網絡電視臺安全事件應急預案

1、網絡電視臺安全事件應急處理預案網絡電視臺重點宣傳保障期網站安全事件應急處理預案2013-01-181 目的本文以網絡電視臺互聯(lián)網站系統(tǒng)現(xiàn)狀出發(fā)，結合目前網絡安全狀況的分析，建立本預案用以處理可能發(fā)生的網絡安全事件。本預案以安全事件已發(fā)現(xiàn)和確認為背景，重在安全事件發(fā)生后的處理。2 范圍本應急預案適用于網絡電視臺系統(tǒng)，網絡電視臺系統(tǒng)面臨的主要安全風險有以下三種：l 信息篡改：針對網絡電視臺服務器，未經授權將信息系統(tǒng)中的信息更換為攻擊者所提供的信息而導致的信息安全事件，例如網頁篡改等導致的信息安全事件。l 拒絕服務：包括從外部發(fā)起，針對網絡電視臺的拒絕服務攻擊，也包括網絡電視臺內部被非法控制的主機，

2、作為傀儡機發(fā)起的拒絕服務。l 惡意代碼攻擊：指病毒或者網絡蠕蟲，其表現(xiàn)形式為，網絡電視臺內主機遭受惡意代碼破壞或從外網發(fā)起對網絡電視臺的蠕蟲病毒感染。3 信息篡改事件是指未經授權將信息系統(tǒng)中的信息更換為攻擊者所提供的信息而導致的信息安全事件。3.1 緊急處理措施1、 進行系統(tǒng)臨時性恢復，迅速恢復系統(tǒng)被篡改的內容；2、 嚴格監(jiān)控對系統(tǒng)的業(yè)務訪問以及服務器系統(tǒng)登陸情況，確保對再次攻擊的行為能進行檢測；使用事件查看器查看系統(tǒng)安全日志，獲得當前系統(tǒng)正在登錄帳戶的信息及來源使用事件查看器查看系統(tǒng)安全日志，獲得系統(tǒng)前n次登錄記錄3、 將發(fā)生安全事件的設備脫網，做好安全審計及系統(tǒng)恢復準備；4、 在必要情況下

3、，將遭受攻擊的主機上系統(tǒng)日志、應用日志等導出備份，并加以分析判斷。3.2 抑制處理1、 分析日志(系統(tǒng)安全日志，windows防火墻日志等)，確認主機上有無異常權限用戶非法登陸，并記錄其ip地址、登陸時間等信息；使用事件查看器查看系統(tǒng)安全日志，獲得當前系統(tǒng)正在登錄帳戶的信息及來源使用事件查看器查看系統(tǒng)安全日志，獲得系統(tǒng)前n次登錄記錄應用日志記錄了定時作業(yè)的內容，通常在默認日志目錄中一個文件里2、 分析系統(tǒng)目錄以及搜索整盤近期被修改的和新創(chuàng)建的文件，查找是否存在可疑文件和后門程序；3、 分析系統(tǒng)服務，有無新增或者修改過的服務；檢查有無可疑進程；檢查有無可疑端口；netstat an列出所有打開的

4、端口及連接狀態(tài)netstat i只顯示網絡套接字的進程任務管理器會列出系統(tǒng)正在運行的所有進程4、 使用第三方rootkit檢查工具（如chkrootkit）檢查是否存在rootkit性質后門程序；5、 結合上述日志審計，確定攻擊者的方式、以及入侵后所獲得的最大管理權限和是否對被攻擊服務器留有后門程序3.3 根除1、 部署網頁防篡改軟件1. 在主web服務器上部署監(jiān)控端，通過事件觸發(fā)+文件驅動保護的方式，對web服務目錄提供實時保護，禁止在主服務器上對監(jiān)控目錄進行任何寫操作。2. 在備份web服務器上部署server端以及控制臺，將主服務器上web服務的相關目錄全部拷貝在備份web服務器上。所有

