网络安全应急响应概述
对网络安全事件进行监测、预警、分析、响应和恢复等工作。
网络安全应急响应组织建立与工作机制
网络安全应急响应组织建立
构成:应急领导组和应急技术支撑组
成员组成:管理、业务、技术、行政后勤等人员
工作:
- 网络安全威胁情报分析研究
- 网络安全事件监测与分析
- 网络安全预警信息发布
- 网络安全应急响应预案编写与修订
- 网络安全应急响应知识库开发与管理
- 网络安全应急响应演练
- 网络安全事件响应和处置
- 网络安全事件分析和总结
- 网络安全教育与培训
网络安全应急响应组织工作机制
对组织机构对网络安全事件进行处理、协调或提供支持的团队
网络安全应急响应组织类型
应急响应组分为:
- 公益性应急响应组
- 内部应急响应组
- 商业性应急响应组
- 厂商应急响应组
网络安全应急响应预案内容与类型
网络安全事件类型与分级
安全事件分为:恶意程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件
网络安全事件分为四级:
网络安全应急响应预案内容
基本内容:
- 详细列出系统紧急情况的类型及处理措施
- 事件处理基本工作流程
- 应急处理所要采取的具体步骤及操作顺序
- 执行应急预案有关人员的姓名、住址、电话号码以及有关职能部门的联系方法
网络安全应急响应预案类型
按照覆盖的管理区域分为:国家级、区域级、行业级、部门级
核心业务系统、门户网站、外部电源中断、黑客入侵等应急处置程序参考模版详见P358-P359
常见网络安全应急事件场景与处理流程
常见网络安全应急处理场景
- 恶意程序事件
- 网络攻击事件
- 网站及Web应用安全事件
- 拒绝服务事件
网络安全应急处理流程
安全事件报警
安全事件确认
启动应急预案
安全事件处理
主要工作:
- 准备工作:通知相关人员,交换必要信息
- 检测工作:对现场做快照,保护一切可能作为证据的记录
- 抑制工作:采取围堵措施,尽量限制攻击涉及的范围
- 根除工作:解决问题,采取补救措施。对事故进行存档
- 恢复工作:恢复系统,使系统正常运行
- 总结工作:提交事故处理报告
撰写安全事件报告
报告内容:
- 安全事件发生对日期
- 参加人员
- 事件发现的途径
- 事件类型
- 事件涉及的范围
- 现场记录
- 事件导致的损失和影响
- 事件处理的过程
- 从本次事故中应该吸取的经验与教训
应急工作总结
网络安全事件应急演练
网络安全应急响应技术与常见工具
网络安全应急响应技术概况
访问控制
技术手段:网络访问控制、主机访问控制、数据库访问控制、应用服务访问控制等
网络安全评估
评估方法:
- 恶意代码检测
- 漏洞扫描
- 文件完整性检查
- 系统配置文件检查
- 网卡混杂模式检查(是否安装了网络嗅探器)
- 文件系统检查
- 日志文件审查
网络安全监测
- 网络流量监测:工具有TCPDump、TCPView、Snort、WireShark、netstat
- 系统自身监测:包括受害系统等网络通信状态监测、受害系统等操作系统进程活动状态监测(ps)、受害系统等用户活动状况监测(who命令)、受害系统的地址解析状况监测(arp)、受害系统的进程资源使用状况监测(lsof、fport)
系统恢复
技术方法:
系统紧急启动(系统紧急启动盘保存操作系统最小化启动相关文件)
恶意代码清除
系统漏洞修补
文件删除恢复
系统备份容灾
技术:磁盘阵列、双机热备系统、容灾中心等
《信息安全技术 信息系统灾难恢复规范(GB/T 20988-2007)》规范定义了六个灾难恢复等级和技术要求,:
- 第1级-基本支持
- 第2级-备用场地支持
- 第3级-电子传输和部分设备支持
- 第4级-电子传输及完整设备支持
- 第5级-实时数据传输及完整设备支持
- 第6级-数据零丢失和远程集群支持
入侵取证
证据信息分为两大类:实时信息或易失信息、非易失信息
可作为证据或证据关联的信息有:
- 日志
- 文件,如文件大小、内容、创建日期、交换文件等
- 系统进程
- 用户,如在线用户的服务时间、使用方式
- 系统状态
- 网络通信连接记录
- 磁盘介质
网络安全取证6个步骤:
- 取证现场保护
- 识别证据
- 传输证据
- 保存证据
- 分析证据
- 提交证据
网络安全应急响应参考案例
公共互联网网络安全突发事件应急预案、阿里云安全应急响应服务、IBM产品安全漏洞应急响应、“永恒之蓝”攻击的紧急处置、页面篡改事件处置规程详见P370-P377