一文读懂HW护网行动（附零基础学习教程）

前言

随着《网络安全法》和《等级保护制度条例2.0》的颁布，国内企业的网络安全建设需与时俱进，要更加注重业务场景的安全性并合理部署网络安全硬件产品，严防死守“网络安全”底线。“HW行动”大幕开启，国联易安誓为政府、企事业单位网络安全护航！

，网络安全形势变得尤为复杂严峻。网络攻击“道高一尺，魔高一丈”，网络安全问题层出不穷，给政府、企事业单位带来风险威胁级别升高，挑战前所未有。

“HW行动”是国家应对网络安全问题所做的重要布局之一。加强网络安全意识，是所有单位有序地完成“HW行动”必不可少的一项基础和必须做扎实的工作。

目前灰产、黑产环境比较复杂，很多攻击手段已经向云和SaaS服务方面发展，暗网已经存在专业提供RaaS（勒索即服务）的服务模式，另外很多勒索攻击软件已经开源，易用性得到了极大的提高，同时也大大降低了网络攻击的技术门槛。

HW行动要“立足基础 靠前一步 全面开展”

为切实履行公安机关网络安全监管职责，提高重点单位网络安全防护意识，提升关键信息基础设施、重要信息系统防护水平。近日，多个省、直辖市、自治区的公安部门按照突出重点、分类检查的原则，对信息系统进行网络安全执法专项检查，全面开展HW专项行动。

日前，国内专注于保密与非密领域的分级保护、等级保护、业务连续性安全和大数据安全产品解决方案与相关技术研究开发的领军企业——国联易安董事长门嘉平博士接受媒体采访时表示：HW专项行动要做到“立足基础、靠前一步、全面开展”。

立足基础，提高安全意识。公安机关网络安全监管部门要重点核查政府、企事业单位的重要信息系统运行情况以及网站管理制度等。被检查单位要以国家关键信息基础设施安全防护为中心，深化网络安全工作，重点加强大数据安全;要提高单位内部员工的网络安全意识，开展大数据安全等业务培训，全面提升整体网络安全防护水平。尤其要针对未按要求落实等级保护等问题的单位，要下发限期整改通知。

靠前一步，预防隐患确安全。公安机关网络安全监管部门要严格按照网络安全执法检查要求，逐个单位进行检查，对重点信息系统等级保护、机房网络安全设施和数据保全设备的运营及应急措施进行细致的检查，以确保网络安全管理制度、公民个人信息保护制度、网络安全事件应急预案等制度落实到位。对检查中发现的问题门户网站要坚决关停注销，问题信息系统要严格按照《网络安全法》和等保2.0要求给予通报和惩处。

全面开展，建立绿色通道。针对监督检查过程中发现的安全隐患，公安机关网络安全监管部门要向相关单位进行详尽讲解，并就如何强化重点网站和信息系统的安全措施提出整改意见和要求。同时根据工作的实际情况，尽可能开通绿色通道，在符合相关规定的前提下，简化流程，在最短的时间内对需要等保定级、备案、建设、测评、检查完成整改的单位给予审核。

“网络安全同担，网络生活共享”。在目前信息化社会中，社会对计算机和网络的依赖越来越紧密。计算机和网络在军事、政治、经济和生活工作等方方面面的应用越来越广泛。如果网络安全得不到保障，将给国家各个行业的生产经营、个人资产和隐私等方面带来严重损失，从而使得关系国计民生的关键基础信息系统，甚至国家国防安全、网络空间安全面临严峻挑战。

对此，笔者建议：针对云安全、应用安全构建全方位的立体防护，尽快部署云安全高级防御平台（云防平台）。该平台基于云服务架构的安全防御理念设计，实现了多租户管理和统一安全防护。可以为企业提供全方位、立体安全防护。

HW行动预备工作叙述

HW攻击队（红蓝双方进行精彩对决）最烦的事情：

1）防守方的密码复杂、无复用并且保密工作较好，攻击队进入内网后横向的时候，发现甲方有一堆强密码但是都没规律，这种情况横向起来比较恶心。当然了，甲方不能把密码直接放到excel中，被攻击队发现后直接就是功亏一篑。而厉害的公司还能部署用户硬件key，这种搞起来就麻烦了。

2）目标内网一大堆蜜罐 ，你懂的 :-）

3）还有就是无脑断网、断电大法。防守方们7*24小时的看监控（武器库很重要，不解释）还是比较无奈的。

红队攻击的重点内网系统：

1、OA:(重点）

泛微、致远,金蝶,蓝凌、万户,金和,或者自研发系统OA、财务系统

2、ERP:（重点）

Microsoft Dynamics GP

Oracle JD Edwards EnterpriseOne

金蝶-U9

用友-K/3

神舟数码-易助

SAP ERP

Infor M3

3、重要信息节点：

email：（重点）

exchange

office 365

DC:（重点）

DC2012R2

DC2008 R2

3、web中间件：（重点）

IIS/apache/tomcat/weblogic/jboss/websphere/Nginx/FastCGI/PHPCGI/haproxy

4、编程语言：

php/java/asp.net/python

5、firewall：

华为/H3C/深信服/juniper/飞塔/思科/sonicwall/paloalto

6、交换机：

华为（重点）/H3C（重点）/CISCO/TP-LINK/D-LINK/ruijie等

7、堡垒机:

jumpserver（重点）/安恒堡垒机/绿盟/启明星辰等

8、数据库：

mysql(重点)

sqlserver（重点）

Oracle(重点)

