安全安全事件應(yīng)急演練方案

1、PAGE14安全事件應(yīng)急演練方案本次應(yīng)急演練的背景和目的為貫徹落實集團公司關(guān)于印發(fā)“中國移動十八大網(wǎng)絡(luò)與信息安全保障專項行動工作方案“的通知（中移綜發(fā)201211號）的總體要求，用一個安全、凈化的網(wǎng)絡(luò)迎接十八大勝利召開,根據(jù)集團公司統(tǒng)一安排，各部門、各單位需組織各圍繞信息安全的突發(fā)事件和高發(fā)事件，完成一次綜合性的應(yīng)急演練。此次信息安全事件應(yīng)急演練是針對所轄系統(tǒng)在運行過程中或者操作過程中可能出現(xiàn)的緊急問題，其目的是提升對黑客入侵等安全事件的監(jiān)測應(yīng)急能力，提升對具有社會動員能力系統(tǒng)突發(fā)事件的緊急處置能力，縮短系統(tǒng)中斷時間，降低業(yè)務(wù)損失，為十八大期間的信息安全保障工作的做好充分準(zhǔn)備。演練涉及的單位省

2、公司網(wǎng)絡(luò)部、市場部、數(shù)據(jù)部、集團客戶部、網(wǎng)管中心、數(shù)據(jù)中心、業(yè)務(wù)支撐中心、客戶服務(wù)中心、各市公司。應(yīng)急演練方法本次演練采用安全事件應(yīng)急過程的紙面演練與具體應(yīng)急措施的實際操作相結(jié)合的方式開展，以求真正達到應(yīng)急演練的目的。請各部門、各單位針對本方案設(shè)定的每個應(yīng)急演練項目(見下節(jié))，結(jié)合自身應(yīng)用系統(tǒng)的實際情況，選擇可能出現(xiàn)安全事件的應(yīng)用系統(tǒng)，由該系統(tǒng)的應(yīng)急處理人員填寫如下應(yīng)急演練表格，實現(xiàn)應(yīng)急過程的紙面演練。附錄一給出了應(yīng)急演練表格。附錄二給出了應(yīng)急演練表格的填寫樣例，附錄三給出了針對本方案設(shè)定的應(yīng)急演練項目可采取的一些應(yīng)急處理措施，供各部門、單位參考。對于應(yīng)急處理措施，在填寫過程中應(yīng)結(jié)合所選應(yīng)用系

3、統(tǒng)的實際軟硬件環(huán)境，給出具體的操作指令或工具。同時，應(yīng)急處理人員應(yīng)在應(yīng)用系統(tǒng)測試環(huán)境下進行實際的操作練習(xí)。應(yīng)急演練項目本方案選擇5類共9個應(yīng)急演練項目，分別是：信息篡改（1個項目）：指未經(jīng)授權(quán)將系統(tǒng)中的信息更換為攻擊者所提供的信息而導(dǎo)致的信息安全事件。例如網(wǎng)站首頁被替換的信息安全事件。病毒/蠕蟲/惡意代碼（2個項目）：指系統(tǒng)內(nèi)部主機遭受病毒、蠕蟲、惡意代碼的破壞，或從外網(wǎng)發(fā)起對系統(tǒng)的病毒、蠕蟲、惡意代碼感染事件。具體分成內(nèi)部事件和外部事件兩個項目。DOS攻擊（4個項目）：指利用信息系統(tǒng)缺陷、或通過暴力攻擊的手段，以大量消耗信息系統(tǒng)的CPU、內(nèi)存、磁盤空間或網(wǎng)絡(luò)帶寬等資源，從而影響信息系統(tǒng)正常運

