2024HW行動專項應(yīng)急演練方案

攻防演練行動專項應(yīng)急演練方案第第2頁目錄演練概況 31.1演練目的31.2演練時間31.3演練角色31.4演練環(huán)境31.5演練流程4演練方案 52.1注意事項 52.2演練場景 5SQL注入漏洞 5Strust2漏洞 6演練總結(jié) 7附安全事件處理報告 7演練概況演練目的本次應(yīng)急演練，通過實施具體場景，旨在保障“護網(wǎng)行動”攻防演習期間各安全預(yù)警時效。完善演練預(yù)案、改進應(yīng)急操作及流程。演練時間xxx09:30-10:00xxx10:00-10:30演練角色xxxxxx防守方：本次應(yīng)急響應(yīng)小組演練環(huán)境本次演練完全模擬“護網(wǎng)行動”期間攻防演習環(huán)境，具體如下：攻擊方：用手機開熱點，使用互聯(lián)網(wǎng)代理 對xx系統(tǒng)進行攻擊。防守方：相關(guān)應(yīng)急人員在攻防演習總指揮室。監(jiān)測攻擊情況，阻斷攻擊行為。演練流程演練方案注意事項攻擊方向演練指揮報送演練IP地址。證據(jù)。演練過程中有任何進展，攻防雙方都向演練指揮匯報。準備演練記錄文檔和表格。演練場景注入漏洞風險名稱SQL風險名稱SQL注入風險級別高攻擊者可利用該漏洞， 獲取網(wǎng)站管理賬戶密碼等數(shù)據(jù)庫敏感信息，調(diào)用數(shù)據(jù)庫函數(shù)執(zhí)風險描述行系統(tǒng)命令，篡改、添加、刪除網(wǎng)站數(shù)據(jù)和文件。測試過程1)利用工具探測漏洞地址、檢測是否存在漏洞查看當前數(shù)據(jù)庫名稱查看當前數(shù)據(jù)庫中的表2.2.1.2防守方事件處理序號負責人員操作事項監(jiān)測平臺查看到相關(guān)告警日志，根據(jù)攻擊特征，判斷該異常屬于黑1安全監(jiān)控人員注入行為，保留截圖，上報技術(shù)研判小組負責人分析測試頁面是否存在SQL注入漏洞，商討處理方案。處理方案如技術(shù)研判小組組下：2長、組員如果不存在此漏洞，網(wǎng)絡(luò)管理員將IP拉入黑名單，如果存在SQL漏洞，在將IP拉黑的同時，應(yīng)用管理員修復(fù)此漏洞，對產(chǎn)生漏洞模塊的參數(shù)進行有效性檢測，對危險字符過濾，禁止 ('、"、、、、<>、（）、;、等)特殊字符的傳入。技術(shù)研判小組組長 上報指揮部小組，提出解決方案，等待阻斷下達命令網(wǎng)絡(luò)管理員封禁IP，應(yīng)用管理員修復(fù)漏洞。與相關(guān)監(jiān)測人員確定修應(yīng)急處置小組組長

復(fù)效果。安全監(jiān)控小組 繼續(xù)監(jiān)控系統(tǒng)狀態(tài)，防止后續(xù)攻擊行為應(yīng)急處置小組 填寫安全事件處理報告，提交安全工作組。Strust2 漏洞攻方滲透測試風險名稱 Struts2漏洞 風險級別 高攻擊者利用此漏洞遠程執(zhí)行惡意代碼， 如果struts框架為root或者system權(quán)限。惡意風險描述

用戶可直接以系統(tǒng)最高權(quán)限控制服務(wù)器，威脅到內(nèi)網(wǎng)安全。測試過程

探測漏洞地址拿到webshell防守方事件處理序號 負責人員 操作事項監(jiān)測平臺查看到相關(guān)告警日志，根據(jù)攻擊特征，判斷該異常屬于黑1 安全監(jiān)控小組

客利用Struts2 漏洞進行攻擊的行為，保留截圖，上報技術(shù)研判組負責人技術(shù)研判小組組2長、組員

分析測試頁面是否存在 Struts2漏洞，商討處理方案。處理方案如下：如果不存在此漏洞，網(wǎng)絡(luò)管理員將 IP拉入黑名單，如果存在漏洞，在將IP拉黑的同時，應(yīng)用管理員修復(fù)此漏洞，升級 struts2框架。技術(shù)研判小組組長 上報護網(wǎng)指揮組，提出解決方案，等待阻斷下達命令應(yīng)急處置組 網(wǎng)絡(luò)管理員封禁IP，應(yīng)用管理員修復(fù)漏洞。與相關(guān)監(jiān)測人員確定修復(fù)效果。復(fù)效果。5安全監(jiān)控人員繼續(xù)監(jiān)控系統(tǒng)狀態(tài)，防止后續(xù)攻擊行為。6應(yīng)急處置組填寫安全事件處理報告，提交安全工作組。3演練總結(jié)演練總指揮：演練總指揮對演練進行總結(jié)，提出相關(guān)改進建議。演練相關(guān)人員：演練相關(guān)人員對演練進行討