网站篡改演练方案演练方案.docxVIP

文档编号： 密 级：内部 网站篡改事件 应急演练方案 北京启明星辰信息技术股份有限公司 二○一○年六月 广东电网公司网站篡改演练方案 第1页共12页 拟 制 修 改 审 核 批 准 读 取 文档版本控制 版本号 发布日期 简要说明 1.0 2010-06-27 初稿 广东电网公司网站篡改演练方案 第2页共12页 目录 1 引言 4 2 适用范围 5 3 本次演练目标 6 4 演练内容综述 7 4.1 演练事件描述 7 4.2 本次演练原则 7 4.3 演练时间计划 7 4.4 方案启动条件 7 5 演练工作方案 8 5.1 演练准备工作 8 5.2 演练场景搭建 9 5.3 演练收场工作 9 6 演练脚本 10 7 改进工作 12 广东电网公司网站篡改演练方案 第3页共12页 引言 通过实施具体场景的应急演练来提高应急组织的应急响应能力， 本方案针对 特定场景的具体演练情况进行描述， 主要从演练技术操作层面描述整个演练实施 过程，包括场景搭建、演练脚本等内容。 广东电网公司网站篡改演练方案 第4页共12页 适用范围 本演练方案仅适用于本次在广东电网公司对网站被挂马的应急演练。如果其 它应急演练需要，则必须对本演练方案内容进行审核及调整。 广东电网公司网站篡改演练方案 第5页共12页 本次演练目标 通过本次演练，检验网站篡改预案以及本应急演练方案的完善性和指导性， 同时也提高本单位相关工作人员与第三方亚运安保服务机构的协同， 并通过后续 的演练总结，完善演练预案及方案、 改进应急操作及流程、 全面提高网站篡改事 件的应急响应能力。 广东电网公司网站篡改演练方案 第6页共12页 演练内容综述 4.1 演练事件描述 通过在广东电网公司内网架设一套独立的环境， 模拟网站被挂马， 在最短时间恢复被篡改的网站对象至正常状态，并追踪攻击来源，清除后门， 做好补漏工作。 4.2 本次演练原则 本次演练在不影响广东电网网络系统的情况下进行。 因此，搭建一套专用的 演练网络，所有操作均在该网络上进行。 4.3 演练时间计划 根据本次演练方案， 整个网站挂马应急演练，不超过 1 小时（不包括前期场 景搭建及准备时间）。 4.4 方案启动条件 架设虚拟网站，模拟被入侵挂马，即启动该应急预案。 广东电网公司网站篡改演练方案 第7页共12页 演练工作方案 5.1 演练准备工作 1、 演练沟通会。（确定演练时间、地点、人员） 通过双方召开的演练沟通会，确定本次演练相关人员： 角色 姓名 电话 备注 实时监测人员 应急保障人员 管理协调人员 系统维护人员 应急管理人员。 上级协调人员 同一工作人员可担任多个角色，同一角色亦可由多人担任。 演练地点： XXX 演练时间： XXX 夜间 12 点开始 2、 确定需要备份的系统 由于本次演练环境为专门搭建，不存在需要备份的系统。 3、 确定其它影响 由于本次演练环境为专门搭建，不会对其它任何系统造成影响。 广东电网公司网站篡改演练方案 第8页共12页 5.2 演练场景搭建 1、三层交换机一台，需支持端口镜像功能。交换机设置网关为 ； 2、服务器两台（可用虚拟系统代替，均为 WINDOWS 2003操作系统），其中一台搭建被攻击网站， 另一台搭建超级巡警统一网站安全监控系统， 一台 PC用来 做攻击方； 3、网关 IP 为 ，攻击方 IP 为 ，被攻击网站服务器 IP 为 0 ，超级巡警服务器 IP 为 1 ； 4、软件工具有： 网马扫描工具 MHTScan 、MSScaner，网马分析工具 MDecoder 。 三层交换机 网关地址： 攻击方 IP: 掩码： 255.255.2555.0 网关： 被攻击方 超级巡警服务器 IP:0 IP ： 1 掩码： 255.255.255 。 0 掩码： 网关： 0 网关： 5.3 演练收场工作 1、移除演练环境，测试网络是否正常； 2、总结演练成果（见“改进工作”一章） 。 广东电网公司网站篡改演练方案 第9页共12页 演练脚本 阶段 演练脚本内容 1、准备 1、由应急保障人员备份以搭建好的网站并准备应急页面； （24:00-24:05 ） 2、由应急保障人员在超级巡警统一网站安全监控系统上加入被攻击网 站的 URL并在该服务器上安装 网马扫描工具 MHTScan 、 MSScaner，网马分 析工具 MDecoder ； （ 24:05-24:10 ） 3、模拟入侵服务器，在 PC 上用远控桌面（ 3389）登陆服务器 A 并在 网站页面上添加模拟木马代码： iframe id=myIframe src=muma.htm width=0 height=0 frameborder=0/iframe 。 ；（ 2