安全事件应急演练方案

#安全事件应急演练方案一、本次应急演练的背景和目的为贯彻落实集团公司《关于印发“中国移动十八大网络与信息安全保障专项行动工作方案“的通知》（中移综发[2012]11号）的总体要求，用一个安全净化的网络迎接十八大胜利召开,根据集团公司统一安排，各部门、各单位需组织各围绕信息安全的突发事件和高发事件，完成一次综合性的应急演练。此次信息安全事件应急演练是针对所辖系统在运行过程中或者操作过程中可能出现的紧急问题，其目的是提升对黑客入侵等安全事件的监测应急能力，提升对具有社会动员能力系统突发事件的紧急处置能力，缩短系统中断时间，降低业务损失，为十八大期间的信息安全保障工作的做好充分准备。二、演练涉及的单位省公司网络部、市场部、数据部、集团客户部、网管中心、数据中心、业务支撑中心、客户服务中心、各市公司。三、应急演练方法本次演练采用安全事件应急过程的纸面演练与具体应急措施的实际操作相结合的方式开展，以求真正达到应急演练的目的。请各部门、各单位针对本方案设定的每个应急演练项目（见下节），结合自身应用系统的实际情况，选择可能出现安全事件的应用系统,由该系统的应急处理人员填写如下应急演练表格,实现应急过程的纸面演练。附录一给出了应急演练表格。附录二给出了应急演练表格的填写样例，附录三给出了针对本方案设定的应急演练项目可采取的一些应急处理措施，供各部门、单位参考。对于应急处理措施，在填写过程中应结合所选应用系统的实际软硬件环境,给出具体的操作指令或工具.同时，应急处理人员应在应用系统测试环境下进行实际的操作练习。四、应急演练项目本方案选择5类共9个应急演练项目，分别是：1.信息篡改（1个项目）:指未经授权将系统中的信息更换为攻击者所提供的信息而导致的信息安全事件。例如网站首页被替换的信息安全事件。2.病毒/蠕虫/恶意代码（2个项目）：指系统内部主机遭受病毒、蠕虫、恶意代码的破坏,或从外网发起对系统的病毒、蠕虫、恶意代码感染事件。具体分成内部事件和外部事件两个项目.3.DOS攻击（4个项目）：指利用信息系统缺陷、或通过暴力攻击的手段，以大量消耗信息系统的CPU、内存、磁盘空间或网络带宽等资源，从而影响信息系统正常运行为目的的信息安全事件。拒绝服务发起时往往表现为CPU、内存、带宽等的高利用率，同时由于攻击手法和形式的多样性，造成对攻击形式攻击特征分析带来一定的难度.具体演练项目包括：由内部发起的DOS攻击事件、由外部发起的利用主机漏洞的DOS攻击事件、由外部发起的利用网络设备漏洞的DOS攻击事件、由外部发起的利用网络协议/应用漏洞的DOS攻击事件.黑客控制系统：指黑客入侵后，对内部系统和应用进行控制，并尝试以此为跳板对其它内部系统和应用进行攻击。例如入侵后植入远程控制软件，恶意修改系统管理员口令或者Web应用管理员口令等。不良信息传播：包含任何不当的、侮辱诽谤的、淫秽的、暴力的及任何违反国家法律法规政策的内容信息通过具备邮件等系统进行传播.五、应急演练结果反馈针对五类9个项目按要求完成应急演练，分别填写应急演练表反馈总部：•表1信息篡改事件应急演练表•表2。1内部病毒/蠕虫/恶意代码事件演练表表2。2外部病毒/蠕虫/恶意代码事件演练表表3.1由内部发起的DOS攻击事件演练表表3.2由外部发起的利用主机漏洞的DOS攻击事件演练表表3.3由外部发起的利用网络设备漏洞的DOS攻击事件演练表表3.4由外部发起的利用网络协议/应用漏洞的DOS攻击事件演练表表4黑客控制系统事件演练表表5不良信息传播事件演练表

附录一：应急演练表应急演练项目名称外部病毒/蠕虫/恶意代码事件演练表应用系统名称某网站首页事件描述IP地址为61。185.133。176的IISWEB服务器的页面被恶意挂马应急处理时间应急处理人员事件上报过程应急处理过程收到服务器监测软件报警，在远程登陆界面试探查看是否存在shift后门，然后登陆服务器。先将已经挂马的页面备份到**处作为入侵后备份取证资料，将前期备份恢复至整站。保障网站正常运行。提取页面挂马代码，利用暗组web防火墙批量清除整站挂马代码•再利用webshell扫描工具扫描整站中的webshell、畸形文件目录、同日期新增或修改过的网页，进行分析清除。利用阿DSQL注入工具或明小子旁注工具检测，发现网站同一服务器上其它网站存在注入漏洞，导致此网站旁注漏洞。对同服务器存在注入的网站按照注入漏洞封堵程序进行打补丁进行封堵。对本服务web日志进行备份、分析查找攻击源IP。并在服务器安全软件上对其IP进行72小时黑名单处理.处理完毕后，持续观察注意服务器安全软件提示.事件原因分析及后续工作建议网站同一服务器上其它网站存在注入漏洞，导致此网站旁注漏洞.对整个服务器上其它站点进行批量sql或者弱密码、默认后台、数据库防下载等进行检查、监测。事件处理结果上报