5、的維護操作均在備份服務器上進行，并實時同步到主web服務器上3. 對數(shù)據(jù)庫的保護通過專門的iissec模塊進行防護。此模塊部署在主web服務器上，主要防護數(shù)據(jù)庫讀取，數(shù)據(jù)交互等動態(tài)信息。4. 系統(tǒng)上網運行。4 拒絕服務攻擊拒絕服務攻擊事件是指利用信息系統(tǒng)缺陷、或通過暴力攻擊的手段，以大量消耗信息系統(tǒng)的cpu、內存、磁盤空間或網絡帶寬等資源，從而影響信息系統(tǒng)正常運行為目的的信息安全事件。拒絕服務發(fā)起時往往表現(xiàn)為cpu、內存、帶寬等的高利用率，同時由于攻擊手法和形式的多樣性，造成對攻擊形式攻擊特征分析帶來一定的難度。當此類攻擊發(fā)生后，可根據(jù)如下幾種歸類，確認和處理此類安全事件。4.1 由外部發(fā)起外

6、部破壞者發(fā)起對網絡電視臺的拒絕服務攻擊。4.1.1 系統(tǒng)漏洞類此類攻擊利用的軟件或者操作系統(tǒng)的漏洞，比如最新公布了一個apache某一模塊存在拒絕服務漏洞，當這一模塊接受了一個特殊構造的數(shù)據(jù)包時，會造成apache服務停止響應。 利用主機漏洞1、 如果系統(tǒng)服務無法正常響應，迅速切換到備用系統(tǒng)；2、 通過防火墻或網絡設備配置訪問控制列表，過濾dos發(fā)起源的連接。3、 確認造成系統(tǒng)cpu、內存占用高的進程或者應用。4、 確認系統(tǒng)存在的漏洞，根據(jù)漏洞信息和安全建議采取相應的控制措施；安裝相應的補丁修復程序，5、 修復漏洞后切換到原運行系統(tǒng)。 利用網絡設備漏洞1、 如果系統(tǒng)

7、服務無法正常響應，迅速切換到備用系統(tǒng)；2、 利用防火墻或網絡設備配置acl，過濾dos發(fā)起源的連接3、 確認當前ios版本，確認此版本是否存在dos的漏洞4、 根據(jù)漏洞信息和相應安全建議采取相應的控制措施，安裝相應的補丁修復程序。5、 切換到主系統(tǒng)。4.1.2 網絡協(xié)議類協(xié)議類攻擊是以發(fā)起大量連接或數(shù)據(jù)包為基礎，造成被攻擊方連接隊列耗盡或cpu、內存資源的耗盡。此類攻擊為最常見。比如：syn flood。1、 通過網絡流量分析軟件，確定數(shù)據(jù)包類型特征，比如利用的是udp、tcp還是icmp協(xié)議2、 在防火墻配置訪問控制策略。3、 可以通過電信運營商noc中心協(xié)調相關機構，對攻擊源地址進行監(jiān)控處

8、理。4.1.3 應用類應用類，主要是指針對web服務發(fā)起的攻擊，表現(xiàn)在分布式的大量http請求，以耗盡web服務的最大連接數(shù)或者消耗數(shù)據(jù)庫資源為目的。比如：對某一大頁面的訪問或者對某一頁面的數(shù)據(jù)庫搜索。1、 通過網絡流量分析軟件，確定數(shù)據(jù)包類型特征，2、 在防火墻或網絡設備上配置訪問控制策略，限制或過濾發(fā)送源地址的訪問3、 可以通過電信運營商noc中心協(xié)調相關機構，對攻擊源地址進行監(jiān)控處理。4.2 由內部發(fā)起當內部主機被入侵后，如果放置了拒絕服務攻擊程序，被黑客用來對其他系統(tǒng)發(fā)動拒絕服務攻擊。4.2.1 緊急措施1、 通過網絡流量分析軟件（tcpdump、sniffer等），分析數(shù)據(jù)包特征。2

9、、 通過流量分析，確定對外發(fā)包的被控主機，條件允許將其斷網隔離。3、 調整防火墻或網絡設備訪問控制acl策略，嚴格限制該機器的對外繼續(xù)發(fā)包。4.2.2 抑制處理1、 檢查并確認被控主機上的惡意進程或惡意程序。2、 清除惡意進程，一般先關閉進程，然后刪除其相關文件。4.2.3 根除1、 選擇電信安全衛(wèi)士服務中的流量清洗服務子模塊。2、 重新恢復業(yè)務系統(tǒng)，上線運行5 惡意代碼惡意代碼以病毒或蠕蟲最為常見。其中蠕蟲類攻擊，往往影響嚴重。5.1 內部內部惡意代碼，表現(xiàn)為網絡電視臺內主機或者網絡上，存在惡意代碼。5.1.1 緊急處理1、 通過網絡流量分析軟件（tcpdump、sniffer等）確定惡意代

