安全事件应急演练方案

一、本次应急演练的背景和目的。

为贯彻落实集团公司《关于印发“中国移动十八大网络与信息安全保障专项行动工作方案“的通知》（中移综发[2012]11号）的总体要求，用一个安全、净化的网络迎接十八大胜利召开，根据集团公司统一安排，各部门、各单位需组织各围绕信息安全的突发事件和高发事件，完成一次综合性的应急演练。

此次信息安全事件应急演练是针对所辖系统在运行过程中或者操作过程中可能出现的紧急问题，其目的是提升对黑客入侵等安全事件的监测应急能力，提升对具有社会动员能力系统突发事件的紧急处置能力，缩短系统中断时间，降低业务损失，为十八大期间的信息安全保障工作的做好充分准备。

二、演练涉及的单位。

省公司网络部、市场部、数据部、集团客户部、网管中心、数据中心、业务支撑中心、客户服务中心、各市公司。

三、应急演练方法。

本次演练采用安全事件应急过程的纸面演练与具体应急措施的实际操作相结合的方式开展，以求真正达到应急演练的目的。

请各部门、各单位针对本方案设定的每个应急演练项目(见下节)，结合自身应用系统的实际情况，选择可能出现安全事件的应用系统，由该系统的应急处理人员填写如下应急演练**，实现应急过程的纸面演练。附录一给出了应急演练**。附录二给出了应急演练**的填写样例，附录三给出了针对本方案设定的应急演练项目可采取的一些应急处理措施，供各部门、单位参考。

对于应急处理措施，在填写过程中应结合所选应用系统的实际软硬件环境，给出具体的操作指令或工具。同时，应急处理人员应在应用系统测试环境下进行实际的操作练习。

四、应急演练项目。

本方案选择5类共9个应急演练项目，分别是：

1. 信息篡改（1个项目）：指未经授权将系统中的信息更换为攻击者所提供的信息而导致的信息安全事件。例如**首页被替换的信息安全事件。

2. 病毒/蠕虫/恶意**（2个项目）：指系统内部主机遭受病毒、蠕虫、恶意**的破坏，或从外网发起对系统的病毒、蠕虫、恶意**感染事件。具体分成内部事件和外部事件两个项目。

3. dos攻击（4个项目）：指利用信息系统缺陷、或通过暴力攻击的手段，以大量消耗信息系统的cpu、内存、磁盘空间或网络带宽等资源，从而影响信息系统正常运行为目的的信息安全事件。

拒绝服务发起时往往表现为cpu、内存、带宽等的高利用率，同时由于攻击手法和形式的多样性，造成对攻击形式攻击特征分析带来一定的难度。具体演练项目包括：由内部发起的dos攻击事件、由外部发起的利用主机漏洞的dos攻击事件、由外部发起的利用网络设备漏洞的dos攻击事件、由外部发起的利用网络协议/应用漏洞的dos攻击事件。

