信息安全事件應(yīng)急處理報(bào)告模板

1、精品XX 單位信息安全事件應(yīng)急處理報(bào)告感謝下載載XXX 公司2017 年 X 月 XX 日精品、 概述11.1 應(yīng)急處理服務(wù)背景 11.2 應(yīng)急處理服務(wù)目的 11.3 應(yīng)急處理服務(wù)范圍 11.4 應(yīng)急處理服務(wù)依據(jù) 21.4.1 應(yīng)急處理服務(wù)委托協(xié)議21.4.2 基礎(chǔ)標(biāo)準(zhǔn)與法律文件21.4.3 參考文件2.、應(yīng)急處理服務(wù)流程3:、應(yīng)急處理服務(wù)內(nèi)容和方法53.1 準(zhǔn)備階段53.1.1 準(zhǔn)備階段工作流程53.1.2 準(zhǔn)備階段處理過程53.1.3 準(zhǔn)備階段現(xiàn)場處理記錄表63.2 檢測階段73.2.1 檢測階段工作流程 73.2.2 檢測階段處理過程 73.2.3 檢測階段現(xiàn)場處理記錄表83.3 抑制階

2、段93.3.1 抑制階段工作流程93.3.2 抑制階段處理過程 93.3.3 抑制階段現(xiàn)場處理記錄表1.03.4 根除階段113.4.1 根除階段工作流程 根除階段處理過程11.3.5 恢復(fù)階段133.5.1 恢復(fù)階段工作流程. 恢復(fù)階段處理過程 . 恢復(fù)階段現(xiàn)場記錄表 13.3.6 總結(jié)階段153.6.1 總結(jié)階段工作流程 . 總結(jié)階段現(xiàn)場記錄表 15.四、 結(jié)論與建議 1.7.信息安全事件應(yīng)急處理報(bào)告應(yīng)急處理單位委托單位XX單位服務(wù)類別委托應(yīng)急處理受理日期2017年X月XX日處理日期2017年X月XX日服務(wù)成員監(jiān)督人處理結(jié)論：

3、通過本次應(yīng)急處理服務(wù)，解決了 XX單位存在的網(wǎng)站漏洞，修補(bǔ)后，經(jīng)測試有 效。建議委托單位針對(duì)報(bào)告中提出的建議，增強(qiáng)安全控制措施，切實(shí)提高信息安全 水平，降低相關(guān)風(fēng)險(xiǎn)。XX公司2017年X月XX日批準(zhǔn)人：應(yīng)急處理服務(wù)人員：審核人：感謝下載載一、概述1.1 應(yīng)急處理服務(wù)背景XX單位與XX公司簽訂應(yīng)急服務(wù)合同。XX公司根據(jù)合同協(xié)議中 規(guī)定的范圍和工作內(nèi)容為 XX單位提供應(yīng)急服務(wù)。2017年6月25 日XX單位網(wǎng)站服務(wù)器發(fā)現(xiàn)存在惡意文件， 直接威脅網(wǎng)站的正常運(yùn)營 與使用，XX單位立即撥通XX公司的應(yīng)急服務(wù)熱線，請(qǐng)求應(yīng)急處理 服務(wù)。我方應(yīng)急處理服務(wù)人員，對(duì)相關(guān)信息進(jìn)行登記記錄，并按作業(yè)指 導(dǎo)書要求啟動(dòng)相

4、關(guān)過程。1.2 應(yīng)急處理服務(wù)目的盡快確認(rèn)和修復(fù)漏洞，恢復(fù)信息系統(tǒng)的正常運(yùn)行，使信息系統(tǒng)所 遭受的破壞最小化，并在應(yīng)急處理后提供準(zhǔn)確有效的法律證據(jù)、分析 統(tǒng)計(jì)報(bào)告和有價(jià)值的建議，在應(yīng)急處理服務(wù)工作結(jié)束后對(duì)系統(tǒng)管理進(jìn) 彳了完善。1.3應(yīng)急處理服務(wù)范圍廳P資產(chǎn)編號(hào)名稱型號(hào)/操作系統(tǒng)位置1SDFDA-SE-006網(wǎng)站服務(wù)器（主）NF5270/Centos6.4藥監(jiān)機(jī)房2SDFDA-SE-007網(wǎng)站服務(wù)器（備）NF5270/Centos6.4藥監(jiān)機(jī)房3SDFDA-SE-011數(shù)據(jù)庫服務(wù)器（主）舊M/AIX4.2藥監(jiān)機(jī)房4SDFDA-SE-012數(shù)據(jù)庫服務(wù)器(備)IBM/AIX4.2藥監(jiān)機(jī)房1.4 應(yīng)急處

