信息安全事件應急處理報告模板

1、XX單位信息安全事件應急處理報告XXX公司2017年X月XX日1、 概述 11.1 應急處理服務背景 11.2 應急處理服務目的 11.3 應急處理服務范圍 11.4 應急處理服務依據(jù) 21.4.1 應急處理服務委托協(xié)議21.4.2 基礎標準與法律文件21.4.3 參考文件22、 應急處理服務流程 33、 應急處理服務內(nèi)容和方法 53.1 準備階段53.1.1 準備階段工作流程53.1.2 準備階段處理過程53.1.3 準備階段現(xiàn)場處理記錄表63.2 檢測階段73.2.1 檢測階段工作流程 73.2.2 檢測階段處理過程 73.2.3 檢測階段現(xiàn)場處理記錄表83.3 抑制階段93.3.1 抑制

2、階段工作流程93.3.2 抑制階段處理過程 93.3.3 抑制階段現(xiàn)場處理記錄表103.4 根除階段113.4.1 根除階段工作流程113.4.2 根除階段處理過程 113.5 恢復階段133.5.1 恢復階段工作流程 133.5.2 恢復階段處理過程 133.5.3 恢復階段現(xiàn)場記錄表 133.6 總結階段 143.6.1 總結階段工作流程 143.6.2 總結階段現(xiàn)場記錄表154、 結論與建議 16信息安全事件應急處理報告應急處理單位委托單位XX單位服務類別委托應急處理受理日期2017年X月XX日處理日期2017年X月XX日服務成員監(jiān)督人處理結論：通過本次應急處理服務，解決了 XX單位存在

3、的網(wǎng)站漏洞，修補后，經(jīng)測試有效。建議委托單位針對報告中提出的建議，增強安全控制措施，切實提高信息安全 水平，降低相關風險。XX公司2017年X月XX日批準人：應急處理服務人員：審核人:一、概述1.1 應急處理服務背景XX單位與XX公司簽訂應急服務合同。XX公司根據(jù)合同協(xié)議中規(guī) 定的范圍和工作內(nèi)容為XX單位提供應急服務。2017年6月25日XX 單位網(wǎng)站服務器發(fā)現(xiàn)存在惡意文件，直接威脅網(wǎng)站的正常運營與使 用，XX單位立即撥通XX公司的應急服務熱線，請求應急處理服務。 我方應急處理服務人員，對相關信息進行登記記錄，并按作業(yè)指導書 要求啟動相關過程。1.2 應急處理服務目的盡快確認和修復漏洞，恢復信

4、息系統(tǒng)的正常運行，使信息系統(tǒng)所 遭受的破壞最小化，并在應急處理后提供準確有效的法律證據(jù)、分析 統(tǒng)計報告和有價值的建議，在應急處理服務工作結束后對系統(tǒng)管理進 彳了完善。1.3 應急處理服務范圍廳P資產(chǎn)編號名稱型號/操作系統(tǒng)位置1SDFDA-SE-006網(wǎng)站服務器（主）NF5270/Centos6.4藥監(jiān)機房2SDFDA-SE-007網(wǎng)站服務器（備）NF5270/Centos6.4藥監(jiān)機房3SDFDA-SE-011數(shù)據(jù)庫服務器（主）IBM/AIX4.2藥監(jiān)機房4SDFDA-SE-012數(shù)據(jù)庫服務器（備）IBM/AIX4.2藥監(jiān)機房1.4 應急處理服務依據(jù)1.4.1 應急處理服務委托協(xié)議XX單位應急

5、處理服務委托書1.4.2 基礎標準與法律文件«中華人民共和國突發(fā)事件應對法網(wǎng)絡與信息安全應急處理服務資質(zhì)評估方法(YD/T 1799-2008 )信息技術 安全技術 信息安全事件管理指南(GB/Z 20985-2007)信息安全技術 信息安全事件分類指南(GB/Z 20986-2007)1.4.3 參考文件信息安全技術 信息安全風險評估規(guī)范(GB/T 20984-2007)信息安全技術 信息系統(tǒng)安全等級保護基本要求(GB/T 22239-2008)信息技術服務 運行維護 第一部分 通用要求(GB/T28827.1-2012)信息技術服務 運行維護 第二部分 交付規(guī)范(GB/T2882

