信息安全管理应急响应

信息安全管理

应急响应内容提要应急响应服务背景什么是应急响应应急响应组的组建应急响应服务的过程应急响应服务的形式和内容应急响应服务的指标应急响应服务案例应急响应服务背景应急响应服务的诞生—CERT/CC1988年Morris蠕虫事件直接导致了CERT/CC的诞生。美国国防部(DoD)在卡内基梅隆大学的软件工程研究所成立了计算机应急响应组协调中心(CERT/CC)以协调Internet上的安全事件处理。目前，CERT/CC是DoD资助下的抗毁性网络系统计划(NetworkedSystemsSurvivabilityProgram)的一部分，下设三个部门：事件处理、脆弱性处理、计算机安全应急响应组（CSIRT）。在CERT/CC成立之后的14年里，共处理了28万多封Email，2万多个热线电话，其运行模式帮助了80多个CSIRT组织的建设。应急响应服务背景CERT/CC服务的内容安全事件响应安全事件分析和软件安全缺陷研究缺陷知识库开发信息发布：缺陷、公告、总结、统计、补丁、工具教育与培训：CSIRT管理、CSIRT技术培训、系统和网络管理员安全培训指导其它CSIRT（也称IRT、CERT）组织建设内容提要应急响应服务背景什么是应急响应应急响应组的组建应急响应服务的过程应急响应服务的形式和内容应急响应服务的指标应急响应服务案例事件响应事件响应：对发生在计算机系统或网络上的威胁安全的事件进行响应。事件响应是信息安全生命周期的必要组成部分。这个生命周期包括：对策、检测和响应。网络安全的发展日新月异，谁也无法实现一劳永逸的安全服务。应急响应描述当安全事件发生需要尽快解决，而一般技术人员又无法迅速处理的时候，就需要安全服务商提供一种发现问题、解决问题的有效服务手段来解决问题。这种服务手段可以描述为：客户的主机或网络正遭到攻击或发现入侵成功的痕迹，而又无法当时解决和追查来源时，安全服务商根据客户的要求以最快的速度赶到现场，协助客户解决问题，查找后门，保存证据和追查来源。

什么是应急响应应急响应也叫紧急响应，是安全事件发生后迅速采取的措施和行动，它是安全事件响应的一种快速实现方式。应急响应服务是解决网络系统安全问题的有效安全服务手段之一。应急响应的目的应急响应服务的目的是最快速度恢复系统的保密性、完整性和可用性，阻止和减小安全事件带来的影响。应急响应服务的特点技术复杂性与专业性各种硬件平台、操作系统、应用软件知识经验的依赖性由IRT中的人提供服务，而不是一个硬件或软件产品突发性强需要广泛的协调与合作内容容提提要要应急急响响应应服服务务背背景景什么么是是应应急急响响应应应急急响响应应组组的的组组建建应急急响响应应服服务务的的过过程程应急急响响应应服服务务的的形形式式和和内内容容应急急响响应应服服务务的的指指标标应急急响响应应服服务务案案例例应急急响响应应组组的的组组建建什么么是是应应急急响响应应组组（IRT）应急急响响应应组组就就是是一一个个或或更更多多的的个个人人组组成成的的团团队队，，能能快快速速执执行行和和处处理理与与安安全全有有关关的的事事件件的的任任务务。。为什什么么需需要要成成立立应应急急响响应应组组容易易协协调调响响应应工工作作提高高专专业业知知识识提高高效效率率提高高先先期期主主动动防防御御能能力力更加加适适合合于于满满足足机机构构的的需需要要提高高联联络络功功能能提高高处处理理制制度度障障碍碍方方面面的的能能力力应急急响响应应组组的的分分类类国际际间间的的协协调调组组织织国内内的的协协调调组组织织国内内的的协协调调组组织织愿意意付付费费的的任何何用用户户产品品用用户户网络络接接入入用用户户企业业部部门门、、用用户户商业业IRT网络络服服务务提提供供商商IRT厂商商IRT企业业/政府府IRT如：：绿绿盟盟科科技技如：：CCERT如：：Cisco、IBM如：：中中国国银银行行、、公安安部部如CERT/CC,FIRST如CNCERT/CC国外外应应急急响响应应组组建建设设情情况况国外安全全事件响响应组（（CSIRT）建设情情况FedCIRC、BACIRT、DFN-CERT等DOECIAC、AFCERT、NavyCIRT亚太地区区：AusCERT、SingCERT等FIRST（1990）FIRST为IRT组织、厂厂商和其其他安全全专家提提供一个个论坛，，讨论安安全缺陷陷、入侵侵者使用用的方法法和技巧巧、建议议等，共共同的寻寻找一个个可接受受的方案案。120多个正式式成员组组织，覆覆盖20多个国家家和地区区。FIRST的大量工工作都是是由来自自各成员员组织的的志愿者者完成的的，从FIRST中获益的的比例与与IRT愿意提供供的贡献献成比例例。国内应急急响应组组建设情情况计算机网网络基础础设施已已经严重重依赖国国外由于地理理、语言言、政治治等多种种因素，，安全服服务不可可能依赖赖国外的的组织国内的应应急响应应服务组组织还处处在建设设阶段CCERT（1999年5月），中中国教育育科研网网紧急响响应组NJCERT（1999年10月），中国教育育网华东（北））地区网络络安全事件响应组中国电信信ChinaNet安全小组组解放军，，公安部部商业网络络安全服服务公司司中国计算算机应急急响应组组/协调中心心CNCERT/CC信息产业业部安全全管理中中心，，2000年3月，北京京国际应急急响应组组网址内容提要要应急响应应服务背背景什么是应应急响应应应急响应应组的组组建应急响应应服务的的过程应急响应应服务的的形式和和内容应急响应应服务的的指标应急响应应服务案案例应急响应应服务的的过程准备检测抑制根除恢复跟踪应急响应应服务的的过程——准备基于威胁胁建立一一组合理理的防御御/控制措施施建立一组组尽可能能高效的的事件处处理程序序获得处理理问题必必须的资资源和人人员建立一个个支持事事件响应应活动的的基础设设施应急响应应服务的的过程——检测确定事件件是已经经发生了了还是在在进行当当中初步动作作和响应应选择检测测工具，，分析异异常现象象激活审计计功能迅速备份份完整系系统记录所发发生事件件估计安全全事件的的范围应急响应应服务的的过程——抑制限制攻击击的范围围，同时时限制了了潜在的的损失和和破坏。。抑制策略略完全关闭闭所有系系统；将网络断断开；修改所有有防火墙墙和路由由器的过过滤规则则，拒绝绝来自看看起来是是发发起攻攻击的主主机的所所有的流流量；封锁或删删除被攻攻击的登登录账号号；提高系统统或网络络行为的的监控级级别；设置诱饵饵服务器器作为陷陷阱；关闭被利利用的服服务；反击攻击击者的系系统等。。应急响应应服务的的过程——根除安全事件件被抑制制后，找找出事件件根源并并彻底根根除，即即根除事事件的原原因。应急响应应服务的的过程——恢复把所有受受侵害或或被破坏坏的系统统、应用用、数据据库等彻彻底地还还原到它它们正常常的任务务状态。。应急响应应服务的的过程——跟踪回顾事件件处理过过程总结经验验教训为管理或或法律目目的收集集损失统统计信息息建立或补补充自己己的应急急计划内容提要要应急响应应服务背背景什么是应应急响应应应急响应应组的组组建应急响应应服务的的过程应急响应应服务的的形式和和内容应急响应应服务的的指标应急响应应服务案案例应急响应应服务的的形式远程应急急响应服服务本地应急急响应服服务远程应急急响应服服务客户通过过电话、、Email、传真等等方式请请求安全全事件响响应，应应急响应应组通过过相同的的方式为为客户解解决问题题。