5、理服務(wù)依據(jù)1.4.1 應(yīng)急處理服務(wù)委托協(xié)議XX單位應(yīng)急處理服務(wù)委托書1.4.2 基礎(chǔ)標(biāo)準(zhǔn)與法律文件«中華人民共和國突發(fā)事件應(yīng)對(duì)法網(wǎng)絡(luò)與信息安全應(yīng)急處理服務(wù)資質(zhì)評(píng)估方法(YD/T 1799-2008 )信息技術(shù) 安全技術(shù) 信息安全事件管理指南(GB/Z 20985-2007 )信息安全技術(shù)信息安全事件分類指南(GB/Z 20986-2007 )1.4.3 參考文件信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范(GB/T 20984-2007 )信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求(GB/T 22239-2008 )信息技術(shù)服務(wù) 運(yùn)行維護(hù) 第一部分 通用要求(GB/T28827.1-2012 )信

6、息技術(shù)服務(wù) 運(yùn)行維護(hù) 第二部分 交付規(guī)范(GB/T28827.1-2012 )信息技術(shù)服務(wù) 運(yùn)行維護(hù)第三部分 應(yīng)急響應(yīng)規(guī)范(GB/T28827.1-2012 )精品應(yīng)急處理服務(wù)流程XX 單位應(yīng)急處理服務(wù)過程主要包括六個(gè)階段：準(zhǔn)備階段、檢測階段、抑制階段、根除階段、恢復(fù)階段、總結(jié)階段。應(yīng)急處理服務(wù)流程如圖所示。感謝下載載抑制階段定工作方案和計(jì)劃，監(jiān) 督和指導(dǎo)其他小組的工作建立預(yù)防預(yù)警機(jī)制、及時(shí) 進(jìn)行信息系統(tǒng)檢測和異常 情況上報(bào)確定和認(rèn)可抑制的方案并 進(jìn)行抑制的實(shí)施是現(xiàn)場實(shí)施人員的確定市場人員準(zhǔn)備工作負(fù)責(zé)人準(zhǔn)備工作準(zhǔn)備階段檢測階段根除階段恢復(fù)階段總結(jié)階段技術(shù)人員準(zhǔn)備工作現(xiàn)場勘查確定檢測方案并進(jìn)行實(shí)

7、施確定和認(rèn)可根除的方法并進(jìn)行根除的實(shí)施根據(jù)確定的恢復(fù)方案進(jìn)行信息系統(tǒng)的恢復(fù)回顧并完善整個(gè)事件的處理過程并進(jìn)行總結(jié)形成事故報(bào)告為服務(wù)對(duì)象提出安全建議需求的確定，主機(jī)和網(wǎng) 絡(luò)安全初始化快照和備份、 工具包和必要技術(shù)的準(zhǔn)備啟動(dòng)專項(xiàng)預(yù)案三、應(yīng)急處理服務(wù)內(nèi)容和方法3.1 準(zhǔn)備階段3.1.1 準(zhǔn)備階段工作流程準(zhǔn)備階段流程圖：3.1.2 準(zhǔn)備階段處理過程我公司與XX單位進(jìn)行信息安全事件應(yīng)急處理詳情進(jìn)行溝通，分 別對(duì)客戶應(yīng)急服務(wù)所包含的具體需求和客戶實(shí)際信息系統(tǒng)環(huán)境進(jìn)行 了詳細(xì)了解，在達(dá)成一致的基礎(chǔ)上簽訂了應(yīng)急處理服務(wù)合同；隨后我公司立即成立針對(duì)該項(xiàng)目的應(yīng)急處理小組，立刻著手服務(wù)方案編寫和工具準(zhǔn)備工作，同時(shí)協(xié)

