1、文檔編號: 密 級：內部網站篡改事件應急演練方案北京啟明星辰信息技術股份有限公司二。一。年六月廣東電網公司網站篡改演練方案第1頁共12頁擬 制修 改審 核批 準讀 取廣東電網公司網站篡改演練方案第2頁共12頁文檔版本控制版本號發布日期簡要說明1.02010-06-27初稿目錄 TOC o 1-5 h z 弓I言4 HYPERLINK l bookmark4 o Current Document 適用范圍5 HYPERLINK l bookmark6 o Current Document 本次演練目標6 HYPERLINK l bookmark8 o Current Document 演練內容綜

2、述7 HYPERLINK l bookmark10 o Current Document 演練事件描述7 HYPERLINK l bookmark12 o Current Document 本次演練原則7 HYPERLINK l bookmark14 o Current Document 演練時間計劃7 HYPERLINK l bookmark16 o Current Document 方案啟動條件 7 HYPERLINK l bookmark18 o Current Document 演練工作方案8 HYPERLINK l bookmark20 o Current Document 演練準備

3、工作8 HYPERLINK l bookmark22 o Current Document 演練場景搭建9 HYPERLINK l bookmark24 o Current Document 演練收場工作9 HYPERLINK l bookmark26 o Current Document 演練腳本10 HYPERLINK l bookmark28 o Current Document 改進工作12廣東電網公司網站篡改演練方案第3頁共12頁1引言通過實施具體場景的應急演練來提高應急組織的應急響應能力，本方案針對特定場景的具體演練情況進行描述，主要從演練技術操作層面描述整個演練實施 過程，包括場

4、景搭建、演練腳本等內容。廣東電網公司網站篡改演練方案第4頁共12頁2適用范圍本演練方案僅適用于本次在廣東電網公司對網站被掛馬的應急演練。如果其 它應急演練需要，則必須對本演練方案內容進行審核及調整。廣東電網公司網站篡改演練方案第5頁共12頁3本次演練目標通過本次演練，檢驗網站篡改預案以及本應急演練方案的完善性和指導性，同時也提高本單位相關工作人員與第三方亞運安保服務機構的協同， 并通過后續 的演練總結，完善演練預案及方案、改進應急操作及流程、全面提高網站篡改事 件的應急響應能力。廣東電網公司網站篡改演練方案第6頁共12頁4演練內容綜述演練事件描述通過在廣東電網公司內網架設一套獨立的環境， 模擬

5、網站被掛馬，在最短時 間恢復被篡改的網站對象至正常狀態，并追蹤攻擊來源，清除后門， 做好補漏工 作。本次演練原則本次演練在不影響廣東電網網絡系統的情況下進行。因此，搭建一套專用的演練網絡，所有操作均在該網絡上進行。演練時間計劃根據本次演練方案，整個網站掛馬應急演練，不超過1小時（不包括前期場 景搭建及準備時間）。方案啟動條件架設虛擬網站，模擬被入侵掛馬，即啟動該應急預案。廣東電網公司網站篡改演練方案第7頁共12頁5演練工作方案5.1演練準備工作1、演練溝通會。（確定演練時間、地點、人員）通過雙方召開的演練溝通會，確定本次演練相關人員:角色姓名電話備注實時監測人員應急保障人員管理協調人員系統維護

6、人員應急管理人員。上級協調人員同一工作人員可擔任多個角色，同一角色亦可由多人擔任。演練地點：XXX演練時間：XXX夜間12點開始2、確定需要備份的系統由于本次演練環境為專門搭建，不存在需要備份的系統。3、確定其它影響由于本次演練環境為專門搭建，不會對其它任何系統造成影響廣東電網公司網站篡改演練方案第8頁共12頁演練場景搭建1、三層交換機一臺，需支持端口鏡像功能。交換機設置網關為 ;2、服務器兩臺（可用虛擬系統代替，均為WINDOWS 2003作系統），其中一臺搭建被攻擊網站，另一臺搭建超級巡警統一網站安全監控系統，一臺PC用來做攻擊方；3、網關IP為 ,攻擊方IP為 ,被攻擊網站服務器IP 為

7、 0 ,超級巡警服務器 IP 為 1 ;4、軟件工具有： 網馬掃描工具 MHTScan、MSScaner,網馬分析工具 MDecoder。掩碼： 網關：掩碼：255.255.255 。 0 網關：0演練收場工作1、移除演練環境，測試網絡是否正常；2、總結演練成果（見“改進工作” 一章）廣東電網公司網站篡改演練方案第9頁共12頁6演練腳本廣東電網公司網站篡改演練方案第10頁共12頁階段演練腳本內容1、準備1、由應急保障人員備份以搭建好的網站并準備應急頁面； (24:00-24:05 )2、由應急保障人員在超級巡警務-網站安全監控系統上加入被攻擊網站白URL并在該服務器上安裝 網馬掃描工具 MHT

8、Scan、MSScaner,網馬分析工具 MDecoder；(24:05-24:10 )3、模擬入侵服務器，在 PC上用遠控桌面(3389)登陸服務器A并在 網站頁向上添加模擬木馬代碼： 。;(24:10-24:15 )2、檢測1、由實時監測人員登錄超級巡警統一網站安全監控系統即 HYPERLINK 1 1查看被攻擊網站的被掛馬情況;(24:15-24:20 )2、由應急保障人員在分別利用工具 MHTScan MSScaner MDecoder 析網站被掛馬情況。(24:20-24:32 )3、抑制1、由應急保障人員備份網站日志和網頁文件，停止運行網站； (24:32-24:36 )2、由應急保障人員暫啟用應急網站，避免停止服務。(24:36-24:38 )4、恢復1、由應急保障人員恢復網站備份，開啟網站；(24:38-24:45 )2、由應急保障人員在測試網站可用性。(24:45-24:46 )5、根除1、由系統維護人員修改加強管理員密碼；(服務器密碼過于簡單)2、由系統維護人員刪除系統、網站和數據庫多余賬號；(權限)。(被入侵，留卜后門)3、由系統維護人員更新服務器補丁；(服務器本身有樓道)4、由系統維護人員更新網站版本。(網站代碼后漏洞)(24:46-24:55 )6、追蹤1、由應急管理人員匯報上級(24:55-24:45 )廣東電網公司網站篡改演練方案第11頁共12頁2