信息安全事件应急处理报告模板Word文档格式.docx

信息安全事件应急处理报告模板Word文档格式.docx

《信息安全事件应急处理报告模板Word文档格式.docx》由会员分享，可在线阅读，更多相关《信息安全事件应急处理报告模板Word文档格式.docx（22页珍藏版）》请在冰点文库上搜索。

2017年6月25日XX单位网站服务器发现存在恶意文件，直接威胁网站的正常运营与使用，XX单位立即拨通XX公司的应急服务热线，请求应急处理服务。

我方应急处理服务人员，对相关信息进行登记记录，并按作业指导书要求启动相关过程。

1.2应急处理服务目的

尽快确认和修复漏洞，恢复信息系统的正常运行，使信息系统所遭受的破坏最小化，并在应急处理后提供准确有效的法律证据、分析统计报告和有价值的建议，在应急处理服务工作结束后对系统管理进行完善。

1.3应急处理服务范围

序号

资产编号

名称

型号/操作系统

位置

1

SDFDA-SE-006

网站服务器（主）

NF5270/Centos6.4

药监机房

2

SDFDA-SE-007

网站服务器（备）

3

SDFDA-SE-011

数据库服务器（主）

IBM/AIX4.2

4

SDFDA-SE-012

数据库服务器（备）

1.4应急处理服务依据

1.4.1应急处理服务委托协议

《XX单位应急处理服务委托书》

142基础标准与法律文件

《中华人民共和国突发事件应对法》

《网络与信息安全应急处理服务资质评估方法》（YD/T1799-2008）

《信息技术安全技术信息安全事件管理指南》（GB/Z20985-2007）

《信息安全技术信息安全事件分类指南》（GB/Z20986-2007）

143参考文件

《信息安全技术

《信息技术服务

信息安全风险评估规范》（GB/T20984-2007）

信息系统安全等级保护基本要求》（GB/T22239-2008）

运行维护第一部分通用要求》（GB/T28827.1-2012）

运行维护第二部分交付规范》（GB/T28827.1-2012）

运行维护第三部分应急响应规范》（GB/T28827.1-2012）

应急处理服务流程

XX单位应急处理服务过程主要包括六个阶段：

准备阶段、检测阶段、抑制阶段、根除阶段、恢复阶段、总结阶段。

应急处理服务流程如图所示。

检测阶段

抑制阶段

现场勘查确定检测方案并进行实施

确定和认可抑制的方案并进行抑制的实施

总结阶段

负责人准备工作

制定工作方案和计划，监督和指导其他小组的工作

现场实施人员的确定

回顾并完善整个事件的处

理过程并进行总结

形成事故报告

为服务对象提出安全建议

三、应急处理服务内容和方法

3.1准备阶段

3.1.1准备阶段工作流程

准备阶段流程图:

3.1.2准备阶段处理过程

我公司与XX单位进行信息安全事件应急处理详情进行沟通，分别对客户应急服务所包含的具体需求和客户实际信息系统环境进行了详细了解，在达成一致的基础上签订了应急处理服务合同；

随后我

公司立即成立针对该项目的应急处理小组，立刻着手服务方案编写和

工具准备工作，同时协助客户对应急范围内的信息系统进行评估和备份快照。

3.1.3准备阶段现场处理记录表

工具准备清单

时间

服务单位名称

服务单位联

系人

联系方式

响应服务人员

工具使用原因目的描述

辅助快速准确发现问题，解决问题。

应急工具准备清单：

绿盟远程安全评估系统

北京安信通数据库扫描系统

Nessus漏洞扫描

Wireshark抓包工具

WVSfe业版WEB应用安全测试工具

批准人

（签字）:

3.2检测阶段

321检测阶段工作流程

检测阶段流程图:

