《2023信息安全事件应急处理报告模板.docx》由会员分享,可在线阅读,更多相关《2023信息安全事件应急处理报告模板.docx(21页珍藏版)》请在课桌文档上搜索。
1、XX单位信息安全事件应急处理报告XXX公司2023年X月XX日一、概述11.1 应急处理服务背景11.2应急处理服务目的11.3 应急处理服务范围11.4 应急处理服务依据27.4.1应急处理服务委托协议21.4.2基础标准与法律文件27. 4.3参考文件2二、 应急处理服务流程3三、 应急处理服务内容和方法53.1准备阶段53. 1.1准备阶段工作流程.54. 1.2准备阶段处理过程.55. 1.3准备阶段现场处理记录表63.2 检测阶段73. 2.1检测阶段工作流程.74. 2.2检测阶段处理过程.75. 2.3检测阶段现场处理记录表83.3 抑制阶段93.3.1抑制阶段工作流程.93.3
2、.2抑制阶段处理过程.93.3.3抑制阶段现场处理记录表103.4根除阶段113.4.1根除阶段工作流程.113.4.2根除阶段处理过程.113.5 恢复阶段133. 5.1恢复阶段工作流程.134. 5.2恢复阶段处理过程.135. 5.3恢复阶段现场记录表.133.6 总结阶段143.6.1总结阶段工作流程.143.6.2总结阶段现场记录表15四、结论与建议16信息安全事件应急处理报告应急处理单位委托单位XX单位服务类别委托应急处理受理日期2023年X月XX日处理日期2023年X月XX日服务成员监督人处理结论:通过本次应急处理服务,解决了XX单位存在的网站漏洞,修补后,经测试有效。建议委托
3、单位针对报告中提出的建议,增强安全控制措施,切实提高信息安全水平,降低相关风险。XX公司2023年X月XX日批准人:应急处理服务人员:审核人:一、概述1.1 应急处理服务背景XX单位与XX公司签订应急服务合同。XX公司根据合同协议中规定的范围和工作内容为XX单位提供应急服务。2023年6月25日XX单位网站服务器发现存在恶意文件,直接威胁网站的正常运营与使用,XX单位立即拨通XX公司的应急服务热线,请求应急处理服务。我方应急处理服务人员,对相关信息进行登记记录,并按作业指导书要求启动相关过程。1.2 应急处理服务目的尽快确认和修复漏洞,恢复信息系统的正常运行,使信息系统所遭受的破坏最小化,并在
4、应急处理后提供准确有效的法律证据、分析统计报告和有价值的建议,在应急处理服务工作结束后对系统管理进行完善。1.3应急处理服务范围序号资产编号名称型号/操作系统位置1SDFDA-SE-006网站服务器(主)NF5270Centos6.4药监机房2SDFDA-SE-007网站服务器(备)NF5270Centos6.4药监机房3Sdfda-SE-Oii数据库服务器(主)IBM/AIX4.2药监机房4SDFDA-SE-O12数据库服务器(备)IBM/AIX4.2药监机房1.4应急处理服务依据1.4.1应急处理服务委托协议XX单位应急处理服务委托书1.4.2基础标准与法律文件中华人民共和国突发事件应对法
5、网络与信息安全应急处理服务资质评估方法(YD/T1799-2008)信息技术安全技术信息安全事件管理指南(GB/Z20985-2007)信息安全技术信息安全事件分类指南(GB/Z20986-2007)1.4.3参考文件信息安全技术信息安全风险评估规范(GB/T20984-2007)信息安全技术信息系统安全等级保护基本要求(GB/T22239-2008)信息技术服务运行维护第一部分通用要求(GB/T28827.1-2012)信息技术服务运行维护第二部分交付规范(GB/T28827.1-2012)信息技术服务运行维护第三部分应急响应规范(GB/T28827.1-2012)二、应急处理服务流程XX单
6、位应急处理服务过程主要包括六个阶段:准备阶段、检测阶段、抑制阶段、根除阶段、恢复阶段、总结阶段。应急处理服务流程如图所示。现场实施人员的确定市场人员准备工作回顾并完善整个事件的处理过程并进行总结启动专项预案三、应急处理服务内容和方法3.1 准备阶段3.1.1 准备阶段工作流程准备阶段流程图:客户沟通服务需求界定服务合同签订制定服务方案乜应急人员和工具表单准备3.1.2 准备阶段处理过程我公司与XX单位进行信息安全事件应急处理详情进行沟通,分别对客户应急服务所包含的具体需求和客户实际信息系统环境进行了详细了解,在达成一致的基础上签订了应急处理服务合同;随后我公司立即成立针对该项目的应急处理小组,
