0%

第17章 网络安全应急响应技术原理与应用

网络安全应急响应概述

对网络安全事件进行监测、预警、分析、响应和恢复等工作。

网络安全应急响应组织建立与工作机制

网络安全应急响应组织建立

构成:应急领导组和应急技术支撑组

成员组成:管理、业务、技术、行政后勤等人员

工作:

  • 网络安全威胁情报分析研究
  • 网络安全事件监测与分析
  • 网络安全预警信息发布
  • 网络安全应急响应预案编写与修订
  • 网络安全应急响应知识库开发与管理
  • 网络安全应急响应演练
  • 网络安全事件响应和处置
  • 网络安全事件分析和总结
  • 网络安全教育与培训

网络安全应急响应组织工作机制

对组织机构对网络安全事件进行处理、协调或提供支持的团队

网络安全应急响应组织类型

应急响应组分为:

  1. 公益性应急响应组
  2. 内部应急响应组
  3. 商业性应急响应组
  4. 厂商应急响应组

网络安全应急响应预案内容与类型

网络安全事件类型与分级

安全事件分为:恶意程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件

网络安全事件分为四级:

网络安全应急响应预案内容

基本内容:

  • 详细列出系统紧急情况的类型及处理措施
  • 事件处理基本工作流程
  • 应急处理所要采取的具体步骤及操作顺序
  • 执行应急预案有关人员的姓名、住址、电话号码以及有关职能部门的联系方法

网络安全应急响应预案类型

按照覆盖的管理区域分为:国家级、区域级、行业级、部门级

核心业务系统、门户网站、外部电源中断、黑客入侵等应急处置程序参考模版详见P358-P359

常见网络安全应急事件场景与处理流程

常见网络安全应急处理场景

  1. 恶意程序事件
  2. 网络攻击事件
  3. 网站及Web应用安全事件
  4. 拒绝服务事件

网络安全应急处理流程

  1. 安全事件报警

  2. 安全事件确认

  3. 启动应急预案

  4. 安全事件处理

    主要工作:

    • 准备工作:通知相关人员,交换必要信息
    • 检测工作:对现场做快照,保护一切可能作为证据的记录
    • 抑制工作:采取围堵措施,尽量限制攻击涉及的范围
    • 根除工作:解决问题,采取补救措施。对事故进行存档
    • 恢复工作:恢复系统,使系统正常运行
    • 总结工作:提交事故处理报告
  5. 撰写安全事件报告

    报告内容:

    • 安全事件发生对日期
    • 参加人员
    • 事件发现的途径
    • 事件类型
    • 事件涉及的范围
    • 现场记录
    • 事件导致的损失和影响
    • 事件处理的过程
    • 从本次事故中应该吸取的经验与教训
  6. 应急工作总结

网络安全事件应急演练

网络安全应急响应技术与常见工具

网络安全应急响应技术概况

访问控制

技术手段:网络访问控制、主机访问控制、数据库访问控制、应用服务访问控制等

网络安全评估

评估方法:

  1. 恶意代码检测
  2. 漏洞扫描
  3. 文件完整性检查
  4. 系统配置文件检查
  5. 网卡混杂模式检查(是否安装了网络嗅探器)
  6. 文件系统检查
  7. 日志文件审查

网络安全监测

  1. 网络流量监测:工具有TCPDump、TCPView、Snort、WireShark、netstat
  2. 系统自身监测:包括受害系统等网络通信状态监测、受害系统等操作系统进程活动状态监测(ps)、受害系统等用户活动状况监测(who命令)、受害系统的地址解析状况监测(arp)、受害系统的进程资源使用状况监测(lsof、fport)

系统恢复

技术方法:

  1. 系统紧急启动(系统紧急启动盘保存操作系统最小化启动相关文件)

  2. 恶意代码清除

  3. 系统漏洞修补

  4. 文件删除恢复

  5. 系统备份容灾

    技术:磁盘阵列、双机热备系统、容灾中心等

    《信息安全技术 信息系统灾难恢复规范(GB/T 20988-2007)》规范定义了六个灾难恢复等级和技术要求,:

    1. 第1级-基本支持
    2. 第2级-备用场地支持
    3. 第3级-电子传输和部分设备支持
    4. 第4级-电子传输及完整设备支持
    5. 第5级-实时数据传输及完整设备支持
    6. 第6级-数据零丢失和远程集群支持

入侵取证

证据信息分为两大类:实时信息或易失信息、非易失信息

可作为证据或证据关联的信息有:

  • 日志
  • 文件,如文件大小、内容、创建日期、交换文件等
  • 系统进程
  • 用户,如在线用户的服务时间、使用方式
  • 系统状态
  • 网络通信连接记录
  • 磁盘介质

网络安全取证6个步骤:

  1. 取证现场保护
  2. 识别证据
  3. 传输证据
  4. 保存证据
  5. 分析证据
  6. 提交证据

网络安全应急响应参考案例

公共互联网网络安全突发事件应急预案、阿里云安全应急响应服务、IBM产品安全漏洞应急响应、“永恒之蓝”攻击的紧急处置、页面篡改事件处置规程详见P370-P377

-------本文结束  感谢您的阅读-------