海净单位
信息安全事件应急处理报告
叉叉叉公司
2024年6月6日
目 录
信息安全事件应急处理报告
应急处理单位 | 海净单位 | ||
委托单位 | 叉叉应急大队 | ||
服务类别 | 委托应急处理 | ||
受理日期 | 2024年5月28日 | 处理日期 | 2024年5月29日 |
服务成员 | 张三,李四,王七 | 监督人 | 赵二 |
处理结论: 通过本次应急处理服务,解决了DVWA存在的上传漏洞,修补后,经测试有效。 建议委托单位针对报告中提出的建议,增强安全控制措施,切实提高信息安全水平,降低相关风险。 |
叉叉叉公司
2024年 6月 1 日
批准人:赵二
应急处理服务人员:张三,李四,王七
审核人:任杨
1.1 应急处理服务背景
海净单位与叉叉叉公司签订应急服务合同。叉叉叉公司根据合同协议中规定的范围和工作内容为海净单位提供应急服务。2024年5月27日DVWA服务器发现存在漏洞,直接威胁网站的正常运营与使用,海净单位立即拨通叉叉叉公司的应急服务热线,请求应急处理服务。我方应急处理服务人员,对相关信息进行登记记录,并按作业指导书要求启动相关过程。
1.2 应急处理服务目的
尽快确认和修复漏洞,恢复信息系统的正常运行,使信息系统所遭受的破坏最小化,并在应急处理后提供准确有效的法律证据、分析统计报告和有价值的建议,在应急处理服务工作结束后对系统管理进行完善。
1.3 应急处理服务范围
序号 | 资产编号 | 名称 | 型号/操作系统 | 位置 |
1 | SDFDA-SE-1 | 数据库服务器(主) | IBM/AIX4.2 | 地下机房 |
2 | SDFDA-SE-2 | 数据库服务器(备) | IBM/AIX4.2 | 地下机房 |
1.4 应急处理服务依据
1.4.1 应急处理服务委托协议
《海净单位应急处理服务委托书》
1.4.2 基础标准与法律文件
《中华人民共和国突发事件应对法》
《网络与信息安全应急处理服务资质评估方法》(YD/T 1799-2008)
《信息技术 安全技术 信息安全事件管理指南》(GB/Z 20985-2007)
《信息安全技术 信息安全事件分类指南》(GB/Z 20986-2007)
1.4.3 参考文件
《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007)
《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239-2008)
《信息技术服务 运行维护 第一部分 通用要求》(GB/T28827.1-2012)
《信息技术服务 运行维护 第二部分 交付规范》(GB/T28827.1-2012)
《信息技术服务 运行维护第三部分 应急响应规范》(GB/T28827.1-2012)
叉叉叉单位应急处理服务过程主要包括六个阶段:准备阶段、检测阶段、抑制阶段、根除阶段、恢复阶段、总结阶段。
应急处理服务流程如图所示。
3.1 准备阶段
3.1.1 准备阶段工作流程
3.1.2 准备阶段处理过程
我公司与海净单位进行信息安全事件应急处理详情进行沟通,分别对客户应急服务所包含的具体需求和客户实际信息系统环境进行了详细了解,在达成一致的基础上签订了应急处理服务合同;随后我公司立即成立针对该项目的应急处理小组,立刻着手服务方案编写和工具准备工作,同时协助客户对应急范围内的信息系统进行评估和备份快照。
3.1.3 准备阶段现场处理记录表
工具准备清单 | |||
时间 | 2024年6月1日 | 服务单位名称 | 叉叉叉公司 |
服务单位联系人 | 张三 | 联系方式 | 1058802367 |
响应服务人员 | 李四 | 联系方式 | 1057900323 |
工具使用原因目的描述 | 辅助快速准确发现问题,解决问题。 | ||
应急工具准备清单: 绿盟远程安全评估系统 北京安信通数据库扫描系统 Nessus漏洞扫描 Wireshark抓包工具 WVS企业版WEB应用安全测试工具 | |||
批准人 (签字): | 任杨 |
3.2 检测阶段
3.2.1检测阶段工作流程
3.2.2 检测阶段处理过程
