信息安全事件應(yīng)急處理報(bào)告模板

1、XX 單位信息安全事件應(yīng)急處理報(bào)告XXX 公司2017 年 X 月 XX 日概述 11.1 應(yīng)急處理服務(wù)背景 11.2 應(yīng)急處理服務(wù)目的 11.3 應(yīng)急處理服務(wù)范圍 11.4 應(yīng)急處理服務(wù)依據(jù) 21.4.1 應(yīng)急處理服務(wù)委托協(xié)議 21.4.2 基礎(chǔ)標(biāo)準(zhǔn)與法律文件 21.4.3 參考文件 2應(yīng)急處理服務(wù)流程 3應(yīng)急處理服務(wù)內(nèi)容和方法 53.1 準(zhǔn)備階段 53.1.1 準(zhǔn)備階段工作流程 53.1.2 準(zhǔn)備階段處理過程 53.1.3 準(zhǔn)備階段現(xiàn)場(chǎng)處理記錄表 63.2 檢測(cè)階段 73.2.1 檢測(cè)階段工作流程 73.2.2 檢測(cè)階段處理過程 73.2.3 檢測(cè)階段現(xiàn)場(chǎng)處理記錄表 83.3 抑制階段 9

2、3.3.1 抑制階段工作流程 93.3.2 抑制階段處理過程 93.3.3 抑制階段現(xiàn)場(chǎng)處理記錄表 103.4 根除階段 113.4.1 根除階段工作流程 113.4.2 根除階段處理過程 113.5 恢復(fù)階段 133.5.1 恢復(fù)階段工作流程 133.5.2 恢復(fù)階段處理過程 133.5.3 恢復(fù)階段現(xiàn)場(chǎng)記錄表 133.6 總結(jié)階段 143.6.1 總結(jié)階段工作流程 143.6.2 總結(jié)階段現(xiàn)場(chǎng)記錄表 15結(jié)論與建議 16信息安全事件應(yīng)急處理報(bào)告應(yīng)急處理單位委托單位XX 單位服務(wù)類別委托應(yīng)急處理受理日期2017 年 X 月 XX 日處理日期2017 年 X 月 XX 日服務(wù)成員監(jiān)督人處理結(jié)論

3、：通過本次應(yīng)急處理服務(wù)，解決了XX 單位存在的網(wǎng)站漏洞，修補(bǔ)后，經(jīng)測(cè)試有效。建議委托單位針對(duì)報(bào)告中提出的建議，增強(qiáng)安全控制措施，切實(shí)提高信息安全水平，降低相關(guān)風(fēng)險(xiǎn)。XX 公司2017 年 X 月 XX 日批準(zhǔn)人：應(yīng)急處理服務(wù)人員：審核人：概述1.1 應(yīng)急處理服務(wù)背景XX 單位與 XX 公司簽訂應(yīng)急服務(wù)合同。XX 公司根據(jù)合同協(xié)議中規(guī)定的范圍和工作內(nèi)容為XX 單位提供應(yīng)急服務(wù)。2017 年 6 月 25日 XX 單位網(wǎng)站服務(wù)器發(fā)現(xiàn)存在惡意文件，直接威脅網(wǎng)站的正常運(yùn)營(yíng)與使用， XX 單位立即撥通XX 公司的應(yīng)急服務(wù)熱線，請(qǐng)求應(yīng)急處理服務(wù)。我方應(yīng)急處理服務(wù)人員,對(duì)相關(guān)信息進(jìn)行登記記錄,并按作業(yè)指導(dǎo)書

4、要求啟動(dòng)相關(guān)過程。1.2 應(yīng)急處理服務(wù)目的盡快確認(rèn)和修復(fù)漏洞，恢復(fù)信息系統(tǒng)的正常運(yùn)行，使信息系統(tǒng)所遭受的破壞最小化，并在應(yīng)急處理后提供準(zhǔn)確有效的法律證據(jù)、分析統(tǒng)計(jì)報(bào)告和有價(jià)值的建議，在應(yīng)急處理服務(wù)工作結(jié)束后對(duì)系統(tǒng)管理進(jìn)行完善。1.3 應(yīng)急處理服務(wù)范圍序號(hào)資產(chǎn)編號(hào)名稱型號(hào) / 操作系統(tǒng)位置1SDFDA-SE-006網(wǎng)站服務(wù)器（主）NF5270/Centos6.4藥監(jiān)機(jī)房2SDFDA-SE-007網(wǎng)站服務(wù)器（備）NF5270/Centos6.4藥監(jiān)機(jī)房3SDFDA-SE-011數(shù)據(jù)庫(kù)服務(wù)器（IBM/AIX4.2藥監(jiān)機(jī)房主)4SDFDA-SE-012數(shù)據(jù)庫(kù)服務(wù)器(備)IBM/AIX4.2藥監(jiān)機(jī)房1.

