁+熱修復(fù)+虛擬補(bǔ)丁”三選一，容器鏡像要求“基礎(chǔ)鏡像升級(jí)+多階段構(gòu)建+倉(cāng)庫(kù)掃描”三步走，API漏洞要求“網(wǎng)關(guān)+令牌+流量染色”三同步，供應(yīng)鏈漏洞要求“SBOM+依賴(lài)升級(jí)+容器簽名”三聯(lián)動(dòng)。5.復(fù)測(cè)：修復(fù)后24小時(shí)內(nèi)由漏洞治理組復(fù)測(cè)，未通過(guò)則打回并升級(jí)風(fēng)險(xiǎn)值+100，連續(xù)兩次未通過(guò)啟動(dòng)“黃線(xiàn)”問(wèn)責(zé)，三次未通過(guò)啟動(dòng)“紅線(xiàn)”關(guān)停系統(tǒng)。6.歸檔：通過(guò)復(fù)測(cè)的漏洞自動(dòng)寫(xiě)入“漏洞知識(shí)庫(kù)”，字段含“漏洞名稱(chēng)、影響版本、利用鏈、防御鏈、腳本工具、修復(fù)commit、測(cè)試用例、參考鏈接”八項(xiàng)，次年護(hù)網(wǎng)可直接復(fù)用。五、紅藍(lán)對(duì)抗實(shí)施路線(xiàn)1.準(zhǔn)備階段：1.1紅隊(duì)提交“攻擊方案+免責(zé)協(xié)議+保密承諾+人員清單+工具清單+IP清單”六件套，經(jīng)法務(wù)、合規(guī)、紀(jì)檢、信息化四方會(huì)簽后方可入場(chǎng)。1.2藍(lán)隊(duì)完成“監(jiān)測(cè)策略+封禁策略+溯源策略+反制策略+演練腳本”五件套，策略覆蓋“網(wǎng)絡(luò)、主機(jī)、應(yīng)用、云、郵件、終端、數(shù)據(jù)、身份”八維。2.攻擊階段：2.1外部紅隊(duì)從互聯(lián)網(wǎng)側(cè)發(fā)起，目標(biāo)包括“VPN、郵件、官網(wǎng)、小程序、API網(wǎng)關(guān)、CDN、云存儲(chǔ)、DevOps平臺(tái)”八類(lèi)入口，禁止使用DDoS、勒索、蠕蟲(chóng)、物理破壞四類(lèi)手段。2.2內(nèi)部紅隊(duì)從內(nèi)網(wǎng)側(cè)發(fā)起，模擬“郵件釣魚(yú)+U盤(pán)擺渡+WiFi釣魚(yú)+打印機(jī)+供應(yīng)鏈更新”五類(lèi)社工，橫向移動(dòng)目標(biāo)包括“域控、堡壘機(jī)、運(yùn)維平臺(tái)、代碼倉(cāng)庫(kù)、備份系統(tǒng)、KMS、日志平臺(tái)”七類(lèi)核心。3.監(jiān)測(cè)階段：3.1藍(lán)隊(duì)通過(guò)“流量鏡像+EDR+蜜罐+日志+威脅情報(bào)”五源數(shù)據(jù)，在Kibana、Splunk、Graylog、ClickHouse四平臺(tái)建立“攻擊鏈時(shí)間線(xiàn)”，實(shí)現(xiàn)“秒級(jí)檢測(cè)、分鐘級(jí)定性、小時(shí)級(jí)溯源”。3.2發(fā)現(xiàn)攻擊行為后，立即啟動(dòng)“封禁—隔離—取證—反制”四步曲：封禁采用“防火墻+WAF+EDR+AD+VPN”五設(shè)備聯(lián)動(dòng)，隔離采用“微分段+零信任+端口shutdown”三技術(shù)，取證采用“內(nèi)存dump、磁盤(pán)鏡像、流量pcap”三維度，反制采用“蜜罐反向釣魚(yú)、IOC投毒、域名劫持、補(bǔ)丁下發(fā)”四手段。4.總結(jié)階段：4.1紅隊(duì)提交《攻擊報(bào)告》含“攻擊路徑、利用漏洞、獲取權(quán)限、數(shù)據(jù)訪問(wèn)、停留時(shí)間、橫向移動(dòng)、清理痕跡”七項(xiàng)，附帶“視頻回放、截圖、日志、樣本”四類(lèi)證據(jù)。4.2藍(lán)隊(duì)提交《防御報(bào)告》含“監(jiān)測(cè)告警、封禁記錄、溯源結(jié)果、反制效果、誤報(bào)分析、策略?xún)?yōu)化”六項(xiàng)，附帶“IOC、Yara、Snort、Sigma”四類(lèi)規(guī)則。4.3指揮調(diào)度中心召開(kāi)“復(fù)盤(pán)會(huì)”，采用“5Why+魚(yú)骨圖+對(duì)策表”三工具，輸出《問(wèn)題清單》《整改清單》《優(yōu)化清單》三清單，責(zé)任到人、限期閉環(huán)。