信息安全管理應(yīng)急響應(yīng)

信息安全管理

應(yīng)急響應(yīng)內(nèi)容提要應(yīng)急響應(yīng)服務(wù)背景什么是應(yīng)急響應(yīng)應(yīng)急響應(yīng)組的組建應(yīng)急響應(yīng)服務(wù)的過程應(yīng)急響應(yīng)服務(wù)的形式和內(nèi)容應(yīng)急響應(yīng)服務(wù)的指標應(yīng)急響應(yīng)服務(wù)案例應(yīng)急響應(yīng)服務(wù)背景應(yīng)急響應(yīng)服務(wù)的誕生—CERT/CC1988年Morris蠕蟲事件直接導(dǎo)致了CERT/CC的誕生。美國國防部(DoD)在卡內(nèi)基梅隆大學(xué)的軟件工程研究所成立了計算機應(yīng)急響應(yīng)組協(xié)調(diào)中心(CERT/CC)以協(xié)調(diào)Internet上的安全事件處理。目前，CERT/CC是DoD資助下的抗毀性網(wǎng)絡(luò)系統(tǒng)計劃(NetworkedSystemsSurvivabilityProgram)的一部分，下設(shè)三個部門：事件處理、脆弱性處理、計算機安全應(yīng)急響應(yīng)組（CSIRT）。在CERT/CC成立之后的14年里，共處理了28萬多封Email，2萬多個熱線電話，其運行模式幫助了80多個CSIRT組織的建設(shè)。應(yīng)急響應(yīng)服務(wù)背景CERT/CC服務(wù)的內(nèi)容安全事件響應(yīng)安全事件分析和軟件安全缺陷研究缺陷知識庫開發(fā)信息發(fā)布：缺陷、公告、總結(jié)、統(tǒng)計、補丁、工具教育與培訓(xùn)：CSIRT管理、CSIRT技術(shù)培訓(xùn)、系統(tǒng)和網(wǎng)絡(luò)管理員安全培訓(xùn)指導(dǎo)其它CSIRT（也稱IRT、CERT）組織建設(shè)內(nèi)容提要應(yīng)急響應(yīng)服務(wù)背景什么是應(yīng)急響應(yīng)應(yīng)急響應(yīng)組的組建應(yīng)急響應(yīng)服務(wù)的過程應(yīng)急響應(yīng)服務(wù)的形式和內(nèi)容應(yīng)急響應(yīng)服務(wù)的指標應(yīng)急響應(yīng)服務(wù)案例事件響應(yīng)事件響應(yīng)：對發(fā)生在計算機系統(tǒng)或網(wǎng)絡(luò)上的威脅安全的事件進行響應(yīng)。事件響應(yīng)是信息安全生命周期的必要組成部分。這個生命周期包括：對策、檢測和響應(yīng)。網(wǎng)絡(luò)安全的發(fā)展日新月異，誰也無法實現(xiàn)一勞永逸的安全服務(wù)。應(yīng)急響應(yīng)描述當安全事件發(fā)生需要盡快解決，而一般技術(shù)人員又無法迅速處理的時候，就需要安全服務(wù)商提供一種發(fā)現(xiàn)問題、解決問題的有效服務(wù)手段來解決問題。這種服務(wù)手段可以描述為：客戶的主機或網(wǎng)絡(luò)正遭到攻擊或發(fā)現(xiàn)入侵成功的痕跡，而又無法當時解決和追查來源時，安全服務(wù)商根據(jù)客戶的要求以最快的速度趕到現(xiàn)場，協(xié)助客戶解決問題，查找后門，保存證據(jù)和追查來源。

