安全事件应急演练方案

安全事件应急演练方案

一、 本次应急演练的背景和目的

为贯彻落实集团公司《关于印发“中国移动十八大网络与信息安全保障专项行动工作方案“的通知》（中移综发[2012]11号）的总体要求，用一个安全、净化的网络迎接十八大胜利召开,根据集团公司统一安排，各部门、各单位需组织各围绕信息安全的突发事件和高发事件，完成一次综合性的应急演练。

此次信息安全事件应急演练是针对所辖系统在运行过程中或者操作过程中可能出现的紧急问题，其目的是提升对黑客入侵等安全事件的监测应急能力，提升对具有社会动员能力系统突发事件的紧急处置能力，缩短系统中断时间，降低业务损失，为十八大期间的信息安全保障工作的做好充分准备。

二、 演练涉及的单位

省公司网络部、市场部、数据部、集团客户部、网管中心、数据中心、业务支撑中心、客户服务中心、各市公司。

三、 应急演练方法

本次演练采用安全事件应急过程的纸面演练与具体应急措施的实际操作相结合的方式开展，以求真正达到应急演练的目的。

请各部门、各单位针对本方案设定的每个应急演练项目(见下节)，结合自身应用系统的实际情况，选择可能出现安全事件的应用系统，由该系统的应急处理人员填写如下应急演练表格，实现应急过程的纸面演练。附录一给出了应急演练表格。附录二给出了应急演练表格的填写样例，附录三给出了针对本方案设定的应急演练项目可采取的一些应急处理措施，供各部门、单位参考。

1

对于应急处理措施，在填写过程中应结合所选应用系统的实际软硬件环境，给出具体的操作指令或工具。同时，应急处理人员应在应用系统测试环境下进行实际的操作练习。

四、 应急演练项目

本方案选择5类共9个应急演练项目，分别是：

1. 信息篡改（1个项目）：指未经授权将系统中的信息更换为攻击者所提供的信息而导致的信息安全事件。例如网站首页被替换的信息安全事件。 2. 病毒/蠕虫/恶意代码（2个项目）：指系统内部主机遭受病毒、蠕虫、恶意代码的破坏，或从外网发起对系统的病毒、蠕虫、恶意代码感染事件。具体分成内部事件和外部事件两个项目。

3. DOS攻击（4个项目）：指利用信息系统缺陷、或通过暴力攻击的手段，以大量消耗信息系统的CPU、内存、磁盘空间或网络带宽等资源，从而影响信息系统正常运行为目的的信息安全事件。拒绝服务发起时往往表现为CPU、内存、带宽等的高利用率，同时由于攻击手法和形式的多样性，造成对攻击形式攻击特征分析带来一定的难度。具体演练项目包括：由内部发起的DOS攻击事件、由外部发起的利用主机漏洞的DOS攻击事件、由外部发起的利用网络设备漏洞的DOS攻击事件、由外部发起的利用网络协议/应用漏洞的DOS攻击事件。

4. 黑客控制系统：指黑客入侵后，对内部系统和应用进行控制，并尝试以此为跳板对其它内部系统和应用进行攻击。例如入侵后植入远程控制软件，恶意修改系统管理员口令或者Web应用管理员口令等。

5. 不良信息传播：包含任何不当的、侮辱诽谤的、淫秽的、暴力的及任何违反国家法律法规政策的内容信息通过具备邮件等系统进行传播。

五、 应急演练结果反馈

2

针对五类9个项目按要求完成应急演练，分别填写应急演练表反馈总部： ? 表1 信息篡改事件应急演练表

? 表2.1 内部病毒/蠕虫/恶意代码事件演练表 ? 表2.2 外部病毒/蠕虫/恶意代码事件演练表 ? 表3.1 由内部发起的DOS攻击事件演练表

? 表3.2 由外部发起的利用主机漏洞的DOS攻击事件演练表 ? 表3.3 由外部发起的利用网络设备漏洞的DOS攻击事件演练表 ? 表3.4 由外部发起的利用网络协议/应用漏洞的DOS攻击事件演练表? 表4 黑客控制系统事件演练表 ? 表5 不良信息传播事件演练表