经与客户户网络相相关人员员确认后后，客户户方提供供主机或或设备的的临时支支持账号号，由应应急响应应组远程程登陆主主机进行行检测和和服务，，问题解解决后出出具详细细的应急急响应服服务报告告。远程系统统无法登登陆，或或无法通通过远程程访问的的方式替替客户解解决问题题，客户户确认后后，转到到本地应应急相应应流程，，同时此此次远程程响应无无效，归归于本地地应急响响应类型型。本地应急急响应服服务应急响应应组在第第一时间间赶往客客户网络络系统安安全事件件的事发发地点，，在现场场为客户户查找事事发原因因并解决决相应问问题，最最后出具具详细的的应急响响应服务务报告。。应急响应应服务的的内容病毒事件件响应系统入侵侵事件响响应网络故障障事件响响应拒绝服务务攻击事事件响应应内容提要要应急响应应服务背背景什么是应应急响应应应急响响应组组的组组建应急响响应服服务的的过程程应急响响应服服务的的形式式和内内容应急响响应服服务的的指标标应急响响应服服务案案例应急响响应服服务的的指标标远程应应急响响应服服务在确认认客户户的应应急响响应请请求后后2小时内内，交交与相相关应应急响响应人人员进进行处处理。。无论论是否否解决决，进进行处处理的的当天天必须须返回回响应应情况况的简简报，，直到到此次次响应应服务务结束束。本地应应急响响应服服务对本地地范围围内的的客户户，3-6小时内内到达达现场场；对对异地地的客客户，，24小时加加路途途时间间内到到达现现场。。内容提提要应急响响应服服务背背景什么是是应急急响应应应急响响应组组的组组建应急响响应服服务的的过程程应急响响应服服务的的形式式和内内容应急响响应服服务的的指标标应急响响应服服务案案例应急响响应服服务案案例国家XX局的主主机入入侵应应急响响应XX证券公公司““红色色代码码”病病毒事事件应应急响响应XX电信公司网网络拒拒绝服服务攻攻击事事件应应急响响应XX省教育育网拒拒绝服服务攻攻击事事件应应急响响应国家XX局应急急响应应事件描描述该主机机位于于国家家XX局的X层计算算机办办公室室，在在2001年11月中曾曾经连连续发发生数数据库库被删删除记记录的的事件件，最最后该该网站站管理理员认认定事事件可可疑，，随即即向国国家XX局网络络安全全管理理部门门报告告。主机用用途做为国国家XX局计算算中心心内部部网站站使用用，负负责发发布计计算中中心内内部信信息。。操作作系统统Windows2000ServerSP2，网站站运行行IIS5，后台台数据据库采采用ACCESS。国家XX局应急急响应应现场分分析主要依依据是是服务务器的的IIS日志，，利用用查找找功能能在该该日志志的文文件夹夹里查查找是是否有有被攻攻击的的行为为。查找漏漏洞攻攻击的的关键键字后后发现现没有有找到到任何何攻击击行为为的征征兆，，只有有几次次NIMUDA病毒发发作的的记录录，和和此次次攻击击事件件无关关。然然后查查找该该主机机数据据库的的关键键字mynews.mdb后发现现该数数据库库曾经经在11月被来来自8IP地址的的的浏浏览者者非法法下载载。进进一步步的跟跟踪该该IP地址的的浏览览记录录后发发现，，该IP地址的访问问者之后曾曾经非法访访问了该网网站的在线线管理系统统。由于攻攻击者下载载的网站数数据库中明明文存放着着该管理员员的管理密密码,经和管理员员确认后认认定来自此此IP地址的访问问并非远程程管理员，，所以初步步怀疑为攻攻击者。国家XX局应急响应应扫描分析发现服务器器采用FAT32的磁盘格式式，建议采采用NTFS格式的磁盘盘分区提供供更高的安安全可靠性性能；没有采取端端口访问限限制策略，，远程主机机可以随意意连接到电电脑上的开开放端口；；开放的SNMP协议暴露服服务器主机机的配置和和使用情况况；没有禁止的的IPC共享连接可可以远程得得到主机的的网络和系系统配置文文件。