芜湖市政务云安全事件统一处置流程
目录
1. 总体概况
1.1.引言
网络攻击事件是指通过网络或其他技术手段,利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击,并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。网络攻击事件包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件等7个子类。
1.2.适用范围
本方案是芜湖市政务云网络安全的应急预案,适用于芜湖市政务云发生或可能发生网络与信息安全突发事件的应急保障工作。
2. 组织措施
坚持统一领导、分级负责;坚持统一指挥、密切协同、快速反应、科学处置;坚持预防为主,预防与应急相结合;坚持谁主管谁负责、谁运行谁负责,充分发挥各方面力量共同做好应急响应期间网络安全事件的预防和处置工作。成立芜湖市政务云应急小组。
|
政务云领导组 |
|||
|
序号 |
人员 |
角色 |
联系方式 |
|
1 |
尤银田 |
数据资源科负责人 |
139****1103 |
|
2 |
夏光辉 |
数据资源科负责人 |
199****1227 |
|
3 |
岳磊 |
技术科负责人 |
181****1659 |
|
4 |
冉明顺 |
技术科负责人 |
199****2238 |
|
5 |
张运保 |
电信云计算中心主任 |
153****1345 |
|
6 |
廖晨 |
芜湖市政务云项目总监 |
153****6302 |
|
7 |
马能文 |
芜湖市政务云项目负责人 |
199****3116 |
领导组:领导组由市数据资源管理局、政务云项目电信负责人组成,作为应急响应组织指挥人员,负责负责突发事件的应急指挥、组织协调和过程控制,向国家上级部门报告应急处置进展情况和总结报告。
|
政务云运维团队 |
|||
|
序号 |
人员 |
角色 |
联系方式 |
|
1 |
邓文轩 |
运维团队负责人 |
153****8131 |
|
2 |
湛伟 |
运维团队成员 |
153****2133 |
|
3 |
楼华 |
运维团队成员 |
191****5543 |
|
4 |
郭琦 |
运维团队成员 |
153****1852 |
|
5 |
李阿祥 |
运维团队成员 |
153****6223 |
|
6 |
王宇翔 |
运维团队成员 |
153****1505 |
|
7 |
刘冰冰 |
运维团队成员 |
183****0609 |
|
8 |
利勇 |
运维团队成员 |
153****1315 |
|
9 |
韩世权 |
运维团队成员 |
183****0457 |
|
10 |
郑志健 |
运维团队成员 |
153****1265 |
|
11 |
俞光飞 |
运维团队成员 |
153****0761 |
|
12 |
滕宇 |
运维团队成员 |
186****9265 |
政务云运维团队:运维团队主要由云平台技术人员组成,作为应急响应操作人员,负责应急响应过程中网站、主机等设备的关机、断网、重新启用等操作。
|
政务云安全团队 |
|||
|
序号 |
人员 |
角色 |
联系方式 |
|
1 |
李鑫 |
安全团队负责人 |
153****2880 |
|
2 |
李隹 |
安全团队项目经理 |
177****4735 |
|
3 |
郑伟 |
安全团队项目经理 |
182****6163 |
|
4 |
姜奎 |
安全团队项目经理 |
177****7869 |
|
5 |
刘宋明 |
安全团队成员 |
182****0313 |
|
6 |
刘子何 |
安全团队成员 |
177****2214 |
|
7 |
王星月 |
安全团队成员 |
152****2668 |
|
8 |
李俊杰 |
安全团队成员 |
191****2522 |
|
9 |
刘程 |
安全团队成员 |
150****7620 |
|
10 |
孙硕 |
