网站篡改演练方案(演练方案)(汇编).doc

精品文档
文档编号：
密 级：内部
网站篡改事件
应急演练方案
本次演练原则
本次演练在不影响广东电网网络系统的情况下进行。 因此，搭建一套专用的
演练网络，所有操作均在该网络上进行。
演练时间计划
根据本次演练方案， 整个网站挂马应急演练，不超过 1 小时（不包括前期场
景搭建及准备时间）。
方案启动条件
架设虚拟网站，模拟被入侵挂马，即启动该应急预案。
精品文档
精品文档
5
演练工作方案

演练准备工作
1、
2、 演练沟通会。（确定演练时间、地点、人员）
通过双方召开的演练沟通会，确定本次演练相关人员：
姓名 电话
角色 备注
实时监测人员
应急保障人员
管理协调人员
系统维护人员
应急管理人员。
上级协调人员
同一工作人员可担任多个角色，同一角色亦可由多人担任。
演练地点： XXX
演练时间： XXX 夜间 12 点开始
精品文档
精品文档
3、 确定需要备份的系统
由于本次演练环境为专门搭建，不存在需要备份的系统。
4、 确定其它影响
由于本次演练环境为专门搭建，不会对其它任何系统造成影响。
演练场景搭建
1、三层交换机一台，需支持端口镜像功能。交换机设置网关为 ；
2、服务器两台（可用虚拟系统代替，均为 WINDOWS 2003操作系统），其中一台搭建被攻击网站， 另一台搭建超级巡警统一网站安全监控系统， 一台 PC用来
做攻击方；
3、网关 IP 为 ，攻击方 IP 为 ，被攻击网站服务器 IP
为 ，超级巡警服务器 IP 为 ；
4、软件工具有： 网马扫描工具 MHTScan 、MSScaner，网马分析工具 MDecoder 。
精品文档
精品文档
三层交换机
网关地址：
攻击方
IP:
掩码：
网关：
被攻击方
超级巡警服务器
IP:
IP ：
掩码： 。 0
掩码：
网关：
网关：
演练收场工作
1、移除演练环境，测试网络是否正常；
2、总结演练成果（见“改进工作”一章） 。
演练脚本
阶段 演练脚本内容
1、准备
1、由应急保障人员备份以搭建好的网站并准备应急页面；
（24:00-24:05 ）
2、由应急保障人员在超级巡警统一网站安全监控系统上加入被攻击网
站的 URL并在该服务器上安装 网马扫描工具 MHTScan 、 MSScaner，网马分
析工具 MDecoder ； （ 24:05-24:10 ）
3、模拟入侵服务器，在 PC 上用远控桌面（ 3389）登陆服务器 A 并在
网站页面上添加模拟木马代码： <iframe id=myIframe src=