【网络安全设计课件】设计安全事件应对措施.pptVIP

网络安全设计 第1章 安全设计简介 第2章 创建网络安全计划 第3章 确定网络安全威胁 第4章 分析安全风险 第5章 创建物理资源安全 设计 第6章 创建计算机安全设计 第7章 创建账户安全设计 第8章 创建身份验证安全 设计 第12章 设计安全事件应对措施 审核和事件应对措施介绍 设计审核策略 设计事件应对措施 审核和事件应对措施介绍 审核流程 审核的重要性 事件应对措施 事件应对措施的重要性 审核流程 审核的重要性 事件应对措施 事件应对措施的重要性 第12章 设计安全事件应对措施 审核和事件应对措施介绍 设计审核策略 设计事件应对措施 设计审核策略 设计审核策略的步骤 创建审核框架的指导方针 常见的审核工具和参考资源 设计审核复查流程的指导方针 课堂练习 风险和应对措施 安全策略检查清单 设计审核策略的步骤 创建审核框架的指导方针 常见的审核工具和参考资源 课堂练习 风险和应对措施 第12章 设计安全事件应对措施 审核和事件应对措施介绍 设计审核策略 设计事件应对措施 设计事件应对措施 事件应对措施的设计步骤 组建事件应对团队的指导方针 沟通计划应包含的内容 安全事件的常见标志 分析安全事件的指导方针 限制攻击损失的方法 对安全事件进行归档的指导方针 课堂练习 风险和应对措施 安全策略检查清单 事件应对措施的设计步骤 组建事件应对团队的指导方针 沟通计划应包含的内容 安全事件的常见标志 分析安全事件的指导方针 限制攻击损失的方法 对安全事件进行归档的指导方针 课堂练习 风险和应对措施 实验 A 事件应对措施的设计 回顾 学习完本章后，将能够： 理解审核和事件应对措施的重要性 设计审核策略 设计事件应对措施 第9章 创建数据安全设计 第10章 创建数据传输安全设计 第11章 创建网络周边安全设计 第12章 设计安全事件应对措施 附录A 可接受使用策略的设计 附录B 网络管理策略的设计 附录C 安全管理的运营框架 设计 附录D CHAP、MS-CHAP 和 MS- CHAP v2 中的身份验证 12.1 审核和事件应对措施介绍 IIS 服务器 客户端 Internet ISA Server A B 域控制器 当用户登录到安全的 Web 站点检查订单状态时，用户的操作将被记录在： ISA Server 数据包筛选器日志和防火墙日志 IIS 日志和事件查看器 域控制器事件日志 C 12.1.1 审核流程 在经过多次尝试后，攻击者获得了网络的访问权限，创建了一个合法的用户账户，并使用该账户访问网络中的信息 暴力攻击 外部 IT 客户端支持管理员使用管理权更改了其主管的密码，并使用该密码阅读了主管的电子邮件和人事档案 滥用管理权力 内部 示例 威胁 攻击者 内部 攻击者 外部 攻击者 12.1.2 审核的重要性 事件应对措施中包含安全事件的应对步骤 事件应对措施指定了如下组成元素： 需要联系的人员 限制攻击损失的措施 事件调查方面的规定 事件应对措施 措施 人员 调查 12.1.3 事件应对措施 病毒利用某个已知安全漏洞，通过 Internet 侵入企业网络。尽管遭受了数次攻击，该企业仍然无法迅速识别该病毒和及时应对，最后所有的计算机都感染上了该种病毒 混乱的应对措施 外部 公司怀疑某员工向竞争对手出卖了商业机密信息 。在调查过程中，网络的定期更新服务更改了嫌疑人计算机上的某些文件 没有很好的保留证据 内部 示例 威胁 攻击者 内部攻击者 外部 攻击者 网络 竞争对手 12.1.4 事件应对措施的重要性 12.2 设计审核策略 确定要审核哪些类型的事件 1 创建事件日志及可疑事件的复查和调查流程 3 确定审核工具 2 创建审核日志的保管策略 4 12.2.1 设计审核策略的步骤 …针对所有的用户和域控制器 审核点 示例 审核声明的组成元素 …成功的登录尝试和失败的登录尝试、登录时间、登录类型以及登录位置… 事件细节 跟踪用户的网络登录尝试… 事件类型 创建包含以下内容的审核声明： 需要跟踪的安全事件类型 能够准确记录安全事件的审核事件细节 要审核的计算机和资源 12.2.2 创建审核框架的指导方针 事件查看器 EventComb Microsoft Operations Manager 自定义脚本 操作系统 应用程序日志 入侵检测软件 反病毒软件 Microsoft Operations Manager 应用程序 IIS 日志 URLScan Web 站点 工具和参考资源 要审核的对象 路由器日志 防火墙日志 数据包筛选器日志 代理日志 网络周边 12.2.3 常见的审核工具和参考资源 设计审核复查流程的指