信息系统安全应急响应处置

信息系统平安应急响应处置介绍樊运安协会专家组成员CISSPCISPCOBITITIL目录应急响应体系应急响应案例其他应急响应定义1应急响应〔Emergencyresponse〕组织为了应对突发/重大信息平安事件的发生所做的准备，已及在事件发生后所采取的的措施。——〔信息平安应急响应方案标准GB/T24363-2009〕应急响应通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。信息系统平安事件应急响应的对象是指针对信息系统所存储、传输、处理的信息的平安事件。事件的主体可能来自自然界、系统自身故障、组织内部或外部的人为攻击等。按照信息系统平安的三个特性，可以把平安事件定义为破坏信息或信息处理系统CIA的行为，即破坏保密性的平安事件、破坏完整性的平安事件和破坏可用性的平安事件等。——〔信息系统等保体系框架GA/T708-2007〕应急响应的定义2信息平安响应的定义3信息平安应急响应是指在计算机系统或网络上的威胁平安的事件发生后采取的措施和行动。这些措施和行动通常是用来减小和阻止事件带来的负面影响和破坏的后果。信息平安应急响应是解决网络系统平安问题的有效平安效劳手段之一。应急处置定义应急处置启动应急响应方案后，应立即采取相关措施抑制信息平安事件影响，防止造成更大损失。在确定有效控制了信息平安事件影响后，开始实施恢复操作。恢复阶段的行动集中于建立临时业务处理能力、修复原系统的损害、在原系统或新设施中恢复运行业务能力等应急措施。——〔信息平安应急响应方案标准GB/T24363-2009〕信息平安应急响应产生的背景MorrisWorm1988年Morris蠕虫病毒事件爆发后，世界上第一个应急响应组织成立----CERT/CC2000年10月份成立“国家计算机网络应急技术处理协调中心〞，简称“国家互联网应急中心〞，在31个省成立分中心CNCERT/CC的职能CNCERT/CC(国家互联网应急中心)作为国家级应急组织，主要业务包括如下：我国信息平安应急响应管理体系信息平安应急响应法规标准信息平安应急响应要求—信息平安等级保护应急预案管理a)

应在统一的应急预案框架下制定不同事件的应急预案，应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容；b)

应从人力、设备、技术和财务等方面确保应急预案的执行有足够的资源保障；c)

应对系统相关的人员进行应急预案培训，应急预案的培训应至少每年举办一次；d)

应定期对应急预案进行演练，根据不同的应急恢复内容，确定演练的周期；e)

应规定应急预案需要定期审查和根据实际情况更新的内容，并按照执行。安全事件处置a)

应报告所发现的安全弱点和可疑事件，但任何情况下用户均不应尝试验证弱点；b)

应制定安全事件报告和处置管理制度，明确安全事件的类型，规定安全事件的现场处理、事件报告和后期恢复的管理职责；c)

应根据国家相关管理部门对计算机安全事件等级划分方法和安全事件对本系统产生的影响，对本系统计算机安全事件进行等级划分；d)

应制定安全事件报告和响应处理程序，确定事件的报告流程，响应和处置的范围、程度，以及处理方法等；f)

对造成系统中断和造成信息泄密的安全事件应采用不同的处理程序和报告程序。应急响应组织结构应急领导小组应急专家小组应急响应

技术保障小组应急响应

日常运行小组应急响应

实施小组1〕组织开展应急响应工作2〕应急响应启动条件的决策3〕应急响应所需资源的协调。。。。。。1〕应急响应事件的咨询2〕应急响应事件的综合评估。。。。。。1〕应急事件技术能力的支撑2〕技术资源协调。。。。。。1〕应急事件的日常监控2〕应急事件的响应。。。。。。1〕应急事件的处理2〕重要信息系统的业务能力恢复。。。。。。网络钓鱼事件网页内嵌恶意代码事件应急事件类型有害程序事件混合攻击程序事件计算机病毒事件蠕虫事件特洛伊木马事件僵尸网络事件网络攻击事件网络扫描窃听事件拒绝效劳攻击事件后门攻击事件漏洞攻击事件网络钓鱼事件干扰事件信息内容平安事件信息破坏事件信息丧失事件信息篡改事件信息假冒事件信息泄露事件信息窃取事件设备设施故障软硬件自身故障外围保障设施故障人为破坏事件灾害性事故自然灾害人为灾害应急事件等级事件描述等级信息安全事件影响信息系统损害程度特别重大事件I级特别严重影响或破坏特别严重重大事件II级严重影响或破坏重大较大事件III级较严重影响或破坏较大一般事件IV级较小影响或破坏较小信息平安应急响应流程信息平安应急响应流程—准备阶段分析资产的风险1）明确信息系统网络与系统架构。