7、立刻着手服务方案编写和工具准备工作,同时协助客户对应急范围内的信息系统进行评估和备份快照。3.1.3准备阶段现场处理记录表工具准备清单时间2023年X月XX日服务单位名称XX公司服务单位联系人联系方式响应服务人员联系方式工具使用原因目的描述辅助快速准确发现问题,解决问题。应急工具准备清单:绿盟远程安全评估系统北京安信通数据库扫描系统Nessus漏洞扫描Wireshark抓包工具WVS企业版WEB应用安全测试工具批准人(签字):3.2检测阶段3.2.1检测阶段工作流程检测阶段流程图:事件沟通与应急准备*vx*方案沟通确认与应急授权JI网站切换与快照备份U漏洞追溯与验证U确定漏洞产生原因,沟通抑制
8、措施3.2.2检测阶段处理过程我公司技术支持热线客服人员接到用户的应急响应服务电话请求后,通过电话了解基本情况,并检查我公司是否有该类安全事件的应急预案,发现并没有该类安全事件的应急预案;随后我公司立刻派遣应急处理小组携带应急工具、技术规范、现场记录表在服务协议规定的1小时内准备完毕到达现场。到达客户现场后,项目组负责人立即与客户方负责人进行方案沟通,由客户负责人书面授权后,根据实际客户情况建议对网站进行切换和数据备份,随后开始进行检测处理。检测内容如下:1)事件沟通与应急准备。2)方案沟通与应急授权。3)网站切换与快照备份。4)漏洞发现与验证。5)确定漏洞产生原因,沟通抑制措施。6)准备备份
9、文件数据以备随时回退。经过以上检测,项目组确定漏洞根源并确认成功。3.2.3检测阶段现场处理记录表检测结果记录时间2023年X月XX日服务单位名称XX服务单位联系人联系方式响应服务人员联系方式检测原因或检测目的描述确认漏洞存在并评估安全事件等级检测过程及结果记录:(I)首先发现任意下载漏洞,可以下载敏感信息文件:t0cat路径:/data/tomcat6_8081/Connectorport=*8081*PrOtOCo1=HTTP1.1”ConnectionTijReout=*20000*redirectPort=8444”URIEncoding=xrUTF-S*JnaxThreads=#60
10、0jrJninSpareThreads=100rIiiaxSpareThreads=jorSOO*acceptCount=j0fTOO*Cnable1.ookups=false”/)(2)然后根据敏感文件信息,并通过任意读取漏洞获取到关键信息:网站结构、网站数据库账户密码等:jcas252SeCharacterCncodingfilters.SetGiaracterEncodiasFilteKZfilter-classaraBercodinUTF-8SessionFilterco.h&nveb.filter.SeisioFilxeraraaBackcroundDir三.l.8f/2/,/2.2
11、/,。5_3/2_亿/m5/,三l5.6,/2_7/2-9/2.a/,u-b,/b5.C.u5.e,5.fr/M.SessionFilter*.jspfliter-aappin1.9ginSessionFilterfliters.1.oginSessioFilteraraBpassOirinterface/,/jcs,filesr/index,opr-forcecbagepd,/error-page,oawindotop-,/setup/opr.log,oawindowerror/pr-va1cF1.ATSystem=WirmtWebSeirver=WebsphereAppPath=JcmsD
12、BTyPe=OraCleSetup=successUSERAdminPW=c3d2EHJlfWMCF3VDc0QFN3FBdDA=AdminIP=ThreadpoolIminPools=lmaxPools=5CheckThreadPeriod=5loracle.jdbc.driver.OracleDriver1010010000000truetrueselect1fromdualoracle(3)确定上传点,上传木马获取系统权限:桎板设舌稹板送排模板上传模板文件路径浏览提示:htm哦htm文件模板图片路径浏览.提示:图片的加包上传模板sdstcjJpsdstc3.htmll三P安全SiSdSt
13、C.zip文件夹名称大小压先后大小5SEGSsdstc5.jpgJjsdstc6.xml_lservert,滨州医睨A.(层目录)测评(天会信茂交吩云森备案Z3sdstc.jsp6.12KB2KBJSP文件1卜,ElIll-Qxxgk.sdfda.goY.cn/WEB-IHFZini/124.128.39.243目录9),文件9)钠时间EI/O匕IO回匕IdataVarmediarootnetsbin2015miscbinetchge三ystmpbootusrliblostfoundtftpbootWEB-INFG=Mndata/WebSphere/AppServer/profile三defu
