首页 > 其他分享 >信息安全事件应急处理报告模板

信息安全事件应急处理报告模板

时间:2024-05-20 19:20:23浏览次数:15  
标签:服务 处理 Fesco 信息安全 阶段 记录表 应急 模板

目录

一、概述

1.1 应急处理服务背景

Fesco 单位与星际和平公司签订应急服务合同。星际和平公司根据合同协议中规定的范围和工作内容为 Fesco 单位提供应急服务。2024 年 5 月 20 日 Fesco 单位网站服务器发现存在恶意文件,直接威胁网站的正常运营与使用,Fesco 单位立即拨通星际和平公司的应急服务热线,请求应急处理服务。我方应急处理服务人员,对相关信息进行登记记录,并按作业指导书要求启动相关过程。

1.2 应急处理服务目的

尽快确认和修复漏洞,恢复信息系统的正常运行,使信息系统所遭受的破坏最小化,并在应急处理后提供准确有效的法律依据、分析统计报告和有价值的建议,在应急处理服务工作结束后对系统管理进行完善。

1.3 应急处理服务范围

序号 资产编号 名称 型号/操作系统 位置
1 SDFDA-SE-006 网站服务器(主) NF5270/Centos6.4 药监机房
2 SDFDA-SE-007 网站服务器(备) NF5270/Centos6.4 药监机房
3 SDFDA-SE-011 数据库服务器(主) IBM/AIX4.2 药监机房
4 SDFDA-SE-012 数据库服务器(备) IBM/AIX4.2 药监机房

1.4 应急处理服务依据

1.4.1 应用处理服务委托协议

《Fesco 单位应急处理服务委托书》

1.4.2 基础标准与法律文件

《中华人民共和国突发事件应对法》

《网络与信息安全应急处理服务资质评估方法》(YD/T 1799-2008)

《信息技术 安全技术 信息安全事件管理指南》(GB/Z 20985-2007)

《信息安全技术 信息安全事件分类指南》(GB/Z 20986-2007)

1.4.3 参考文件

《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007)

《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239-2008)

《信息技术服务 运行维护 第一部分 通用要求》(GB/T28827.1-2012)

《信息技术服务 运行维护 第二部分 交付规范》(GB/T28827.1-2012)

《信息技术服务 运行维护第三部分 应急响应规范》(GB/T28827.1-2012)

二、应急处理服务流程

Fesco 单位应急处理服务过程主要包括六个阶段:准备阶段、检测阶段、抑制阶段、根除阶段、恢复阶段、总结阶段

应急处理服务流程如图所示

图片1

三、应急处理服务内容和方法

3.1 准备阶段

3.1.1 准备阶段工作流程

图片2

3.1.2 准备阶段处理过程

我公司与 Fesco 单位进行信息安全时间应急处理详情进行沟通,分别对客户应急服务所包含的具体需求和客户实际信息系统环境进行了详细了解,在达成一致的基础上签订了应急处理服务合同;随后我公司立即成立针对该项目的应急处理小组,立刻着手服务方案编写和工具准备工作,同时协助客户对应急范围内的信息系统进行评估和备份快照

3.1.3 准备阶段现场处理记录表

image-20240520165725596

3.2 检测阶段

3.2.1 检测阶段工作流程

图片3

3.2.2 检测阶段处理过程

我公司技术支持热线客服人员接到用户的应急响应服务电话请求后,通过电话了解基本情况,并检查我公司是否有该类安全事件的应急预案,发现并没有该类安全事件的应急预案;随后我公司立刻派遣应急处理小组携带应急工具、技术规范、现场记录表在服务协议规定的1小时内准备完毕到达现场。

到达客户现场后,项目组负责人立即与客户方负责人进行方案沟通,由客户负责人书面授权后,根据实际客户情况建议对网站进行切换和数据备份,随后开始进行检测处理。检测内容如下:

  1. 事件沟通与应急准备。
  2. 方案沟通与应急授权。
  3. 网站切换与快照备份。
  4. 漏洞发现与验证。
  5. 确定漏洞产生原因,沟通抑制措施。
  6. 准备备份文件数据以备随时回退。

经过以上检测,项目组确定漏洞根源并确认成功。

3.2.3 检测阶段现场处理记录表

image-20240520184548212

image-20240520184704234

image-20240520184833528

image-20240520184848482

3.3 抑制阶段

3.3.1 抑制阶段工作流程

wps1

3.3.2 抑制阶段处理过程

通过检查阶段的详细调查,我们判断是文件下载访问权限不合理,上传未做过滤产生的漏洞。在与客户沟通后,客户接受我们的方案并授权我们对该系统进行抑制处理。

  1. 针对敏感文件设置读取严格的读取和下载权限,禁止访问用户可以读取和下载。
  2. 暂时关闭非法上传点模块。
  3. 抑制措施验证并准备备份数据随时回退

3.3.3 抑制阶段现场处理记录表

image-20240520172140366

3.4 根除阶段

3.4.1 根除阶段工作流程

wps2

3.4.2 根除阶段处理过程

抑制阶段可以解决外网用户对网站系统的威胁,但是还没有从根本上解决网站漏洞问题。在与客户沟通后,我们进行了如下操作:

  1. 与客户沟通抑制措施达到的安全防护效果并协商厂商沟通事宜。
  2. 联系厂商,与厂商说明目前网站存在的非法下载、读取和上传的漏洞,建议采用添加文件校验和文件权限模块,实现漏洞修补。
  3. 建议客户对服务器权限进行合理优化,使用非root用户运行网站。
  4. 对厂商反馈修复结果进行验证并准备必要的回退措施。

