安全事件應急演練方案

#安全事件應急演練方案一、本次應急演練的背景和目的為貫徹落實集團公司《關于印發(fā)“中國移動十八大網(wǎng)絡與信息安全保障專項行動工作方案“的通知》（中移綜發(fā)[2012]11號）的總體要求，用一個安全凈化的網(wǎng)絡迎接十八大勝利召開,根據(jù)集團公司統(tǒng)一安排，各部門、各單位需組織各圍繞信息安全的突發(fā)事件和高發(fā)事件，完成一次綜合性的應急演練。此次信息安全事件應急演練是針對所轄系統(tǒng)在運行過程中或者操作過程中可能出現(xiàn)的緊急問題，其目的是提升對黑客入侵等安全事件的監(jiān)測應急能力，提升對具有社會動員能力系統(tǒng)突發(fā)事件的緊急處置能力，縮短系統(tǒng)中斷時間，降低業(yè)務損失，為十八大期間的信息安全保障工作的做好充分準備。二、演練涉及的單位省公司網(wǎng)絡部、市場部、數(shù)據(jù)部、集團客戶部、網(wǎng)管中心、數(shù)據(jù)中心、業(yè)務支撐中心、客戶服務中心、各市公司。三、應急演練方法本次演練采用安全事件應急過程的紙面演練與具體應急措施的實際操作相結合的方式開展，以求真正達到應急演練的目的。請各部門、各單位針對本方案設定的每個應急演練項目（見下節(jié)），結合自身應用系統(tǒng)的實際情況，選擇可能出現(xiàn)安全事件的應用系統(tǒng),由該系統(tǒng)的應急處理人員填寫如下應急演練表格,實現(xiàn)應急過程的紙面演練。附錄一給出了應急演練表格。附錄二給出了應急演練表格的填寫樣例，附錄三給出了針對本方案設定的應急演練項目可采取的一些應急處理措施，供各部門、單位參考。對于應急處理措施，在填寫過程中應結合所選應用系統(tǒng)的實際軟硬件環(huán)境,給出具體的操作指令或工具.同時，應急處理人員應在應用系統(tǒng)測試環(huán)境下進行實際的操作練習。四、應急演練項目本方案選擇5類共9個應急演練項目，分別是：1.信息篡改（1個項目）:指未經(jīng)授權將系統(tǒng)中的信息更換為攻擊者所提供的信息而導致的信息安全事件。例如網(wǎng)站首頁被替換的信息安全事件。2.病毒/蠕蟲/惡意代碼（2個項目）：指系統(tǒng)內(nèi)部主機遭受病毒、蠕蟲、惡意代碼的破壞,或從外網(wǎng)發(fā)起對系統(tǒng)的病毒、蠕蟲、惡意代碼感染事件。具體分成內(nèi)部事件和外部事件兩個項目.3.DOS攻擊（4個項目）：指利用信息系統(tǒng)缺陷、或通過暴力攻擊的手段，以大量消耗信息系統(tǒng)的CPU、內(nèi)存、磁盤空間或網(wǎng)絡帶寬等資源，從而影響信息系統(tǒng)正常運行為目的的信息安全事件。拒絕服務發(fā)起時往往表現(xiàn)為CPU、內(nèi)存、帶寬等的高利用率，同時由于攻擊手法和形式的多樣性，造成對攻擊形式攻擊特征分析帶來一定的難度.具體演練項目包括：由內(nèi)部發(fā)起的DOS攻擊事件、由外部發(fā)起的利用主機漏洞的DOS攻擊事件、由外部發(fā)起的利用網(wǎng)絡設備漏洞的DOS攻擊事件、由外部發(fā)起的利用網(wǎng)絡協(xié)議/應用漏洞的DOS攻擊事件.黑客控制系統(tǒng)：指黑客入侵后，對內(nèi)部系統(tǒng)和應用進行控制，并嘗試以此為跳板對其它內(nèi)部系統(tǒng)和應用進行攻擊。例如入侵后植入遠程控制軟件，惡意修改系統(tǒng)管理員口令或者Web應用管理員口令等。不良信息傳播：包含任何不當?shù)摹⑽耆枵u謗的、淫穢的、暴力的及任何違反國家法律法規(guī)政策的內(nèi)容信息通過具備郵件等系統(tǒng)進行傳播.五、應急演練結果反饋針對五類9個項目按要求完成應急演練，分別填寫應急演練表反饋總部：?表1信息篡改事件應急演練表?表2。1內(nèi)部病毒/蠕蟲/惡意代碼事件演練表表2。2外部病毒/蠕蟲/惡意代碼事件演練表表3.1由內(nèi)部發(fā)起的DOS攻擊事件演練表表3.2由外部發(fā)起的利用主機漏洞的DOS攻擊事件演練表表3.3由外部發(fā)起的利用網(wǎng)絡設備漏洞的DOS攻擊事件演練表表3.4由外部發(fā)起的利用網(wǎng)絡協(xié)議/應用漏洞的DOS攻擊事件演練表表4黑客控制系統(tǒng)事件演練表表5不良信息傳播事件演練表