3

附录一：应急演练表

应急演练项目名称 外部病毒/蠕虫/恶意代码事件演练表 应用系统名称 某网站首页 事件描述 IP地址为61.185.133.176的IIS WEB服务器的页面被恶意挂马 应急处理时间 应急处理人员 事件上报过程 应急处理过程 收到服务器监测软件报警，在远程登陆界面试探查看是否存在shift后门，然后登陆服务器。先将已经挂马的页面备份到**处作为入侵后备份取证资料，将前期备份恢复至整站。保障网站正常运行。提取页面挂马代码，利用暗组web防火墙批量清除整站挂马代码。再利用webshell扫描工具扫描整站中的webshell、畸形文件目录、同日期新增或修改过的网页，进行分析清除。 利用阿DSQL注入工具或明小子旁注工具检测，发现网站同一服务器上其它网站存在注入漏洞，导致此网站旁注漏洞。 对同服务器存在注入的网站按照注入漏洞封堵程序进行打补丁进行封堵。 对本服务web日志进行备份、分析查找攻击源IP。并在服务器安全软件上对其IP进行72小时黑名单处理。处理完毕后， 持续观察注意服务器安全软件提示。 网站同一服务器上其它网站存在注入漏洞，导致此网站旁注漏洞。 对整个服务器上其它站点进行批量sql或者弱密码、默认后台、数据库防下载等进行检查、监测。 事件原因分析及 后续工作建议 事件处理结果上报

4

应急演练项目名称 由外部发起的利用主机漏洞的DOS攻击事件演练表 应用系统名称 某企业服务器 事件描述 IP地址为61.185.133.176的主机网站无法正常访问 应急处理时间 应急处理人员 事件上报过程 收到服务器监测软件报警，登陆服务器利用天鹰抗DDoS攻击监控器 查看攻击包类型，和攻击峰值。暂时将该域名主机解析至127.0.0.1维护页面 ，迅速启用抗ddos硬件防火墙，再将域名解析修正正常，保障网站正常运营。 在服务器终端利用 netstat -antp 查看端口开放情况，发现大量的链接存在着，并且都是在本机445端口处于ESTABLISHED状态。在防火层中设立规则禁止本机445端口的出站。 用xscan扫描本机存在的漏洞和服务，发现Common Internet File System(CIFS)服务处于打开状态。关闭此服务，再次扫描本机查看是否开放危险端口和服务。处理完毕 应急处理过程 事件原因分析及 后续工作建议 服务器开启危险端口和服务，造成外部入侵的DOS攻击。后续工作建议时常监测服务危险端口和服务的开放情况，及时对服务器进行操作系统和第三方软件补丁的修补。 事件处理结果上报

5

附录二：应急演练表填写样例

演练项目名称 信息篡改事件 应用系统名称 xx门户网站 事件描述 IP地址为10.1.230.63的IIS WEB服务器的页面被篡改。 赵xx，13601234567，xx公司（第三应急处理人员 方代维厂商）； 王五，13901234567，业务支撑中心。 应急处理时间 2012-8-15 14：45—16：30 14:47，应急处理人将事件内容电话上报给业务支撑中心领导、网络与信息事件上报过程 安全办公室 14:50，网络与信息安全办公室将事件内容电话上报给集团、省管局。 14:45—14:50，管理员收到网站监控软件告警，页面被篡改。按照应急预案进行处置和响应，使用在【XX位置】备份的原始页面，替换被篡改的页面，实现系统的临时恢复，告警消失。 14:50— 16：00，利用计算机管理功能，查看系统帐号，并检查10.1.230.63服务器日志，持续监控服务器登陆情况，及时发现再次的异常登录攻击行为。 14:50—16:00，分析IIS Web应用日志，发现存在sql注入漏洞的页面应急处理过程 conn.asp。登录web应用防火墙10.1.230.50开启安全策略，同时对conn.asp进行修复，加入过滤代码。使用阿D注入检测工具进行验证，问题解决。 15:00—16:00，进行深入风险检查。使用任务管理器，查找恶意进程；使用Netstat.exe命令行实用工具，显示 TCP 和 UDP 的所有打开的端口；使用webshell扫描清理工具查找后门程序。发现windows\\system32目录下sethc.exe，并删除。 16：00- 16：20，查看网站监控软件的告警状况，确认网站已经安全。 遭到SQL注入攻击，事件结果是10.1.230.63服务器网站页面被篡改。 事件原因分析及后续建议 对网站的代码进行代码审核，找到存在sql注入漏洞的页面conn.asp，进行了代码修改，删除后门程序，系统恢复。 后续考虑对该网站进行安全加固，例如删除Wscript.Shell组件，避免黑客使用webshell执行DOS命令等。 16：25，将事件处理结果电话上报给业务支撑中心领导、网络与信息安全办公室。 16：30网络与信息安全办公室将事件处理结果电话上报给集团公司、省管局。 事件处理结果上报 注：关于安全事件上报参见十八大保障应急预案、安全事件管理细则。

