目 录
信息安全事件应急处理报告
| 应急处理单位 | 安信公司有限公司 | ||
| 委托单位 | 神游单位 | ||
| 服务类别 | 委托应急处理 | ||
| 受理日期 | 2025年5月20日 | 处理日期 | 2025年5月25日 |
| 服务成员 | 许阳,思雨,小航,小昊 | 监督人 | 梦许 |
| 处理结论: 通过本次应急处理服务,解决了神游单位存在的网站漏洞,修补后,经测试有效。 建议委托单位针对报告中提出的建议,增强安全控制措施,切实提高信息安全水平,降低相关风险。 |
安信公司
2024年 5月 20 日
批准人:梦许
应急处理服务人员:思雨
审核人:梦许
1.1 应急处理服务背景
神游单位与安信公司签订应急服务合同。安信公司根据合同协议中规定的范围和工作内容为神游单位提供应急服务。2024年5月20日神游单位网站服务器发现存在恶意文件,直接威胁网站的正常运营与使用,神游单位立即拨通安信公司的应急服务热线,请求应急处理服务。我方应急处理服务人员,对相关信息进行登记记录,并按作业指导书要求启动相关过程。
1.2 应急处理服务目的
尽快确认和修复漏洞,恢复信息系统的正常运行,使信息系统所遭受的破坏最小化,并在应急处理后提供准确有效的法律证据、分析统计报告和有价值的建议,在应急处理服务工作结束后对系统管理进行完善。
1.3 应急处理服务范围
| 序号 | 资产编号 | 名称 | 型号/操作系统 | 位置 | |
| 1 | FW-001 | 防火墙 |
| 数据中心 | |
| 2 | IDS-002 | 入侵检测系统 | Snort | 数据中心 | |
| 3 | ROUTER-001 | 路由器 | Cisco ISR4321 | 药监机房 | |
| 4 | SDFDA-SE-012 | 数据库服务器(主) | IBM/AIX4.2 | 药监机房 |
1.4 应急处理服务依据
1.4.1 应急处理服务委托协议
《神游单位应急处理服务委托书》
1.4.2 基础标准与法律文件
《中华人民共和国突发事件应对法》
《网络与信息安全应急处理服务资质评估方法》(YD/T 1799-2008)
《信息技术 安全技术 信息安全事件管理指南》(GB/Z 20985-2007)
《信息安全技术 信息安全事件分类指南》(GB/Z 20986-2007)
1.4.3 参考文件
《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007)
《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239-2008)
《信息技术服务 运行维护 第一部分 通用要求》(GB/T28827.1-2012)
《信息技术服务 运行维护 第二部分 交付规范》(GB/T28827.1-2012)
《信息技术服务 运行维护第三部分 应急响应规范》(GB/T28827.1-2012)
神游单位应急处理服务过程主要包括六个阶段:准备阶段、检测阶段、抑制阶段、根除阶段、恢复阶段、总结阶段。
应急处理服务流程如图所示。
3.1 准备阶段
3.1.1 准备阶段工作流程
3.1.2 准备阶段处理过程
我公司与神游单位进行信息安全事件应急处理详情进行沟通,分别对客户应急服务所包含的具体需求和客户实际信息系统环境进行了详细了解,在达成一致的基础上签订了应急处理服务合同;随后我公司立即成立针对该项目的应急处理小组,立刻着手服务方案编写和工具准备工作,同时协助客户对应急范围内的信息系统进行评估和备份快照。
1)风险评估:评估和识别潜在的网络安全威胁和弱点,包括网络架构、应用程序、系统配置等方面。这有助于了解组织目前的安全状况。
2)定义安全策略和政策:制定明确的网络安全策略和政策,明确指导员工和用户在网络使用和数据处理方面的行为准则。
3)设计网络安全体系结构:根据风险评估的结果,设计适合组织需求的网络安全体系结构,包括网络边界防御、内部网络分割、访问控制等措施。
4)选择和实施安全措施:根据需求选择合适的安全措施,如防火墙、入侵检测系统(IDS)、加密技术等,并实施安装和配置。
5)建立安全的身份验证和访问控制机制:确保只有经过授权的用户能够访问敏感数据和系统资源,采取多因素身份验证等措施来增强安全性。
6)加密和数据保护:使用加密技术对重要的数据进行保护,包括传输中的数据和存储的数据,以提高数据的机密性和完整性。