14、lt/$whoamirootIO:ffff:150.150.1,124:60925:ffff:172.16.2,101:1521ESTAB1.ISHEDIO:ffff:150,150.1,124:8081:ffff:150,150.1122:43673TIME,WAITIO:ffff:150.150.1.124:8081:ffff:150.150.1.122:43675FINXAIT2IO:ffff:150.150.1.124:8081:ffff:150.150.1.122:43674TIM亘AITIO:ffff:150.150.1.124:59901:ffff:172.16.2,101:15
15、21TIME.WAITIO:ffff:150.150.1.124:59850:ffff:172.16.2.101:1521TlMEJyAITIO:ffff:150.150.1.124:59621:ffff:172.16.2,101:1521ESTAB1.ISHEDIO:ffff:150.150.1.124:59413:ffff:172.16.2.101:1521ESTAB1.ISHEDIO:ffff:150.150.1.124:8081:ffff:150.150.1.122:43679FlNJfAIT2IO:ffff:150.150.1.124:58448:ffff:172.16.2.101:
16、1521TIM豆AITIO:ffff:150.150.1.124:58884:ffff:172.16.2.101:1521ESTAB1.ISHEDIO:ffff:150.150.1.124:57771:ffff:172.16.2.101:1521TIMEAITIO:ffff:150.150.1.124:57645:fff:172.16.2.101:1521TIMEAlTIO:ffff:150.150.1.124:57490:fff:172.16.2.101:1521ESTAB1.ISHEDIO:ffff:150.150.1.124:57495:ffff:172.16.2.101:1521EST
17、AB1.ISHEDIO:ffff:150.150.1.124:57561:ffff:172.16.2.101:1521T工MEJfAITIO:ffff:150.150.1.124:57465:ffff:172.16.2.101:1521ESTAB1.ISHEDIO:fff:150.150.1.124:57423:ffff:172.16.2.101:1521ESTAB1.ISHEDIO:150,150.1.124:58252:ffff:172.16.2.101:1521TIMEWAITIO:fff:150.150.1.124:57881:ffff:172.16.2.101:1521EST疝USH
18、EDIO:ff:150.150.1.124:9080:ffff:150.150.1.122:41396ESTAB1.ISHEDIO:ffff:150.150.1.124:52512:ffff:172.16.2.101:1521ESTAB1.ISHEDIO:ffff:150.150.1.124:52228:ffff:172.16.2.101:1521T工MEjVAlTIO:ffff:150.150.1.124:53226:ffff:172.16.2.101:1521TIMEfAIT安全事件等级确定:该事故发生后将导致网站服务器被非法接管,使其公共服务受到严重损坏,系统受到严重损失,数据被非法窃取
19、;该网站系统中断或非法篡改,可能影响到国家安全,扰乱社会秩序,对经济建设、公众利益有一定的负面影响。该事故安全事件等级为:II级。检测阶段确认(签字)3.3抑制阶段3.3.1抑制阶段工作流程l抑制阶段流程图:3.3.2抑制阶段处理过程通过检查阶段的详细调查,我们判断是文件下载访问权限不合理,上传未做过滤产生的漏洞。在与客户沟通后,客户接受我们的方案并授权我们对该系统进行抑制处理。(1)针对敏感文件设置读取严格的读取和下载权限,禁止访问用户可以读取和下载。(2)暂时关闭非法上传点模块。(3)抑制措施验证并准备备份数据随时回退。抑制处理记录表时间2023年X月XX日服务单位名称XX服务单位联系人联
