信息安全事件應(yīng)急處理報(bào)告模板

1、XX單位信息安全事件應(yīng)急處理報(bào)告XXX公司2017年X月XX日1、 概述 11.1 應(yīng)急處理服務(wù)背景 11.2 應(yīng)急處理服務(wù)目的 11.3 應(yīng)急處理服務(wù)范圍 11.4 應(yīng)急處理服務(wù)依據(jù) 21.4.1 應(yīng)急處理服務(wù)委托協(xié)議21.4.2 基礎(chǔ)標(biāo)準(zhǔn)與法律文件21.4.3 參考文件22、 應(yīng)急處理服務(wù)流程 33、 應(yīng)急處理服務(wù)內(nèi)容和方法 53.1 準(zhǔn)備階段53.1.1 準(zhǔn)備階段工作流程53.1.2 準(zhǔn)備階段處理過程53.1.3 準(zhǔn)備階段現(xiàn)場(chǎng)處理記錄表63.2 檢測(cè)階段73.2.1 檢測(cè)階段工作流程 73.2.2 檢測(cè)階段處理過程 73.2.3 檢測(cè)階段現(xiàn)場(chǎng)處理記錄表83.3 抑制階段93.3.1 抑制

2、階段工作流程93.3.2 抑制階段處理過程 93.3.3 抑制階段現(xiàn)場(chǎng)處理記錄表103.4 根除階段113.4.1 根除階段工作流程113.4.2 根除階段處理過程 113.5 恢復(fù)階段133.5.1 恢復(fù)階段工作流程 133.5.2 恢復(fù)階段處理過程 133.5.3 恢復(fù)階段現(xiàn)場(chǎng)記錄表 133.6 總結(jié)階段 143.6.1 總結(jié)階段工作流程 143.6.2 總結(jié)階段現(xiàn)場(chǎng)記錄表154、 結(jié)論與建議 16信息安全事件應(yīng)急處理報(bào)告應(yīng)急處理單位委托單位XX單位服務(wù)類別委托應(yīng)急處理受理日期2017年X月XX日處理日期2017年X月XX日服務(wù)成員監(jiān)督人處理結(jié)論：通過本次應(yīng)急處理服務(wù)，解決了 XX單位存在

3、的網(wǎng)站漏洞，修補(bǔ)后，經(jīng)測(cè)試有效。建議委托單位針對(duì)報(bào)告中提出的建議，增強(qiáng)安全控制措施，切實(shí)提高信息安全 水平，降低相關(guān)風(fēng)險(xiǎn)。XX公司2017年X月XX日批準(zhǔn)人：應(yīng)急處理服務(wù)人員：審核人:一、概述1.1 應(yīng)急處理服務(wù)背景XX單位與XX公司簽訂應(yīng)急服務(wù)合同。XX公司根據(jù)合同協(xié)議中規(guī) 定的范圍和工作內(nèi)容為XX單位提供應(yīng)急服務(wù)。2017年6月25日XX 單位網(wǎng)站服務(wù)器發(fā)現(xiàn)存在惡意文件，直接威脅網(wǎng)站的正常運(yùn)營(yíng)與使 用，XX單位立即撥通XX公司的應(yīng)急服務(wù)熱線，請(qǐng)求應(yīng)急處理服務(wù)。 我方應(yīng)急處理服務(wù)人員，對(duì)相關(guān)信息進(jìn)行登記記錄，并按作業(yè)指導(dǎo)書 要求啟動(dòng)相關(guān)過程。1.2 應(yīng)急處理服務(wù)目的盡快確認(rèn)和修復(fù)漏洞，恢復(fù)信

