信息系統(tǒng)安全應(yīng)急響應(yīng)處置

信息系統(tǒng)平安應(yīng)急響應(yīng)處置介紹樊運(yùn)安協(xié)會(huì)專家組成員CISSPCISPCOBITITIL目錄應(yīng)急響應(yīng)體系應(yīng)急響應(yīng)案例其他應(yīng)急響應(yīng)定義1應(yīng)急響應(yīng)〔Emergencyresponse〕組織為了應(yīng)對(duì)突發(fā)/重大信息平安事件的發(fā)生所做的準(zhǔn)備，已及在事件發(fā)生后所采取的的措施?！残畔⑵桨矐?yīng)急響應(yīng)方案標(biāo)準(zhǔn)GB/T24363-2009〕應(yīng)急響應(yīng)通常是指一個(gè)組織為了應(yīng)對(duì)各種意外事件的發(fā)生所做的準(zhǔn)備以及在事件發(fā)生后所采取的措施。信息系統(tǒng)平安事件應(yīng)急響應(yīng)的對(duì)象是指針對(duì)信息系統(tǒng)所存儲(chǔ)、傳輸、處理的信息的平安事件。事件的主體可能來自自然界、系統(tǒng)自身故障、組織內(nèi)部或外部的人為攻擊等。按照信息系統(tǒng)平安的三個(gè)特性，可以把平安事件定義為破壞信息或信息處理系統(tǒng)CIA的行為，即破壞保密性的平安事件、破壞完整性的平安事件和破壞可用性的平安事件等?！残畔⑾到y(tǒng)等保體系框架GA/T708-2007〕應(yīng)急響應(yīng)的定義2信息平安響應(yīng)的定義3信息平安應(yīng)急響應(yīng)是指在計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)上的威脅平安的事件發(fā)生后采取的措施和行動(dòng)。這些措施和行動(dòng)通常是用來減小和阻止事件帶來的負(fù)面影響和破壞的后果。信息平安應(yīng)急響應(yīng)是解決網(wǎng)絡(luò)系統(tǒng)平安問題的有效平安效勞手段之一。應(yīng)急處置定義應(yīng)急處置啟動(dòng)應(yīng)急響應(yīng)方案后，應(yīng)立即采取相關(guān)措施抑制信息平安事件影響，防止造成更大損失。在確定有效控制了信息平安事件影響后，開始實(shí)施恢復(fù)操作?；謴?fù)階段的行動(dòng)集中于建立臨時(shí)業(yè)務(wù)處理能力、修復(fù)原系統(tǒng)的損害、在原系統(tǒng)或新設(shè)施中恢復(fù)運(yùn)行業(yè)務(wù)能力等應(yīng)急措施。——〔信息平安應(yīng)急響應(yīng)方案標(biāo)準(zhǔn)GB/T24363-2009〕信息平安應(yīng)急響應(yīng)產(chǎn)生的背景MorrisWorm1988年Morris蠕蟲病毒事件爆發(fā)后，世界上第一個(gè)應(yīng)急響應(yīng)組織成立----CERT/CC2000年10月份成立“國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心〞，簡(jiǎn)稱“國家互聯(lián)網(wǎng)應(yīng)急中心〞，在31個(gè)省成立分中心CNCERT/CC的職能CNCERT/CC(國家互聯(lián)網(wǎng)應(yīng)急中心)作為國家級(jí)應(yīng)急組織，主要業(yè)務(wù)包括如下：我國信息平安應(yīng)急響應(yīng)管理體系信息平安應(yīng)急響應(yīng)法規(guī)標(biāo)準(zhǔn)信息平安應(yīng)急響應(yīng)要求—信息平安等級(jí)保護(hù)應(yīng)急預(yù)案管理a)

應(yīng)在統(tǒng)一的應(yīng)急預(yù)案框架下制定不同事件的應(yīng)急預(yù)案，應(yīng)急預(yù)案框架應(yīng)包括啟動(dòng)應(yīng)急預(yù)案的條件、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程、事后教育和培訓(xùn)等內(nèi)容；b)

應(yīng)從人力、設(shè)備、技術(shù)和財(cái)務(wù)等方面確保應(yīng)急預(yù)案的執(zhí)行有足夠的資源保障；c)

應(yīng)對(duì)系統(tǒng)相關(guān)的人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)，應(yīng)急預(yù)案的培訓(xùn)應(yīng)至少每年舉辦一次；d)