6、7.1-2012)信息技術服務 運行維護第三部分 應急響應規(guī)范(GB/T28827.1-2012)二、應急處理服務流程XX單位應急處理服務過程主要包括六個階段：準備階段、檢測 階段、抑制階段、根除階段、恢復階段、總結階段。應急處理服務流程如圖所示。準備階段負責人準備工作抑制階段根除階段檢測階段現(xiàn)場實施人員的確定確定和認可抑制的方案并進行抑制的實施恢復階段啟動專項預案回顧并完善整個事件的處理過程并進行總結總結階段形成事故報告為服務對象提出安全建議制定工作方案和計劃，監(jiān)督和指導其他小組的工作結束 )需求的確定，主機和網(wǎng)絡安全初始化快照和備份、工具包和必要技術的準備建立預防預警機制、及時進行信息系統(tǒng)

7、檢測和異常情況上報三、應急處理服務內(nèi)容和方法3.1 準備階段3.1.1 準備階段工作流程準備階段流程圖：3.1.2 準備階段處理過程我公司與XX單位進行信息安全事件應急處理詳情進行溝通，分 別對客戶應急服務所包含的具體需求和客戶實際信息系統(tǒng)環(huán)境進行 了詳細了解，在達成一致的基礎上簽訂了應急處理服務合同；隨后我公司立即成立針對該項目的應急處理小組，立刻著手服務方案編寫和工具準備工作，同時協(xié)助客戶對應急范圍內(nèi)的信息系統(tǒng)進行評估和備 份快照。3.1.3準備階段現(xiàn)場處理記錄表工具準備清單時間2017年X月XX日服務單位名稱XX公司服務單位聯(lián) 系人聯(lián)系方式響應服務人 員聯(lián)系方式工具使用原 因目的描述輔助

8、快速準確發(fā)現(xiàn)問題，解決問題。應急工具準備清單：綠盟遠程安全評估系統(tǒng)北京安信通數(shù)據(jù)庫掃描系統(tǒng)Nessus漏洞掃描Wireshark抓包工具WVa業(yè)版WEBk用安全測試工具批準人（簽字）：3.2 檢測階段3.2.1 檢測階段工作流程檢測階段流程圖：3.2.2 檢測階段處理過程我公司技術支持熱線客服人員接到用戶的應急響應服務電話請 求后，通過電話了解基本情況，并檢查我公司是否有該類安全事件的 應急預案，發(fā)現(xiàn)并沒有該類安全事件的應急預案；隨后我公司立刻派遣應急處理小組攜帶應急工具、技術規(guī)范、現(xiàn)場記錄表在服務協(xié)議規(guī) 定的1小時內(nèi)準備完畢到達現(xiàn)場。到達客戶現(xiàn)場后，項目組負責人立即與客戶方負責人進行方案溝

9、通，由客戶負責人書面授權后，根據(jù)實際客戶情況建議對網(wǎng)站進行切 換和數(shù)據(jù)備份，隨后開始進行檢測處理。檢測內(nèi)容如下：1）事件溝通與應急準備。2）方案溝通與應急授權。3）網(wǎng)站切換與快照備份。4）漏洞發(fā)現(xiàn)與驗證。5）確定漏洞產(chǎn)生原因，溝通抑制措施。6）準備備份文件數(shù)據(jù)以備隨時回退。經(jīng)過以上檢測，項目組確定漏洞根源并確認成功3.2.3 檢測階段現(xiàn)場處理記錄表檢測結果記錄時間2017年X月XX日服務單位名稱XX服務單位聯(lián)系人聯(lián)系方式響應服務人員聯(lián)系方式檢測原因或檢測 目的描述確認漏洞存在并評估安全事件等級檢測過程及結果記錄：(1)首先發(fā)現(xiàn)任意卜載漏洞，可以下載敏感信息文件：tomcat 路徑:/data/