4、行為目的的信息安全事件。拒絕服務(wù)發(fā)起時往往表現(xiàn)為CPU、內(nèi)存、帶寬等的高利用率，同時由于攻擊手法和形式的多樣性，造成對攻擊形式攻擊特征分析帶來一定的難度。具體演練項目包括：由內(nèi)部發(fā)起的DOS攻擊事件、由外部發(fā)起的利用主機漏洞的DOS攻擊事件、由外部發(fā)起的利用網(wǎng)絡(luò)設(shè)備漏洞的DOS攻擊事件、由外部發(fā)起的利用網(wǎng)絡(luò)協(xié)議/應(yīng)用漏洞的DOS攻擊事件。黑客控制系統(tǒng)：指黑客入侵后，對內(nèi)部系統(tǒng)和應(yīng)用進行控制，并嘗試以此為跳板對其它內(nèi)部系統(tǒng)和應(yīng)用進行攻擊。例如入侵后植入遠程控制軟件，惡意修改系統(tǒng)管理員口令或者Web應(yīng)用管理員口令等。不良信息傳播：包含任何不當(dāng)?shù)摹⑽耆枵u謗的、淫穢的、暴力的及任何違反國家法律法規(guī)政策

5、的內(nèi)容信息通過具備郵件等系統(tǒng)進行傳播。應(yīng)急演練結(jié)果反饋針對五類9個項目按要求完成應(yīng)急演練，分別填寫應(yīng)急演練表反饋總部：表1 信息篡改事件應(yīng)急演練表表 內(nèi)部病毒/蠕蟲/惡意代碼事件演練表表 外部病毒/蠕蟲/惡意代碼事件演練表表 由內(nèi)部發(fā)起的DOS攻擊事件演練表表 由外部發(fā)起的利用主機漏洞的DOS攻擊事件演練表表 由外部發(fā)起的利用網(wǎng)絡(luò)設(shè)備漏洞的DOS攻擊事件演練表表 由外部發(fā)起的利用網(wǎng)絡(luò)協(xié)議/應(yīng)用漏洞的DOS攻擊事件演練表表4 黑客控制系統(tǒng)事件演練表表5 不良信息傳播事件演練表附錄一：應(yīng)急演練表應(yīng)急演練項目名稱外部病毒/蠕蟲/惡意代碼事件演練表應(yīng)用系統(tǒng)名稱某網(wǎng)站首頁事件描述IP地址為的IIS WE

6、B服務(wù)器的頁面被惡意掛馬應(yīng)急處理時間應(yīng)急處理人員事件上報過程應(yīng)急處理過程 收到服務(wù)器監(jiān)測軟件報警，在遠程登陸界面試探查看是否存在shift后門，然后登陸服務(wù)器。先將已經(jīng)掛馬的頁面?zhèn)浞莸?處作為入侵后備份取證資料，將前期備份恢復(fù)至整站。保障網(wǎng)站正常運行。提取頁面掛馬代碼，利用暗組web防火墻批量清除整站掛馬代碼。再利用webshell掃描工具掃描整站中的webshell、畸形文件目錄、同日期新增或修改過的網(wǎng)頁，進行分析清除。 利用阿DSQL注入工具或明小子旁注工具檢測，發(fā)現(xiàn)網(wǎng)站同一服務(wù)器上其它網(wǎng)站存在注入漏洞，導(dǎo)致此網(wǎng)站旁注漏洞。 對同服務(wù)器存在注入的網(wǎng)站按照注入漏洞封堵程序進行打補丁進行封堵。

7、 對本服務(wù)web日志進行備份、分析查找攻擊源IP。并在服務(wù)器安全軟件上對其IP進行72小時黑名單處理。處理完畢后， 持續(xù)觀察注意服務(wù)器安全軟件提示。 事件原因分析及后續(xù)工作建議網(wǎng)站同一服務(wù)器上其它網(wǎng)站存在注入漏洞，導(dǎo)致此網(wǎng)站旁注漏洞。對整個服務(wù)器上其它站點進行批量sql或者弱密碼、默認后臺、數(shù)據(jù)庫防下載等進行檢查、監(jiān)測。事件處理結(jié)果上報應(yīng)急演練項目名稱由外部發(fā)起的利用主機漏洞的DOS攻擊事件演練表應(yīng)用系統(tǒng)名稱某企業(yè)服務(wù)器事件描述IP地址為的主機網(wǎng)站無法正常訪問應(yīng)急處理時間應(yīng)急處理人員事件上報過程應(yīng)急處理過程 收到服務(wù)器監(jiān)測軟件報警，登陸服務(wù)器利用天鷹抗DDoS攻擊監(jiān)控器 查看攻擊包類型，和攻擊

