安全事件应急演练方案Word文档格式.docx

1、3.DOS攻击4个项目：指利用信息系统缺陷、或通过暴力攻击的手段,以大量消耗信息系统的CPU、内存、磁盘空间或网络带宽等资源,从而影响信息系统正常运行为目的的信息安全事件。拒绝服务发起时往往表现为CPU、内存、带宽等的高利用率,同时由于攻击手法和形式的多样性,造成对攻击形式攻击特征分析带来一定的难度。具体演练项目包括：由内部发起的DOS攻击事件、由外部发起的利用主机漏洞的DOS攻击事件、由外部发起的利用网络设备漏洞的DOS攻击事件、由外部发起的利用网络协议/应用漏洞的DOS攻击事件。4.黑客控制系统：指黑客入侵后,对内部系统和应用进行控制,并尝试以此为跳板对其它内部系统和应用进行攻击。例如入侵

2、后植入远程控制软件,恶意修改系统管理员口令或者Web应用管理员口令等。5.不良信息传播：包含任何不当的、侮辱诽谤的、淫秽的、暴力的及任何违反国家法律法规政策的内容信息通过具备邮件等系统进行传播。五、应急演练结果反馈针对五类9个项目按要求完成应急演练,分别填写应急演练表反馈总部：表1 信息篡改事件应急演练表表2.1 内部病毒/蠕虫/恶意代码事件演练表表2.2 外部病毒/蠕虫/恶意代码事件演练表表3.1 由内部发起的DOS攻击事件演练表表3.2 由外部发起的利用主机漏洞的DOS攻击事件演练表表3.3 由外部发起的利用网络设备漏洞的DOS攻击事件演练表表3.4 由外部发起的利用网络协议/应用漏洞的D

3、OS攻击事件演练表表4 黑客控制系统事件演练表表5 不良信息传播事件演练表附录一：应急演练表应急演练项目名称外部病毒/蠕虫/恶意代码事件演练表应用系统名称某网站首页事件描述IP地址为61.185.133.176的IIS WEB服务器的页面被恶意挂马应急处理时间应急处理人员事件上报过程应急处理过程 收到服务器监测软件报警,在远程登陆界面试探查看是否存在shift后门,然后登陆服务器。先将已经挂马的页面备份到*处作为入侵后备份取证资料,将前期备份恢复至整站。保障网站正常运行。提取页面挂马代码,利用暗组web防火墙批量清除整站挂马代码。再利用webshell扫描工具扫描整站中的webshell、畸形

4、文件目录、同日期新增或修改过的网页,进行分析清除。 利用阿DSQL注入工具或明小子旁注工具检测,发现网站同一服务器上其它网站存在注入漏洞,导致此网站旁注漏洞。 对同服务器存在注入的网站按照注入漏洞封堵程序进行打补丁进行封堵。 对本服务web日志进行备份、分析查找攻击源IP。并在服务器安全软件上对其IP进行72小时黑名单处理。处理完毕后, 持续观察注意服务器安全软件提示。事件原因分析及后续工作建议网站同一服务器上其它网站存在注入漏洞,导致此网站旁注漏洞。对整个服务器上其它站点进行批量sql或者弱密码、默认后台、数据库防下载等进行检查、监测。事件处理结果上报由外部发起的利用主机漏洞的DOS攻击事件

5、演练表某企业服务器IP地址为61.185.133.176的主机网站无法正常访问 收到服务器监测软件报警,登陆服务器利用天鹰抗DDoS攻击监控器 查看攻击包类型,和攻击峰值。暂时将该域名主机解析至127.0.0.1维护页面 ,迅速启用抗ddos硬件防火墙,再将域名解析修正正常,保障网站正常运营。 在服务器终端利用 netstat -antp 查看端口开放情况,发现大量的链接存在着,并且都是在本机445端口处于ESTABLISHED状态。在防火层中设立规则禁止本机445端口的出站。 用xscan扫描本机存在的漏洞和服务,发现Common Internet File System服务处于打开状态。关

6、闭此服务,再次扫描本机查看是否开放危险端口和服务。处理完毕服务器开启危险端口和服务,造成外部入侵的DOS攻击。后续工作建议时常监测服务危险端口和服务的开放情况,及时对服务器进行操作系统和第三方软件补丁的修补。附录二：应急演练表填写样例演练项目名称信息篡改事件xx门户网站IP地址为10.1.230.63的IIS WEB服务器的页面被篡改。2012-8-15 14：4516：3014:47,应急处理人将事件内容上报给业务支撑中心领导、网络与信息安全办公室50,网络与信息安全办公室将事件内容上报给集团、省管局。4514:50,管理员收到网站监控软件告警,页面被篡改。按照应急预案进行处置和响应,使用在

7、XX位置备份的原始页面,替换被篡改的页面,实现系统的临时恢复,告警消失。50 16：00,利用计算机管理功能,查看系统帐号,并检查10.1.230.63服务器日志,持续监控服务器登陆情况,及时发现再次的异常登录攻击行为。5016:00,分析IIS Web应用日志,发现存在sql注入漏洞的页面conn.asp。登录web应用防火墙10.1.230.50开启安全策略,同时对conn.asp进行修复,加入过滤代码。使用阿D注入检测工具进行验证,问题解决。15:0016:00,进行深入风险检查。使用任务管理器,查找恶意进程；使用Netstat.exe命令行实用工具,显示 TCP 和 UDP 的所有打开