2）明确信息系统的管理人员。

3）明确信息系统的保护要求。

4）计算损失和影响。风险加固1）根据风险建立防御/控制措施。

2）安全管理及安全技术层面要同时兼顾。编制应急预案1）制定应急处理的操作步骤。

2）制定应急处理的报告路线。

3）制定信息系统恢复的优先级顺序。

4）明确配合的人员信息。信息平安应急响应流程—准备阶段组建应急响应团队1）组建管理人员团队。2）组建技术人员团队。

3）明确人员职责。4）建立应急响应组织人员清单。保障资源储备1）信息安全应急响应专项资金。2）应急响应所需的软硬件设备。3）社会关系资源。技术支持资源库1）网络拓扑图。2）信息系统及设备安装配置文档。

3）常见问题处理手册。

。。。。。。信息平安应急响应流程—检测阶段日常运维监控1）收集各类故障信息。2）确认信息系统的实时运行状况。

3）信息安全事件探测。事件判断1）确认事件给信息系统带来的影响。

2）确认事件给信息系统造成的损害程度。3）一般事件与应急事件的判定。事件上报1）确认应急事件类型。2）确认应急事件等级。3）通知相关人员。

4）启动应急预案。信息平安应急响应流程—抑制阶段控制事件蔓延1）采取有效的措施防止事件的进一步扩大。

2）尽可能减少负面影响。抑制响应1）采取常规的技术手段处理应急事件。

2）尝试快速修复系统，消除应急事件带来的影响。抑制监测1）确认当前的抑制手段是否有效。

2）分析应急事件发生的原因，为根除阶段提供解决方案。信息平安应急响应流程—铲除、恢复阶段启动应急预案1）协调各应急响应小组人员到位。2）根据应急场景启动相关预案。根除监测1）根据应急预案的执行情况确认处置是否有效。

2）尝试恢复信息系统的正常运行。持续监测1）当应急处置成功后对应急事件持续监测。

2）确认应急事件已根除。

3）信息系统运行恢复到正常状况。信息平安应急响应流程—事后活动阶段应急响应情况报告1）由应急响应实施小组报告应急事件的处置情况。2）由应急响应领导小组下达应急响应结束的指令。应急事件调查1）对应急事件发生的原因进行调查。

2）评估应急事件对信息系统造成的损失。

3）评估应急事件对单位、组织带来的影响。应急响应总结1）对存在的风险点进行加固和整改。

2）评价应急预案的执行情况和后续改进计划。

3）对应急响应组织成员进行评价，表彰立功人员。应急预案的定义应急预案是指针对可能发生的事故，为迅速、有序地开展应急行动而预先制定的行动方案。应急预案的类型组织开展应急响应工作的指导性文件具体类型的平安事件解决方案针对场景的一次性解决方案特定环境下、特定平安事件的处理方案应急预案框架一级目录

