读虚拟火炬z遭受拒绝服务攻击应急预案v1.2.docxVIP

PAGE \* MERGEFORMAT 8 第二届亚洲青年运动会 虚拟火炬遭受拒绝服务攻击应急预案 V1.0 信息技术部 2013 年6 月 文档控制 版本号 描述 责任人 发布日期 备注 V1.0 起草 邢伟 2013.6.25 V1.1  目录 TOC \o 1-3 \h \z \u HYPERLINK \l _Toc360045831 1 预案描述 PAGEREF _Toc360045831 \h 4 HYPERLINK \l _Toc360045832 2 目标 PAGEREF _Toc360045832 \h 4 HYPERLINK \l _Toc360045833 3 应急资源 PAGEREF _Toc360045833 \h 4 HYPERLINK \l _Toc360045834 4 前置条件 PAGEREF _Toc360045834 \h 5 HYPERLINK \l _Toc360045835 5 路线选择 PAGEREF _Toc360045835 \h 6 HYPERLINK \l _Toc360045836 6 处置步骤 PAGEREF _Toc360045836 \h 6 HYPERLINK \l _Toc360045837 7 沟通矩阵 PAGEREF _Toc360045837 \h 8 预案描述 预案编写方 江苏国瑞信安科技有限公司 启动条件 在亚青会虚拟火炬投火时刻，部署在青奥专网外部DMZ区域的虚拟火炬系统服务器受到来自互联网的拒绝服务攻击，已知可能表现出（1）虚拟火炬系统不能正常提供服务或服务中断；（2）服务器CPU占用率过高或死机；（3）互联网接入区抗DDOS或防火墙设备发出拒绝服务攻击报警；（4）针对虚拟火炬出现流量异常增长；（5） 青奥专网互联网出口防火墙资源占用率过高。 适用范围 适用于虚拟火炬、互联网接入区、外部DMZ区 目标 TOC层面目标 依据受影响业务性质被定义为二级或一级事件，要求赛前8小时以内，赛时2小时以内，快速恢复虚拟火炬对外主要服务功能。 TOC分目标 描述 实现标志 1 事件性质和影响确定 TOC值班主任组织相关人员集中研判 能够识别网络攻击类型、源地址和目的地址，确定网络攻击程度和受影响范围 2 出台内部力所能及的应对 TOC汇总各方信息后 制定并实施临时限制措施，能对少量攻击源攻击流量进行阻断或通过其他措施缓解攻击压力 3 请求外部资源支持 TOC联系请求应急支援 外部资源投入应急处置 场面层面分目标 描述 实现标志 无 应急资源 资源名称 资源类型 资源位置 资源数量 资源所属 信息安全经理 人力资源 现场 1 国瑞信安 信息安全专家 人力资源 现场 2 国瑞信安 网络与通信经理 人力资源 现场 1 中国电信 系统工程师 人力资源 现场 1 魔盒 中国电信 人力资源 远程 1 中国电信 省通管局 人力资源 远程 1 省通管局 云服务器 物资资源 现场 1 中国电信 前置条件 技术设施 系统安全初始化快照 责任单位 网络设备 获取路由表 获取访问控制列表 获取用户账号权限信息列表 获取资源利用状态信息列表 获取配置文件 保存以上所有文件到光盘内 中国电信 安全设备 获取账号信息 获取资源利用状态信息列表 获取防护策略信息 获取配置文件 保存以上所有文件到光盘内 国瑞信安 主机设备 获取服务进程列表 获取系统关键文件签名 获取资源利用状态信息列表 获取账号信息 获取对外服务端口列表 获取系统备份信息 保存以上所有文件到光盘内 魔盒 Web服务器/中间件服务器 获取服务进程列表 获取部署程序包签名 保存以上所有文件到光盘内 魔盒 数据库 获取用户账号信息 获取数据库初始化参数 获取数据库文件备份信息 保存以上所有文件到光盘内 魔盒 路线选择 路线描述 执行时间 所需资源 影响说明 风险及其应对 1 高强度分布式拒绝服务攻击应对 赛时2小时 赛前8小时 省通管局 中国电信 信息安全经理 系统工程师 具体针对1. 青奥专网互联网出口带宽消耗增长迅速难以抑制；2. 网络攻击强度非常高，超出系统的额定负荷；3. 攻击源数量众多，难以快速有效抑制和阻断 短时间未采取抑制措施 ，会导致服务中断， 2 低强度拒绝服务攻击应对 赛时2小时 赛前8小时 通信与网络经理 信息安全经理 系统工程师 具体针对1. 网络攻击强度没有超出系统的额定负荷；2. 攻击源少数可被实施阻断；3. 虚拟火炬系统可继续提供服务 需快速反应有效抑制，防止低强度攻击演变为高强度攻击 处置步骤 步骤名称 紧前工作 步骤内容 操作说明 操作人 所需时间 1事件的检测、取证 无 TOC值班主任组织各团队对网络设备、安全设备、服务器、应用系统当前运行状况进行检测、分析