10、tomcat6_8081/<Connector 口ort匚"8081" 口rotocol="HTTP/L 1" connection! iuieout= 20000 r&directPort=JtfURIEncoding=rfUTF-8rf maxThreads=600* minSpareThreads=#100* niaiSpareThreads=" 500 acc亡ptCount=" TOO" enableLookups=tffalseJ，/>(2)然后根據(jù)敏感文件信息，并通過任意讀取漏洞獲取到關鍵信

11、息：網(wǎng)站結構、 網(wǎng)站數(shù)據(jù)庫賬戶的W牛等：id-巾ifrbApp事)d i fliplairjcvcWS?ipl «r -tuur -fl L tei QiueChoTActer facodlln./'£.ter-mju "flLieirclitfli HHeirSetChifflcierfacodlnifilier<£ni. t-par-M''1, paLrMr-iiaw'：'eiKod :£- -. p*r-aa-mHE > ,pumi valpnrui v-b!he>-'i*

12、i1：-fWi.-<'filter>f 1L ier-njMi±: etslcinFilier< fl 1 te? - fillei-clMi ldl hure fillet- r«£bodFlil.£iF-. 'III tEr-cLai-ii? ini l：-paraa>>, p a rna"iuw "：" B«c kwzi d Dir< > pa eb m mr , ,aTn" vr"萬 _ _ _, _ _-_一,_ _ _ _ _

13、-t f Ui 1<:f ill er-wpprKJGxfiilflr « &HijnFih«r filtir<93"Ir醯tFFB?叫R： xlFMMrB) f 1h jk><fiU-fer Ikdif. LZfSelslfiFilTtf-.-'filter- feafeE 14 |工朝r-u 14tli £ til tcrf- U«inS«91i oaF b I e«t< fnter-elftRi><imi. t-iwu.-pnf-B*-dmv -'pv.

14、s-sftir1 pa-nrwe-1< DMiFM-n I >/inKFfMt . ' RiSfilfft1':曲# Qpr.f-HmE,''wriafcr ?mr." nlmtFLATSystem=winntWebServer=websphereAppPath-j cmsDBT ype=ojracle Sctup=success 二USERAdminPW-c3d2EHJiraiCF3YDcOQFN3FBdDA-Admin1P= THREADPOOL minPool s, 1 maxPoolsb checkThrcadPeriod=5<

15、;?xai versicm-l. 0 encoding-UTFS?><.sonething-el se-entirel y>proxool><alias>l<. alia5>,xirivcr-url/ CDATAjdbc：oracle： thin：172. 16. 2. 101 ： 1521：orcl/drivcr-iLrl><driver-class>oracle. jdbe. driver, OracleDrivsr</dri ver-class><drjver-properties>property

16、 naMe- user value- hjumm"/property name- pasEwoxd'" value:"hjems2015 /></driver-propcrtits><nininu»i-connet:tion-count>10C oininun-connect ion-count><naxinuw-connectior>-count>100</ wax i nun-connect i on-count>hanveb-iiaxiiiun-pagesi 口口0000&l

17、t; haQveb-*az iMun-paesize<test-befDre-use>true</te5t-beforeuse ><trace>true</trace><houise-keeDing-test-sal>5elect 1 from dual</ house-keeping-test-5ql><dbtype>orac le</dbtype>f 'proTcool?</something-else-entirely>(3)確定上傳點，上傳木馬獲取系統(tǒng)權限:慎帽設置嚏頓送

18、碎文怦X+名稱大小事店大小維灌州醫(yī)院4.4上盲目奈副評五雄信提交演二 wtktc.j 年6.12 KB2 KB JSP文件正強國器<- 由曰 中 安全 68 sdstc.iipx：Kgk. sdfda. gov. 5+ 11 /lEB-IKT/mi/124.128.：39-243目錄，文件0)名稱時間日3 /E匕1 國3E曰S口三0data v&r mtdi t root net sbin 20'15 mi ec bin etc hantetmp bootU33T lib1 ge t+found tftpboot WEB-IHT 4 esaAd sdstcl.htrnlK

