信息安全事件应急处理报告模板--

目 录

一、        概述. 1

1.1 应急处理服务背景... 1

1.2 应急处理服务目的... 1

1.3 应急处理服务范围... 1

1.4 应急处理服务依据... 2

1.4.1 应急处理服务委托协议... 2

1.4.2 基础标准与法律文件... 2

1.4.3 参考文件... 2

二、        应急处理服务流程. 3

三、        应急处理服务内容和方法. 5

3.1 准备阶段... 5

3.1.1 准备阶段工作流程... 5

3.1.2 准备阶段处理过程... 5

3.1.3 准备阶段现场处理记录表... 6

3.2 检测阶段... 7

3.2.1检测阶段工作流程... 7

3.2.2 检测阶段处理过程... 7

3.2.3 检测阶段现场处理记录表... 8

3.3 抑制阶段... 9

3.3.1 抑制阶段工作流程... 9

3.3.2 抑制阶段处理过程... 9

3.3.3 抑制阶段现场处理记录表... 10

3.4 根除阶段... 11

3.4.1 根除阶段工作流程... 11

3.4.2 根除阶段处理过程... 11

3.5 恢复阶段... 13

3.5.1 恢复阶段工作流程... 13

 

3.5.2 恢复阶段处理过程... 13

3.5.3 恢复阶段现场记录表... 13

3.6 总结阶段... 14

3.6.1 总结阶段工作流程... 14

3.6.2 总结阶段现场记录表... 15

四、        结论与建议. 16

一.概述

1.1 应急处理服务背景

极境科技有限公司与芳华梦科技有限公司签订应急服务合同。芳华梦科技有限公司根据合同协议中规定的范围和工作内容为极境科技有限公司提供应急服务。2017年6月25日极境科技有限公司网站服务器发现存在恶意文件，直接威胁网站的正常运营与使用，极境科技有限公司立即拨通芳华梦科技有限公司的应急服务热线，请求应急处理服务。我方应急处理服务人员,对相关信息进行登记记录,并按作业指导书要求启动相关过程。

1.2 应急处理服务目的

尽快确认和修复漏洞，恢复信息系统的正常运行，使信息系统所遭受的破坏最小化，并在应急处理后提供准确有效的法律证据、分析统计报告和有价值的建议，在应急处理服务工作结束后对系统管理进行完善。

1.3 应急处理服务范围

序号	资产编号	名称	型号/操作系统	位置
1	SDFDA-SE-006	网站服务器（主）	NF5270/Centos6.4	药监机房
2	SDFDA-SE-007	网站服务器（备）	NF5270/Centos6.4	药监机房
3	SDFDA-SE-011	数据库服务器（主）	IBM/AIX4.2	药监机房
4	SDFDA-SE-012	数据库服务器（备）	IBM/AIX4.2	药监机房

1.4 应急处理服务依据

1.4.1 应急处理服务委托协议

《极境科技有限公司应急处理服务委托书》

1.4.2 基础标准与法律文件

《中华人民共和国突发事件应对法》

《网络与信息安全应急处理服务资质评估方法》（YD/T 1799-2008）

《信息技术 安全技术 信息安全事件管理指南》（GB/Z 20985-2007）

《信息安全技术 信息安全事件分类指南》（GB/Z 20986-2007）

1.4.3 参考文件

《信息安全技术 信息安全风险评估规范》（GB/T 20984-2007）

《信息安全技术 信息系统安全等级保护基本要求》（GB/T 22239-2008）

《信息技术服务 运行维护 第一部分 通用要求》（GB/T28827.1-2012）

《信息技术服务 运行维护 第二部分 交付规范》（GB/T28827.1-2012）

《信息技术服务 运行维护第三部分 应急响应规范》（GB/T28827.1-2012）

二.应急处理服务流程

极境科技有限公司应急处理服务过程主要包括六个阶段：准备阶段、检测阶段、抑制阶段、根除阶段、恢复阶段、总结阶段。

应急处理服务流程如图所示。

三.应急处理服务内容和方法

3.1 准备阶段

3.1.1 准备阶段工作流程

3.1.2 准备阶段处理过程

我公司与极境科技有限公司进行信息安全事件应急处理详情进行沟通，分别对客户应急服务所包含的具体需求和客户实际信息系统环境进行了详细了解，在达成一致的基础上签订了应急处理服务合同；随后我公司立即成立针对该项目的应急处理小组，立刻着手服务方案编写和工具准备工作，同时协助客户对应急范围内的信息系统进行评估和备份快照。

