客服中心門戶網(wǎng)站專用應(yīng)急預(yù)案

1、客服中心門戶網(wǎng)站專用應(yīng)急預(yù)案 1 目的為了保障客服中心門戶網(wǎng)站安全，建立網(wǎng)站應(yīng)急響應(yīng)機制，有效預(yù)防、及時控制和最大限度地消除針對網(wǎng)站的各類突發(fā)事件的危害和影響，制定本應(yīng)急處理預(yù)案。本程序文件規(guī)定了客服中心網(wǎng)站安全應(yīng)急響應(yīng)的工作職責、上報流程、系統(tǒng)恢復(fù)及處理方法。2 適用范圍本預(yù)案適用于客服中心們網(wǎng)站（3 參考標準ISO 17799（BS7799）ISO 13335ISO 15408 / GB18336AS/NZS 4360中華人民共和國計算機信息系統(tǒng)安全保護條例計算機信息系統(tǒng)安全等級保護劃分準則（GBT17859-1999）計算機信息系統(tǒng)安全等級保護網(wǎng)絡(luò)技術(shù)要求（GA/T387-2002）計算

2、機信息系統(tǒng)安全等級保護操作系統(tǒng)技術(shù)要求（GA/T388-2002）計算機信息系統(tǒng)安全等級保護數(shù)據(jù)庫管理系統(tǒng)技術(shù)要求（GA/T3892002）計算機信息系統(tǒng)安全等級保護通用技術(shù)要求（GA/T390-2002）計算機信息系統(tǒng)安全等級保護管理要求（GA/T391-2002）計算機機房場地安全要求（GB9361-88）4 職責4.1 客服中心安全管理組織的主要職責 決定客服中心信息安全突發(fā)事件應(yīng)急預(yù)案的啟動，組織力量對網(wǎng)絡(luò)與信息系統(tǒng)安全突發(fā)事件進行處置； 對客服中心安全管理組織各成員單位貫徹執(zhí)行應(yīng)急處理預(yù)案、應(yīng)急處理準備情況進行督促檢查； 對客服中心安全管理組織各成員單位在突發(fā)安全事件的處置工作中履行

3、職責情況進行督促檢查； 向上級報告有關(guān)突發(fā)事件以及應(yīng)急處理情況4.2 安全管理組織各成員單位的主要職責 各成員單位應(yīng)按照安全管理組織的決定，組織力量對負責范圍內(nèi)的網(wǎng)絡(luò)與信息系統(tǒng)安全突發(fā)事件進行處置； 各成員單位在對安全突發(fā)事件進行處置時，應(yīng)貫徹執(zhí)行應(yīng)急處理預(yù)案； 安全服務(wù)商應(yīng)對安全突發(fā)事件進行及時響應(yīng)，并組織和協(xié)調(diào)其他成員單位及時進行處置工作。4.3 安全管理員主要職責 負責客服中心各網(wǎng)站系統(tǒng)的安全狀況，組織日常安全服務(wù)工作的開展； 負責安全管理組織的日常事務(wù)；掌握系統(tǒng)安全現(xiàn)狀，及時發(fā)現(xiàn)安全隱患； 應(yīng)對安全突發(fā)事件時，應(yīng)協(xié)調(diào)安全管理組織各成員單位，組織力量進行處置； 及時上報安全突發(fā)事件的有關(guān)

4、情況；4.4 現(xiàn)場應(yīng)急處理人員主要職責 遵循應(yīng)急處理預(yù)案的流程和方法，及時有效的處理安全突發(fā)事件； 具備相應(yīng)的應(yīng)急處理技術(shù)手段，確保處理安全突發(fā)事件的順利完成；5 安全事件報告5.1 安全管理員對網(wǎng)絡(luò)部下發(fā)的安全預(yù)警信息整理后，對網(wǎng)站的系統(tǒng)安全進行檢查和加固。5.2 發(fā)現(xiàn)網(wǎng)站出現(xiàn)異常情況，值班人員應(yīng)立即上報安全管理員。5.3 安全管理員立即組織相關(guān)系統(tǒng)廠商、應(yīng)用廠商和安全廠商，對異常情況進行分析，并做好記錄工作。5.4 對網(wǎng)站的處理過程，整理成文檔上報上級領(lǐng)導(dǎo)部門。5.5 應(yīng)急處理文檔歸檔備案，為應(yīng)急預(yù)案提供素材。6 應(yīng)急處理流程6.1 故障類型定義對故障按照以下類型進行分類：分為嚴重故障、重