附錄一：應急演練表應急演練項目名稱外部病毒/蠕蟲/惡意代碼事件演練表應用系統(tǒng)名稱某網(wǎng)站首頁事件描述IP地址為61。185.133。176的IISWEB服務器的頁面被惡意掛馬應急處理時間應急處理人員事件上報過程應急處理過程收到服務器監(jiān)測軟件報警，在遠程登陸界面試探查看是否存在shift后門，然后登陸服務器。先將已經(jīng)掛馬的頁面?zhèn)浞莸?*處作為入侵后備份取證資料，將前期備份恢復至整站。保障網(wǎng)站正常運行。提取頁面掛馬代碼，利用暗組web防火墻批量清除整站掛馬代碼?再利用webshell掃描工具掃描整站中的webshell、畸形文件目錄、同日期新增或修改過的網(wǎng)頁，進行分析清除。利用阿DSQL注入工具或明小子旁注工具檢測，發(fā)現(xiàn)網(wǎng)站同一服務器上其它網(wǎng)站存在注入漏洞，導致此網(wǎng)站旁注漏洞。對同服務器存在注入的網(wǎng)站按照注入漏洞封堵程序進行打補丁進行封堵。對本服務web日志進行備份、分析查找攻擊源IP。并在服務器安全軟件上對其IP進行72小時黑名單處理.處理完畢后，持續(xù)觀察注意服務器安全軟件提示.事件原因分析及后續(xù)工作建議網(wǎng)站同一服務器上其它網(wǎng)站存在注入漏洞，導致此網(wǎng)站旁注漏洞.對整個服務器上其它站點進行批量sql或者弱密碼、默認后臺、數(shù)據(jù)庫防下載等進行檢查、監(jiān)測。事件處理結果上報

應急演練項目名稱由外部發(fā)起的利用主機漏洞的DOS攻擊事件演練表應用系統(tǒng)名稱某企業(yè)服務器事件描述IP地址為61.185。133。176的主機網(wǎng)站無法正常訪問應急處理時間應急處理人員事件上報過程應急處理過程收到服務器監(jiān)測軟件報警，登陸服務器利用天鷹抗DDoS攻擊監(jiān)控器查看攻擊包類型，和攻擊峰值。暫時將該域名主機解析至127.0o0o1維護頁面，迅速啟用抗ddos硬件防火墻，再將域名解析修正正常，保障網(wǎng)站正常運營。在服務器終端利用netstat—antp查看端口開放情況，發(fā)現(xiàn)大量的鏈接存在著，并且都是在本機445端口處于ESTABLISHED狀態(tài)。在防火層中設立規(guī)則禁止本機445端口的出站。用xscan掃描本機存在的漏洞和服務，發(fā)現(xiàn)CommonInternetFileSystem(CIFS)服務處于打開狀態(tài)。關閉此服務，再次掃描本機查看是否開放危險端口和服務。處理完畢事件原因分析及后續(xù)工作建議服務器開啟危險端口和服務，造成外部入侵的DOS攻擊。后續(xù)工作建議時常監(jiān)測服務危險端口和服務的開放情況，及時對服務器進行操作系統(tǒng)和第三方軟件補丁的修補。事件處理結果上報

附錄二:應急演練表填寫樣例演練項目名稱信息篡改事件應用系統(tǒng)名稱XX門戶網(wǎng)站事件描述IP地址為10。1。230。63的IISWEB服務器的頁面被篡改。應急處理時間2012-8-1514：45—16：30應急處理人員趙xxxx公司（第三方代維廠商）；王五業(yè)務支撐中心。事件上報過程14：47，應急處理人將事件內(nèi)容電話上報給業(yè)務支撐中心領導、網(wǎng)絡與信息安全辦公室14：50,網(wǎng)絡與信息安全辦公室將事件內(nèi)容電話上報給集團、省管局.應急處理過程14：45—14:50,管理員收到網(wǎng)站監(jiān)控軟件告警，頁面被篡改。按照應急預案進行處置和響應，使用在【XX位置】備份的原始頁面，替換被篡改的頁面，實現(xiàn)系統(tǒng)的臨時恢復，告警消失。14：50-16：00,利用計算機管理功能，查看系統(tǒng)帳號，并檢查10。1.230.63服務器日志，持續(xù)監(jiān)控服務器登陸情況，及時發(fā)現(xiàn)再次的異常登錄攻擊行為。14：50—16：00,分析IISWeb應用日志，發(fā)現(xiàn)存在sql注入漏洞的頁面conn。asp。登錄web應用防火墻10。