以及Redis/Hbase/MongodDB/Neo4j/SQLite/Postgresql/esasticsearch

9、docker仓库管理：

harbor

10、源代码管理：（重点）

gitlab/SVN

11、vpn：

sanfor vpn/sonicwall/H3C/华为等

12、高性能的分布式内存对象缓存系统：

memcached/Redis

13、高级消息队列：

rabbitmq

14、开源运维监控：

jenkins/zabbix/cacti/Nagios

15、大数据平台：

hadoop/Spark/Zookeeper/OpenStack/Flink

16、代码质量管理：

rebview board/sonarqube

17、企业内网文档系统：(重点）

conflunece

18、项目管理系统：（重点）

禅道/jira

19、统一单独登录：（重点）

adfs/ldap

20、容器管理：

K8S/nexus/rancher

21、虚拟化管理：

exis/Citrix XenDesktop

22、IPS/IDS绕过：（重点）

23、防病毒绕过：(重点）

奇安信/360/趋势科技/卡巴斯基/赛门铁克等

24、WAF绕过：（重点）

绿盟/深信服/启明星辰/360/阿里云WAF/安全狗等

通过以上信息的校对，其实很多时候我们可以发现，很多资产都会增加攻击面，能关停的还是要狠狠心关闭掉。尤其是内网的系统根据我的经验，大都是千疮百孔的，密码基本不是弱口令就是高度复用，十几个系统管理员密码都是一模一样的情况十分频繁。所以内网的合规性漏扫和手工渗透测试是必须要做好的。

网络安全攻防演习解决方案

方案背景

方案概述

方案整体思路

目标收益

关键能力

方案优势

“护网行动”是国家应对网络安全问题所做的重要布局之一。“护网行动”从2016年开始，随着我国对网络安全的重视，涉及单位不断扩大，越来越多都加入到“护网”行动中，网络安全对抗演练越来越贴近实际情况，各机构对待网络安全需求也从被动构建，升级为业务保障刚需。

HW护网行动总结

1.HW行动

我们把整个HW行动包括前期准备分为三个部分：备战期、临战期、决战期。

备战期:

在备战期间，我们主要做了两件事情，一是减小攻击面，二是排查风险点。

​

减小攻击面就是缩小暴露面。在这过程，客户进行多轮的暴露面排查。首先，我们通过收集到的客户资产进行爬取相关链接，确认是否无用页面、无用系统下挂关键系统域名下，接着对于一些已经业务需求不那么高的、无用的系统、闲置的服务器进行下电处理，最后对于有一定的业务需求但用户较少的系统直接迁入内网，通过VPN进行业务操作。通过一系列的缩小暴露面，最终客户对外仅开放几个端口，大大降低了攻击面。

在排查风险点这块，我们主要做了两件事，一是人工渗透测试，二是webshell排查。人工渗透测试这块，倒是没发现大的问题，就是有个系统的某个功能模块存在权限漏洞，主要还是在功能提出需求的时候没有考虑到安全问题，整个功能模块的权限均存在问题。除了渗透测试，我们还对关键系统的服务器使用webshell排查工具进行后门排查，排查了14台服务器，发现并清除2232个后门文件及10个疑似后门文件，排查发现的木马文件发现非常多都是不可执行的图片马以及攻击者攻击的语句被应用日志记录的日志文件，暂无发现可执行的木马文件，应该都是早期黑客攻击留下的文件。

临战期:

在临战初期，客户举行了两场攻防演练，通过公司内分队对攻到从上往下发起的攻击。这次演练发现了在备战期所忽略的地方：在备战期对风险点进行排查的时候侧重于WEB漏洞而忽视了其他漏洞的渗透及验证，导致在演练的时候被攻击方通过中间件漏洞攻破；还有就是在备战期对VPN没有做好严格的把控，以致于VPN的用户名及密码明文存储在APP中，被攻击方成功反编译出密码，直接进入内网。对于演练中发现的问题，我们进行以下处置：对于中间件漏洞及时升级补丁并且删除相关被利用的war包，对中间打补丁及删除war包的过程进行严格把控，对于进行的每个操作进行截图记录，确保每个过程都进行到位；对于VPN账号泄露问题，账号密码不写死在APP中，通过验证码进行VPN登录，且将APP进行混淆，防止攻击者通过反编译获取敏感信息。