19、B 灶忙5,jpg ? ?dsU6,Mml_ server c? ' tiw-t-h tml/ dat a/ W e bSph er e/AppS er ver/pr o f 11 e s/ d.efault/!$ who ami root. TLuuLq L XLilT)0ISO. 1.124 ；60925zffff:172, IS. 2.101 ; 1521ESTAftLISJCED1C150.1,124:3081：150. 150.1. 122:43673TIME WAIT) 。IM 1150 150 1 12243B75PIU MT2jCffff 15015C, 1.124:)

20、31Zffff.150.150 1 12243674TIMOAITjljffff.lEfl15C 1 124:501zffff172 IB. 2.101.15S1TIME WATT)0190, 1 124:59050 .：£fff172. 16. 2,101.1521TINEZtfAlTi01,124:596£i172 IS 2 101J1521ESTARUEJCEE0：ffff：15C.190. 1.1Z4：59413：ffff：1T2. 16. Z. 101 1521ES7AELISM2B1>0;f£f£ 190.150. L 124:8081

21、:fff£150.15D,1, 1£2:43S79FU TAIT21p；：ffff；190.190. 1,124;56443172.IS. Z 101 L5Z1TMEJiAIT)c190. 1,124:5&6£4172. 15.2 101 LS£1ESTABLISHED015fl. 1.124:5mi：ffff；01:1521TUB 附IT10:£Ef£-150.190. 1,124:57645：££££172.16. 2.101 ;1521TIMEJ/虹 T1c:f

22、Eff 150.150, L 1Z4；5T砌二172.IB- Z. 101:1521ESTABEtSJQD0:f£f£:190.1 EC.1.124:ST曲5二 ££££：172 IS. 2.101:1521ESTAfiUEMED0150.1.124:57961172. 16. 2,101:1521TIHE_WAITjljfff£ 15015C,1.124:57465172. IS. 2.101 1521ESTABUEMEDJ015C.1 124:57423：£fff172. 16. Z, 101.1521ESTA

23、BUSKED)0:f£f£:15n.15C,1.124:59252:f£ff172. IB. 2 .101 1521TIHEJAIT)0：ffff：15C.190. l,lZ4：57m1T2 IS? 101 151ESTABUSKEE】0.:£ff£:15C.190. 1,124:9090:ffff:150.150 1 122:413QBESTABUSMSB】0190. 1,1£4：5E51Z:ffff01 1521ESIABLISHJDin:;fEf£:190.190. 1,124 :S222B;f&#

24、163;f£172.IB.2 101:1521TIWEJAIT)c：f ff f 150. *-LLL_d L'C50,1,124:53225* Lm_i C E L i- L i_17E.IB. Z 101 L5E1TIWEJkIT安全事件等級確定:該事故發(fā)生后將導致網(wǎng)站服務器被非法接管，使其公共服務受到嚴重損壞，系 統(tǒng)受到嚴重損失，數(shù)據(jù)被非法竊?。辉摼W(wǎng)站系統(tǒng)中斷或非法篡改，可能影響到國家 安全，擾亂社會秩序，對經(jīng)濟建設、公眾利益有一定的負面影響。該事故安全事件等級為：n衿檢測階段確認（簽字）3.3.3抑制階段現(xiàn)場處理記錄表3.3.1 抑制階段工作流程抑制階段流程圖：山3.

