惺惺惜惺惺 x信息安全事件报告单(模拟演练)本事件模拟场景为下午上班期间,学校官网遭受攻击,由安全服务商对测试环境发起模拟攻击,并进行 SQL 注入,致功能不可用,部分信息被篡改,导致外网出单系统瘫痪。参与人员:信息技术部 IT 人员、机构出单人员、安全厂商等 事件发生时间2018 年 5 月22 日 14:25事故发生地点福建厦门向应急小组报告时间2018 年 5 月22 日 14:30向应急小组报告人王国林信息安全事件分类(有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、信息设备故障、灾害性事件和其他信息安全事件)网络攻击、SQL 注入、信息篡改事件信息安全事件级别(特别重大事件、重大事件、较大事件和一般事件)重大事件事件影响范围学校官网全面瘫痪,系统挂载不良信息,影响公众事件遏制情况(限制事故范围、保护关键资源及业务、涉及暂停系统运行等)。30 分钟内,问题无法得到有效解决,约 1 个小时左右恢复正常。事件恢复及处理情况学校运维人员进行初步分析后,发现外网出单网站或遭篡改,判断为网络和黑客攻击问题;该问题及时转及网络安全管理员,管理员判断网站遭受 SQL 注入、信息资料篡改等严重攻击,30 分钟内应无法正常解决,后报应急响应小组负责人并立刻通知应急小组成员及第三方安全服务商进行电话会议,讨论解决方案,并要求安全厂商尽快赶赴机房现场进行处理。约 1 个小时后,问题解决。事件主处理人附件: 信息安全事件详细报告(本详细报告包含但不限于以下内容:事件的类型、范围及程度;事件发生的原因、过程及详情;应急恢复处理的程序、过程及方法;事件的损失评估、经验教训及改进方法)事件处理过程:1. 模拟发起攻击:由新垣结衣安全工程师通过工具模拟攻击我校测试系统的远程出单系统,造成严重影响。2. 用户上报:多名老师反馈学校官网无法正常使用,同时发现页面上挂载不良信息,影响我校形象;3. 运维组初步分析:运维发现学校官方网站或遭篡改,判断为网络和黑客攻击问题。4. 问题转交及分析:该问题及时转及安全网络负责人,管理员分析,网站遭受 SQL 注入、信息资料篡改等严重攻击,30 分钟内应无法正常解决,后报应急响应小组负责人;5. 组织应急小组会议:应急小组负责人立刻启动召开应急小组会议:刘卫总经理、运维人员、网络安全管理员参加,并邀请新垣结衣应急小组人员参与电话讨论;6. 制定方案:经分析问题较为复杂,故讨论提出方案分为两步:1. 应急小组领导尽快向信息化工作委员会汇报,通知各分公司及业务部门,恢复所需时间及临时处理方案,做好解释工作。2. 保证系统尽快回复,尽快搭建新的环境,开放地址,更改域名,临时可用3. 尽快修复现有环境,减少事件影响;4. 分析应用及设备缺陷,制定最终解决方案,杜绝问题再现。7. 问题处理及解决:a) 新环境准备:运维处尽快协助搭建新的环境;测试处等负责测试验证b) 环境修复:由安全厂家远程进行诊断,同时派驻工程师到现场进行协助处理,系统组全面配合c)最终方案:由安全厂商对我校环境、应用、网络等进行全面扫描和诊断,发现漏洞、缺陷,并尽快修复。8. 问题报告:问题解决后,要求尽快通知客户,消除影响;并将问题处理结果及时反馈应急小组领导:汇报信息化工作委员会,并同时邮件全机构告知问题处理解决。 此次演练,模拟了对于出现网络安全威胁的情况下我校相关组织的应急问题处理情况;在本次演练中出现了一些问题,需要进行一些总结和改进:1. 在事件报告过程中,运维人员未能及时同时将问题转发给系统组各位同事共同分析以更快的分析到问题的症结所在,而是主观的判断,未能及时反馈给运维经理;2. 日常加强对应用安全的关注,在新的应用软件中明确加入安全需求,并提供安全测试报告。3. 对于第三方安全支持公司,未留下备用联系人的联系方式,如果当时直接联系人电话无法接通,问题将无法及时处理,问题影响的事件、范围及严重性将会直接升级;4. 对于外网网站要求开放更少的端口、并使用 SSL 和 MD5 加密机制;使用WAF 工具加强网站安全;最终要的是,加强对现有应用的安全问题的扫描、跟踪...