8、助客戶對(duì)應(yīng)急范圍內(nèi)的信息系統(tǒng)進(jìn)行評(píng)估和備 份快照。3.1.3準(zhǔn)備階段現(xiàn)場處理記錄表工具準(zhǔn)備清單時(shí)間2017 年 X 月 XX日服務(wù)單位名稱XX公司服務(wù)單位聯(lián)系人聯(lián)系方式響應(yīng)服務(wù)人員聯(lián)系方式工具使用原因目的描述輔助快速準(zhǔn)確發(fā)現(xiàn)問題，解決問題。應(yīng)急工具準(zhǔn)備清單：綠盟遠(yuǎn)程安全評(píng)估系統(tǒng)北京安信通數(shù)據(jù)庫掃描系統(tǒng)Nessus漏洞掃描Wireshark抓包工具WVS企業(yè)版WEB應(yīng)用安全測試工具批準(zhǔn)人（簽字）：3.2 檢測階段3.2.1 檢測階段工作流程檢測階段流程圖:3.2.2 檢測階段處理過程我公司技術(shù)支持熱線客服人員接到用戶的應(yīng)急響應(yīng)服務(wù)電話請(qǐng) 求后，通過電話了解基本情況，并檢查我公司是否有該類安全事件

9、的 應(yīng)急預(yù)案，發(fā)現(xiàn)并沒有該類安全事件的應(yīng)急預(yù)案；隨后我公司立刻派遣應(yīng)急處理小組攜帶應(yīng)急工具、技術(shù)規(guī)范、現(xiàn)場記錄表在服務(wù)協(xié)議規(guī) 定的1小時(shí)內(nèi)準(zhǔn)備完畢到達(dá)現(xiàn)場。到達(dá)客戶現(xiàn)場后，項(xiàng)目組負(fù)責(zé)人立即與客戶方負(fù)責(zé)人進(jìn)行方案溝 通，由客戶負(fù)責(zé)人書面授權(quán)后，根據(jù)實(shí)際客戶情況建議對(duì)網(wǎng)站進(jìn)行切 換和數(shù)據(jù)備份，隨后開始進(jìn)行檢測處理。檢測內(nèi)容如下：1）事件溝通與應(yīng)急準(zhǔn)備。2）方案溝通與應(yīng)急授權(quán)。3）網(wǎng)站切換與快照備份。4）漏洞發(fā)現(xiàn)與驗(yàn)證。5）確定漏洞產(chǎn)生原因，溝通抑制措施。6）準(zhǔn)備備份文件數(shù)據(jù)以備隨時(shí)回退。經(jīng)過以上檢測，項(xiàng)目組確定漏洞根源并確認(rèn)成功3.2.3檢測階段現(xiàn)場處理記錄表檢測結(jié)果記錄時(shí)間2017 年 X 月

10、XX日服務(wù)單位名稱XX服務(wù)單位聯(lián)系人聯(lián)系方式響應(yīng)服務(wù)人員聯(lián)系方式檢測原因或檢測目的描述確認(rèn)漏洞存在并評(píng)估安全事件等級(jí)檢測過程及結(jié)果記錄：(1)首先發(fā)現(xiàn)任意卜載漏洞，可以下載敏感信息文件：tomcat 路徑：/data/tomcat6_8081/<C(innecti>T p心pro-to<ol=AHTTP/lT jconruect i onTlfieout= r20 QO 0 ” redirectPort=xy8444JTURIEnc0dm薩*UTH-E#ma jcThr 曰 0ds ="60Q "jki nSpareThreads= " 100”

11、 jnaKSpareThr3d5= "50。" acceptCount=700tfonmbLGLookug=7 ff>(2)然后根據(jù)敏感文件信息，并通過任意讀取漏洞獲取到關(guān)鍵信息：網(wǎng)站結(jié)構(gòu)、網(wǎng)站數(shù)據(jù)庫賬戶密碼等:<4l01竄 in.Rh：郎K才!31>f 11 ter qjlhe Set Chaz al ter facodintf . fl iter -maffiti«r cIain filKertXtCha懿ieibc4dlnifliter- flil*，1I* ) <inipnFM-rMB¥>eEKCid:af p*ra