10、碼源頭，即定位到哪個機房的哪臺機器2、 必要情況下切換備機，斷網隔離。3、 通過在防火墻或網絡設備設置訪問控制策略，限制外部的訪問。5.1.2 抑制處理1、 在問題主機上，確定惡意代碼特征：進程、端口等，通常以netstat naple 查看進程和端口的綁定情況，分析出異常的端口或者進程2、 清除惡意代碼，一般先停止惡意進程，同時將其相關文件刪除5.1.3 根除1、 部署ips安全防護設備在web服務器和接入交換機之間部署入侵防護設備ips，主動監(jiān)測，實時阻斷惡意攻擊。2、 實現(xiàn)功能：進行事前防護，最大程度減少威脅 實時阻斷各種攻擊行為，便于取證開放特定端口，方便異地備份控制備份服務器與主服務

11、器之間通信，避免備份服務器被入侵5.2 外部當網絡電視臺外部網絡遭受惡意代碼（蠕蟲）攻擊時，此類惡意代碼可能會以網絡連接、郵件、文件傳輸?shù)刃问皆噲D感染到網絡電視臺內部。當此類攻擊發(fā)生時：1、 通過網絡流量分析軟件（tcpdump、sniffer等），分析代碼網絡數(shù)據(jù)包特征，確定惡意代碼利用的端口及ip2、 在防火墻設置acl規(guī)則，過濾相關的ip和端口3、 同時根據(jù)惡意代碼的利用機理，在主機層面做一定防范，比如安裝補丁、修改配置、做訪問控制等。6 附錄1. windows應急處理參考列表windows應急處理主要事項windows系統(tǒng)的入侵檢測方法主要包括：檢查所有相關的日志，檢查相關文件，鑒定

12、未授權的用戶賬號或組，尋找異?；螂[藏文件，檢查系統(tǒng)的運行的進程，檢查系統(tǒng)開放的端口等。可以采用手工和工具檢查相結合的方式進行。一、手工檢查與審計下面就各種檢查項目做一下詳細說明。1、檢查端口與網絡連接 netstat.exe 是一種命令行實用工具，可以顯示 tcp 和 udp 的所有打開的端口。 如果發(fā)現(xiàn)的已打開的端口無法識別，則應對它們進行調查以確定在該計算機上是否需要對應的服務。如果不需要該服務，則應禁用或刪除相關的服務以防止計算機在該端口上監(jiān)聽。 也可以通過該命令檢查有哪些相關的連接，也許惡意的連接就在這里。方法：netstat an（系統(tǒng)命令）（windows2003使用命令netst

13、at ano可檢測出端口對應的進程）netstat a（系統(tǒng)命令）（windows2003使用命令netstat ao可檢測出端口對應的進程）fport（第三方工具）木馬端口列表： http:/www.chebucto.ns.ca/rakerman/port-table.html2、檢查賬戶安全服務器被入侵之后，通常會表現(xiàn)在系統(tǒng)的用戶賬戶上，我們可以在系統(tǒng)日志上察看相關的信息。除了察看事件日志外，也應該檢查所有賬戶的信息，包括他們所屬的組。有些黑客入侵后常常將添加他們自己的賬號，或者將那些偏僻的用戶修改了權限，從而方便他們以后再次入侵。方法：可以在“計算機管理”“用戶管理”中查看系統(tǒng)帳號?？梢?/p>

14、使用命令查看：net user ；net localgroup administrators；可以cca.exe（第三方工具）檢查是否有克隆帳號的存在。3、查找惡意進程可以通過以下工具和方法檢查系統(tǒng)運行的進程，找出異常的進程。方法：任務管理器（系統(tǒng)工具）psinfo.exe（第三方工具） windows2000基本的系統(tǒng)進程如下：smss.exe session manager 會話管理csrss.exe 子系統(tǒng)服務器進程 winlogon.exe 管理用戶登錄 services.exe 包含很多系統(tǒng)服務 lsass.exe 管理 ip 安全策略以及啟動 isakmp/oakley (ike)

