某企業網絡安全保障應急演練報告2016年8月目錄TOC\o"1-5"\h\z\o"CurrentDocument"目的 3\o"CurrentDocument"演練準備情況 3\o"CurrentDocument"演練事件 3\o"CurrentDocument"演練人員安排 3\o"CurrentDocument"演練流程 4\o"CurrentDocument"演練計劃 5\o"CurrentDocument"演練環境 5\o"CurrentDocument"演練內容與過程記錄 5網絡入侵攻擊應急演練 6演練目的 6\o"CurrentDocument"演練方法 6\o"CurrentDocument"安全事件的發現 6\o"CurrentDocument"攻擊源的定位 6\o"CurrentDocument"安全防護措施 7\o"CurrentDocument"安全檢查措施 7惡意代碼應急演練 7演練目的 7\o"CurrentDocument"演練方法 7\o"CurrentDocument"安全事件的發現 8\o"CurrentDocument"攻擊源的定位 8\o"CurrentDocument"安全防護措施 8\o"CurrentDocument"根除措施 9拒絕服務攻擊應急演練 9演練目的 9\o"CurrentDocument"演練方法 9\o"CurrentDocument"安全事件的發現 9\o"CurrentDocument"攻擊源的定位 10\o"CurrentDocument"安全防護措施 10\o"CurrentDocument"根除措施 10\o"CurrentDocument"演練總結報告 111目的應對信息系統突發的安全風險，及時響應并處理安全事件，確保系統的正常運行。加強對突發安全事件的緊急處理能力，根據信息系統可能面臨的主要風險和系統特點，特制定此方案并進行應急演練，檢驗信息系統應急處理流程及突發安全事件的處理能力。2演練準備情況2.1演練事件信息系統面臨的主要風險是：拒絕服務、網絡入侵、惡意代碼、。此次演練將針對這三類事件。拒絕服務：是利用信息系統缺陷、或通過暴力攻擊的手段，以大量消耗信息系統的CPU、內存、磁盤空間或網絡帶寬等資源，從而影響信息系統正常運行為目的的信息安全事件。網絡入侵：利用信息系統漏洞或者缺陷，通過網絡攻擊可訪問的信息系統，從而滲透進入網絡的信息安全事件。惡意代碼：利用信息系統缺陷，通過網絡自動復制并傳播的有害程序。演練人員安排網絡安全小組網絡部：職責：負責安全事件接口和協調處理。監控小組（人員）監控人員：職責：負責系統安全監控。維護小組（人員）維護人員：職責：負責現場操作設備以及事件處理。技術支持單位天融信公司:聯系方式:職責：負責攻擊事件的發起；并協助事件的處理。演練流程

演練計劃時間內容參與人員8月25日上午確定演練計劃天融信中國電信電子渠道中國電信集成公司8月25日下午網絡入侵演練天融信中國電信電子渠道中國電信集成公司8月26日上午惡意代碼演練、拒絕服務攻擊演練天融信中國電信電子渠道中國電信集成公司7750SR-12*10GEChannel750SR-210G單模網絡光纖演練環境7750SR-12*10GEChannel750SR-210G單模網絡光纖To_163To_DCNForti3'40B-1PSIDP3670T-1SW9306-1恭省接口FWDCNForti3140B-2IDP3(570T-2A10-1SW312-1SW906-1FWForti3140B-2312-2A10-2業務層接口&省接口底層接口服務器二期數據庫服務器CMS后臺服務器電商建站營銷平臺用戶相關消息中心比價系統&合作類短信中心年0To_163To_DCNForti3'40B-1PSIDP3670T-1SW9306-1恭省接口FWDCNForti3140B-2IDP3(570T-2A10-1SW312-1SW906-1FWForti3140B-2312-2A10-2業務層接口&省接口底層接口服務器二期數據庫服務器CMS后臺服務器電商建站營銷平臺用戶相關消息中心比價系統&合作類短信中心年0元購???攻擊方：.網絡環境：擁有互聯網IP的相關設備。.攻擊主機：操作系統為windows3演練內容與過程記錄1G單模網絡光纖千兆以太網雙絞線網絡入侵攻擊應急演練演練目的模擬來自于互聯網的入侵攻擊事件，當攻擊者發現存在對外的業務服務時，會嘗試獲取信息系統權限，首先會嘗試進行漏洞掃描。