启迪之光
信息安全事件应急处理报告
Tencents
2024年5月20日
信息安全事件应急处理报告
| 应急处理单位 |
Tencents |
||
| 委托单位 |
启迪之光 |
||
| 服务类别 |
委托应急处理 |
||
| 受理日期 |
2024年5月18日 |
处理日期 |
2024年5月20日 |
| 服务成员 |
赵立新 刘洋 陈磊 王思敏 |
监督人 |
张杰伦总监 |
处理结论:
在本次信息安全事件应急处理过程中,Tencent公司的专业团队成功协助启迪之光修补了其网站的安全漏洞。经过严格的测试验证,确认修补措施有效,网站的安全性能得到了显著提升。
我们建议启迪之光根据本报告提出的专业建议,进一步加强安全控制措施。具体包括但不限于:
定期对网站进行全面的安全检查和漏洞扫描,确保及时发现并修复潜在的安全隐患。
强化员工的网络安全意识培训,提升全员对信息安全的认识和应对能力。
建立和完善信息安全管理制度,确保各项安全措施得到有效执行。
考虑引入更先进的安全技术和解决方案,以增强系统的防御能力。
通过这些措施的实施,我们相信启迪之光能够进一步提高其信息安全水平,有效降低未来可能面临的风险。Tencents公司将持续提供技术支持和专业服务,协助启迪之光构建更加稳固的信息安全防线。
Tencents公司
2024年 5月 20 日
批准人:张杰伦
应急处理服务人员:赵立新、刘洋、陈磊、王思敏
审核人:张伟
一、概述
1.1 应急处理服务背景
启迪之光与tencents公司签订应急服务合同。tencents根据合同协议中规定的范围和工作内容为启迪之光提供应急服务。2024年5月18日启迪之光网站服务器发现存在恶意文件,直接威胁网站的正常运营与使用,启迪之光立即拨通tencents公司的应急服务热线,请求应急处理服务。我方应急处理服务人员,对相关信息进行登记记录,并按作业指导书要求启动相关过程。
1.2 应急处理服务目的
在最短时间内识别并解决漏洞问题,确保信息系统恢复正常运作,从而将系统遭受的损害降至最低。在应急处理工作完成后,我们将提供详实可靠的法律证据、深入的分析报告以及实用的改善建议,以帮助客户在服务结束后对系统管理进行优化和提升。
1.3 应急处理服务范围
| 序号 |
资产编号 |
名称 |
型号/操作系统 |
位置 |
| 1 |
SDFDA-SE-010 |
网站服务器(主) |
Red Hat Enterprise Linux |
公司机房 |
| 2 |
SDFDA-SE-011 |
网站服务器(备) |
Red Hat Enterprise Linux |
公司机房 |
| 3 |
SDFDA-SE-011 |
数据库服务器(主) |
IBM/AIX4.2 |
公司机房 |
| 4 |
SDFDA-SE-012 |
数据库服务器(备) |
IBM/AIX4.2 |
公司机房 |
1.4 应急处理服务依据
1.4.1 应急处理服务委托协议
《启迪之光应急处理服务委托书》
1.4.2 基础标准与法律文件
《中华人民共和国突发事件应对法》
《网络与信息安全应急处理服务资质评估方法》(YD/T 1799-2008)
《信息技术 安全技术 信息安全事件管理指南》(GB/Z 20985-2007)
《信息安全技术 信息安全事件分类指南》(GB/Z 20986-2007)
1.4.3 参考文件
《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007)
《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239-2008)
《信息技术服务 运行维护 第一部分 通用要求》(GB/T28827.1-2012)
《信息技术服务 运行维护 第二部分 交付规范》(GB/T28827.1-2012)
《信息技术服务 运行维护第三部分 应急响应规范》(GB/T28827.1-2012)
二、应急处理服务流程
启迪之光应急处理服务过程主要包括六个阶段:准备阶段、检测阶段、抑制阶段、根除阶段、恢复阶段、总结阶段。
应急处理服务流程如图所示。
-
三、应急处理服务内容和方法
3.1 准备阶段
3.1.1 准备阶段工作流程
3.1.2 准备阶段处理过程
我公司与启迪之光就信息安全事件的应急响应服务需求进行了深入交流,详细探讨了客户所需的具体服务内容,并全面了解了客户的实际信息系统环境。在双方达成共识后,我们签订了应急处理服务合同。紧接着,我们迅速组建了一个专门的项目应急处理团队,开始制定服务方案并准备必要的工具。在此过程中,我们还协助客户对涉及应急响应范围的信息系统进行了全面的评估和备份快照工作,以确保能够迅速有效地应对可能发生的安全事件。
