收藏
下载资源

网站被篡改应急预案

上传人:壹****1 文档编号:563385282 上传时间:2022-10-13 格式:DOCX 页数:28 大小:168.44KB
返回 下载 相关 举报
网站被篡改应急预案_第1页
第1页 / 共28页
网站被篡改应急预案_第2页
第2页 / 共28页
网站被篡改应急预案_第3页
第3页 / 共28页
网站被篡改应急预案_第4页
第4页 / 共28页
网站被篡改应急预案_第5页
第5页 / 共28页
点击查看更多>>
资源描述

《网站被篡改应急预案》由会员分享,可在线阅读,更多相关《网站被篡改应急预案(28页珍藏版)》请在金锄头文库上搜索。

1、网站被篡改应急预案*(集团)有限公司2018 年 8 月目录1 编制目的 12 编制依据 23 适用范围 34 概述 44.1 网站被篡改事件 44.2 相关应急预案 44.3 应急人员组成与职责划分 54.3.1 应急组织架构 54.3.2 应急响应技术队伍角色划分说明 54.3.3 应急响应联络表 65 应急预案流程 85.1 阶段一、监测阶段 105.1.1 监测的技术手段和基本流程 105.1.2 监测阶段流程说明 115.1.3 角色划分与文档记录 135.2 阶段二、抑制与恢复阶段 135.2.1 抑制与恢复的技术手段和基本流程 145.2.2 识别阶段流程说明 145.2.3 网

2、站被篡改应急预案启动条件 165.2.4 角色划分与文档记录 165.3 阶段三、控制与追踪阶段 175.3.1 追踪的技术手段 175.3.2 控制与追踪阶段的基本流程 175.3.3 控制与追踪阶段流程说明 185.3.4 角色划分与文档记录 195.4 阶段四、总结与汇报阶段 205.4.1 总结与汇报阶段流程说明 205.4.2 角色划分与文档记录 216 应急预案的审查与更新 227 应急资源及保障 237.1应急保障队伍 237.2 安全评估 237.3 应急演练 247.4 工作规范 247.5 监督检查 247.6 技术储备 251 编制目的为贯彻落实网络与信息安全保障工作的目

3、标和任务,提 高*(集团)有限公司(以下简称*集团)网络与信息 安全应急响应与处理能力,切实做好信息安全工作,有效防 范突发事件对*集团信息安全的影响,最大限度地减少事 故造成的损失,增强对突发事件的应变能力,并使应急工作 安全、有序、科学、高效地实施,根据*集团网络与信息 安全应急预案的要求,特制定本网站被篡改应急子预案。2 编制依据 GBT 24363-2009信息安全技术 信息安全应急响应计划规范GB/T 20984-2007信息安全技术 信息安全风险评估规范 GB/Z 20985-2007信息技术 安全技术 信息安全事件管理指南 GB/Z 20986-2007信息安全技术信息安全事件分

4、类分级指南 GB/T 20988-2007信息安全技术 信息系统灾难恢复规范 * (集团)有限公司网络与信息安全应急预案3 适用范围本预案适用于*集团所辖维护范围内的网站被篡改事 件的应急响应工作。所有 *集团的管理人员、维护人员 应急保障人员,以及其他相关人员在处理此类安全事件时, 都可以遵循或借鉴本预案制定的流程、方法或技术措施。4 概述4.1 网站被篡改事件网站被篡改,是指网站或者服务器被入侵,攻击者在网站 上进行了未授权的写操作,造成网页被篡改的事实。常见的网站被篡改事件主要分为两种情况:一是网站的 内容被篡改,攻击者将网页换成其它网页,影响了信息的传 播和发布;或是入侵者篡改官方发布