目的：該事件演練目的主要是對來自于互聯網針對某業務服務器的攻擊行為，針對網絡入侵攻擊的發現和處理。演練方法1、通過天融信入侵防御系統的攔截情況，識別被攻擊服務器。2、在天融信入侵防御設備獲取攻擊者的IP，并通過ADS或者防火墻進行攔截。3、檢查被攻擊的服務器，是否被入侵成功。安全事件的發現現象：系統監控人員在監控過程中，發現天融信入侵防御系統報告了入侵事件。監控人員向安全人員發起應急處理流程。明日眄明日眄Sft^助心誠簞地址簞情口目的即tJ30L&-?^3]&：?■：?JJ.L1ELL爾隹町.盤.利：收址口ntSM-37Z.1EILC.Lc&：K'JmL5^E--E&落L』-&LLt<p?&].2t.73:60^H出It]TL3tLD.LJt：?JZ0LJ-WS5W:B:斜1高 Licp1ZM.2I.7il:W：Wns強ITZinaU.U3：3015:找:?塔'中L制5L】①? 25.7；l:M2H淮與]72.]fl.LD.LS:Ki]5：ce-：sJ EWL:54ZM.2；.7r：WZB.SHIM-]7Z1EILE.L23：30"30LS-WZ3]5：Q&：-1SJ中 L制5L1T2.JU.LD.ggJEOL&-fl&~E&落maLt(p12白.22.Tt兩弟372.JGaP.LEt：90日的接口熱作■■也用日廝卻不，一一5c■二.：!LTL-Ltts-y-,?璉4拒骷ptKf,Liteir網'/二:?Li::tlx:/4Hlcral￡t:LLc:14trlv&f'：.EL1：.L?&ft:-UI. .^Lk.Ka-apL4七.?1<￡「?白腳rr翱tfW一—位或卻FEnrag：!LTCrHijMK]!.gcu'.a8?柜的川立立工工也出％*以乳*="<!'-"xck.^Lt；!a'LFEK?iKfc.￡lt.>cE3ptirt:SJt:JattLkxL.xlL. 3■:.上】：；F/tBTEUcLllL.nui1Pt如±.￡1=1"國叫電卸就--典注入攻擊toFD-炳，.-?■?1標6七七瓶；3任叼tsEundALQNjnNLjTrHi-SML式3MTj-kFs注入期導充守號n；由-Fif=fei0；?1種：一加工曲聲曲?聽；口七擇lie-jLic-iu-2-tE'a-2C'laOSlCliaj51=47 "跖書一百廓國^揣3七一一%L：主人兩擊|：汨081,im=ht：p：..-r-f.IW.h；3±M/性任明it?U17^Br-E3MJ3MLc-i-lfcL|-ML5a3LtIE]一:「TftL：主入■莫胃號/擊"，工『".％"H用oMxijHH由V號?.飛口44="X：jpjupzu-j-mr-acaa^a竦l=*i-lsa■由國加時第號一一知全又沌擊灰1血="3?"J」即b'bF在￡，攻擊源的定位依據日志，確認4為攻擊源。被攻擊的目標為依據日志，25安全防護措施在ADS上增加黑名單，過濾來自42.81.22.*的網絡流量。天融信TOPADS|F 干 r—飛IPIP圖42LBL22J.-4ZJL222M安全檢查措施由安全人員與運維人員被攻擊的服務器25進行了檢測，通過進程、線程、賬戶、服務等檢查未發現異常服務與賬戶。通過對系統日志的檢查，發現25服務器存在日志正常，上傳文件、修改賬戶的情況。惡意代碼應急演練演練目的隨這新漏洞的不斷發現和公布，病毒傳播和利用的多樣性也不斷發生變化，主機系統感染病毒的可能性也越來越大。目的：模擬蠕蟲攻擊，目的主要是通過發現處理病毒等惡意程序熟悉對惡意代碼類攻擊處理的流程。演練方法1、通過天融信入侵防御系統的病毒攔截情況，識別攻擊源。2、對確定的服務器進行斷網，并執行病毒查殺。3、人工檢查攻擊源的服務器，是否清除了所有的惡意代碼。