15、 和 ip 安全驅動程序。(系統(tǒng)服務) svchost.exe 包含很多系統(tǒng)服務 spoolsv.exe 將文件加載到內存中以便遲后打印。(系統(tǒng)服務) explorer.exe 資源管理器 internat.exe 輸入法 4、監(jiān)視已安裝的服務和驅動程序許多針對計算機的攻擊都是這樣實現(xiàn)的：攻擊安裝在目標計算機上的服務，或者將有效的驅動程序替換為包含特洛伊木馬的驅動程序版本，以給予攻擊者訪問目標計算機的權限。 1、通過服務控制臺查看服務。服務 mmc 控制臺用于監(jiān)視本地計算機或遠程計算機的服務，并允許管理員配置、暫停、停止、啟動和重新啟動所有已安裝的服務。可使用此控制臺確定是否存在已配置為自動啟

16、動的服務當前未啟動的情況。2、通過注冊表項查看服務和驅動程序：hkey_local_machinesystemcurrentcontrolsetservices5、檢查注冊表的關鍵項：一般來說，木馬或者后門都會利用注冊表來再次運行自己，所以，校驗注冊表來發(fā)現(xiàn)入侵也是常用的手法之一。使用regedit注冊表編輯器可以查看注冊表。在注冊表里，我們著重要查看hkey_local_machinesoftwaremicrosoftwindowscurrentversion、hkey_current_usersoftwaremicrosoftwindowscurrentversion、hkey_users

17、.defaultsoftwaremicrosoftwindowscurrentversion下面的子樹。特別是要查看 run, runonce, runonceex, runservices, 和 runservicesonce 文件夾，查找是否存在異常的條目。hkey_local_machinesoftwaremicrosoftwindows ntcurrentversionwinlogon也是需要檢查的地方。主要檢查內容：shell項內容正常情況應該為explorer.exe；userinit項內容應該為c:winntsystem32userinit.exe；檢查是否有增加的項目其內容包括

18、.exe .sys .dll 等各種可執(zhí)行文件。hkey_local_machinesoftwaremicrosoftwindows ntcurrentversionwinlogonnotify是否有異常的項。正常的項目主要有：crypt32chain, cryptnet, cscdll, sclgntfy, senslogn, wzcnotif.可能還會包括顯卡、防病毒等項。檢查類似txt等文本或其它后綴映射是否正常。hkey_local_machinesoftwaremicrosoftwindows ntcurrentversionimage file execution options，

19、映像劫持主要是用來調試程序。通常此項下不應設置任何子項、值。6、檢查所有相關的日志windows日志對于系統(tǒng)安全的作用是很重要的，網絡管理員應該非常重視日志。windows的系統(tǒng)日志文件有應用程序日志，安全日志、系統(tǒng)日志等等。可以通過“事件管理器”查看。建議日志的文件大小不小于100m。安全日志文件：%systemroot%system32configsecevent.evt 系統(tǒng)日志文件：%systemroot%system32configsysevent.evt 應用程序日志文件：%systemroot%system32configappevent.evt7、檢查用戶目錄：檢查c:docu

20、ments and settings目錄各用戶的目錄。主要檢查內容：用戶最近一次的登陸時間；檢查用戶目錄下的文件內容；檢查local settings目錄下的歷史文件（history）、臨時文件（temp）、訪問網頁的臨時文件（temporary internet files）、應用數(shù)據(jù)文件（application data）等內容。8、檢查文件系統(tǒng)檢查c: 、c: winnt、c: winntsystem 、c: winntsystem32、c: winntsystem32dllcache、c: winntsystem32drivers、各個program files目錄下的內容，檢查他們目

21、錄及文件的屬性，若無版本說明，多為可疑文件；若某文件的建立時間異常，也可能是可疑的文件。維護一份文件和目錄的完整列表，定期地進行更新和對比，這可能會加重過度操勞的管理員的負擔，但是，如果系統(tǒng)的狀態(tài)不是經常變動的話，這是發(fā)現(xiàn)很多惡意行為蹤跡最有效的方法。9、環(huán)境變量右鍵點擊“我的電腦”-屬性-選擇“高級”-“環(huán)境變量”檢查內容：temp變量的所在位置的內容；后綴映射pathext是否包含有非windows的后綴；有沒有增加其他的路徑到path變量中；（對用戶變量和系統(tǒng)變量都要進行檢查）10、檢查防病毒檢查防病毒系統(tǒng)是否正常工作、病毒庫是否正常更新、是否有異常的報警。11、檢查應用檢查相關應用的日志信息：internet信息服務ftp日志默認位置：%