2024年1月6日发(作者:)
XX公司
网站被篡改应急预案
XX公司
20XX年XX月
目 录
1 服务概述 .............................................................................................................................................. 1
2 实施标准和原则 .................................................................................................................................. 1
3 适用范围 .............................................................................................................................................. 2
4 概述 ...................................................................................................................................................... 2
4.1 网站被篡改事件 ............................................................................................................................... 2
4.2 相关应急预案 ................................................................................................................................... 2
4.3 应急人员组成与职责划分 ............................................................................................................... 2
4.3.1 应急组织架构 ................................................................................................................................ 2
4.3.2 应急响应技术队伍角色划分说明 ................................................................................................ 3
4.3.3 应急响应联络表 ............................................................................................................................ 4
5 应急预案流程 ...................................................................................................................................... 4
5.1 阶段一 监测阶段 ............................................................................................................................. 5
5.1.1 监测的技术手段和基本流程 ........................................................................................................ 5
5.1.2 监测阶段流程说明 ........................................................................................................................ 5
5.1.3 角色划分与文档记录 .................................................................................................................... 6
5.2 阶段二 抑制与恢复阶段 ................................................................................................................. 6
5.2.1 抑制与恢复的技术手段和基本流程 ............................................................................................ 7
5.2.2 识别阶段流程说明 ........................................................................................................................ 7
5.2.3 网站被篡改应急预案启动条件 .................................................................................................... 8
5.2.4 角色划分与文档记录 .................................................................................................................... 8
