某企業(yè)中心網(wǎng)絡(luò)安全保障應(yīng)急演練報告

某企業(yè)網(wǎng)絡(luò)安全保障應(yīng)急演練報告2016年8月目錄TOC\o"1-5"\h\z\o"CurrentDocument"目的 3\o"CurrentDocument"演練準(zhǔn)備情況 3\o"CurrentDocument"演練事件 3\o"CurrentDocument"演練人員安排 3\o"CurrentDocument"演練流程 4\o"CurrentDocument"演練計劃 5\o"CurrentDocument"演練環(huán)境 5\o"CurrentDocument"演練內(nèi)容與過程記錄 5網(wǎng)絡(luò)入侵攻擊應(yīng)急演練 6演練目的 6\o"CurrentDocument"演練方法 6\o"CurrentDocument"安全事件的發(fā)現(xiàn) 6\o"CurrentDocument"攻擊源的定位 6\o"CurrentDocument"安全防護(hù)措施 7\o"CurrentDocument"安全檢查措施 7惡意代碼應(yīng)急演練 7演練目的 7\o"CurrentDocument"演練方法 7\o"CurrentDocument"安全事件的發(fā)現(xiàn) 8\o"CurrentDocument"攻擊源的定位 8\o"CurrentDocument"安全防護(hù)措施 8\o"CurrentDocument"根除措施 9拒絕服務(wù)攻擊應(yīng)急演練 9演練目的 9\o"CurrentDocument"演練方法 9\o"CurrentDocument"安全事件的發(fā)現(xiàn) 9\o"CurrentDocument"攻擊源的定位 10\o"CurrentDocument"安全防護(hù)措施 10\o"CurrentDocument"根除措施 10\o"CurrentDocument"演練總結(jié)報告 111目的應(yīng)對信息系統(tǒng)突發(fā)的安全風(fēng)險，及時響應(yīng)并處理安全事件，確保系統(tǒng)的正常運行。加強(qiáng)對突發(fā)安全事件的緊急處理能力，根據(jù)信息系統(tǒng)可能面臨的主要風(fēng)險和系統(tǒng)特點，特制定此方案并進(jìn)行應(yīng)急演練，檢驗信息系統(tǒng)應(yīng)急處理流程及突發(fā)安全事件的處理能力。2演練準(zhǔn)備情況2.1演練事件信息系統(tǒng)面臨的主要風(fēng)險是：拒絕服務(wù)、網(wǎng)絡(luò)入侵、惡意代碼、。此次演練將針對這三類事件。拒絕服務(wù)：是利用信息系統(tǒng)缺陷、或通過暴力攻擊的手段，以大量消耗信息系統(tǒng)的CPU、內(nèi)存、磁盤空間或網(wǎng)絡(luò)帶寬等資源，從而影響信息系統(tǒng)正常運行為目的的信息安全事件。網(wǎng)絡(luò)入侵：利用信息系統(tǒng)漏洞或者缺陷，通過網(wǎng)絡(luò)攻擊可訪問的信息系統(tǒng)，從而滲透進(jìn)入網(wǎng)絡(luò)的信息安全事件。惡意代碼：利用信息系統(tǒng)缺陷，通過網(wǎng)絡(luò)自動復(fù)制并傳播的有害程序。演練人員安排網(wǎng)絡(luò)安全小組網(wǎng)絡(luò)部：職責(zé)：負(fù)責(zé)安全事件接口和協(xié)調(diào)處理。監(jiān)控小組（人員）監(jiān)控人員：職責(zé)：負(fù)責(zé)系統(tǒng)安全監(jiān)控。維護(hù)小組（人員）維護(hù)人員：職責(zé)：負(fù)責(zé)現(xiàn)場操作設(shè)備以及事件處理。技術(shù)支持單位天融信公司:聯(lián)系方式:職責(zé)：負(fù)責(zé)攻擊事件的發(fā)起；并協(xié)助事件的處理。演練流程