5、4 應(yīng)急處理服務(wù)依據(jù)1.4.1 應(yīng)急處理服務(wù)委托協(xié)議 XX 單位應(yīng)急處理服務(wù)委托書1.4.2 基礎(chǔ)標(biāo)準(zhǔn)與法律文件( YD/T 1799-2008 )安全技術(shù)信息安全事件管理指南( GB/Z 20985-2007 )信息安全事件分類指南( GB/Z 20986-2007 )1.4.3 參考文件信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范( GB/T 20984-2007 )信息系統(tǒng)安全等級(jí)保護(hù)基本要求( GB/T 22239-2008 )運(yùn)行維護(hù)第一部分通用要求(GB/T28827.1-2012)運(yùn)行維護(hù)第二部分交付規(guī)范(GB/T28827.1-2012)運(yùn)行維護(hù)第三部分應(yīng)急響應(yīng)規(guī)范( GB/T28827.1-2012

6、 )應(yīng)急處理服務(wù)流程XX 單位應(yīng)急處理服務(wù)過程主要包括六個(gè)階段：準(zhǔn)備階段、檢測(cè) 階段、抑制階段、根除階段、恢復(fù)階段、總結(jié)階段。應(yīng)急處理服務(wù)流程如圖所示。負(fù)責(zé)人準(zhǔn)備工作制定工作方案和計(jì)劃，監(jiān)督和指導(dǎo)其他小組的工作準(zhǔn)備階段技術(shù)人員準(zhǔn)備工作服務(wù)需求的確定，主機(jī)和網(wǎng)絡(luò)安全初始化快照和備份、工具包和必要技術(shù)的準(zhǔn)備市場(chǎng)人員準(zhǔn)備工作建立預(yù)防預(yù)警機(jī)制、及時(shí)進(jìn)行信息系統(tǒng)檢測(cè)和異常情況上報(bào)檢測(cè)階段抑制階段現(xiàn)場(chǎng)實(shí)施人員的確定確定和認(rèn)可抑制的方案并進(jìn)行抑制的實(shí)施根除階段恢復(fù)階段總結(jié)階段確定和認(rèn)可根除的方 法并進(jìn)行根除的實(shí)施啟動(dòng)專項(xiàng)預(yù)案根據(jù)確定的恢復(fù)方案進(jìn)行信息系統(tǒng)的恢復(fù)理過程并進(jìn)行總結(jié)形成事故報(bào)告 為服務(wù)對(duì)象提出安全

7、建議結(jié)束應(yīng)急處理服務(wù)內(nèi)容和方法3.1 準(zhǔn)備階段3.1.1 準(zhǔn)備階段工作流程準(zhǔn)備階段流程圖：3.1.2 準(zhǔn)備階段處理過程我公司與XX 單位進(jìn)行信息安全事件應(yīng)急處理詳情進(jìn)行溝通，分別對(duì)客戶應(yīng)急服務(wù)所包含的具體需求和客戶實(shí)際信息系統(tǒng)環(huán)境進(jìn)行了詳細(xì)了解，在達(dá)成一致的基礎(chǔ)上簽訂了應(yīng)急處理服務(wù)合同；隨后我公司立即成立針對(duì)該項(xiàng)目的應(yīng)急處理小組，立刻著手服務(wù)方案編寫和工具準(zhǔn)備工作，同時(shí)協(xié)助客戶對(duì)應(yīng)急范圍內(nèi)的信息系統(tǒng)進(jìn)行評(píng)估和備份快照。3.1.3 準(zhǔn)備階段現(xiàn)場(chǎng)處理記錄表工具準(zhǔn)備清單時(shí)間2017 年 X 月 XX日服務(wù)單位名稱XX 公司服務(wù)單位聯(lián)系人聯(lián)系方式響應(yīng)服務(wù)人員聯(lián)系方式工具使用原因目的描述輔助快速準(zhǔn)確發(fā)現(xiàn)