5、的内容,对来访者进行 误导。二是网页中被插入木马或病毒等恶意代码,来访者将 会被感染,从而导致计算机病毒的传播,引发系统崩溃、数 据损坏和敏感信息被盗以及僵尸网络等严重后果。4.2 相关应急预案本预案为*(集团)有限公司网络与信息安全应急 预案(简称“专项预案”)的单项预案,是在遵循专项 预案的基础上制定的,既可以单独使用,也可与专项预案 及其它专项预案配合使用。同时,根据本应急预案,制定网站被篡改演练方案。 该方案是在遵循本应急预案的基础上,模拟实际场景,编写 应急响应演练方案,以供指导演练实施所用。4.3 应急人员组成与职责划分4.3.1应急组织架构1、领导小组组长:集团信息化领导小组组长

6、 副组长:集团信息化领导小组副组长 成员:集团信息化领导小组组员2、应急响应技术队伍组长:集团信息化工作小组组长 副组长:集团信息化工作小组副组长 成员:集团信息化工作小组组员4.3.2应急响应技术队伍角色划分说明1、实时监测人员:负责实时的监测和记录安全事件的发 生,对于较大的安全事件,上报至相关的管理协调人员和 应急保障人员进行处理,并协助处理事件,可指定由目前 的IT 一线运维监控值班人员担任。2、应急保障人员:对发生的安全事件进行分析,识别事 件的性质和攻击特征,采取适当的措施控制攻击的强度, 恢复系统对外服务,以及追踪攻击来源,可指定由目前的 安全管理员担任。3、管理协调人员:在应急

7、响应中协调各方人员,使得人员以一种有序的方式完成各自的工作,提高工作效率,尽快解决问题,可指定由目前的安全联络员担任,作为安全管理员与一线监测人员(或系统维护人员)之间的接口, 在具体的事件和演练中,也承担协助现场指挥协调处理安 全事件。4、系统维护人员:负责系统的日常维护,以及预防措施的实施,并在应急响应中对应急保障人员提供支持。5、应急管理人员:负责与其他相关机构的协调,协调所需的资源,为应急保障准备工作提供支持,审核批准相关 策略、方案。6、内部业务部门人员:在网络与信息安全事件发生时及 时反应业务受损情况和及时响应网络信息部门应急响应 中提出的相关协助请求;在恢复阶段确认业务恢复。7、

8、第三方厂商:提供应用系统、主机、网络和数据库、 安全等设备的技术支持。4.3.3应急响应联络表管理协调人员系统维护人员应急管理人员内部业务部门人 员第二方厂商安全应急服务商应急技术支持,深信服科技设备服务商注:同一工作人员可担任多个角色,同一角色亦可由多人担 任。5 应急预案流程根据常用的应急响应操作流程PDCERF,并结合该子预 案的实际情况,对网站被篡改事件的应急响应操作流程归纳 为以下四个阶段:1、监测阶段:监测网站被篡改的发生,进行简单的判断, 向上层报告并进行事件记录;2、抑制与恢复阶段:中断网站被篡改后对外界的影响, 启用应急的静态页面,恢复备份,编辑负责人重新发布当 天消息;3、

9、控制追踪阶段:分析系统日志,追踪入侵来源和被入 侵原因;4、总结汇报阶段:总结经验教训,从而进一步改善网站 被篡改应急体系,并将本次的攻击事件向上级主管领导进 行汇报。流程示意图如下图所示:网站防篡改流程示意图5.1 阶段一、监测阶段监测是应急预案的第一个阶段,事实上,监测是一直进 行的活动,不仅在网站被篡改行为发生的时候,在网站恢复 后重新开启的时候也需要监测活动的一直进行。5.1.1监测的技术手段和基本流程1、采用 D 盾等网马扫描工具,检查网站是否挂马;2、利用杀毒软件或网页木马拦截工具检查网页;3、使用 chrome 浏览器或者 360 安全浏览器对网站进行人工挂马检查,是否有被恶意插

10、入的其它网页、图片、脚本 等;4、监测阶段的基本流程如下图所示:貝常判别报告与记录5.1.2监测阶段流程说明实时自动网站安全监测 采用统一网站安全监控系统对网站进行监测,对监测网站进 行小周期定时检测。手动网站挂马监测 通过手动的测试对网站是否被挂马进行判断。 直接访问验证法,判断标准如下:1、杀毒软件或网页木马拦截工具发生告警;2、iframe 标签内被插入不属于网站本身链接的页面、图片等;3、搜索script,发现被插入不属于网站本身的脚本;4、其他判别标准。攻击分析验证法,判断标准如下:1、使用 D 盾对网站进行扫描,发现存在网页挂马,并查看相关代码确认;预判事件的影响程度1、通过对攻击

