广安分公司网络信息安全演练方案.doc

广安分公司网络信息安全应急演练方案 2010-9-20 一、演练目的 ??加强和完善网络与信息安全应急管理措施，层层落实责任，有效预防、及时控制和最大限度地消除信息安全各类突发事件的危害和影响，确保网络的畅通运行。 二、应急处置原则 在网络与信息安全工作中，应遵循以下应急处置原则： 1、统一指挥，统一调度。分公司网络与信息安全应急小组在应急处理方面，受省公司统一领导。 2、加强对网络设施的实时监控和防范，对重点网络设备或可能发生单点故障的设备或电路加强主动维护，增加冗余备份措施，首先确保关键网络和应用的安全运行。 3、快速反应，迅速处理，控制事态的发展。发现突发事件，应迅速逐级上报。同时，采取必要的应急手段，防止事态进一步蔓延，将损失和危害降到最小 4、做好安全事件的历史记录，以便追查根源。对于网络信息安全事件的处理过程，作好详细记录，以便追查事故起源，并配合相关部门进行处理。 5、加强学习，提高处置能力。定期进行网络与信息安全应急处置工作的学习交流，通报工作情况，交流处理经验，提高应急处理能力。 三、演练部分。 1、时间地点。 开始时间 2010年09月26日20时00分 预计结束时间 2010年09月26日23时00分 演练地点 四川省广安市前进大道移动大楼四楼 2、演练人员： 职责 所属公司 姓名 联系电话 总体负责人 广安移动网络部数据组 王彝 分公司操作负责人 广安移动网络部数据组 王彝 唐伟伟15892395770 分公司操作负责人 广安移动网络部数据组 黄鑫 3、演练前准备工作。 在进行应急演练工作之前，应先对设备配置文件等恢复系统需要的数据进行备份，要求在演练当晚19:00前完成备份工作，并完成相关检查工作，演练前需填写责任人、完成时间等内容： 序号 工作内容 责任人 完成时间 1 配置备份 2 对服务器 3 对服务器 4 确认服务器 4、演练内容。 DDoS入侵的检测和快速反应 使用虚拟机虚拟一台服务器，并打开一个高危端口。Hacker发现了这个漏洞，利用DDoS攻击服务器。 识别 当前状况 备注 1.网络流量突然增大。 根据抓包软件发现主机对目标主机进行了端口扫描，然后发现流量突然增大，进过甄别，发现是大量的只有2次握手的请求信息，确定是DDos攻击。 2．抓包 工具显示，来自XX.XXX.XXX.XX的主机对目标主机XX.XXX.XXX.XXX发送了大量的SYN握手信息，并且无第三次握手请求以及必须的ACK信息。 3.扫描后发现23端口被打开了 。 控制 控制攻击 具体方法 运用windows TCP/IP筛选过滤端口，防御端口扫描。 关闭端口，更新系统补丁，并完整检查系统。 监控流量1小时，超过1小时无异常的话，解除警报。 第一步，点击“开始”菜单/设置/控制面板/管理工具，双击打开“本地安全策略”，选中“IP 安全策略，在本地计算机”，在右边窗格的空白位置右击鼠标，弹出快捷菜单，选择“创建 IP 安全策略”（如右图），于是弹出一个向导。在向导中点击“下一步”按钮，为新的安全策略命名；再按“下一步”，则显示“安全通信请求”画面，在画面上把“激活默认相应规则”左边的钩去掉，点击“完成”按钮就创建了一个新的IP 安全策略。 第二步，右击该IP安全策略，在“属性”对话框中，把“使用添加向导”左边的钩去掉，然后单击“添加”按钮添加新的规则，随后弹出“新规则属性”对话框，在画面上点击“添加”按钮，弹出IP筛选器列表窗口；在列表中，首先把“使用添加向导”左边的钩去掉，然后再点击右边的“添加”按钮添加新的筛选器。 第三步，进入“筛选器属性”对话框，首先看到的是寻址，源地址选“任何 IP 地址”，目标地址选“我的 IP 地址”；点击“协议”选项卡，在“选择协议类型”的下拉列表中选择“TCP”，然后在“到此端口”下的文本框中输入“23”，点击“确定”按钮（如左图），这样就添加了一个屏蔽 TCP 23（RPC）端口的筛选器，它可以防止外界通过23端口连上你的电脑。 点击“确定”后回到筛选器列表的对话框 预期结果 在完成以上步骤后，数据恢复正常。观察期内无反复。 实际结果 完成攻防以后，留下数据和截图作为备份，保证以后遇到类似的情况可以游刃有余的处理以及可以做好对DDos攻击的提前防范。 四、应急措施 1、如果1个小时还是无法有效的阻止对方入侵，应当果断切断网线，把线路切换到备用服务器。并停机自检。 2、如果出现反复，检查服务后仍然没有发现，也应当果断切断网线，把线路到备用服务器，并