网络电视台安全事件应急预案

1、网络电视台安全事件应急处理预案网络电视台重点宣传保障期网站安全事件应急处理预案2013-01-181 目的本文以网络电视台互联网站系统现状出发，结合目前网络安全状况的分析，建立本预案用以处理可能发生的网络安全事件。本预案以安全事件已发现和确认为背景，重在安全事件发生后的处理。2 范围本应急预案适用于网络电视台系统，网络电视台系统面临的主要安全风险有以下三种：l 信息篡改：针对网络电视台服务器，未经授权将信息系统中的信息更换为攻击者所提供的信息而导致的信息安全事件，例如网页篡改等导致的信息安全事件。l 拒绝服务：包括从外部发起，针对网络电视台的拒绝服务攻击，也包括网络电视台内部被非法控制的主机，

2、作为傀儡机发起的拒绝服务。l 恶意代码攻击：指病毒或者网络蠕虫，其表现形式为，网络电视台内主机遭受恶意代码破坏或从外网发起对网络电视台的蠕虫病毒感染。3 信息篡改事件是指未经授权将信息系统中的信息更换为攻击者所提供的信息而导致的信息安全事件。3.1 紧急处理措施1、 进行系统临时性恢复，迅速恢复系统被篡改的内容；2、 严格监控对系统的业务访问以及服务器系统登陆情况，确保对再次攻击的行为能进行检测；使用事件查看器查看系统安全日志，获得当前系统正在登录帐户的信息及来源使用事件查看器查看系统安全日志，获得系统前n次登录记录3、 将发生安全事件的设备脱网，做好安全审计及系统恢复准备；4、 在必要情况下

3、，将遭受攻击的主机上系统日志、应用日志等导出备份，并加以分析判断。3.2 抑制处理1、 分析日志(系统安全日志，windows防火墙日志等)，确认主机上有无异常权限用户非法登陆，并记录其ip地址、登陆时间等信息；使用事件查看器查看系统安全日志，获得当前系统正在登录帐户的信息及来源使用事件查看器查看系统安全日志，获得系统前n次登录记录应用日志记录了定时作业的内容，通常在默认日志目录中一个文件里2、 分析系统目录以及搜索整盘近期被修改的和新创建的文件，查找是否存在可疑文件和后门程序；3、 分析系统服务，有无新增或者修改过的服务；检查有无可疑进程；检查有无可疑端口；netstat an列出所有打开的

4、端口及连接状态netstat i只显示网络套接字的进程任务管理器会列出系统正在运行的所有进程4、 使用第三方rootkit检查工具（如chkrootkit）检查是否存在rootkit性质后门程序；5、 结合上述日志审计，确定攻击者的方式、以及入侵后所获得的最大管理权限和是否对被攻击服务器留有后门程序3.3 根除1、 部署网页防篡改软件1. 在主web服务器上部署监控端，通过事件触发+文件驱动保护的方式，对web服务目录提供实时保护，禁止在主服务器上对监控目录进行任何写操作。2. 在备份web服务器上部署server端以及控制台，将主服务器上web服务的相关目录全部拷贝在备份web服务器上。所有

5、的维护操作均在备份服务器上进行，并实时同步到主web服务器上3. 对数据库的保护通过专门的iissec模块进行防护。此模块部署在主web服务器上，主要防护数据库读取，数据交互等动态信息。4. 系统上网运行。4 拒绝服务攻击拒绝服务攻击事件是指利用信息系统缺陷、或通过暴力攻击的手段，以大量消耗信息系统的cpu、内存、磁盘空间或网络带宽等资源，从而影响信息系统正常运行为目的的信息安全事件。拒绝服务发起时往往表现为cpu、内存、带宽等的高利用率，同时由于攻击手法和形式的多样性，造成对攻击形式攻击特征分析带来一定的难度。当此类攻击发生后，可根据如下几种归类，确认和处理此类安全事件。4.1 由外部发起外

6、部破坏者发起对网络电视台的拒绝服务攻击。4.1.1 系统漏洞类此类攻击利用的软件或者操作系统的漏洞，比如最新公布了一个apache某一模块存在拒绝服务漏洞，当这一模块接受了一个特殊构造的数据包时，会造成apache服务停止响应。 利用主机漏洞1、 如果系统服务无法正常响应，迅速切换到备用系统；2、 通过防火墙或网络设备配置访问控制列表，过滤dos发起源的连接。3、 确认造成系统cpu、内存占用高的进程或者应用。4、 确认系统存在的漏洞，根据漏洞信息和安全建议采取相应的控制措施；安装相应的补丁修复程序，5、 修复漏洞后切换到原运行系统。 利用网络设备漏洞1、 如果系统