国家XX局应急响应应原因分析由于此名攻攻击者是直直接下载的的xx局计算中心心网站的数数据库文件件，之前没没有做任何何攻击和猜猜解尝试，，表明该攻攻击者非常常熟悉该网网站文件和和数据库结结构，怀疑疑是内部知知情人员所所为。响应建议由于主机的的数据库名名称已经暴暴露，所以以建议把该该数据库文文件名称改改为新的名名称；由于目标主主机完全采采用的是默默认安装所所以建议对对该主机做做一次全面面的安全配配置；建议主机打打全最新的的安全补丁丁；严格限制该该主机的物物理访问权权限。XX证券公司应应急响应事件描述2001年8月10日下午4点30分，XX证券信息中中心紧急电电话:证券公司网网络传输速速度缓慢，，严重影响响正常业务务运作。5点10分，三名应应急技术人人员到达xx证券信息中中心机房。。现场分析通过检查““冰之眼眼”入侵检检测系统的的日志和使使用网络监听设设备监听网络流流量，发现现机房中一一台清算业业务的服务务器网络连接异常，，经过仔细细检查后，，可以做出出明确判断断：XX证券内部网网系统已经经遭受“红红色代码””蠕虫的攻攻击，有大大量Windows服务器受到到感染，并并且正在以以非常快的的速度进行行扫描和攻攻击，造成成网络堵塞塞，严重影影响了网络络传输速度度。XX证券公司应应急响应原因分析“红色代码码”蠕虫不不是普通的的病毒，不不会通过邮邮件等方式式进行传播播，很有可可能是因为为拨号上网网等方式传传播进内部部网，造成成“红色代代码”蠕虫虫在证券内内部网泛滥滥，严重影影响正常的的业务运作作。处理过程证券信息中中心迅速做做出反应，，通过电话话、Email等方式，将将我公司发发布的关于于防范“红红色代码””蠕虫的公公告发布给给各个营业业部，并限限定了问题题处理期限限。我公司应急急响应人员员与信息中中心技术人人员相互配配合，于当当晚将信息息中心的服服务器进行行了仔细的的检查，对对相关服务务器做了完完备的防范范措施。XX证券公司应应急响应响应结论对于新出现现的攻击方方式应进行行及时的跟跟踪并进行行相应的处处理。攻击事件发发生后，应应提高反应应速度及处处理速度，，把可能出出现的影响响减至最小小。建立全网的的监控体系系，及时发发现问题。。建立xx证券系统应应急响应体体系。严格网络安安全制度，，避免病毒毒、蠕虫等等通过Internet传播进内部部网系统。。XX电信公司应应急响应事件描述2001年3月xx电信公司遭遭受不明拒拒绝服务攻攻击，造造成了服务务器所在网网段的堵塞塞，导致服服务器不能能正常访问问的后果。。现场分析监听和仔细细分析被攻攻击服务器器，然后利利用攻击服服务器上的的日志及相相应的侦测测手段，最后确定定攻击者采采用的是国国内出现的的一种新型型攻击软件件。经过仔细查查找以及分分析，发现现攻击者的的来源，确确认攻击者者IP地址为202.105.xxx.xxx，来自xx省，初步判判断为拨号号用户，攻攻击时间为为2001年3月16日凌晨2点－5点。XX电信公司应应急响应原因分析本攻击软件件可以在互互联网上自自动查找存存在Windows操作系统Unicode漏洞的服务务器，然后后利用unicode的漏洞，通通过URL地址栏发送送攻击指令令如下：ping––l攻击包长度度–n重复次数攻攻击目目标例如：ping––l65000––n50008大量的互联联网主机同同时用巨大大的ping包针对某台台服务器进进行攻击，，造成了服服务器所在在网段的堵堵塞，导致致服务器不不能正常访访问的后果果。XX电信公司应应急响应处理过程针对服务器器的Unicode漏洞进行修修补，补丁丁说明如下下：WindowsNT4.0简体中文版版IIS4Unicode补丁prmcan4i.exeWindows2000简体中文版版IIS5Unicode补丁q269862_w2k_sp2_x86_cn.exe在服务器上上直接运行行此程序，，然后按提提示执行，，服务器重重新启动后后补丁生效效。