信息安全事件应急处理报告模板(汇编)

精品文档精品文档XX单位信息安全事件应急处理报告XXX公司2017年X月XX日目录TOC\o"1-5"\h\z—\概述1应急处理服务背景1应急处理服务目的1应急处理服务范围1\o"CurrentDocument"应急处理服务依据2应急处理服务委托协议2基础标准与法律文件21.4.3参考文件2\o"CurrentDocument"二\应急处理服务流程3\o"CurrentDocument"三、应急处理服务内容和方法5准备阶段5准备阶段工作流程53.1.2准备阶段处理过程5\o"CurrentDocument"3.1.3准备阶段现场处理记录表6检测阶段7检测阶段工作流程7检测阶段处理过程7\o"CurrentDocument"3.2.3检测阶段现场处理记录表8抑制阶段9抑制阶段工作流程9抑制阶段处理过程9\o"CurrentDocument"3.3.3抑制阶段现场处理记录表10\o"CurrentDocument"根除阶段11根除阶段工作流程11根除阶段处理过程11恢复阶段13恢复阶段工作流程13恢复阶段处理过程133.5.3恢复阶段现场记录表13\o"CurrentDocument"总结阶段14总结阶段工作流程14\o"CurrentDocument"3.6.2总结阶段现场记录表15\o"CurrentDocument"四、结论与建议16

信息安全事件应急处理报告应急处理单位委托单位XX单位服务类别委托应急处理受理日期2017年X月XX日处理日期2017年X月XX日服务成员监督人处理结论：通过本次应急处理服务，解决了XX单位存在的网站漏洞，修补后，经测试有效。建议委托单位针对报告中提出的建议，增强安全控制措施，切实提高信息安全水平，降低相关风险。XX公司2017年X月XX日批准人：应急处理服务人员：审核人：一、概述应急处理服务背景XX单位与XX公司签订应急服务合同。XX公司根据合同协议中规定的范围和工作内容为XX单位提供应急服务。2017年6月25日XX单位网站服务器发现存在恶意文件，直接威胁网站的正常运营与使用，XX单位立即拨通XX公司的应急服务热线，请求应急处理服务。我方应急处理服务人员,对相关信息进行登记记录,并按作业指导书要求启动相关过程。应急处理服务目的尽快确认和修复漏洞，恢复信息系统的正常运行，使信息系统所遭受的破坏最小化，并在应急处理后提供准确有效的法律证据、分析统计报告和有价值的建议，在应急处理服务工作结束后对系统管理进行完善。1.3应急处理服务范围序号资产编号名称型号/操作系统位置1SDFDA-SE-006网站服务器（主）NF5270/Centos6.4药监机房2SDFDA-SE-007网站服务器（备）NF5270/Centos6.4药监机房3SDFDA-SE-011数据库服务器（主）IBM/AIX4.2药监机房4SDFDA-SE-012数据库服务器（备）IBM/AIX4.2药监机房1.4应急处理服务依据应急处理服务委托协议《XX单位应急处理服务委托书》基础标准与法律文件《中华人民共和国突发事件应对法》《网络与信息安全应急处理服务资质评估方法》(YD/T1799-2008)《信息技术安全技术信息安全事件管理指南》(GB/Z20985-2007)《信息安全技术信息安全事件分类指南》(GB/Z20986-2007)参考文件《信息安全技术信息安全风险评估规范》(GB/T20984-2007)《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008)《信息技术服务运行维护第一部分通用要求》(GB/T28827.1-2012)《信息技术服务运行维护第二部分交付规范》(GB/T28827.1-2012)《信息技术服务运行维护第三部分应急响应规范》(GB/T28827.1-2012)二、应急处理服务流程XX单位应急处理服务过程主要包括六个阶段：准备阶段、检测阶段、抑制阶段、根除阶段、恢复阶段、总结阶段。应急处理服务流程如图所示。负责人准备工作制定工作方案和计划，监督和指导其他小组的工作准备阶段技术人员准备工作准备阶段技术人员准备工作服务需求的确定，主机和网”络安全初始化快照和备份、工具包和必要技术的准备市场人员准备工作