应急演练项目名称由外部发起的利用主机漏洞的DOS攻击事件演练表应用系统名称某企业服务器事件描述IP地址为61.185。133。176的主机网站无法正常访问应急处理时间应急处理人员事件上报过程应急处理过程收到服务器监测软件报警，登陆服务器利用天鹰抗DDoS攻击监控器查看攻击包类型，和攻击峰值。暂时将该域名主机解析至127.0o0o1维护页面，迅速启用抗ddos硬件防火墙，再将域名解析修正正常，保障网站正常运营。在服务器终端利用netstat—antp查看端口开放情况，发现大量的链接存在着，并且都是在本机445端口处于ESTABLISHED状态。在防火层中设立规则禁止本机445端口的出站。用xscan扫描本机存在的漏洞和服务，发现CommonInternetFileSystem(CIFS)服务处于打开状态。关闭此服务，再次扫描本机查看是否开放危险端口和服务。处理完毕事件原因分析及后续工作建议服务器开启危险端口和服务，造成外部入侵的DOS攻击。后续工作建议时常监测服务危险端口和服务的开放情况，及时对服务器进行操作系统和第三方软件补丁的修补。事件处理结果上报

附录二:应急演练表填写样例演练项目名称信息篡改事件应用系统名称XX门户网站事件描述IP地址为10。1。230。63的IISWEB服务器的页面被篡改。应急处理时间2012-8-1514：45—16：30应急处理人员赵xxxx公司（第三方代维厂商）；王五业务支撑中心。事件上报过程14：47，应急处理人将事件内容电话上报给业务支撑中心领导、网络与信息安全办公室14：50,网络与信息安全办公室将事件内容电话上报给集团、省管局.应急处理过程14：45—14:50,管理员收到网站监控软件告警，页面被篡改。按照应急预案进行处置和响应，使用在【XX位置】备份的原始页面，替换被篡改的页面，实现系统的临时恢复，告警消失。14：50-16：00,利用计算机管理功能，查看系统帐号，并检查10。1.230.63服务器日志，持续监控服务器登陆情况，及时发现再次的异常登录攻击行为。14：50—16：00,分析IISWeb应用日志，发现存在sql注入漏洞的页面conn。asp。登录web应用防火墙10。1。230.50开启安全朿略，同时对conn.asp进行修复，加入过滤代码。使用阿D注入检测工具进行验证，问题解决。15:00—16：00,进行深入风险检查。使用任务管理器查找恶意进程；使用Netstat.exe命令行实用工具，显示TCP和UDP的所有打开的端口；使用webshell扫描清理工具查找后门程序。发现windows\system32目录下sethc.exe，并删除。16：00—16：20,查看网站监控软件的告警状况，确认网站已经安全。事件原因分析及后续建议遭到SQL注入攻击，事件结果是10。1。230。63服务器网站页面被篡改.对网站的代码进行代码审核，找到存在sql注入漏洞的页面conn.asp，进行了代码修改，删除后门程序，系统恢复.后续考虑对该网站进行安全加固，例如删除Wscript.Shell组件，避免黑客使用webshell执行DOS命令等。事件处理结果上报16：25，将事件处理结果电话上报给业务支撑中心领导、网络与信息安全办公室.16：30网络与信息安全办公室将事件处理结果电话上报给集团公司、省管局。注：关于安全事件上报参见十八大保障应急预案、安全事件管理细则。附录三：应急处理措施参考1、信息篡改事件应急处理措施进行系统临时性恢复,迅速恢复系统被篡改的内容。必要时，将发生安全事件的设备脱网，做好安全审计及系统恢复准备。必要时，将遭受攻击的主机上系统日志、应用日志等导出备份，并加以分析判断。分析web应用日志，确认有无恶意文件上传、跨站脚本、SQL注入的非正常查询。分析主机系统日志，确认主机上有无异常权限用户非法登陆,并记录其IP地址、登陆时间等信息.例如对UNIX：•使用w命令查看utmp日志，获得当前系统正在登录帐户的信息及来源•使用last命令查看wtmp日志，获得系统前N次登录记录Su命令日志记录了每一次执行su命令的动作:时间日期、成功与否、终端设备、用户ID等•有些UNIX具有单独的su日志，有些则保存在syslog中.Cron日志记录了定时作业的内容，通常在/var/log/cron或默认日志目录中一个称为cron的文件里分析系统目录以及搜索整盘近期被修改的和新创建的文件，查找是否存在可疑文件和后门程序.