3.4.3 根除阶段线程处理记录表

image-20240520172457604

3.5 恢复阶段

3.5.1 恢复阶段工作流程

图片4

3.5.2 恢复阶段处理过程

通过之前的抑制及根除处理,已经基本解决了网站存在的高危漏洞,在网站重新上线前,应急人员重新对网站进行全面的漏洞扫描,并对发现的可疑漏洞进行确认和修复,同时对网站系统进行安全加固。

3.5.3 恢复阶段现场记录表

image-20240520172735564

3.6 总结阶段

3.6.1 总结阶段工作流程

wps3

3.6.2 总结阶段现场记录表

image-20240520184318481

image-20240520184351342

image-20240520184403630

四、结论与建议

我公司应急响应小组到达现场后,快速分析问题、定位原因、处理问题,及时有效的保障了“Fesco 单位门户网站”的安全稳定运行,使 Fesco 单位避免了经济损失和不良影响。

通过本次信息安全事件应急处理,建议 Fesco 单位提高人员安全意识,加强信息安全管理,规范针对信息系统的各项操作,在系统发生变更前做好测试和备份工作,防止类似事件发生。同时应为该类事件建立专项应急处理预案,便于以后的应急处理,并定期对 Fesco 单位信息系统进行风险评估。

标签:服务,处理,Fesco,信息安全,阶段,记录表,应急,模板
From: https://www.cnblogs.com/zxywlaq/p/18202640

相关文章

  • ide创建maven项目时,选择哪个模板
    创建新的java项目时,选择maven框架比较节省时间,因为部分文件和目录都会给你建好,免得自己再费力创建。  我们常用的三个框架为:1、cocoon-22-archetype-webapp 【如果创建带有页面的项目,可以选择这个】目录结构: 2、maven-archetype-quickstart  【......
  • mybatis底层模板模型是什么
    mybatis底层模板模型是建造者模式和模板方法模式的结合。建造者模式用于创建SqlSessionFactory和SqlSession对象。模板方法模式用于执行SQL语句和处理结果集。mybatis是对JDBC的再一次封装,不管怎么进行包装,还是会有获取连接、preparedStatement、封装参数、执行这些步骤......
  • 利用MKL实现OpenCV的模板匹配(matchTemplate)
    基于FFT实现OpenCV的模板匹配(matchTemplate)以TM_CCORR_NORMED为例,因为这个实现简单,并且效率高。先看公式\[R(x,y)=\frac{\sum_{x',y'}(T(x',y')\cdotI(x+x',y+y'))}{\sqrt{\sum_{x',y'}T(x',y')^2\cdot\sum_{x',y'}I(......
  • 扫描线模板
    #include<bits/stdc++.h>usingnamespacestd;usingi64=longlong;constintN=1e6+5;//本模板是从左往右扫的,从下往上扫同理#definels(rt<<1)#definers(rt<<1|1)i64cover[N*8];//存放i节点对应区间覆盖情况的值i64n;i64len[N*8];i64yy[N*2];/......
  • template之变参模板学习
    转自:https://www.cnblogs.com/qicosmos/p/4325949.html,讲的很好1.介绍C++11的新特性--可变模版参数(variadictemplates)对参数进行了高度泛化,它能表示0到任意个数、任意类型的参数。 要用三个点来定义:template<class...T>voidf(T...args); 省略号的作用有两个:1.声明......
  • 低开开发笔记(七): 换引擎,点击跳转模板样式
    好家伙, 完整代码已开源https://github.com/Fattiger4399/ph-questionnaire.git 1.思路现在,我们的需求是,点击对应的模板,更换对应的模板数据   2.上代码<el-menudefault-active="2"class="el-menu-vertical-demo"@open="handleOpen"@close="handleClose"......
  • Django自定义模板标签与过滤器
    title:Django自定义模板标签与过滤器date:2024/5/1718:00:02updated:2024/5/1718:00:02categories:后端开发tags:Django模版自定义标签过滤器开发模板语法Python后端前端集成Web组件Django模板系统基础1.Django模板语言概述Django模板语言(DTL)是一种用......
  • JAVA KMP 纯模板
    纯模板记忆使用~classMain{staticchar[]s1;staticchar[]s2;staticint[]next;publicstaticvoidmain(String[]args){Scannerin=newScanner(System.in);s1=in.nextLine().toCharArray();s2=in.nextLine().to......
  • 界面组件DevExpress WPF中文教程 - 如何从CRTX模板文件导入图表设置
    DevExpressWPF 拥有120+个控件和库,将帮助您交付满足甚至超出企业需求的高性能业务应用程序。通过DevExpressWPF能创建有着强大互动功能的XAML基础应用程序,这些应用程序专注于当代客户的需求和构建未来新一代支持触摸的解决方案。无论是Office办公软件的衍伸产品,还是以数据为中......
  • CrushFTP服务器端模板注入
    漏洞描述由于CrushFTP存在服务器端模板注入漏洞,未经身份验证的远程攻击者可以逃避虚拟文件系统(VFS)沙箱,绕过身份验证获得管理访问权限,泄露敏感信息或执行代码。Fofa:server="CrushFTP"||header="/WebInterface/login.html"||banner="/WebInterface/login.html"||header="......