5.3 阶段三 控制与追踪阶段 ................................................................................................................. 8
5.3.1 追踪的技术手段 ............................................................................................................................ 8
5.3.2 控制与追踪阶段流程说明 ............................................................................................................ 9
5.3.3 角色划分与文档记录 .................................................................................................................... 9
5.4 阶段四 总结与汇报阶段 ............................................................................................................... 10
5.4.1 总结与汇报阶段流程说明 .......................................................................................................... 10
5.4.2 角色划分与文档记录 .................................................................................................................. 11
6 应急预案的审查与更新 .................................................................................................................... 11
7 应急资源及保障 ................................................................................................................................ 11
7.1 应急保障队伍 ................................................................................................................................. 11
7.2 安全评估 ......................................................................................................................................... 12
7.3 应急演练 ......................................................................................................................................... 12
7.4 工作规范 ......................................................................................................................................... 12
7.5 监督检查 ......................................................................................................................................... 13
7.6 技术储备 ......................................................................................................................................... 13
1 概述
为贯彻落实网络与信息安全保障工作的目标和任务,提高XX公司网络与信息安全应急响应与处理能力,切实做好信息安全工作,有效防范突发事件对XX公司信息安全的影响,最大限度地减少事故造成的损失,增强对突发事件的应变能力,并使应急工作安全、有序、科学、高效地实施,根据XX公司网络与信息安全应急预案的要求,特制定本网站被篡改应急子预案。
2 实施标准和原则
为保障我国网络与信息安全、维护国家安全与稳定,国家及地方政府多次出台相关法律法规,要求各地相关企事业单位、机构重视并定期开展网络与信息安全应急演练,以提高网络安全保障技术、有效应对网络安全事件。以下是国家出台的部分关于实施网络安全应急演练的法律法规信息:
法律法规 涉及章节
第五章:将监测预警与应急处置工作制度化、法制化,明确国家建立网络安全监测预警和信息通报制度,建立网络安全《网络安全法》
风险评估和应急工作机制,制定网络安全事件应急预案并定期演练
2016年《中国银监会办公厅关于开展银行业网络安全风险专项评估治理及配合做好关键信息基础设施网络安全检查工作的通知》
第6章第5节:提出各有关单位应根据定期或不定期组织应《公共互联网网络安全应急预案》
急演练
第2章、第7章、第8章:涉及网络应急演练、宣传教育与《国家网络与信息安全事件应急预案》
培训
《国家通信保障应急预案》
《信息安全技术 信息安全应急响应计划规第7章第3节:提出应急演练相关内容
第7章:《应急响应计划的测试、培训、演练和维护》
第1部分:四个工作要求中明确提出网络安全应急演练
1
