一、资产梳理与暴露面收敛

全面资产盘点

1. 识别互联网暴露面资产（如网站、API、云服务等），建立动态更新的资产清单。
2. 通过自动化工具（如网络空间测绘）和人工核查结合，避免遗漏影子资产。

高危端口与服务收敛

1. 关闭或限制SSH、RDP等面向互联网的高危服务端口，仅允许授权IP访问。
2. 收敛运维入口，统一通过堡垒机管理，并启用双因素认证。

蜜罐与诱导防护

1. 在互联网边界部署蜜罐系统，模拟业务弱点吸引攻击流量，便于早期威胁发现。

二、风险评估与加固

漏洞扫描与修复

1. 对主机、数据库、中间件、应用系统进行漏洞扫描，优先修复高危漏洞（如RCE、弱口令）。
2. 验证WAF、防火墙等防护策略有效性，确保拦截规则覆盖常见攻击手法（如SQL注入、WebShell上传）。

基线配置检查

1. 核查网络设备、安全设备的安全基线配置（如账号权限、日志留存策略），删除冗余账号和默认密码。
2. 对云环境进行安全组策略审计，遵循最小权限原则。

红蓝对抗测试

1. 通过红队模拟APT攻击（如钓鱼邮件、水坑攻击），验证防御体系盲点并针对性优化。

三、应急响应体系构建

1. 预案与演练 制定《安全事件分级处置流程》，明确DDOS、数据泄露等场景的响应步骤。
2. 开展专项应急演练（如网站篡改、挖矿病毒处置），提升团队协同能力。

威胁情报联动

1. 接入护网专项威胁情报，实时监控攻击IP、漏洞利用动态。
2. 建立与公安部门、安全厂商的快速通报机制。

值守团队组建

1. 成立现场指挥部，分设监测分析组、处置组、沟通组，7×24小时轮班值守。

四、安全意识强化员工培训

1. 针对钓鱼邮件、社交工程等场景进行全员培训，降低社工攻击风险。
2. 通过模拟钓鱼测试（如伪造招聘邮件）验证培训效果。

权限与数据管控

1. 梳理敏感数据访问权限，对核心系统（如财务、开发）实施最小化授权。
2. 部署数据防泄露（DLP）工具，监控异常数据外传行为。

五、外部协作与资源准备厂商协同

1. 与安全厂商联合部署异构防护设备（如多品牌WAF、流量分析系统），提升防御冗余。
2. 提前签订应急服务协议，确保攻击高峰期的技术支持。

法律与合规

1. 准备护网行动授权文件（如二级域名使用授权、渗透测试合规证明）。
2. 护网前的准备工作需形成“技术防御+管理协同+人员意识”的多层防线，通过资产收敛、漏洞闭环、应急推演等关键动作，将被动防御转化为主动防护。实际执行中可参考等文档中的任务分解表，细化各阶段交付物（如资产清单、加固报告），确保可量化、可追溯。