4、息系統(tǒng)的正常運(yùn)行，使信息系統(tǒng)所 遭受的破壞最小化，并在應(yīng)急處理后提供準(zhǔn)確有效的法律證據(jù)、分析 統(tǒng)計(jì)報(bào)告和有價(jià)值的建議，在應(yīng)急處理服務(wù)工作結(jié)束后對(duì)系統(tǒng)管理進(jìn) 彳了完善。1.3 應(yīng)急處理服務(wù)范圍廳P資產(chǎn)編號(hào)名稱型號(hào)/操作系統(tǒng)位置1SDFDA-SE-006網(wǎng)站服務(wù)器（主）NF5270/Centos6.4藥監(jiān)機(jī)房2SDFDA-SE-007網(wǎng)站服務(wù)器（備）NF5270/Centos6.4藥監(jiān)機(jī)房3SDFDA-SE-011數(shù)據(jù)庫(kù)服務(wù)器（主）IBM/AIX4.2藥監(jiān)機(jī)房4SDFDA-SE-012數(shù)據(jù)庫(kù)服務(wù)器（備）IBM/AIX4.2藥監(jiān)機(jī)房1.4 應(yīng)急處理服務(wù)依據(jù)1.4.1 應(yīng)急處理服務(wù)委托協(xié)議XX單位應(yīng)急

5、處理服務(wù)委托書1.4.2 基礎(chǔ)標(biāo)準(zhǔn)與法律文件«中華人民共和國(guó)突發(fā)事件應(yīng)對(duì)法網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)資質(zhì)評(píng)估方法(YD/T 1799-2008 )信息技術(shù) 安全技術(shù) 信息安全事件管理指南(GB/Z 20985-2007)信息安全技術(shù) 信息安全事件分類指南(GB/Z 20986-2007)1.4.3 參考文件信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范(GB/T 20984-2007)信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求(GB/T 22239-2008)信息技術(shù)服務(wù) 運(yùn)行維護(hù) 第一部分 通用要求(GB/T28827.1-2012)信息技術(shù)服務(wù) 運(yùn)行維護(hù) 第二部分 交付規(guī)范(GB/T2882

6、7.1-2012)信息技術(shù)服務(wù) 運(yùn)行維護(hù)第三部分 應(yīng)急響應(yīng)規(guī)范(GB/T28827.1-2012)二、應(yīng)急處理服務(wù)流程XX單位應(yīng)急處理服務(wù)過程主要包括六個(gè)階段：準(zhǔn)備階段、檢測(cè) 階段、抑制階段、根除階段、恢復(fù)階段、總結(jié)階段。應(yīng)急處理服務(wù)流程如圖所示。準(zhǔn)備階段負(fù)責(zé)人準(zhǔn)備工作抑制階段根除階段檢測(cè)階段現(xiàn)場(chǎng)實(shí)施人員的確定確定和認(rèn)可抑制的方案并進(jìn)行抑制的實(shí)施恢復(fù)階段啟動(dòng)專項(xiàng)預(yù)案回顧并完善整個(gè)事件的處理過程并進(jìn)行總結(jié)總結(jié)階段形成事故報(bào)告為服務(wù)對(duì)象提出安全建議制定工作方案和計(jì)劃，監(jiān)督和指導(dǎo)其他小組的工作結(jié)束 )需求的確定，主機(jī)和網(wǎng)絡(luò)安全初始化快照和備份、工具包和必要技術(shù)的準(zhǔn)備建立預(yù)防預(yù)警機(jī)制、及時(shí)進(jìn)行信息系統(tǒng)

7、檢測(cè)和異常情況上報(bào)三、應(yīng)急處理服務(wù)內(nèi)容和方法3.1 準(zhǔn)備階段3.1.1 準(zhǔn)備階段工作流程準(zhǔn)備階段流程圖：3.1.2 準(zhǔn)備階段處理過程我公司與XX單位進(jìn)行信息安全事件應(yīng)急處理詳情進(jìn)行溝通，分 別對(duì)客戶應(yīng)急服務(wù)所包含的具體需求和客戶實(shí)際信息系統(tǒng)環(huán)境進(jìn)行 了詳細(xì)了解，在達(dá)成一致的基礎(chǔ)上簽訂了應(yīng)急處理服務(wù)合同；隨后我公司立即成立針對(duì)該項(xiàng)目的應(yīng)急處理小組，立刻著手服務(wù)方案編寫和工具準(zhǔn)備工作，同時(shí)協(xié)助客戶對(duì)應(yīng)急范圍內(nèi)的信息系統(tǒng)進(jìn)行評(píng)估和備 份快照。3.1.3準(zhǔn)備階段現(xiàn)場(chǎng)處理記錄表工具準(zhǔn)備清單時(shí)間2017年X月XX日服務(wù)單位名稱XX公司服務(wù)單位聯(lián) 系人聯(lián)系方式響應(yīng)服務(wù)人 員聯(lián)系方式工具使用原 因目的描述輔助

