1、XX單位信息安全事件應急處理報告XXX公司2017年X月XX日1、 概述 11.1 應急處理服務背景 11.2 應急處理服務目的 11.3 應急處理服務范圍 11.4 應急處理服務依據 21.4.1 應急處理服務委托協議21.4.2 基礎標準與法律文件21.4.3 參考文件22、 應急處理服務流程 33、 應急處理服務內容和方法 53.1 準備階段53.1.1 準備階段工作流程53.1.2 準備階段處理過程53.1.3 準備階段現場處理記錄表63.2 檢測階段73.2.1 檢測階段工作流程 73.2.2 檢測階段處理過程 73.2.3 檢測階段現場處理記錄表83.3 抑制階段93.3.1 抑制

2、階段工作流程93.3.2 抑制階段處理過程 93.3.3 抑制階段現場處理記錄表103.4 根除階段113.4.1 根除階段工作流程113.4.2 根除階段處理過程 113.5 恢復階段133.5.1 恢復階段工作流程 133.5.2 恢復階段處理過程 133.5.3 恢復階段現場記錄表 133.6 總結階段 143.6.1 總結階段工作流程 143.6.2 總結階段現場記錄表154、 結論與建議 16信息安全事件應急處理報告應急處理單位委托單位XX單位服務類別委托應急處理受理日期2017年X月XX日處理日期2017年X月XX日服務成員監督人處理結論：通過本次應急處理服務，解決了 XX單位存在

3、的網站漏洞，修補后，經測試有效。建議委托單位針對報告中提出的建議，增強安全控制措施，切實提高信息安全 水平，降低相關風險。XX公司2017年X月XX日批準人：應急處理服務人員：審核人:一、概述1.1 應急處理服務背景XX單位與XX公司簽訂應急服務合同。XX公司根據合同協議中規 定的范圍和工作內容為XX單位提供應急服務。2017年6月25日XX 單位網站服務器發現存在惡意文件，直接威脅網站的正常運營與使 用，XX單位立即撥通XX公司的應急服務熱線，請求應急處理服務。 我方應急處理服務人員，對相關信息進行登記記錄，并按作業指導書 要求啟動相關過程。1.2 應急處理服務目的盡快確認和修復漏洞，恢復信

4、息系統的正常運行，使信息系統所 遭受的破壞最小化，并在應急處理后提供準確有效的法律證據、分析 統計報告和有價值的建議，在應急處理服務工作結束后對系統管理進 彳了完善。1.3 應急處理服務范圍廳P資產編號名稱型號/操作系統位置1SDFDA-SE-006網站服務器（主）NF5270/Centos6.4藥監機房2SDFDA-SE-007網站服務器（備）NF5270/Centos6.4藥監機房3SDFDA-SE-011數據庫服務器（主）IBM/AIX4.2藥監機房4SDFDA-SE-012數據庫服務器（備）IBM/AIX4.2藥監機房1.4 應急處理服務依據1.4.1 應急處理服務委托協議XX單位應急

5、處理服務委托書1.4.2 基礎標準與法律文件«中華人民共和國突發事件應對法網絡與信息安全應急處理服務資質評估方法(YD/T 1799-2008 )信息技術 安全技術 信息安全事件管理指南(GB/Z 20985-2007)信息安全技術 信息安全事件分類指南(GB/Z 20986-2007)1.4.3 參考文件信息安全技術 信息安全風險評估規范(GB/T 20984-2007)信息安全技術 信息系統安全等級保護基本要求(GB/T 22239-2008)信息技術服務 運行維護 第一部分 通用要求(GB/T28827.1-2012)信息技術服務 運行維護 第二部分 交付規范(GB/T2882

6、7.1-2012)信息技術服務 運行維護第三部分 應急響應規范(GB/T28827.1-2012)二、應急處理服務流程XX單位應急處理服務過程主要包括六個階段：準備階段、檢測 階段、抑制階段、根除階段、恢復階段、總結階段。應急處理服務流程如圖所示。準備階段負責人準備工作抑制階段根除階段檢測階段現場實施人員的確定確定和認可抑制的方案并進行抑制的實施恢復階段啟動專項預案回顧并完善整個事件的處理過程并進行總結總結階段形成事故報告為服務對象提出安全建議制定工作方案和計劃，監督和指導其他小組的工作結束 )需求的確定，主機和網絡安全初始化快照和備份、工具包和必要技術的準備建立預防預警機制、及時進行信息系統