12、r-in9ae ，產(chǎn)”*tlii 'UTFHB< pH-raa Fil t«i一nuie >'>5551 onFilter1- f±ltci一hhb«> fiiier-claiA? tsi bac*eb filter- Sr;siecfIjter- flltMTcLam> < in k K,iMirM ', ji pair ajH-jL&aeBw:上TdndDirW p-u-eu&H- paju-valat ：， n_i_9 ,. ilG-I . *3。,_&_3 . «

13、_S_i i.白_工機(jī),；_3_，” u_3上. O-b-'r n_i_c . ''L6_e- 人3_£ , «Jk_SniLp41rm) O fi'lttir> <f 1.1 tELWRinJB i-filler mm S«sa-ianJFliter* filfcav um><atrlJ <.-'iftrl -|pd.c cen."：C EILieUufftphy.fiI ler-mm '能二K口油illftr-： filler-mm<ffUfinStii 1 ce?i

14、<inki-p4KLu, p S>TBa =' pa. ! 5&1 f , “ ZEB 物 B>e ., pwir*«-T*lBt>-initrfw*R«i*filrt- - *+詼 ppr.fmtchgnfppi t<rrap*|F1 nrr&fir/iflpI'wwinto' i?mr "xf t】tFLATSyst emwinnttt-eb 5erver=web sphereRpPnth=jmsDB-T yp 已二口 itmuL e Sct up'succcss USERAdin

15、i nP*Y 3 d2 EHJ1 flCFSVDc OQFNSFBdDA - AdjuinLP=CTHREADPOOLminPool3=1 maxPoolcheckThreAdPcriod=5version 0 encoding- UTF-8 ?><30Bcthins-else entircly><aliafi>l</alias><drivcr uri> <!UDATAjdbcOracle： thin：917 lb. 2. 101 ：IbSllordXf driver arl>dri ver c 1- jroc 1 r. jdh

16、e. driver- OraclcDr ivrr driver clnss<driver-propcrtie e><property naiic-j-er- value-'h;cus?<property nur-'"ssaord - vnl urn'll jrnsz015/></dri ve impropert iec><.BiniBiLB-conncttion-Eount>10C nininiLS-conncctiaii-CQunOgox£u canncction count>100<

17、;.；mL£lmum connection count><hdiitieb-Ba乂 inun-jagtfi izelOODOO(M< hanwebn±i&imuu一口hees i工行、<testbefore-nse>trueC. testbeforeuse><tracc>tr-c' tracc>rmse-kEepinctest-sfl>select 1 fra dual</house-keepinc-test-sgl><dbt yp e> sra cleC/ dbt ype

18、>proxool>Auarth ng rise cfi ti rcly(3)確定上傳點(diǎn)，上傳木馬獲取系統(tǒng)權(quán)限:拄假力者硬材芝麻 崛 上傳說后文件is行利賞 生士： n硒堂r理標(biāo)圜葉用隹制彘 片示：圖片的如網(wǎng)上丁白C0日已亡a 口白白已匕D匕a心曰口田田 固 田 日HI .j 1k 1 as*.五d£2. cnr EB-INT/in/124. 120.391 243目錄CO,文件)名都時(shí)間3 y /d*tavur mtdii t r »4t n*tElin 2015 mi： sc bm 。七。 h>me sys tnp bsotlib 1beH&#

19、163;ouik1 tftpfcoQt W3B-INF/data/'tfetiSphere/AppServer/profiles/dLefault/!$ whoanni root)>J；)0:；ftff；150, 150. 1,124；509E5172,16.t 101:1521:150 150 1 122 43BT3ESTAffU£H£VTIHEJAIT：ffff1S0.15C 1 124：S081)0 .：ffff150. 150. 1,124:8031;150, 150. i, 122;436T5riif_fAiT2) c .ffff15C 15C 1

20、1248081：ffff： 150.150 1 122:43874TIHEJAIT)c .ffff1505nll24： 59901:：f£ff：172. 16.2,101.1521TME_WMT)lj :fEf£:15C, 150. 1.124159850：: ffff： 172. IB. J. 101-1521TIWE_WAIT)offff190.190 1 124:59621：ffff： 172 16. ?. 101 1521ES7ABUSKED)0 ：fff£ISO. 190. 1,124159413!r££f£：17£