7、服务无法正常响应，迅速切换到备用系统；2、 利用防火墙或网络设备配置acl，过滤dos发起源的连接3、 确认当前ios版本，确认此版本是否存在dos的漏洞4、 根据漏洞信息和相应安全建议采取相应的控制措施，安装相应的补丁修复程序。5、 切换到主系统。4.1.2 网络协议类协议类攻击是以发起大量连接或数据包为基础，造成被攻击方连接队列耗尽或cpu、内存资源的耗尽。此类攻击为最常见。比如：syn flood。1、 通过网络流量分析软件，确定数据包类型特征，比如利用的是udp、tcp还是icmp协议2、 在防火墙配置访问控制策略。3、 可以通过电信运营商noc中心协调相关机构，对攻击源地址进行监控处

8、理。4.1.3 应用类应用类，主要是指针对web服务发起的攻击，表现在分布式的大量http请求，以耗尽web服务的最大连接数或者消耗数据库资源为目的。比如：对某一大页面的访问或者对某一页面的数据库搜索。1、 通过网络流量分析软件，确定数据包类型特征，2、 在防火墙或网络设备上配置访问控制策略，限制或过滤发送源地址的访问3、 可以通过电信运营商noc中心协调相关机构，对攻击源地址进行监控处理。4.2 由内部发起当内部主机被入侵后，如果放置了拒绝服务攻击程序，被黑客用来对其他系统发动拒绝服务攻击。4.2.1 紧急措施1、 通过网络流量分析软件（tcpdump、sniffer等），分析数据包特征。2

9、、 通过流量分析，确定对外发包的被控主机，条件允许将其断网隔离。3、 调整防火墙或网络设备访问控制acl策略，严格限制该机器的对外继续发包。4.2.2 抑制处理1、 检查并确认被控主机上的恶意进程或恶意程序。2、 清除恶意进程，一般先关闭进程，然后删除其相关文件。4.2.3 根除1、 选择电信安全卫士服务中的流量清洗服务子模块。2、 重新恢复业务系统，上线运行5 恶意代码恶意代码以病毒或蠕虫最为常见。其中蠕虫类攻击，往往影响严重。5.1 内部内部恶意代码，表现为网络电视台内主机或者网络上，存在恶意代码。5.1.1 紧急处理1、 通过网络流量分析软件（tcpdump、sniffer等）确定恶意代

10、码源头，即定位到哪个机房的哪台机器2、 必要情况下切换备机，断网隔离。3、 通过在防火墙或网络设备设置访问控制策略，限制外部的访问。5.1.2 抑制处理1、 在问题主机上，确定恶意代码特征：进程、端口等，通常以netstat naple 查看进程和端口的绑定情况，分析出异常的端口或者进程2、 清除恶意代码，一般先停止恶意进程，同时将其相关文件删除5.1.3 根除1、 部署ips安全防护设备在web服务器和接入交换机之间部署入侵防护设备ips，主动监测，实时阻断恶意攻击。2、 实现功能：进行事前防护，最大程度减少威胁 实时阻断各种攻击行为，便于取证开放特定端口，方便异地备份控制备份服务器与主服务

11、器之间通信，避免备份服务器被入侵5.2 外部当网络电视台外部网络遭受恶意代码（蠕虫）攻击时，此类恶意代码可能会以网络连接、邮件、文件传输等形式试图感染到网络电视台内部。当此类攻击发生时：1、 通过网络流量分析软件（tcpdump、sniffer等），分析代码网络数据包特征，确定恶意代码利用的端口及ip2、 在防火墙设置acl规则，过滤相关的ip和端口3、 同时根据恶意代码的利用机理，在主机层面做一定防范，比如安装补丁、修改配置、做访问控制等。6 附录1. windows应急处理参考列表windows应急处理主要事项windows系统的入侵检测方法主要包括：检查所有相关的日志，检查相关文件，鉴定

12、未授权的用户账号或组，寻找异常或隐藏文件，检查系统的运行的进程，检查系统开放的端口等。可以采用手工和工具检查相结合的方式进行。一、手工检查与审计下面就各种检查项目做一下详细说明。1、检查端口与网络连接 netstat.exe 是一种命令行实用工具，可以显示 tcp 和 udp 的所有打开的端口。 如果发现的已打开的端口无法识别，则应对它们进行调查以确定在该计算机上是否需要对应的服务。如果不需要该服务，则应禁用或删除相关的服务以防止计算机在该端口上监听。 也可以通过该命令检查有哪些相关的连接，也许恶意的连接就在这里。方法：netstat an（系统命令）（windows2003使用命令netst

13、at ano可检测出端口对应的进程）netstat a（系统命令）（windows2003使用命令netstat ao可检测出端口对应的进程）fport（第三方工具）木马端口列表： http:/www.chebucto.ns.ca/rakerman/port-table.html2、检查账户安全服务器被入侵之后，通常会表现在系统的用户账户上，我们可以在系统日志上察看相关的信息。除了察看事件日志外，也应该检查所有账户的信息，包括他们所属的组。有些黑客入侵后常常将添加他们自己的账号，或者将那些偏僻的用户修改了权限，从而方便他们以后再次入侵。方法：可以在“计算机管理”“用户管理”中查看系统帐号。可以