7)建立监控和日志记录机制:设置安全事件和异常活动的监控系统,并确保正确地记录和分析日志信息,以便及时发现和响应安全问题。
8)员工培训和意识提升:开展网络安全培训,提高员工和用户对网络威胁和最佳安全实践的认识,促进安全意识的建立。
9)演练和测试:定期进行应急响应演练和安全演练,以验证网络安全策略和控制措施的有效性,并及时修正和改进。
10)定期审查和更新:定期审查网络安全策略和控制措施,与最新的威胁情报保持同步,并更新和改进安全措施。
3.1.3 准备阶段现场处理记录表
| 工具准备清单 | |||
| 时间 | 2024年5月20日 | 服务单位名称 | 安信公司 |
| 服务单位联系人 | 思雨 | 联系方式 | 18593654652 |
| 响应服务人员 | 小郭 | 联系方式 | 15263152545 |
| 工具使用原因目的描述 | 辅助快速准确发现问题,解决问题。 | ||
| 应急工具准备清单: 向日葵远程安全评估系统 郑州信控数据库扫描系统 入侵检测系统(IDS)和入侵防御系统(IPS):用于检测和阻止恶意网络流量和攻击。 安全信息和事件管理系统(SIEM):用于集中管理和分析来自各种安全设备的日志和事件信息。 漏洞扫描器:用于定期扫描和识别网络上存在的漏洞和弱点。 | |||
| 批准人 (签字): | 思雨 | ||
3.2 检测阶段
3.2.1检测阶段工作流程
3.2.2 检测阶段处理过程
我公司技术支持热线客服人员接到用户的应急响应服务电话请求后,通过电话了解基本情况,并检查我公司是否有该类安全事件的应急预案,发现并没有该类安全事件的应急预案;随后我公司立刻派遣应急处理小组携带应急工具、技术规范、现场记录表在服务协议规定的1小时内准备完毕到达现场。
到达客户现场后,项目组负责人立即与客户方负责人进行方案沟通,由客户负责人书面授权后,根据实际客户情况建议对网站进行切换和数据备份,随后开始进行检测处理。检测内容如下:
第一步:系统维护人员或安全技术人员在执行日常任务和检测中发现系统异常。
第二步:发现异常情况后,形成安全事件报告。
第三步:安全技术人员、系统维护人员和第三方安全事件应急服务人员查找安全事件的原因。
第四步:安全技术人员、系统维护人员和第三方安全事件应急服务人员确定安全事件的原因、性质和影响范围。
第五步:安全技术人员、系统维护人员和第三方安全事件应急服务人员确定安全事件的应急处理方案。
经过以上检测,项目组确定漏洞根源并确认成功。
3.2.3 检测阶段现场处理记录表
| 检测结果记录 | ||||
| 时间 | 2024年5月20日 | 服务单位名称 | 神游 | |
| 服务单位联系人 | 魏兴 | 联系方式 | 19236852135 | |
| 响应服务人员 | 田浩 | 联系方式 | 12645365453 | |
| 检测原因或检测目的描述 | 确认漏洞存在并评估安全事件等级 | |||
| 检测过程及结果记录: (1)首先发现任意下载漏洞,可以下载敏感信息文件: tomcat路径:/data/tomcat6_8081/  (2) 然后根据敏感文件信息,并通过任意读取漏洞获取到关键信息:网站结构、网站数据库账户密码等:    (3)确定上传点,上传木马获取系统权限:   
| ||||
| 安全事件等级确定: 该事故发生后将导致网站服务器被非法接管,使其公共服务受到严重损坏,系统受到严重损失,数据被非法窃取;该网站系统中断或非法篡改,可能影响到国家安全,扰乱社会秩序,对经济建设、公众利益有一定的负面影响。 该事故安全事件等级为:Ⅱ级。 | ||||
| 检测阶段确认(签字) | 小航 | |||
3.3 抑制阶段
3.3.1 抑制阶段工作流程
3.3.2 抑制阶段处理过程
通过检查阶段的详细调查,我们判断是文件下载访问权限不合理,上传未做过滤产生的漏洞。在与客户沟通后,客户接受我们的方案并授权我们对该系统进行抑制处理。
(1)针对敏感文件设置读取严格的读取和下载权限,禁止访问用户可以读取和下载。
(2)暂时关闭非法上传点模块。
(3)抑制措施验证并准备备份数据随时回退。
步骤如下:
1)实时监控和检测:设置网络监控系统,实时监测网络流量、日志和事件,以便及时检测并应对潜在的安全威胁。
2)威胁情报收集和分析:收集来自内部和外部的威胁情报,分析和评估威胁的性质、来源和影响,以便采取相应的对策。
3)事件响应和处置:根据预先建立的应急响应计划,快速响应并处理安全事件。包括隔离受感染的系统、封锁攻击源、修复漏洞等措施。