3.1.3 准备阶段现场处理表
| 工具准备清单 |
|||
| 时间 |
2024年5月20日 |
服务单位名称 |
Tencents |
| 服务单位联系人 |
刘洋 |
联系方式 |
13730065441 |
| 响应服务人员 |
陈磊 |
联系方式 |
15230010305 |
| 工具使用原因目的描述 |
旨在迅速且精确地识别并解决存在的问题。 |
||
| 应急工具准备清单: Nmap 网络扫描工具 AWVS漏洞扫描工具 Burp Suite Web应用程序安全测试平台 |
|||
| 批准人 (签字): |
张杰伦 |
||
3.2 检测阶段
3.2.1检测阶段工作流程
3.2.2 检测阶段处理过程
本公司的技术支持热线客服接到用户打来的紧急救援电话后,先是通过电话大致了解了情况。然后检查了一下我公司有没有针对这类安全事件的预先制定的应急计划,结果发现并没有。于是,本公司立刻派出应急处理小组,带着必要的工具、技术文档和记录表格,按照服务协议,在一个小时内赶到用户那里。
到达现场,项目组的负责人马上和用户那边的负责人碰头,讨论解决方案。用户那边负责人同意后,本公司团队建议先把网站换个位置,然后再做数据备份。一切准备就绪后,就开始了检测和处理工作。具体步骤包括:
跟用户沟通好,做好应急准备。商量好方案,得到用户授权开始工作。把网站迁移到安全的地方,并做好数据快照备份。找出漏洞,确认一下真实性。弄清楚漏洞怎么来的,商量好怎么先暂时控制。把备份的数据准备好,以防万一需要恢复。
经过这一系列的检查和修复,项目组终于搞定了漏洞,并且确认问题已经解决。
3.2.3 检测阶段现场处理记录表
| 检测结果记录 |
||||
| 时间 |
2024年5月20日 |
服务单位名称 |
启迪之光 |
|
| 服务单位联系人 |
王一博 |
联系方式 |
13730065441 |
|
| 响应服务人员 |
陈磊 |
联系方式 |
15230010305 |
|
| 检测原因或检测目的描述 |
确认漏洞存在并评估安全事件等级 |
|||
| 检测过程及结果记录: (1)首先发现任意下载漏洞,可以下载敏感信息文件: 扫描出来的结果文件源码
(2) 然后根据敏感文件信息,并通过任意读取漏洞获取到关键信息:网站结构、网站数据库账户密码等:
(3)确定上传点,上传木马获取系统权限:
|
||||
| 安全事件等级确定: 该事故发生后将导致网站服务器被非法接管,使其公共服务受到严重损坏,系统受到严重损失,数据被非法窃取;该网站系统中断或非法篡改,可能影响到国家安全,扰乱社会秩序,对经济建设、公众利益有一定的负面影响。 该事故安全事件等级为:Ⅱ级。 |
||||
| 检测阶段确认(签字) |
||||
3.3 抑制阶段
3.3.1 抑制阶段工作流程
3.3.2 抑制阶段处理过程
通过检查阶段的详细调查,我们判断是文件下载访问权限不合理,上传未做过滤产生的漏洞。在与客户沟通后,客户接受我们的方案并授权我们对该系统进行抑制处理。
(1)针对敏感文件设置读取严格的读取和下载权限,禁止访问用户可以读取和下载。
(2)暂时关闭非法上传点模块。
(3)抑制措施验证并准备备份数据随时回退。
3.3.3 抑制阶段现场处理表
| 抑制处理记录表 |
||||
| 时间 |
2024年5月20日 |
服务单位名称 |
Tencents |
|
| 服务单位联系人 |
刘洋 |
联系方式 |
13730065441 |
|
| 响应服务人员 |
陈磊 |
联系方式 |
15230010305 |
|
| 抑制处理原因 |
针对主要文件信息泄露和非法上传漏洞进行抑制 |
|||
| 抑制处理目的 |
给予最快速的漏洞基本解决方案,初步抵御攻击 |
|||
| 抑制处理方案: (1)针对敏感文件设置读取严格的读取和下载权限,禁止访问用户可以读取和下载。 (2)暂时关闭非法上传点模块。 (3)抑制措施验证并准备备份数据随时回退。 |
||||
| 抑制方案产生的风险及应对措施: 关闭非法上传点模块后,可能对日常管理,合法上传存在一定的影响。 应对措施: 当需要上传时,采取使用介质本地服务器拷贝上传方式。 |
||||
| 抑制方案确认(签字): |
抑制效果:抑制成功 |
|||
3.4 根除阶段
3.4.1 根除阶段工作流程
3.4.2 根除阶段处理过程
- 在我们采取的应急措施中,虽然我们已经通过抑制阶段有效应对了来自外网的对网站系统的威胁,但咱们都知道,这并不是长久之计,因为网站的核心漏洞还没被彻底解决。所以,我们跟客户进行了深入的交流,并决定采取以下步骤来根除这个问题:
- 我们和客户详细讨论了目前采取的抑制措施能够提供的安全保护级别,并且商量好怎么跟厂商沟通下一步的修复工作。
