某企业中心网络安全保障应急演练报告

某企业网络安全保障应急演练报告2016年8月目录TOC\o"1-5"\h\z\o"CurrentDocument"目的 3\o"CurrentDocument"演练准备情况 3\o"CurrentDocument"演练事件 3\o"CurrentDocument"演练人员安排 3\o"CurrentDocument"演练流程 4\o"CurrentDocument"演练计划 5\o"CurrentDocument"演练环境 5\o"CurrentDocument"演练内容与过程记录 5网络入侵攻击应急演练 6演练目的 6\o"CurrentDocument"演练方法 6\o"CurrentDocument"安全事件的发现 6\o"CurrentDocument"攻击源的定位 6\o"CurrentDocument"安全防护措施 7\o"CurrentDocument"安全检查措施 7恶意代码应急演练 7演练目的 7\o"CurrentDocument"演练方法 7\o"CurrentDocument"安全事件的发现 8\o"CurrentDocument"攻击源的定位 8\o"CurrentDocument"安全防护措施 8\o"CurrentDocument"根除措施 9拒绝服务攻击应急演练 9演练目的 9\o"CurrentDocument"演练方法 9\o"CurrentDocument"安全事件的发现 9\o"CurrentDocument"攻击源的定位 10\o"CurrentDocument"安全防护措施 10\o"CurrentDocument"根除措施 10\o"CurrentDocument"演练总结报告 111目的应对信息系统突发的安全风险，及时响应并处理安全事件，确保系统的正常运行。加强对突发安全事件的紧急处理能力，根据信息系统可能面临的主要风险和系统特点，特制定此方案并进行应急演练，检验信息系统应急处理流程及突发安全事件的处理能力。2演练准备情况2.1演练事件信息系统面临的主要风险是：拒绝服务、网络入侵、恶意代码、。此次演练将针对这三类事件。拒绝服务：是利用信息系统缺陷、或通过暴力攻击的手段，以大量消耗信息系统的CPU、内存、磁盘空间或网络带宽等资源，从而影响信息系统正常运行为目的的信息安全事件。网络入侵：利用信息系统漏洞或者缺陷，通过网络攻击可访问的信息系统，从而渗透进入网络的信息安全事件。恶意代码：利用信息系统缺陷，通过网络自动复制并传播的有害程序。演练人员安排网络安全小组网络部：职责：负责安全事件接口和协调处理。监控小组（人员）监控人员：职责：负责系统安全监控。维护小组（人员）维护人员：职责：负责现场操作设备以及事件处理。技术支持单位天融信公司:联系方式:职责：负责攻击事件的发起；并协助事件的处理。演练流程