演練計劃時間內(nèi)容參與人員8月25日上午確定演練計劃天融信中國電信電子渠道中國電信集成公司8月25日下午網(wǎng)絡(luò)入侵演練天融信中國電信電子渠道中國電信集成公司8月26日上午惡意代碼演練、拒絕服務(wù)攻擊演練天融信中國電信電子渠道中國電信集成公司7750SR-12*10GEChannel750SR-210G單模網(wǎng)絡(luò)光纖演練環(huán)境7750SR-12*10GEChannel750SR-210G單模網(wǎng)絡(luò)光纖To_163To_DCNForti3'40B-1PSIDP3670T-1SW9306-1恭省接口FWDCNForti3140B-2IDP3(570T-2A10-1SW312-1SW906-1FWForti3140B-2312-2A10-2業(yè)務(wù)層接口&省接口底層接口服務(wù)器二期數(shù)據(jù)庫服務(wù)器CMS后臺服務(wù)器電商建站營銷平臺用戶相關(guān)消息中心比價系統(tǒng)&合作類短信中心年0To_163To_DCNForti3'40B-1PSIDP3670T-1SW9306-1恭省接口FWDCNForti3140B-2IDP3(570T-2A10-1SW312-1SW906-1FWForti3140B-2312-2A10-2業(yè)務(wù)層接口&省接口底層接口服務(wù)器二期數(shù)據(jù)庫服務(wù)器CMS后臺服務(wù)器電商建站營銷平臺用戶相關(guān)消息中心比價系統(tǒng)&合作類短信中心年0元購???攻擊方：.網(wǎng)絡(luò)環(huán)境：擁有互聯(lián)網(wǎng)IP的相關(guān)設(shè)備。.攻擊主機(jī)：操作系統(tǒng)為windows3演練內(nèi)容與過程記錄1G單模網(wǎng)絡(luò)光纖千兆以太網(wǎng)雙絞線網(wǎng)絡(luò)入侵攻擊應(yīng)急演練演練目的模擬來自于互聯(lián)網(wǎng)的入侵攻擊事件，當(dāng)攻擊者發(fā)現(xiàn)存在對外的業(yè)務(wù)服務(wù)時，會嘗試獲取信息系統(tǒng)權(quán)限，首先會嘗試進(jìn)行漏洞掃描。目的：該事件演練目的主要是對來自于互聯(lián)網(wǎng)針對某業(yè)務(wù)服務(wù)器的攻擊行為，針對網(wǎng)絡(luò)入侵攻擊的發(fā)現(xiàn)和處理。演練方法1、通過天融信入侵防御系統(tǒng)的攔截情況，識別被攻擊服務(wù)器。2、在天融信入侵防御設(shè)備獲取攻擊者的IP，并通過ADS或者防火墻進(jìn)行攔截。3、檢查被攻擊的服務(wù)器，是否被入侵成功。安全事件的發(fā)現(xiàn)現(xiàn)象：系統(tǒng)監(jiān)控人員在監(jiān)控過程中，發(fā)現(xiàn)天融信入侵防御系統(tǒng)報告了入侵事件。監(jiān)控人員向安全人員發(fā)起應(yīng)急處理流程。明日眄明日眄Sft^助心誠簞地址簞情口目的即tJ30L&-?^3]&：?■：?JJ.L1ELL爾隹町.盤.利：收址口ntSM-37Z.1EILC.Lc&：K'JmL5^E--E&落L』-&LLt<p?&].2t.73:60^H出It]TL3tLD.LJt：?JZ0LJ-WS5W:B:斜1高 Licp1ZM.2I.7il:W：Wns強(qiáng)ITZinaU.U3：3015:找:?塔'中L制5L】①? 25.7；l:M2H淮與]72.]fl.LD.LS:Ki]5：ce-：sJ EWL:54ZM.2；.7r：WZB.SHIM-]7Z1EILE.L23：30"30LS-WZ3]5：Q&：-1SJ中 L制5L1T2.JU.LD.ggJEOL&-fl&~E&落maLt(p12白.22.Tt兩弟372.JGaP.LEt：90日的接口熱作■■也用日廝卻不，一一5c■二.：!LTL-Ltts-y-,?璉4拒骷ptKf,Liteir網(wǎng)'/二:?Li::tlx:/4Hlcral￡t:LLc:14trlv&f'：.EL1：.L?&ft:-UI. .^Lk.Ka-apL4七.?1<￡「?白腳rr翱tfW一—位或卻FEnrag：!LTCrHijMK]!.gcu'.a8?柜的川立立工工也出％*以乳*="<!'-"xck.^Lt；!a'LFEK?iKfc.￡lt.>cE3ptirt:SJt:JattLkxL.xlL. 3■:.上】：；F/tBTEUcLllL.nui1Pt如±.