6

附录三：应急处理措施参考 1、 信息篡改事件应急处理措施

1) 进行系统临时性恢复，迅速恢复系统被篡改的内容。

2) 必要时，将发生安全事件的设备脱网，做好安全审计及系统恢复准备。

3) 必要时，将遭受攻击的主机上系统日志、应用日志等导出备份，并加以分析判断。 4) 分析web应用日志，确认有无恶意文件上传、跨站脚本、SQL注入的非正常查询。 5) 分析主机系统日志，确认主机上有无异常权限用户非法登陆，并记录其IP地址、登陆时间等信息。例如对UNIX：

? 使用w命令查看utmp日志，获得当前系统正在登录帐户的信息及来源 ? 使用last命令查看wtmp日志，获得系统前N次登录记录

? Su命令日志记录了每一次执行su命令的动作：时间日期、成功与否、终端设备、用户ID等。有些UNIX具有单独的su日志，有些则保存在syslog中。

? Cron日志记录了定时作业的内容，通常在/var/log/cron或默认日志目录中一个称为cron的文件里

6) 分析系统目录以及搜索整盘近期被修改的和新创建的文件，查找是否存在可疑文件和后门程序。例如对UNIX：

? find /etc –ctime n –print在/etc查找n天以前文件状态被修改过的所有文件 ? find /etc –mtime n –print在/etc查找n天以前文件内容被修改过的所有文件 7) 分析系统服务，检查有无新增或者修改过的服务，有无可疑进程，有无可疑端口。例如对UNIX：

? Netstat –an列出所有打开的端口及连接状态 ? sof –i只显示网络套接字的进程 ? Ps –ef会列出系统正在运行的所有进程 8) 使用第三方检查工具检查是否存在木马后门程序；

9) 结合上述日志审计，确定攻击者的方式、入侵后所获得的最大管理权限以及是否对被攻击服务器留有后门程序。

10) 通过防火墙或网络设备策略的配置严格限制外网恶意地址对该服务器的远程登录及访问请求。

? netscreen防火墙：

7

set policy id * top from untrust to trust \外部ip\ ? cisco防火墙：

I.标准访问控制列表

access-list list-number {deny | permit} source [source-wildcard] [log] II.扩展访问控制列表

access-list list-number {deny | permit} protocol source source-wildcard source-qualifiers

destination destination-wildcard destination-qualifiers [ log | log-input]

11) 对web服务软件和数据库进行安全配置； 12) 对存在问题的web页面代码进行安全修改；

13) 如果攻击者放置了后门、木马等恶意程序，建议对主机重新安装操作系统，并恢复数据库系统，对系统进行加固；

14) 恢复业务数据，进行业务测试，确定系统完全恢复后系统上网运行。

2、 病毒/蠕虫/恶意代码事件应急处理措施

2.1内部事件

1) 定位事件的源头

? 通过防病毒管理中心，可以监控到哪些设备和哪些类型病毒爆发的状况。 ? 通过网络流量分析系统（tcpdump、sniffer等），对网络数据包分析、网络连接分析，即定位事件的源头。

? 查看重要主机的日志，检查主机是否受到蠕虫病毒的入侵或者是否感染蠕虫病毒。 2) 隔离主机：在确认有主机感染蠕虫之后，将被感染主机隔离，以免其进一步扩散，并根据需要启动备用主机以保持业务连续性。