什么是應(yīng)急響應(yīng)應(yīng)急響應(yīng)也叫緊急響應(yīng)，是安全事件發(fā)生后迅速采取的措施和行動，它是安全事件響應(yīng)的一種快速實現(xiàn)方式。應(yīng)急響應(yīng)服務(wù)是解決網(wǎng)絡(luò)系統(tǒng)安全問題的有效安全服務(wù)手段之一。應(yīng)急響應(yīng)的目的應(yīng)急響應(yīng)服務(wù)的目的是最快速度恢復(fù)系統(tǒng)的保密性、完整性和可用性，阻止和減小安全事件帶來的影響。應(yīng)急響應(yīng)服務(wù)的特點技術(shù)復(fù)雜性與專業(yè)性各種硬件平臺、操作系統(tǒng)、應(yīng)用軟件知識經(jīng)驗的依賴性由IRT中的人提供服務(wù)，而不是一個硬件或軟件產(chǎn)品突發(fā)性強需要廣泛的協(xié)調(diào)與合作內(nèi)容提要應(yīng)急響應(yīng)服務(wù)背景什么是應(yīng)急響應(yīng)應(yīng)急響應(yīng)組的組建應(yīng)急響應(yīng)服務(wù)的過程應(yīng)急響應(yīng)服務(wù)的形式和內(nèi)容應(yīng)急響應(yīng)服務(wù)的指標應(yīng)急響應(yīng)服務(wù)案例應(yīng)急響應(yīng)組的組建什么是應(yīng)急響應(yīng)組（IRT）應(yīng)急響應(yīng)組就是一個或更多的個人組成的團隊，能快速執(zhí)行和處理與安全有關(guān)的事件的任務(wù)。為什么需要成立應(yīng)急響應(yīng)組容易協(xié)調(diào)響應(yīng)工作提高專業(yè)知識提高效率提高先期主動防御能力更加適合于滿足機構(gòu)的需要提高聯(lián)絡(luò)功能提高處理制度障礙方面的能力應(yīng)急響應(yīng)組的分類國際間的協(xié)調(diào)組織國內(nèi)的協(xié)調(diào)組織國內(nèi)的協(xié)調(diào)組織愿意付費的任何用戶產(chǎn)品用戶網(wǎng)絡(luò)接入用戶企業(yè)部門、用戶商業(yè)IRT網(wǎng)絡(luò)服務(wù)提供商IRT廠商IRT企業(yè)/政府IRT如：綠盟科技如：CCERT如：Cisco、IBM如：中國銀行、公安部如CERT/CC,FIRST如CNCERT/CC國外應(yīng)急響應(yīng)組建設(shè)情況國外安全事件響應(yīng)組（CSIRT）建設(shè)情況FedCIRC、BACIRT、DFN-CERT等DOECIAC、AFCERT、NavyCIRT亞太地區(qū)：AusCERT、SingCERT等FIRST（1990）FIRST為IRT組織、廠商和其他安全專家提供一個論壇，討論安全缺陷、入侵者使用的方法和技巧、建議等，共同的尋找一個可接受的方案。120多個正式成員組織，覆蓋20多個國家和地區(qū)。FIRST的大量工作都是由來自各成員組織的志愿者完成的，從FIRST中獲益的比例與IRT愿意提供的貢獻成比例。國內(nèi)應(yīng)急響應(yīng)組建設(shè)情況計算機網(wǎng)絡(luò)基礎(chǔ)設(shè)施已經(jīng)嚴重依賴國外由于地理、語言、政治等多種因素，安全服務(wù)不可能依賴國外的組織國內(nèi)的應(yīng)急響應(yīng)服務(wù)組織還處在建設(shè)階段CCERT（1999年5月），中國教育科研網(wǎng)緊急響應(yīng)組NJCERT（1999年10月），中國教育網(wǎng)華東（北）地區(qū)網(wǎng)絡(luò)安全事件響應(yīng)組中國電信ChinaNet安全小組解放軍，公安部商業(yè)網(wǎng)絡(luò)安全服務(wù)公司中國計算機應(yīng)急響應(yīng)組/協(xié)調(diào)中心CNCERT/CC信息產(chǎn)業(yè)部安全管理中心，2000