- 接着,我们联系了厂商,向他们详细说明了网站目前存在的安全隐患,比如非法下载、数据读取和上传漏洞。我们建议厂商通过增加文件校验和文件权限管理模块来解决这个问题,以彻底修补这些漏洞。
- 同时,我们还建议客户对服务器的权限进行一番合理的调整,比如使用非root用户来运行网站,这样能更安全一些。
- 我们会跟进厂商的修复进度,并且对他们的修复结果进行彻底的验证。当然,我们也准备好了必要的回退计划,以防万一修复过程中出现什么意外,可以迅速恢复到之前的状态。
3.4.3 根除阶段现场处理表
| 根除处理记录表 |
||||
| 时间 |
2024年5月20日 |
服务单位名称 |
Tencents |
|
| 服务单位联系人 |
刘洋 |
联系方式 |
13730065441 |
|
| 响应服务人员 |
陈磊 |
联系方式 |
15230010305 |
|
| 根除处理原因 |
后台页面代码修复,上传限制使用后台白名单 |
|||
| 根除处理方案: 通过之前的抑制处理方案,已经实现非法下载、读取和上传漏洞风险的基本控制,但没有彻底根除漏洞根源。所以,可以通过以下方法彻底根除该问题。
|
||||
| 根除方案产生的风险: 代码漏洞修补和服务器权限优化后,经验证测试对网站系统无影响,进一步增加了网站的安全性。 |
||||
| 根除方案确认(签字): |
根除效果:根除成功 |
|||
3.5 恢复阶段
3.5.1 恢复阶段工作流程
3.5.2 恢复阶段处理过程
通过之前的抑制及根除处理,已经基本解决了网站存在的高危漏洞,在网站重新上线前,应急人员重新对网站进行全面的漏洞扫描,并对发现的可疑漏洞进行确认和修复,同时对网站系统进行安全加固。
3.5.3 恢复阶段现场记录表
| 恢复处理记录表 |
||||
| 时间 |
2024年5月20日 |
服务单位名称 |
Tencents |
|
| 服务单位联系人 |
刘洋 |
联系方式 |
13730065441 |
|
| 响应服务人员 |
陈磊 |
联系方式 |
15230010305 |
|
| 恢复处理原因 |
文件对比、漏洞扫描、安全加固 |
|||
| 恢复处理方案: 通过之前的抑制及根除处理,已经基本解决了非法下载、读取和上传漏洞,但为了全面的检查网站完整性和安全性,在网站进行重新恢复上线前主要执行以下操作:
|
||||
| 恢复方案确认(签字):张杰伦 |
恢复效果:恢复成功 |
|||
3.6 总结阶段
3.6.1 总结阶段工作流程
3.6.2 总结阶段现场记录表
| 应急响应总结阶段报告 呈报部门:tencents公司 报告时间: 2020 年5月20日 报告人: 张杰伦 报告人部门:技术评估部 |
|
| 事件的类型 |
网站存在高危漏洞 |
| 检测阶段 |
|
| 检测时间 |
2020年 5 月 20 日 |
| 检测动作 |
漏洞扫描和手工验证 |
| 检测结果 |
存在高危漏洞并威胁整体网站系统安全。 |
| 抑制阶段 |
|
| 抑制时间 |
2020年 5 月 20 日 |
| 抑制动作 |
(1)针对敏感文件设置读取严格的读取和下载权限,禁止访问用户可以读取和下载。(2)暂时关闭非法上传点模块。 |
| 抑制结果 |
给予最快速的漏洞基本解决方案,初步抵御攻击 |
| 根除阶段 |
|
| 根除时间 |
2020年 5 月 20日 |
| 根除动作 |
漏洞反馈厂商,并配合厂商进行漏洞修补。 |
| 根除结果 |
漏洞修补成功并重新上线正常运营。 |
| 事件评估 |
|
| 事件影响范围 |
启迪之光相关部门 |
| 事件损失评估 |
该网站系统中断或非法篡改,可能影响到国家安全,扰乱社会秩序,对经济建设、公众利益有一定的负面影响。 |
| 处理方法评估 |
处理方法得当及时 |
| 处理流程评估 |
流程符合标准操作 |
| 事件根源分析及教训 |
|
| 原因分析 |
网站代码存在漏洞,多处访问、下载未授权,上传未限制。 |
| 经验教训 |
应用系统上线前进行安全检测,培养开发人员安全意识。 |
| 总结阶段确认(签字):张杰伦 |
|
四、结论与建议
我们Tencents的应急响应小组抵达现场后,迅速对问题进行了分析,找到了原因,并立即处理了这些问题。我们的快速行动有效地保障了“启迪之光门户网站”的安全稳定运行,帮助启迪之光避免了可能的经济损失和不良的社会影响。
经历了这次信息安全事件的应急处理,我们建议启迪之光提升员工的安全意识,加强信息安全管理措施,规范对信息系统的各项操作。在系统发生任何变更之前,做好测试和备份工作,以防止类似事件的再次发生。同时,我们建议启迪之光为这类事件制定专门的应急处理预案,以便未来能够更快速有效地应对,并且定期对信息系统进行风险评估,以确保信息安全