信息安全事件应急处理报告模板.docx
《信息安全事件应急处理报告模板.docx》由会员分享,可在线阅读,更多相关《信息安全事件应急处理报告模板.docx(27页珍藏版)》请在冰豆网上搜索。
信息安全事件应急处理报告模板
XX单位
信息安全事件应急处理报告
XXX公司
2017年X月XX日
目
录
一、
概述.........................................................
1
1.1
应急处理服务背景......................................................................................................................
1
1.2
应急处理服务目的......................................................................................................................
1
1.3
应急处理服务范围......................................................................................................................
1
1.4
应急处理服务依据......................................................................................................................
2
1.4.1
应急处理服务委托协议...................................................................................................
2
1.4.2
基础标准与法律文件.......................................................................................................
2
1.4.3
参考文件...........................................................................................................................
2
二、
应急处理服务流程.............................................
3
三、
应急处理服务内容和方法.......................................
5
3.1
准备阶段......................................................................................................................................
5
3.1.1
准备阶段工作流程...........................................................................................................
5
3.1.2
准备阶段处理过程...........................................................................................................
5
3.1.3
准备阶段现场处理记录表...............................................................................................
6
3.2
检测阶段......................................................................................................................................
7
3.2.1
检测阶段工作流程............................................................................................................
7
3.2.2
检测阶段处理过程...........................................................................................................
7
3.2.3
检测阶段现场处理记录表...............................................................................................
8
3.3
抑制阶段......................................................................................................................................
9
3.3.1
抑制阶段工作流程...........................................................................................................
9
3.3.2
抑制阶段处理过程...........................................................................................................
9
3.3.3
抑制阶段现场处理记录表.............................................................................................
10
3.4
根除阶段....................................................................................................................................
11
3.4.1
根除阶段工作流程.........................................................................................................
