护网行动专项应急演练方案

攻防演练行动专项应急演练方案文件编号现版本号V1.0实施日期xxx信息中心第2页目录1演练概况....................................................................................................................................31.1演练目的...............................................................................................................................31.2演练时间...............................................................................................................................31.3演练角色...............................................................................................................................31.4演练环境...............................................................................................................................31.5演练流程...............................................................................................................................42演练方案....................................................................................................................................52.1注意事项...............................................................................................................................52.2演练场景...............................................................................................................................52.2.1SQL注入漏洞.................................................................................................................52.2.2Strust2漏洞...................................................................................................................63演练总结....................................................................................................................................7附安全事件处理报告..................................................................................................................7第3页1演练概况1.1演练目的本次应急演练，通过实施具体场景，旨在保障“护网行动”攻防演习期间各应急小组协调组织能力，提升攻防演习期间对安全问题的应急响应水平以及网络安全预警时效。完善演练预案、改进应急操作及流程。1.2演练时间正式演练：x月xx日09:30-10:00演练总结：x月xx日10:00-10:301.3演练角色演练指挥：xx攻击方：xxxx防守方：本次应急响应小组1.4演练环境本次演练完全模拟“护网行动”期间攻防演习环境，具体如下：攻击方：用手机开热点，使用互联网代理IP，对xx系统进行攻击。防守方：相关应急人员在攻防演习总指挥室。监测攻击情况，阻断攻击行为。第4页1.5演练流程第5页2演练方案2.1注意事项1.攻击方向演练指挥报送演练IP地址。2.演练过程中保留好入侵截图或相关证据；同时保留好相关阻断攻击行为的证据。3.演练过程中有任何进展，攻防双方都向演练指挥汇报。4.准备演练记录文档和表格。2.2演练场景2.2.1SQL注入漏洞2.2.1.1攻方渗透测试风险名称SQL注入风险级别高风险描述攻击者可利用该漏洞，获取网站管理账户密码等数据库敏感信息，调用数据库函数执行系统命令，篡改、添加、删除网站数据和文件。测试过程1)利用工具探测漏洞地址、检测是否存在漏洞2）查看当前数据库名称3）查看当前数据库中的表2.2.1.2防守方事件处理序号负责人员操作事项1安全监控人员监测平台查看到相关告警日志，根据攻击特征，判断该异常属于黑客SQL注入行为，保留截图，上报技术研判小组负责人2技术研判小组组长、组员分析测试页面是否存在SQL注入漏洞，商讨处理方案。处理方案如下：如果不存在此漏洞，网络管理员将IP拉入黑名单，如果存在SQL漏洞，在将IP拉黑的同时，应用管理员修复此漏洞，对产生漏洞模块第6页的参数进行有效性检测，对危险字符过滤，禁止('、、+、%、&、、（）、;、等)特殊字符的传入。3技术研判小组组长上报指挥部小组，提出解决方案，等待阻断下达命令4应急处置小组组长网络管理员封禁IP，应用管理员修复漏洞。与相关监测人员确定修复效果。5安全监控小组继续监控系统状态，防止后续攻击行为6应急处置小组填写安全事件处理报告，提交安全工作组。2.2.2Strust2漏洞2.2.2.1攻方渗透测试风险名称Struts2漏洞风险级别高风险描述攻击者利用此漏洞远程执行恶意代码，如果struts框架为root或者system权限。恶意用户可直接以系统最高权限控制服务器，威胁到内网安全。测试过程1)探测漏洞地址2)拿到webshell3）获取数据库权限2.2.2.2防守方事件处理序号负责人员操作事项1安全监控小组监测平台查看到相关告警日志，根据攻击特征，判断该异常属于黑客利用Struts2漏洞进行攻击的行为，保留截图，上报技术研判小组负责人2技术研判小组组长、组员分析测试页面是否存在Struts2漏洞，商讨处理方案。处理方案如下：如果不存在此漏洞，网络管理员将IP拉入黑名单，如果存在Struts2漏洞，在将IP拉黑的同时，应用管理员修复此漏洞，升级struts2框架。3技术研判小组组长上报护网指挥组，提出解决方案，等待阻断下达命令4应急处置组网络管理员封禁IP，应用管理员修复漏洞。与相关监测人员确定修第7页复效果。5安全监控人员继续监控系统状态，防止后续攻击行为。6应急处置组填写安全事件处理报告，提交安全工作组。3演练总结演练总指挥：演练总指挥对演练进行总结，提出相关改进建议。演练相关人员：演练相关人员对演练进行讨论，提出相关改进建议。附安全事件处理报告安全事件处理报告编写人：编写日期：攻击类型和特征应用系统名称事件描述应急处理时间事件上报过程应急处理过程事件处理结果上报