資源描述:
《安全事件應(yīng)急演練方案》由會員上傳分享�����,免費(fèi)在線閱讀�,更多相關(guān)內(nèi)容在教育資源-天天文庫�����。
1���、安全事件應(yīng)急演練方案一�、本次應(yīng)急演練的背景和目的為貫徹落實(shí)集團(tuán)公司《關(guān)于印發(fā)“中國移動十八大網(wǎng)絡(luò)與信息安全保障專項(xiàng)行動工作方案“的通知》(中移綜發(fā)[2012]11號)的總體要求���,用一個安全��、凈化的網(wǎng)絡(luò)迎接十八大勝利召開,根據(jù)集團(tuán)公司統(tǒng)一安排�,各部門�、各單位需組織各圍繞信息安全的突發(fā)事件和高發(fā)事件,完成一次綜合性的應(yīng)急演練�����。此次信息安全事件應(yīng)急演練是針對所轄系統(tǒng)在運(yùn)行過程中或者操作過程中可能出現(xiàn)的緊急問題,其目的是提升對黑客入侵等安全事件的監(jiān)測應(yīng)急能力���,提升對具有社會動員能力系統(tǒng)突發(fā)事件的緊急處置能力�,縮短系統(tǒng)中斷時間����,降低業(yè)務(wù)損失,為十八大期間
2���、的信息安全保障工作的做好充分準(zhǔn)備�。二�����、演練涉及的單位省公司網(wǎng)絡(luò)部����、市場部����、數(shù)據(jù)部、集團(tuán)客戶部�����、網(wǎng)管中心、數(shù)據(jù)中心�����、業(yè)務(wù)支撐中心�����、客戶服務(wù)中心�����、各市公司���。三�、應(yīng)急演練方法本次演練采用安全事件應(yīng)急過程的紙面演練與具體應(yīng)急措施的實(shí)際操作相結(jié)合的方式開展���,以求真正達(dá)到應(yīng)急演練的目的����。請各部門���、各單位針對本方案設(shè)定的每個應(yīng)急演練項(xiàng)目(見下節(jié))��,結(jié)合自身應(yīng)用系統(tǒng)的實(shí)際情況����,選擇可能出現(xiàn)安全事件的應(yīng)用系統(tǒng),由該系統(tǒng)的應(yīng)急處理人員填寫如下應(yīng)急演練表格��,實(shí)現(xiàn)應(yīng)急過程的紙面演練����。附錄一給出了應(yīng)急演練表格。附錄二給出了應(yīng)急演練表格的填寫樣例�,附錄三給出了針對本方案設(shè)
3、定的應(yīng)急演練項(xiàng)目可采取的一些應(yīng)急處理措施�����,供各部門�����、單位參考�����。13對于應(yīng)急處理措施�,在填寫過程中應(yīng)結(jié)合所選應(yīng)用系統(tǒng)的實(shí)際軟硬件環(huán)境,給出具體的操作指令或工具��。同時�,應(yīng)急處理人員應(yīng)在應(yīng)用系統(tǒng)測試環(huán)境下進(jìn)行實(shí)際的操作練習(xí)。一����、應(yīng)急演練項(xiàng)目本方案選擇5類共9個應(yīng)急演練項(xiàng)目,分別是:1.信息篡改(1個項(xiàng)目):指未經(jīng)授權(quán)將系統(tǒng)中的信息更換為攻擊者所提供的信息而導(dǎo)致的信息安全事件����。例如網(wǎng)站首頁被替換的信息安全事件。2.病毒/蠕蟲/惡意代碼(2個項(xiàng)目):指系統(tǒng)內(nèi)部主機(jī)遭受病毒�����、蠕蟲����、惡意代碼的破壞,或從外網(wǎng)發(fā)起對系統(tǒng)的病毒�����、蠕蟲、惡意代碼感染事件��。具體分成內(nèi)