應(yīng)定期對(duì)應(yīng)急預(yù)案進(jìn)行演練，根據(jù)不同的應(yīng)急恢復(fù)內(nèi)容，確定演練的周期；e)

應(yīng)規(guī)定應(yīng)急預(yù)案需要定期審查和根據(jù)實(shí)際情況更新的內(nèi)容，并按照?qǐng)?zhí)行。安全事件處置a)

應(yīng)報(bào)告所發(fā)現(xiàn)的安全弱點(diǎn)和可疑事件，但任何情況下用戶均不應(yīng)嘗試驗(yàn)證弱點(diǎn)；b)

應(yīng)制定安全事件報(bào)告和處置管理制度，明確安全事件的類型，規(guī)定安全事件的現(xiàn)場(chǎng)處理、事件報(bào)告和后期恢復(fù)的管理職責(zé)；c)

應(yīng)根據(jù)國家相關(guān)管理部門對(duì)計(jì)算機(jī)安全事件等級(jí)劃分方法和安全事件對(duì)本系統(tǒng)產(chǎn)生的影響，對(duì)本系統(tǒng)計(jì)算機(jī)安全事件進(jìn)行等級(jí)劃分；d)

應(yīng)制定安全事件報(bào)告和響應(yīng)處理程序，確定事件的報(bào)告流程，響應(yīng)和處置的范圍、程度，以及處理方法等；f)

對(duì)造成系統(tǒng)中斷和造成信息泄密的安全事件應(yīng)采用不同的處理程序和報(bào)告程序。應(yīng)急響應(yīng)組織結(jié)構(gòu)應(yīng)急領(lǐng)導(dǎo)小組應(yīng)急專家小組應(yīng)急響應(yīng)

技術(shù)保障小組應(yīng)急響應(yīng)

日常運(yùn)行小組應(yīng)急響應(yīng)

實(shí)施小組1〕組織開展應(yīng)急響應(yīng)工作2〕應(yīng)急響應(yīng)啟動(dòng)條件的決策3〕應(yīng)急響應(yīng)所需資源的協(xié)調(diào)。。。。。。1〕應(yīng)急響應(yīng)事件的咨詢2〕應(yīng)急響應(yīng)事件的綜合評(píng)估。。。。。。1〕應(yīng)急事件技術(shù)能力的支撐2〕技術(shù)資源協(xié)調(diào)。。。。。。1〕應(yīng)急事件的日常監(jiān)控2〕應(yīng)急事件的響應(yīng)。。。。。。1〕應(yīng)急事件的處理2〕重要信息系統(tǒng)的業(yè)務(wù)能力恢復(fù)。。。。。。網(wǎng)絡(luò)釣魚事件網(wǎng)頁內(nèi)嵌惡意代碼事件應(yīng)急事件類型有害程序事件混合攻擊程序事件計(jì)算機(jī)病毒事件蠕蟲事件特洛伊木馬事件僵尸網(wǎng)絡(luò)事件網(wǎng)絡(luò)攻擊事件網(wǎng)絡(luò)掃描竊聽事件拒絕效勞攻擊事件后門攻擊事件漏洞攻擊事件網(wǎng)絡(luò)釣魚事件干擾事件信息內(nèi)容平安事件信息破壞事件信息喪失事件信息篡改事件信息假冒事件信息泄露事件信息竊取事件設(shè)備設(shè)施故障軟硬件自身故障外圍保障設(shè)施故障人為破壞事件災(zāi)害性事故自然災(zāi)害人為災(zāi)害應(yīng)急事件等級(jí)事件描述等級(jí)信息安全事件影響信息系統(tǒng)損害程度特別重大事件I級(jí)特別嚴(yán)重影響或破壞特別嚴(yán)重重大事件II級(jí)嚴(yán)重影響或破壞重大較大事件III級(jí)較嚴(yán)重影響或破壞較大一般事件IV級(jí)較小影響或破壞較小信息平安應(yīng)急響應(yīng)流程信息平安應(yīng)急響應(yīng)流程—準(zhǔn)備階段分析資產(chǎn)的風(fēng)險(xiǎn)1）明確信息系統(tǒng)網(wǎng)絡(luò)與系統(tǒng)架構(gòu)。

