护网行动专项应急演练方案

1、攻防演习特别紧急训练计划文件编号当前版本号V1.0实施日期xxx信息中心目录1演习概况31.1演习目的31.2演习时间31.3演习役31.4演习环境31.5演习过程32演习方案42.1注意事项42.2演习场景42.2.1 SQL注入孔42.2.2 s可信2脆弱性53演习总结6带安全事件处理报告的61演习概况1.1演习目的本次应急训练通过实施具体场合，旨在在“网络保护活动”攻防训练期间，各应急队协调组织能力，提高攻防训练期间对安全问题的应答水平和网络安全警报的时效。 完善训练预案，改进应急处理和流程。1.2演习时间生产演习： x月xx日09336330-1033363000演习总结： x月xx日

2、10:00-10:301.3练习角色演习指挥： xx攻击者： xxxx防守方：这次紧急应对队1.4演习环境这次演习完全模拟了“网络保护活动”期间的攻防演习环境，具体如下攻击者：用手机打开热点，使用互联网代理IP攻击xx系统。防守方：有关应急人员在攻防训练总指挥室。 监视攻击情况，阻断攻击行为。1.5演习过程2演习方案2.1注意事项1 .攻击方向训练指挥提交训练IP地址。2 .在演习中留下入侵屏幕和相关证据阻止攻击行为的证据。3 .无论演习中有什么进展，攻防双方都要向演习指挥报告。4 .准备演习记录文件和表。2.2演习场景2.2.1 SQL注入孔2.2.1.1攻击者的渗透测试风险名称SQL注入系

3、统风险等级很贵风险的说明攻击者可以利用该漏洞，获得网站管理帐户的密码等数据库机密信息，调用数据库函数来执行系统命令，篡改、添加或删除网站上的数据和文件。测试过程1 )利用工具检测脆弱性的地址，检测脆弱性的有无2 )显示当前的数据库名称3 )显示当前数据库的表2.2.1.2防守方事件处理序列号。负责人操作事项1安全监视员监视平台查看相关警告日志，根据攻击特征，判断该异常为黑客SQL注入行为，保持截图，并向技术研究判定小组负责人报告2技术研修小组组长、小组成员分析测试页上是否有SQL注入的脆弱性，研究处理方案。 处理方案包括：如果没有该脆弱性，网络管理者将IP引入黑名单，如果有SQL的脆弱性，则在

4、对IP进行黑客攻击的同时，应用程序管理者修复该脆弱性，有效地检测发生脆弱性的模块的参数，过滤出危险字符并禁止(，% )， 等)特殊字符的输入。3技术培训小组组长向司令部小组报告，提出解决办法，等待拒绝命令4应急处理小组组长网络管理员阻止IP，应用程序管理员修复漏洞。 和相关监视员确定修复效果。5安全监视小组持续监视系统状态，防止后续攻击行为6应急处理小组输入安全事件处理报告并提交安全工作组。2.2.2 Strust2脆弱性2.2.2.1攻方渗透试验风险名称Struts2脆弱性风险等级很贵风险的说明如果struts框架具有root或system权限，攻击者可以利用此漏洞远程执行恶意代码。 恶意用

5、户可以用系统的最高权限直接控制服务器，并威胁内部网的安全性。的。测试过程1 )检测脆弱性地址得到webshell3 )取得数据库权限2.2.2.2防守方事件处理序列号。负责人操作事项1安全监视小组监视平台查看相关警告日志，根据攻击的特征，判断该异常是利用Struts2的脆弱性进行黑客攻击的行为，保持截图，向技术研究小组负责人报告2技术研修小组组长、小组成员分析测试页上是否存在Struts2脆弱性，研究处理方案。 处理方案如下：如果没有这个漏洞，网络管理员就将IP引入黑名单，如果有Struts2漏洞，应用程序管理员就在黑客IP的同时修复该漏洞，升级Struts2框架。3技术培训小组组长向保护网指挥小组报告，提出解决方案，等待拒绝命令4应急处理小组网络管理员阻止IP，应用程序管理员修复漏洞。 和相关监视员确定修复效果。5安全监视员持续监视系统状态，防止后续攻击行为。6应急处理小组输入安全事件处理报告并提交安全工作组。3演习总结演习总指挥：演习总指挥总结演习，并提出相关的改进建议。演习相关人员：演习相关人员将讨论