3.1.3 准备阶段现场处理记录表

3.2 检测阶段

3.2.1检测阶段工作流程

3.2.2 检测阶段处理过程

我公司技术支持热线客服人员接到用户的应急响应服务电话请求后，通过电话了解基本情况，并检查我公司是否有该类安全事件的应急预案，发现并没有该类安全事件的应急预案；随后我公司立刻派遣应急处理小组携带应急工具、技术规范、现场记录表在服务协议规定的1小时内准备完毕到达现场。

到达客户现场后，项目组负责人立即与客户方负责人进行方案沟通，由客户负责人书面授权后，根据实际客户情况建议对网站进行切换和数据备份，随后开始进行检测处理。检测内容如下：

1. 事件沟通与应急准备。
2. 方案沟通与应急授权。
3. 网站切换与快照备份。
4. 漏洞发现与验证。
5. 确定漏洞产生原因，沟通抑制措施。
6. 准备备份文件数据以备随时回退。

经过以上检测，项目组确定漏洞根源并确认成功。

3.2.3 检测阶段现场处理记录表

3.3 抑制阶段

3.3.1 抑制阶段工作流程

3.3.2 抑制阶段处理过程

通过检查阶段的详细调查，我们判断是文件下载访问权限不合理，上传未做过滤产生的漏洞。在与客户沟通后，客户接受我们的方案并授权我们对该系统进行抑制处理。

（1）针对敏感文件设置读取严格的读取和下载权限，禁止访问用户可以读取和下载。

（2）暂时关闭非法上传点模块。

（3）抑制措施验证并准备备份数据随时回退。

3.3.3 抑制阶段现场处理记录表

3.4 根除阶段

3.4.1 根除阶段工作流程

3.4.2 根除阶段处理过程

抑制阶段可以解决外网用户对网站系统的威胁，但是还没有从根本上解决网站漏洞问题。在与客户沟通后，我们进行了如下操作：

1. 与客户沟通抑制措施达到的安全防护效果并协商厂商沟通事宜。
2. 联系厂商，与厂商说明目前网站存在的非法下载、读取和上传的漏洞，建议采用添加文件校验和文件权限模块，实现漏洞修补。
3. 建议客户对服务器权限进行合理优化，使用非root用户运行网站。
4. 对厂商反馈修复结果进行验证并准备必要的回退措施。

3.4.3 根除阶段现场处理记录表

3.5 恢复阶段

3.5.1 恢复阶段工作流程

3.5.2 恢复阶段处理过程

通过之前的抑制及根除处理，已经基本解决了网站存在的高危漏洞，在网站重新上线前，应急人员重新对网站进行全面的漏洞扫描，并对发现的可疑漏洞进行确认和修复，同时对网站系统进行安全加固。

3.5.3 恢复阶段现场记录表

3.6 总结阶段

3.6.1 总结阶段工作流程

3.6.2 总结阶段现场记录表

四.结论与建议

我公司应急响应小组到达现场后，快速分析问题、定位原因、处理问题，及时有效的保障了“XX单位门户网站”的安全稳定运行，使XX单位避免了经济损失和不良影响。

通过本次信息安全事件应急处理，建议XX单位提高人员安全意识，加强信息安全管理，规范针对信息系统的各项操作，在系统发生变更前做好测试和备份工作，防止类似事件发生。同时应为该类事件建立专项应急处理预案，便于以后的应急处理，并定期对XX单位信息系统进行风险评估。