六、監(jiān)測(cè)預(yù)警與應(yīng)急響應(yīng)1.監(jiān)測(cè)分層：1.1網(wǎng)絡(luò)層：全流量鏡像到TAP集群，分“邊界、核心、匯聚、接入”四層，采用“DPI+DFI+行為分析”三引擎，重點(diǎn)檢測(cè)“隧道、加密、分段、分片、混淆”五類(lèi)繞過(guò)。1.2主機(jī)層：Windows端部署EDR輕代理，Linux端部署eBPF探針，容器端部署sidecar模式探針，采集“進(jìn)程、文件、網(wǎng)絡(luò)、注冊(cè)表、syscall”五類(lèi)事件。1.3應(yīng)用層：對(duì)“Web、API、微服務(wù)、消息隊(duì)列、緩存、數(shù)據(jù)庫(kù)”六類(lèi)應(yīng)用埋點(diǎn)，采用“RASP+IAST+代碼審計(jì)”三技術(shù)，實(shí)現(xiàn)“漏洞自發(fā)現(xiàn)、攻擊自阻斷、日志自染色”三自能力。2.預(yù)警分級(jí)：2.1級(jí)別劃分：按“影響范圍+攻擊階段+數(shù)據(jù)敏感性”三維打分，生成0—100的“預(yù)警值”，≥90為紅色、70—89為橙色、40—69為黃色、<40為藍(lán)色。2.2通報(bào)路徑：紅色2分鐘內(nèi)電話(huà)通知到總指揮，橙色5分鐘內(nèi)短信通知到副總指揮，黃色10分鐘內(nèi)工單通知到部門(mén)經(jīng)理，藍(lán)色每日8:00匯總通報(bào)。3.應(yīng)急響應(yīng)：3.1啟動(dòng)條件：紅色預(yù)警立即啟動(dòng)I級(jí)響應(yīng)，橙色預(yù)警15分鐘內(nèi)啟動(dòng)II級(jí)響應(yīng)，黃色預(yù)警30分鐘內(nèi)啟動(dòng)III級(jí)響應(yīng)。3.2處置流程：遵循“發(fā)現(xiàn)—報(bào)告—研判—定級(jí)—處置—復(fù)盤(pán)”六步，其中處置環(huán)節(jié)細(xì)化為“隔離、封禁、取證、溯源、反制、恢復(fù)”六動(dòng)作，每動(dòng)作設(shè)“開(kāi)始—完成”雙時(shí)間戳，確保全程可審計(jì)。3.3應(yīng)急工具箱：預(yù)制“網(wǎng)絡(luò)封禁、主機(jī)隔離、補(bǔ)丁推送、賬號(hào)禁用、密碼重置、日志清理、備份恢復(fù)、流量清洗”八類(lèi)腳本，支持“一鍵下發(fā)、批量執(zhí)行、結(jié)果回顯、失敗重試”四功能。七、數(shù)據(jù)安全與備份恢復(fù)1.分類(lèi)分級(jí)：將數(shù)據(jù)分為“核心、重要、一般”三級(jí)，核心數(shù)據(jù)采用“加密+脫敏+水印+審計(jì)”四重防護(hù)，重要數(shù)據(jù)采用“加密+備份+審計(jì)”三重防護(hù)，一般數(shù)據(jù)采用“備份+審計(jì)”雙重防護(hù)。2.加密策略：核心數(shù)據(jù)使用“國(guó)密SM4+SM2”雙算法，密鑰托管在“HSM+KMS”雙系統(tǒng)，加密通道采用“TLS1.3+國(guó)密套件”雙協(xié)議，密鑰輪換周期90天。3.脫敏策略：采用“動(dòng)態(tài)脫敏+靜態(tài)脫敏”雙模式，動(dòng)態(tài)脫敏使用“SQL代理+視圖+函數(shù)”三技術(shù)，靜態(tài)脫敏使用“抽樣+混淆+偏移+加密”四算法，確?！安豢赡?、可回放、可審計(jì)”三特性。4.備份策略：核心數(shù)據(jù)“本地雙活+異地三副本+云端冷備”三模式，RPO≤15分鐘、RTO≤30分鐘；重要數(shù)據(jù)“本地快照+異地副本”雙模式，RPO≤1小時(shí)、RTO≤2小時(shí)；一般數(shù)據(jù)“本地快照”單模式，RPO≤24小時(shí)。5.恢復(fù)演練：每季度開(kāi)展“實(shí)戰(zhàn)級(jí)”演練，模擬“勒索加密、邏輯刪除、固件損壞、機(jī)房掉電、光纖挖斷”五類(lèi)場(chǎng)景，演練覆蓋“數(shù)據(jù)庫(kù)、虛擬機(jī)、容器、對(duì)象存儲(chǔ)、大數(shù)據(jù)平臺(tái)”五類(lèi)系統(tǒng)，演練結(jié)果納入部門(mén)KPI。