安全团队成员 |
185****1142 |
|
11 |
汪凌宇 |
安全团队成员 |
180****7078 |
|
12 |
周国栋 |
安全团队成员 |
198****8868 |
|
13 |
江杰 |
安全团队成员 |
199****2689 |
政务云安全团队:安全团队主要由安全监测平台及租户安全平台技术人员组成,作为应急响应操作人员,负责应急响应过程中安全事件的监测、通报、处置、跟踪等操作。
3. 处置流程
3.1.威胁监测
安全监测平台实时监测到业务系统遭受攻击,工作人员利用短信推送功能将威胁攻击信息推送给相关人员。
此外,从其他渠道接收到的紧急事件也将启动本应急预案。
3.2.威胁分析
政务云安全团队查看威胁攻击详情,建立工单,立即开展威胁分析工作。
分析验证工作完成,验证为真实攻击后,政务云安全团队在10分钟内出具事件分析报告。
3.3.威胁上报
事件分析报告出具完毕后,政务云安全团队及政务云运维团队联合制定处置方案,讨论通过后将威胁事件及处置方案上报政务云领导组,经上级单位批准后,按处置方案执行威胁处置工作。
3.4.威胁处置
政务云安全团队按照处置方案分析事件关联性,联动政务云其他团队处置威胁事件。
3.4.1.切断网络流量
紧急关停网站对外服务。
3.4.2.协同处置
政务云安全团队立即对事件展开分析,出具事件分析报告,根据分析报告协助使用单位立即处置事件。
处置步骤:
1、紧急隔离受害主机;
2、梳理系统及网站后台异常帐号登录信息;
3、确认登录行为是否为计划内的动作,实际操作人身份/权限是否合法 ;
4、若发现账户异常,及时冻结账号,并溯源该IP的访问记录;
5、若网站主页被篡改,协助使用单位运维团队利用保存的快照网页将网站主页切换为正常状态;
6、溯源恶意文件;
7、查杀恶意后门文件;
8、查杀恶意webshell;
9、修改账号密码,使之符合复杂度要求;
10、登录网站页面,查看首页是否恢复完毕。
3.4.3.恢复网页
相关使用单位处置完毕后,协助其恢复网页对外访问。
处置完成后,将工单状态修改为已解决,上报政务云领导组,生成事件处置报告。
3.4.4.威胁跟踪
登录安全监测平台查看威胁告警是否依然存在,确认威胁告警消除完毕后,关闭工单,政务云安全团队复审事件处置方案,总结汇报威胁事件处置过程。
3.4.5汇报应急响应成果
编写政务云安全监测平台应急响应总结报告,向政务云领导组汇报本次应急响应成果。
3.5.应急突发情况处理
若30分钟内未恢复,应立即上报政务云领导组及上级单位。
4. 相关附件(表)
政务云安全团队记录应急响应过程中每个科目的操作过程,对操作的重要环节进行拍照留存。
表1 应急响应流程操作表:
|
芜湖电信政务云应急响应操作流程表 |
||
|
记录人: |
应急响应科目:网络攻击事件 |
记录时间: |
|
操作步骤: |
完成情况 |
|
|
步骤1: |
1、威胁监测 |
|
|
步骤2: |
2、威胁分析 |
|
|
步骤3: |
3、威胁通报 |
|
|
步骤4: |
4、威胁处置 |
|
|
步骤5: |
5、切断网络流量 |
|
|
步骤6: |
6、协同处置 |
|
|
步骤7: |
7、恢复网页 |
|
|
步骤8: |
8、威胁跟踪 |
|
|
步骤9: |
9、汇报结果 |
|
|
应急突发情况处理(如有) |
||
|
突发情况:
|
||
表2 应急响应台账:
|
芜湖电信政务云应急响应台账 |
|||||||
|
ID |
日期 |
事件名称 |
开始时间 |
响应时间 |
结束时间 |
责任人 |
备注 |
|
1 |
|
|
|
|
|
|
|
|
2 |
|
|
|
|
|
|
|
|
3 |
|
|
|
|
|
|
|
|
4 |
|
|
|
|
|
|
|
|
5 |
|
|
|
|
|
|
|
|
6 |
|
|
|
|
|
|
|
|
7 |
|
|
|
|
|
|
|
|
8 |
|
|
|
|
|
|
|
|
9 |
|
|
|
|
|
|
|