当我们的技术支持热线客服接到用户的紧急响应服务电话请求后,他们首先通过电话了解基本情况,并检查我们公司是否有相关的安全事件应急预案。发现我们缺乏这方面的预案后,我们立即派遣应急处理小组携带所需工具和技术规范,按照服务协议的规定,在1小时内准备完毕并抵达现场。 一旦到达客户现场,项目组负责人立即与客户方负责人进行方案沟通。在客户负责人书面授权后,根据客户实际情况,我们建议对网站进行切换和数据备份,然后开始检测处理。检测内容包括:
1)与事件相关的沟通和应急准备。
2)与方案相关的沟通和应急授权。
3)网站切换和快照备份。
4)发现和验证漏洞。
5)确定漏洞产生原因,并与客户沟通抑制措施。
6)准备备份文件数据,以备随时回退。
在完成上述检测后,项目组确定了漏洞的根源并确认了成功解决该问题。
3.2.3 检测阶段现场处理记录表
检测结果记录 | ||||
时间 | 2024年5月29日 | 服务单位名称 | 叉叉叉服务大队 | |
服务单位联系人 | 张三 | 联系方式 | 1058802367 | |
响应服务人员 | 李四 | 联系方式 | 1058832367 | |
检测原因或检测目的描述 | 确认漏洞存在并评估安全事件等级 | |||
检测过程及结果记录:
tomcat路径:/data/tomcat6_8081/
(3)确定上传点,上传木马获取系统权限: | ||||
安全事件等级确定: 该事故发生后将导致网站服务器被非法接管,使其公共服务受到严重损坏,系统受到严重损失,数据被非法窃取;该网站系统中断或非法篡改,可能影响到国家安全,扰乱社会秩序,对经济建设、公众利益有一定的负面影响。 该事故安全事件等级为:Ⅱ级。 | ||||
检测阶段确认(签字) | 任杨 |
3.3 抑制阶段
3.3.1 抑制阶段工作流程
3.3.2 抑制阶段处理过程
通过检查阶段的详细调查,我们判断是文件上传不合理,上传未做过滤产生的漏洞。在与客户沟通后,客户接受我们的方案并授权我们对该系统进行抑制处理。
(1)针对敏感文件设置读取严格的读取和下载权限,禁止访问用户可以读取和下载。
(2)暂时关闭相关功能或服务,以避免进一步的损害。
(3)抑制措施验证并准备备份数据随时回退。
3.3.3 抑制阶段现场处理记录表
抑制处理记录表 | ||||
时间 | 2024年6月1日 | 服务单位名称 | 叉叉叉应急处理大队 | |
服务单位联系人 | 张三 | 联系方式 | 1058802367 | |
响应服务人员 | 李四 | 联系方式 | 1058832367 | |
抑制处理原因 | 针对主要文件信息泄露和非法上传漏洞进行抑制 | |||
抑制处理目的 | 给予最快速的漏洞基本解决方案,初步抵御攻击 | |||
抑制处理方案: (1)针对敏感文件设置读取严格的读取和下载权限,禁止访问用户可以读取和下载。 (2)暂时关闭相关功能或服务,以避免进一步的损害。 (3)抑制措施验证并准备备份数据随时回退。 | ||||
抑制方案产生的风险及应对措施: 关闭非法上传点模块后,可能对日常管理,合法上传存在一定的影响。 应对措施: 当需要上传时,采取使用介质本地服务器拷贝上传方式。 | ||||
抑制方案确认(签字):任杨 | 抑制效果:抑制成功 |
3.4 根除阶段
3.4.1 根除阶段工作流程
3.4.2 根除阶段处理过程
抑制阶段可以解决外网用户对网站系统的威胁,但是还没有从根本上解决网站漏洞问题。在与客户沟通后,我们进行了如下操作:
1)与客户沟通抑制措施达到的安全防护效果并协商厂商沟通事宜。
2)联系厂商,与厂商说明目前网站存在的非法下载、读取和上传的漏洞,建议采用添加文件校验和文件权限模块,实现漏洞修补。
3)检查客户服务器的权限设置,确保非root用户正在正确地运行网站。可以使用命令如"ls -l"来查看文件和目录的权限设置。
4)对厂商反馈修复结果进行验证并准备必要的回退措施。
5)定期监控网站系统的安全性,包括漏洞扫描、日志分析等操作,以确保网站系统的持续安全运行。
3.4.3 根除阶段现场处理记录表
根除处理记录表 | ||||
时间 | 2024年6月3日 | 服务单位名称 | 叉叉叉应急处理大队 | |