年3月，北京國際應(yīng)急響應(yīng)組網(wǎng)址內(nèi)容提要應(yīng)急響應(yīng)服務(wù)背景什么是應(yīng)急響應(yīng)應(yīng)急響應(yīng)組的組建應(yīng)急響應(yīng)服務(wù)的過程應(yīng)急響應(yīng)服務(wù)的形式和內(nèi)容應(yīng)急響應(yīng)服務(wù)的指標應(yīng)急響應(yīng)服務(wù)案例應(yīng)急響應(yīng)服務(wù)的過程準備檢測抑制根除恢復(fù)跟蹤應(yīng)急響應(yīng)服務(wù)的過程——準備基于威脅建立一組合理的防御/控制措施建立一組盡可能高效的事件處理程序獲得處理問題必須的資源和人員建立一個支持事件響應(yīng)活動的基礎(chǔ)設(shè)施應(yīng)急響應(yīng)服務(wù)的過程——檢測確定事件是已經(jīng)發(fā)生了還是在進行當中初步動作和響應(yīng)選擇檢測工具，分析異?，F(xiàn)象激活審計功能迅速備份完整系統(tǒng)記錄所發(fā)生事件估計安全事件的范圍應(yīng)急響應(yīng)服務(wù)的過程——抑制限制攻擊的范圍，同時限制了潛在的損失和破壞。抑制策略完全關(guān)閉所有系統(tǒng)；將網(wǎng)絡(luò)斷開；修改所有防火墻和路由器的過濾規(guī)則，拒絕來自看起來是發(fā)起攻擊的主機的所有的流量；封鎖或刪除被攻擊的登錄賬號；提高系統(tǒng)或網(wǎng)絡(luò)行為的監(jiān)控級別；設(shè)置誘餌服務(wù)器作為陷阱；關(guān)閉被利用的服務(wù)；反擊攻擊者的系統(tǒng)等。應(yīng)急響應(yīng)服務(wù)的過程——根除安全事件被抑制后，找出事件根源并徹底根除，即根除事件的原因。應(yīng)急響應(yīng)服務(wù)的過程——恢復(fù)把所有受侵害或被破壞的系統(tǒng)、應(yīng)用、數(shù)據(jù)庫等徹底地還原到它們正常的任務(wù)狀態(tài)。應(yīng)急響應(yīng)服務(wù)的過程——跟蹤回顧事件處理過程總結(jié)經(jīng)驗教訓(xùn)為管理或法律目的收集損失統(tǒng)計信息建立或補充自己的應(yīng)急計劃內(nèi)容提要應(yīng)急響應(yīng)服務(wù)背景什么是應(yīng)急響應(yīng)應(yīng)急響應(yīng)組的組建應(yīng)急響應(yīng)服務(wù)的過程應(yīng)急響應(yīng)服務(wù)的形式和內(nèi)容應(yīng)急響應(yīng)服務(wù)的指標應(yīng)急響應(yīng)服務(wù)案例應(yīng)急響應(yīng)服務(wù)的形式遠程應(yīng)急響應(yīng)服務(wù)本地應(yīng)急響應(yīng)服務(wù)遠程應(yīng)急響應(yīng)服務(wù)客戶通過電話、Email、傳真等方式請求安全事件響應(yīng)，應(yīng)急響應(yīng)組通過相同的方式為客戶解決問題。經(jīng)與客戶網(wǎng)絡(luò)相關(guān)人員確認后，客戶方提供主機或設(shè)備的臨時支持賬號，由應(yīng)急響應(yīng)組遠程登陸主機進行檢測和服務(wù)，問題解決后出具詳細的應(yīng)急響應(yīng)服務(wù)報告。遠程系統(tǒng)無法登陸，或無法通過遠程訪問的方式替客戶解決問題，客戶確認后，轉(zhuǎn)到本地應(yīng)急相應(yīng)流程，同時此次遠程響應(yīng)無效，歸于本地應(yīng)急響應(yīng)類型。本地應(yīng)急響應(yīng)服務(wù)應(yīng)急響應(yīng)組在第一時間趕往客戶網(wǎng)絡(luò)系統(tǒng)安全事件的事發(fā)地點，在現(xiàn)場為客戶查找事發(fā)原因并解決相應(yīng)問題，最后出具詳細的應(yīng)急響應(yīng)服務(wù)報告。