3.2.2检测阶段处理过程

我公司技术支持热线客服人员接到用户的应急响应服务电话请求后，通过电话了解基本情况，并检查我公司是否有该类安全事件的应急预案，发现并没有该类安全事件的应急预案；

随后我公司立刻派遣应急处理小组携带应急工具、技术规范、现场记录表在服务协议规定的1小时内准备完毕到达现场。

到达客户现场后，项目组负责人立即与客户方负责人进行方案沟通，由客户负责人书面授权后，根据实际客户情况建议对网站进行切换和数据备份，随后开始进行检测处理。

检测内容如下：

1）事件沟通与应急准备。

2）方案沟通与应急授权。

3）网站切换与快照备份。

4）漏洞发现与验证。

5）确定漏洞产生原因，沟通抑制措施

6）准备备份文件数据以备随时回退。

经过以上检测，项目组确定漏洞根源并确认成功

323检测阶段现场处理记录表

检测结果记录

XX

服务单位联系人

响应服务人员

检测原因或检测目的描述

确认漏洞存在并评估安全事件等级

检测过程及结果记录：

（1）首先发现任意下载漏洞，可以下载敏感信息文件：

tomcat路径：

/data/tomcat6_8081/

■

<

Coimectorport=J8081,protocol=*HTTP/l.1*connection!

iuieout=^20000^r&

directPort=Jtf

URIEncoding=rfUTF-8rfmaxThreads=^600*minSpareThreads=#100*niaiSpareThreads^"

SOO"

"

acceptCount=jy700^enableLookups=tffalseJ，/>

（2）然后根据敏感文件信息，并通过任意读取漏洞获取到关键信息：

网站结构、

网站数据库账户密码等：

fl1terrutmcJe-tCharBcter£

z£

odJlnf.fiIter-i

ini

fllierftSexCh*racieifecodind'

ilier1flHer-£

lej41

filter：

f1Ltef-iLue-^etsicinFiller'

fl1tee-au£

>

filler-clMILDLhuHM^1lEE3-'

tiltEr-cLfll.^.-*

■parna^-iuvr：

!

B«

h：

knmzidDir<

pana-MmrA

],aTn"

丫r"

咗-__■__-匚_-_-=--"

--"

=■-„■■_-

LaitnHru■

.filxtr>

Filjt

fillflrnW0巧ionFilterfIllir«

*■«

gjl-DHtt<

rflL：

:

气jsnC

.f11L£

rkJlf.

fillerodeLafz^Sej-ilMFiltei1filLcrBatefilbIw:

：

imh.i-p*jru/

p9rB>

—'

'

p^s-s&

ir^■-nr^we-1

mtrM-YAI■■*Jini<

Ff«

*・f■购5仙乱qpfJFwew前聘・问■•mwr^p<

i林xw/wr3«

fcrrmr.-■par™¥

*lnt

[FLAT：

Syxtem^winnt

WebServer=websphereAppPath-jems

DBType=ojracle

Setup=success

[USER]

Adm£

nPW=c3d2EHJlffli，MCF3VDcQQFX3FBdDA=AdminIP=

[THREADFOOL]

minPools=lmaxPools=bcheckThreadPeriod=5

?

xalversi&

n-^l.0^eDcoding=JrUTiF-8^?

sonething-else-entirely>

^proxool>

alias>

l<

.alia5>

■xirivcr-url^^/[CDATA[jdbc：

oracle：

thin：

^172.16.2.101:

1521：

orcl]]^/drivcr-iLrl>

<

driver-class>

oracle.jdbe.driver,OracleDrivsr<

/driver-class>

drjver-properties>

^propertynaMe-uservalue-hjcni£

*/>

^propertyname"

pasEwoxd'

value=*hjcm5201a/>

/driver_propcrtits>

nininu»

i-connet:

tion-count>

10Coininun-connection~count>

naxinuw-connectior>

-count>

100<

/waxinun-connection一count〉^hanveb-iiaxiiiun-pagesizf》1ODD0OOO《.haQveb-*azlMun-pa^esize^<

test-befDre-use>

true<

/te5t-before—use>

trace>

/trace>

houise-keeDing-test-sal>

5elect1fromdual<

/house-keeping-test-5ql>

dbtype>

oracle<

/dbtype>

V■proicool?

/something-else-entirely>

（3）

上传木马获取系统权限:

任才：

htni锻hun%竹是示*圄片的如忆

主fdftc.zip

亡^d^tc^.htrnl

EEuj5d5tc5.jpg卫sdstc&

.ximl

_serverc?