8、問題，解決問題。應(yīng)急工具準(zhǔn)備清單:綠盟遠(yuǎn)程安全評(píng)估系統(tǒng)北京安信通數(shù)據(jù)庫(kù)掃描系統(tǒng)Nessus 漏洞掃描Wireshark 抓包工具WVS 企業(yè)版WEB 應(yīng)用安全測(cè)試工具批準(zhǔn)人（簽字）：3.2 檢測(cè)階段3.2.1 檢測(cè)階段工作流程檢測(cè)階段流程圖：3.2.2 檢測(cè)階段處理過程我公司技術(shù)支持熱線客服人員接到用戶的應(yīng)急響應(yīng)服務(wù)電話請(qǐng)求后， 通過電話了解基本情況，并檢查我公司是否有該類安全事件的應(yīng)急預(yù)案，發(fā)現(xiàn)并沒有該類安全事件的應(yīng)急預(yù)案；隨后我公司立刻派遣應(yīng)急處理小組攜帶應(yīng)急工具、技術(shù)規(guī)范、現(xiàn)場(chǎng)記錄表在服務(wù)協(xié)議規(guī)定的 1 小時(shí)內(nèi)準(zhǔn)備完畢到達(dá)現(xiàn)場(chǎng)。到達(dá)客戶現(xiàn)場(chǎng)后，項(xiàng)目組負(fù)責(zé)人立即與客戶方負(fù)責(zé)人進(jìn)行方案溝通，

9、 由客戶負(fù)責(zé)人書面授權(quán)后，根據(jù)實(shí)際客戶情況建議對(duì)網(wǎng)站進(jìn)行切換和數(shù)據(jù)備份，隨后開始進(jìn)行檢測(cè)處理。檢測(cè)內(nèi)容如下：1) 事件溝通與應(yīng)急準(zhǔn)備。2) 方案溝通與應(yīng)急授權(quán)。3) 網(wǎng)站切換與快照備份。4) 漏洞發(fā)現(xiàn)與驗(yàn)證。5) 確定漏洞產(chǎn)生原因，溝通抑制措施。6) 準(zhǔn)備備份文件數(shù)據(jù)以備隨時(shí)回退。 經(jīng)過以上檢測(cè)，項(xiàng)目組確定漏洞根源并確認(rèn)成功。3.2.3 檢測(cè)階段現(xiàn)場(chǎng)處理記錄表檢測(cè)結(jié)果記錄時(shí)間2017 年 X 月 XX日服務(wù)單位名稱XX服務(wù)單位聯(lián)系人聯(lián)系方式響應(yīng)服務(wù)人員聯(lián)系方式檢測(cè)原因或檢測(cè)目的描述確認(rèn)漏洞存在并評(píng)估安全事件等級(jí)檢測(cè)過程及結(jié)果記錄：( 1 )首先發(fā)現(xiàn)任意下載漏洞，可以下載敏感信息文件：tomca

10、t 路徑：/data/tomcat6_8081/2) 然后根據(jù)敏感文件信息，并通過任意讀取漏洞獲取到關(guān)鍵信息：網(wǎng)站結(jié)構(gòu)、網(wǎng)站數(shù)據(jù)庫(kù)賬戶密碼等：3）確定上傳點(diǎn)，上傳木馬獲取系統(tǒng)權(quán)限：該事故發(fā)生后將導(dǎo)致網(wǎng)站服務(wù)器被非法接管，使其公共服務(wù)受到嚴(yán)重?fù)p壞，系該事故安全事件等級(jí)為：級(jí)。檢測(cè)階段確認(rèn)（簽字）3.3 抑制階段3.3.1 抑制階段工作流程3.3.2 抑制階段處理過程通過檢查階段的詳細(xì)調(diào)查，我們判斷是文件下載訪問權(quán)限不合理，上傳未做過濾產(chǎn)生的漏洞。在與客戶溝通后，客戶接受我們的方案并授權(quán)我們對(duì)該系統(tǒng)進(jìn)行抑制處理。（ 1 ）針對(duì)敏感文件設(shè)置讀取嚴(yán)格的讀取和下載權(quán)限，禁止訪問用戶可以讀取和下載。（ 2

