1、 文档编号XX_应急_系统攻击应急规程版 本 号V1.0密 级机密应急_系统攻击应急规程XXX信息技术有限公司版本控制编号修订人修订时间版本号修订内容说明23第 12 页 共 12 页目录一、简介4二、目的4三、阅读范围4四、概述54.1监控环境部署54.2客服监控要求64.3防攻击值班表74.4值班人行为规范8五、系统部攻击事件处理流程10六、紧急联系方式12七、黑洞及GTM操作手册12八、现有的CDN节点状况表12附件一、新增防攻击服务器的步骤14一、简介本文档主要是针对XXX的支付平台如何发现及解决恶意攻击建立。文档中对如何发现、通知、处理及反馈攻击情况的三个关键步骤做了约束及说明。二、
2、目的总结遭受攻击时的进行处理所需的资源包,定义发现、通知、处理及反馈攻击状况况的相关步骤及人员,保证发生危机时相关人员能够有序处理。三、阅读范围 系统部、技术支持部、核心平台、运营中心人员。四、概述该流程主要基于三个关键阶段建立:发现通知处理及反馈1. 如何发现故障? 参看 “监控环境部署”2. 如何通知? 参看“客服监控”、“防攻击值班表”3. 如何处理及反馈? 参看“系统部攻击事件处理流程”4.1监控环境部署4.1.1监控范围 对所有服务提供节点进行监控,包括世纪互联主站、世纪互联前置服务器、电信通、各CDN节点。4.1.2监控内容: 源站及CDN节点的可用性(包括:负载连接数、apach
3、e进程)4.1.3监控实施方式名称位置监控范围登陆方式实施方式监控频率报警方式监控人员server1 server2 server3 Client_monitor 4.2客服监控要求1. 一直打开系统部提供的监控工具。2. 监控计算机声音必须将报警打开。3. 出现报警时客服至少两位同事同时分别通知相关的联系人。4. 如第一负责人电话无法接通立即联系第二负责人。4.3防攻击值班表日期第一值班人员第二值班人员 姓名联系方式所负责任 1、 如果发现无法值班(如在家无法上网),第一时间通知其他人值班2、 第一值班人和第二值班人上下班作息时间错开3、 保证值班人电话随时畅通,电脑可随时拨号进入公司VPN
4、4、 收到报警,立刻进行故障处理,并通知第二值班人,如果是攻击,由第二值班人通知其他人(系统部主管和技术支持部接口人(目前接口人是许杨)5打开如下管理页面: 五、系统部攻击事件处理流程六、紧急联系方式紧急联系方式见厂商联系表:XX七、黑洞及GTM操作手册文件存放位置: XX八、现有的CDN节点状况表Excel文件存放位置 : XX湛江的3G节点示例图:青岛的3G节点示例图:附件一、新增防攻击服务器的步骤1、安装httpproxy/rinetd,配置取源ip。2、如果安装rinetd,需要在三个系统中添加ip地址的白名单(由负责安装rinetd的人通知相关人员):JBOSS(刘刚)、风控(李均柠)、非银行卡(姜树柱),添加的时候描述要清楚。3、修改监控(由负责安装httpproxy/rinetd的人通知相关人,由系统组主要负责监控配置) 在电信通和世纪互联的nagios监控上添加监控 增加client_monitor监控 更新client_monitor软件版本,发客服部门进行升级(kefu),必须将更新要求电话或口头通知到客服主管。(修改软件的人执行)4、在世纪互联黑洞后启用新的CDN服务ip,需要在黑洞上启用防护策略及封ip策略。同时在黑洞上需要修改MAC地址。