八、供應(yīng)鏈與第三方管控1.準(zhǔn)入評(píng)估：新建系統(tǒng)上線(xiàn)前須提交“SBOM+安全測(cè)試報(bào)告+合規(guī)證明+源代碼審計(jì)報(bào)告+隱私評(píng)估報(bào)告”五件套，評(píng)估通過(guò)后方可開(kāi)通防火墻策略。2.持續(xù)監(jiān)測(cè)：對(duì)“開(kāi)源組件、商業(yè)軟件、外包服務(wù)、云API、硬件固件”五類(lèi)供應(yīng)鏈建立“版本—漏洞—許可證—維護(hù)狀態(tài)”四象限看板，高危漏洞24小時(shí)內(nèi)必須升級(jí)或替換。3.退出機(jī)制：出現(xiàn)“后門(mén)、遠(yuǎn)控、數(shù)據(jù)外傳、許可證失效、廠商失聯(lián)”五類(lèi)風(fēng)險(xiǎn)立即啟動(dòng)“熔斷—替換—索賠—通報(bào)”四步，熔斷策略包括“網(wǎng)絡(luò)隔離、賬號(hào)禁用、API下架、證書(shū)吊銷(xiāo)”四項(xiàng)。九、考核與問(wèn)責(zé)1.考核指標(biāo)：1.1技術(shù)指標(biāo)：高危漏洞修復(fù)率、平均修復(fù)時(shí)長(zhǎng)、誤報(bào)率、監(jiān)測(cè)覆蓋率、紅隊(duì)停留時(shí)間、釣魚(yú)點(diǎn)擊率、備份成功率、應(yīng)急演練得分。1.2管理指標(biāo)：工單閉環(huán)率、復(fù)盤(pán)完成率、培訓(xùn)參與率、策略更新率、工具復(fù)用率、預(yù)算執(zhí)行率。2.評(píng)分規(guī)則：采用“百分制+倒扣分”，技術(shù)指標(biāo)占70分，管理指標(biāo)占30分，每出現(xiàn)一次紅色預(yù)警扣5分，橙色預(yù)警扣3分，黃色預(yù)警扣1分，低于80分啟動(dòng)“黃線(xiàn)”約談，低于60分啟動(dòng)“紅線(xiàn)”問(wèn)責(zé)。3.問(wèn)責(zé)辦法：對(duì)“瞞報(bào)、遲報(bào)、謊報(bào)、漏報(bào)”四類(lèi)行為，視情節(jié)給予“通報(bào)、扣績(jī)效、降職、免職”四類(lèi)處分，造成重大損失依法追究法律責(zé)任。十、培訓(xùn)與宣傳1.培訓(xùn)體系：分“意識(shí)、技能、實(shí)戰(zhàn)”三層，意識(shí)層面向全員，技能層面向技術(shù)崗，實(shí)戰(zhàn)層面向攻防隊(duì)員，全年培訓(xùn)覆蓋率100%，人均學(xué)時(shí)≥12小時(shí)。2.培訓(xùn)形式：采用“線(xiàn)上直播+線(xiàn)下沙盤(pán)+紅藍(lán)對(duì)抗+釣魚(yú)演練+CTF競(jìng)賽”五維融合，線(xiàn)上直播使用“釘釘+飛書(shū)”雙平臺(tái)，線(xiàn)下沙盤(pán)使用“CyberRange+MetaSploit+Caldera”三系統(tǒng)。3.宣傳渠道：內(nèi)部使用“企業(yè)微信、郵件、數(shù)字大屏、電梯海報(bào)”四媒介，外部使用“公眾號(hào)、官網(wǎng)、行業(yè)會(huì)議、白皮書(shū)”四媒介，全年發(fā)布“戰(zhàn)報(bào)、簡(jiǎn)報(bào)、通報(bào)、警示片”四類(lèi)內(nèi)容≥50篇。十一、工具與平臺(tái)清單1.流量監(jiān)測(cè)：Suricata、Zeek、Wireshark、Kibana、Arkime、Ntopng。2.漏洞掃描：Nessus、OpenVAS、AWVS、Xray、Goby、巡風(fēng)、自研POC框架。3.主機(jī)EDR：CrowdStrike、火絨、360、青藤、自研eBPF探針。4.蜜罐：T-Pot、HFish、Cowrie、Dionaea、Conpot、自研工控蜜罐。5.自動(dòng)化：Ansible、SaltStack、Nornir、StackStorm、自研SOAR。6.知識(shí)庫(kù)：MISP、TheHive、Doc