安全事件应急演练方案
一、 本次应急演练的背景和目的
为贯彻落实集团公司《关于印发“中国移动十八大网络与信息安全保障专项行动工作方案“的通知》(中移综发[2012]11号)的总体要求,用一个安全、净化的网络迎接十八大胜利召开,根据集团公司统一安排,各部门、各单位需组织各围绕信息安全的突发事件和高发事件,完成一次综合性的应急演练。
此次信息安全事件应急演练是针对所辖系统在运行过程中或者操作过程中可能出现的紧急问题,其目的是提升对黑客入侵等安全事件的监测应急能力,提升对具有社会动员能力系统突发事件的紧急处置能力,缩短系统中断时间,降低业务损失,为十八大期间的信息安全保障工作的做好充分准备。
二、 演练涉及的单位
省公司网络部、市场部、数据部、集团客户部、网管中心、数据中心、业务支撑中心、客户服务中心、各市公司。
三、 应急演练方法
本次演练采用安全事件应急过程的纸面演练与具体应急措施的实际操作相结合的方式开展,以求真正达到应急演练的目的。
请各部门、各单位针对本方案设定的每个应急演练项目(见下节),结合自身应用系统的实际情况,选择可能出现安全事件的应用系统,由该系统的应急处理人员填写如下应急演练表格,实现应急过程的纸面演练。附录一给出了应急演练表格。附录二给出了应急演练表格的填写样例,附录三给出了针对本方案设定的应急演练项目可采取的一些应急处理措施,供各部门、单位参考。
1
对于应急处理措施,在填写过程中应结合所选应用系统的实际软硬件环境,给出具体的操作指令或工具。同时,应急处理人员应在应用系统测试环境下进行实际的操作练习。
四、 应急演练项目
本方案选择5类共9个应急演练项目,分别是:
1. 信息篡改(1个项目):指未经授权将系统中的信息更换为攻击者所提供的信息而导致的信息安全事件。例如网站首页被替换的信息安全事件。 2. 病毒/蠕虫/恶意代码(2个项目):指系统内部主机遭受病毒、蠕虫、恶意代码的破坏,或从外网发起对系统的病毒、蠕虫、恶意代码感染事件。具体分成内部事件和外部事件两个项目。
3. DOS攻击(4个项目):指利用信息系统缺陷、或通过暴力攻击的手段,以大量消耗信息系统的CPU、内存、磁盘空间或网络带宽等资源,从而影响信息系统正常运行为目的的信息安全事件。拒绝服务发起时往往表现为CPU、内存、带宽等的高利用率,同时由于攻击手法和形式的多样性,造成对攻击形式攻击特征分析带来一定的难度。具体演练项目包括:由内部发起的DOS攻击事件、由外部发起的利用主机漏洞的DOS攻击事件、由外部发起的利用网络设备漏洞的DOS攻击事件、由外部发起的利用网络协议/应用漏洞的DOS攻击事件。
4. 黑客控制系统:指黑客入侵后,对内部系统和应用进行控制,并尝试以此为跳板对其它内部系统和应用进行攻击。例如入侵后植入远程控制软件,恶意修改系统管理员口令或者Web应用管理员口令等。
5. 不良信息传播:包含任何不当的、侮辱诽谤的、淫秽的、暴力的及任何违反国家法律法规政策的内容信息通过具备邮件等系统进行传播。
五、 应急演练结果反馈
2
针对五类9个项目按要求完成应急演练,分别填写应急演练表反馈总部: ? 表1 信息篡改事件应急演练表
? 表2.1 内部病毒/蠕虫/恶意代码事件演练表 ? 表2.2 外部病毒/蠕虫/恶意代码事件演练表 ? 表3.1 由内部发起的DOS攻击事件演练表
? 表3.2 由外部发起的利用主机漏洞的DOS攻击事件演练表 ? 表3.3 由外部发起的利用网络设备漏洞的DOS攻击事件演练表 ? 表3.4 由外部发起的利用网络协议/应用漏洞的DOS攻击事件演练表? 表4 黑客控制系统事件演练表 ? 表5 不良信息传播事件演练表
3
附录一:应急演练表
应急演练项目名称 外部病毒/蠕虫/恶意代码事件演练表 应用系统名称 某网站首页 事件描述 IP地址为61.185.133.176的IIS WEB服务器的页面被恶意挂马 应急处理时间 应急处理人员 事件上报过程 应急处理过程 收到服务器监测软件报警,在远程登陆界面试探查看是否存在shift后门,然后登陆服务器。先将已经挂马的页面备份到**处作为入侵后备份取证资料,将前期备份恢复至整站。保障网站正常运行。提取页面挂马代码,利用暗组web防火墙批量清除整站挂马代码。再利用webshell扫描工具扫描整站中的webshell、畸形文件目录、同日期新增或修改过的网页,进行分析清除。 利用阿DSQL注入工具或明小子旁注工具检测,发现网站同一服务器上其它网站存在注入漏洞,导致此网站旁注漏洞。 对同服务器存在注入的网站按照注入漏洞封堵程序进行打补丁进行封堵。 对本服务web日志进行备份、分析查找攻击源IP。并在服务器安全软件上对其IP进行72小时黑名单处理。处理完毕后, 持续观察注意服务器安全软件提示。 网站同一服务器上其它网站存在注入漏洞,导致此网站旁注漏洞。 对整个服务器上其它站点进行批量sql或者弱密码、默认后台、数据库防下载等进行检查、监测。 事件原因分析及 后续工作建议 事件处理结果上报
4
应急演练项目名称 由外部发起的利用主机漏洞的DOS攻击事件演练表 应用系统名称 某企业服务器 事件描述 IP地址为61.185.133.176的主机网站无法正常访问 应急处理时间 应急处理人员 事件上报过程 收到服务器监测软件报警,登陆服务器利用天鹰抗DDoS攻击监控器 查看攻击包类型,和攻击峰值。暂时将该域名主机解析至127.0.0.1维护页面 ,迅速启用抗ddos硬件防火墙,再将域名解析修正正常,保障网站正常运营。 在服务器终端利用 netstat -antp 查看端口开放情况,发现大量的链接存在着,并且都是在本机445端口处于ESTABLISHED状态。在防火层中设立规则禁止本机445端口的出站。 用xscan扫描本机存在的漏洞和服务,发现Common Internet File System(CIFS)服务处于打开状态。关闭此服务,再次扫描本机查看是否开放危险端口和服务。处理完毕 应急处理过程 事件原因分析及 后续工作建议 服务器开启危险端口和服务,造成外部入侵的DOS攻击。后续工作建议时常监测服务危险端口和服务的开放情况,及时对服务器进行操作系统和第三方软件补丁的修补。 事件处理结果上报
5
安全事件应急演练的方案.doc