1。230.50開啟安全朿略，同時對conn.asp進行修復，加入過濾代碼。使用阿D注入檢測工具進行驗證，問題解決。15:00—16：00,進行深入風險檢查。使用任務管理器查找惡意進程；使用Netstat.exe命令行實用工具，顯示TCP和UDP的所有打開的端口；使用webshell掃描清理工具查找后門程序。發(fā)現(xiàn)windows\system32目錄下sethc.exe，并刪除。16：00—16：20,查看網(wǎng)站監(jiān)控軟件的告警狀況，確認網(wǎng)站已經(jīng)安全。事件原因分析及后續(xù)建議遭到SQL注入攻擊，事件結果是10。1。230。63服務器網(wǎng)站頁面被篡改.對網(wǎng)站的代碼進行代碼審核，找到存在sql注入漏洞的頁面conn.asp，進行了代碼修改，刪除后門程序，系統(tǒng)恢復.后續(xù)考慮對該網(wǎng)站進行安全加固，例如刪除Wscript.Shell組件，避免黑客使用webshell執(zhí)行DOS命令等。事件處理結果上報16：25，將事件處理結果電話上報給業(yè)務支撐中心領導、網(wǎng)絡與信息安全辦公室.16：30網(wǎng)絡與信息安全辦公室將事件處理結果電話上報給集團公司、省管局。注：關于安全事件上報參見十八大保障應急預案、安全事件管理細則。附錄三：應急處理措施參考1、信息篡改事件應急處理措施進行系統(tǒng)臨時性恢復,迅速恢復系統(tǒng)被篡改的內(nèi)容。必要時，將發(fā)生安全事件的設備脫網(wǎng)，做好安全審計及系統(tǒng)恢復準備。必要時，將遭受攻擊的主機上系統(tǒng)日志、應用日志等導出備份，并加以分析判斷。分析web應用日志，確認有無惡意文件上傳、跨站腳本、SQL注入的非正常查詢。分析主機系統(tǒng)日志，確認主機上有無異常權限用戶非法登陸,并記錄其IP地址、登陸時間等信息.例如對UNIX：?使用w命令查看utmp日志，獲得當前系統(tǒng)正在登錄帳戶的信息及來源?使用last命令查看wtmp日志，獲得系統(tǒng)前N次登錄記錄Su命令日志記錄了每一次執(zhí)行su命令的動作:時間日期、成功與否、終端設備、用戶ID等?有些UNIX具有單獨的su日志，有些則保存在syslog中.Cron日志記錄了定時作業(yè)的內(nèi)容，通常在/var/log/cron或默認日志目錄中一個稱為cron的文件里分析系統(tǒng)目錄以及搜索整盤近期被修改的和新創(chuàng)建的文件，查找是否存在可疑文件和后門程序.例如對UNIX：find/etc-ctimen-print在/etc查找n天以前文件狀態(tài)被修改過的所有文件find/etc-mtimen-print在/etc查找n天以前文件內(nèi)容被修改過的所有文件分析系統(tǒng)服務，檢查有無新增或者修改過的服務，有無可疑進程,有無可疑端口.例如對UNIX:Netstat-an列出所有打開的端口及連接狀態(tài)sof-i只顯示網(wǎng)絡套接字的進程Ps-ef會列出系統(tǒng)正在運行的所有進程使用第三方檢查工具檢查是否存在木馬后門程序；結合上述日志審計，確定攻擊者的方式、入侵后所獲得的最大管理權限以及是否對被攻擊服務器留有后門程序。通過防火墻或網(wǎng)絡設備策略的配置嚴格限制外網(wǎng)惡意地址對該服務器的遠程登錄及訪問請求。?netscreen防火墻：setpolicyid*topfromuntrusttotrust"外部ip""any”"any"denylog?cisco防火墻：I?標準訪問控制列表access—listlist-number{deny|permit}source[source-wildcard][log]II。擴展訪問控制列表access-listlist-number{deny|permit}protocolsourcesource-wildcardsource-qualifiersdestinationdestination-wildcarddestination-qualifiers[log|log-input]對web服務軟件和數(shù)據(jù)庫進行安全配置；對存在問題的web頁面代碼進行安全修改；如果攻擊者放置了后門、木馬等惡意程序,建議對主機重新安裝操作系統(tǒng)，并恢復數(shù)據(jù)庫系統(tǒng)，對系統(tǒng)進行加固；恢復業(yè)務數(shù)據(jù)，進行業(yè)務測試，確定系統(tǒng)完全恢復后系統(tǒng)上網(wǎng)運行。