7、檢測和異常情況上報三、應急處理服務內容和方法3.1 準備階段3.1.1 準備階段工作流程準備階段流程圖：3.1.2 準備階段處理過程我公司與XX單位進行信息安全事件應急處理詳情進行溝通，分 別對客戶應急服務所包含的具體需求和客戶實際信息系統環境進行 了詳細了解，在達成一致的基礎上簽訂了應急處理服務合同；隨后我公司立即成立針對該項目的應急處理小組，立刻著手服務方案編寫和工具準備工作，同時協助客戶對應急范圍內的信息系統進行評估和備 份快照。3.1.3準備階段現場處理記錄表工具準備清單時間2017年X月XX日服務單位名稱XX公司服務單位聯 系人聯系方式響應服務人 員聯系方式工具使用原 因目的描述輔助

8、快速準確發現問題，解決問題。應急工具準備清單：綠盟遠程安全評估系統北京安信通數據庫掃描系統Nessus漏洞掃描Wireshark抓包工具WVa業版WEBk用安全測試工具批準人（簽字）：3.2 檢測階段3.2.1 檢測階段工作流程檢測階段流程圖：3.2.2 檢測階段處理過程我公司技術支持熱線客服人員接到用戶的應急響應服務電話請 求后，通過電話了解基本情況，并檢查我公司是否有該類安全事件的 應急預案，發現并沒有該類安全事件的應急預案；隨后我公司立刻派遣應急處理小組攜帶應急工具、技術規范、現場記錄表在服務協議規 定的1小時內準備完畢到達現場。到達客戶現場后，項目組負責人立即與客戶方負責人進行方案溝

9、通，由客戶負責人書面授權后，根據實際客戶情況建議對網站進行切 換和數據備份，隨后開始進行檢測處理。檢測內容如下：1）事件溝通與應急準備。2）方案溝通與應急授權。3）網站切換與快照備份。4）漏洞發現與驗證。5）確定漏洞產生原因，溝通抑制措施。6）準備備份文件數據以備隨時回退。經過以上檢測，項目組確定漏洞根源并確認成功3.2.3 檢測階段現場處理記錄表檢測結果記錄時間2017年X月XX日服務單位名稱XX服務單位聯系人聯系方式響應服務人員聯系方式檢測原因或檢測 目的描述確認漏洞存在并評估安全事件等級檢測過程及結果記錄：(1)首先發現任意卜載漏洞，可以下載敏感信息文件：tomcat 路徑:/data/

10、tomcat6_8081/<Connector 口ort匚"8081" 口rotocol="HTTP/L 1" connection! iuieout= 20000 r&directPort=JtfURIEncoding=rfUTF-8rf maxThreads=600* minSpareThreads=#100* niaiSpareThreads=" 500 acc亡ptCount=" TOO" enableLookups=tffalseJ，/>(2)然后根據敏感文件信息，并通過任意讀取漏洞獲取到關鍵信

11、息：網站結構、 網站數據庫賬戶的W牛等：id-巾ifrbApp事)d i fliplairjcvcWS?ipl «r -tuur -fl L tei QiueChoTActer facodlln./'£.ter-mju "flLieirclitfli HHeirSetChifflcierfacodlnifilier<£ni. t-par-M''1, paLrMr-iiaw'：'eiKod :£- -. p*r-aa-mHE > ,pumi valpnrui v-b!he>-'i*

12、i1：-fWi.-<'filter>f 1L ier-njMi±: etslcinFilier< fl 1 te? - fillei-clMi ldl hure fillet- r«£bodFlil.£iF-. 'III tEr-cLai-ii? ini l：-paraa>>, p a rna"iuw "：" B«c kwzi d Dir< > pa eb m mr , ,aTn" vr"萬 _ _ _, _ _-_一,_ _ _ _ _

13、-t f Ui 1<:f ill er-wpprKJGxfiilflr « &HijnFih«r filtir<93"Ir醯tFFB?叫R： xlFMMrB) f 1h jk><fiU-fer Ikdif. LZfSelslfiFilTtf-.-'filter- feafeE 14 |工朝r-u 14tli £ til tcrf- U«inS«91i oaF b I e«t< fnter-elftRi><imi. t-iwu.-pnf-B*-dmv -'pv.