21、;. IS. 2.101:1521ESIABLISKED)I?ffffiso. 150.1,124 ；aoai二ffff 150. 150. L. 122：435T9FIOAII2)0:££££190.150. 1,124:583:££££: 172. IS. 2 101 1521TINE WAIT)0ffff130. 150. 1.124:5636401:1521ESTABLISHEDi c -;££££150. ISO, 1,124:57771:

22、63;£££ 172. IB. 2.101;1521TINE WAITJ0：ffff150. 15H 1, 1E4;5T&45：f£f£：01;1521TIDE二"虹T1Cl:f£ff150.150. i , 124; 574-50;ffff; I72r IB, 1101 ：i5£lESTABUSHED)0 :Yfff130.1M 1 124:574-95：ffff： ITE, 15. 2.101:1521ES7ABLJSHED1G .ffffIM. 150. 1.124:575t1-f

23、fff: 172. IB. 2.101:1521THE WATT)0 .：fE£f190 15C.1 124:57465Kff： 172.18. 2.101:1521EE7ABLIEMED) c .：ffff：15C. 150. 1,124:57423:ffff: 172. 16. 2.101;1521ESTABLISHED)ljffff：.150, 150. 1,124：582S2.iffff： 172. IB. 2.101.1521TIME Jf AIT)0 .15C. 15C. 1,12<：5TM1：ffff： 172. 15. 2.1L1.1521ESTABUSKED)

24、0 :f£H：190.190. 1 124 iOOBC:r££fE：15D. 15D. 1. 122;41306ESIABLJSHID)0ffff150.130. 1,124:52512：ffff： 172. 16, 101 1521ES7ABUSKED)0：f£f£15C. 150. 1.124:52223：f£f£：172. 1&. 2 101:1521TINE_tfAIT)0ffff；15C. 150. 1 1E4；5322&；：fff£：17E. 15.2 101 1521L L L J I

25、rara 1aJI j>RMEJTMT ra -安全事件等級(jí)確定:該事故發(fā)生后將導(dǎo)致網(wǎng)站服務(wù)器被非法接管，使其公共服務(wù)受到嚴(yán)重?fù)p壞，系 統(tǒng)受到嚴(yán)重?fù)p失，數(shù)據(jù)被非法竊?。辉摼W(wǎng)站系統(tǒng)中斷或非法篡改，可能影響到國家 安全，擾亂社會(huì)秩序，對(duì)經(jīng)濟(jì)建設(shè)、公眾利益有一定的負(fù)面影響。該事故安全事件等級(jí)為：II級(jí)。檢測階段確認(rèn)（簽字）3.3 抑制階段3.3.1抑制階段工作流程3.3.2抑制階段處理過程通過檢查階段的詳細(xì)調(diào)查，我們判斷是文件下載訪問權(quán)限不合理，上傳未做過濾產(chǎn)生的漏洞。在與客戶溝通后，客戶接受我們的方 案并授權(quán)我們對(duì)該系統(tǒng)進(jìn)行抑制處理。(1)針對(duì)敏感文件設(shè)置讀取嚴(yán)格的讀取和下載權(quán)限，禁止訪問用

26、戶可以讀取和下載。(2)暫時(shí)關(guān)閉非法上傳點(diǎn)模塊。(3)抑制措施驗(yàn)證并準(zhǔn)備備份數(shù)據(jù)隨時(shí)回退。3.3.3抑制階段現(xiàn)場處理記錄表抑制處理記錄表時(shí)間2017年X月XX日服務(wù)單位名稱XX服務(wù)單位聯(lián)系人聯(lián)系方式響應(yīng)服務(wù)人員聯(lián)系方式抑制處理原因針對(duì)主要文件信息泄露和非法上傳漏洞進(jìn)行抑制抑制處理目的給予最快速的漏洞基本解決方案，初步抵御攻擊抑制處理方案：(1)針對(duì)敏感文件設(shè)置讀取嚴(yán)格的讀取不嚇載權(quán)限，禁止訪問用戶可以讀取和卜載。(2)暫時(shí)關(guān)閉非法上傳點(diǎn)模塊。(3)抑制措施驗(yàn)證并準(zhǔn)備備份數(shù)據(jù)隨時(shí)回退。抑制方案產(chǎn)生的風(fēng)險(xiǎn)及應(yīng)對(duì)措施：關(guān)閉非法上傳點(diǎn)模塊后，可能對(duì)日常管理，合法上傳存在f的影響。應(yīng)對(duì)措施：當(dāng)需要上傳時(shí)