2、病毒/蠕蟲/惡意代碼事件應急處理措施2.1內(nèi)部事件定位事件的源頭?通過防病毒管理中心，可以監(jiān)控到哪些設備和哪些類型病毒爆發(fā)的狀況。?通過網(wǎng)絡流量分析系統(tǒng)(tcpdump、sniffer等)，對網(wǎng)絡數(shù)據(jù)包分析、網(wǎng)絡連接分析,即定位事件的源頭.?查看重要主機的日志，檢查主機是否受到蠕蟲病毒的入侵或者是否感染蠕蟲病毒隔離主機:在確認有主機感染蠕蟲之后，將被感染主機隔離，以免其進一步擴散，并根據(jù)需要啟動備用主機以保持業(yè)務連續(xù)性.在問題終端或主機上，確定病毒、蠕蟲、惡意代碼的特征：進程、端口等.對UNIX，Netstat-an列出所有打開的端口及連接狀態(tài)Lsof-i只顯示網(wǎng)絡套接字的進程Ps-ef會列出系統(tǒng)正在運行的所有進程清除病毒、蠕蟲、惡意代碼，一般先停止惡意進程,同時將其相關文件和注冊表項刪除。對UNIX，Kill停止進程Rm-f刪除文件如果人工無法清除，則需要防病毒系統(tǒng)廠商提供針對該病毒的專殺工具，使用專殺工具來清除病毒。當本單位技術力量無法完成時，應及時尋求專業(yè)病毒服務廠商支持.升級所有終端、主機防病毒系統(tǒng)的特征庫到最新版本，確認蠕蟲、病毒被徹底清除。如果出現(xiàn)難以快速清除的病毒、蠕蟲、惡意代碼等，建議重新安裝操作系統(tǒng)。對各主機進行加固，保證不會再次感染。利用終端安全管理系統(tǒng)，對所有終端自動同步補丁,使全網(wǎng)終端的補丁能夠及時地更新.恢復主機系統(tǒng)的運行,如果啟動了備用主機，應切換到原來的主機。恢復終端的正常使用。2.2外部事件當系統(tǒng)外部網(wǎng)站遭受病毒、蠕蟲、惡意代碼攻擊時,可能會以網(wǎng)絡連接、郵件、文件傳輸?shù)刃问皆噲D感染到系統(tǒng)內(nèi)部。當此類攻擊發(fā)生時：通過網(wǎng)絡流量分析系統(tǒng)(tcpdump、sniffer等)，分析代碼網(wǎng)絡數(shù)據(jù)包特征，確定惡意代碼利用的端口及IP。在防火墻設置acl規(guī)則，過濾相關的IP和端口.netscreen防火墻：setpolicyid大topfromuntrusttotrust”外部ip”"any”"any”denylog同時根據(jù)惡意代碼的利用機理，在主機層面做一定防范，比如安裝補丁、修改配置、做訪問控制等。3、DOS攻擊事件應急處理措施3。1由內(nèi)部發(fā)起當內(nèi)部主機被入侵后，如果放置了拒絕服務攻擊程序，被黑客用來對其他系統(tǒng)發(fā)動拒絕服務攻擊：1）通過網(wǎng)絡流量分析軟件（tcpdump、sniffer等），分析數(shù)據(jù)包特征。2）通過流量分析，確定對外發(fā)包的被控主機，條件允許將其斷網(wǎng)隔離。3）調(diào)整防火墻或網(wǎng)絡設備訪問控制ACL策略,嚴格限制該機器的對外繼續(xù)發(fā)包.netscreen防火墻：setpolicyid大topfromuntrusttotrust"外部ip""any""any"denylogcisco防火墻I。標準訪問控制列表access-listlist—number{deny|permit}source[source-wildcard][log]擴展訪問控制列表access-listlist-number{deny|permit}protocolsourcesource-wildcardsource-qualifiersdestinationdestination-wildcarddestination-qualifiers[log|log-input]4）檢查并確認被控主機上的惡意進程或惡意程序。