范》(GB/T 24363-2009)
3 适用范围
预案适用于XX公司所辖维护范围内的网站被篡改事件的应急响应工作。所有XX公司的管理人员、维护人员、应急保障人员,以及其他相关人员在处理此类安全事件时,都可以遵循或借鉴本预案制定的流程、方法或技术措施。
4 概述
4.1 网站被篡改事件
网站被篡改,是指网站或者服务器被入侵,攻击者在网站上进行了未授权的写操作,造成网页被篡改的事实。
常见的网站被篡改事件主要分为两种情况:一是网站的内容被篡改,攻击者将网页换成其它网页,影响了信息的传播和发布;或是入侵者篡改官方发布的内容,对来访者进行误导。二是网页中被插入木马或病毒等恶意代码,来访者将会被感染,从而导致计算机病毒的传播,引发系统崩溃、数据损坏和敏感信息被盗以及僵尸网络等严重后果。
4.2 相关应急预案
本预案为《XX公司网络与信息安全应急预案》(简称“专项预案”)的单项预案,是在遵循《专项预案》的基础上制定的,既可以单独使用,也可与专项预案及其它专项预案配合使用。
同时,根据本应急预案,制定《网站被篡改演练方案》。该方案是在遵循本应急预案的基础上,模拟实际场景,编写应急响应演练方案,以供指导演练实施所用。
4.3 应急人员组成与职责划分
4.3.1 应急组织架构
1)领导小组
2
组长:
副组长:
成员:
2)应急响应技术队伍
组长:
副组长:
成员:
4.3.2 应急响应技术队伍角色划分说明
1)实时监测人员:负责实时的监测和记录安全事件的发生,对于较大的安全事件,上报至相关的管理协调人员和应急保障人员进行处理,并协助处理事件,可指定由目前的IT一线运维监控值班人员担任。
2)应急保障人员:对发生的安全事件进行分析,识别事件的性质和攻击特征,采取适当的措施控制攻击的强度,恢复系统对外服务,以及追踪攻击来源,可指定由目前的安全管理员担任。
3)管理协调人员:在应急响应中协调各方人员,使得人员以一种有序的方式完成各自的工作,提高工作效率,尽快解决问题,可指定由目前的安全联络员担任,作为安全管理员与一线监测人员(或系统维护人员)之间的接口,在具体的事件和演练中,也承担协助现场指挥协调处理安全事件。
4)系统维护人员:负责系统的日常维护,以及预防措施的实施,并在应急响应中对应急保障人员提供支持。
5)应急管理人员:负责与其他相关机构的协调,协调所需的资源,为应急保障准备工作提供支持,审核批准相关策略、方案。
6)内部业务部门人员:在网络与信息安全事件发生时及时反应业务受损情况和及时响应网络信息部门应急响应中提出的相关协助请求;在恢复阶段确认业务恢复。
7)第三方厂商:提供应用系统、主机、网络和数据库、安全等设备的技术支持。
3
4.3.3 应急响应联络表
表4-1 应急响应联络表
角色归属 姓名 电话
XX单位内部
XX单位主任
实时监测人员
应急保障人员
管理协调人员
系统维护人员
应急管理人员
内部业务部门人员
第三方厂商
安全应急服务商
设备服务商
应急技术支持,深信服科技
职责
注:同一工作人员可担任多个角色,同一角色亦可由多人担任。
5 应急预案流程
根据常用的应急响应操作流程PDCERF,并结合该子预案的实际情况,对网站被篡改事件的应急响应操作流程归纳为以下四个阶段:
4
1)监测阶段:监测网站被篡改的发生,进行简单的判断,向上层报告并进行事件记录;
2)抑制与恢复阶段:中断网站被篡改后对外界的影响,启用应急的静态页面,恢复备份,编辑负责人重新发布当天消息;
3)控制追踪阶段:分析系统日志,追踪入侵来源和被入侵原因;
4)总结汇报阶段:总结经验教训,从而进一步改善网站被篡改应急体系,并将本次的攻击事件向上级主管领导进行汇报。
5.1 阶段一 监测阶段
监测是应急预案的第一个阶段,事实上,监测是一直进行的活动,不仅在网站被篡改行为发生的时候,在网站恢复后重新开启的时候也需要监测活动的一直进行。
5.1.1 监测的技术手段和基本流程
1)采用D盾等网马扫描工具,检查网站是否挂马;
2)利用杀毒软件或网页木马拦截工具检查网页;
3)使用chrome浏览器或者360安全浏览器对网站进行人工挂马检查,是否有被恶意插入的其它网页、图片、脚本等;
5.1.2 监测阶段流程说明
『实时自动网站安全监测』
采用统一网站安全监控系统对网站进行监测,对监测网站进行小周期定时检测。
『手动网站挂马监测』
通过手动的测试对网站是否被挂马进行判断。
直接访问验证法,判断标准如下:
1)杀毒软件或网页木马拦截工具发生告警;
2)iframe标签内被插入不属于网站本身链接的页面、图片等;
3)搜索script,发现被插入不属于网站本身的脚本;
4)其他判别标准。
攻击分析验证法,判断标准如下:
5
1)使用D盾对网站进行扫描,发现存在网页挂马,并查看相关代码确认。
『预判事件的影响程度』
通过对攻击影响程度进行预判,决定是否需要向上级报告发生的事件。判定标准如下:
1)判断被挂马的时间和木马是否造成大面积的传播扩散;
2)对网站的服务可用性是否造成影响,和恢复阶段对网站服务是否会造成影响。
『向上级报告事件』
当异常情况对系统的影响程度超过“需要报告事件的判别标准”的时候,必须向上级报告;报告之后,应急流程将正式启动。报告中至少需要包括以下内容:
1)异常情况描述。包括异常类型、涉及主机和网络、异常开始时间、异常持续时间、服务影响程度;
2)报告人;
3)报告时间。
『记录本次事件』
所有的攻击事件必须进行记录,一方面进行备案以备查询,另一方面可以为以后的统计决策提供依据。记录的内容和上面报告的内容相同,另外需要记录该次事件是否报告。
5.1.3 角色划分与文档记录
『角色划分』
在监测阶段主要是由实时监测人员进行安全事件的监测和分析,并根据事件程度决定是否上报至管理协调人员和应急保障人员。
『文档记录』
记录内容如上节所示。
5.2 阶段二 抑制与恢复阶段
当发现网站被挂马之后,接下来就需要阻止木马或病毒的传播,以免造成更大的影响。启用应急静态页面,为恢复阶段做好切实准备。进入恢复阶段,要确保快速、有序、有条不紊的进行页面的恢复工作。
6
5.2.1 抑制与恢复的技术手段和基本流程
1)关闭被挂马网站,清除Cache;
2)开启静态应急页面;
3)备份日志(系统日志,网站日志等);
4)清除木马或恢复备份;
5.2.2 识别阶段流程说明
『关闭网站,启用静态应急页面』
一旦发现网站被挂马,应立即关闭网站和网站管理系统,阻止木马或病毒的传播;开启静态应急页面,维护网站的形象。
『清除Cache』
清除缓存,以免木马或病毒通过缓存继续传播扩散。
『分析解决问题』