￡1=1"國叫電卸就--典注入攻擊toFD-炳，.-?■?1標(biāo)6七七瓶；3任叼tsEundALQNjnNLjTrHi-SML式3MTj-kFs注入期導(dǎo)充守號n；由-Fif=fei0；?1種：一加工曲聲曲?聽；口七擇lie-jLic-iu-2-tE'a-2C'laOSlCliaj51=47 "跖書一百廓國^揣3七一一%L：主人兩擊|：汨081,im=ht：p：..-r-f.IW.h；3±M/性任明it?U17^Br-E3MJ3MLc-i-lfcL|-ML5a3LtIE]一:「TftL：主入■莫胃號/擊"，工『".％"H用oMxijHH由V號?.飛口44="X：jpjupzu-j-mr-acaa^a竦l=*i-lsa■由國加時第號一一知全又沌擊灰1血="3?"J」即b'bF在￡，攻擊源的定位依據(jù)日志，確認(rèn)4為攻擊源。被攻擊的目標(biāo)為依據(jù)日志，25安全防護(hù)措施在ADS上增加黑名單，過濾來自42.81.22.*的網(wǎng)絡(luò)流量。天融信TOPADS|F 干 r—飛IPIP圖42LBL22J.-4ZJL222M安全檢查措施由安全人員與運維人員被攻擊的服務(wù)器25進(jìn)行了檢測，通過進(jìn)程、線程、賬戶、服務(wù)等檢查未發(fā)現(xiàn)異常服務(wù)與賬戶。通過對系統(tǒng)日志的檢查，發(fā)現(xiàn)25服務(wù)器存在日志正常，上傳文件、修改賬戶的情況。惡意代碼應(yīng)急演練演練目的隨這新漏洞的不斷發(fā)現(xiàn)和公布，病毒傳播和利用的多樣性也不斷發(fā)生變化，主機(jī)系統(tǒng)感染病毒的可能性也越來越大。目的：模擬蠕蟲攻擊，目的主要是通過發(fā)現(xiàn)處理病毒等惡意程序熟悉對惡意代碼類攻擊處理的流程。演練方法1、通過天融信入侵防御系統(tǒng)的病毒攔截情況，識別攻擊源。2、對確定的服務(wù)器進(jìn)行斷網(wǎng)，并執(zhí)行病毒查殺。3、人工檢查攻擊源的服務(wù)器，是否清除了所有的惡意代碼。

安全事件的發(fā)現(xiàn)現(xiàn)象：系統(tǒng)監(jiān)控人員在監(jiān)控過程中，發(fā)現(xiàn)天融信入侵防御系統(tǒng)報告了病毒事件。監(jiān)控人員向安全人員發(fā)起應(yīng)急處理流程。由運維人員進(jìn)行病毒查殺。安全人員與技術(shù)支持單位的安全專家提供檢查方法，運維人員進(jìn)行檢查。時間不件母次過由被理接口目的地址目的接口討昨靦信息“65海一洸10:11:55,2DDDDDLtcpL7Z速ID.qfikgO-tide-230.]fl.137.7^:38224""kkhc-iou2.url-aity.ip]53.20000DLtcpLTZ.36.ID.<9B：3C!eth36210.14.1ST.79:331^-Milk-ious.url-citr.ip]38.ue，-2DLEr-0^2610:1L:34-ZDDDDDLtcFLTZ.]G.ID.4E:EDaih2E230.]>9.137.T&zlEOM'kllJ3-X3QUX.ucL-city.EDX，如5代一洸Ikll的2DDDDDLtcpL7Z倔10.鶴：00fithae230. 131.7^:34050uifl-city-ip]33.coxOB：50:53"2DDDDDLtcpLTZ.36.ID.46:80)eth3B210.14.137.將H46&3'Idilk-ious.url-city.ip]38.ue09:56:53,LtcpL72.]S.ID.2]0.]J.i37.7S:34&MutrLncity. c口nb20l5-08-2o00:50:11"2DDDDDLtcpL72.36.ID.?：S4)Eth^e210.11137.79>：34516"kklsoiaus.iirltitr- tux"2DLEr-03-26D9:5D:3.L-2DDDDDLtcFLT2.36.ID.4E:BD330.]4.137.79：3JS15.Idlj3C3SUX.UFL-CLtT.3p]jS.EDIos：50：or2DDDDD1tcpL72It.ID.