11
3.4.2
根除阶段处理过程.........................................................................................................
11
3.5
恢复阶段....................................................................................................................................
13
3.5.1
恢复阶段工作流程.........................................................................................................
13
3.5.2
恢复阶段处理过程.........................................................................................................
13
3.5.3
恢复阶段现场记录表.....................................................................................................
13
3.6
总结阶段....................................................................................................................................
14
3.6.1
总结阶段工作流程.........................................................................................................
14
3.6.2
总结阶段现场记录表.....................................................................................................
15
四、
结论与建议..................................................
16
信息安全事件应急处理报告
应急处理单位
委托单位XX单位
服务类别委托应急处理
受理日期2017年X月XX日处理日期2017年X月XX日
服务成员监督人
处理结论:
通过本次应急处理服务,解决了XX单位存在的网站漏洞,修补后,经测试有效。
建议委托单位针对报告中提出的建议,增强安全控制措施,切实提高信息安全
水平,降低相关风险。
XX公司
2017年X月XX日
批准人:
应急处理服务人员:
审核人:
一、概述
1.1应急处理服务背景
XX单位与XX公司签订应急服务合同。
XX公司根据合同协议中规
定的范围和工作内容为XX单位提供应急服务。
2017年6月25日XX
单位网站服务器发现存在恶意文件,直接威胁网站的正常运营与使
用,XX单位立即拨通XX公司的应急服务热线,请求应急处理服务。
我方应急处理服务人员,对相关信息进行登记记录,并按作业指导书
要求启动相关过程。
1.2应急处理服务目的
尽快确认和修复漏洞,恢复信息系统的正常运行,使信息系统所遭受的破坏最小化,并在应急处理后提供准确有效的法律证据、分析统计报告和有价值的建议,在应急处理服务工作结束后对系统管理进行完善。
1.3应急处理服务范围
序号
资产编号
名称
型号/操作系统
位置
1
SDFDA-SE-006网站服务器(主)
NF5270/Centos6.4
药监机房
2
SDFDA-SE-007
网站服务器(备)
NF5270/Centos6.4
药监机房
3
SDFDA-SE-011
数据库服务器(主)
IBM/AIX4.2
药监机房
4
SDFDA-SE-012
数据库服务器(备)
IBM/AIX4.2
药监机房
第1页/共16页
1.4应急处理服务依据
1.4.1应急处理服务委托协议
《XX单位应急处理服务委托书》
1.4.2基础标准与法律文件
《中华人民共和国突发事件应对法》
《网络与信息安全应急处理服务资质评估方法》(YD/T1799-2008)
《信息技术安全技术信息安全事件管理指南》(GB/Z20985-2007)
《信息安全技术信息安全事件分类指南》(GB/Z20986-2007)
1.4.3参考文件
《信息安全技术信息安全风险评估规范》(GB/T20984-2007)
《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008)
《信息技术服务运行维护第一部分通用要求》(GB/T28827.1-2012)
《信息技术服务运行维护第二部分交付规范》(GB/T28827.1-2012)
《信息技术服务运行维护第三部分应急响应规范》(GB/T28827.1-2012)
第2页/共16页
二、应急处理服务流程
XX单位应急处理服务过程主要包括六个阶段:
准备阶段、检测阶段、抑制阶段、根除阶段、恢复阶段、总结阶段。
应急处理服务流程如图所示。
第3页/共16页
准备阶段
检测阶段
抑制阶段
根除阶段
恢复阶段
总结阶段
制定工作方案和计划,监
督和指导其他小组的工作
负责人准备工作
服务需求的确定,主机和网
络安全初始化快照和备份、
技术人员准备工作
工具包和必要技术的准备
建立预防预警机制、及时
进行信息系统检测和异常
市场人员准备工作
情况上报
现场实施人员的确定
现场勘查确定检测方案并
进行实施
是否有该类事
是
件的专项预案
否
确定和认可抑制的方案并
进行抑制的实施
启
确定和认可根除的方
动
专
法并进行根除的实施
项
预
案
根据确定的恢复方案进行
信息系统的恢复
回顾并完善整个事件的处
理过程并进行总结
形成事故报告
为服务对象提出安全建议
结束
第4页/共16页
三、应急处理服务内容和方法
3.1准备阶段
3.1.1准备阶段工作流程
准备阶段流程图:
客户沟通服务需求界定
服务合同签订
制定服务方案
应急人员和工具表单准备
3.1.2准备阶段处理过程
我公司与XX单位进行信息安全事件应急处理详情进行沟通,分
别对客户应急服务所包含的具体需求和客户实际信息系统环境进行
了详细了解,在达成一致的基础上签订了应急处理服务合同;随后我
公司立即成立针对该项目的应急处理小组,立刻着手服务方案编写和
工具准备工作,同时协助客户对应急范围内的信息系统进行评估和备
份快照。
第5页/共16页
3.1.3准备阶段现场处理记录表
工具准备清单
时间2017年X月XX日服务单位名称XX公司