8、的端口；使用webshell扫描清理工具查找后门程序。发现windowssystem32目录下sethc.exe,并删除。16：00- 16：20,查看网站监控软件的告警状况,确认网站已经安全。事件原因分析及后续建议遭到SQL注入攻击,事件结果是10.1.230.63服务器网站页面被篡改。对网站的代码进行代码审核,找到存在sql注入漏洞的页面conn.asp,进行了代码修改,删除后门程序,系统恢复。后续考虑对该网站进行安全加固,例如删除Wscript.Shell组件,避免黑客使用webshell执行DOS命令等。25,将事件处理结果上报给业务支撑中心领导、网络与信息安全办公室。30网络与信息安

9、全办公室将事件处理结果上报给集团公司、省管局。注：关于安全事件上报参见十八大保障应急预案、安全事件管理细则。附录三：应急处理措施参考1、信息篡改事件应急处理措施1）进行系统临时性恢复,迅速恢复系统被篡改的内容。2）必要时,将发生安全事件的设备脱网,做好安全审计及系统恢复准备。3）必要时,将遭受攻击的主机上系统日志、应用日志等导出备份,并加以分析判断。4）分析web应用日志,确认有无恶意文件上传、跨站脚本、SQL注入的非正常查询。5）分析主机系统日志,确认主机上有无异常权限用户非法登陆,并记录其IP地址、登陆时间等信息。例如对UNIX：使用w命令查看utmp日志,获得当前系统正在登录帐户的信息及

10、来源使用last命令查看wtmp日志,获得系统前N次登录记录Su命令日志记录了每一次执行su命令的动作：时间日期、成功与否、终端设备、用户ID等。有些UNIX具有单独的su日志,有些则保存在syslog中。Cron日志记录了定时作业的内容,通常在/var/log/cron或默认日志目录中一个称为cron的文件里6）分析系统目录以及搜索整盘近期被修改的和新创建的文件,查找是否存在可疑文件和后门程序。find /etc ctime n print在/etc查找n天以前文件状态被修改过的所有文件find /etc mtime n print在/etc查找n天以前文件内容被修改过的所有文件7）分析系统

11、服务,检查有无新增或者修改过的服务,有无可疑进程,有无可疑端口。Netstat an列出所有打开的端口及连接状态sof i只显示网络套接字的进程Ps ef会列出系统正在运行的所有进程8）使用第三方检查工具检查是否存在木马后门程序；9）结合上述日志审计,确定攻击者的方式、入侵后所获得的最大管理权限以及是否对被攻击服务器留有后门程序。10）通过防火墙或网络设备策略的配置严格限制外网恶意地址对该服务器的远程登录及访问请求。netscreen防火墙：set policy id * top from untrust to trust 外部ip any deny logcisco防火墙：I.标准访问控制列

12、表access-list list-number deny | permit source source-wildcard logII.扩展访问控制列表access-list list-number deny | permit protocolsource source-wildcard source-qualifiersdestination destination-wildcard destination-qualifiers log | log-input11）对web服务软件和数据库进行安全配置；12）对存在问题的web页面代码进行安全修改；13）如果攻击者放置了后门、木马等恶意程序,

13、建议对主机重新安装操作系统,并恢复数据库系统,对系统进行加固；14）恢复业务数据,进行业务测试,确定系统完全恢复后系统上网运行。2、病毒/蠕虫/恶意代码事件应急处理措施2.1内部事件1）定位事件的源头通过防病毒管理中心,可以监控到哪些设备和哪些类型病毒爆发的状况。通过网络流量分析系统tcpdump、sniffer等,对网络数据包分析、网络连接分析,即定位事件的源头。查看重要主机的日志,检查主机是否受到蠕虫病毒的入侵或者是否感染蠕虫病毒。2）隔离主机：在确认有主机感染蠕虫之后,将被感染主机隔离,以免其进一步扩散,并根据需要启动备用主机以保持业务连续性。3）在问题终端或主机上,确定病毒、蠕虫、恶意

14、代码的特征：进程、端口等。对UNIX,Netstat an列出所有打开的端口及连接状态Lsof i只显示网络套接字的进程Ps ef会列出系统正在运行的所有进程4）清除病毒、蠕虫、恶意代码,一般先停止恶意进程,同时将其相关文件和注册表项删除。Kill 停止进程Rm f 删除文件5）如果人工无法清除,则需要防病毒系统厂商提供针对该病毒的专杀工具,使用专杀工具来清除病毒。当本单位技术力量无法完成时,应及时寻求专业病毒服务厂商支持。6）升级所有终端、主机防病毒系统的特征库到最新版本,确认蠕虫、病毒被彻底清除。7）如果出现难以快速清除的病毒、蠕虫、恶意代码等,建议重新安装操作系统。8）对各主机进行加固,