'

tiw-^t-html

X

+窖祢

大少

注:

H医旣

Ai

•目录！

T.=

mwTWIBmiML

^sdrtc.jsp

6.12KB

2KB曲文件

-▼也三▼申安全68sdstc.iip

_KKgJc.sdfd^.^ov.cn

1'

1/lEB-IKT/mi/

124128.39.243目录【0）,文件〔0）名称时间

曰9

国

E

二:

data

v&

r

mtdit

root

net

sbin

201Smiec

bin

etc

hante

tmpboot

U33Tlitlost+foundtftpbcotWEB-IHT

A£

BB

[/datjs/WabSpkere/AppS*rver/profil&

E/dftfault/]$whoamiroot

ESTAEUSMZD

TIHEJAIT

FIOA1T2TIHOAIT

TIME_WAITTIME_WAIT

ESTABUSM2DESTABLKHIE

FIO肛T2TINEWAIT

ESTAPUSHED

TIME-WAIT

TiniE_ff*IT

ESTABUSHEDESTABIJEHED

TIMEJATTEETABLIEMED

ESTABliekzd

TINE_W*IT

ESTABUSMZDESTABUSMIDESIABLJSHJD

TIHE_；

AITTI帼」虹T

TIT1TIT!

ITTTIi—k

0:

f£

ff；

15C,150,1.124

50925

ffff:

15C.150.1.124：

叮：

ff;

150.150.1.124

;

®

）81

C:

ffff.150.15C.1.124

8081

13011£

59901

£

f：

15O.15C.1.124

59850

ffff15019011Z4

59621

ff：

190.ISO.1.124

59413

ffff190.190.1.1Z4

3031

190.190.1.124

56143

ffff；

150.150.1.1E4

元覺斗

ffff;

150.190.1.124

57771

150.ISO,1.124

□T&

45

ffff：

150rISO.1.124

574-90

150.150.1.124

574-95

G:

ffff:

150.150.1124

57561

150.15C.1.124

5T4€5

190.150.1.124

5T423

150ISO.1124

58252

15O.150.1.124：

5TM1

ffff-ISC.15C.1.124

10090

ffffISO.15C.L121

SE512

190.190.1.124：

52223

；

130.130.1.124：

□322&

172.1&

.2.1Q1;

1521:

1501501122:

436T3;

f;

150.150.1.122:

43675:

150.150.1122:

43874:

172.IB.2.101.1521:

£

fff：

172.16.J.101:

1521

fffE1T215.?

101:

172.16.2101:

ffff190.150.1.122：

436T9:

172.IS.2101152]:

172.1&

.2101152]:

172.IB.2.101:

fffE:

172.16.2.101:

172rIB,1.101：

172IB.Z.101:

fff£

l72.IB.101:

1551.172.IS.2.1011521,：

f.172.1&

.2,101.1521

ffff!

lT218.2.101.1521：

lT2.IS.2.101:

15D.15D.1.122：

413QG:

17E.15.Z10115£

]'

L172.1&

2101:

152]■:

ffff'

lTE.ID210115£

]

安全事件等级确定:

该事故发生后将导致网站服务器被非法接管，使其公共服务受到严重损坏，系统受到严重损失，数据被非法窃取；

该网站系统中断或非法篡改，可能影响到国家安全，扰乱社会秩序，对经济建设、公众利益有一定的负面影响。

该事故安全事件等级为：

U级。

检测阶段确认（签字）

3.3抑制阶段

331抑制阶段工作流程

抑制阶段流程图：

心

3.3.2抑制阶段处理过程

通过检查阶段的详细调查，我们判断是文件下载访问权限不合理，上传未做过滤产生的漏洞。

在与客户沟通后，客户接受我们的方案并授权我们对该系统进行抑制处理。

（1）针对敏感文件设置读取严格的读取和下载权限，禁止访问用户可以读取和下载。

（2）暂时关闭非法上传点模块。

（3）抑制措施验证并准备备份数据随时回退。

333抑制阶段现场处理记录表

抑制处理记录表

抑制处理原因

针对主要文件信息泄露和非法上传漏洞进行抑制

抑制处理目的

给予最快速的漏洞基本解决方案，初步抵御攻击

抑制处理方案：

（1）针对敏感文件设置读取严格的读取和下载权限，禁止访问用户可以读取和下载。

抑制方案产生的风险及应对措施：

关闭非法上传点模块后，可能对日常管理，合法上传存在一定的影响。

应对措施：

当需要上传时，采取使用介质本地服务器拷贝上传方式。

抑制方案确认（签字）：

抑制效果：

抑制成功

3.4根除阶段

341根除阶段工作流程

根除阶段流程圏：

+

与客户协商厂商沟通事宜心

3.4.2根除阶段处理过程

抑制阶段可以解决外网用户对网站系统的威胁，但是还没有从根

本上解决网站漏洞问题。

在与客户沟通后，我们进行了如下操作：

1）与客户沟通抑制措施达到的安全防护效果并协商厂商沟通事宜。

2）联系厂商，与厂商说明目前网站存在的非法下载、读取和上传的漏洞，建议

采用添加文件校验和文件权限模块，实现漏洞修补。

3）建议客户对服务器权限进行合理优化，使用非root用户运行网站。

4）对厂商反馈修复结果进行验证并准备必要的回退措施。

343根除阶段现场处理记录表

根除处理记录表

根除处理原因

后台页面代码修复，上传限制使用后台白名单

根除处理方案：

通过之前的抑制处理方案，已经实现非法下载、读取和上传漏洞风险的基本控制，但没有彻底根除漏洞根源。

所以，可以通过以下方法彻底根除该问题。

2）联系厂商，与厂商说明目前网站存在的非法下载、读取和上传的漏洞，建议采用添加文件校验和文件权限模块，实现漏洞修补。

根除方案产生的风险：

代码漏洞修补和服务器权限优化后，经验证测试对网站系统无影响，进一步增加了网站的安全性。

根除方案确认（签字）：

根除效果：

根除成功

3.5恢复阶段

3.5.1恢复阶段工作流程

恢复阶段流程图：

抑制和根除阶段

文件对比，可疑文件确认和清除

3.5.2恢复阶段处理过程

通过之前的抑制及根除处理，已经基本解决了网站存在的高危漏洞，在网站重新上线前，应急人员重新对网站进行全面的漏洞扫描，并对发现的可疑漏洞进行确认和修复，同时对网站系统进行安全加固。

3.5.3恢复阶段现场记录表

恢复处理记录表

服务单位联系人

恢复处理原因文件对比、漏洞扫描、安全加固

恢复处理方案：

通过之前的抑制及根除处理，已经基本解决了非法下载、读取和上传漏洞，但为了全面的检查网站完整性和安全性，在网站进行重新恢复上线前主要执行以下操作：

1）网站文件比对，可疑文件确认和清除。

2）网站漏洞扫描，确认并修复其他漏洞。

3）网站系统安全加固：

权限细化、账户清理、登录失败策略配置等。

恢复方案确认（签字）：

恢复效果：

恢复成功

3.6总结阶段

3.6.1总结阶段工作流程

总结阶段流程图：

亠

汇总应急响应文档护

362总结阶段现场记录表

应急响应总结阶段报告

呈报部门：

报告时间：

报告人：

XX报告人部门：

事件的类型

网站存在咼危漏洞

检测时间

检测动作

漏洞扫描和手工验证

检测结果

存在咼危漏洞并威胁整体网站系统安全。

抑制时间

抑制动作

（1）针对敏感文件设置读取严格的读取和下载权限，禁止访问用户可以读取和下载。

（2）暂时关闭非法上传点模块。

抑制结果

根除阶段

根除时间

根除动作

漏洞反馈厂商，并配合厂商进行漏洞修补。

根除结果

漏洞修补成功并重新上线正常运营。

事件评估

事件影响范围

XX单位相关行业

事件损失评估

该网站系统中断或非法篡改，可能影响到国家安全，扰乱社会秩序，对经济建设、公众利益有一定的负面影响。

处理方法评估

处理方法得当及时

处理流程评估

流程符合标准操作

事件根源分析及教训

原因分析

网站代码存在漏洞，多处访问、下载未授权，上传未限制。

经验教训

应用系统上线前进行安全检测，培养开发人员安全意识。

总结阶段确认（签字）：

四、结论与建议

我公司应急响应小组到达现场后，快速分析问题、定位原因、处理问题，及时有效的保障了“XX单位门户网站”的安全稳定运行，使XX单位避免了经济损失和不良影响。

通过本次信息安全事件应急处理，建议XX单位提高人员安全意识，加强信息安全管理，规范针对信息系统的各项操作