5、要故障和普通故障三級。分別定義如下：緊急故障：現(xiàn)有的系統(tǒng)出現(xiàn)中斷，使用戶的整個門戶網(wǎng)站（含網(wǎng)廳）系統(tǒng)不能正常運作，或?qū)τ脩舻恼麄€業(yè)務(wù)的運作有嚴重影響。重要故障：現(xiàn)有系統(tǒng)的操作性能嚴重下降，使用戶的部分業(yè)務(wù)運作受到重要影響。影響局部系統(tǒng)運行、系統(tǒng)功能或系統(tǒng)可靠性的故障； 普通故障：除緊急故障和重要故障外的其他故障和問題。6.2 故障現(xiàn)象定義1） 發(fā)現(xiàn)網(wǎng)頁被篡改2） 網(wǎng)絡(luò)流量超出正常通訊流量極限3） 大量的反向域名解析4） 超常大小的ICMP和UDP數(shù)據(jù)包5） 異常的TCP及UDP數(shù)據(jù)包6） 異常編碼數(shù)據(jù)包7） 安全設(shè)備（IDS、防火墻等）告警信息6.3 處理流程6.4 事件分析根據(jù)故障現(xiàn)象確認故

6、障范圍。 從應(yīng)用層面查看網(wǎng)頁是否顯示正常。 從網(wǎng)絡(luò)層面查看防火墻和IDS等的報警日志，以及通過網(wǎng)管系統(tǒng)分析網(wǎng)絡(luò)流量。 從系統(tǒng)層面查看服務(wù)器的賬號密碼、進程端口、系統(tǒng)日志。6.5 應(yīng)急措施 評估安全事件影響范圍。如影響范圍呈擴大趨勢，可報經(jīng)相關(guān)領(lǐng)導(dǎo)同意，暫時斷開網(wǎng)絡(luò)通路，避免網(wǎng)絡(luò)攻擊影響范圍擴大。 根據(jù)事件分析結(jié)果，判斷故障類型、特征及引起故障的原因，并采取相應(yīng)應(yīng)急預(yù)案。6.6 系統(tǒng)恢復(fù) 阻斷攻擊行為，使用系統(tǒng)備份，恢復(fù)系統(tǒng)正常運行。 防火墻策略進行調(diào)整，阻斷攻擊和防范后續(xù)攻擊。 對服務(wù)器進行緊急加固措施。 持續(xù)監(jiān)控系統(tǒng)運行狀態(tài)，防止攻擊行為的再次出現(xiàn)。6.7 原因調(diào)查 整理初始報警信息，包括系

7、統(tǒng)日志、防火墻日志、IDS日志、流量圖。 對初始報警信息進行分析，查找攻擊源 對于造成巨大損失的，應(yīng)上報公安機關(guān)，協(xié)同調(diào)查。6.8 文檔備案 總結(jié)故障事件處理過程，并生成事件處理報告提交上級部門安全管理組織備案。7 應(yīng)急處理預(yù)案7.1 DoS/DDos處理流程DoS的英文全稱是Denial of Service，也就是“拒絕服務(wù)”的意思。從網(wǎng)絡(luò)攻擊的各種方法和所產(chǎn)生的破壞情況來看，DoS算是一種很簡單但又很有效的進攻方式。它的目的就是拒絕你的服務(wù)訪問，破壞組織的正常運行?？头行母骶W(wǎng)站面向Internet提供服務(wù)，因此面臨DoS攻擊的威脅較大。 確定DoS攻擊類型在確認遭受DoS攻擊時，應(yīng)首先

8、確定DoS攻擊的類型。DoS攻擊類型比較多，如SYN FLOOD、IP欺騙DOS攻擊、Ping FLOOD、自身消耗的DOS攻擊等。而smurf、trinoo、tfn、tfn2k以及stacheldraht是比較常見的DoS攻擊程序。 抵御DoS攻擊對不同的DoS攻擊類型，安全管理員可采用不同的抵御手段，如抵御 Smurf攻擊可采用以下方法：1）確定網(wǎng)站是否成為了攻擊平臺：對不是來自于的內(nèi)部網(wǎng)絡(luò)的信息包進行監(jiān)控；監(jiān)控大容量的回音請求和回音應(yīng)答信息包。2）避免被當做一個攻擊平臺：在所有路由器上禁止IP廣播功能；將不是來自于內(nèi)部網(wǎng)絡(luò)的信息包過濾掉。3）減輕攻擊的危害：在邊界路由器對回音應(yīng)答信息包進

9、行過濾，并丟棄；對于Cisco路由器，使用CAR來規(guī)定回音應(yīng)答信息包可以使用的帶寬最大值。4）此外，可采用專業(yè)抗DoS攻擊的設(shè)備進行抵御，最大限度的降低攻擊帶來的危害。 恢復(fù)受攻擊的系統(tǒng)7.2 網(wǎng)站被入侵網(wǎng)站安裝有入侵檢測系統(tǒng)，時時監(jiān)控入侵行為，設(shè)置了全面的入侵模式，當發(fā)現(xiàn)有入侵行為時，可以自動切斷對方到服務(wù)器的連接，并在數(shù)據(jù)庫中記錄對方的ip地址以及入侵方式，作為證據(jù)。 檢查方法1、檢查系統(tǒng)密碼文件 查看passwd文件，ls l /etc/passwd查看文件修改的日期。輸入命令 awk F:$3=0 print $1 /etc/passwd來檢查一下passwd文件中有哪些特權(quán)用戶，系統(tǒng)

