1发现上报以及预案启动
信息中心值班人员发现页面被篡改或者收到页面被篡改报告,马上切断发生故障的源站服务器与外部网络的连接,考虑采用禁用防火墙虚拟映射的方式。
信息中心值班人员报告信息中心技术主管及被篡改页面责任单位管理员,一起对被篡改页面进行检查,初步确定页面被篡改情况后,由信息中心值班人员填写《网页篡改事故报告单》(模板见附件),向信息中心主任和页面所属系统责任人上报页面篡改事故。信息中心主任进一步向上级领导汇报。
根据通报的情况,以及篡改的情况描述,确定需要上报的上级单位或国家职能单位。
2日志收集以及证据保存
对被篡改页面所属系统2小时内所有安全日志和网络日志(上层网络设备记录的相关日志)进行收集、汇总(日志为txt或者xls文档格式),并进行紧急事件处理技术协调会议,分析事故原因。
通过百度对页面进行搜索,看是否发现黑页已被缓存,若有缓存现象, 立即对黑页快照发起申诉,请求撤销缓存页面。
3整改及恢复
信息中心根据汇总分析的结果,协助责任单位对被篡改页面所属系统进行修复,完成所有加固工作,并进行全面的安全检测。
对完成安全检测的页面,择机恢复外网访问,并加强对整个主机所承载的网页状况的监控,24小时后停止查看。
4事件总结
信息中心收集所有的上报记录、过程材料并进行汇总整理,形成《页面被篡改故障处理报告》,并递交信息中心主任及之前页面篡改报告提交的各上级部门。
故障处理报告的基本内容形式:
1综述 2详述 2.1时间 2.2参与人员 2.3详细过程 2.4结论 |
网页篡改事故上报单.docx