信息安全事件应急处理报告模板

1、XX单位信息安全事件应急处理报告XXX公司2017年X月XX日1、 概述 11.1 应急处理服务背景 11.2 应急处理服务目的 11.3 应急处理服务范围 11.4 应急处理服务依据 21.4.1 应急处理服务委托协议21.4.2 基础标准与法律文件21.4.3 参考文件22、 应急处理服务流程 33、 应急处理服务内容和方法 53.1 准备阶段53.1.1 准备阶段工作流程53.1.2 准备阶段处理过程53.1.3 准备阶段现场处理记录表63.2 检测阶段73.2.1 检测阶段工作流程 73.2.2 检测阶段处理过程 73.2.3 检测阶段现场处理记录表83.3 抑制阶段93.3.1 抑制

2、阶段工作流程93.3.2 抑制阶段处理过程 93.3.3 抑制阶段现场处理记录表103.4 根除阶段113.4.1 根除阶段工作流程113.4.2 根除阶段处理过程 113.5 恢复阶段133.5.1 恢复阶段工作流程 133.5.2 恢复阶段处理过程 133.5.3 恢复阶段现场记录表 133.6 总结阶段 143.6.1 总结阶段工作流程 143.6.2 总结阶段现场记录表154、 结论与建议 16信息安全事件应急处理报告应急处理单位委托单位XX单位服务类别委托应急处理受理日期2017年X月XX日处理日期2017年X月XX日服务成员监督人处理结论：通过本次应急处理服务，解决了 XX单位存在

3、的网站漏洞，修补后，经测试有效。建议委托单位针对报告中提出的建议，增强安全控制措施，切实提高信息安全 水平，降低相关风险。XX公司2017年X月XX日批准人：应急处理服务人员：审核人:一、概述1.1 应急处理服务背景XX单位与XX公司签订应急服务合同。XX公司根据合同协议中规 定的范围和工作内容为XX单位提供应急服务。2017年6月25日XX 单位网站服务器发现存在恶意文件，直接威胁网站的正常运营与使 用，XX单位立即拨通XX公司的应急服务热线，请求应急处理服务。 我方应急处理服务人员，对相关信息进行登记记录，并按作业指导书 要求启动相关过程。1.2 应急处理服务目的尽快确认和修复漏洞，恢复信

4、息系统的正常运行，使信息系统所 遭受的破坏最小化，并在应急处理后提供准确有效的法律证据、分析 统计报告和有价值的建议，在应急处理服务工作结束后对系统管理进 彳了完善。1.3 应急处理服务范围厅P资产编号名称型号/操作系统位置1SDFDA-SE-006网站服务器（主）NF5270/Centos6.4药监机房2SDFDA-SE-007网站服务器（备）NF5270/Centos6.4药监机房3SDFDA-SE-011数据库服务器（主）IBM/AIX4.2药监机房4SDFDA-SE-012数据库服务器（备）IBM/AIX4.2药监机房1.4 应急处理服务依据1.4.1 应急处理服务委托协议XX单位应急

5、处理服务委托书1.4.2 基础标准与法律文件«中华人民共和国突发事件应对法网络与信息安全应急处理服务资质评估方法(YD/T 1799-2008 )信息技术 安全技术 信息安全事件管理指南(GB/Z 20985-2007)信息安全技术 信息安全事件分类指南(GB/Z 20986-2007)1.4.3 参考文件信息安全技术 信息安全风险评估规范(GB/T 20984-2007)信息安全技术 信息系统安全等级保护基本要求(GB/T 22239-2008)信息技术服务 运行维护 第一部分 通用要求(GB/T28827.1-2012)信息技术服务 运行维护 第二部分 交付规范(GB/T2882

6、7.1-2012)信息技术服务 运行维护第三部分 应急响应规范(GB/T28827.1-2012)二、应急处理服务流程XX单位应急处理服务过程主要包括六个阶段：准备阶段、检测 阶段、抑制阶段、根除阶段、恢复阶段、总结阶段。应急处理服务流程如图所示。准备阶段负责人准备工作抑制阶段根除阶段检测阶段现场实施人员的确定确定和认可抑制的方案并进行抑制的实施恢复阶段启动专项预案回顾并完善整个事件的处理过程并进行总结总结阶段形成事故报告为服务对象提出安全建议制定工作方案和计划，监督和指导其他小组的工作结束 )需求的确定，主机和网络安全初始化快照和备份、工具包和必要技术的准备建立预防预警机制、及时进行信息系统

