最近护网/重保网络安全应急演练方案
作者:互联网
放一个 网络安全应急演练方案的模板,框架有了, 大家根据自己需求做点调整。
演练说明
演练场景
本次演练以业务系统遭受外部攻击,服务器沦陷,从而导致系统被破坏为背景。主要模拟事件发现与评估、启动响应、信息通报、应急处置、问题根除、恢复重建、调查和持续改进全过程。
演练时间
20XX/XX/XX-20XX/XX/XX
演练范围
涉及业务系统如下:
1、A:xxx
5、B:xxx
6、C:xxx
演练目标
-
应急检验:通过开展应急演练,检验一旦发生危害事件时,提升部门的应急能力和响应速度。
-
完善准备:通过开展应急演练,检查应对应急事件所需应急队伍、装备、技术等方面的准备情况。
-
锻炼队伍:增强演练组织、队伍和人员对应急预案的熟悉程度,提高应急处置能力。
-
磨合机制:通过开展应急演练,进一步明确相关单位和人员的职责任务、理顺工作关系,完善应急机制。
-
安全宣贯:普及应急知识,宣贯应急意识,提高员工防范意识和遇到主机入侵事件的应对能力。
演练组织
组长:安全室管理员
副组长:各部室安全管理员
成员:各业务负责人、安全厂商、业务厂商
演练实施及阶段安排
演练工作实施分为7个阶段:
准备阶段、攻击阶段、监测阶段、抑制阶段、根除阶段、恢复阶段、演练总结阶段。
准备阶段
-
XX系统配置核查
核查XXX -
硬件环境及网络检查
主机内存、CPU、网络路由检查 -
数据库状态检查及备份
核查XXX -
应急脚本状态测试、检查
1.检查备份脚本
2.检查主机脚本是否可执行
3.进入主机目录查看应用备份脚本 -
备份生产主机的数据和文件
1.到对应主机上执行备份脚本(备份所有应用),开始备份。
2.检查发布环境备份结果
3.备份主机文件夹
4.进入主机目录执行应用备份脚本 -
网站发布演练公告
发布本次演练公告
攻击阶段
-
尝试黑客入侵内网主机
渗透测试组尝试进行入侵攻击 -
业务测试确认
测试关键业务 -
web单点故障模拟
查看应用主进程号ps –ef | grep java
停掉主机进程 -
中间件单点故障模拟
挂起部分服务进程(查询、办理类服务) -
数据库单点故障模拟
挂起主机数据库进程
监测阶段
-
防火墙网络设备确认攻击情况
互联网域防火墙检测异常会话数与流量 -
waf、ips确认攻击情况
分析判断WAF、IPS告警情况 -
主机、数据库确认攻击情况
主机、数据库侧查看业务异常情况
抑制阶段
-
防火墙网络设备封堵攻击源ip
调整互联网域已经内网防火墙策略封禁异常IP -
waf、ips封堵攻击行为
调整WAF策略阻断异常web安全攻击 -
主机、数据库紧急断网处置
将受害主机服务器软件网卡以及物理断网隔离
根除阶段
-
隔离失陷主机
将受害主机断网隔离处理 -
异常进程、账号排查
查看主机登录日志并核查主机进程 -
后门查杀工具查杀后门
利用赛门铁克、云计算管控平台对受害主机进行病毒查杀以及后门清理
恢复阶段
-
主机、数据库单点恢复
重启所有的应用进程 -
网络连接恢复
业务访问测试网络连接是否回复 -
中间件单点恢复
恢复服务进程(查询、办理类服务) -
Web单点恢复
恢复主机业务进程,登陆主机
放一个 网络安全应急演练方案的模板,框架有了, 大家根据自己需求做点调整。
演练说明
演练场景
本次演练以业务系统遭受外部攻击,服务器沦陷,从而导致系统被破坏为背景。主要模拟事件发现与评估、启动响应、信息通报、应急处置、问题根除、恢复重建、调查和持续改进全过程。
演练时间
20XX/XX/XX-20XX/XX/XX
演练范围
涉及业务系统如下:
1、A:xxx