20、系方式响应服务人员联系方式抑制处理原因针对主要文件信息泄露和非法上传漏洞进行抑制抑制处理目的给予最快速的漏洞基本解决方案,初步抵御攻击抑制处理方案:(1)针对敏感文件设置读取严格的读取和下载权限,禁止访问用户可以读取和下载。(2)暂时关闭非法上传点模块。(3)抑制措施验证并准备备份数据随时回退。抑制方案产生的风险及应对措施:关闭非法上传点模块后,可能对日常管理,合法上传存在一定的影响。应对措施:当需要上传时,采取使用介质本地服务器拷贝上传方式。抑制方案确认(签字):抑制效果:抑制成功3.4.1根除阶段工作流程根除阶段流程图:3.4.2根除阶段处理过程抑制阶段可以解决外网用户对网站系统的威胁,但
21、是还没有从根本上解决网站漏洞问题。在与客户沟通后,我们进行了如下操作:1)与客户沟通抑制措施达到的安全防护效果并协商厂商沟通事宜。2)联系厂商,与厂商说明目前网站存在的非法下载、读取和上传的漏洞,建议采用添加文件校验和文件权限模块,实现漏洞修补。3)建议客户对服务器权限进行合理优化,使用非root用户运行网站。4)对厂商反馈修复结果进行验证并准备必要的回退措施。根除处理记录表时间2023年X月XX日服务单位名称XX服务单位联系人联系方式响应服务人员联系方式根除处理原因后台页面代码修复,上传限制使用后台白名单根除处理方案:通过之前的抑制处理方案,已经实现非法下载、读取和上传漏洞风险的基本控制,但
22、没有彻底根除漏洞根源。所以,可以通过以下方法彻底根除该问题。1)与客户沟通抑制措施达到的安全防护效果并协商厂商沟通事宜。2)联系厂商,与厂商说明目前网站存在的非法下载、读取和上传的漏洞,建议采用添加文件校验和文件权限模块,实现漏洞修补。3)建议客户对服务器权限进行合理优化,使用非root用户运行网站。4)对厂商反馈修复结果进行验证并准备必要的回退措施。根除方案产生的风险:代码漏洞修补和服务器权限优化后,经验证测试对网站系统无影响,进一步增加了网站的安全性。根除方案确认(签字):根除效果:根除成功3.5.1恢复阶段工作流程恢复阶段流程图:3.5.2恢复阶段处理过程通过之前的抑制及根除处理,已经基
23、本解决了网站存在的高危漏洞,在网站重新上线前,应急人员重新对网站进行全面的漏洞扫描,并对发现的可疑漏洞进行确认和修复,同时对网站系统进行安全加固。3.5.3恢复阶段现场记录表恢复处理记录表时间2023年X月XX日服务单位名称XX服务单位联系人联系方式响应服务人员联系方式恢复处理原因文件对比、漏洞扫描、安全加固恢复处理方案:通过之前的抑制及根除处理,已经基本解决了非法下载、读取和上传漏洞,但为了全面的检查网站完整性和安全性,在网站进行重新恢复上线前主要执行以下操作:1)网站文件比对,可疑文件确认和清除。2)网站漏洞扫描,确认并修复其他漏洞。3)网站系统安全加固:权限细化、账户清理、登录失败策略配
24、置等。恢复方案确认(签字):恢复效果:恢复成功3.6总结阶段3.6.1 总结阶段工作流程总结阶段流程图:,应急响应总结阶段报告呈报部门:XX单位报告时间:2023年X月XX日报告人:XX报告人部门:XX事件的类型网站存在高危漏洞检测阶段检测时间2023年X月XX日检测动作漏洞扫描和手工验证检测结果存在高危漏洞并威胁整体网站系统安全。抑制阶段抑制时间2023年X月XX日抑制动作(1)针对敏感文件设置读取严格的读取和下载权限,禁止访问用户可以读取和下载。(2)暂时关闭非法上传点模块。抑制结果给予最快速的漏洞基本解决方案,初步抵御攻击根除阶段根除时间2023年X月XX日根除动作漏洞反馈厂商,并配合厂
25、商进行漏洞修补。根除结果漏洞修补成功并重新上线正常运营。事件评估事件影响范围XX单位相关行业事件损失评估该网站系统中断或非法篡改,可能影响到国家安全,扰乱社会秩序,对经济建设、公众利益有一定的负面影响。处理方法评估处理方法得当及时处理流程评估流程符合标准操作*件根源分析及教训原因分析网站代码存在漏洞,多处访问、下载未授权,上传未限制。经验教训应用系统上线前进行安全检测,培养开发人员安全意识。总结阶段确认(签字):四、结论与建议我公司应急响应小组到达现场后,快速分析问题、定位原因、处理问题,及时有效的保障了“XX单位门户网站”的安全稳定运行,使XX单位避免了经济损失和不良影响。通过本次信息安全事件应急处理,建议XX单位提高人员安全意识,加强信息安全管理,规范针对信息系统的各项操作,在系统发生变更前做好测试和备份工作,防止类似事件发生。同时应为该类事件建立专项应急处理预案,便于以后的应急处理,并定期对XX单位信息系统进行风险评估。