3) 在问题终端或主机上，确定病毒、蠕虫、恶意代码的特征：进程、端口等。对UNIX，

Netstat –an列出所有打开的端口及连接状态 Lsof –i只显示网络套接字的进程 Ps –ef会列出系统正在运行的所有进程

8

4) 清除病毒、蠕虫、恶意代码，一般先停止恶意进程，同时将其相关文件和注册表项删除。对UNIX，

Kill 停止进程 Rm –f 删除文件

5) 如果人工无法清除，则需要防病毒系统厂商提供针对该病毒的专杀工具，使用专杀工具来清除病毒。当本单位技术力量无法完成时，应及时寻求专业病毒服务厂商支持。 6) 升级所有终端、主机防病毒系统的特征库到最新版本，确认蠕虫、病毒被彻底清除。 7) 如果出现难以快速清除的病毒、蠕虫、恶意代码等，建议重新安装操作系统。 8) 对各主机进行加固，保证不会再次感染。

9) 利用终端安全管理系统，对所有终端自动同步补丁，使全网终端的补丁能够及时地更新。

10) 恢复主机系统的运行，如果启动了备用主机，应切换到原来的主机。 11) 恢复终端的正常使用。

2.2外部事件

当系统外部网站遭受病毒、蠕虫、恶意代码攻击时，可能会以网络连接、邮件、文件传输等形式试图感染到系统内部。当此类攻击发生时：

1) 通过网络流量分析系统（tcpdump、sniffer等），分析代码网络数据包特征，确定恶意代码利用的端口及IP。

2) 在防火墙设置acl规则，过滤相关的IP和端口。

? netscreen防火墙：

set policy id * top from untrust to trust \外部ip\

3) 同时根据恶意代码的利用机理，在主机层面做一定防范，比如安装补丁、修改配置、做访问控制等。

3、 DOS攻击事件应急处理措施

3.1由内部发起

当内部主机被入侵后，如果放置了拒绝服务攻击程序，被黑客用来对其他系统发动拒绝

9

服务攻击：

1) 通过网络流量分析软件（tcpdump、sniffer等），分析数据包特征。 2) 通过流量分析，确定对外发包的被控主机，条件允许将其断网隔离。

3) 调整防火墙或网络设备访问控制ACL策略，严格限制该机器的对外继续发包。

? netscreen防火墙：

set policy id * top from untrust to trust \外部ip\ ? cisco防火墙

I.标准访问控制列表

access-list list-number {deny | permit} source [source-wildcard] [log] II.扩展访问控制列表

access-list list-number {deny | permit} protocol source source-wildcard source-qualifiers

destination destination-wildcard destination-qualifiers [ log | log-input]

4) 检查并确认被控主机上的恶意进程或恶意程序。对UNIX，

Netstat –an列出所有打开的端口及连接状态 Lsof –i只显示网络套接字的进程 Ps –ef会列出系统正在运行的所有进程

5) 清除恶意进程，一般先关闭进程，然后删除其相关文件。对UNIX,

Kill 停止进程 Rm –f 删除文件

6) 必要情况下，重新安装系统，对系统进行安全加固，重新恢复业务系统，上线运行。

3.2由外部发起 - 利用主机漏洞

外部破坏者利用主机操作系统的漏洞发起对系统的拒绝服务攻击。对此， 1) 如果系统服务无法正常响应，迅速切换到备用系统。

2) 通过防火墙或网络设备配置访问控制列表，过滤DoS发起源的连接。

? netscreen防火墙：

set policy id * top from untrust to trust \外部ip\ ? cisco防火墙

I.标准访问控制列表

10

access-list list-number {deny | permit} source [source-wildcard] [log] II.扩展访问控制列表

access-list list-number {deny | permit} protocol source source-wildcard source-qualifiers

destination destination-wildcard destination-qualifiers [ log | log-input]