7、检测和异常情况上报三、应急处理服务内容和方法3.1 准备阶段3.1.1 准备阶段工作流程准备阶段流程图：3.1.2 准备阶段处理过程我公司与XX单位进行信息安全事件应急处理详情进行沟通，分 别对客户应急服务所包含的具体需求和客户实际信息系统环境进行 了详细了解，在达成一致的基础上签订了应急处理服务合同；随后我公司立即成立针对该项目的应急处理小组，立刻着手服务方案编写和工具准备工作，同时协助客户对应急范围内的信息系统进行评估和备 份快照。3.1.3准备阶段现场处理记录表工具准备清单时间2017年X月XX日服务单位名称XX公司服务单位联 系人联系方式响应服务人 员联系方式工具使用原 因目的描述辅助

8、快速准确发现问题，解决问题。应急工具准备清单：绿盟远程安全评估系统北京安信通数据库扫描系统Nessus漏洞扫描Wireshark抓包工具WVa业版WEBk用安全测试工具批准人（签字）：3.2 检测阶段3.2.1 检测阶段工作流程检测阶段流程图：3.2.2 检测阶段处理过程我公司技术支持热线客服人员接到用户的应急响应服务电话请 求后，通过电话了解基本情况，并检查我公司是否有该类安全事件的 应急预案，发现并没有该类安全事件的应急预案；随后我公司立刻派遣应急处理小组携带应急工具、技术规范、现场记录表在服务协议规 定的1小时内准备完毕到达现场。到达客户现场后，项目组负责人立即与客户方负责人进行方案沟

9、通，由客户负责人书面授权后，根据实际客户情况建议对网站进行切 换和数据备份，随后开始进行检测处理。检测内容如下：1）事件沟通与应急准备。2）方案沟通与应急授权。3）网站切换与快照备份。4）漏洞发现与验证。5）确定漏洞产生原因，沟通抑制措施。6）准备备份文件数据以备随时回退。经过以上检测，项目组确定漏洞根源并确认成功3.2.3 检测阶段现场处理记录表检测结果记录时间2017年X月XX日服务单位名称XX服务单位联系人联系方式响应服务人员联系方式检测原因或检测 目的描述确认漏洞存在并评估安全事件等级检测过程及结果记录：(1)首先发现任意卜载漏洞，可以下载敏感信息文件：tomcat 路径:/data/

10、tomcat6_8081/<Connector 口ort匚"8081" 口rotocol="HTTP/L 1" connection! iuieout= 20000 r&directPort=JtfURIEncoding=rfUTF-8rf maxThreads=600* minSpareThreads=#100* niaiSpareThreads=" 500 acc亡ptCount=" TOO" enableLookups=tffalseJ，/>(2)然后根据敏感文件信息，并通过任意读取漏洞获取到关键信

11、息：网站结构、 网站数据库账户的W牛等：id-巾ifrbApp事)d i fliplairjcvcWS?ipl «r -tuur -fl L tei QiueChoTActer facodlln./'£.ter-mju "flLieirclitfli HHeirSetChifflcierfacodlnifilier<£ni. t-par-M''1, paLrMr-iiaw'：'eiKod :£- -. p*r-aa-mHE > ,pumi valpnrui v-b!he>-'i*

12、i1：-fWi.-<'filter>f 1L ier-njMi±: etslcinFilier< fl 1 te? - fillei-clMi ldl hure fillet- r«£bodFlil.£iF-. 'III tEr-cLai-ii? ini l：-paraa>>, p a rna"iuw "：" B«c kwzi d Dir< > pa eb m mr , ,aTn" vr"万 _ _ _, _ _-_一,_ _ _ _ _

13、-t f Ui 1<:f ill er-wpprKJGxfiilflr « &HijnFih«r filtir<93"Ir醯tFFB?叫R： xlFMMrB) f 1h jk><fiU-fer Ikdif. LZfSelslfiFilTtf-.-'filter- feafeE 14 |工朝r-u 14tli £ til tcrf- U«inS«91i oaF b I e«t< fnter-elftRi><imi. t-iwu.-pnf-B*-dmv -'pv.

