网站篡改演练方案(演练方案).doc

文档编号： 密 级：内部 网站篡改事件 应急演练方案 北京启明星辰信息技术股份有限公司 二○一○年六月  拟 制 修 改 审 核 批 准 读 取 文档版本控制 版本号 发布日期 简要说明 1.0 2010-06-27 初稿 目录 1 引言 4 2 适用范围 5 3 本次演练目标 6 4 演练内容综述 7 4.1 演练事件描述 7 4.2 本次演练原则 7 4.3 演练时间计划 7 4.4 方案启动条件 7 5 演练工作方案 8 5.1 演练准备工作 8 5.2 演练场景搭建 9 5.3 演练收场工作 9 6 演练脚本 10 7 改进工作 12  引言 通过实施具体场景的应急演练来提高应急组织的应急响应能力，本方案针对特定场景的具体演练情况进行描述，主要从演练技术操作层面描述整个演练实施过程，包括场景搭建、演练脚本等内容。  适用范围 本演练方案仅适用于本次在广东电网公司对网站被挂马的应急演练。如果其它应急演练需要，则必须对本演练方案内容进行审核及调整。  本次演练目标 通过本次演练，检验网站篡改预案以及本应急演练方案的完善性和指导性，同时也提高本单位相关工作人员与第三方亚运安保服务机构的协同，并通过后续的演练总结，完善演练预案及方案、改进应急操作及流程、全面提高网站篡改事件的应急响应能力。  演练内容综述 演练事件描述 通过在广东电网公司内网架设一套独立的环境，模拟网站被挂马，在最短时间恢复被篡改的网站对象至正常状态，并追踪攻击来源，清除后门，做好补漏工作。 本次演练原则 本次演练在不影响广东电网网络系统的情况下进行。因此，搭建一套专用的演练网络，所有操作均在该网络上进行。 演练时间计划 根据本次演练方案，整个网站挂马应急演练，不超过1小时（不包括前期场景搭建及准备时间）。 方案启动条件 架设虚拟网站，模拟被入侵挂马，即启动该应急预案。  演练工作方案 演练准备工作 演练沟通会。（确定演练时间、地点、人员） 通过双方召开的演练沟通会，确定本次演练相关人员： 角色 姓名 电话 备注 实时监测人员 应急保障人员 管理协调人员 系统维护人员 应急管理人员。 上级协调人员 同一工作人员可担任多个角色，同一角色亦可由多人担任。 演练地点：XXX 演练时间：XXX夜间12点开始 确定需要备份的系统 由于本次演练环境为专门搭建，不存在需要备份的系统。 确定其它影响 由于本次演练环境为专门搭建，不会对其它任何系统造成影响。 演练场景搭建 三层交换机一台，需支持端口镜像功能。交换机设置网关为； 服务器两台（可用虚拟系统代替，均为WINDOWS 2003操作系统），其中一台搭建被攻击网站，另一台搭建超级巡警统一网站安全监控系统，一台PC用来做攻击方； 网关IP为，攻击方IP为，被攻击网站服务器IP为0，超级巡警服务器IP为1； 软件工具有：网马扫描工具MHTScan、MSScaner，网马分析工具MDecoder。 演练收场工作 1、移除演练环境，测试网络是否正常； 2、总结演练成果（见“改进工作”一章）。 演练脚本 阶段 演练脚本内容 1、准备 1、由应急保障人员备份以搭建好的网站并准备应急页面；（24:00-24:05） MDecoder； （24:05-24:10）iframe id=myIframe src=muma.htm width=0 height=0 frameborder=0/iframe。 ；（24:10-24:15） 2、检测 1、由实时监测人员登录超级巡警统一网站安全监控系统即1查看被攻击网站的被挂马情况；（24:15-24:20）MDecoder分析网站被挂马情况。（24:20-24:32） 3、抑制 1、由应急保障人员备份网站日志和网页文件，停止运行网站；（24:32-24:36）） 4、恢复 1、由应急保障人员恢复网站备份，开启网站；（24:38-24:45）） 根除 由系统维护人员修改加强管理员密码；（服务器密码过于简单） 由系统维护人员删除系统、网站和数据库多余账号；（权限）。（被入侵，留下后门） 由系统维护人员更新服务器补丁；（服务器本身有楼道） 由系统维护人员更新网站版本。（网站代码有漏洞） （24:46-24:55） 6、追踪 1、由应急管理人员汇报上级（24:55-24:45）  改进工作 流程改进：通过实践演练，确定应急操作流程是否需要改进； 文档改进：根据应急演练操作，完善ＡＲＰ攻击预案和演练方案的内容描述； 操作改进：根据演