（行业指引）二级目录

（综合预案）三级目录

（特定系统预案）四级目录

（专题预案）五级目录

（技术资源库）组织开展信息安全应急响应工作指南

信息安全应急综合预案

应用系统专项应急预案XX机房空调应急预案XX产品安装配置文档

XX产品常见问题处理手册

XX产品问题处理单主机系统专项应急预案XX品牌服务器应急预案网络系统专项应急预案XX品牌网络交换机应急预案信息安全专项应急预案XX品牌防火墙应急预案应急预案的文档结构应急预案的编制步骤应急预案的启动执行过程信息平安应急演练流程目录应急响应体系应急响应案例其他知名公共案例知名公共案例-携程知名公共案例-携程知名公共案例-OpenSSL知名公共案例-OpenSSL知名公共案例-OpenSSL案例一：奥帆委网站系统案例二：遗忘密码案例三：DDOS攻击应急响应公司案例2007年6月，奥帆委官方网站感觉异常远程测试发现站点存在多种漏洞SQL注入绕过平安验证漏洞上传漏洞已经存在多个木马Webshell案例一：奥帆委网站系统典型注入攻击-SQL注入SQL注入攻击原理SQL注入〔SQLInjection〕：程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在平安隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据或进行数据库操作操作系统Web应用数据库服务器123调用数据库查询直接调用操作系统命令通过数据库调用操作系统命令43SQL注入Webshell后台绕过登录TipsWebshell/login.asp管理员管理员程序员考虑的场景:Username:adminPassword:p@$$w0rdSELECTCOUNT(*)FROMUsersWHEREusername='admin'andpassword='p@$$w0rd'登录成功！Tips程序员未预料到的结果……Username:admin'OR1=1--Password:1SELECTCOUNT(*)FROMUsersWHEREusername='admin'OR1=1--

'andpassword='1'/login.asp攻击者登录成功！‘是SQL字符串变量的定界符攻击关键通过定界符成功地将攻击者的意图注入到SQL语句中！通过注释保证SQL语句正确！--是MSSQL的注释符Tips案例一：奥帆委网站系统远程监控案例一：奥帆委网站系统现场值守每日平安日报阶段性总结报告案例一：奥帆委网站系统案例二：遗忘密码案例二：遗忘密码案例二：遗忘密码案例二：遗忘密码案例二：遗忘密码案例二：遗忘密码案例二：遗忘密码描述：某网络管理员发现连续几天在晚上18：00时左右，WEB效劳器网站不能正常访问。案例三：DDOS攻击应急响应事件描述分析：客户描述根据客户描述的情况，WEB效劳无法正常访问属于紧急响应平安事件网络现状根本信息远程访问该WEB效劳器，无法翻开页面事件根本分析产生的可能性：a.WEB效劳未启动b.主机网络不通c.病毒问题d.受到拒绝效劳攻击e.防火墙策略更改f.其他原因案例三：DDOS攻击应急响应制定方案：到用户现场进行分析在事件重现前部署监控工具，流量分析，协议分析等判断事件类型：维护问题，病毒，内部发起攻击，外部发起攻击等判断受攻击目标：主机受到攻击，WEB效劳受到攻击，网络设备受到攻击，网络带宽受到攻击判断攻击方法：漏洞型，流量型，混合型案例三：DDOS攻击应急响应事件调查：对数据包进行简单分析，排除病毒可能，根据流量分析，局域网流量并不是特别大，网关处流量非常大，根本排除内部向外发起攻击可能。从内网访问效劳器正常，以及根据数据包的类型判断，根本排除主机或WEB效劳的漏洞攻击可能。对收集到的数据包的包头进行分析，存在大量的tcpsyn包，udp包以及少量icmp包，和未知ip包等。案例三：DDOS攻击应急响应SYNFlood攻击：此种攻击经过抓包分析可以看到，大量的syn请求发向目标地址，而syn包的源地址为大量的随机生成的虚假地址。在目标主机上使用netstat–an命令可以看到大量syn连接，处于syn_received状态

案例三：DDOS攻击应急响应如果是单纯的tcpsynflood攻击，未到达限速的情况下，可以使用性能较好的，具有防synflood功能的设备进行防护。如果是主机效劳器停止响应，需要在网关或防火墙上对主机效劳进行“代理〞，保护主机。此时网关或防火墙需要有能力抵抗此类拒绝效劳攻击。如果攻击数据包是崎型数据包，需要网关或防火墙能抵抗此类拒绝效劳攻击。如果攻击数据包到达限速，需要逐级追查数据包的来源。案例三：DDOS攻击应急响应对数据包特征进行分析，包括来源地址〔随机〕，端口，TTL值，