15、保证不会再次感染。9）利用终端安全管理系统,对所有终端自动同步补丁,使全网终端的补丁能够及时地更新。10）恢复主机系统的运行,如果启动了备用主机,应切换到原来的主机。11）恢复终端的正常使用。2.2外部事件当系统外部网站遭受病毒、蠕虫、恶意代码攻击时,可能会以网络连接、邮件、文件传输等形式试图感染到系统内部。当此类攻击发生时：1）通过网络流量分析系统tcpdump、sniffer等,分析代码网络数据包特征,确定恶意代码利用的端口及IP。2）在防火墙设置acl规则,过滤相关的IP和端口。3）同时根据恶意代码的利用机理,在主机层面做一定防范,比如安装补丁、修改配置、做访问控制等。3、DOS攻击事件

16、应急处理措施3.1由内部发起当内部主机被入侵后,如果放置了拒绝服务攻击程序,被黑客用来对其他系统发动拒绝服务攻击：1）通过网络流量分析软件tcpdump、sniffer等,分析数据包特征。2）通过流量分析,确定对外发包的被控主机,条件允许将其断网隔离。3）调整防火墙或网络设备访问控制ACL策略,严格限制该机器的对外继续发包。cisco防火墙4）检查并确认被控主机上的恶意进程或恶意程序。5）清除恶意进程,一般先关闭进程,然后删除其相关文件。6）必要情况下,重新安装系统,对系统进行安全加固,重新恢复业务系统,上线运行。3.2由外部发起 - 利用主机漏洞外部破坏者利用主机操作系统的漏洞发起对系统的拒

17、绝服务攻击。对此,1）如果系统服务无法正常响应,迅速切换到备用系统。2）通过防火墙或网络设备配置访问控制列表,过滤DoS发起源的连接。3）确认造成系统cpu、内存占用高的进程或者应用。Top 查看占用资源较高的进程或应用4）确认系统存在的漏洞,根据漏洞信息和安全建议采取相应的控制措施,安装相应的补丁修复程序。5）修复漏洞后切换到原运行系统。3.3由外部发起 - 利用网络设备漏洞外部破坏者利用的网络设备的操作系统漏洞发起对系统的拒绝服务攻击。1）如果系统服务无法正常响应,迅速切换到备用系统；2）利用防火墙或网络设备配置ACL,过滤DoS发起源的连接。3）确认当前IOS版本,确认此版本是否存在DO

18、S的漏洞。cisco 设备show version 命令查看版本信息cisco 设备4）根据漏洞信息和相应安全建议采取相应的控制措施,安装相应的补丁修复程序。3.4 由外部发起 - 利用网络协议/应用协议漏洞网络协议类攻击是以发起大量连接或数据包为基础,造成被攻击方连接队列耗尽或CPU、内存资源的耗尽。应用类主要是指针对web服务发起的攻击,表现在分布式的大量请求,以耗尽web服务的最XX接数或者消耗数据库资源为目的。比如：对某一大页面的访问或者对某一页面的数据库搜索。主要措施：1）通过网络流量分析软件,确定数据包类型特征,比如利用的是udp、tcp还是icmp协议2）在防火墙配置访问控制策略

19、。4、黑客控制系统事件应急处理措施1）迅速记录复制所有的正在运行的网络连接、系统进程、活动用户、打开文件以及内存、缓冲和临时目录中的信息；2）对已被黑客控制系统及应用进行切换备机,断网隔离；3）通过在防火墙或网络设备设置访问控制策略,限制外部的访问。4）在问题系统及应用上,通过分析保存的信息、所有有关日志文件包括防火墙和入侵检测系统的安全日志,确定攻击者可能使用的技术手段,查找黑客入侵的途径；5）在问题系统及应用上,确定黑客植入的恶意后门程序,可以通过与备机或类似机使用filemon对系统状况等软件比对；6）发现恶意后门后,先停止相关进程,再进行删除；7）在问题系统及应用上,查找黑客创建的帐号

20、并进行删除,查找被黑客篡改、删除的帐号,进行帐号口令重置。8）在网络设备及相关安全设备上进行相应配置调整使之自动检测和阻止该类攻击的再次发生9）必要时,重新安装系统及应用,对系统及应用进行安全加固,恢复系统及应用。5、不良信息传播事件应急处理措施以不良信息邮件为例1）必要时,将收到不良信息的邮件服务器脱网,防止不良邮件在内部的扩散和更多不良邮件发送进来,并将邮件服务器上的日志导出并备份；2）对不良邮件进行分析,找出标题、发送人地址,分析邮件内容,找出其中的关键词；3）查看并分析邮件服务器的日志,并结合对不良邮件的分析结果,找出该不良邮件发送的SMTP服务器和IP地址；4）登录防垃圾邮件系统,将该不良邮件的标题、发送人地址、关键词设置为过滤条件；5）通过防垃圾邮件系统和人工的方式,清除所有的不良邮件；6）确认所有不良邮件清除完成后,恢复邮件服务器的运行；7）通告所有用户,删除已收到个人收件箱的不良邮件。20XX8月16日