XX电信公司应应急响应响应应结结论论因为为此此种种攻攻击击手手段段会会暴暴露露攻攻击击者者IP地址址和和攻攻击击点点IP地址址，，同同时时被被利利用用作作为为攻攻击击点点的的服服务务器器会会因因为为负负荷荷问问题题而而产产生生IIS服务务停停止止或或反反应应缓缓慢慢的的症症状状，，攻攻击击者者因因权权限限问问题题不不能能完完全全消消除除系系统统日日志志，，因因此此为为进进一一步步的的追追查查提提供供了了重重要要依依据据。。XX省教教育育网网应急急响响应应事件件描描述述2002年7月，，XX省教教育育网网网网站站高高考考成成绩绩查查询询系系统统连连续续遭遭受受攻攻击击，，致致使使全全省省28万考考生生无无法法及及时时查查询询高高考考成成绩绩。。现场场分分析析通过过应应急急响响应应组组成成员员的的现现场场分分析析，，确确定定本本次次网网络络入入侵侵为为SYNFlood拒绝绝服服务务攻攻击击。。XX省教教育育网网应急急响响应应处理理过过程程使用用专专用用抗抗拒拒绝绝服服务务设设备备““黑黑洞洞””，，有有效效的的过过滤滤掉掉了了攻攻击击包包，，使使得得网网络络畅畅通通，，系系统统功功能能正正常常。。通通过过审审核核““黑黑洞洞””的的攻攻击击记记录录日日志志，，发发现现了了入入侵侵的的源源IP，为为进进一一步步侦侦察察提提供供了了证证据据。。问题题？？9、静夜四四无邻，，荒居旧旧业贫。。。12月-2212月-22Thursday,December29,202210、雨雨中中黄黄叶叶树树，，灯灯下下白白头头人人。。。。03:48:4003:48:4003:4812/29/20223:48:40AM11、以我独独沈久，，愧君相相见频。。。12月-2203:48:4003:48Dec-2229-Dec-2212、故人人江海海别，，几度度隔山山川。。。03:48:4003:48:4003:48Thursday,December29,202213、乍见翻疑疑梦，相悲悲各问年。。。12月-2212月-2203:48:4003:48:40December29,202214、他乡乡生白白发，，旧国国见青青山。。。29十十二二月20223:48:40上上午03:48:4012月月-2215、比不了了得就不不比，得得不到的的就不要要。。。十二月223:48上午午12月-2203:48December29,202216、行动出成成果，工作作出财富。。。2022/12/293:48:4003:48:4029December202217、做前，，能够环环视四周周；做时时，你只只能或者者最好沿沿着以脚脚为起点点的射线线向前。。。3:48:40上午午3:48上午午03:48:4012月-229、没有失败败，只有暂暂时停止成成功！。12月-2212月-22Thursday,December29,202210、很多多事情情努力力了未未必有有结果果，但但是不不努力力却什什么改改变也也没有有。。。03:48:4003:48:4003:4812/29/20223:48:40AM11、成功就就是日复复一日那那一点点点小小努努力的积积累。。。12月-2203:48:4003:48Dec-2229-Dec-2212、世间间成事事，不不求其其绝对对圆满满，留留一份份不足足，可可得无无限完完美。。。03:48:4003:48:4003:48Thursday,December29,202213、不知知香积积寺，，数里里入云云峰。。。12月月-2212月月-2203:48:4003:48:40December29,202214、意志坚强强的人能把把世界放在在手中像