8、快速準(zhǔn)確發(fā)現(xiàn)問題，解決問題。應(yīng)急工具準(zhǔn)備清單：綠盟遠(yuǎn)程安全評(píng)估系統(tǒng)北京安信通數(shù)據(jù)庫(kù)掃描系統(tǒng)Nessus漏洞掃描Wireshark抓包工具WVa業(yè)版WEBk用安全測(cè)試工具批準(zhǔn)人（簽字）：3.2 檢測(cè)階段3.2.1 檢測(cè)階段工作流程檢測(cè)階段流程圖：3.2.2 檢測(cè)階段處理過程我公司技術(shù)支持熱線客服人員接到用戶的應(yīng)急響應(yīng)服務(wù)電話請(qǐng) 求后，通過電話了解基本情況，并檢查我公司是否有該類安全事件的 應(yīng)急預(yù)案，發(fā)現(xiàn)并沒有該類安全事件的應(yīng)急預(yù)案；隨后我公司立刻派遣應(yīng)急處理小組攜帶應(yīng)急工具、技術(shù)規(guī)范、現(xiàn)場(chǎng)記錄表在服務(wù)協(xié)議規(guī) 定的1小時(shí)內(nèi)準(zhǔn)備完畢到達(dá)現(xiàn)場(chǎng)。到達(dá)客戶現(xiàn)場(chǎng)后，項(xiàng)目組負(fù)責(zé)人立即與客戶方負(fù)責(zé)人進(jìn)行方案溝

9、通，由客戶負(fù)責(zé)人書面授權(quán)后，根據(jù)實(shí)際客戶情況建議對(duì)網(wǎng)站進(jìn)行切 換和數(shù)據(jù)備份，隨后開始進(jìn)行檢測(cè)處理。檢測(cè)內(nèi)容如下：1）事件溝通與應(yīng)急準(zhǔn)備。2）方案溝通與應(yīng)急授權(quán)。3）網(wǎng)站切換與快照備份。4）漏洞發(fā)現(xiàn)與驗(yàn)證。5）確定漏洞產(chǎn)生原因，溝通抑制措施。6）準(zhǔn)備備份文件數(shù)據(jù)以備隨時(shí)回退。經(jīng)過以上檢測(cè)，項(xiàng)目組確定漏洞根源并確認(rèn)成功3.2.3 檢測(cè)階段現(xiàn)場(chǎng)處理記錄表檢測(cè)結(jié)果記錄時(shí)間2017年X月XX日服務(wù)單位名稱XX服務(wù)單位聯(lián)系人聯(lián)系方式響應(yīng)服務(wù)人員聯(lián)系方式檢測(cè)原因或檢測(cè) 目的描述確認(rèn)漏洞存在并評(píng)估安全事件等級(jí)檢測(cè)過程及結(jié)果記錄：(1)首先發(fā)現(xiàn)任意卜載漏洞，可以下載敏感信息文件：tomcat 路徑:/data/

10、tomcat6_8081/<Connector 口ort匚"8081" 口rotocol="HTTP/L 1" connection! iuieout= 20000 r&directPort=JtfURIEncoding=rfUTF-8rf maxThreads=600* minSpareThreads=#100* niaiSpareThreads=" 500 acc亡ptCount=" TOO" enableLookups=tffalseJ，/>(2)然后根據(jù)敏感文件信息，并通過任意讀取漏洞獲取到關(guān)鍵信

11、息：網(wǎng)站結(jié)構(gòu)、 網(wǎng)站數(shù)據(jù)庫(kù)賬戶的W牛等：id-巾ifrbApp事)d i fliplairjcvcWS?ipl «r -tuur -fl L tei QiueChoTActer facodlln./'£.ter-mju "flLieirclitfli HHeirSetChifflcierfacodlnifilier<£ni. t-par-M''1, paLrMr-iiaw'：'eiKod :£- -. p*r-aa-mHE > ,pumi valpnrui v-b!he>-'i*