服务单位联
联系方式
系人
响应服务人
联系方式
员
工具使用原
辅助快速准确发现问题,解决问题。
因目的描述
应急工具准备清单:
绿盟远程安全评估系统
北京安信通数据库扫描系统
Nessus漏洞扫描
Wireshark抓包工具
WVS企业版WEB应用安全测试工具
批准人
(签字):
第6页/共16页
3.2检测阶段
3.2.1检测阶段工作流程
检测阶段流程图:
事件沟通与应急准备
方案沟通确认与应急授权
网站切换与快照备份
漏洞追溯与验证
确定漏洞产生原因,沟通抑制措施
3.2.2检测阶段处理过程
我公司技术支持热线客服人员接到用户的应急响应服务电话请
求后,通过电话了解基本情况,并检查我公司是否有该类安全事件的
应急预案,发现并没有该类安全事件的应急预案;随后我公司立刻派
遣应急处理小组携带应急工具、技术规范、现场记录表在服务协议规
定的1小时内准备完毕到达现场。
到达客户现场后,项目组负责人立即与客户方负责人进行方案沟通,由客户负责人书面授权后,根据实际客户情况建议对网站进行切换和数据备份,随后开始进行检测处理。
检测内容如下:
1)事件沟通与应急准备。
2)方案沟通与应急授权。
第7页/共16页
3)网站切换与快照备份。
4)漏洞发现与验证。
5)确定漏洞产生原因,沟通抑制措施。
6)准备备份文件数据以备随时回退。
经过以上检测,项目组确定漏洞根源并确认成功。
3.2.3检测阶段现场处理记录表
检测结果记录
时间2017年X月XX日服务单位名称XX
服务单位联系人联系方式
响应服务人员联系方式
检测原因或检测
确认漏洞存在并评估安全事件等级
目的描述
检测过程及结果记录:
(1)首先发现任意下载漏洞,可以下载敏感信息文件:
tomcat路径:
/data/tomcat6_8081/
(2)然后根据敏感文件信息,并通过任意读取漏洞获取到关键信息:
网站结构、
网站数据库账户密码等:
第8页/共16页
(3)确定上传点,上传木马获取系统权限:
第9页/共16页
第10页/共16页
安全事件等级确定:
该事故发生后将导致网站服务器被非法接管,使其公共服务受到严重损坏,系
统受到严重损失,数据被非法窃取;该网站系统中断或非法篡改,可能影响到国家
安全,扰乱社会秩序,对经济建设、公众利益有一定的负面影响。
该事故安全事件等级为:
Ⅱ级。
检测阶段确认(签字)
第11页/共16页
3.3抑制阶段
3.3.1抑制阶段工作流程
3.3.2抑制阶段处理过程
通过检查阶段的详细调查,我们判断是文件下载访问权限不合
理,上传未做过滤产生的漏洞。
在与客户沟通后,客户接受我们的方
案并授权我们对该系统进行抑制处理。
(1)针对敏感文件设置读取严格的读取和下载权限,禁止访问用户可以读取和下载。
(2)暂时关闭非法上传点模块。
(3)抑制措施验证并准备备份数据随时回退。
第9页/共16页
3.3.3抑制阶段现场处理记录表
抑制处理记录表
时间
2017年X月XX日
服务单位名称XX
服务单位联系人
联系方式
响应服务人员
联系方式
抑制处理原因
针对主要文件信息泄露和非法上传漏洞进行抑制
抑制处理目的
给予最快速的漏洞基本解决方案,初步抵御攻击
抑制处理方案:
(1)针对敏感文件设置读取严格的读取和下载权限,禁止访问用户可以读取和下载。
(2)暂时关闭非法上传点模块。
(3)抑制措施验证并准备备份数据随时回退。
抑制方案产生的风险及应对措施:
关闭非法上传点模块后,可能对日常管理,合法上传存在一定的影响。
应对措施:
当需要上传时,采取使用介质本地服务器拷贝上传方式。
抑制方案确认(签字):
抑制效果:
抑制成功
第10页/共16页
3.4根除阶段
3.4.1根除阶段工作流程
检测阶段
3.4.2根除阶段处理过程
抑制阶段可以解决外网用户对网站系统的威胁,但是还没有从根
本上解决网站漏洞问题。
在与客户沟通后,我们进行了如下操作:
1)与客户沟通抑制措施达到的安全防护效果并协商厂商沟通事宜。
2)联系厂商,与厂商说明目前网站存在的非法下载、读取和上传的漏洞,建议采用添加文件校验和文件权限模块,实现漏洞修补。
3)建议客户对服务器权限进行合理优化,使用非root用户运行网站。
4)对厂商反馈修复结果进行验证并准备必要的回退措施。
第11页/共16页
3.4.3根除阶段现场处理记录表
根除处理记录表
时间2017年X月XX日服务单位名称XX
服务单位联系人联系方式
响应服务人员联系方式
根除处理原因后台页面代码修复,上传限制使用后台白名单
根除处理方案:
通过之前的抑制处理方案,已经实现非法下载、读取和上传漏洞风险的基本控制,但没有彻底根除漏洞根源。
所以,可以通过以下方法彻底根除该问题。
1)与客户沟通抑制措施达到的安全防护效果并协商厂商沟通事宜。
2)联系厂商,与厂商说明目前网站存在的非法下载、读取和上传的漏洞,建议采用添加文件校验和文件权限模块,实现漏洞修补。
3)建议客户对服务器权限进行合理优化,使用非root用户运行网站。
4)对厂商反馈修复结果进行验证并准备必要的回退措施。
根除方案产生的风险:
代码漏洞修补和服务器权限优化后,经验证测试对网站系统无影响,进一步增加
了网站的安全性。
根除方案确认(签字):
根除效果:
根除成功
第12页/共16页
3.5恢复阶段
3.5.1恢复阶段工作流程
恢复阶段流程图:
抑制和根除阶段
文件对比,可疑文件确认和清除
网站漏洞扫描与修复
总结阶段检测阶段
网站系统安全加固
无异常异常
网站重新上线网站运营测试
3.5.2恢复阶段处理过程
通过之前的抑制及根除处理,已经基本解决了网站存在的高危漏
洞,在网站重新上线前,应急人员重新对网站进行全面的漏洞扫描,
并对发现的可疑漏洞进行确认和修复,同时对网站系统进行安全加
固。
3.5.3恢复阶段现场记录表
恢复处理记录表
时间2017年X月XX日服务单位名称XX
服务单位联系
联系方式
人
响应服务人员联系方式
第13页/共16页
恢复处理原因文件对比、漏洞扫描、安全加固
恢复处理方案:
通过之前的抑制及根除处理,已经基本解决了非法下载、读取和上传漏洞,
但为了全面的检查网站完整性和安全性,在网站进行重新恢复上线前主要执行
以下操作:
1)网站文件比对,可疑文件确认和清除。
2)网站漏洞扫描,确认并修复其他漏洞。
3)网站系统安全加固:
权限细化、账户清理、登录失败策略配置等。
恢复方案确认(签字):
恢复效果:
恢复成功
3.6总结阶段
3.6.1总结阶段工作流程
第14页/共16页
3.6.2总结阶段现场记录表
应急响应总结阶段报告
呈报部门:
XX单位
报告时间:
2017年X月XX日
报告人:
XX
报告人部门:
XX
事件的类型
网站存在高危漏洞
检测阶段
检测时间
2017年X月XX日
检测动作
漏洞扫描和手工验证
检测结果
存在高危漏洞并威胁整体网站系统安全。
抑制阶段
抑制时间
2017年X月XX日
抑制动作
(1)针对敏感文件设置读取严格的读取和下载权限,禁止访问
用户可以读取和下载。
(2)暂时关闭非法上传点模块。
升级会员 