演练计划时间内容参与人员8月25日上午确定演练计划天融信中国电信电子渠道中国电信集成公司8月25日下午网络入侵演练天融信中国电信电子渠道中国电信集成公司8月26日上午恶意代码演练、拒绝服务攻击演练天融信中国电信电子渠道中国电信集成公司7750SR-12*10GEChannel750SR-210G单模网络光纤演练环境7750SR-12*10GEChannel750SR-210G单模网络光纤To_163To_DCNForti3'40B-1PSIDP3670T-1SW9306-1恭省接口FWDCNForti3140B-2IDP3(570T-2A10-1SW312-1SW906-1FWForti3140B-2312-2A10-2业务层接口&省接口底层接口服务器二期数据库服务器CMS后台服务器电商建站营销平台用户相关消息中心比价系统&合作类短信中心年0To_163To_DCNForti3'40B-1PSIDP3670T-1SW9306-1恭省接口FWDCNForti3140B-2IDP3(570T-2A10-1SW312-1SW906-1FWForti3140B-2312-2A10-2业务层接口&省接口底层接口服务器二期数据库服务器CMS后台服务器电商建站营销平台用户相关消息中心比价系统&合作类短信中心年0元购©©©攻击方：.网络环境：拥有互联网IP的相关设备。.攻击主机：操作系统为windows3演练内容与过程记录1G单模网络光纤千兆以太网双绞线网络入侵攻击应急演练演练目的模拟来自于互联网的入侵攻击事件，当攻击者发现存在对外的业务服务时，会尝试获取信息系统权限，首先会尝试进行漏洞扫描。目的：该事件演练目的主要是对来自于互联网针对某业务服务器的攻击行为，针对网络入侵攻击的发现和处理。演练方法1、通过天融信入侵防御系统的拦截情况，识别被攻击服务器。2、在天融信入侵防御设备获取攻击者的IP，并通过ADS或者防火墙进行拦截。3、检查被攻击的服务器，是否被入侵成功。安全事件的发现现象：系统监控人员在监控过程中，发现天融信入侵防御系统报告了入侵事件。监控人员向安全人员发起应急处理流程。明日眄明日眄Sft^助心诚箪地址箪情口目的即tJ30L&-®^3]&：«■：»JJ.L1ELL尔隹町.盘.利：收址口ntSM-37Z.1EILC.Lc&：K'JmL5^E--E&落L』-&LLt<p«&].2t.73:60^H出It]TL3tLD.LJt：®JZ0LJ-WS5W:B:斜1高 Licp1ZM.2I.7il:W：Wns强ITZinaU.U3：3015:找:•塔'中L制5L】①« 25.7；l:M2H淮与]72.]fl.LD.LS:Ki]5：ce-：sJ EWL:54ZM.2；.7r：WZB.SHIM-]7Z1EILE.L23：30"30LS-WZ3]5：Q&：-1SJ中 L制5L1T2.JU.LD.ggJEOL&-fl&~E&落maLt(p12白.22.Tt两弟372.JGaP.LEt：90日的接口热作■■也用日厮却不，一一5c■二.：!LTL-Ltts-y-,™琏4拒骷ptKf,Liteir网'/二:«Li::tlx:/4Hlcral£t:LLc:14trlv&f'：.EL1：.L«&ft:-UI. .^Lk.Ka-apL4七.・1<£「•白脚rr翱tfW一—位或却FEnrag：!LTCrHijMK]!.gcu'.a8?柜的川立立工工也出％*以乳*="<!'-"xck.^Lt；!a'LFEK«iKfc.£lt.>cE3ptirt:SJt:JattLkxL.xlL. 3■:.上】：；F/tBTEUcLllL.nui1Pt如±.£1=1"国叫电卸就--典注入攻击toFD-炳，.-»■•1标6七七瓶；3任叼tsEundALQNjnNLjTrHi-SML式3MTj-kFs注入期导充守号n；由-Fif=fei0；।1种：一加工曲声曲・听；口七择lie-jLic-iu-2-tE'a-2C'laOSlCliaj51=47 "跖书一百廓国^揣3七一一%L：主人两击|：汨081,im=ht：p：..-r-f.IW.h；3±M/性任明it?U17^Br-E3MJ3MLc-i-lfcL|-ML5a3LtIE]一:「TftL：主入■莫胃号/击"，工『".％"H用oMxijHH由V号・.飞口44="X：jpjupzu-j-mr-acaa^a竦l=*i-lsa■由国加时第号一一知全又沌击灰1血="3•"J」即b'bF在£，攻击源的定位依据日志，确认4为攻击源。被攻击的目标为依据日志，25安全防护措施在ADS上增加黑名单，过滤来自42.81.22.*的网络流量。天融信TOPADS|F 干 r—飞IPIP图42LBL22J.-4ZJL222M安全检查措施由安全人员与运维人员被攻击的服务器25进行了检测，通过进程、线程、账户、服务等检查未发现异常服务与账户。通过对系统日志的检查，发现25服务器存在日志正常，上传文件、修改账户的情况。恶意代码应急演练演练目的随这新漏洞的不断发现和公布，病毒传播和利用的多样性也不断发生变化，主机系统感染病毒的可能性也越来越大。目的：模拟蠕虫攻击，目的主要是通过发现处理病毒等恶意程序熟悉对恶意代码类攻击处理的流程。演练方法1、通过天融信入侵防御系统的病毒拦截情况，识别攻击源。2、对确定的服务器进行断网，并执行病毒查杀。3、人工检查攻击源的服务器，是否清除了所有的恶意代码。