8、峰值。暫時將該域名主機解析至維護頁面 ，迅速啟用抗ddos硬件防火墻，再將域名解析修正正常，保障網(wǎng)站正常運營。 在服務(wù)器終端利用 netstat -antp 查看端口開放情況，發(fā)現(xiàn)大量的鏈接存在著，并且都是在本機445端口處于ESTABLISHED狀態(tài)。在防火層中設(shè)立規(guī)則禁止本機445端口的出站。 用xscan掃描本機存在的漏洞和服務(wù)，發(fā)現(xiàn)Common Internet File System(CIFS)服務(wù)處于打開狀態(tài)。關(guān)閉此服務(wù)，再次掃描本機查看是否開放危險端口和服務(wù)。處理完畢事件原因分析及后續(xù)工作建議服務(wù)器開啟危險端口和服務(wù)，造成外部入侵的DOS攻擊。后續(xù)工作建議時常監(jiān)測服務(wù)危險端口和服

9、務(wù)的開放情況，及時對服務(wù)器進行操作系統(tǒng)和第三方軟件補丁的修補。事件處理結(jié)果上報附錄二：應(yīng)急演練表填寫樣例演練項目名稱信息篡改事件應(yīng)用系統(tǒng)名稱xx門戶網(wǎng)站事件描述IP地址為的IIS WEB服務(wù)器的頁面被篡改。應(yīng)急處理時間2012-8-15 14：4516：30應(yīng)急處理人員趙xx，xx公司（第三方代維廠商）； 王五，業(yè)務(wù)支撐中心。事件上報過程14:47，應(yīng)急處理人將事件內(nèi)容電話上報給業(yè)務(wù)支撐中心領(lǐng)導(dǎo)、網(wǎng)絡(luò)與信息安全辦公室14:50，網(wǎng)絡(luò)與信息安全辦公室將事件內(nèi)容電話上報給集團、省管局。應(yīng)急處理過程14:4514:50，管理員收到網(wǎng)站監(jiān)控軟件告警，頁面被篡改。按照應(yīng)急預(yù)案進行處置和響應(yīng)，使用在【XX

10、位置】備份的原始頁面，替換被篡改的頁面，實現(xiàn)系統(tǒng)的臨時恢復(fù)，告警消失。14:50 16：00，利用計算機管理功能，查看系統(tǒng)帳號，并檢查服務(wù)器日志，持續(xù)監(jiān)控服務(wù)器登陸情況，及時發(fā)現(xiàn)再次的異常登錄攻擊行為。14:5016:00，分析IIS Web應(yīng)用日志，發(fā)現(xiàn)存在sql注入漏洞的頁面。登錄web應(yīng)用防火墻開啟安全策略，同時對進行修復(fù)，加入過濾代碼。使用阿D注入檢測工具進行驗證，問題解決。15:0016:00，進行深入風(fēng)險檢查。使用任務(wù)管理器，查找惡意進程；使用命令行實用工具，顯示 TCP 和 UDP 的所有打開的端口；使用webshell掃描清理工具查找后門程序。發(fā)現(xiàn)windowssystem32

11、目錄下，并刪除。16：00- 16：20，查看網(wǎng)站監(jiān)控軟件的告警狀況，確認網(wǎng)站已經(jīng)安全。事件原因分析及后續(xù)建議遭到SQL注入攻擊，事件結(jié)果是服務(wù)器網(wǎng)站頁面被篡改。對網(wǎng)站的代碼進行代碼審核，找到存在sql注入漏洞的頁面，進行了代碼修改，刪除后門程序，系統(tǒng)恢復(fù)。后續(xù)考慮對該網(wǎng)站進行安全加固，例如刪除組件，避免黑客使用webshell執(zhí)行DOS命令等。事件處理結(jié)果上報16：25，將事件處理結(jié)果電話上報給業(yè)務(wù)支撐中心領(lǐng)導(dǎo)、網(wǎng)絡(luò)與信息安全辦公室。16：30網(wǎng)絡(luò)與信息安全辦公室將事件處理結(jié)果電話上報給集團公司、省管局。注：關(guān)于安全事件上報參見十八大保障應(yīng)急預(yù)案、安全事件管理細則。附錄三：應(yīng)急處理措施參考信