例如对UNIX：find/etc-ctimen-print在/etc查找n天以前文件状态被修改过的所有文件find/etc-mtimen-print在/etc查找n天以前文件内容被修改过的所有文件分析系统服务，检查有无新增或者修改过的服务，有无可疑进程,有无可疑端口.例如对UNIX:Netstat-an列出所有打开的端口及连接状态sof-i只显示网络套接字的进程Ps-ef会列出系统正在运行的所有进程使用第三方检查工具检查是否存在木马后门程序；结合上述日志审计，确定攻击者的方式、入侵后所获得的最大管理权限以及是否对被攻击服务器留有后门程序。通过防火墙或网络设备策略的配置严格限制外网恶意地址对该服务器的远程登录及访问请求。•netscreen防火墙：setpolicyid*topfromuntrusttotrust"外部ip""any”"any"denylog•cisco防火墙：I•标准访问控制列表access—listlist-number{deny|permit}source[source-wildcard][log]II。扩展访问控制列表access-listlist-number{deny|permit}protocolsourcesource-wildcardsource-qualifiersdestinationdestination-wildcarddestination-qualifiers[log|log-input]对web服务软件和数据库进行安全配置；对存在问题的web页面代码进行安全修改；如果攻击者放置了后门、木马等恶意程序,建议对主机重新安装操作系统，并恢复数据库系统，对系统进行加固；恢复业务数据，进行业务测试，确定系统完全恢复后系统上网运行。2、病毒/蠕虫/恶意代码事件应急处理措施2.1内部事件定位事件的源头•通过防病毒管理中心，可以监控到哪些设备和哪些类型病毒爆发的状况。•通过网络流量分析系统(tcpdump、sniffer等)，对网络数据包分析、网络连接分析,即定位事件的源头.•查看重要主机的日志，检查主机是否受到蠕虫病毒的入侵或者是否感染蠕虫病毒隔离主机:在确认有主机感染蠕虫之后，将被感染主机隔离，以免其进一步扩散，并根据需要启动备用主机以保持业务连续性.在问题终端或主机上，确定病毒、蠕虫、恶意代码的特征：进程、端口等.对UNIX，Netstat-an列出所有打开的端口及连接状态Lsof-i只显示网络套接字的进程Ps-ef会列出系统正在运行的所有进程清除病毒、蠕虫、恶意代码，一般先停止恶意进程,同时将其相关文件和注册表项删除。对UNIX，Kill停止进程Rm-f删除文件如果人工无法清除，则需要防病毒系统厂商提供针对该病毒的专杀工具，使用专杀工具来清除病毒。当本单位技术力量无法完成时，应及时寻求专业病毒服务厂商支持.升级所有终端、主机防病毒系统的特征库到最新版本，确认蠕虫、病毒被彻底清除。如果出现难以快速清除的病毒、蠕虫、恶意代码等，建议重新安装操作系统。对各主机进行加固，保证不会再次感染。利用终端安全管理系统，对所有终端自动同步补丁,使全网终端的补丁能够及时地更新.恢复主机系统的运行,如果启动了备用主机，应切换到原来的主机。恢复终端的正常使用。2.2外部事件当系统外部网站遭受病毒、蠕虫、恶意代码攻击时,可能会以网络连接、邮件、文件传输等形式试图感染到系统内部。当此类攻击发生时：通过网络流量分析系统(tcpdump、sniffer等)，分析代码网络数据包特征，确定恶意代码利用的端口及IP。在防火墙设置acl规则，过滤相关的IP和端口.netscreen防火墙：setpolicyid大topfromuntrusttotrust”外部ip”"any”"any”denylog同时根据恶意代码的利用机理，在主机层面做一定防范，比如安装补丁、修改配置、做访问控制等。3、DOS攻击事件应急处理措施3。1由内部发起当内部主机被入侵后，如果放置了拒绝服务攻击程序，被黑客用来对其他系统发动拒绝服务攻击：1）通过网络流量分析软件（tcpdump、sniffer等），分析数据包特征。2）通过流量分析，确定对外发包的被控主机，条件允许将其断网隔离。