11、）暫時(shí)關(guān)閉非法上傳點(diǎn)模塊。3）抑制措施驗(yàn)證并準(zhǔn)備備份數(shù)據(jù)隨時(shí)回退。3.4 根除階段抑制處理記錄表時(shí)間2017 年 X 月 XX 日服務(wù)單位名稱XX服務(wù)單位聯(lián)系人聯(lián)系方式響應(yīng)服務(wù)人員聯(lián)系方式抑制處理原因針對(duì)主要文件信息泄露和非法上傳漏洞進(jìn)行抑制抑制處理目的給予最快速的漏洞基本解決方案，初步抵御攻擊抑制處理方案：（ 1 ）針對(duì)敏感文件設(shè)置讀取嚴(yán)格的讀取和下載權(quán)限，禁止訪問用戶可以讀取和下載。（ 2）暫時(shí)關(guān)閉非法上傳點(diǎn)模塊。（ 3）抑制措施驗(yàn)證并準(zhǔn)備備份數(shù)據(jù)隨時(shí)回退。抑制方案產(chǎn)生的風(fēng)險(xiǎn)及應(yīng)對(duì)措施：抑制效果：抑制成功關(guān)閉非法上傳點(diǎn)模塊后，可能對(duì)日常管理，合法上傳存在一定的影響。 應(yīng)對(duì)措施： 當(dāng)需要上傳

12、時(shí)，采取使用介質(zhì)本地服務(wù)器拷貝上傳方式。 抑制方案確認(rèn)（簽字）：3.4.1 根除階段工作流程3.4.2 根除階段處理過程抑制階段可以解決外網(wǎng)用戶對(duì)網(wǎng)站系統(tǒng)的威脅，但是還沒有從根本上解決網(wǎng)站漏洞問題。在與客戶溝通后，我們進(jìn)行了如下操作：1) 與客戶溝通抑制措施達(dá)到的安全防護(hù)效果并協(xié)商廠商溝通事宜。2) 聯(lián)系廠商，與廠商說明目前網(wǎng)站存在的非法下載、讀取和上傳的漏洞，建議采用添加文件校驗(yàn)和文件權(quán)限模塊，實(shí)現(xiàn)漏洞修補(bǔ)。3) 建議客戶對(duì)服務(wù)器權(quán)限進(jìn)行合理優(yōu)化，使用非root 用戶運(yùn)行網(wǎng)站。4) 對(duì)廠商反饋修復(fù)結(jié)果進(jìn)行驗(yàn)證并準(zhǔn)備必要的回退措施。3.4.3 根除階段現(xiàn)場(chǎng)處理記錄表根除處理記錄表時(shí)間2017

13、年 X 月 XX日服務(wù)單位名稱XX服務(wù)單位聯(lián)系人聯(lián)系方式響應(yīng)服務(wù)人員聯(lián)系方式根除處理原因后臺(tái)頁(yè)面代碼修復(fù)，上傳限制使用后臺(tái)白名單根除處理方案：通過之前的抑制處理方案，已經(jīng)實(shí)現(xiàn)非法下載、讀取和上傳漏洞風(fēng)險(xiǎn)的基本控制，但沒有徹底根除漏洞根源。所以，可以通過以下方法徹底根除該問題。1) 與客戶溝通抑制措施達(dá)到的安全防護(hù)效果并協(xié)商廠商溝通事宜。2) 聯(lián)系廠商，與廠商說明目前網(wǎng)站存在的非法下載、讀取和上傳的漏洞，建議采用添加文件校驗(yàn)和文件權(quán)限模塊，實(shí)現(xiàn)漏洞修補(bǔ)。3) 建議客戶對(duì)服務(wù)器權(quán)限進(jìn)行合理優(yōu)化，使用非root 用戶運(yùn)行網(wǎng)站。4) 對(duì)廠商反饋修復(fù)結(jié)果進(jìn)行驗(yàn)證并準(zhǔn)備必要的回退措施。根除方案產(chǎn)生的風(fēng)險(xiǎn)：