建立预防预警机制、及时进行信息系统检测和异常情况上报现场实施人员的确定现场勘查确定检测方案并检测阶段进行实施否现场勘查确定检测方案并检测阶段进行实施否旦疋抑制阶段确定和认可抑制的方案并进行抑制的实施根除阶段确定和认可根除的方法并进行根除的实施启动专项预案恢复阶段根据确定的恢复方案进行根除阶段确定和认可根除的方法并进行根除的实施启动专项预案恢复阶段根据确定的恢复方案进行

信息系统的恢复回顾并完善整个事件的处

理过程并进行总结总结阶段V形成事故报告为服务对象提出安全建议精品文档精品文档精品文档三、应急处理服务内容和方法3.1准备阶段准备阶段工作流程准备阶段流程图：准备阶段处理过程我公司与XX单位进行信息安全事件应急处理详情进行沟通，分别对客户应急服务所包含的具体需求和客户实际信息系统环境进行了详细了解，在达成一致的基础上签订了应急处理服务合同；随后我公司立即成立针对该项目的应急处理小组，立刻着手服务方案编写和工具准备工作，同时协助客户对应急范围内的信息系统进行评估和备份快照。精品文档精品文档精品文档精品文档3.1.3准备阶段现场处理记录表工具准备清单时间2017年X月XX日服务单位名称XX公司服务单位联系人联系方式响应服务人员联系方式工具使用原因目的描述辅助快速准确发现问题，解决问题。应急工具准备清单：绿盟远程安全评估系统北京安信通数据库扫描系统Nessus漏洞扫描Wireshark抓包工具WVS企业版WEB应用安全测试工具批准人（签字）：检测阶段3.2.1检测阶段工作流程检测阶段流程图：检测阶段处理过程我公司技术支持热线客服人员接到用户的应急响应服务电话请求后，通过电话了解基本情况，并检查我公司是否有该类安全事件的应急预案，发现并没有该类安全事件的应急预案；随后我公司立刻派遣应急处理小组携带应急工具、技术规范、现场记录表在服务协议规定的1小时内准备完毕到达现场。到达客户现场后，项目组负责人立即与客户方负责人进行方案沟通，由客户负责人书面授权后，根据实际客户情况建议对网站进行切换和数据备份，随后开始进行检测处理。检测内容如下：事件沟通与应急准备。方案沟通与应急授权。网站切换与快照备份。漏洞发现与验证。确定漏洞产生原因，沟通抑制措施。准备备份文件数据以备随时回退。经过以上检测，项目组确定漏洞根源并确认成功3.2.3检测阶段现场处理记录表检测结果记录时间2017年X月XX日服务单位名称XX服务单位联系人联系方式响应服务人员联系方式检测原因或检测目的描述确认漏洞存在并评估安全事件等级检测过程及结果记录：（1）首先发现任意下载漏洞，可以下载敏感信息文件：tomcat路径：/data/tomcat6_8081/<Connectorp0rt=tfSOSl^prot0C01=JXHTTP/l.lffconnectionTimEout=/f20000AredirectPort=/f6444/fURIEncoding="UTF-0"maxThreads=jy600AminSpareThreads^^lOO^maKSpareThreads=jy500AacceptC0unt=Xf7OOJyenableLookups=jyfalseA/>（2）然后根据敏感文件信息，并通过任意读取漏洞获取到关键信息：网站结构、网站数据库账户密码等：』』.・尸尸亠.■»eb-B.ppidl=J'irebApp_]D^><dliis-pl-a]F-iiME>jcisSSS^'displ-a?-<filteK^iMMiejSe:Ch^aizierE£Kodin£^»*'fiIter-aiJie'-^filteiirclfl&E?filTtrt1SecChflrflCTerE£KodingFllTer</filier-c；l*Ea><in±t-oar-aH：*SB>raa-iiaB«〉EnKodjofK，MiMbTME>lieXlTF-0C.,parfiJi-v*ilsift><.'fil(er><filtrr><filteu^iujieJSes:iflnFilieK-i'fiItei'-AfiJie.-<f11s>cai.Hawrhfiller.LoriTilTer^/f1Iter-clfisa>^PBTM-IUW>Back!T0AH]d[hLr<>''pBTM-7iaB«'：-^pu1m_™1v/1JS/j/kJ5LJ/?/r_5J2/i/r_5_4/i/kJ5_5/?/■_5U5/i/m_5_7/?/^J5LP/1/■.Sja/,/<J5LJ]/1/■_5_c/1/<JLje/?/r_5jE/■/<J5_ilter-wi^pini)<filtAr-MBe^Sessi^nFiltcrC-'fi1七tiirl-pattflriiL>s.j5p<.,,[irl~paltiHnLiLhi.丿<filtei-na«E.jjo;:n5ES3innfiiterC/'fill.er_iLH»e>ils>filTer5_Losln占亡::主lccsFires^-class.-<:Lait-p4^u.-*--PKrM-iMM>pn5sDar<.>,，p4r-aH-iiiMe■■<pnrM-T-il!ne>/inteE,fB«ij,.i/jc■s„fi1e/iiodex,>l'opr_f|C<rcecfcHnHepedi.''erroi^pBBei.''caTaDdow/tcp^j[FLA匸SysTem=winntSer^rer=websphereAppPath二junisDBType=oracleSetup=success[USER]AdminPff=c3d迪町1miCF3\Tc0QFN3FBdDA=AdminIP=:THREADPOOL：minPools=lmaxPools=5•i-riTTt«Til<?xa?2version—・0*encoding-^UTFS<something~else~entirely><proxool><alias>l</alias><driver~ur1><![CDATA[jdbc:oracle:thin:01:1521:orclllX./Ariver~ur1><driver~class>orac1e・jdbc・driver・OracleDriver</(lriver~class><djriver—properties><propertynanie^^user^valiie='vhjci]is'v/><propertynante='wpassword"value=jcms2015></driver—properties><minimuiii~connection~count>10</iiinimum~connection~count><maximum-connection~count>100</maximum-connection~coont><hanweb-maziniiiiisize>10000000</hanweb-iiiaxiiiiiinsize><test~before~use>true</test~before~use><trace>true</trace><house~keeping—test—sql>select1fromdual</house~keeping—test—sql><dbtype>oracle</dbtype></proxool></sonething~e1se~entirely>（3）确定上传点，上传木马获取系统权限:

樓帧迭择谟底上件圭sdstc.zipdjsdstcS.htrril咽sdstc5.jpg<r▼tij三▼®安全虽sdstczip文件夹X+名称K小|sdstcS.xml＞山滨州医瞬*”上昙目录］.测评（天融信提交聯□sdstcj年6.12KB2KE」SP文件吕1tRRt.html[./d：mta?WebSphere/AppServer./pro£i1ee/«lefault/]$whoamiroot

C::£fff:15C.150.1.124:50925::f££f0::ffff:24:8081::ffff0::£Ef£:24:S0Sl::f£££0::ffff：24:8081::ffffC::£fff:15C.150.1.124:59901::f££f0::ffff:24:59850::ffff0::£Ef£:150.ISO.1.124:59621::f£££0::ffff:24:59413::ffffC::£Ef£:15C.150.1.124:SOS1::f£££0::ffff:24:58448::ffff0::£Ef£:150.ISO.1.124:58564::f£££0::ffff:24:57771::ffff0::£Ef£:24:57645::f£££0::ffff:24:5?™::ffff0::£Ef£:24:574^5::f£££0::ffff:24:57561::ffff0::£Ef£:24:57465::f£££0::ffff：24：5T423::ffff0::£Ef£:24:58252::f£££0::ffff:24:57881::ffff0::£Ef£:24:9080::f£££0::fEff:24:52512::ffff0::££££:24:52228::££££0::ffff:24:53226::ffffid寸'LLLL01::L521ESTABUSHED.101::L521ESTABUSHED150.150I.1.122:43673TIMEHAIT150.150i.1.122:43675FI3TffAITS150.150I.1.122:43674TIMEWAIT011521TIMEWAIT011521riME_W虹T011521ESTABUSHED011521ESTABU5HED150.150i.1.122:43679FISWAITS011521TIMEWAIT011521ESTABUSHEDm.16.2.1011521TIMEHAIT172.IS.2.1011521TIMEWAIT011521ESTABUSHEB011521ESTAB口SHED011521TIMEHAIT011521ESTABUSHEB011521ESTABUSHED172.IB.2.1011521TIMEWAIT011521ESTABUSHEB150.150I.1.122:41396ESTABUSHED011521ESTABUSHED011521TIMEWAIT011521timeZw虹tdLL・dLCiijddL・Ld该事故发生后将导致网站服务器被非法接管，使其公共服务受到严重损坏，系统受到严重损失，数据被非法窃取；该网站系统中断或非法篡改，可能影响到国家安全，扰乱社会秩序，对经济建设、公众利益有一定的负面影响。该事故安全事件等级为：11级。检测阶段确认（签字）抑制阶段3.3.1抑制阶段工作流程3.3.2抑制阶段处理过程通过检查阶段的详细调查，我们判断是文件下载访问权限不合理，上传未做过滤产生的漏洞。在与客户沟通后，客户接受我们的方案并授权我们对该系统进行抑制处理。（1）针对敏感文件设置读取严格的读取和下载权限，禁止访问用户可以读取和下载。（2）暂时关闭非法上传点模块。（3）抑制措施验证并准备备份数据随时回退。