安全事件的发现现象：系统监控人员在监控过程中，发现天融信入侵防御系统报告了病毒事件。监控人员向安全人员发起应急处理流程。由运维人员进行病毒查杀。安全人员与技术支持单位的安全专家提供检查方法，运维人员进行检查。时间不件母次过由被理接口目的地址目的接口讨昨腼信息“65海一洸10:11:55,2DDDDDLtcpL7Z速ID.qfikgO-tide-230.]fl.137.7^:38224""kkhc-iou2.url-aity.ip]53.20000DLtcpLTZ.36.ID.<9B：3C!eth36210.14.1ST.79:331^-Milk-ious.url-citr.ip]38.ue，-2DLEr-0^2610:1L:34-ZDDDDDLtcFLTZ.]G.ID.4E:EDaih2E230.]>9.137.T&zlEOM'kllJ3-X3QUX.ucL-city.EDX，如5代一洸Ikll的2DDDDDLtcpL7Z倔10.鹤：00fithae230. 131.7^:34050uifl-city-ip]33.coxOB：50:53"2DDDDDLtcpLTZ.36.ID.46:80)eth3B210.14.137.将H46&3'Idilk-ious.url-city.ip]38.ue09:56:53,LtcpL72.]S.ID.2]0.]J.i37.7S:34&MutrLncity. c口nb20l5-08-2o00:50:11"2DDDDDLtcpL72.36.ID.«：S4)Eth^e210.11137.79>：34516"kklsoiaus.iirltitr- tux"2DLEr-03-26D9:5D:3.L-2DDDDDLtcFLT2.36.ID.4E:BD330.]4.137.79：3JS15.Idlj3C3SUX.UFL-CLtT.3p]jS.EDIos：50：or2DDDDD1tcpL72It.ID.-tide-l»:34419"IdkLoinum.url-city-ip]'33.uoi2仇5HS-26闻报捐*2DDDDDLtcpLT2.36.ID.19B：3Oeth362W.H.137.7V：3dl311-Milk-ious.url^itj-.ip]33,ue"2DLS-0年26DS：JL：4L*2DDDDDLtcFLTS.36.ID.4E:BD&：55fi7B.idiJaciauz.urL-city.glM.edx“仇5海一洸的：QL:2r200000LtcpL72Ifi.ID.q肌加-tide-l»:5^S""kkljc-iou2.url-aity.M兑.攻击源的定位从日志看，蠕虫的ip为。安全防护措施.确定问题主机的ip、物理位置。.必要情况下，断网隔离。.通过防病毒软件进行病毒检查与查杀。.在问题主机上，确定恶意代码特征：进程、端口等，通常以netstat-naple查看进程和端口的绑定情况，分析出异常的端口或者进程.Ps-ef会列出系统正在运行的所有进程.Netstat-an列出所有打开的端口及连接状态.Lsof-i只显示网络套接字的进程.Arp-a列出当前系统arp表，重点检查网关MAC地址.使用top命令查看cpu、内存利用率高的进程；.查看/etc/rc2.drc3.d旌5"等目录，ls-l查看有无新增或者最近修改的系统服务。

根除措施.清除恶意代码，一般先停止恶意进程，同时将其相关文件删除。Kill恶意进程pid号rm-rf恶意程序.安装补丁或通过安全配置，修复漏洞。拒绝服务攻击应急演练演练目的模拟来自于骨干网的拒绝服务攻击事件，当攻击者在获取信息系统权限未遂时，可能会发起以消耗资源为目的拒绝服务攻击，从而使信息服务响应速度慢甚至不响应。目的：该事件演练目的主要是对来自于互联网针对某业务服务器的大量非法连接，synflood攻击的发现和处理。演练方法1、通过系统监控人员，识别被攻击服务器。2、在天融信抗拒绝服务攻击设备上根据攻击类型做出相应的防护规则。3、用访问客户机访问被攻击服务器上的网站，检验下防护效果；同时访问下未被攻击的服务器，检验防护攻击流量时对主网络是否有影响；在被攻击服务器通过任务管理器的网络信息检验的防护效果。安全事件的发现现象：运行维护人员发现，服务器进行连接时，出现连接不上或者连接速度非常慢的情况。同时系统监控人员在监控过程中，也发现了大量半连接。

攻击源的定位系统状态不正常，发现有许多外网异常端口TCP连接；在业务服务器上netstat-na发现大量syn半连接，同时检查服务器的cpu、内存的利用率。通过网络分析大量连接的源地址，部分来源为假地址，部分为真地址。使用sniffer等网络流量监控软件，分析数据包的特征，主要涉及攻击的源讦，目的讦及端口。安全防护措施安全小组人员依据发现的情况，通过网络包的分析，调整了天融信抗拒绝服务设备ADS的安全策略。4缸□内*10。阳厅]iB^aJEtr14：/]□]4,4Exhja行HEJg^ppi-将发现攻击的ip地址添加到黑名单中进行过滤。甯差事陶目MuiE1工亡名单□ 将发现攻击的ip地址添加到