1、廣安分公司網絡信息安全應急演練方案2010-9-20 一、演練目的  加強和完善網絡與信息安全應急管理措施，層層落實責任，有效預防、及時控制和最大限度地消除信息安全各類突發事件的危害和影響，確保網絡的暢通運行。二、應急處置原則在網絡與信息安全工作中，應遵循以下應急處置原則：1、統一指揮，統一調度。分公司網絡與信息安全應急小組在應急處理方面，受省公司統一領導。2、加強對網絡設施的實時監控和防范，對重點網絡設備或可能發生單點故障的設備或電路加強主動維護，增加冗余備份措施，首先確保關鍵網絡和應用的安全運行。3、快速反應，迅速處理，控制事態的發展。發現突發事件，應迅速逐級上報。同時

2、，采取必要的應急手段，防止事態進一步蔓延，將損失和危害降到最小4、做好安全事件的歷史記錄，以便追查根源。對于網絡信息安全事件的處理過程，作好詳細記錄，以便追查事故起源，并配合相關部門進行處理。5、加強學習，提高處置能力。定期進行網絡與信息安全應急處置工作的學習交流，通報工作情況，交流處理經驗，提高應急處理能力。三、演練部分。1、時間地點。開始時間2010年09月26日20時00分預計結束時間2010年09月26日23時00分演練地點四川省廣安市前進大道移動大樓四樓2、演練人員：職責所屬公司姓名聯系 總體負責人廣安移動網絡部數據組王彝分公司操作負責人廣安移動網絡部數據組王彝唐偉偉分公司操作負責人

3、廣安移動網絡部數據組黃鑫3、演練前準備工作。在進行應急演練工作之前，應先對設備配置文件等恢復系統需要的數據進行備份，要求在演練當晚19:00前完成備份工作，并完成相關檢查工作，演練前需填寫責任人、完成時間等內容：序號工作內容責任人完成時間1配置備份2對服務器設備進行健康檢查3對服務器上行鏈路狀態進行檢查4確認服務器上無告警信息4、演練內容。DDoS入侵的檢測和快速反應使用虛擬機虛擬一臺服務器，并打開一個高危端口。Hacker發現了這個漏洞，利用DDoS攻擊服務器。識別當前狀況 備注 1.網絡流量突然增大。根據抓包軟件發現主機對目標主機進行了端口掃描，然后發現流量突然增大，進過甄別，發現是大量的

4、只有2次握手的請求信息，確定是DDos攻擊。2抓包 工具顯示，來自XX.XXX.XXX.XX的主機對目標主機XX.XXX.XXX.XXX發送了大量的SYN握手信息，并且無第三次握手請求以及必須的ACK信息。控制控制攻擊具體方法1. 運用windows TCP/IP篩選過濾端口，防御端口掃描。2. 關閉端口，更新系統補丁，并完整檢查系統。3. 監控流量1小時，超過1小時無異常的話，解除警報。 第一步，點擊“開始”菜單/設置/控制面板/管理工具，雙擊打開“本地安全策略”，選中“IP 安全策略，在本地計算機”，在右邊窗格的空白位置右擊鼠標，彈出快捷菜單，選擇“創建 IP 安全策略”（如右圖），于是彈

5、出一個向導。在向導中點擊“下一步”按鈕，為新的安全策略命名；再按“下一步”，則顯示“安全通信請求”畫面，在畫面上把“激活默認相應規則”左邊的鉤去掉，點擊“完成”按鈕就創建了一個新的IP 安全策略。 第二步，右擊該IP安全策略，在“屬性”對話框中，把“使用添加向導”左邊的鉤去掉，然后單擊“添加”按鈕添加新的規則，隨后彈出“新規則屬性”對話框，在畫面上點擊“添加”按鈕，彈出IP篩選器列表窗口；在列表中，首先把“使用添加向導”左邊的鉤去掉，然后再點擊右邊的“添加”按鈕添加新的篩選器。 第三步，進入“篩選器屬性”對話框，首先看到的是尋址，源地址選“任何 IP 地址”，目標地址選“我的 IP 地址”；點

6、擊“協議”選項卡，在“選擇協議類型”的下拉列表中選擇“TCP”，然后在“到此端口”下的文本框中輸入“23”，點擊“確定”按鈕（如左圖），這樣就添加了一個屏蔽 TCP 23（RPC）端口的篩選器，它可以防止外界通過23端口連上你的電腦。 點擊“確定”后回到篩選器列表的對話框預期結果在完成以上步驟后，數據恢復正常。觀察期內無反復。實際結果完成攻防以后，留下數據和截圖作為備份，保證以后遇到類似的情況可以游刃有余的處理以及可以做好對DDos攻擊的提前防范。四、應急措施1、如果1個小時還是無法有效的阻止對方入侵，應當果斷切斷網線，把線路切換到備用服務器。并停機自檢。2、如果出現反復，檢查服務后仍然沒有發現，也應當果斷切斷網線，把線路到備用服務器，并停機自檢