2）明確信息系統(tǒng)的管理人員。

3）明確信息系統(tǒng)的保護(hù)要求。

4）計(jì)算損失和影響。風(fēng)險(xiǎn)加固1）根據(jù)風(fēng)險(xiǎn)建立防御/控制措施。

2）安全管理及安全技術(shù)層面要同時(shí)兼顧。編制應(yīng)急預(yù)案1）制定應(yīng)急處理的操作步驟。

2）制定應(yīng)急處理的報(bào)告路線。

3）制定信息系統(tǒng)恢復(fù)的優(yōu)先級(jí)順序。

4）明確配合的人員信息。信息平安應(yīng)急響應(yīng)流程—準(zhǔn)備階段組建應(yīng)急響應(yīng)團(tuán)隊(duì)1）組建管理人員團(tuán)隊(duì)。2）組建技術(shù)人員團(tuán)隊(duì)。

3）明確人員職責(zé)。4）建立應(yīng)急響應(yīng)組織人員清單。保障資源儲(chǔ)備1）信息安全應(yīng)急響應(yīng)專項(xiàng)資金。2）應(yīng)急響應(yīng)所需的軟硬件設(shè)備。3）社會(huì)關(guān)系資源。技術(shù)支持資源庫1）網(wǎng)絡(luò)拓?fù)鋱D。2）信息系統(tǒng)及設(shè)備安裝配置文檔。

3）常見問題處理手冊(cè)。

。。。。。。信息平安應(yīng)急響應(yīng)流程—檢測(cè)階段日常運(yùn)維監(jiān)控1）收集各類故障信息。2）確認(rèn)信息系統(tǒng)的實(shí)時(shí)運(yùn)行狀況。

3）信息安全事件探測(cè)。事件判斷1）確認(rèn)事件給信息系統(tǒng)帶來的影響。

2）確認(rèn)事件給信息系統(tǒng)造成的損害程度。3）一般事件與應(yīng)急事件的判定。事件上報(bào)1）確認(rèn)應(yīng)急事件類型。2）確認(rèn)應(yīng)急事件等級(jí)。3）通知相關(guān)人員。

4）啟動(dòng)應(yīng)急預(yù)案。信息平安應(yīng)急響應(yīng)流程—抑制階段控制事件蔓延1）采取有效的措施防止事件的進(jìn)一步擴(kuò)大。

2）盡可能減少負(fù)面影響。抑制響應(yīng)1）采取常規(guī)的技術(shù)手段處理應(yīng)急事件。

2）嘗試快速修復(fù)系統(tǒng)，消除應(yīng)急事件帶來的影響。抑制監(jiān)測(cè)1）確認(rèn)當(dāng)前的抑制手段是否有效。

2）分析應(yīng)急事件發(fā)生的原因，為根除階段提供解決方案。信息平安應(yīng)急響應(yīng)流程—鏟除、恢復(fù)階段啟動(dòng)應(yīng)急預(yù)案1）協(xié)調(diào)各應(yīng)急響應(yīng)小組人員到位。2）根據(jù)應(yīng)急場(chǎng)景啟動(dòng)相關(guān)預(yù)案。根除監(jiān)測(cè)1）根據(jù)應(yīng)急預(yù)案的執(zhí)行情況確認(rèn)處置是否有效。

2）嘗試恢復(fù)信息系統(tǒng)的正常運(yùn)行。持續(xù)監(jiān)測(cè)1）當(dāng)應(yīng)急處置成功后對(duì)應(yīng)急事件持續(xù)監(jiān)測(cè)。

2）確認(rèn)應(yīng)急事件已根除。

3）信息系統(tǒng)運(yùn)行恢復(fù)到正常狀況。信息平安應(yīng)急響應(yīng)流程—事后活動(dòng)階段應(yīng)急響應(yīng)情況報(bào)告1）由應(yīng)急響應(yīng)實(shí)施小組報(bào)告應(yīng)急事件的處置情況。2）由應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組下達(dá)應(yīng)急響應(yīng)結(jié)束的指令。應(yīng)急事件調(diào)查1）對(duì)應(yīng)急事件發(fā)生的原因進(jìn)行調(diào)查。

2）評(píng)估應(yīng)急事件對(duì)信息系統(tǒng)造成的損失。

3）評(píng)估應(yīng)急事件對(duì)單位、組織帶來的影響。應(yīng)急響應(yīng)總結(jié)1）對(duì)存在的風(fēng)險(xiǎn)點(diǎn)進(jìn)行加固和整改。