對UNIX,Netstat-an列出所有打開的端口及連接狀態(tài)Lsof-i只顯示網(wǎng)絡套接字的進程Ps-ef會列出系統(tǒng)正在運行的所有進程5）清除惡意進程，一般先關閉進程，然后刪除其相關文件。對UNIX,Kill停止進程Rm-f刪除文件6）必要情況下，重新安裝系統(tǒng)，對系統(tǒng)進行安全加固，重新恢復業(yè)務系統(tǒng),上線運行3.2由外部發(fā)起-利用主機漏洞外部破壞者利用主機操作系統(tǒng)的漏洞發(fā)起對系統(tǒng)的拒絕服務攻擊。對此,1）如果系統(tǒng)服務無法正常響應,迅速切換到備用系統(tǒng)。2）通過防火墻或網(wǎng)絡設備配置訪問控制列表，過濾DoS發(fā)起源的連接。netscreen防火墻：setpolicyid大topfromuntrusttotrust"外部ip""any""any"denylogcisco防火墻I?標準訪問控制列表access-listlist-number{denyIpermit}source[source-wildcard][log]II.擴展訪問控制列表access-listlist-number{deny|permit}protocolsourcesource-wildcardsource-qualifiersdestinationdestination-wildcarddestination-qualifiers[logIlog-input]確認造成系統(tǒng)cpu、內(nèi)存占用高的進程或者應用。對UNIX,Ps-ef會列出系統(tǒng)正在運行的所有進程Top查看占用資源較高的進程或應用確認系統(tǒng)存在的漏洞,根據(jù)漏洞信息和安全建議采取相應的控制措施,安裝相應的補丁修復程序。修復漏洞后切換到原運行系統(tǒng)。3。3由外部發(fā)起—利用網(wǎng)絡設備漏洞外部破壞者利用的網(wǎng)絡設備的操作系統(tǒng)漏洞發(fā)起對系統(tǒng)的拒絕服務攻擊.如果系統(tǒng)服務無法正常響應,迅速切換到備用系統(tǒng)；利用防火墻或網(wǎng)絡設備配置ACL,過濾DoS發(fā)起源的連接。netscreen防火墻：setpolicyid大topfromuntrusttotrust"外部ip""any”"any"denylogcisco防火墻I。標準訪問控制列表access-listlist-number{deny|permit}source[source-wildcard][log]II。擴展訪問控制列表access-listlist-number{denyIpermit}protocolsourcesource-wildcardsource-qualifiersdestinationdestination-wildcarddestination-qualifiers[logIlog-input]確認當前IOS版本，確認此版本是否存在DOS的漏洞。?cisco設備showversion命令查看版本信息(cisco設備)根據(jù)漏洞信息和相應安全建議采取相應的控制措施,安裝相應的補丁修復程序修復漏洞后切換到原運行系統(tǒng)。3。4由外部發(fā)起—利用網(wǎng)絡協(xié)議/應用協(xié)議漏洞網(wǎng)絡協(xié)議類攻擊是以發(fā)起大量連接或數(shù)據(jù)包為基礎,造成被攻擊方連接隊列耗盡或CPU、內(nèi)存資源的耗盡。應用類主要是指針對web服務發(fā)起的攻擊，表現(xiàn)在分布式的大量http請求，以耗盡web服務的最大連接數(shù)或者消耗數(shù)據(jù)庫資源為目的。比如：對某一大頁面的訪問或者對某一頁面的數(shù)據(jù)庫搜索。主要措施：通過網(wǎng)絡流量分析軟件,確定數(shù)據(jù)包類型特征，比如利用的是udp、tcp還是icmp協(xié)議在防火墻配置訪問控制策略。netscreen防火墻:setpolicyid*topfromuntrusttotrust"外部ip”"any”"any”denylogcisco防火墻I。標準訪問控制列表access—listlist-number{denyIpermit}source[source-wildcard][log]擴展訪問控制