14、s-sftir1 pa-nrwe-1< DMiFM-n I >/inKFfMt . ' RiSfilfft1':曲# Qpr.f-HmE,''wriafcr ?mr." nlmtFLATSystem=winntWebServer=websphereAppPath-j cmsDBT ype=ojracle Sctup=success 二USERAdminPW-c3d2EHJiraiCF3YDcOQFN3FBdDA-Admin1P= THREADPOOL minPool s, 1 maxPoolsb checkThrcadPeriod=5<

15、;?xai versicm-l. 0 encoding-UTFS?><.sonething-el se-entirel y>proxool><alias>l<. alia5>,xirivcr-url/ CDATAjdbc：oracle： thin：172. 16. 2. 101 ： 1521：orcl/drivcr-iLrl><driver-class>oracle. jdbe. driver, OracleDrivsr</dri ver-class><drjver-properties>property

16、 naMe- user value- hjumm"/property name- pasEwoxd'" value:"hjems2015 /></driver-propcrtits><nininu»i-connet:tion-count>10C oininun-connect ion-count><naxinuw-connectior>-count>100</ wax i nun-connect i on-count>hanveb-iiaxiiiun-pagesi 口口0000&l

17、t; haQveb-*az iMun-paesize<test-befDre-use>true</te5t-beforeuse ><trace>true</trace><houise-keeDing-test-sal>5elect 1 from dual</ house-keeping-test-5ql><dbtype>orac le</dbtype>f 'proTcool?</something-else-entirely>(3)確定上傳點，上傳木馬獲取系統權限:慎帽設置嚏頓送

18、碎文怦X+名稱大小事店大小維灌州醫院4.4上盲目奈副評五雄信提交演二 wtktc.j 年6.12 KB2 KB JSP文件正強國器<- 由曰 中 安全 68 sdstc.iipx：Kgk. sdfda. gov. 5+ 11 /lEB-IKT/mi/124.128.：39-243目錄，文件0)名稱時間日3 /E匕1 國3E曰S口三0data v&r mtdi t root net sbin 20'15 mi ec bin etc hantetmp bootU33T lib1 ge t+found tftpboot WEB-IHT 4 esaAd sdstcl.htrnlK

19、B 灶忙5,jpg ? ?dsU6,Mml_ server c? ' tiw-t-h tml/ dat a/ W e bSph er e/AppS er ver/pr o f 11 e s/ d.efault/!$ who ami root. TLuuLq L XLilT)0ISO. 1.124 ；60925zffff:172, IS. 2.101 ; 1521ESTAftLISJCED1C150.1,124:3081：150. 150.1. 122:43673TIME WAIT) 。IM 1150 150 1 12243B75PIU MT2jCffff 15015C, 1.124:)

20、31Zffff.150.150 1 12243674TIMOAITjljffff.lEfl15C 1 124:501zffff172 IB. 2.101.15S1TIME WATT)0190, 1 124:59050 .：£fff172. 16. 2,101.1521TINEZtfAlTi01,124:596£i172 IS 2 101J1521ESTARUEJCEE0：ffff：15C.190. 1.1Z4：59413：ffff：1T2. 16. Z. 101 1521ES7AELISM2B1>0;f£f£ 190.150. L 124:8081

21、:fff£150.15D,1, 1£2:43S79FU TAIT21p；：ffff；190.190. 1,124;56443172.IS. Z 101 L5Z1TMEJiAIT)c190. 1,124:5&6£4172. 15.2 101 LS£1ESTABLISHED015fl. 1.124:5mi：ffff；01:1521TUB 附IT10:£Ef£-150.190. 1,124:57645：££££172.16. 2.101 ;1521TIMEJ/虹 T1c:f

22、Eff 150.150, L 1Z4；5T砌二172.IB- Z. 101:1521ESTABEtSJQD0:f£f£:190.1 EC.1.124:ST曲5二 ££££：172 IS. 2.101:1521ESTAfiUEMED0150.1.124:57961172. 16. 2,101:1521TIHE_WAITjljfff£ 15015C,1.124:57465172. IS. 2.101 1521ESTABUEMEDJ015C.1 124:57423：£fff172. 16. Z, 101.1521ESTA

23、BUSKED)0:f£f£:15n.15C,1.124:59252:f£ff172. IB. 2 .101 1521TIHEJAIT)0：ffff：15C.190. l,lZ4：57m1T2 IS? 101 151ESTABUSKEE】0.:£ff£:15C.190. 1,124:9090:ffff:150.150 1 122:413QBESTABUSMSB】0190. 1,1£4：5E51Z:ffff01 1521ESIABLISHJDin:;fEf£:190.190. 1,124 :S222B;f&#