2）評(píng)價(jià)應(yīng)急預(yù)案的執(zhí)行情況和后續(xù)改進(jìn)計(jì)劃。

3）對(duì)應(yīng)急響應(yīng)組織成員進(jìn)行評(píng)價(jià)，表彰立功人員。應(yīng)急預(yù)案的定義應(yīng)急預(yù)案是指針對(duì)可能發(fā)生的事故，為迅速、有序地開展應(yīng)急行動(dòng)而預(yù)先制定的行動(dòng)方案。應(yīng)急預(yù)案的類型組織開展應(yīng)急響應(yīng)工作的指導(dǎo)性文件具體類型的平安事件解決方案針對(duì)場(chǎng)景的一次性解決方案特定環(huán)境下、特定平安事件的處理方案應(yīng)急預(yù)案框架一級(jí)目錄

（行業(yè)指引）二級(jí)目錄

（綜合預(yù)案）三級(jí)目錄

（特定系統(tǒng)預(yù)案）四級(jí)目錄

（專題預(yù)案）五級(jí)目錄

（技術(shù)資源庫）組織開展信息安全應(yīng)急響應(yīng)工作指南

信息安全應(yīng)急綜合預(yù)案

應(yīng)用系統(tǒng)專項(xiàng)應(yīng)急預(yù)案XX機(jī)房空調(diào)應(yīng)急預(yù)案XX產(chǎn)品安裝配置文檔

XX產(chǎn)品常見問題處理手冊(cè)

XX產(chǎn)品問題處理單主機(jī)系統(tǒng)專項(xiàng)應(yīng)急預(yù)案XX品牌服務(wù)器應(yīng)急預(yù)案網(wǎng)絡(luò)系統(tǒng)專項(xiàng)應(yīng)急預(yù)案XX品牌網(wǎng)絡(luò)交換機(jī)應(yīng)急預(yù)案信息安全專項(xiàng)應(yīng)急預(yù)案XX品牌防火墻應(yīng)急預(yù)案應(yīng)急預(yù)案的文檔結(jié)構(gòu)應(yīng)急預(yù)案的編制步驟應(yīng)急預(yù)案的啟動(dòng)執(zhí)行過程信息平安應(yīng)急演練流程目錄應(yīng)急響應(yīng)體系應(yīng)急響應(yīng)案例其他知名公共案例知名公共案例-攜程知名公共案例-攜程知名公共案例-OpenSSL知名公共案例-OpenSSL知名公共案例-OpenSSL案例一：奧帆委網(wǎng)站系統(tǒng)案例二：遺忘密碼案例三：DDOS攻擊應(yīng)急響應(yīng)公司案例2007年6月，奧帆委官方網(wǎng)站感覺異常遠(yuǎn)程測(cè)試發(fā)現(xiàn)站點(diǎn)存在多種漏洞SQL注入繞過平安驗(yàn)證漏洞上傳漏洞已經(jīng)存在多個(gè)木馬Webshell案例一：奧帆委網(wǎng)站系統(tǒng)典型注入攻擊-SQL注入SQL注入攻擊原理SQL注入〔SQLInjection〕：程序員在編寫代碼的時(shí)候，沒有對(duì)用戶輸入數(shù)據(jù)的合法性進(jìn)行判斷，使應(yīng)用程序存在平安隱患。用戶可以提交一段數(shù)據(jù)庫查詢代碼，根據(jù)程序返回的結(jié)果，獲得某些他想得知的數(shù)據(jù)或進(jìn)行數(shù)據(jù)庫操作操作系統(tǒng)Web應(yīng)用數(shù)據(jù)庫服務(wù)器123調(diào)用數(shù)據(jù)庫查詢直接調(diào)用操作系統(tǒng)命令通過數(shù)據(jù)庫調(diào)用操作系統(tǒng)命令43SQL注入Webshell后臺(tái)繞過登錄TipsWebshell/login.asp管理員管理員程序員考慮的場(chǎng)景:Username:adminPassword:p@$$w0rdSELECTCOUNT(*)FROMUsersWHEREusername='admin'andpassword='p@$$w0rd'登錄成功！Tips程序員未預(yù)料到的結(jié)果……Username:admin'OR1=1--Password:1SELECTCOUNT(*)FROMUsersWHEREusername='admin'OR1=1--