客户在临战期陆续将安全设备进行部署。针对这次HW行动，客户对原本已有的一些安全设备进行策略优化，同时也新增了一些安全设备。主要的类型有防御设备、监控设备等。防御设备还是最常见的WAF、IPS，对WAF、IPS的策略进行优化，增强设备的防御能力；监控设备这块就是我们自主研发了一个主机探针，主要作用就是对主机进程进行审计、webshell监控；除了主机监控还有就是网络流量监控设备，对监测的流量进行分析。

决战期:

在决战期，最关键的就是应对每个安全事件的处置。

组织架构:

​

我们将所有的人员进行分工，主要有统筹组、监控组、研判组、网络处置组、应用处置组。统筹组主要就是对一些重大决定进行决策，统筹整个HW防守工作；监控组主要就是对WAF、IPS等安全设备进行7*24小时监控、派发、跟踪、反馈安全威胁；研判组主要是技术支撑，对于监控组发现的攻击行为进行技术研判；网络处置组主要职责就是发现攻击时在防火墙上对攻击方进行IP封锁；应用处置组主要就是对发现的攻击和漏洞进行风险处置、安全加固。

风险处置流程:

根据监控设备告警划分风险等级，主机探针告警高于其他安全设备告警，主机探针作为防守的最后一道防线，若主机探针发出告警，则攻击已经进入内网，因此风险等级最高。根据风险等级不同，我们制定了两个风险处置流程：

​

当收到主机探针告警，监控人员告知应用处置人员进行风险排查确认，同时通知网络处置组进行攻击IP封锁。应用处置组确认风险存在后，监控组立即通知机房管理员进行断网处置，随后，由应用处置组协助监控组进行溯源取证，并且对风险进行处置，删除shell脚本或木马程序。应用组处理后将结果反馈给监控组，监控组通知机房管理员将受攻击服务器进行下电处理，并且将事件记录在防御工作列表中。

​

当其他安全设备监测到攻击时，监控组会将发起攻击源IP告知网络处置组进行封堵，同时将发现的告警信息发送给研判组进行研判，监控组根据研判结果通知应用处置组进行风险排查，应用处置组将加固结果反馈给监控组，监控组将事件记录在防御工作列表中。

2.总结

其实整个过程下来的话，对于斗哥来说还是颇有收获，有些小总结和大家分享一下：

1.明确客户的所有开放资产，虽然这已经是老话长谈，但是确实也是最关键的，攻防从外到内，再从外围到靶机，还是要锁好每个入口，因此应和客户对于所开放的外网系统进行仔细梳理，缩小暴露面。

2.每个环节都应进行闭环管理，不管是漏洞整改还是资产梳理，对于完成的每一个环节都要进行有效的管控。

3.应急演练的重要性，对人员进行分工，提前演练真实攻防场景，明确对安全事件的处置流程，在应对安全事件发生时不会过于慌乱。

---

2023年的护网行动即将开始，目前各大企业正在积极招人，给出的薪资非常诱人，如果你也对安全感兴趣，想积极投身于安全行业，快来一起学习吧！！！

如何入门学习网络安全【黑客】

【----帮助网安学习，以下所有学习资料文末免费领！----】

> ① 网安学习成长路径思维导图
> ② 60+网安经典常用工具包
> ③ 100+SRC漏洞分析报告
> ④ 150+网安攻防实战技术电子书
> ⑤ 最权威CISSP 认证考试指南+题库
> ⑥ 超1800页CTF实战技巧手册
> ⑦ 最新网安大厂面试题合集（含答案）
> ⑧ APP客户端安全检测指南（安卓+IOS）

接下来我将给各位同学划分一张学习计划表！

学习计划

那么问题又来了，作为萌新小白，我应该先学什么，再学什么？
既然你都问的这么直白了，我就告诉你，零基础应该从什么开始学起：

阶段一：初级网络安全工程师

接下来我将给大家安排一个为期1个月的网络安全初级计划，当你学完后，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web渗透、安全服务、安全分析等岗位；其中，如果你等保模块学的好，还可以从事等保工程师。

综合薪资区间6k~15k

1、网络安全理论知识（2天）
①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（1周）
①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（1周）
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（1周）
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

那么，到此为止，已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗？

阶段二：中级or高级网络安全工程师（看自己能力）

综合薪资区间15k~30k

7、脚本编程学习（4周）
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力。

零基础入门的同学，我建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习
搭建开发环境和选择IDE，PHP环境推荐Wamp和XAMPP，IDE强烈推荐Sublime；

Python编程学习，学习内容包含：语法、正则、文件、 网络、多线程等常用库，推荐《Python核心编程》，没必要看完

用Python编写漏洞的exp,然后写一个简单的网络爬虫

PHP基本语法学习并书写一个简单的博客系统

熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)

了解Bootstrap的布局或者CSS。

阶段三：顶级网络安全工程师

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

学习资料分享

当然，只给予计划不给予学习资料的行为无异于耍流氓，这里给大家整理了一份【282G】的网络安全工程师从入门到精通的学习资料包，可点击下方二维码链接领取哦。