25、3.2 抑制階段處理過程通過檢查階段的詳細調(diào)查，我們判斷是文件下載訪問權限不合理，上傳未做過濾產(chǎn)生的漏洞。在與客戶溝通后，客戶接受我們的方 案并授權我們對該系統(tǒng)進行抑制處理。(1)針對敏感文件設置讀取嚴格的讀取和下載權限，禁止訪問用戶 可以讀取和下載。(2)暫時關閉非法上傳點模塊。(3)抑制措施驗證并準備備份數(shù)據(jù)隨時回退。抑制處理記錄表時間2017年X月XX日服務單位名稱XX服務單位聯(lián)系人聯(lián)系方式響應服務人員聯(lián)系方式抑制處理原因針對主要文件信息泄露和非法上傳漏洞進行抑制抑制處理目的給予最快速的漏洞基本解決方案，初步抵御攻擊抑制處理方案：(1)針對敏感文件設置讀取嚴格的讀取不嚇載權限，禁止訪問用

26、戶可以讀取 和卜載。(2)暫時關閉非法上傳點模塊。(3)抑制措施驗證并準備備份數(shù)據(jù)隨時回退。抑制方案產(chǎn)生的風險及應對措施：關閉非法上傳點模塊后，可能對日常管理，合法上傳存在f的影響。應對措施：當需要上傳時，采取使用介質(zhì)本地服務器拷貝上傳方式。抑制方案確認(簽字)：抑制效果：抑制成功3.4根除階段3.4.1 根除階段工作流程根除階段流程圖：*與客戶協(xié)商廠商溝通事宜3.4.2 根除階段處理過程抑制階段可以解決外網(wǎng)用戶對網(wǎng)站系統(tǒng)的威脅，但是還沒有從根本上解決網(wǎng)站漏洞問題。在與客戶溝通后，我們進行了如下操作：1）與客戶溝通抑制措施達到的安全防護效果并協(xié)商廠商溝通事宜。2）聯(lián)系廠商，與廠商說明目前網(wǎng)站存

27、在的非法下載、讀取和上傳的漏洞，建議采用添加文件校驗和文件權限模塊，實現(xiàn)漏洞修補。3）建議客戶對服務器權限進行合理優(yōu)化，使用非 root用戶運行網(wǎng)站。4）對廠商反饋修復結果進行驗證并準備必要的回退措施。3.4.3根除階段現(xiàn)場處理記錄表根除處理記錄表時間2017年X月XX日服務單位名稱XX服務單位聯(lián)系人聯(lián)系方式響應服務人員聯(lián)系方式根除處理原因后臺頁面代碼修復，上傳限制使用后臺白名單根除處理方案：通過之前的抑制處理方案，已經(jīng)實現(xiàn)非法下載、讀取和上傳漏洞風險的基本 控制，但沒有徹底根除漏洞根源。所以，可以通過以卜方法徹底根除該問題。1）與客戶溝通抑制措施達到的安全防護效果并協(xié)商廠商溝逋事宜。2）聯(lián)系

28、廠商，與廠商說明目前網(wǎng)站存在的非法下載、讀取和上傳的漏洞，建議 采用添加文件校驗和文件權限模塊，實現(xiàn)漏洞修補。3）建議客戶對服務器權限進行合理優(yōu)化，使用非 root用戶運行網(wǎng)站。4）對廠商反饋修復結果進行驗證并準備必要的回退措施。根除方案產(chǎn)生的風險：代碼漏洞修補和服務器權限優(yōu)化后，經(jīng)驗證測試對網(wǎng)站系統(tǒng)無影響，進一步增加 了網(wǎng)站的安全性。根除方案確認（簽字）：根除效果：根除成功3.5恢復階段3.5.1 恢復階段工作流程恢復階段流程圖：抑制和根除階段文件對比，可疑文件確認和清除網(wǎng)站漏洞掃描與修復網(wǎng)站系統(tǒng)安全加固網(wǎng)站重新上線3.5.2 恢復階段處理過程通過之前的抑制及根除處理，已經(jīng)基本解決了網(wǎng)站存在的高危漏洞，在網(wǎng)站重新上線前，應急人員重新對網(wǎng)站進行全面的漏洞掃描, 并對發(fā)現(xiàn)的可疑漏洞進行確認和修復，同時對網(wǎng)站系統(tǒng)進行安全加固。3.5.3恢復階段現(xiàn)場記錄表恢復處理記錄表時間2017年X月X