3.3.3抑制阶段现场处理记录表抑制处理记录表时间2017年X月XX日服务单位名称XX服务单位联系人联系方式响应服务人员联系方式抑制处理原因针对主要文件信息泄露和非法上传漏洞进行抑制抑制处理目的给予最快速的漏洞基本解决方案，初步抵御攻击抑制处理方案：（1）针对敏感文件设置读取严格的读取和下载权限，禁止访问用户可以读取和下载。（2）暂时关闭非法上传点模块。（3）抑制措施验证并准备备份数据随时回退。抑制方案产生的风险及应对措施：关闭非法上传点模块后，可能对日常管理，合法上传存在一定的影响。应对措施：当需要上传时，采取使用介质本地服务器拷贝上传方式。抑制方案确认（签字）：抑制效果：抑制成功

根除阶段3.4.1根除阶段工作流程3.4.2根除阶段处理过程抑制阶段可以解决外网用户对网站系统的威胁，但是还没有从根

本上解决网站漏洞问题。在与客户沟通后，我们进行了如下操作：与客户沟通抑制措施达到的安全防护效果并协商厂商沟通事宜。联系厂商，与厂商说明目前网站存在的非法下载、读取和上传的漏洞，建议采用添加文件校验和文件权限模块，实现漏洞修补。建议客户对服务器权限进行合理优化，使用非root用户运行网站。对厂商反馈修复结果进行验证并准备必要的回退措施。

3.4.3根除阶段现场处理记录表根除处理记录表时间2017年X月XX日服务单位名称XX服务单位联系人联系方式响应服务人员联系方式根除处理原因后台页面代码修复，上传限制使用后台白名单根除处理方案：通过之前的抑制处理方案，已经实现非法下载、读取和上传漏洞风险的基本控制，但没有彻底根除漏洞根源。所以，可以通过以下方法彻底根除该问题。1）与客户沟通抑制措施达到的安全防护效果并协商厂商沟通事宜。2）联系厂商，与厂商说明目前网站存在的非法下载、读取和上传的漏洞，建议采用添加文件校验和文件权限模块，实现漏洞修补。3）建议客户对服务器权限进行合理优化，使用非root用户运行网站。4）对厂商反馈修复结果进行验证并准备必要的回退措施。根除方案产生的风险：代码漏洞修补和服务器权限优化后，经验证测试对网站系统无影响，进一步增加了网站的安全性。根除方案确认（签字）：根除效果：根除成功

恢复阶段3.5.1恢复阶段工作流程恢复阶段流程图：恢复阶段处理过程通过之前的抑制及根除处理，已经基本解决了网站存在的高危漏洞，在网站重新上线前，应急人员重新对网站进行全面的漏洞扫描，并对发现的可疑漏洞进行确认和修复，同时对网站系统进行安全加固。3.5.3恢复阶段现场记录表恢复处理记录表时间2017年X月XX日服务单位名称XX服务单位联系人联系方式响应服务人员联系方式恢复处理原因文件对比、漏洞扫描、