安全事件的發現現象：系統監控人員在監控過程中，發現天融信入侵防御系統報告了病毒事件。監控人員向安全人員發起應急處理流程。由運維人員進行病毒查殺。安全人員與技術支持單位的安全專家提供檢查方法，運維人員進行檢查。時間不件母次過由被理接口目的地址目的接口討昨靦信息“65海一洸10:11:55,2DDDDDLtcpL7Z速ID.qfikgO-tide-230.]fl.137.7^:38224""kkhc-iou2.url-aity.ip]53.20000DLtcpLTZ.36.ID.<9B：3C!eth36210.14.1ST.79:331^-Milk-ious.url-citr.ip]38.ue，-2DLEr-0^2610:1L:34-ZDDDDDLtcFLTZ.]G.ID.4E:EDaih2E230.]>9.137.T&zlEOM'kllJ3-X3QUX.ucL-city.EDX，如5代一洸Ikll的2DDDDDLtcpL7Z倔10.鶴：00fithae230. 131.7^:34050uifl-city-ip]33.coxOB：50:53"2DDDDDLtcpLTZ.36.ID.46:80)eth3B210.14.137.將H46&3'Idilk-ious.url-city.ip]38.ue09:56:53,LtcpL72.]S.ID.2]0.]J.i37.7S:34&MutrLncity. c口nb20l5-08-2o00:50:11"2DDDDDLtcpL72.36.ID.?：S4)Eth^e210.11137.79>：34516"kklsoiaus.iirltitr- tux"2DLEr-03-26D9:5D:3.L-2DDDDDLtcFLT2.36.ID.4E:BD330.]4.137.79：3JS15.Idlj3C3SUX.UFL-CLtT.3p]jS.EDIos：50：or2DDDDD1tcpL72It.ID.-tide-l?:34419"IdkLoinum.url-city-ip]'33.uoi2仇5HS-26聞報捐*2DDDDDLtcpLT2.36.ID.19B：3Oeth362W.H.137.7V：3dl311-Milk-ious.url^itj-.ip]33,ue"2DLS-0年26DS：JL：4L*2DDDDDLtcFLTS.36.ID.4E:BD&：55fi7B.idiJaciauz.urL-city.glM.edx“仇5海一洸的：QL:2r200000LtcpL72Ifi.ID.q肌加-tide-l?:5^S""kkljc-iou2.url-aity.M兌.攻擊源的定位從日志看，蠕蟲的ip為。安全防護措施.確定問題主機的ip、物理位置。.必要情況下，斷網隔離。.通過防病毒軟件進行病毒檢查與查殺。.在問題主機上，確定惡意代碼特征：進程、端口等，通常以netstat-naple查看進程和端口的綁定情況，分析出異常的端口或者進程.Ps-ef會列出系統正在運行的所有進程.Netstat-an列出所有打開的端口及連接狀態.Lsof-i只顯示網絡套接字的進程.Arp-a列出當前系統arp表，重點檢查網關MAC地址.使用top命令查看cpu、內存利用率高的進程；.查看/etc/rc2.drc3.d旌5"等目錄，ls-l查看有無新增或者最近修改的系統服務。

根除措施.清除惡意代碼，一般先停止惡意進程，同時將其相關文件刪除。Kill惡意進程pid號rm-rf惡意程序.安裝補丁或通過安全配置，修復漏洞。拒絕服務攻擊應急演練演練目的模擬來自于骨干網的拒絕服務攻擊事件，當攻擊者在獲取信息系統權限未遂時，可能會發起以消耗資源為目的拒絕服務攻擊，從而使信息服務響應速度慢甚至不響應。目的：該事件演練目的主要是對來自于互聯網針對某業務服務器的大量非法連接，synflood攻擊的發現和處理。演練方法1、通過系統監控人員，識別被攻擊服務器。2、在天融信抗拒絕服務攻擊設備上根據攻擊類型做出相應的防護規則。3、用訪問客戶機訪問被攻擊服務器上的網站，檢驗下防護效果；同時訪問下未被攻擊的服務器，檢驗防護攻擊流量時對主網絡是否有影響；在被攻擊服務器通過任務管理器的網絡信息檢驗的防護效果。安全事件的發現現象：運行維護人員發現，服務器進行連接時，出現連接不上或者連接速度非常慢的情況。同時系統監控人員在監控過程中，也發現了大量半連接。

攻擊源的定位系統狀態不正常，發現有許多外網異常端口TCP連接；在業務服務器上netstat-na發現大量syn半連接，同時檢查服務器的cpu、內存的利用率。通過網絡分析大量連接的源地址，部分來源為假地址，部分為真地址。使用sniffer等網絡流量監控軟件，分析數據包的特征，主要涉及攻擊的源訐，目的訐及端口。安全防護措施安全小組人員依據發現的情況，通過網絡包的分析，調整了天融信抗拒絕服務設備ADS的安全策略。4缸□內*10。陽廳]iB^aJEtr14：/]□]4,4Exhja行HEJg^ppi-將發現攻擊的ip地址添加到黑名單中進行過濾。甯差事陶目MuiE1工亡名單□ 將發現攻擊的ip地址添加到