11、影响程度进行预判,决定是否需要向上级报告发生的事件。判定标准如下:2、判断被挂马的时间和木马是否造成大面积的传播扩散3、对网站的服务可用性是否造成影响,和恢复阶段对网站服务是否会造成影响。向上级报告事件当异常情况对系统的影响程度超过“需要报告事件的判 别标准”的时候,必须向上级报告;报告之后,应急流程将 正式启动。报告中至少需要包括以下内容:1、异常情况描述。包括异常类型、涉及主机和网络、异常开始时间、异常持续时间、服务影响程度;2、报告人;3、报告时间。记录本次事件所有的攻击事件必须进行记录,一方面进行备案以备查 询,另一方面可以为以后的统计决策提供依据。记录的内容 和上面报告的内容相同,另

12、外需要记录该次事件是否报告。5.1.3 角色划分与文档记录角色划分在监测阶段主要是由实时监测人员进行安全事件的监 测和分析,并根据事件程度决定是否上报至管理协调人员和 应急保障人员。文档记录记录内容如上节所示。5.2 阶段二、抑制与恢复阶段当发现网站被挂马之后,接下来就需要阻止木马或病毒 的传播,以免造成更大的影响。启用应急静态页面,为恢复 阶段做好切实准备。进入恢复阶段,要确保快速、有序、有 条不紊的进行页面的恢复工作。5.2.1抑制与恢复的技术手段和基本流程1、关闭被挂马网站,清除 Cache;2、开启静态应急页面;3、备份日志(系统日志,网站日志等)4、清除木马或恢复备份;5、识别阶段的

13、基本流程如下图所示:抑制阶段恢复阶段 控制与追踪5.2.2识别阶段流程说明关闭网站,启用静态应急页面一旦发现网站被挂马,应立即关闭网站和网站管理系统,阻止木马或病毒的传播;开启静态应急页面,维护网站的形象。清除 Cache 清除缓存,以免木马或病毒通过缓存继续传播扩散。分析解决问题 如果能迅速而准确的定位所有木马和恶意代码,并且清除服 务器被入侵后留下的后门,找出服务器被利用的漏洞并加以 修补,排除所有问题,则可重新开启网站。恢复备份 如果不能再短时间内解决问题,则可进行网站的数据恢复。重新添加数据 网站编辑人员重新添加当日未被恢复的数据。记录入侵的特性 对本次事件的以下特性进行记录:1、被篡

14、改或挂马的网页;2、网页被修改的时间;3、服务器被入侵的时间;4、网站恢复过程所用的时间;5、本次事件所造成的影响。记录攻击的特性对攻击的以下特性进行记录:1、攻击源;2、攻击目标;3、攻击强度。攻击影响的范围以及影响的程度;事件升级1、当发生页面被篡改事件或者网页被挂马,并且在 8 个 小时内无法完成页面恢复时,必须升级事件级别,向更高 层报告攻击事件以及寻求安全厂商的技术支持。5.2.3网站被篡改应急预案启动条件在利用相关网马扫描工具检查后,发现网站页面被非法 篡改之后,即可启动本预案。5.2.4 角色划分与文档记录角色划分在识别阶段主要是应急保障人员对事件进行分析,确定 攻击特性,在此过程中需要实时监测人员、系统维护人员以及外部厂商和安全服务机构的支持。文档记录记录内容如上节所示。5.3 阶段三、控制与追踪阶段控制与追踪阶段的主要操作主要在于对于 IIS 日志、 防火墙日志、网站后台登陆日志等日志的分析,从而分析 出入侵的时间,来源,入侵的方式等有利于追踪的信息。 最后要对分析出的漏洞进行补救。5.3.1追

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 学术论文 > 其它学术论文

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号