應(yīng)急響應(yīng)服務(wù)的內(nèi)容病毒事件響應(yīng)系統(tǒng)入侵事件響應(yīng)網(wǎng)絡(luò)故障事件響應(yīng)拒絕服務(wù)攻擊事件響應(yīng)內(nèi)容提要應(yīng)急響應(yīng)服務(wù)背景什么是應(yīng)急響應(yīng)應(yīng)急響應(yīng)組的組建應(yīng)急響應(yīng)服務(wù)的過程應(yīng)急響應(yīng)服務(wù)的形式和內(nèi)容應(yīng)急響應(yīng)服務(wù)的指標應(yīng)急響應(yīng)服務(wù)案例應(yīng)急響應(yīng)服務(wù)的指標遠程應(yīng)急響應(yīng)服務(wù)在確認客戶的應(yīng)急響應(yīng)請求后2小時內(nèi)，交與相關(guān)應(yīng)急響應(yīng)人員進行處理。無論是否解決，進行處理的當天必須返回響應(yīng)情況的簡報，直到此次響應(yīng)服務(wù)結(jié)束。

本地應(yīng)急響應(yīng)服務(wù)對本地范圍內(nèi)的客戶，3-6小時內(nèi)到達現(xiàn)場；對異地的客戶，24小時加路途時間內(nèi)到達現(xiàn)場。內(nèi)容提要應(yīng)急響應(yīng)服務(wù)背景什么是應(yīng)急響應(yīng)應(yīng)急響應(yīng)組的組建應(yīng)急響應(yīng)服務(wù)的過程應(yīng)急響應(yīng)服務(wù)的形式和內(nèi)容應(yīng)急響應(yīng)服務(wù)的指標應(yīng)急響應(yīng)服務(wù)案例應(yīng)急響應(yīng)服務(wù)案例國家XX局的主機入侵應(yīng)急響應(yīng)XX證券公司“紅色代碼”病毒事件應(yīng)急響應(yīng)XX電信公司網(wǎng)絡(luò)拒絕服務(wù)攻擊事件應(yīng)急響應(yīng)XX省教育網(wǎng)拒絕服務(wù)攻擊事件應(yīng)急響應(yīng)國家XX局應(yīng)急響應(yīng)事件描述該主機位于國家XX局的X層計算機辦公室，在2001年11月中曾經(jīng)連續(xù)發(fā)生數(shù)據(jù)庫被刪除記錄的事件，最后該網(wǎng)站管理員認定事件可疑，隨即向國家XX局網(wǎng)絡(luò)安全管理部門報告。主機用途做為國家XX局計算中心內(nèi)部網(wǎng)站使用，負責(zé)發(fā)布計算中心內(nèi)部信息。操作系統(tǒng)Windows2000ServerSP2，網(wǎng)站運行IIS5，后臺數(shù)據(jù)庫采用ACCESS。國家XX局應(yīng)急響應(yīng)現(xiàn)場分析