12、息篡改事件應(yīng)急處理措施進行系統(tǒng)臨時性恢復(fù)，迅速恢復(fù)系統(tǒng)被篡改的內(nèi)容。必要時，將發(fā)生安全事件的設(shè)備脫網(wǎng)，做好安全審計及系統(tǒng)恢復(fù)準(zhǔn)備。必要時，將遭受攻擊的主機上系統(tǒng)日志、應(yīng)用日志等導(dǎo)出備份，并加以分析判斷。分析web應(yīng)用日志，確認有無惡意文件上傳、跨站腳本、SQL注入的非正常查詢。分析主機系統(tǒng)日志，確認主機上有無異常權(quán)限用戶非法登陸，并記錄其IP地址、登陸時間等信息。例如對UNIX：使用w命令查看utmp日志，獲得當(dāng)前系統(tǒng)正在登錄帳戶的信息及來源使用last命令查看wtmp日志，獲得系統(tǒng)前N次登錄記錄Su命令日志記錄了每一次執(zhí)行su命令的動作：時間日期、成功與否、終端設(shè)備、用戶ID等。有些UNIX

13、具有單獨的su日志，有些則保存在syslog中。Cron日志記錄了定時作業(yè)的內(nèi)容，通常在/var/log/cron或默認日志目錄中一個稱為cron的文件里分析系統(tǒng)目錄以及搜索整盤近期被修改的和新創(chuàng)建的文件，查找是否存在可疑文件和后門程序。例如對UNIX：find /etc ctime n print在/etc查找n天以前文件狀態(tài)被修改過的所有文件find /etc mtime n print在/etc查找n天以前文件內(nèi)容被修改過的所有文件分析系統(tǒng)服務(wù)，檢查有無新增或者修改過的服務(wù)，有無可疑進程，有無可疑端口。例如對UNIX：Netstat an列出所有打開的端口及連接狀態(tài)sof i只顯示網(wǎng)絡(luò)套

14、接字的進程Ps ef會列出系統(tǒng)正在運行的所有進程使用第三方檢查工具檢查是否存在木馬后門程序；結(jié)合上述日志審計，確定攻擊者的方式、入侵后所獲得的最大管理權(quán)限以及是否對被攻擊服務(wù)器留有后門程序。通過防火墻或網(wǎng)絡(luò)設(shè)備策略的配置嚴格限制外網(wǎng)惡意地址對該服務(wù)器的遠程登錄及訪問請求。netscreen防火墻：set policy id * top from untrust to trust 外部ip any any deny log cisco防火墻：I.標(biāo)準(zhǔn)訪問控制列表access-list list-number deny | permit source source-wildcard logII.擴

15、展訪問控制列表access-list list-number deny | permit protocolsource source-wildcard source-qualifiersdestination destination-wildcard destination-qualifiers log | log-input對web服務(wù)軟件和數(shù)據(jù)庫進行安全配置；對存在問題的web頁面代碼進行安全修改；如果攻擊者放置了后門、木馬等惡意程序，建議對主機重新安裝操作系統(tǒng)，并恢復(fù)數(shù)據(jù)庫系統(tǒng)，對系統(tǒng)進行加固；恢復(fù)業(yè)務(wù)數(shù)據(jù)，進行業(yè)務(wù)測試，確定系統(tǒng)完全恢復(fù)后系統(tǒng)上網(wǎng)運行。病毒/蠕蟲/惡意代碼事件應(yīng)急處理措

