网络电视台安全事应急预案.docVIP

网络电视台重点宣传保障期 网站安全事件应急处理预案 2013-01-18 目的 本文以网络电视台互联网站系统现状出发，结合目前网络安全状况的分析，建立本预案用以处理可能发生的网络安全事件。 本预案以安全事件已发现和确认为背景，重在安全事件发生后的处理。 范围 本应急预案适用于网络电视台系统，网络电视台系统面临的主要安全风险有以下三种： 信息篡改：针对网络电视台服务器，未经授权将信息系统中的信息更换为攻击者所提供的信息而导致的信息安全事件，例如网页篡改等导致的信息安全事件。 拒绝服务：包括从外部发起，针对网络电视台的拒绝服务攻击，也包括网络电视台内部被非法控制的主机，作为傀儡机发起的拒绝服务。 恶意代码攻击：指病毒或者网络蠕虫，其表现形式为，网络电视台内主机遭受恶意代码破坏或从外网发起对网络电视台的蠕虫病毒感染。 信息篡改事件 是指未经授权将信息系统中的信息更换为攻击者所提供的信息而导致的信息安全事件。 紧急处理措施 进行系统临时性恢复，迅速恢复系统被篡改的内容； 严格监控对系统的业务访问以及服务器系统登陆情况，确保对再次攻击的行为能进行检测； 使用事件查看器查看系统安全日志，获得当前系统正在登录帐户的信息及来源 使用事件查看器查看系统安全日志，获得系统前N次登录记录 将发生安全事件的设备脱网，做好安全审计及系统恢复准备； 在必要情况下，将遭受攻击的主机上系统日志、应用日志等导出备份，并加以分析判断。 抑制处理 分析日志(系统安全日志，Windows防火墙日志等)，确认主机上有无异常权限用户非法登陆，并记录其IP地址、登陆时间等信息； 使用事件查看器查看系统安全日志，获得当前系统正在登录帐户的信息及来源 使用事件查看器查看系统安全日志，获得系统前N次登录记录 应用日志记录了定时作业的内容，通常在默认日志目录中一个文件里 分析系统目录以及搜索整盘近期被修改的和新创建的文件，查找是否存在可疑文件和后门程序； 分析系统服务，有无新增或者修改过的服务；检查有无可疑进程；检查有无可疑端口； Netstat –an列出所有打开的端口及连接状态 Netstat –i只显示网络套接字的进程 任务管理器会列出系统正在运行的所有进程 使用第三方Rootkit检查工具（如chkrootkit）检查是否存在Rootkit性质后门程序； 结合上述日志审计，确定攻击者的方式、以及入侵后所获得的最大管理权限和是否对被攻击服务器留有后门程序 根除 部署网页防篡改软件 在主Web服务器上部署监控端，通过事件触发+文件驱动保护的方式，对Web服务目录提供实时保护，禁止在主服务器上对监控目录进行任何写操作。 在备份Web服务器上部署Server端以及控制台，将主服务器上Web服务的相关目录全部拷贝在备份Web服务器上。 所有的维护操作均在备份服务器上进行，并实时同步到主Web服务器上 对数据库的保护通过专门的IISSec模块进行防护。此模块部署在主Web服务器上，主要防护数据库读取，数据交互等动态信息。 系统上网运行。 拒绝服务攻击 拒绝服务攻击事件是指利用信息系统缺陷、或通过暴力攻击的手段，以大量消耗信息系统的CPU、内存、磁盘空间或网络带宽等资源，从而影响信息系统正常运行为目的的信息安全事件。拒绝服务发起时往往表现为cpu、内存、带宽等的高利用率，同时由于攻击手法和形式的多样性，造成对攻击形式攻击特征分析带来一定的难度。当此类攻击发生后，可根据如下几种归类，确认和处理此类安全事件。 由外部发起 外部破坏者发起对网络电视台的拒绝服务攻击。 系统漏洞类 此类攻击利用的软件或者操作系统的漏洞，比如最新公布了一个apache某一模块存在拒绝服务漏洞，当这一模块接受了一个特殊构造的数据包时，会造成apache服务停止响应。 利用主机漏洞 如果系统服务无法正常响应，迅速切换到备用系统； 通过防火墙或网络设备配置访问控制列表，过滤DoS发起源的连接。 确认造成系统cpu、内存占用高的进程或者应用。 确认系统存在的漏洞，根据漏洞信息和安全建议采取相应的控制措施；安装相应的补丁修复程序， 修复漏洞后切换到原运行系统。 利用网络设备漏洞 如果系统服务无法正常响应，迅速切换到备用系统； 利用防火墙或网络设备配置ACL，过滤DoS发起源的连接 确认当前IOS版本，确认此版本是否存在DOS的漏洞 根据漏洞信息和相应安全建议采取相应的控制措施，安装相应的补丁修复程序。 切换到主系统。 网络协议类 协议类攻击是以发起大量连接或数据包为基础，造成被攻击方连接队列耗尽或cpu、内存资源的耗尽。此类攻击为最常见。比如：syn flood。 通过网络流量分析软件，确定数据包类型特征，比如利用的是udp、tcp还是icmp协议 在防火墙配置访问控制策略。 可以通过电信运营商NOC中心协调相关机构，