网络与信息安全应急响应技术指南规范教程概述.docVIP

网络与信息安全应急响应技术规范与指南 版本号：V1.0  目 录 前言 7 一、背景 7 二、适用范围 7 三、编制依据 7 四、阅读对象 7 五、引用标准 8 六、缩略语 8 七、安全事件及分类 8 八、安全事件应急响应 9 九、文档内容概述 11 1准备阶段 13 1.1概述 13 1.1.1准备阶段工作内容 13 系统快照 13 应急响应工具包 14 1.1.2 准备阶段工作流程 14 1.1.3 准备阶段操作说明 15 1.2主机和网络设备安全初始化快照 15 1.2.1 Windows安全初始化快照 16 1.2.2 Unix安全初始化快照 19 Solaris 安全初始化快照 19 1.2.3 网络设备安全初始化快照 26 路由器安全初始化快照 26 1.2.4 数据库安全初始化快照 27 Oracle 安全初始化快照 27 1.2.5安全加固及系统备份 32 1.3 应急响应标准工作包的准备 32 1.3.1 Windows系统应急处理工作包 33 系统基本命令 33 其它工具软件 33 1.3.2 Unix系统应急处理工作包 34 系统基本命令 34 其它工具软件 34 1.3.3 Oracle 数据库应急处理工具包 35 2检测阶段 36 2.1概述 36 2.1.1检测阶段工作内容 36 2.1.2 检测阶段工作流程 36 2.1.3 检测阶段操作说明 37 2.2系统安全事件初步检测方法 37 2.2.1 Windows系统检测技术规范 37 Windows服务器检测技术规范 37 Windows检测典型案例 39 2.2.2 Unix系统检测技术规范 39 Solaris 系统检测技术规范 39 Unix检测典型案例 40 2.3系统安全事件高级检测方法 43 2.3.1 Windows系统高级检测技术规范 43 Windows高级检测技术规范 43 Windows高级检测技术案例 44 2.3.2 Unix系统高级检测技术规范 45 Solaris高级检测技术规范 45 Unix高级检测技术案例 48 2.4 网络安全事件检测方法 52 2.4.1 拒绝服务事件检测方法 52 利用系统漏洞的拒绝服务攻击检测方法 52 利用网络协议的拒绝服务攻击检测方法 52 2.4.2 网络欺骗安全事件检测方法 52 DNS欺骗检测规范及案例 52 WEB欺骗检测规范及案例 52 电子邮件欺骗检测规范及案例 53 2.4.3 网络窃听安全事件检测方法 54 共享环境下SNIFFER检测规范及案例 54 交换环境下SNIFFER检测规范及案例 55 2.4.4口令猜测安全事件检测方法 55 windows系统检测 56 UNIX系统检测 56 CISCO路由器检测 56 2.4.5 网络异常流量特征检测 57 网络异常流量分析方法 57 2.5 数据库安全事件检测方法 58 2.5.1数据库常见攻击方法检测 58 2.5.2脚本安全事件检测 58 SQL注入攻击检测方法 58 SQL注入攻击案例 59 2.6事件驱动方式的安全检测方法 59 2.6.1日常例行检查中发现安全事件的安全检测方法 59 特点 59 人工检测被入侵的前兆 59 检测的流程 60 2.6.2 事件驱动的病毒安全检测方法 61 特点 61 病毒检测流程 62 防御计算机病毒措施 63 2.6.3 事件驱动的入侵检测安全检测方法 63 特征 63 入侵检测系统分为网络型和主机型 63 入侵检测流程 64 2.6.4 事件驱动的防火墙安全检测方法 64 特点 64 防火墙安全检测流程 65 3抑制和根除阶段 67 3.1概述 67 3.1.1抑制和根除阶段工作内容 67 3.1.2抑制和根除阶段工作流程 67 3.1.3抑制和根除阶段操作说明 68 3.2 拒绝服务类攻击抑制 69 3.2.1 SYN和ICMP拒绝服务攻击抑制和根除 69 SYN（UDP）-FLOOD拒绝服务攻击抑制及根除 69 ICMP-FLOOD拒绝服务攻击抑制及根除 69 3.2.2系统漏洞拒绝服务抑制 70 WIN系统漏洞拒绝服务攻击抑制及根除 70 UNIX系统漏洞拒绝服务攻击抑制及根除 70 网络设备IOS系统漏洞拒绝服务攻击抑制 71 3.3 利用系统漏洞类攻击抑制 71 3.3.1系统配置漏洞类攻击抑制 71 简单口令攻击类抑制 71 简单口令攻击类根除 71 3.3.2 系统程序漏洞类攻击抑制 72 缓冲溢出攻击类抑制 72 缓冲溢出攻击类根除 72 3.4 网络欺骗类攻击抑制与根除 73 3.4.1 DNS欺骗攻击抑制与根除 73 3.4.2 电子邮件欺骗攻击抑制与根除 73 电子邮件欺骗攻击抑