12、i1：-fWi.-<'filter>f 1L ier-njMi±: etslcinFilier< fl 1 te? - fillei-clMi ldl hure fillet- r«£bodFlil.£iF-. 'III tEr-cLai-ii? ini l：-paraa>>, p a rna"iuw "：" B«c kwzi d Dir< > pa eb m mr , ,aTn" vr"萬 _ _ _, _ _-_一,_ _ _ _ _

13、-t f Ui 1<:f ill er-wpprKJGxfiilflr « &HijnFih«r filtir<93"Ir醯tFFB?叫R： xlFMMrB) f 1h jk><fiU-fer Ikdif. LZfSelslfiFilTtf-.-'filter- feafeE 14 |工朝r-u 14tli £ til tcrf- U«inS«91i oaF b I e«t< fnter-elftRi><imi. t-iwu.-pnf-B*-dmv -'pv.

14、s-sftir1 pa-nrwe-1< DMiFM-n I >/inKFfMt . ' RiSfilfft1':曲# Qpr.f-HmE,''wriafcr ?mr." nlmtFLATSystem=winntWebServer=websphereAppPath-j cmsDBT ype=ojracle Sctup=success 二USERAdminPW-c3d2EHJiraiCF3YDcOQFN3FBdDA-Admin1P= THREADPOOL minPool s, 1 maxPoolsb checkThrcadPeriod=5<

15、;?xai versicm-l. 0 encoding-UTFS?><.sonething-el se-entirel y>proxool><alias>l<. alia5>,xirivcr-url/ CDATAjdbc：oracle： thin：172. 16. 2. 101 ： 1521：orcl/drivcr-iLrl><driver-class>oracle. jdbe. driver, OracleDrivsr</dri ver-class><drjver-properties>property

16、 naMe- user value- hjumm"/property name- pasEwoxd'" value:"hjems2015 /></driver-propcrtits><nininu»i-connet:tion-count>10C oininun-connect ion-count><naxinuw-connectior>-count>100</ wax i nun-connect i on-count>hanveb-iiaxiiiun-pagesi 口口0000&l

17、t; haQveb-*az iMun-paesize<test-befDre-use>true</te5t-beforeuse ><trace>true</trace><houise-keeDing-test-sal>5elect 1 from dual</ house-keeping-test-5ql><dbtype>orac le</dbtype>f 'proTcool?</something-else-entirely>(3)確定上傳點(diǎn)，上傳木馬獲取系統(tǒng)權(quán)限:慎帽設(shè)置嚏頓送

18、碎文怦X+名稱大小事店大小維灌州醫(yī)院4.4上盲目奈副評(píng)五雄信提交演二 wtktc.j 年6.12 KB2 KB JSP文件正強(qiáng)國(guó)器<- 由曰 中 安全 68 sdstc.iipx：Kgk. sdfda. gov. 5+ 11 /lEB-IKT/mi/124.128.：39-243目錄，文件0)名稱時(shí)間日3 /E匕1 國(guó)3E曰S口三0data v&r mtdi t root net sbin 20'15 mi ec bin etc hantetmp bootU33T lib1 ge t+found tftpboot WEB-IHT 4 esaAd sdstcl.htrnlK

19、B 灶忙5,jpg ? ?dsU6,Mml_ server c? ' tiw-t-h tml/ dat a/ W e bSph er e/AppS er ver/pr o f 11 e s/ d.efault/!$ who ami root. TLuuLq L XLilT)0ISO. 1.124 ；60925zffff:172, IS. 2.101 ; 1521ESTAftLISJCED1C150.1,124:3081：150. 150.1. 122:43673TIME WAIT) 。IM 1150 150 1 12243B75PIU MT2jCffff 15015C, 1.124:)

20、31Zffff.150.150 1 12243674TIMOAITjljffff.lEfl15C 1 124:501zffff172 IB. 2.101.15S1TIME WATT)0190, 1 124:59050 .：£fff172. 16. 2,101.1521TINEZtfAlTi01,124:596£i172 IS 2 101J1521ESTARUEJCEE0：ffff：15C.190. 1.1Z4：59413：ffff：1T2. 16. Z. 101 1521ES7AELISM2B1>0;f£f£ 190.150. L 124:8081