主要依據(jù)是服務(wù)器的IIS日志，利用查找功能在該日志的文件夾里查找是否有被攻擊的行為。

查找漏洞攻擊的關(guān)鍵字后發(fā)現(xiàn)沒有找到任何攻擊行為的征兆，只有幾次NIMUDA病毒發(fā)作的記錄，和此次攻擊事件無關(guān)。然后查找該主機數(shù)據(jù)庫的關(guān)鍵字mynews.mdb后發(fā)現(xiàn)該數(shù)據(jù)庫曾經(jīng)在11月被來自8IP地址的的瀏覽者非法下載。進一步的跟蹤該IP地址的瀏覽記錄后發(fā)現(xiàn)，該IP地址的訪問者之后曾經(jīng)非法訪問了該網(wǎng)站的在線管理系統(tǒng)。由于攻擊者下載的網(wǎng)站數(shù)據(jù)庫中明文存放著該管理員的管理密碼,經(jīng)和管理員確認后認定來自此IP地址的訪問并非遠程管理員，所以初步懷疑為攻擊者。國家XX局應(yīng)急響應(yīng)掃描分析發(fā)現(xiàn)服務(wù)器采用FAT32的磁盤格式，建議采用NTFS格式的磁盤分區(qū)提供更高的安全可靠性能；沒有采取端口訪問限制策略，遠程主機可以隨意連接到電腦上的開放端口；開放的SNMP協(xié)議暴露服務(wù)器主機的配置和使用情況；沒有禁止的IPC共享連接可以遠程得到主機的網(wǎng)絡(luò)和系統(tǒng)配置文件。國家XX局應(yīng)急響應(yīng)原因分析由于此名攻擊者是直接下載的xx局計算中心網(wǎng)站的數(shù)據(jù)庫文件，之前沒有做任何攻擊和猜解嘗試，表明該攻擊者非常熟悉該網(wǎng)站文件和數(shù)據(jù)庫結(jié)構(gòu)，懷疑是內(nèi)部知情人員所為。響應(yīng)建議由于主機的數(shù)據(jù)庫名稱已經(jīng)暴露，所以建議把該數(shù)據(jù)庫文件名稱改為新的名稱；由于目標主機完全采用的是默認安裝所以建議對該主機做一次全面的安全配置；建議主機打全最新的安全補??；嚴格限制該主機的物理訪問權(quán)限。XX證券公司應(yīng)急響應(yīng)事件描述

2001年8月10日下午4點30分，XX證券信息中心緊急電話:證券公司網(wǎng)絡(luò)傳輸速度緩慢，嚴重影響正常業(yè)務(wù)運作。5點10分，三名應(yīng)急技術(shù)人員到達xx證券信息中心機房。

現(xiàn)場分析通過檢查“冰之眼”入侵檢測系統(tǒng)的日志和使用網(wǎng)絡(luò)監(jiān)聽設(shè)備監(jiān)聽網(wǎng)絡(luò)流量，發(fā)現(xiàn)機房中一臺清算業(yè)務(wù)的服務(wù)器網(wǎng)絡(luò)連接異常，經(jīng)過仔細檢查后，可以做出明確判斷：XX證券內(nèi)部網(wǎng)系統(tǒng)已經(jīng)遭受“紅色代碼”蠕蟲的攻擊，有大量Windows服務(wù)器受到感染，并且正在以非?？斓乃俣冗M行掃描和攻擊，造成網(wǎng)絡(luò)堵塞，嚴重影響了網(wǎng)絡(luò)傳輸速度。XX證券公司應(yīng)急響應(yīng)原因分析“紅色代碼”蠕蟲不是普通的病毒，不會通過郵件等方式進行傳播，很有可能是因為撥號上網(wǎng)等方式傳播進內(nèi)部網(wǎng)，造成“紅色代碼”蠕蟲在證券內(nèi)部網(wǎng)泛濫，嚴重影響正常的業(yè)務(wù)運作。處理過程證券信息中心迅速做出反應(yīng)，通過電話、Email等方式，將我公司發(fā)布的關(guān)于防范“紅色代碼”蠕蟲的公告發(fā)布給各個營業(yè)部，并限定了問題處理期限。我公司應(yīng)急響應(yīng)人員與信息中心技術(shù)人員相互配合，于當晚將信息中心的服務(wù)器進行了仔細的檢查，對相關(guān)服務(wù)器做了完備的防范措施。XX證券公司應(yīng)急響應(yīng)響應(yīng)結(jié)論對于新出現(xiàn)的攻擊方式應(yīng)進行及時的跟蹤并進行相應(yīng)的處理。攻擊事件發(fā)生后，應(yīng)提高反應(yīng)速度及處理速度，把可能出現(xiàn)的影響減至最小。建立全網(wǎng)的監(jiān)控體系，及時發(fā)現(xiàn)問題。建立xx證券系統(tǒng)應(yīng)急響應(yīng)體系。嚴格網(wǎng)絡(luò)安全制度，避免病毒、蠕蟲等通過Internet傳播進內(nèi)部網(wǎng)系統(tǒng)。

