重保应急方案 2019.8.29 1 

1、 重保团队的组建............................................................................................................................... 1 2、专业的产品和服务............................................................................................................................. 1 3、全面的应急预案................................................................................................................................. 2 目录 2 

1、重保团队的组建 重保团队至少包括： 组长：就应急保障工作进行整体管理与协调。 副组长（外部接口）：就来自各方面相关应急工作进行应急响应及外部协调 工作。 副组长（内部接口）：就实地应急进行保障与落地。 应急响应与保障，根据情况可设置业务安全保障小组、应急响应小组、基础安全 小组等角色。 2、专业的产品和服务 2.1 完整的安全云监控体系 提供可用性监测、网页内容监测、DDoS 情报监测预警、漏洞扫描服务。高效实 时洞察互联网资产安全风险、迅速捕获网站异常、及时通报预警，联动智能云防 护系统和应急响应机制对异常进行有效处置； 2.2 完善的应急联络规划 为确保企业相关业务保障期间泰山信息安全能对各类紧急事件及时响应，在成立 重保团队之外，也会规划重保期间的应急联络规划： （1） 开通应急保障专线电话。 （2） 24 小时的现场值守 （3） 专线电话由应急保障小组成员 24 小时负责接听，采取一小时响应机 制，协调处理各类安全事件。 现场值守人员会做到负责服务器、应用系统、网络运行情况的实时监控，负责安 全事件发现、分析及定位、以及贵单位定义的安全事件处置等工作，尽一切可能 确保安全稳定运行；值守期间如发生安全事件，按照贵单位的应急预案，协助进 行重特大安全事故的应急处置，通知远程支持团队、相关责任人进行现场应急响 应，协助进行安全事件的分析，系统安全风险评估，安全漏洞加固检查；在值守 期间每日提供安全巡检报告，并对发现的问题和存在的风险提出安全策略改进建 议，并在安全值守期间提供安全周报和月报； 2.3 完美的专家服务 2.3.1 为企业提供专业的渗透测试及应急响应小组： （1）渗透测试团队负责提供全方位的安全测试服务，保障政企网站的数据安全， 除此之外还会提供漏洞扫描、攻防演练等服务； （2）应急响应小组会预先制定完备的应急预案和计划，当政企客户在遇到安全 事故时，保证快速响应，正确识别事件类型，及时保护日志等重要证据文件，从 中找出受到攻击的原因，在妥善修复后再将系统投入正常运行后，通过分析保存 的日志文件，溯源黑客的攻击行为。 1 

2.3.2 专业的安全设备巡检人员和大数据分析人员： （1）协助进行安全设备的巡检与监控 对发现的安全告警和日志进行人工分析和处置； （2）提供安全日志大数据人工分析服务 利用自有威胁情报数据和第三方威胁情报数据，发现可疑行为，对攻击和入侵事 件进行人工诊断。 多种服务共同协作，全方位保障政企网站安全运行，将黑客恶意攻击彻底阻断！ 3、全面的应急预案 应急预案计划在落地前需多方确认重保范围和职责，最后确认落地方案。方案具 有一定的统一性，但均会根据重保场景定制个案方案。以下为您介绍常见的被攻 击风险，以及通用的初步应急预案方案。 （1）常见的被攻击风险包括： 1）DDoS 攻击： DDoS 全名是 Distributed Denial of service （分布式拒绝服务攻击），是指 借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个 目标发动拒绝服务攻击，从而导致目标无法正常访问／不可提供服务，造成负面 社会影响。 2）cc 攻击： 攻击者借助代理服务器生成指向受害主机的合法请求，实现 DDOS 和伪装就叫 CC 攻击，模拟多个用户不停的进行访问，造成服务器并发量过大，服务机拒绝服务 甚至宕机。 3）爬虫： 是一种按照一定的规则，自动地抓取万维网信息的程序或者脚本。 4）路径扫描： 通过目录遍历攻击可以获取系统文件及服务器的配置文件等等。一般来说，利用 服务器 API、文件标准权限进行攻击。目录遍历攻击并不是一种 web 漏洞，而是 网站设计人员的设计“漏洞”。如果 web 设计者设计的 web 内容没有恰当的访问 控制，允许 http 遍历，攻击者就可以访问受限的目录，并可以在 web 根目录以 外执行命令。 5）SQL 注入： 通过把 SQL 命令插入到 Web 表单提交或输入域名或页面请求的查询字符串，最终 达到欺骗服务器执行恶意的 SQL 命令。具体来说，它是利用现有应用程序，将（恶 意的）SQL 命令注入到后台数据库引擎执行的能力，它可以通过在 Web 表单中输 入（恶意）SQL 语句得到一个存在安全漏洞的网站上的数据库，而不是按照设计 者意图去执行 SQL 语句。 6）命令注入： 利用没有验证过的恶意命令或代码，对网站或服务器进行渗透攻击，可以利用这 种攻击方法来非法获取数据或者网络资源。当用户进入一个有命令注入漏洞的网 2 

页时，他们的浏览器会通译那个代码，而这样就可能会导致恶意命令掌控该用户 的电脑和他们的网络。 7）暴力破解攻击： 暴力破解攻击是指攻击者通过系统地组合穷举所有可能性（例如登录时用到的账 户名、密码），尝试所有的可能性破解目标的账户名、密码等敏感信息。攻击者 旨在获取重点保护目标服务器权限后造成进一步的破坏 （依赖重点保护目标是 否在互联网上开放 22/3389 等远程管理端口以及 3306/1433/1521 等数据库端 口）。 （2）通用的初步应急预案方案： 1）事件发生:（运维监控人员、客服审核人员等），发现问题的开始，及时 通报； 2）事件确认:判断事件的严重性，评估出问题的严重等级，是否向上进行汇 报等； 3）事件响应:各部门通力合作，处理安全问题，具体解决阶段； 4）事件关闭:处理完事件之后，需要关闭事件，并写出安全应急处理分析报 告，完成整个应急过程。 3