《网络安全应急演练网页篡改应对方案.docx》由会员分享,可在线阅读,更多相关《网络安全应急演练网页篡改应对方案.docx(7页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、网络安全应急演练方案1.总体目标为保障XX单位各信息系统平稳运行,加强各单位对突发事件的处置能力,验证 应急预案的可用性,特开展本次网络安全应急演练。本次演练主要针对我XXX系统 被入侵后如何快速关停和恢复,以实际提升系统日常防护和维护人员发现和处理安 全事件的能力。本次应急演练总体目标如下:1)通过开展应急演练,查找应急预案中存在的问题,进而完善应急预案,提高 应急预案的实用性和可操作性。2)检查应对网络安全事件所需应急队伍、物资、装备、技术等方面的准备情况, 发现不足及时予以调整补充,做好应急准备工作。3)增强演练组织单位、参与单位和人员等对应急预案的熟悉程序,加强配合, 提高其应急处置能
2、力。4)进一步明确相关单位和人员的职责任务,理顺工作关系,完善各关联方之间 分离、阻隔、配套应急联动机制,防范网络安全风险传导。普及应急知识,不断增 强网络安全管理的专业化程度,提高全员网络安全风险防范意识。2.演练原则1)结合实际,合理定位。紧密结合应急管理工作实际需求,明确演练目的,根 据资源条件确定演练方式和规模。2)着眼实战、讲求实效。以提高应急指挥机构的指挥协调能力和应急队伍的实 战应变能力为着眼点。重视对演练流程及演练效果的评估、考核,总结推广好的经 验,对发现的问题及时整改。3)周密部署、确保安全。围绕演练目的,精心策划演练内容,科学设计演练方 案,周密部署演练活动,制订并严格遵
3、守有关安全措施,确保演练参与人员及演练 设施安全。4)统筹规划、厉行节约。统筹规划应急演练活动,演与练有效互补,适当开展跨行业、跨地域的综合性演练,充分利用现有资源,提升应急演练效益。3 .演练基本情况3.1 演练事件网页篡改事件3.2 演练方式桌面推演3.3 演练组织领导小组:本单位网络安全应急响应工作组组成。总指挥负责演练全程的总体把控,由组织单位 参会的最高领导担任;副总指挥协助总指挥对演练实施过程进行控制;现场指挥负责演 练指令的下达。策划小组:由本单位网络安全应急响应工作组、网络安全运维单位组成,统筹演练筹备、实施、 总结等阶段各项工作;演练本单位有关部门之间的沟通协调。保障小组:由
4、网络安全运维单位负责调集和调试演练总指挥部所需各项技术设施,与各参演单位 进行技术设施对接;演练过程中现场消息的传达,维持演练现场秩序;会务相关的各项 后勤保障。评估小组:由网络安全运维单位后台应急管理专家、具有一定演练评估经验和突发事件应急处置 经验专业人员组成,负责对演练准备、组织、实施及其安全事项等进行全过程、全方位 评估,及时向演练策划和保障小组提出意见、建议。4 .网络安全应急响应小组组长:副组长:成员:5 .演练时间及地点时间安排:2023年6月6日演练地点:计算机培训室参加演练人员:6 .演练流程概述1)检测阶段:接到事故报警后在服务对象的配合下对异常的系统进行初步分析, 确认其
5、是否发生了信息安全事件,制定进一步的响应策略,并保留证据。2)抑制阶段:及时采取行动限制事件扩散和影响的范围,限制潜在的损失与破 坏,同时要确保封锁方法对涉及相关业务影响最小。3)根除阶段:对事件进行抑制之后,通过对有关事件或行为的分析结果,找出 事件根源,明确相应的补救措施并彻底清除事件。4)恢复阶段:恢复安全事件所涉及的系统,并还原到正常状态,使业务能够正 常运行,恢复工作应避免出现误操作导致数据的丢失。5)总结阶段:通过以上各个阶段的记录表格,恢复安全事件处理的全过程,整 理与事件相关的各种信息,进行总结,并尽可能地把所有信息记录到文档中。各阶段没有明确的时间先后顺序,如检测阶段和抑制阶
6、段可同步进行。7 .应急演练参演单位序号公司参演角色负责人姓名123458 .演练场景概述8 . 1网络安全事件针对网页篡改进行桌面演练。9 .演练准备1 .提供演练所需要的软件、硬件、网络等环境(测试环境)。2 .环境需求:模拟业务支撑系统某个应用程序系统地址(WEB程序地址)。为了应急演练不破坏正常的业务系统,演练所需要的漏洞可手动构造。演练阶段所需要的工具及攻击方法需要系统维护组人员协商确认,避免 对系统造成危害。10.正式应急演练当发生网页篡改事件时紧急措施:1、进行系统临时性恢复,迅速恢复系统被篡改的内容(相关恢复人员、制度和措施, 参考招行相关流程);2、严格监控对系统的业务访问以
7、及服务器系统登陆情况,确保对再次攻击的行为能 进行检测;3、将发生安全事件的设备脱网,做好安全审计及系统恢复准备;4、在必要情况下,将遭受攻击的主机上系统日志、应用日志、第三方监控设备日志 等导出备份,并加以分析判断。抑制处理:1、分析web应用日志,确认有无恶意口令猜解、文件上传、SQL注入等非正常查询;2、分析系统日志,确认主机上有无异常权限用户非法登陆,并记录其IP地址、登陆 时间等信息;3、分析系统目录以及搜索整盘近期被修改的和新创建的文件,查找是否存在可疑文 件和后门程序;4、分析操作系统的服务、进程、端口等,确认有无可疑项;5、结合上述日志审计,确定攻击者的方式、以及入侵后所获得的
8、最大管理权限和是 否对被攻击服务器留有后门程序和嗅探程序等。根除措施:1、通过防火墙策略的配置严格限制外网恶意地址对该服务器的远程登录及访问请求;2、利用工具或设备,对服务器进行系统层和应用层的扫描,查看是否有系统层或应 用层漏洞;3、对web服务软件和数据库进行安全配置;4、对存在问题的web页面代码进行安全修改;5、必要情况下进行主机系统重新安装,并恢复数据库系统;6、恢复业务数据;7、进行业务测试,确定系统完全恢复;8、系统上网运行。11.总结归档组织单位的事件处置完成后,应按照相关管理办法的规定,形成事件分析和处置报告,并归档。参与演练的相关单位对应急演练全过程进行监看和评估,确认参演
9、单位的工作流程是否正确,确认应急预案是否合理和可落地执行,形成评估结果和整改建议。应急预案演练记录表预案名称演练地点组织部门演练时间参加部门及人员演练方式实际演练桌面演练口提问讨论时试演练全部预案口部分预案演练过程演羲果评审人员到位情况口迅速准确基本按时到位口个别人员不到位口重点部 位人员不到位口职责明确、操作熟练口职责明确、操 作不熟练口职责不明确、操作不熟练协调组织情况整体组织:口准确、高效口协调基本顺利,能满足要 求口效率低,有待改进分工:口合理、高效口基本合理,能完成任务口效率 低、没有完成任务实战效果情况达到预期目标口基本达到目的,部分环节有待改善 口没有达到目标,需重新演练存在问题和改进措 施