21、:fff£150.15D,1, 1£2:43S79FU TAIT21p；：ffff；190.190. 1,124;56443172.IS. Z 101 L5Z1TMEJiAIT)c190. 1,124:5&6£4172. 15.2 101 LS£1ESTABLISHED015fl. 1.124:5mi：ffff；01:1521TUB 附IT10:£Ef£-150.190. 1,124:57645：££££172.16. 2.101 ;1521TIMEJ/虹 T1c:f

22、Eff 150.150, L 1Z4；5T砌二172.IB- Z. 101:1521ESTABEtSJQD0:f£f£:190.1 EC.1.124:ST曲5二 ££££：172 IS. 2.101:1521ESTAfiUEMED0150.1.124:57961172. 16. 2,101:1521TIHE_WAITjljfff£ 15015C,1.124:57465172. IS. 2.101 1521ESTABUEMEDJ015C.1 124:57423：£fff172. 16. Z, 101.1521ESTA

23、BUSKED)0:f£f£:15n.15C,1.124:59252:f£ff172. IB. 2 .101 1521TIHEJAIT)0：ffff：15C.190. l,lZ4：57m1T2 IS? 101 151ESTABUSKEE】0.:£ff£:15C.190. 1,124:9090:ffff:150.150 1 122:413QBESTABUSMSB】0190. 1,1£4：5E51Z:ffff01 1521ESIABLISHJDin:;fEf£:190.190. 1,124 :S222B;f&#

24、163;f£172.IB.2 101:1521TIWEJAIT)c：f ff f 150. *-LLL_d L'C50,1,124:53225* Lm_i C E L i- L i_17E.IB. Z 101 L5E1TIWEJkIT安全事件等級(jí)確定:該事故發(fā)生后將導(dǎo)致網(wǎng)站服務(wù)器被非法接管，使其公共服務(wù)受到嚴(yán)重?fù)p壞，系 統(tǒng)受到嚴(yán)重?fù)p失，數(shù)據(jù)被非法竊取；該網(wǎng)站系統(tǒng)中斷或非法篡改，可能影響到國(guó)家 安全，擾亂社會(huì)秩序，對(duì)經(jīng)濟(jì)建設(shè)、公眾利益有一定的負(fù)面影響。該事故安全事件等級(jí)為：n衿檢測(cè)階段確認(rèn)（簽字）3.3.3抑制階段現(xiàn)場(chǎng)處理記錄表3.3.1 抑制階段工作流程抑制階段流程圖：山3.

25、3.2 抑制階段處理過程通過檢查階段的詳細(xì)調(diào)查，我們判斷是文件下載訪問權(quán)限不合理，上傳未做過濾產(chǎn)生的漏洞。在與客戶溝通后，客戶接受我們的方 案并授權(quán)我們對(duì)該系統(tǒng)進(jìn)行抑制處理。(1)針對(duì)敏感文件設(shè)置讀取嚴(yán)格的讀取和下載權(quán)限，禁止訪問用戶 可以讀取和下載。(2)暫時(shí)關(guān)閉非法上傳點(diǎn)模塊。(3)抑制措施驗(yàn)證并準(zhǔn)備備份數(shù)據(jù)隨時(shí)回退。抑制處理記錄表時(shí)間2017年X月XX日服務(wù)單位名稱XX服務(wù)單位聯(lián)系人聯(lián)系方式響應(yīng)服務(wù)人員聯(lián)系方式抑制處理原因針對(duì)主要文件信息泄露和非法上傳漏洞進(jìn)行抑制抑制處理目的給予最快速的漏洞基本解決方案，初步抵御攻擊抑制處理方案：(1)針對(duì)敏感文件設(shè)置讀取嚴(yán)格的讀取不嚇載權(quán)限，禁止訪問用