16、施內(nèi)部事件定位事件的源頭通過防病毒管理中心，可以監(jiān)控到哪些設(shè)備和哪些類型病毒爆發(fā)的狀況。通過網(wǎng)絡(luò)流量分析系統(tǒng)（tcpdump、sniffer等），對網(wǎng)絡(luò)數(shù)據(jù)包分析、網(wǎng)絡(luò)連接分析，即定位事件的源頭。查看重要主機的日志，檢查主機是否受到蠕蟲病毒的入侵或者是否感染蠕蟲病毒。隔離主機：在確認有主機感染蠕蟲之后，將被感染主機隔離，以免其進一步擴散，并根據(jù)需要啟動備用主機以保持業(yè)務(wù)連續(xù)性。在問題終端或主機上，確定病毒、蠕蟲、惡意代碼的特征：進程、端口等。對UNIX， Netstat an列出所有打開的端口及連接狀態(tài)Lsof i只顯示網(wǎng)絡(luò)套接字的進程Ps ef會列出系統(tǒng)正在運行的所有進程清除病毒、蠕蟲、惡意

17、代碼，一般先停止惡意進程，同時將其相關(guān)文件和注冊表項刪除。對UNIX，Kill 停止進程Rm f 刪除文件如果人工無法清除，則需要防病毒系統(tǒng)廠商提供針對該病毒的專殺工具，使用專殺工具來清除病毒。當(dāng)本單位技術(shù)力量無法完成時，應(yīng)及時尋求專業(yè)病毒服務(wù)廠商支持。升級所有終端、主機防病毒系統(tǒng)的特征庫到最新版本，確認蠕蟲、病毒被徹底清除。如果出現(xiàn)難以快速清除的病毒、蠕蟲、惡意代碼等，建議重新安裝操作系統(tǒng)。對各主機進行加固，保證不會再次感染。利用終端安全管理系統(tǒng)，對所有終端自動同步補丁，使全網(wǎng)終端的補丁能夠及時地更新?；謴?fù)主機系統(tǒng)的運行，如果啟動了備用主機，應(yīng)切換到原來的主機?；謴?fù)終端的正常使用。外部事件當(dāng)

18、系統(tǒng)外部網(wǎng)站遭受病毒、蠕蟲、惡意代碼攻擊時，可能會以網(wǎng)絡(luò)連接、郵件、文件傳輸?shù)刃问皆噲D感染到系統(tǒng)內(nèi)部。當(dāng)此類攻擊發(fā)生時：通過網(wǎng)絡(luò)流量分析系統(tǒng)（tcpdump、sniffer等），分析代碼網(wǎng)絡(luò)數(shù)據(jù)包特征，確定惡意代碼利用的端口及IP。在防火墻設(shè)置acl規(guī)則，過濾相關(guān)的IP和端口。netscreen防火墻：set policy id * top from untrust to trust 外部ip any any deny log 同時根據(jù)惡意代碼的利用機理，在主機層面做一定防范，比如安裝補丁、修改配置、做訪問控制等。DOS攻擊事件應(yīng)急處理措施由內(nèi)部發(fā)起當(dāng)內(nèi)部主機被入侵后，如果放置了拒絕服務(wù)攻擊程

19、序，被黑客用來對其他系統(tǒng)發(fā)動拒絕服務(wù)攻擊：通過網(wǎng)絡(luò)流量分析軟件（tcpdump、sniffer等），分析數(shù)據(jù)包特征。通過流量分析，確定對外發(fā)包的被控主機，條件允許將其斷網(wǎng)隔離。調(diào)整防火墻或網(wǎng)絡(luò)設(shè)備訪問控制ACL策略，嚴格限制該機器的對外繼續(xù)發(fā)包。netscreen防火墻：set policy id * top from untrust to trust 外部ip any any deny log cisco防火墻I.標(biāo)準(zhǔn)訪問控制列表access-list list-number deny | permit source source-wildcard logII.擴展訪問控制列表access-

20、list list-number deny | permit protocolsource source-wildcard source-qualifiersdestination destination-wildcard destination-qualifiers log | log-input檢查并確認被控主機上的惡意進程或惡意程序。對UNIX，Netstat an列出所有打開的端口及連接狀態(tài)Lsof i只顯示網(wǎng)絡(luò)套接字的進程Ps ef會列出系統(tǒng)正在運行的所有進程清除惡意進程，一般先關(guān)閉進程，然后刪除其相關(guān)文件。對UNIX,Kill 停止進程Rm f 刪除文件必要情況下，重新安裝系統(tǒng)，對