-tide-l?:34419"IdkLoinum.url-city-ip]'33.uoi2仇5HS-26聞報捐*2DDDDDLtcpLT2.36.ID.19B：3Oeth362W.H.137.7V：3dl311-Milk-ious.url^itj-.ip]33,ue"2DLS-0年26DS：JL：4L*2DDDDDLtcFLTS.36.ID.4E:BD&：55fi7B.idiJaciauz.urL-city.glM.edx“仇5海一洸的：QL:2r200000LtcpL72Ifi.ID.q肌加-tide-l?:5^S""kkljc-iou2.url-aity.M兌.攻擊源的定位從日志看，蠕蟲的ip為。安全防護(hù)措施.確定問題主機(jī)的ip、物理位置。.必要情況下，斷網(wǎng)隔離。.通過防病毒軟件進(jìn)行病毒檢查與查殺。.在問題主機(jī)上，確定惡意代碼特征：進(jìn)程、端口等，通常以netstat-naple查看進(jìn)程和端口的綁定情況，分析出異常的端口或者進(jìn)程.Ps-ef會列出系統(tǒng)正在運行的所有進(jìn)程.Netstat-an列出所有打開的端口及連接狀態(tài).Lsof-i只顯示網(wǎng)絡(luò)套接字的進(jìn)程.Arp-a列出當(dāng)前系統(tǒng)arp表，重點檢查網(wǎng)關(guān)MAC地址.使用top命令查看cpu、內(nèi)存利用率高的進(jìn)程；.查看/etc/rc2.drc3.d旌5"等目錄，ls-l查看有無新增或者最近修改的系統(tǒng)服務(wù)。

根除措施.清除惡意代碼，一般先停止惡意進(jìn)程，同時將其相關(guān)文件刪除。Kill惡意進(jìn)程pid號rm-rf惡意程序.安裝補(bǔ)丁或通過安全配置，修復(fù)漏洞。拒絕服務(wù)攻擊應(yīng)急演練演練目的模擬來自于骨干網(wǎng)的拒絕服務(wù)攻擊事件，當(dāng)攻擊者在獲取信息系統(tǒng)權(quán)限未遂時，可能會發(fā)起以消耗資源為目的拒絕服務(wù)攻擊，從而使信息服務(wù)響應(yīng)速度慢甚至不響應(yīng)。目的：該事件演練目的主要是對來自于互聯(lián)網(wǎng)針對某業(yè)務(wù)服務(wù)器的大量非法連接，synflood攻擊的發(fā)現(xiàn)和處理。演練方法1、通過系統(tǒng)監(jiān)控人員，識別被攻擊服務(wù)器。2、在天融信抗拒絕服務(wù)攻擊設(shè)備上根據(jù)攻擊類型做出相應(yīng)的防護(hù)規(guī)則。3、用訪問客戶機(jī)訪問被攻擊服務(wù)器上的網(wǎng)站，檢驗下防護(hù)效果；同時訪問下未被攻擊的服務(wù)器，檢驗防護(hù)攻擊流量時對主網(wǎng)絡(luò)是否有影響；在被攻擊服務(wù)器通過任務(wù)管理器的網(wǎng)絡(luò)信息檢驗的防護(hù)效果。安全事件的發(fā)現(xiàn)現(xiàn)象：運行維護(hù)人員發(fā)現(xiàn)，服務(wù)器進(jìn)行連接時，出現(xiàn)連接不上或者連接速度非常慢的情況。同時系統(tǒng)監(jiān)控人員在監(jiān)控過程中，也發(fā)現(xiàn)了大量半連接。

攻擊源的定位系統(tǒng)狀態(tài)不正常，發(fā)現(xiàn)有許多外網(wǎng)異常端口TCP連接；在業(yè)務(wù)服務(wù)器上netstat-na發(fā)現(xiàn)大量syn半連接，同時檢查服務(wù)器的cpu、內(nèi)存的利用率。通過網(wǎng)絡(luò)分析大量連接的源地址，部分來源為假地址，部分為真地址。使用sniffer等網(wǎng)絡(luò)流量監(jiān)控軟件，分析數(shù)據(jù)包的特征，主要涉及攻擊的源訐，目的訐及端口。安全防護(hù)措施安全小組人員依據(jù)發(fā)現(xiàn)的情況，通過網(wǎng)絡(luò)包的分析，調(diào)整了天融信抗拒絕服務(wù)設(shè)備ADS的安全策略。4缸□內(nèi)*10。陽廳]iB^aJEtr14：/]□]4,4Exhja行HEJg^ppi-將發(fā)現(xiàn)攻擊的ip地址添加到黑名單中進(jìn)行過濾。甯差事陶目MuiE1工亡名單□ 將發(fā)現(xiàn)攻擊的ip地址添加到