26、戶可以讀取 和卜載。(2)暫時(shí)關(guān)閉非法上傳點(diǎn)模塊。(3)抑制措施驗(yàn)證并準(zhǔn)備備份數(shù)據(jù)隨時(shí)回退。抑制方案產(chǎn)生的風(fēng)險(xiǎn)及應(yīng)對(duì)措施：關(guān)閉非法上傳點(diǎn)模塊后，可能對(duì)日常管理，合法上傳存在f的影響。應(yīng)對(duì)措施：當(dāng)需要上傳時(shí)，采取使用介質(zhì)本地服務(wù)器拷貝上傳方式。抑制方案確認(rèn)(簽字)：抑制效果：抑制成功3.4根除階段3.4.1 根除階段工作流程根除階段流程圖：*與客戶協(xié)商廠商溝通事宜3.4.2 根除階段處理過程抑制階段可以解決外網(wǎng)用戶對(duì)網(wǎng)站系統(tǒng)的威脅，但是還沒有從根本上解決網(wǎng)站漏洞問題。在與客戶溝通后，我們進(jìn)行了如下操作：1）與客戶溝通抑制措施達(dá)到的安全防護(hù)效果并協(xié)商廠商溝通事宜。2）聯(lián)系廠商，與廠商說明目前網(wǎng)站存

27、在的非法下載、讀取和上傳的漏洞，建議采用添加文件校驗(yàn)和文件權(quán)限模塊，實(shí)現(xiàn)漏洞修補(bǔ)。3）建議客戶對(duì)服務(wù)器權(quán)限進(jìn)行合理優(yōu)化，使用非 root用戶運(yùn)行網(wǎng)站。4）對(duì)廠商反饋修復(fù)結(jié)果進(jìn)行驗(yàn)證并準(zhǔn)備必要的回退措施。3.4.3根除階段現(xiàn)場(chǎng)處理記錄表根除處理記錄表時(shí)間2017年X月XX日服務(wù)單位名稱XX服務(wù)單位聯(lián)系人聯(lián)系方式響應(yīng)服務(wù)人員聯(lián)系方式根除處理原因后臺(tái)頁面代碼修復(fù)，上傳限制使用后臺(tái)白名單根除處理方案：通過之前的抑制處理方案，已經(jīng)實(shí)現(xiàn)非法下載、讀取和上傳漏洞風(fēng)險(xiǎn)的基本 控制，但沒有徹底根除漏洞根源。所以，可以通過以卜方法徹底根除該問題。1）與客戶溝通抑制措施達(dá)到的安全防護(hù)效果并協(xié)商廠商溝逋事宜。2）聯(lián)系

28、廠商，與廠商說明目前網(wǎng)站存在的非法下載、讀取和上傳的漏洞，建議 采用添加文件校驗(yàn)和文件權(quán)限模塊，實(shí)現(xiàn)漏洞修補(bǔ)。3）建議客戶對(duì)服務(wù)器權(quán)限進(jìn)行合理優(yōu)化，使用非 root用戶運(yùn)行網(wǎng)站。4）對(duì)廠商反饋修復(fù)結(jié)果進(jìn)行驗(yàn)證并準(zhǔn)備必要的回退措施。根除方案產(chǎn)生的風(fēng)險(xiǎn)：代碼漏洞修補(bǔ)和服務(wù)器權(quán)限優(yōu)化后，經(jīng)驗(yàn)證測(cè)試對(duì)網(wǎng)站系統(tǒng)無影響，進(jìn)一步增加 了網(wǎng)站的安全性。根除方案確認(rèn)（簽字）：根除效果：根除成功3.5恢復(fù)階段3.5.1 恢復(fù)階段工作流程恢復(fù)階段流程圖：抑制和根除階段文件對(duì)比，可疑文件確認(rèn)和清除網(wǎng)站漏洞掃描與修復(fù)網(wǎng)站系統(tǒng)安全加固網(wǎng)站重新上線3.5.2 恢復(fù)階段處理過程通過之前的抑制及根除處理，已經(jīng)基本解決了網(wǎng)站存在的高危漏洞，在網(wǎng)站重新上線前，應(yīng)急人員重新對(duì)網(wǎng)站進(jìn)行全面的漏洞掃描, 并對(duì)發(fā)現(xiàn)的可疑漏洞進(jìn)行確認(rèn)和修復(fù)，同時(shí)對(duì)網(wǎng)站系統(tǒng)進(jìn)行安全加固。3.5.3恢復(fù)階段現(xiàn)場(chǎng)記錄表恢復(fù)處理記錄表時(shí)間2017年X月X