3) 确认造成系统cpu、内存占用高的进程或者应用。对UNIX，

Ps –ef会列出系统正在运行的所有进程 Top 查看占用资源较高的进程或应用

4) 确认系统存在的漏洞，根据漏洞信息和安全建议采取相应的控制措施，安装相应

的补丁修复程序。

5) 修复漏洞后切换到原运行系统。

3.3由外部发起 - 利用网络设备漏洞

外部破坏者利用的网络设备的操作系统漏洞发起对系统的拒绝服务攻击。 1) 如果系统服务无法正常响应，迅速切换到备用系统； 2) 利用防火墙或网络设备配置ACL，过滤DoS发起源的连接。

? netscreen防火墙：

set policy id * top from untrust to trust \外部ip\ ? cisco防火墙

I.标准访问控制列表

access-list list-number {deny | permit} source [source-wildcard] [log] II.扩展访问控制列表

access-list list-number {deny | permit} protocol source source-wildcard source-qualifiers

destination destination-wildcard destination-qualifiers [ log | log-input]

3) 确认当前IOS版本，确认此版本是否存在DOS的漏洞。

? cisco 设备

show version 命令查看版本信息（cisco 设备）

4) 根据漏洞信息和相应安全建议采取相应的控制措施，安装相应的补丁修复程序。 5) 修复漏洞后切换到原运行系统。

11

3.4 由外部发起 - 利用网络协议/应用协议漏洞

网络协议类攻击是以发起大量连接或数据包为基础，造成被攻击方连接队列耗尽或CPU、内存资源的耗尽。应用类主要是指针对web服务发起的攻击，表现在分布式的大量http请求，以耗尽web服务的最大连接数或者消耗数据库资源为目的。比如：对某一大页面的访问或者对某一页面的数据库搜索。主要措施：

1) 通过网络流量分析软件，确定数据包类型特征，比如利用的是udp、tcp还是icmp

协议

2) 在防火墙配置访问控制策略。

? netscreen防火墙：

set policy id * top from untrust to trust \外部ip\ ? cisco防火墙

I.标准访问控制列表

access-list list-number {deny | permit} source [source-wildcard] [log] II.扩展访问控制列表

access-list list-number {deny | permit} protocol source source-wildcard source-qualifiers

destination destination-wildcard destination-qualifiers [ log | log-input]

4、 黑客控制系统事件应急处理措施

1) 迅速记录（复制）所有的正在运行的网络连接、系统进程、活动用户、打开文

件以及内存、缓冲和临时目录中的信息；

2) 对已被黑客控制系统及应用进行切换备机，断网隔离； 3) 通过在防火墙或网络设备设置访问控制策略，限制外部的访问。

4) 在问题系统及应用上，通过分析保存的信息、所有有关日志文件（包括防火墙

和入侵检测系统的安全日志），确定攻击者可能使用的技术手段，查找黑客入侵的途径；

5) 在问题系统及应用上，确定黑客植入的恶意后门程序，可以通过与备机或类似

机使用filemon对系统状况等软件比对；

12

6) 发现恶意后门后，先停止相关进程，再进行删除；

7) 在问题系统及应用上，查找黑客创建的帐号并进行删除，查找被黑客篡改、删

除的帐号，进行帐号口令重置。

8) 在网络设备及相关安全设备上进行相应配置调整使之自动检测和阻止该类攻击

的再次发生

9) 必要时，重新安装系统及应用，对系统及应用进行安全加固，恢复系统及应用。

5、 不良信息传播事件应急处理措施（以不良信息邮件为例）

1) 必要时，将收到不良信息的邮件服务器脱网，防止不良邮件在内部的扩散和更

多不良邮件发送进来，并将邮件服务器上的日志导出并备份；

2) 对不良邮件进行分析，找出标题、发送人地址，分析邮件内容，找出其中的关

键词；

3) 查看并分析邮件服务器的日志，并结合对不良邮件的分析结果，找出该不良邮

件发送的SMTP服务器和IP地址；

4) 登录防垃圾邮件系统，将该不良邮件的标题、发送人地址、关键词设置为过滤

条件；

5) 通过防垃圾邮件系统和人工的方式，清除所有的不良邮件； 6) 确认所有不良邮件清除完成后，恢复邮件服务器的运行； 7) 通告所有用户，删除已收到个人收件箱的不良邮件。

2012年8月16日

13

本文来源：https://www.bwwdw.com/article/9i5o.html