21、系統(tǒng)進行安全加固，重新恢復(fù)業(yè)務(wù)系統(tǒng)，上線運行。由外部發(fā)起 - 利用主機漏洞外部破壞者利用主機操作系統(tǒng)的漏洞發(fā)起對系統(tǒng)的拒絕服務(wù)攻擊。對此，如果系統(tǒng)服務(wù)無法正常響應(yīng)，迅速切換到備用系統(tǒng)。通過防火墻或網(wǎng)絡(luò)設(shè)備配置訪問控制列表，過濾DoS發(fā)起源的連接。netscreen防火墻：set policy id * top from untrust to trust 外部ip any any deny log cisco防火墻I.標(biāo)準(zhǔn)訪問控制列表access-list list-number deny | permit source source-wildcard logII.擴展訪問控制列表access-

22、list list-number deny | permit protocolsource source-wildcard source-qualifiersdestination destination-wildcard destination-qualifiers log | log-input確認造成系統(tǒng)cpu、內(nèi)存占用高的進程或者應(yīng)用。對UNIX，Ps ef會列出系統(tǒng)正在運行的所有進程Top 查看占用資源較高的進程或應(yīng)用確認系統(tǒng)存在的漏洞，根據(jù)漏洞信息和安全建議采取相應(yīng)的控制措施，安裝相應(yīng)的補丁修復(fù)程序。修復(fù)漏洞后切換到原運行系統(tǒng)。由外部發(fā)起 - 利用網(wǎng)絡(luò)設(shè)備漏洞外部破壞者利用的網(wǎng)絡(luò)設(shè)

23、備的操作系統(tǒng)漏洞發(fā)起對系統(tǒng)的拒絕服務(wù)攻擊。如果系統(tǒng)服務(wù)無法正常響應(yīng)，迅速切換到備用系統(tǒng)；利用防火墻或網(wǎng)絡(luò)設(shè)備配置ACL，過濾DoS發(fā)起源的連接。netscreen防火墻：set policy id * top from untrust to trust 外部ip any any deny log cisco防火墻I.標(biāo)準(zhǔn)訪問控制列表access-list list-number deny | permit source source-wildcard logII.擴展訪問控制列表access-list list-number deny | permit protocolsource sourc

24、e-wildcard source-qualifiersdestination destination-wildcard destination-qualifiers log | log-input確認當(dāng)前IOS版本，確認此版本是否存在DOS的漏洞。cisco 設(shè)備show version 命令查看版本信息（cisco 設(shè)備）根據(jù)漏洞信息和相應(yīng)安全建議采取相應(yīng)的控制措施，安裝相應(yīng)的補丁修復(fù)程序。修復(fù)漏洞后切換到原運行系統(tǒng)。 由外部發(fā)起 - 利用網(wǎng)絡(luò)協(xié)議/應(yīng)用協(xié)議漏洞網(wǎng)絡(luò)協(xié)議類攻擊是以發(fā)起大量連接或數(shù)據(jù)包為基礎(chǔ)，造成被攻擊方連接隊列耗盡或CPU、內(nèi)存資源的耗盡。應(yīng)用類主要是指針對web服務(wù)發(fā)起的

25、攻擊，表現(xiàn)在分布式的大量http請求，以耗盡web服務(wù)的最大連接數(shù)或者消耗數(shù)據(jù)庫資源為目的。比如：對某一大頁面的訪問或者對某一頁面的數(shù)據(jù)庫搜索。主要措施：通過網(wǎng)絡(luò)流量分析軟件，確定數(shù)據(jù)包類型特征，比如利用的是udp、tcp還是icmp協(xié)議在防火墻配置訪問控制策略。netscreen防火墻：set policy id * top from untrust to trust 外部ip any any deny log cisco防火墻I.標(biāo)準(zhǔn)訪問控制列表access-list list-number deny | permit source source-wildcard logII.擴展訪問控制列表access-l