14、s-sftir1 pa-nrwe-1< DMiFM-n I >/inKFfMt . ' RiSfilfft1':曲# Qpr.f-HmE,''wriafcr ?mr." nlmtFLATSystem=winntWebServer=websphereAppPath-j cmsDBT ype=ojracle Sctup=success 二USERAdminPW-c3d2EHJiraiCF3YDcOQFN3FBdDA-Admin1P= THREADPOOL minPool s, 1 maxPoolsb checkThrcadPeriod=5<

15、;?xai versicm-l. 0 encoding-UTFS?><.sonething-el se-entirel y>proxool><alias>l<. alia5>,xirivcr-url/ CDATAjdbc：oracle： thin：172. 16. 2. 101 ： 1521：orcl/drivcr-iLrl><driver-class>oracle. jdbe. driver, OracleDrivsr</dri ver-class><drjver-properties>property

16、 naMe- user value- hjumm"/property name- pasEwoxd'" value:"hjems2015 /></driver-propcrtits><nininu»i-connet:tion-count>10C oininun-connect ion-count><naxinuw-connectior>-count>100</ wax i nun-connect i on-count>hanveb-iiaxiiiun-pagesi 口口0000&l

17、t; haQveb-*az iMun-paesize<test-befDre-use>true</te5t-beforeuse ><trace>true</trace><houise-keeDing-test-sal>5elect 1 from dual</ house-keeping-test-5ql><dbtype>orac le</dbtype>f 'proTcool?</something-else-entirely>(3)确定上传点，上传木马获取系统权限:慎帽设置嚏顿送

18、碎文怦X+名称大小事店大小维灌州医院4.4上盲目奈副评五雄信提交演二 wtktc.j 年6.12 KB2 KB JSP文件正强国器<- 由曰 中 安全 68 sdstc.iipx：Kgk. sdfda. gov. 5+ 11 /lEB-IKT/mi/124.128.：39-243目录，文件0)名称时间日3 /E匕1 国3E曰S口三0data v&r mtdi t root net sbin 20'15 mi ec bin etc hantetmp bootU33T lib1 ge t+found tftpboot WEB-IHT 4 esaAd sdstcl.htrnlK

19、B 灶忙5,jpg ? ?dsU6,Mml_ server c? ' tiw-t-h tml/ dat a/ W e bSph er e/AppS er ver/pr o f 11 e s/ d.efault/!$ who ami root. TLuuLq L XLilT)0ISO. 1.124 ；60925zffff:172, IS. 2.101 ; 1521ESTAftLISJCED1C150.1,124:3081：150. 150.1. 122:43673TIME WAIT) 。IM 1150 150 1 12243B75PIU MT2jCffff 15015C, 1.124:)

20、31Zffff.150.150 1 12243674TIMOAITjljffff.lEfl15C 1 124:501zffff172 IB. 2.101.15S1TIME WATT)0190, 1 124:59050 .：£fff172. 16. 2,101.1521TINEZtfAlTi01,124:596£i172 IS 2 101J1521ESTARUEJCEE0：ffff：15C.190. 1.1Z4：59413：ffff：1T2. 16. Z. 101 1521ES7AELISM2B1>0;f£f£ 190.150. L 124:8081

21、:fff£150.15D,1, 1£2:43S79FU TAIT21p；：ffff；190.190. 1,124;56443172.IS. Z 101 L5Z1TMEJiAIT)c190. 1,124:5&6£4172. 15.2 101 LS£1ESTABLISHED015fl. 1.124:5mi：ffff；01:1521TUB 附IT10:£Ef£-150.190. 1,124:57645：££££172.16. 2.101 ;1521TIMEJ/虹 T1c:f

22、Eff 150.150, L 1Z4；5T砌二172.IB- Z. 101:1521ESTABEtSJQD0:f£f£:190.1 EC.1.124:ST曲5二 ££££：172 IS. 2.101:1521ESTAfiUEMED0150.1.124:57961172. 16. 2,101:1521TIHE_WAITjljfff£ 15015C,1.124:57465172. IS. 2.101 1521ESTABUEMEDJ015C.1 124:57423：£fff172. 16. Z, 101.1521ESTA

23、BUSKED)0:f£f£:15n.15C,1.124:59252:f£ff172. IB. 2 .101 1521TIHEJAIT)0：ffff：15C.190. l,lZ4：57m1T2 IS? 101 151ESTABUSKEE】0.:£ff£:15C.190. 1,124:9090:ffff:150.150 1 122:413QBESTABUSMSB】0190. 1,1£4：5E51Z:ffff01 1521ESIABLISHJDin:;fEf£:190.190. 1,124 :S222B;f&#