如果能迅速而准确的定位所有木马和恶意代码,并且清除服务器被入侵后留下的后门,找出服务器被利用的漏洞并加以修补,排除所有问题,则可重新开启网站。
『恢复备份』
如果不能再短时间内解决问题,则可进行网站的数据恢复。
『重新添加数据』
网站编辑人员重新添加当日未被恢复的数据。
『记录入侵的特性』
对本次事件的以下特性进行记录:
1)被篡改或挂马的网页;
2)网页被修改的时间;
3)服务器被入侵的时间;
4)网站恢复过程所用的时间;
5)本次事件所造成的影响。
7
『记录攻击的特性』
对攻击的以下特性进行记录:
1)攻击源;
2)攻击目标;
3)攻击强度。攻击影响的范围以及影响的程度;
『事件升级』
1)当发生页面被篡改事件或者网页被挂马,并且在8个小时内无法完成页面恢复时,必须升级事件级别,向更高层报告攻击事件以及寻求安全厂商的技术支持。
5.2.3 网站被篡改应急预案启动条件
在利用相关网马扫描工具检查后,发现网站页面被非法篡改之后,即可启动本预案。
5.2.4 角色划分与文档记录
『角色划分』
在识别阶段主要是应急保障人员对事件进行分析,确定攻击特性,在此过程中需要实时监测人员、系统维护人员以及外部厂商和安全服务机构的支持。
『文档记录』
记录内容如上节所示。
5.3 阶段三 控制与追踪阶段
控制与追踪阶段的主要操作主要在于对于IIS日志、防火墙日志、网站后台登陆日志等日志的分析,从而分析出入侵的时间,来源,入侵的方式等有利于追踪的信息。最后要对分析出的漏洞进行补救。
5.3.1 追踪的技术手段
1)利用网马分析工具分析网马;
2)分析主机,网络设备,安全设备,网站等日志。
8
5.3.2 控制与追踪阶段流程说明
『分析被插入的代码』
利用MDecoder可以轻松准确的定位网站被插入的木马或病毒代码。分析代码有时可以找出与入侵者有关的链接。
『定位入侵时间』
查看网页被修改的时间和被上传的网马的上传时间,从而有针对性的分析日志文件。
『分析服务器日志』
通过查看被挂马的时间,定位当日的IIS日志和防火墙日志。从而定位入侵的IP地址。
『分析网络设备日志』
分析其它网络或安全设备的日志,如IDS、流量控制设备等。
『分析网站日志』
分析网站后台日志,进一步分析入侵者采用何种方式入侵了服务器并修改了网站的页面(如采用暴力猜解,注入等方式)。
『对服务器进行加固』
根据被入侵的方式,有针对性的进行漏洞补救工作。如升级补丁、更改配置等操作。
5.3.3 角色划分与文档记录
『角色划分』
1)应急保障人员采用各种技术手段追踪来源并对服务器的漏洞进行补救;
2)管理协调人员协调其他部门和组织协助追踪来源。
『文档记录』
追踪阶段,需要就以下信息进行记录:
1)网页被修改的时间;
2)服务器被入侵的时间、来源;
3)网站被通过何种方式入侵;
4)对网站的安全做了如何调整;
5)报告人、报告时间。
9
5.4 阶段四 总结与汇报阶段
总结与汇报阶段的流程如下图所示:
提出网站防篡改建议
图5-5 总结汇报阶段流程示意图
5.4.1 总结与汇报阶段流程说明
『总结经验教训』
通过该次的攻击事件,查找预防与响应体系中的不足,分析如何改进。
『提出改进建议』
以正式文档的形式提出相关的改进建议。
『向上级主管部门汇报』
就该次事件的说明以及总结向上级主管部门进行汇报。
『实施改进建议』
在人力物力允许的情况下,实施提出的改进建议。
10
5.4.2 角色划分与文档记录
『角色划分』
1)应急保障人员:提供安全事件说明、安全体系的不足以及相关的改进建议;
2)管理协调人员:补充改进建议,提供汇报材料;
3)其他相关人员:补充改进建议;
『文档记录』
在此阶段,需记录以下文档:
1)安全事件说明文档;
2)安全事件总结文档;
3)安全体系改进建议文档;
4)安全事件汇报文档。
6 应急预案的审查与更新
本预案由运维部负责管理和保存,并进行定期或不定期的审查与更新。在下面的几种情况下,将启动本预案的审查过程:
1)距离上一次预案审查时间超过1年;
2)在实际的网站被篡改事件工作中发现预案中存在的问题,并提出相关的解决建议;
3)安全业界中发现新类型的、可能造成严重影响的攻击方式;
4)其他由 XX单位规定的情况。
同时,本预案的更新将在及时响应、适当防护的原则下进行,在成本允许的情况下,及时地对预案中存在的问题进行调整,适应实际工作的需求。
7 应急资源及保障
7.1 应急保障队伍
『应急保障队伍建设』
11
应急保障队伍主要指处理网站被篡改事件的安全人员,这部分成员必须给予明确的说明,挑选技术熟练的员工担任,其中至少有一人是专职的进行应急保障工作。
表7-1 应急保障队伍人员安排表
角色归属
应急保障人员
应急保障人员
应急保障人员
应急保障人员
姓名
电话
职责
安全事件分析定位和处理
安全事件分析定位和处理
安全事件分析定位和处理
安全事件分析定位和处理
『人员培训』
应急保障队伍的人员必须经过应急处理的相关培训,确保熟悉工作原则、工作流程,以及具备必要的技能;原则上每年组织进行一次应急保障人员的培训活动。
其他的系统实时监控人员和系统维护人员也必须接受相关的应急响应培训,确保了解自己在应急响应流程中的位置与任务,在事件发生时能够做出恰当的反应。
7.2 安全评估
原则上每一年内部组织系统的自评估,每年由外部的安全服务机构进行专业安全评估,对全网的安全状况进行评估,并根据不足给出改进建议。
同时,由专业的安全服务机构提供安全通告,及时地对相关安全漏洞进行修补加固。
7.3 应急演练
应定期组织应急演练,检验应急预案的合理性、应急保障队伍和所有相关人员的专业素质以及管理组织的有效性。
7.4 工作规范
应急响应的相关人员必须遵守公司已有的所有工作制度,同时还需要遵守以下工作规范,严格工作纪律,确保不出现任何责任事故:
1)有关应急工作人员应服从领导、加强协调、遵守工作程序、注意保密;
12
2)应急值班电话和所有应急保障人员应确保24小时通讯畅通;
3)本预案启动后,有关应急工作人员必须坚守岗位;
4)遇到特殊问题,不能判定或需要上级协调的问题,应及时请示汇报。
7.5 监督检查
由XX单位信息安全应急领导小组对应急工作进行检查和监督,主要监督内容如下:
1)应急响应的组织架构与责任划分是否明确,是否已经落实到具体的工作人员;
2)应急保障队伍的建设情况和应急工作相关人员的培训情况;
3)应急预案的演练情况;
4)安全事件处理结束后的总结与改进情况。
7.6 技术储备
应组织研究人员或与专业安全组织机构进行协作,研究网站被篡改的方式与网站防篡改的方法,加强对网站服务器入侵的预防、监控、识别以及追踪等技术。
13
发布评论