4)恢复与恢复:恢复被攻击或受损的系统和数据,确保业务正常运行,并采取必要的纠正措施,以避免类似事件再次发生。
5)资产管理和更新:定期审查和更新网络资产清单,包括硬件设备、软件应用程序、访问权限等,以确保安全配置和及时补丁更新。
6)强化安全措施:根据安全事件和威胁情报的分析结果,调整和加强现有的安全措施,如加密技术、访问控制、漏洞修复等。
7)信息共享和合作:与其他组织、安全社区和行业合作,分享和交流关于网络安全的信息、经验和最佳实践。
8)审计和评估:定期进行网络安全审计和风险评估,评估现有的安全控制措施的有效性,发现潜在的缺陷和改进机会。
9)员工培训和意识提升:持续进行网络安全培训,提高员工和用户对安全威胁和最佳实践的认识,加强安全意识和反应能力。
10)不断优化和改进:根据经验教训和反馈,不断改进网络安全策略、控制措施和应急响应计划,以适应不断变化的威胁环境。
3.3.3 抑制阶段现场处理记录表
| 抑制处理记录表 | ||||
| 时间 | 2024年5月20日 | 服务单位名称 | 神游 | |
| 服务单位联系人 | 魏兴 | 联系方式 | 19236852135 | |
| 响应服务人员 | 田浩 | 联系方式 | 12645365453 | |
| 抑制处理原因 | 针对主要文件信息泄露和非法上传漏洞进行抑制 | |||
| 抑制处理目的 | 给予最快速的漏洞基本解决方案,初步抵御攻击 | |||
| 抑制处理方案: (1)针对敏感文件设置读取严格的读取和下载权限,禁止访问用户可以读取和下载。 (2)暂时关闭非法上传点模块。 (3)抑制措施验证并准备备份数据随时回退。 | ||||
| 抑制方案产生的风险及应对措施: 关闭非法上传点模块后,可能对日常管理,合法上传存在一定的影响。 应对措施: 当需要上传时,采取使用介质本地服务器拷贝上传方式。 | ||||
| 抑制方案确认(签字):小昊 | 抑制效果:抑制成功 | |||
3.4 根除阶段
3.4.1 根除阶段工作流程
3.4.2 根除阶段处理过程
抑制阶段可以解决外网用户对网站系统的威胁,但是还没有从根本上解决网站漏洞问题。在与客户沟通后,我们进行了如下操作:
- 与客户沟通抑制措施达到的安全防护效果并协商厂商通事宜。
- 联系厂商,与厂商说明目前网站存在的非法下载、读取和上传的漏洞,建议采用添加文件校验和文件权限模块,实现漏洞修补。
- 建议客户对服务器权限进行合理优化,使用非root用户运行网站。
- 对厂商反馈修复结果进行验证并准备必要的回退措施。
步骤如下:
1)漏洞扫描和评估:使用漏洞扫描工具对网络进行全面的扫描,识别和评估系统和应用程序中存在的漏洞和弱点。
2)漏洞修复和补丁更新:根据漏洞评估结果,及时修复系统和应用程序中的漏洞,并确保所有补丁都得到及时更新和部署。
3)强化访问控制:加强网络访问控制措施,包括实施强密码策略、限制权限和访问范围、应用双因素认证等,以减少潜在的未经授权访问风险。
4)安全配置管理:审查和优化系统和网络设备的安全配置,确保采用最佳的安全设置和标准配置模板。
5)恶意软件清除:使用反恶意软件工具和技术对系统进行全面的扫描和清除恶意软件,包括病毒、木马、间谍软件等。
6)安全审计和合规性检查:定期进行安全审计和合规性检查,确保符合相关法规和规范,并发现并纠正潜在的安全问题。
7)数据备份和恢复:建立有效的数据备份和恢复机制,确保重要数据的完整性和可用性,以应对数据损坏、丢失或勒索软件攻击等情况。
8)安全意识培训:持续进行员工和用户的网络安全培训,提高他们对网络威胁和最佳安全实践的认识,促进安全意识的建立和巩固。
9)安全风险评估和改进:定期进行安全风险评估,评估网络安全控制措施的有效性,发现潜在的安全缺陷和改进机会,并采取相应的改进措施。
10)持续监控和改进:建立持续的网络监控和事件响应机制,及时发现和应对新的威胁,并不断改进网络安全策略和控制措施。
3.4.3 根除阶段现场处理记录表
| 根除处理记录表 | ||||
| 时间 | 2024年5月20日 | 服务单位名称 | 神游 | |
| 服务单位联系人 | 魏兴 | 联系方式 | 19236852135 | |
| 响应服务人员 | 田浩 | 联系方式 | 12645365453 | |
| 根除处理原因 | 后台页面代码修复,上传限制使用后台白名单 | |||
| 根除处理方案: 通过之前的抑制处理方案,已经实现非法下载、读取和上传漏洞风险的基本控制,但没有彻底根除漏洞根源。所以,可以通过以下方法彻底根除该问题。