27、，采取使用介質(zhì)本地服務(wù)器拷貝上傳方式。抑制方案確認(rèn)(簽字)：抑制效果：抑制成功3.4 根除階段3.4.1 根除階段工作流程根除階段流程圖; J藍(lán)13.4.2 根除階段處理過程抑制階段可以解決外網(wǎng)用戶對(duì)網(wǎng)站系統(tǒng)的威脅，但是還沒有從根本上解決網(wǎng)站漏洞問題。在與客戶溝通后，我們進(jìn)行了如下操作：1）與客戶溝通抑制措施達(dá)到的安全防護(hù)效果并協(xié)商廠商溝通事宜。2）聯(lián)系廠商，與廠商說明目前網(wǎng)站存在的非法下載、讀取和上傳的漏洞，建議采用添加文件校驗(yàn)和文件權(quán)限模塊，實(shí)現(xiàn)漏洞修補(bǔ)。3）建議客戶對(duì)服務(wù)器權(quán)限進(jìn)行合理優(yōu)化，使用非 root用戶運(yùn)行網(wǎng)站。4）對(duì)廠商反饋修復(fù)結(jié)果進(jìn)行驗(yàn)證并準(zhǔn)備必要的回退措施。3.4.3 根除

28、階段現(xiàn)場處理記錄表根除處理記錄表時(shí)間2017 年 X 月 XX日服務(wù)單位名稱XX服務(wù)單位聯(lián)系人聯(lián)系方式響應(yīng)服務(wù)人員聯(lián)系方式根除處理原因后臺(tái)頁面代碼修復(fù)，上傳限制使用后臺(tái)白名單根除處理方案：通過之前的抑制處理方案，已經(jīng)實(shí)現(xiàn)非法下載、讀取和上傳漏洞風(fēng)險(xiǎn)的基本 控制，但沒有徹底根除漏洞根源。所以，可以通過以卜方法徹底根除該問題。1）與客戶溝通抑制措施達(dá)到的安全防護(hù)效果并協(xié)商廠商溝逋事宜。2）聯(lián)系廠商，與廠商說明目前網(wǎng)站存在的非法下載、讀取和上傳的漏洞，建議采用添加文件校驗(yàn)和文件權(quán)限模塊，實(shí)現(xiàn)漏洞修補(bǔ)。3）建議客戶對(duì)服務(wù)器權(quán)限進(jìn)行合理優(yōu)化，使用非 root用戶運(yùn)行網(wǎng)站。4）對(duì)廠商反饋修復(fù)結(jié)果進(jìn)行驗(yàn)證并準(zhǔn)備必要的回退措施。根除方案產(chǎn)生的風(fēng)險(xiǎn)：代碼漏洞修補(bǔ)和服務(wù)器權(quán)限優(yōu)化后，經(jīng)驗(yàn)證測試對(duì)網(wǎng)站系統(tǒng)無影響，進(jìn)一步增加 了網(wǎng)站的安全性。根除方案確認(rèn)（簽字）：根除效果：根除成功3.5 恢復(fù)階段3.5.1 恢復(fù)階段工作流程恢復(fù)階段流程圖：抑制和根除階段文件對(duì)比，可疑文件確認(rèn)和清除3.5.2 恢復(fù)階段處理過程通過之前的抑制及根除處理，已經(jīng)基本解決了網(wǎng)站存在的高危漏 洞，在網(wǎng)站重新上線前，應(yīng)急人員重新對(duì)網(wǎng)站進(jìn)行全面的漏洞掃描， 并對(duì)發(fā)現(xiàn)的可疑漏洞進(jìn)行確認(rèn)和修復(fù)，同時(shí)對(duì)網(wǎng)站系統(tǒng)進(jìn)行安全加 固。3.5.3恢復(fù)階段現(xiàn)場記錄表恢復(fù)處理記錄表時(shí)間2017 年 X 月 XX日服務(wù)單位