'andpassword='1'/login.asp攻擊者登錄成功！‘是SQL字符串變量的定界符攻擊關(guān)鍵通過定界符成功地將攻擊者的意圖注入到SQL語句中！通過注釋保證SQL語句正確！--是MSSQL的注釋符Tips案例一：奧帆委網(wǎng)站系統(tǒng)遠(yuǎn)程監(jiān)控案例一：奧帆委網(wǎng)站系統(tǒng)現(xiàn)場(chǎng)值守每日平安日?qǐng)?bào)階段性總結(jié)報(bào)告案例一：奧帆委網(wǎng)站系統(tǒng)案例二：遺忘密碼案例二：遺忘密碼案例二：遺忘密碼案例二：遺忘密碼案例二：遺忘密碼案例二：遺忘密碼案例二：遺忘密碼描述：某網(wǎng)絡(luò)管理員發(fā)現(xiàn)連續(xù)幾天在晚上18：00時(shí)左右，WEB效勞器網(wǎng)站不能正常訪問。案例三：DDOS攻擊應(yīng)急響應(yīng)事件描述分析：客戶描述根據(jù)客戶描述的情況，WEB效勞無法正常訪問屬于緊急響應(yīng)平安事件網(wǎng)絡(luò)現(xiàn)狀根本信息遠(yuǎn)程訪問該WEB效勞器，無法翻開頁面事件根本分析產(chǎn)生的可能性：a.WEB效勞未啟動(dòng)b.主機(jī)網(wǎng)絡(luò)不通c.病毒問題d.受到拒絕效勞攻擊e.防火墻策略更改f.其他原因案例三：DDOS攻擊應(yīng)急響應(yīng)制定方案：到用戶現(xiàn)場(chǎng)進(jìn)行分析在事件重現(xiàn)前部署監(jiān)控工具，流量分析，協(xié)議分析等判斷事件類型：維護(hù)問題，病毒，內(nèi)部發(fā)起攻擊，外部發(fā)起攻擊等判斷受攻擊目標(biāo)：主機(jī)受到攻擊，WEB效勞受到攻擊，網(wǎng)絡(luò)設(shè)備受到攻擊，網(wǎng)絡(luò)帶寬受到攻擊判斷攻擊方法：漏洞型，流量型，混合型案例三：DDOS攻擊應(yīng)急響應(yīng)事件調(diào)查：對(duì)數(shù)據(jù)包進(jìn)行簡(jiǎn)單分析，排除病毒可能，根據(jù)流量分析，局域網(wǎng)流量并不是特別大，網(wǎng)關(guān)處流量非常大，根本排除內(nèi)部向外發(fā)起攻擊可能。從內(nèi)網(wǎng)訪問效勞器正常，以及根據(jù)數(shù)據(jù)包的類型判斷，根本排除主機(jī)或WEB效勞的漏洞攻擊可能。對(duì)收集到的數(shù)據(jù)包的包頭進(jìn)行分析，存在大量的tcpsyn包，udp包以及少量icmp包，和未知ip包等。案例三：DDOS攻擊應(yīng)急響應(yīng)SYNFlood攻擊：此種攻擊經(jīng)過抓包分析可以看到，大量的syn請(qǐng)求發(fā)向目標(biāo)地址，而syn包的源地址為大量的隨機(jī)生成的虛假地址。在目標(biāo)主機(jī)上使用netstat–an命令可以看到大量syn連接，處于syn_received狀態(tài)

案例三：DDOS攻擊應(yīng)急響應(yīng)如果是單純的tcpsynflood攻擊，未到達(dá)限速的情況下，可以使用性能較好的，具有防synflood功能的設(shè)備進(jìn)行防護(hù)。如果是主機(jī)效勞器停止響應(yīng)，需要在網(wǎng)關(guān)或防火墻上對(duì)主機(jī)效勞進(jìn)行“代理〞，保護(hù)主機(jī)。此時(shí)網(wǎng)關(guān)或防火墻需要有能力抵抗此類拒絕效勞攻擊。如果攻擊數(shù)據(jù)包是崎型數(shù)據(jù)包，需要網(wǎng)關(guān)或防火墻能抵抗此類拒絕效勞攻擊。如果攻擊數(shù)據(jù)包到達(dá)限速，需要逐級(jí)追查數(shù)據(jù)包的來源。案例三：DDOS攻擊應(yīng)急響應(yīng)對(duì)數(shù)據(jù)包特征進(jìn)行分析，包括來源地址〔隨機(jī)〕，端口，TTL值，