| ||||
| 根除方案产生的风险: 代码漏洞修补和服务器权限优化后,经验证测试对网站系统无影响,进一步增加了网站的安全性。 | ||||
| 根除方案确认(签字):小昊 | 根除效果:根除 | |||
3.5 恢复阶段
3.5.1 恢复阶段工作流程
3.5.2 恢复阶段处理过程
通过之前的抑制及根除处理,已经基本解决了网站存在的高危漏洞,在网站重新上线前,应急人员重新对网站进行全面的漏洞扫描,并对发现的可疑漏洞进行确认和修复,同时对网站系统进行安全加固。
3.5.3 恢复阶段现场记录表
| 恢复处理记录表 | ||||
| 时间 | 2024年5月20日 | 服务单位名称 | 神游 | |
| 服务单位联系人 | 萨芬 | 联系方式 | 135465264232 | |
| 响应服务人员 | 兴万 | 联系方式 | 183542463356 | |
| 恢复处理原因 | 文件对比、漏洞扫描、安全加固 | |||
| 恢复处理方案: 通过之前的抑制及根除处理,已经基本解决了非法下载、读取和上传漏洞,但为了全面的检查网站完整性和安全性,在网站进行重新恢复上线前主要执行以下操作:
| ||||
| 恢复方案确认(签字):小昊 | 恢复效果:恢复成功 | |||
3.6 总结阶段
3.6.1 总结阶段工作流程
3.6.2 总结阶段现场记录表
| 应急响应总结阶段报告 呈报部门:神游单位 报告时间: 2024年5月20日 报告人: 格兰德 报告人部门:网络安全 | |
| 事件的类型 | 网站存在高危漏洞 |
| 检测阶段 | |
| 检测时间 | 2024年 5 月 20 日 |
| 检测动作 | 漏洞扫描和手工验证 |
| 检测结果 | 存在高危漏洞并威胁整体网站系统安全。 |
| 抑制阶段 | |
| 抑制时间 | 2024年 5 月 20 日 |
| 抑制动作 | (1)针对敏感文件设置读取严格的读取和下载权限,禁止访问用户可以读取和下载。(2)暂时关闭非法上传点模块。 |
| 抑制结果 | 给予最快速的漏洞基本解决方案,初步抵御攻击 |
| 根除阶段 | |
| 根除时间 | 2024年 5 月 20 日 |
| 根除动作 | 漏洞反馈厂商,并配合厂商进行漏洞修补。 |
| 根除结果 | 漏洞修补成功并重新上线正常运营。 |
| 事件评估 | |
| 事件影响范围 | 神游单位相关行业 |
| 事件损失评估 | 该网站系统中断或非法篡改,可能影响到国家安全,扰乱社会秩序,对经济建设、公众利益有一定的负面影响。 |
| 处理方法评估 | 处理方法得当及时 |
| 处理流程评估 | 流程符合标准操作 |
| 事件根源分析及教训 | |
| 原因分析 | 网站代码存在漏洞,多处访问、下载未授权,上传未限制。 |
| 经验教训 | 应用系统上线前进行安全检测,培养开发人员安全意识。 |
| 总结阶段确认(签字):小武 | |
- 结论与建议
我公司应急响应小组到达现场后,快速分析问题、定位原因、处理问题,及时有效的保障了“神游单位门户网站”的安全稳定运行,使神游单位避免了经济损失和不良影响。
通过本次信息安全事件应急处理,建议神游单位提高人员安全意识,加强信息安全管理,规范针对信息系统的各项操作,在系统发生变更前做好测试和备份工作,防止类似事件发生。同时应为该类事件建立专项应急处理预案,便于以后的应急处理,并定期对神游单位信息系统进行风险评估。
步骤如下:
1)进行全面的风险评估:了解组织的风险特点和威胁情况,以便制定有效的网络安全策略和控制措施。
2)选择合适的安全工具和技术:根据需求选择和实施适当的防火墙、入侵检测系统、漏洞扫描器等安全工具,并确保它们得到正确配置和更新。
3)建立强密钥管理和加密技术:采用加密技术来保护敏感数据和通信,并建立有效的密钥管理机制。
4)实施多层次的访问控制:强化身份验证、访问权限和网络分割,以减少未经授权访问和横向移动的风险。
5)定期进行员工培训和意识提升:提高员工和用户对网络威胁和最佳安全实践的认识,培养他们的安全意识和反应能力。
6)建立应急响应计划和流程:制定详细的应急响应计划,明确责任分工和联系人列表,并进行定期演习和测试。
7)持续监测和改进:建立网络监控系统,及时发现和应对新的威胁,并定期审查和改进安全策略和控制措施。
扫一扫
5989
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