14、 代碼漏洞修補(bǔ)和服務(wù)器權(quán)限優(yōu)化后，經(jīng)驗(yàn)證測(cè)試對(duì)網(wǎng)站系統(tǒng)無影響，進(jìn)一步增加 了網(wǎng)站的安全性。根除方案確認(rèn)(簽字)：根除效果：根除成功3.5.1 恢復(fù)階段工作流程恢復(fù)階段流程圖：抑制和根除階段文件對(duì)比，可疑文件確認(rèn)和清除3.5.2 恢復(fù)階段處理過程通過之前的抑制及根除處理，已經(jīng)基本解決了網(wǎng)站存在的高危漏 洞，在網(wǎng)站重新上線前，應(yīng)急人員重新對(duì)網(wǎng)站進(jìn)行全面的漏洞掃描， 并對(duì)發(fā)現(xiàn)的可疑漏洞進(jìn)行確認(rèn)和修復(fù)，同時(shí)對(duì)網(wǎng)站系統(tǒng)進(jìn)行安全加3.5.3 恢復(fù)階段現(xiàn)場(chǎng)記錄表恢復(fù)處理記錄表時(shí)間2017 年 X 月 XX服務(wù)單位名稱XX日服務(wù)單位聯(lián)系人聯(lián)系方式響應(yīng)服務(wù)人員聯(lián)系方式恢復(fù)處理原因文件對(duì)比、漏洞掃描、安全加固恢復(fù)

15、處理方案：通過之前的抑制及根除處理，已經(jīng)基本解決了非法下載、讀取和上傳漏洞，但為了全面的檢查網(wǎng)站完整性和安全性，在網(wǎng)站進(jìn)行重新恢復(fù)上線前主要執(zhí)行以下操作：1) 網(wǎng)站文件比對(duì)，可疑文件確認(rèn)和清除。2) 網(wǎng)站漏洞掃描，確認(rèn)并修復(fù)其他漏洞。3) 網(wǎng)站系統(tǒng)安全加固：權(quán)限細(xì)化、賬戶清理、登錄失敗策略配置等?；謴?fù)方案確認(rèn)(簽字)：恢復(fù)效果：恢復(fù)成功3.6 總結(jié)階段3.6.1 總結(jié)階段工作流程3.6.2 總結(jié)階段現(xiàn)場(chǎng)記錄表應(yīng)急響應(yīng)總結(jié)階段報(bào)告呈報(bào)部門：XX 單位報(bào)告時(shí)間：2017 年 X 月 XX 日?qǐng)?bào)告人：XX 報(bào)告人部門：XX事件的類型檢測(cè)時(shí)間2017 年 X 月 XX 日檢測(cè)動(dòng)作漏洞掃描和手工驗(yàn)證檢測(cè)

16、結(jié)果存在高危漏洞并威脅整體網(wǎng)站系統(tǒng)安全。抑制階段抑制時(shí)間2017 年X 月 XX 日抑制動(dòng)作（ 1 ）針對(duì)敏感文件設(shè)置讀取嚴(yán)格的讀取和下載權(quán)限，禁止訪問用戶可以讀取和下載。（2）暫時(shí)關(guān)閉非法上傳點(diǎn)模塊。抑制結(jié)果給予最快速的漏洞基本解決方案，初步抵御攻擊根除階段根除時(shí)間2017 年X 月 XX 日根除動(dòng)作漏洞反饋廠商，并配合廠商進(jìn)行漏洞修補(bǔ)。根除結(jié)果漏洞修補(bǔ)成功并重新上線正常運(yùn)營(yíng)。事件評(píng)估事件影響范圍XX 單位相關(guān)行業(yè)事件損失評(píng)估該網(wǎng)站系統(tǒng)中斷或非法篡改，可能影響到國(guó)家安全，擾亂社會(huì)秩序，對(duì)經(jīng)濟(jì)建設(shè)、公眾利益有一定的負(fù)面影響。處理方法評(píng)估處理方法得當(dāng)及時(shí)處理流程評(píng)估流程符合標(biāo)準(zhǔn)操作事件根源分析及教訓(xùn)原因分析網(wǎng)站代碼存在漏洞，多處訪問、下載未授權(quán)，上傳未限制。經(jīng)驗(yàn)教訓(xùn)應(yīng)用系統(tǒng)上線前進(jìn)行安全檢測(cè)，培養(yǎng)開