4���、部事件和外部事件兩個項(xiàng)目��。3.DOS攻擊(4個項(xiàng)目):指利用信息系統(tǒng)缺陷�����、或通過暴力攻擊的手段�����,以大量消耗信息系統(tǒng)的CPU���、內(nèi)存、磁盤空間或網(wǎng)絡(luò)帶寬等資源����,從而影響信息系統(tǒng)正常運(yùn)行為目的的信息安全事件。拒絕服務(wù)發(fā)起時往往表現(xiàn)為CPU����、內(nèi)存、帶寬等的高利用率�,同時由于攻擊手法和形式的多樣性,造成對攻擊形式攻擊特征分析帶來一定的難度���。具體演練項(xiàng)目包括:由內(nèi)部發(fā)起的DOS攻擊事件�、由外部發(fā)起的利用主機(jī)漏洞的DOS攻擊事件���、由外部發(fā)起的利用網(wǎng)絡(luò)設(shè)備漏洞的DOS攻擊事件��、由外部發(fā)起的利用網(wǎng)絡(luò)協(xié)議/應(yīng)用漏洞的DOS攻擊事件��。4.黑客控制系統(tǒng):指黑客入侵后���,
5、對內(nèi)部系統(tǒng)和應(yīng)用進(jìn)行控制�,并嘗試以此為跳板對其它內(nèi)部系統(tǒng)和應(yīng)用進(jìn)行攻擊。例如入侵后植入遠(yuǎn)程控制軟件����,惡意修改系統(tǒng)管理員口令或者Web應(yīng)用管理員口令等。5.不良信息傳播:包含任何不當(dāng)?shù)?����、侮辱誹謗的、淫穢的�、暴力的及任何違反國家法律法規(guī)政策的內(nèi)容信息通過具備郵件等系統(tǒng)進(jìn)行傳播。二���、應(yīng)急演練結(jié)果反饋13針對五類9個項(xiàng)目按要求完成應(yīng)急演練��,分別填寫應(yīng)急演練表反饋總部:l表1信息篡改事件應(yīng)急演練表l表2.1內(nèi)部病毒/蠕蟲/惡意代碼事件演練表l表2.2外部病毒/蠕蟲/惡意代碼事件演練表l表3.1由內(nèi)部發(fā)起的DOS攻擊事件演練表l表3.2由外部發(fā)起的利用主機(jī)
6��、漏洞的DOS攻擊事件演練表l表3.3由外部發(fā)起的利用網(wǎng)絡(luò)設(shè)備漏洞的DOS攻擊事件演練表l表3.4由外部發(fā)起的利用網(wǎng)絡(luò)協(xié)議/應(yīng)用漏洞的DOS攻擊事件演練表l表4黑客控制系統(tǒng)事件演練表l表5不良信息傳播事件演練表13附錄一:應(yīng)急演練表應(yīng)急演練項(xiàng)目名稱外部病毒/蠕蟲/惡意代碼事件演練表應(yīng)用系統(tǒng)名稱某網(wǎng)站首頁事件描述IP地址為61.185.133.176的IISWEB服務(wù)器的頁面被惡意掛馬應(yīng)急處理時間應(yīng)急處理人員事件上報(bào)過程應(yīng)急處理過程收到服務(wù)器監(jiān)測軟件報(bào)警�����,在遠(yuǎn)程登陸界面試探查看是否存在shift后門����,然后登陸服務(wù)器�。先將已經(jīng)掛馬的頁面?zhèn)浞莸?*處作
7、為入侵后備份取證資料��,將前期備份恢復(fù)至整站����。保障網(wǎng)站正常運(yùn)行。提取頁面掛馬代碼,利用暗組web防火墻批量清除整站掛馬代碼����。再利用webshell掃描工具掃描整站中的webshell、畸形文件目錄�、同日期新增或修改過的網(wǎng)頁�����,進(jìn)行分析清除���。利用阿DSQL注入工具或明小子旁注工具檢測�����,發(fā)現(xiàn)網(wǎng)站同一服務(wù)器上其它網(wǎng)站存在注入漏洞�����,導(dǎo)致此網(wǎng)站旁注漏洞��。對同服務(wù)器存在注入的網(wǎng)站按照注入漏洞封堵程序進(jìn)行打補(bǔ)丁進(jìn)行封堵��。對本服務(wù)web日志進(jìn)行備份���、分析查找攻擊源IP�����。并在服務(wù)器安全軟件上對其IP進(jìn)行72小時黑名單處理�����。處理完畢后��,持續(xù)觀察注意服務(wù)器安全軟件提示�����。
8��、事件原因分析及后續(xù)工作建議網(wǎng)站同一服務(wù)器上其它網(wǎng)站存在注入漏洞����,導(dǎo)致此網(wǎng)站旁注漏洞����。對整個服務(wù)器上其它站點(diǎn)進(jìn)行批量sql或者弱密碼、默認(rèn)后臺�、數(shù)據(jù)庫防