4. 黑客控制系统：指黑客入侵后，对内部系统和应用进行控制，并尝试以此为跳板对其它内部系统和应用进行攻击。

例如入侵后植入远程控制软件，恶意修改系统管理员口令或者web应用管理员口令等。

5. 不良信息传播：包含任何不当的、侮辱诽谤的、**的、暴力的及任何违反国家法律法规政策的内容信息通过具备邮件等系统进行传播。

五、应急演练结果反馈。

针对五类9个项目按要求完成应急演练，分别填写应急演练表反馈总部：

表1 信息篡改事件应急演练表。

表2.1 内部病毒/蠕虫/恶意**事件演练表。

表2.2 外部病毒/蠕虫/恶意**事件演练表。

表3.1 由内部发起的dos攻击事件演练表。

表3.2 由外部发起的利用主机漏洞的dos攻击事件演练表。

表3.3 由外部发起的利用网络设备漏洞的dos攻击事件演练表。

表3.4 由外部发起的利用网络协议/应用漏洞的dos攻击事件演练表。

表4 黑客控制系统事件演练表。

表5 不良信息传播事件演练表。

附录一：应急演练表。

附录二：应急演练表填写样例。

注：关于安全事件上报参见十八大保障应急预案、安全事件管理细则。

附录三：应急处理措施参考。

1、信息篡改事件应急处理措施。

1) 进行系统临时性恢复，迅速恢复系统被篡改的内容。

2) 必要时，将发生安全事件的设备脱网，做好安全审计及系统恢复准备。

3) 必要时，将遭受攻击的主机上系统日志、应用日志等导出备份，并加以分析判断。

4) 分析web应用日志，确认有无恶意文件上传、跨站脚本、sql注入的非正常查询。

5) 分析主机系统日志，确认主机上有无异常权限用户非法登陆，并记录其ip地址、登陆时间等信息。例如对unix：

使用w命令查看utmp日志，获得当前系统正在登录帐户的信息及**。

使用last命令查看wtmp日志，获得系统前n次登录记录。

su命令日志记录了每一次执行su命令的动作：时间日期、成功与否、终端设备、用户id等。有些unix具有单独的su日志，有些则保存在syslog中。

cron日志记录了定时作业的内容，通常在/var/log/cron或默认日志目录中一个称为cron的文件里。

6) 分析系统目录以及搜索整盘近期被修改的和新创建的文件，查找是否存在可疑文件和后门程序。例如对unix：

find /etc –ctime n –print在/etc查找n天以前文件状态被修改过的所有文件。

find /etc –mtime n –print在/etc查找n天以前文件内容被修改过的所有文件。

7) 分析系统服务，检查有无新增或者修改过的服务，有无可疑进程，有无可疑端口。例如对unix：

netstat –an列出所有打开的端口及连接状态。

sof –i只显示网络套接字的进程。

ps –ef会列出系统正在运行的所有进程。

8) 使用第三方检查工具检查是否存在木马后门程序；

9) 结合上述日志审计，确定攻击者的方式、入侵后所获得的最大管理权限以及是否对被攻击服务器留有后门程序。

10) 通过防火墙或网络设备策略的配置严格限制外网恶意地址对该服务器的远程登录及访问请求。

netscreen防火墙：

set policy id * top from untrust to trust "外部ip" "any" "any" deny log

cisco防火墙：

i.标准访问控制列表。

access-list list-number source [source-wildcard] [log]

ii.扩展访问控制列表。

access-list list-number protocol

source source-wildcard source-qualifiers

destination destination-wildcard destination-qualifiers [ log | log-input]

11) 对web服务软件和数据库进行安全配置；

12) 对存在问题的web页面**进行安全修改；

13) 如果攻击者放置了后门、木马等恶意程序，建议对主机重新安装操作系统，并恢复数据库系统，对系统进行加固；

14) 恢复业务数据，进行业务测试，确定系统完全恢复后系统上网运行。

2、病毒/蠕虫/恶意**事件应急处理措施。

2.1内部事件。

1) 定位事件的源头。

通过防病毒管理中心，可以监控到哪些设备和哪些类型病毒爆发的状况。

通过网络流量分析系统（tcpdump、sniffer等），对网络数据包分析、网络连接分析，即定位事件的源头。

查看重要主机的日志，检查主机是否受到蠕虫病毒的入侵或者是否感染蠕虫病毒。

2) 隔离主机：在确认有主机感染蠕虫之后，将被感染主机隔离，以免其进一步扩散，并根据需要启动备用主机以保持业务连续性。

3) 在问题终端或主机上，确定病毒、蠕虫、恶意**的特征：进程、端口等。对unix，

netstat –an列出所有打开的端口及连接状态。

lsof –i只显示网络套接字的进程。

ps –ef会列出系统正在运行的所有进程。

4) 清除病毒、蠕虫、恶意**，一般先停止恶意进程，同时将其相关文件和注册表项删除。对unix，kill 停止进程。

rm –f 删除文件。

5) 如果人工无法清除，则需要防病毒系统厂商提供针对该病毒的专杀工具，使用专杀工具来清除病毒。当本单位技术力量无法完成时，应及时寻求专业病毒服务厂商支持。

安全事件应急演练方案

安全事件应急演练方案

突发安全事件应急疏散演练方案

食堂食品安全事件应急演练方案

其他用户还读了