3）调整防火墙或网络设备访问控制ACL策略,严格限制该机器的对外继续发包.netscreen防火墙：setpolicyid大topfromuntrusttotrust"外部ip""any""any"denylogcisco防火墙I。标准访问控制列表access-listlist—number{deny|permit}source[source-wildcard][log]扩展访问控制列表access-listlist-number{deny|permit}protocolsourcesource-wildcardsource-qualifiersdestinationdestination-wildcarddestination-qualifiers[log|log-input]4）检查并确认被控主机上的恶意进程或恶意程序。对UNIX,Netstat-an列出所有打开的端口及连接状态Lsof-i只显示网络套接字的进程Ps-ef会列出系统正在运行的所有进程5）清除恶意进程，一般先关闭进程，然后删除其相关文件。对UNIX,Kill停止进程Rm-f删除文件6）必要情况下，重新安装系统，对系统进行安全加固，重新恢复业务系统,上线运行3.2由外部发起-利用主机漏洞外部破坏者利用主机操作系统的漏洞发起对系统的拒绝服务攻击。对此,1）如果系统服务无法正常响应,迅速切换到备用系统。2）通过防火墙或网络设备配置访问控制列表，过滤DoS发起源的连接。netscreen防火墙：setpolicyid大topfromuntrusttotrust"外部ip""any""any"denylogcisco防火墙I•标准访问控制列表access-listlist-number{denyIpermit}source[source-wildcard][log]II.扩展访问控制列表access-listlist-number{deny|permit}protocolsourcesource-wildcardsource-qualifiersdestinationdestination-wildcarddestination-qualifiers[logIlog-input]确认造成系统cpu、内存占用高的进程或者应用。对UNIX,Ps-ef会列出系统正在运行的所有进程Top查看占用资源较高的进程或应用确认系统存在的漏洞,根据漏洞信息和安全建议采取相应的控制措施,安装相应的补丁修复程序。修复漏洞后切换到原运行系统。3。3由外部发起—利用网络设备漏洞外部破坏者利用的网络设备的操作系统漏洞发起对系统的拒绝服务攻击.如果系统服务无法正常响应,迅速切换到备用系统；利用防火墙或网络设备配置ACL,过滤DoS发起源的连接。netscreen防火墙：setpolicyid大topfromuntrusttotrust"外部ip""any”"any"denylogcisco防火墙I。标准访问控制列表access-listlist-number{deny|permit}source[source-wildcard][log]II。扩展访问控制列表access-listlist-number{denyIpermit}protocolsourcesource-wildcardsource-qualifiersdestinationdestination-wildcarddestination-qualifiers[logIlog-input]确认当前IOS版本，确认此版本是否存在DOS的漏洞。•cisco设备showversion命令查看版本信息(cisco设备)根据漏洞信息和相应安全建议采取相应的控制措施,安装相应的补丁修复程序修复漏洞后切换到原运行系统。3。4由外部发起—利用网络协议/应用协议漏洞网络协议类攻击是以发起大量连接或数据包为基础,造成被攻击方连接队列耗尽或CPU、内存资源的耗尽。应用类主要是指针对web服务发起的攻击，表现在分布式的大量http请求，以耗尽web服务的最大连接数或者消耗数据库资源为目的。比如：对某一大页面的访问或者对某一页面的数据库搜索。主要措施：通过网络流量分析软件,确定数据包类型特征，比如利用的是udp、tcp还是icmp协议在防火墙配置访问控制策略。netscreen防火墙:setpolicyid*topfromuntrusttotrust"外部ip”"any”"any”denylogcisco防火墙I。标准访问控制列表access—listlist-number{denyIpermit}source[source-wildcard][log]扩展访问控制