网络安全应急处置报告模版.docxVIP

  1. 1、本文档共9页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多

Xxxx事件应急处置报告

PAGE1

PAGE2

XXXX单位XXXX事件

应急处置报告

目录

TOC\o1-3\h\z\u1 事件概述 3

2 事件处置过程 3

2.1 确认基本信息 3

2.1.1 异常现象 3

2.1.2 IP地址及网络访问关系 3

2.2 异常排查过程 3

2.2.1 系统排查 3

2.2.2 日志分析 4

2.2.3 样本分析 5

2.3 修复阶段 5

2.4 总结阶段 5

2.5 安全建议 5

3 附录 5

3.1 勒索病毒事件 5

3.2 挖矿木马事件 6

3.3 数据泄漏事件 7

3.4 网页篡改事件 8

3.5 钓鱼邮件事件 9

3.6 拒绝服务攻击事件 10

事件概述

事件现象

事件原因

开始处理时间

处理结束时间

事件处置过程

确认基本信息

异常现象

IP地址及网络访问关系

异常排查过程

系统排查

检查项

检查结果

主机是否存在可疑账户、新增账户

主机是否存在默认共享

主机是否安装杀毒软件

检查主机是否存在弱口令

检查异常网络连接

检查是否存在异常进程

检查进程是否存在异常注入的DLL

检查是否存在异常启动项

检查是否存在异常的计划服务

检查是否存在异常的自启动脚本

检查是否存在异常的系统服务

检查是否存在异常的注册表启动项

检查系统环境变量是否异常

检查TEMP目录是否存在异常文件

检查RECENT文件是否存在异常

检查%APPDATA%下是否存在异常

检查%WINDOWS%下是否存在异常

检查注册表下是否存在其它异常

检查系统补丁更新情况

日志分析

主机日志

安全设备日志

Web日志

样本分析

修复阶段

总结阶段

安全建议

附录

勒索病毒事件

事件现象

文件后缀被篡改,无法正常打开

出现勒索提示信息,要求用户支付赎金

业务系统无法正常访问

应急处置

确认感染主机及感染范围,如:杀毒软件、IDS、主机日志、用户报告等

立即将感染主机进行断网隔离,保留日志、截图、样本等

确认事件原因,如:弱口令、安全漏洞、钓鱼邮件、开放的服务和端口等;

清除勒索病毒,如:使用杀毒软件、专杀工具、重装系统等;

通过备份数据、解密工具等进行数据恢复;

系统安全加固,如:修改弱口令、更新补丁、加固操作系统和应用软件配置等

总结经验教训,如:调整安全策略、开展安全意识培训等

安全建议

部署杀毒软件及安全设备,如防火墙、IPS、流量分析等

在企业网络中进行必要的网段划分和区域隔离

依据最小权限原则,配置网络访问控制策略

配置和加固操作系统和应用软件,如禁用不必要或未使用的功能、实施应用程序日志记录和审核、及时测试并更新供应商补丁等

针对员工进行安全意识培训,如不要使用弱口令、不要随意下载可疑的邮件附件、不要点击可能包含恶意内容的网站连接、不要下载或安装来自于非信任网站上的应用程序等

定期进行数据备份,并验证数据恢复的有效性

优化和完善勒索病毒事件的应急通报和应急处置流程

挖矿木马事件

事件现象

操作系统CPU异常升高

系统和服务响应缓慢

安全设备告警

应急处置

确认受影响主机及影响范围,如:杀毒软件、IDS、主机日志、用户报告等

立即将感染主机进行断网隔离,保留日志、截图、木马样本

确认事件原因,如:弱口令、漏洞、开放的服务和端口等;

清除挖矿木马,如:杀毒软件、专杀工具、重装系统等;

恢复系统功能,监控系统运行状态;

安全配置加固,如:修改弱口令、更新补丁、配置和加固操作系统和应用软件等

总结经验教训,如:调整安全策略、开展安全意识培训等。

安全建议

部署杀毒软件及安全设备,如防火墙、IPS等;

在企业网络中进行必要的网段划分和区域隔离;

依据最小权限原则,配置网络访问控制策略;

定期开展渗透测试,及时整改安全问题

定期漏洞扫描,及时测试并安装补丁程序,修复安全漏洞

实施系统安全加固,如禁用不必要或未使用的功能、开启应用程序日志记录和审核等;

定期进行数据备份,并验证数据恢复的有效性

优化和完善挖矿木马事件的应急通报和应急处置流程

数据泄漏事件

事件现象

外部通报或客户投诉

内部监测发现

安全设备告警

应急处置

分析数据泄露内容、数据量级,确定事件影响程度和影响范围

调查数据泄露原因,如:内部人员泄密、黑客攻击等

向所在地公安机关和上级监管部门进行事件报告

对已泄露数据进行下线或删除处理,如第三方代码平台、网盘等

系统安全加固,如:更改密码、更新补丁、配置和加固操作系统和应用软件等

恢复系统功能和系统数据

总结经验教训,如:调整安全策略、开展安全意识培训等

安全建议

跟踪了

文档评论(0)

8d758 + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档