24、163;f£172.IB.2 101:1521TIWEJAIT)c：f ff f 150. *-LLL_d L'C50,1,124:53225* Lm_i C E L i- L i_17E.IB. Z 101 L5E1TIWEJkIT安全事件等級確定:該事故發生后將導致網站服務器被非法接管，使其公共服務受到嚴重損壞，系 統受到嚴重損失，數據被非法竊取；該網站系統中斷或非法篡改，可能影響到國家 安全，擾亂社會秩序，對經濟建設、公眾利益有一定的負面影響。該事故安全事件等級為：n衿檢測階段確認（簽字）3.3.3抑制階段現場處理記錄表3.3.1 抑制階段工作流程抑制階段流程圖：山3.

25、3.2 抑制階段處理過程通過檢查階段的詳細調查，我們判斷是文件下載訪問權限不合理，上傳未做過濾產生的漏洞。在與客戶溝通后，客戶接受我們的方 案并授權我們對該系統進行抑制處理。(1)針對敏感文件設置讀取嚴格的讀取和下載權限，禁止訪問用戶 可以讀取和下載。(2)暫時關閉非法上傳點模塊。(3)抑制措施驗證并準備備份數據隨時回退。抑制處理記錄表時間2017年X月XX日服務單位名稱XX服務單位聯系人聯系方式響應服務人員聯系方式抑制處理原因針對主要文件信息泄露和非法上傳漏洞進行抑制抑制處理目的給予最快速的漏洞基本解決方案，初步抵御攻擊抑制處理方案：(1)針對敏感文件設置讀取嚴格的讀取不嚇載權限，禁止訪問用

26、戶可以讀取 和卜載。(2)暫時關閉非法上傳點模塊。(3)抑制措施驗證并準備備份數據隨時回退。抑制方案產生的風險及應對措施：關閉非法上傳點模塊后，可能對日常管理，合法上傳存在f的影響。應對措施：當需要上傳時，采取使用介質本地服務器拷貝上傳方式。抑制方案確認(簽字)：抑制效果：抑制成功3.4根除階段3.4.1 根除階段工作流程根除階段流程圖：*與客戶協商廠商溝通事宜3.4.2 根除階段處理過程抑制階段可以解決外網用戶對網站系統的威脅，但是還沒有從根本上解決網站漏洞問題。在與客戶溝通后，我們進行了如下操作：1）與客戶溝通抑制措施達到的安全防護效果并協商廠商溝通事宜。2）聯系廠商，與廠商說明目前網站存

27、在的非法下載、讀取和上傳的漏洞，建議采用添加文件校驗和文件權限模塊，實現漏洞修補。3）建議客戶對服務器權限進行合理優化，使用非 root用戶運行網站。4）對廠商反饋修復結果進行驗證并準備必要的回退措施。3.4.3根除階段現場處理記錄表根除處理記錄表時間2017年X月XX日服務單位名稱XX服務單位聯系人聯系方式響應服務人員聯系方式根除處理原因后臺頁面代碼修復，上傳限制使用后臺白名單根除處理方案：通過之前的抑制處理方案，已經實現非法下載、讀取和上傳漏洞風險的基本 控制，但沒有徹底根除漏洞根源。所以，可以通過以卜方法徹底根除該問題。1）與客戶溝通抑制措施達到的安全防護效果并協商廠商溝逋事宜。2）聯系

28、廠商，與廠商說明目前網站存在的非法下載、讀取和上傳的漏洞，建議 采用添加文件校驗和文件權限模塊，實現漏洞修補。3）建議客戶對服務器權限進行合理優化，使用非 root用戶運行網站。4）對廠商反饋修復結果進行驗證并準備必要的回退措施。根除方案產生的風險：代碼漏洞修補和服務器權限優化后，經驗證測試對網站系統無影響，進一步增加 了網站的安全性。根除方案確認（簽字）：根除效果：根除成功3.5恢復階段3.5.1 恢復階段工作流程恢復階段流程圖：抑制和根除階段文件對比，可疑文件確認和清除網站漏洞掃描與修復網站系統安全加固網站重新上線3.5.2 恢復階段處理過程通過之前的抑制及根除處理，已經基本解決了網站存在的高危漏洞，在網站重新上線前，應急人員重新對網站進行全面的漏洞掃描, 并對發現的可疑漏洞進行確認和修復，同時對網站系統進行安全加固。3.5.3恢復階段現場記錄表恢復處理記錄表時間2017年X月X