14、使用命令查看：net user ；net localgroup administrators；可以cca.exe（第三方工具）检查是否有克隆帐号的存在。3、查找恶意进程可以通过以下工具和方法检查系统运行的进程，找出异常的进程。方法：任务管理器（系统工具）psinfo.exe（第三方工具） windows2000基本的系统进程如下：smss.exe session manager 会话管理csrss.exe 子系统服务器进程 winlogon.exe 管理用户登录 services.exe 包含很多系统服务 lsass.exe 管理 ip 安全策略以及启动 isakmp/oakley (ike)

15、 和 ip 安全驱动程序。(系统服务) svchost.exe 包含很多系统服务 spoolsv.exe 将文件加载到内存中以便迟后打印。(系统服务) explorer.exe 资源管理器 internat.exe 输入法 4、监视已安装的服务和驱动程序许多针对计算机的攻击都是这样实现的：攻击安装在目标计算机上的服务，或者将有效的驱动程序替换为包含特洛伊木马的驱动程序版本，以给予攻击者访问目标计算机的权限。 1、通过服务控制台查看服务。服务 mmc 控制台用于监视本地计算机或远程计算机的服务，并允许管理员配置、暂停、停止、启动和重新启动所有已安装的服务。可使用此控制台确定是否存在已配置为自动启

16、动的服务当前未启动的情况。2、通过注册表项查看服务和驱动程序：hkey_local_machinesystemcurrentcontrolsetservices5、检查注册表的关键项：一般来说，木马或者后门都会利用注册表来再次运行自己，所以，校验注册表来发现入侵也是常用的手法之一。使用regedit注册表编辑器可以查看注册表。在注册表里，我们着重要查看hkey_local_machinesoftwaremicrosoftwindowscurrentversion、hkey_current_usersoftwaremicrosoftwindowscurrentversion、hkey_users

17、.defaultsoftwaremicrosoftwindowscurrentversion下面的子树。特别是要查看 run, runonce, runonceex, runservices, 和 runservicesonce 文件夹，查找是否存在异常的条目。hkey_local_machinesoftwaremicrosoftwindows ntcurrentversionwinlogon也是需要检查的地方。主要检查内容：shell项内容正常情况应该为explorer.exe；userinit项内容应该为c:winntsystem32userinit.exe；检查是否有增加的项目其内容包括

18、.exe .sys .dll 等各种可执行文件。hkey_local_machinesoftwaremicrosoftwindows ntcurrentversionwinlogonnotify是否有异常的项。正常的项目主要有：crypt32chain, cryptnet, cscdll, sclgntfy, senslogn, wzcnotif.可能还会包括显卡、防病毒等项。检查类似txt等文本或其它后缀映射是否正常。hkey_local_machinesoftwaremicrosoftwindows ntcurrentversionimage file execution options，

19、映像劫持主要是用来调试程序。通常此项下不应设置任何子项、值。6、检查所有相关的日志windows日志对于系统安全的作用是很重要的，网络管理员应该非常重视日志。windows的系统日志文件有应用程序日志，安全日志、系统日志等等。可以通过“事件管理器”查看。建议日志的文件大小不小于100m。安全日志文件：%systemroot%system32configsecevent.evt 系统日志文件：%systemroot%system32configsysevent.evt 应用程序日志文件：%systemroot%system32configappevent.evt7、检查用户目录：检查c:docu

20、ments and settings目录各用户的目录。主要检查内容：用户最近一次的登陆时间；检查用户目录下的文件内容；检查local settings目录下的历史文件（history）、临时文件（temp）、访问网页的临时文件（temporary internet files）、应用数据文件（application data）等内容。8、检查文件系统检查c: 、c: winnt、c: winntsystem 、c: winntsystem32、c: winntsystem32dllcache、c: winntsystem32drivers、各个program files目录下的内容，检查他们目

21、录及文件的属性，若无版本说明，多为可疑文件；若某文件的建立时间异常，也可能是可疑的文件。维护一份文件和目录的完整列表，定期地进行更新和对比，这可能会加重过度操劳的管理员的负担，但是，如果系统的状态不是经常变动的话，这是发现很多恶意行为踪迹最有效的方法。9、环境变量右键点击“我的电脑”-属性-选择“高级”-“环境变量”检查内容：temp变量的所在位置的内容；后缀映射pathext是否包含有非windows的后缀；有没有增加其他的路径到path变量中；（对用户变量和系统变量都要进行检查）10、检查防病毒检查防病毒系统是否正常工作、病毒库是否正常更新、是否有异常的报警。11、检查应用检查相关应用的日志信息：internet信息服务ftp日志默认位置：%