10、中uid為0的用戶都會被顯示出來。順便再檢查一下系統(tǒng)里有沒有空口令帳戶：awk F: length($2)=0 print $1 /etc/shadow 2、查看一下進程，看看有沒有奇怪的進程 重點查看進程：ps aef | grep inetdsolaris系統(tǒng)中是inetd s，同樣沒有用inetd去啟動某個特定的文件；如果使用ps命令看到inetd啟動了某個文件，而自己又沒有用inetd啟動這個文件，那就說明已經(jīng)有人入侵了系統(tǒng)，并且以root權(quán)限起了一個簡單的后門。輸入ps aef 查看輸出信息，尤其注意有沒有以./xxx開頭的進程。一旦發(fā)現(xiàn)異樣的進程，經(jīng)檢查為入侵者留下的后門程序，立即

11、運行kill 9 pid 開殺死該進程，然后再運行ps aef查看該進程是否被殺死；一旦此類進程出現(xiàn)殺死以后又重新啟動的現(xiàn)象，則證明系統(tǒng)被人放置了自動啟動程序的腳本。這個時候要進行仔細查找：find / -name 程序名 print，假設(shè)系統(tǒng)真的被入侵者放置了后門，根據(jù)找到的程序所在的目錄，UNIX下隱藏進程有的時候通過替換ps文件來做，檢測這種方法涉及到檢查文件完整性。接下來根據(jù)找到入侵者在服務(wù)器上的文件目錄，一步一步進行追蹤。 3、檢查系統(tǒng)守護進程檢查/etc/inetd.conf文件，輸入：cat /etc/inetd.conf | grep v “#”，輸出的信息就是這臺機器所開啟的

12、遠程服務(wù)。一般入侵者可以通過直接替換in.xxx程序來創(chuàng)建一個后門，比如用/bin/sh 替換掉in.telnetd，然后重新啟動inetd服務(wù)，那么telnet到服務(wù)器上的所有用戶將不用輸入用戶名和密碼而直接獲得一個rootshell。 4、檢查網(wǎng)絡(luò)連接和監(jiān)聽端口輸入netstat -an，列出本機所有的連接和監(jiān)聽的端口，查看有沒有非法連接。輸入netstat rn，查看本機的路由、網(wǎng)關(guān)設(shè)置是否正確。輸入 ifconfig a，查看網(wǎng)卡設(shè)置。 5、檢查系統(tǒng)日志命令last | more查看在正常情況下登錄到本機的所有用戶的歷史記錄。但last命令依賴于syslog進程，這已經(jīng)成為入侵者攻擊的

13、重要目標。入侵者通常會停止系統(tǒng)的syslog，查看系統(tǒng)syslog進程的情況，判斷syslog上次啟動的時間是否正常，因為syslog是以root身份執(zhí)行的，如果發(fā)現(xiàn)syslog被非法動過，那說明有重大的入侵事件。在solaris下輸入 ls al /var/adm檢查wtmp utmp，包括messgae等文件的完整性和修改時間是否正常，這也是手工擦除入侵痕跡的一種方法。 6、檢查系統(tǒng)中的core文件通過發(fā)送畸形請求來攻擊服務(wù)器的某一服務(wù)來入侵系統(tǒng)是一種常規(guī)的入侵方法，典型的RPC攻擊就是通過這種方式。這種方式有一定的成功率，也就是說它并不能100%保證成功入侵系統(tǒng)，而且通常會在服務(wù)器相應(yīng)目

14、錄下產(chǎn)生core文件，全局查找系統(tǒng)中的core文件，輸入find / -name core exec ls l ; 依據(jù)core所在的目錄、查詢core文件來判斷是否有入侵行為。 7、檢查系統(tǒng)文件完整性檢查文件的完整性有多種方法，通常我們通過輸入ls l 文件名來查詢和比較文件，這種方法雖然簡單，但還是有一定的實用性。但是如果ls文件都已經(jīng)被替換了就比較麻煩。在UNIX下可以用rpm V rpm qf 文件名 來查詢，查詢的結(jié)果是否正常來判斷文件是否完整。在UNIX下使用rpm來檢查文件的完整性的方法也很多，這里不一一贅述，可以man rpm來獲得更多的格式。8、檢查內(nèi)核級后門如果系統(tǒng)被人安裝了這種后門，通常都是比較麻煩的，首先，檢查系統(tǒng)加載的模塊，在UNIX系統(tǒng)下使用lsmod命令，在solaris系統(tǒng)下使用modinfo命令來查看。一條一條地對模塊進行分析。對內(nèi)核進行加固后，應(yīng)禁止插入或刪除模塊，從而保護系統(tǒng)的安全，否則入侵者將有可能再次對系統(tǒng)調(diào)用進行替換。我們可以通過替換create_module()和delete_module()來達到上述目的。另外，對這個內(nèi)核進行加固模塊時應(yīng)盡早進行，以防系統(tǒng)調(diào)用已經(jīng)被入侵者替換。如果系統(tǒng)被加載了后門模塊，但是在模塊列表/proc/module里