服务单位联系人 | 张三 | 联系方式 | 1058802367 | |
响应服务人员 | 李四 | 联系方式 | 1058832367 | |
根除处理原因 | 后台页面代码修复,上传限制使用后台白名单 | |||
根除处理方案: 通过之前的抑制处理方案,已经实现非法下载、读取和上传漏洞风险的基本控制,但没有彻底根除漏洞根源。所以,可以通过以下方法彻底根除该问题。 1)与客户沟通抑制措施达到的安全防护效果并协商厂商沟通事宜。 2)联系厂商,与厂商说明目前网站存在的非法下载、读取和上传的漏洞,建议采用添加文件校验和文件权限模块,实现漏洞修补。 3)检查客户服务器的权限设置,确保非root用户正在正确地运行网站。可以使用命令如"ls -l"来查看文件和目录的权限设置。 4)对厂商反馈修复结果进行验证并准备必要的回退措施。 5)定期监控网站系统的安全性,包括漏洞扫描、日志分析等操作,以确保网站系统的持续安全运行。 | ||||
根除方案产生的风险: 代码漏洞修补和服务器权限优化后,经验证测试对网站系统无影响,进一步增加了网站的安全性。 | ||||
根除方案确认(签字):任杨 | 根除效果:根除成功 |
3.5 恢复阶段
3.5.1 恢复阶段工作流程
3.5.2 恢复阶段处理过程
通过之前的抑制及根除处理,已经基本解决了网站存在的高危漏洞,在网站重新上线前,应急人员重新对网站进行全面的漏洞扫描,并对发现的可疑漏洞进行确认和修复,同时对网站系统进行安全加固。
3.5.3 恢复阶段现场记录表
恢复处理记录表 | ||||
时间 | 2024年6月4日 | 服务单位名称 | 叉叉叉应急处理大队 | |
服务单位联系人 | 张三 | 联系方式 | 1058802367 | |
响应服务人员 | 李四 | 联系方式 | 1058832367 | |
恢复处理原因 | 文件上传对比、漏洞扫描、安全加固 | |||
恢复处理方案: 通过之前的抑制及根除处理,已经基本解决了DVWA的上传漏洞,但为了全面的检查网站完整性和安全性,在服务器进行重新恢复上线前主要执行以下操作:
| ||||
恢复方案确认(签字):任杨 | 恢复效果:恢复成功 |
3.6 总结阶段
3.6.1 总结阶段工作流程
3.6.2 总结阶段现场记录表
应急响应总结阶段报告 呈报部门:叉叉叉应急处理大队 报告时间: 2024 年6月6日 报告人: 任杨 报告人部门:应急大队 | |
事件的类型 | 服务器存在高危漏洞 |
检测阶段 | |
检测时间 | 2024年 5 月29 日 |
检测动作 | 漏洞扫描和手工验证 |
检测结果 | 存在高危漏洞并威胁整体服务器系统安全。 |
抑制阶段 | |
抑制时间 | 2024年 6月 1 日 |
抑制动作 | (1)针对敏感文件设置读取严格的读取和下载权限,禁止访问用户可以读取和下载。(2)暂时关闭相关功能或服务,以避免进一步的损害。 |
抑制结果 | 给予最快速的漏洞基本解决方案,初步抵御攻击 |
根除阶段 | |
根除时间 | 2024年 6 月 3 日 |
根除动作 | 漏洞反馈厂商,并配合厂商进行漏洞修补。 |
根除结果 | 漏洞修补成功并重新上线正常运营。 |
事件评估 | |
事件影响范围 | 叉叉叉单位相关行业 |
事件损失评估 | 该网站系统中断或非法篡改,可能影响到国家安全,扰乱社会秩序,对经济建设、公众利益有一定的负面影响。 |
处理方法评估 | 处理方法得当及时 |
处理流程评估 | 流程符合标准操作 |
事件根源分析及教训 | |
原因分析 | 网站代码存在漏洞,多处访问、下载未授权,上传未限制。 |
经验教训 | 应用系统上线前进行安全检测,培养开发人员安全意识。 |
总结阶段确认(签字):任杨 |
我公司应急响应小组到达现场后,快速分析问题、定位原因、处理问题,及时有效的保障了“DVWA服务器”的安全稳定运行,使海净单位避免了经济损失和不良影响。
通过本次信息安全事件应急处理,建议海净单位提高人员安全意识,加强信息安全管理,规范针对信息系统的各项操作,在系统发生变更前做好测试和备份工作,防止类似事件发生。同时应为该类事件建立专项应急处理预案,便于以后的应急处理,并定期对海净单位信息系统进行风险评估。