文档介绍:安全事件应急演练方案安全事件应急演练方案本次应急演练的背景和目的为贯彻落实集团公司《关于印发“***十八大网络与信息安全保障专项行动工作方案“的通知》(中移综发[2012]11号)的总体要求,用一个安全、净化的网络迎接十八大胜利召开,根据集团公司统一安排,各部门、各单位需组织各围绕信息安全的突发事件和高发事件,完成一次综合性的应急演练。此次信息安全事件应急演练是针对所辖系统在运行过程中或者操作过程中可能出现的紧急问题,其目的是提升对***等安全事件的监测应急能力,提升对具有社会动员能力系统突发事件的紧急处置能力,缩短系统中断时间,降低业务损失,为十八大期间的信息安全保障工作的做好充分准备。演练涉及的单位省公司网络部、市场部、数据部、集团客户部、网管中心、数据中心、业务支撑中心、客户服务中心、各市公司。应急演练方法本次演练采用安全事件应急过程的纸面演练与具体应急措施的实际操作相结合的方式开展,以求真正达到应急演练的目的。请各部门、各单位针对本方案设定的每个应急演练项目(见下节),结合自身应用系统的实际情况,选择可能出现安全事件的应用系统,由该系统的应急处理人员填写如下应急演练表格,实现应急过程的纸面演练。附录一给出了应急演练表格。附录二给出了应急演练表格的填写样例,附录三给出了针对本方案设定的应急演练项目可采取的一些应急处理措施,供各部门、单位参考。对于应急处理措施,在填写过程中应结合所选应用系统的实际软硬件环境,给出具体的操作指令或工具。同时,应急处理人员应在应用系统测试环境下进行实际的操作练****应急演练项目本方案选择5类共9个应急演练项目,分别是:信息篡改(1个项目):指未经授权将系统中的信息更换为攻击者所提供的信息而导致的信息安全事件。例如网站首页被替换的信息安全事件。病毒/蠕虫/恶意代码(2个项目):指系统内部主机遭受病毒、蠕虫、恶意代码的破坏,或从外网发起对系统的病毒、蠕虫、恶意代码感染事件。具体分成内部事件和外部事件两个项目。DOS攻击(4个项目):指利用信息系统缺陷、或通过暴力攻击的手段,以大量消耗信息系统的CPU、内存、磁盘空间或网络带宽等资源,从而影响信息系统正常运行为目的的信息安全事件。拒绝服务发起时往往表现为CPU、内存、带宽等的高利用率,同时由于攻击手法和形式的多样性,造成对攻击形式攻击特征分析带来一定的难度。具体演练项目包括:由内部发起的DOS攻击事件、由外部发起的利用主机漏洞的DOS攻击事件、由外部发起的利用网络设备漏洞的DOS攻击事件、由外部发起的利用网络协议/应用漏洞的DOS攻击事件。黑客控制系统:指***后,对内部系统和应用进行控制,并尝试以此为跳板对其它内部系统和应用进行攻击。例如入侵后植入远程控制软件,恶意修改系统管理员口令或者Web应用管理员口令等。不良信息传播:包含任何不当的、侮辱诽谤的、***秽的、暴力的及任何违反国家法律法规政策的内容信息通过具备邮件等系统进行传播。应急演练结果反馈针对五类9个项目按要求完成应急演练,分别填写应急演练表反馈总部:/蠕虫/:应急演练表应急演练项目名称外部病毒/蠕虫/***应急处理时间应急处理人员事件上报过程应急处理过程收到服务器监测软件报警,在远程登陆界面试探查看是否存在shift***,然后登陆服务器。先将已经***的页面备份到**处作为入侵后备份取证资料,将前期备份恢复至整站。保障网站正常运行。提取页面***代码,利用暗组web防火墙批量清除整站***代码。再利用***扫描工具扫描整站中的***、畸形文件目录、同日期新增或修改过的网页,进行分析清除。利用阿DSQL注入工具或明小子旁注工具检测,发现网站同一服务器上其它网站存在注入漏洞,导致此网站旁注漏洞。对同服务器存在注入的网站按照注入漏洞封堵程序进行打补丁进行封堵。对本服务web日志进行备份、分析查找攻击源IP。并在服务器安全软件上对其IP进行72小时黑名单处理。处理完毕后,持续观察注意服务器安全软件提示。事件原因分析及后续工作建议网站同一服务器上其它网站存在注入漏洞,导致此网站旁注漏洞。对整个服务器上其它站点进行批量sql或者弱密码、默认后台、数据库防下载等进行检查、监测。事件处理结果上报应急演练项目