XX電信公司應(yīng)急響應(yīng)事件描述

2001年3月xx電信公司遭受不明拒絕服務(wù)攻擊，造成了服務(wù)器所在網(wǎng)段的堵塞，導(dǎo)致服務(wù)器不能正常訪問的后果?，F(xiàn)場分析監(jiān)聽和仔細分析被攻擊服務(wù)器，然后利用攻擊服務(wù)器上的日志及相應(yīng)的偵測手段，最后確定攻擊者采用的是國內(nèi)出現(xiàn)的一種新型攻擊軟件。經(jīng)過仔細查找以及分析，發(fā)現(xiàn)攻擊者的來源，確認攻擊者IP地址為202.105.xxx.xxx，來自xx省，初步判斷為撥號用戶，攻擊時間為2001年3月16日凌晨2點－5點。

XX電信公司應(yīng)急響應(yīng)原因分析本攻擊軟件可以在互聯(lián)網(wǎng)上自動查找存在Windows操作系統(tǒng)Unicode漏洞的服務(wù)器，然后利用unicode的漏洞，通過URL地址欄發(fā)送攻擊指令如下：

ping–l攻擊包長度–n重復(fù)次數(shù)攻擊目標例如：ping–l65000–n50008

大量的互聯(lián)網(wǎng)主機同時用巨大的ping包針對某臺服務(wù)器進行攻擊，造成了服務(wù)器所在網(wǎng)段的堵塞，導(dǎo)致服務(wù)器不能正常訪問的后果。

XX電信公司應(yīng)急響應(yīng)處理過程

針對服務(wù)器的Unicode漏洞進行修補，補丁說明如下：WindowsNT4.0簡體中文版IIS4Unicode補丁prmcan4i.exeWindows2000簡體中文版IIS5Unicode補丁q269862_w2k_sp2_x86_cn.exe

在服務(wù)器上直接運行此程序，然后按提示執(zhí)行，服務(wù)器重新啟動后補丁生效。

XX電信公司應(yīng)急響應(yīng)響應(yīng)結(jié)論因為此種攻擊手段會暴露攻擊者IP地址和攻擊點IP地址，同時被利用作為攻擊點的服務(wù)器會因為負荷問題而產(chǎn)生IIS服務(wù)停止或反應(yīng)緩慢的癥狀，攻擊者因權(quán)限問題不能完全消除系統(tǒng)日志，因此為進一步的追查提供了重要依據(jù)。

XX省教育網(wǎng)應(yīng)急響應(yīng)事件描述

2002年7月，XX省教育網(wǎng)網(wǎng)站高考成績查詢系統(tǒng)連續(xù)遭受攻擊，致使全省28萬考生無法及時查詢高考成績?，F(xiàn)場分析

通過應(yīng)急響應(yīng)組成員的現(xiàn)場分析，確定本次網(wǎng)絡(luò)入侵為SYNFlood拒絕服務(wù)攻擊。XX省教育網(wǎng)應(yīng)急響應(yīng)處理過程使用專用抗拒絕服務(wù)設(shè)備“黑洞”，有效的過濾掉了攻擊包，使得網(wǎng)絡(luò)暢通，系統(tǒng)功能正常。通過審核“黑洞”的攻擊記錄日志，發(fā)現(xiàn)了入侵的源IP，為進一步偵察提供了證據(jù)。

問題？9、春去春又回，新桃換舊符。在那桃花盛開的地方，在這醉人芬芳的季節(jié)，愿你生活像春天一樣陽光，心情像桃花一樣美麗，日子像桃子一樣甜蜜。3月-253月-25Wednesday,March26,202510、人的志向通常和他們的能力成正比例。15:58:3815:58:3815:583/26/20253:58:38PM11、夫