5、B:xxx
6、C:xxx
演练目标
-
应急检验:通过开展应急演练,检验一旦发生危害事件时,提升部门的应急能力和响应速度。
-
完善准备:通过开展应急演练,检查应对应急事件所需应急队伍、装备、技术等方面的准备情况。
-
锻炼队伍:增强演练组织、队伍和人员对应急预案的熟悉程度,提高应急处置能力。
-
磨合机制:通过开展应急演练,进一步明确相关单位和人员的职责任务、理顺工作关系,完善应急机制。
-
安全宣贯:普及应急知识,宣贯应急意识,提高员工防范意识和遇到主机入侵事件的应对能力。
演练组织
组长:安全室管理员
副组长:各部室安全管理员
成员:各业务负责人、安全厂商、业务厂商
演练实施及阶段安排
演练工作实施分为7个阶段:
准备阶段、攻击阶段、监测阶段、抑制阶段、根除阶段、恢复阶段、演练总结阶段。
准备阶段
-
XX系统配置核查
核查XXX -
硬件环境及网络检查
主机内存、CPU、网络路由检查 -
数据库状态检查及备份
核查XXX -
应急脚本状态测试、检查
1.检查备份脚本
2.检查主机脚本是否可执行
3.进入主机目录查看应用备份脚本 -
备份生产主机的数据和文件
1.到对应主机上执行备份脚本(备份所有应用),开始备份。
2.检查发布环境备份结果
3.备份主机文件夹
4.进入主机目录执行应用备份脚本 -
网站发布演练公告
发布本次演练公告
攻击阶段
-
尝试黑客入侵内网主机
渗透测试组尝试进行入侵攻击 -
业务测试确认
测试关键业务 -
web单点故障模拟
查看应用主进程号ps –ef | grep java
停掉主机进程 -
中间件单点故障模拟
挂起部分服务进程(查询、办理类服务) -
数据库单点故障模拟
挂起主机数据库进程
监测阶段
-
防火墙网络设备确认攻击情况
互联网域防火墙检测异常会话数与流量 -
waf、ips确认攻击情况
分析判断WAF、IPS告警情况 -
主机、数据库确认攻击情况
主机、数据库侧查看业务异常情况
抑制阶段
-
防火墙网络设备封堵攻击源ip
调整互联网域已经内网防火墙策略封禁异常IP -
waf、ips封堵攻击行为
调整WAF策略阻断异常web安全攻击 -
主机、数据库紧急断网处置
将受害主机服务器软件网卡以及物理断网隔离
根除阶段
-
隔离失陷主机
将受害主机断网隔离处理 -
异常进程、账号排查
查看主机登录日志并核查主机进程 -
后门查杀工具查杀后门
利用赛门铁克、云计算管控平台对受害主机进行病毒查杀以及后门清理
恢复阶段
-
主机、数据库单点恢复
重启所有的应用进程 -
网络连接恢复
业务访问测试网络连接是否回复 -
中间件单点恢复
恢复服务进程(查询、办理类服务) -
Web单点恢复
恢复主机业务进程,登陆主机
演练总结
-
确认业务恢复情况
各业务侧进行业务访问测试,检查业务是否回复正常 -
编写演练报告
总结优化威胁处置流程,对演练系统暴露出的问题进行修补改进等
更多报告!!
这个项目会不定期更新一些报告,欢迎大家关注!
https://github.com/awake1t/HackReport
演练总结
-
确认业务恢复情况
各业务侧进行业务访问测试,检查业务是否回复正常 -
编写演练报告
总结优化威胁处置流程,对演练系统暴露出的问题进行修补改进等
更多报告!!
这个项目会不定期更新一些报告,欢迎大家关注!
https://github.com/awake1t/HackReport
标签:网络安全,主机,备份,业务,阶段,重保,应急,演练,护网 来源: https://blog.csdn.net/qq_34923966/article/details/118275240