XX_应急_系统攻击应急规程.doc

文档编号 版 本 号 V1.0 密 级 应急_系统攻击应急规程 XXX信息技术有限公司 版本控制 编号 修订人 修订时间 版本号 修订内容说明 1 2 3 第 12 页 共 12 页 目 录 一、简介 4 二、目的 4 三、阅读范围 4 四、概述 5 4.1监控环境部署 5 4.2客服监控要求 6 4.3防攻击值班表 7 4.4值班人行为规范 8 五、系统部攻击事件处理流程 10 六、紧急联系方式 12 七、黑洞及GTM操作手册 12 八、现有的CDN节点状况表 12 附件一、新增防攻击服务器的步骤 14 一、简介 本文档主要是针对XXX的支付平台如何发现及解决恶意攻击建立。文档中对如何发现、通知、处理及反馈攻击情况的三个关键步骤做了约束及说明。 二、目的 总结遭受攻击时的进行处理所需的资源包，定义发现、通知、处理及反馈攻击状况况的相关步骤及人员，保证发生危机时相关人员能够有序处理。 三、阅读范围 系统部、技术支持部、核心平台、运营中心人员。 四、概述 该流程主要基于三个关键阶段建立：发现－通知－处理及反馈 1. 如何发现故障？ 参看 “监控环境部署” 2. 如何通知？ 参看“客服监控”、“防攻击值班表” 3. 如何处理及反馈？ 参看“系统部攻击事件处理流程” 4.1监控环境部署 4.1.1监控范围 Ø 对所有服务提供节点进行监控，包括世纪互联主站、世纪互联前置服务器、电信通、各CDN节点。 4.1.2 监控内容： Ø 源站及CDN节点的可用性（包括：负载—连接数、apache进程） 4.1.3监控实施方式 名称 位置 监控范围 登陆方式 实施方式 监控频率 报警方式 监控人员 4.2客服监控要求 1. 一直打开系统部提供的监控工具。 2. 监控计算机声音必须将报警打开。 3. 出现报警时客服至少两位同事同时分别通知相关的联系人。 4. 如第一负责人电话无法接通立即联系第二负责人。 4.3防攻击值班表 日期 第一值班人员 第二值班人员 姓名 联系方式 所负责任 4.4值班人行为规范 1、 如果发现无法值班（如在家无法上网），第一时间通知其他人值班 2、 第一值班人和第二值班人上下班作息时间错开 3、 保证值班人电话随时畅通，电脑可随时拨号进入公司VPN 4、 收到报警，立刻进行故障处理，并通知第二值班人，如果是攻击，由第二值班人通知其他人（系统部主管和技术支持部接口人（目前接口人是XX）） 5．打开如下管理页面： 五、系统部攻击事件处理流程 六、紧急联系方式 七、黑洞及GTM操作手册 八、现有的CDN节点状况表 湛江的3G节点示例图: 青岛的3G节点示例图: 附件一、新增防攻击服务器的步骤 1、安装httpproxy/rinetd，配置取源ip。 2、如果安装rinetd，需要在三个系统中添加ip地址的白名单（由负责安装rinetd的人通知相关人员）：JBOSS（刘刚）、风控（李均柠）、非银行卡（姜树柱），添加的时候描述要清楚。 3、修改监控（由负责安装httpproxy/rinetd的人通知相关人，由系统组主要负责监控配置） Ø 在电信通和世纪互联的nagios监控上添加监控 Ø 增加client_monitor监控 Ø 更新client_monitor软件版本，发客服部门进行升级（kefu@）,必须将更新要求电话或口头通知到客服主管。（修改软件的人执行） 4、在世纪互联黑洞后启用新的CDN服务ip，需要在黑洞上启用防护策略及封ip策略。同时在黑洞上需要修改MAC地址。