24、163;f£172.IB.2 101:1521TIWEJAIT)c：f ff f 150. *-LLL_d L'C50,1,124:53225* Lm_i C E L i- L i_17E.IB. Z 101 L5E1TIWEJkIT安全事件等级确定:该事故发生后将导致网站服务器被非法接管，使其公共服务受到严重损坏，系 统受到严重损失，数据被非法窃取；该网站系统中断或非法篡改，可能影响到国家 安全，扰乱社会秩序，对经济建设、公众利益有一定的负面影响。该事故安全事件等级为：n衿检测阶段确认（签字）3.3.3抑制阶段现场处理记录表3.3.1 抑制阶段工作流程抑制阶段流程图：山3.

25、3.2 抑制阶段处理过程通过检查阶段的详细调查，我们判断是文件下载访问权限不合理，上传未做过滤产生的漏洞。在与客户沟通后，客户接受我们的方 案并授权我们对该系统进行抑制处理。(1)针对敏感文件设置读取严格的读取和下载权限，禁止访问用户 可以读取和下载。(2)暂时关闭非法上传点模块。(3)抑制措施验证并准备备份数据随时回退。抑制处理记录表时间2017年X月XX日服务单位名称XX服务单位联系人联系方式响应服务人员联系方式抑制处理原因针对主要文件信息泄露和非法上传漏洞进行抑制抑制处理目的给予最快速的漏洞基本解决方案，初步抵御攻击抑制处理方案：(1)针对敏感文件设置读取严格的读取不吓载权限，禁止访问用

26、户可以读取 和卜载。(2)暂时关闭非法上传点模块。(3)抑制措施验证并准备备份数据随时回退。抑制方案产生的风险及应对措施：关闭非法上传点模块后，可能对日常管理，合法上传存在f的影响。应对措施：当需要上传时，采取使用介质本地服务器拷贝上传方式。抑制方案确认(签字)：抑制效果：抑制成功3.4根除阶段3.4.1 根除阶段工作流程根除阶段流程图：*与客户协商厂商沟通事宜3.4.2 根除阶段处理过程抑制阶段可以解决外网用户对网站系统的威胁，但是还没有从根本上解决网站漏洞问题。在与客户沟通后，我们进行了如下操作：1）与客户沟通抑制措施达到的安全防护效果并协商厂商沟通事宜。2）联系厂商，与厂商说明目前网站存

27、在的非法下载、读取和上传的漏洞，建议采用添加文件校验和文件权限模块，实现漏洞修补。3）建议客户对服务器权限进行合理优化，使用非 root用户运行网站。4）对厂商反馈修复结果进行验证并准备必要的回退措施。3.4.3根除阶段现场处理记录表根除处理记录表时间2017年X月XX日服务单位名称XX服务单位联系人联系方式响应服务人员联系方式根除处理原因后台页面代码修复，上传限制使用后台白名单根除处理方案：通过之前的抑制处理方案，已经实现非法下载、读取和上传漏洞风险的基本 控制，但没有彻底根除漏洞根源。所以，可以通过以卜方法彻底根除该问题。1）与客户沟通抑制措施达到的安全防护效果并协商厂商沟逋事宜。2）联系

28、厂商，与厂商说明目前网站存在的非法下载、读取和上传的漏洞，建议 采用添加文件校验和文件权限模块，实现漏洞修补。3）建议客户对服务器权限进行合理优化，使用非 root用户运行网站。4）对厂商反馈修复结果进行验证并准备必要的回退措施。根除方案产生的风险：代码漏洞修补和服务器权限优化后，经验证测试对网站系统无影响，进一步增加 了网站的安全性。根除方案确认（签字）：根除效果：根除成功3.5恢复阶段3.5.1 恢复阶段工作流程恢复阶段流程图：抑制和根除阶段文件对比，可疑文件确认和清除网站漏洞扫描与修复网站系统安全加固网站重新上线3.5.2 恢复阶段处理过程通过之前的抑制及根除处理，已经基本解决了网站存在的高危漏洞，在网站重新上线前，应急人员重新对网站进行全面的漏洞扫描, 并对发现的可疑漏洞进行确认和修复，同时对网站系统进行安全加固。3.5.3恢复阶段现场记录表恢复处理记录表时间2017年X月X