应急响应流程.docx

应急响应流程不管我们事前做了多么周密的工作去评估风险和加固系统，攻击者可能还是会在某个凌晨偷偷潜入我们的系统更改掉我们的系统文件，面对攻击者的攻击早早的计划出对策是非常重要的，如果等到攻击者实施完攻击后我们才开始想应该如何应对的话，可能会手忙脚乱的把事情弄得一团糟糕。为了有效应对相关安全事件，我们根据经典的应急事件处理流程 PDCERF 制定了相应的应急响应流程。 PDCERF 是国际上对应急响应的一个标准流程，即准备（策略、防御、程序、人员、工具、基础设施、资金）、检测（检测、调查、评价、报告、决策）、抑制（安全域（地理/层次/人机/业务）、边界控制）、根除（定位、对症下药、副作用）、恢复（数据恢复、状态恢复、行为恢复、环境恢复）、跟踪（追究责任、改进）。P 准备1. 每个管理员所维护的网络系统都会由特定的软件和硬件组成，那么定期登陆这些软硬件设备的厂商站点去查看是否目前有新的安全漏洞补丁或者是安全警告非常必要，至少应该保证一个星期查看一次，也可以选择订阅厂家的更新邮件列表。2. 每星期登陆一次国家计算机网络应急技术处理协调中心 查看安全公告内容，对于安全警告信息确认分析，如果所管理网络存在警报中安全问题，应及时安装从站点下载的补丁。3. 在本组织内部制作一个信息安全相关的发布页面，亲自负责来维护信息发布，定期发布安全预警信息和安全维护文章，对于常用的杀毒软件等安全工具也应该提供下载，做到每一个新员工加入后可以通过这个站点获取到全部所需要的软件和安全规定和相关知识技巧。4. 针对近三年来蠕虫病毒攻击分析后，内部网络大量的 WINDOWS 平台个人计算机是很大的安全隐患，管理员应该提供一篇 WINDOWS 主机的安全配置方面文章，群发给普通用户进行安全配置，必要时提供一次统一的相关操作培训。5. 每月定期采用扫描软件对服务器进行安全评估工作，认真分析安全风险报告，每当升级新的安全漏洞资料后，设置仅仅扫描新填风险对所管理网络进行全扫描，分析结果。6. 在内部进行全面的 IP 地址和员工姓名，所在地理位置，使用情况，员工邮件地址统计，建立标准电子档案，不推荐使用 DHCP方式分配 IP地址。如果设备支持可以在桌面交换机上进行 IP、MAC 地址与物理端口限定的方法，防止 IP 地址盗用。7. 对于服务器群业务主机建立 IP 地址，服务器名称，运行业务系统、网络维护人员、业务管理使用人员相关联名单。8. 定期在组织内部举办网络安全相关的知识培训讲座，可以从本企业的安全承包商中邀请一些熟悉安全技术的人进行讲座。9. 对于重要服务器系统进行必要的安全加固工作，在加固完成后进行系统快照保存相关数据以备日后分析。10. 安全管理员准备应急工具包，内容是指网络与信息安全应急事件处理过程中将使用工具集合。该工具包应由安全技术人员及时建立，并定时更新。使用应急响应工具包中的工具所产生的结果将是网络与信息安全应急事件处理过程中的可信基础。D 检测1. 在系统中部署入侵检测设备到整个系统中，安全管理员保证定期登陆入侵检测系统查看相关的告警信息并进行必要的事件排查与处理。2. 网络内部配置一台专门的日志收集服务器，将企业网络内部的安全产品和网络设备的安全性相关告警信息统一发送给日志收集服务器进行报警显示。安全管理员每天上班或下班前定时查看该服务器的的安全报警信息。3. 利用 PING 命令或者 SNMP、NETFLOW 协议监控网络设备端口工作状态、整体流量和连通性等健康状态，实时监控网络访问流量，当发现异常网络访问流量时，马上报警。对于外网防火墙到 DMZ 区域交换机进行端口流量监控，当流量一旦超过了当前接入带宽上限流量的时候，需要及时发现情况。4. 当流量出现异常的时候，需要借助各种分析工具例如前面章节所介绍的 SNIFFER 等参与到事件的整体分析中。5. 定期针对系统的各种日志进行分析，查看是否存在异常情况。C 抑制和E根除阶段1. 当攻击流量不大的时候，在防火墙，交换机、路由器上针对各种危险的访问行为进行访问控制列表或者黑洞路由方式进行设置。2. 当攻击流量过大超过目前租用线路上限数值时，及时联系 ISP 在上层路由器中进行封堵。3. 对系统当前状态进行快照分析，对比以往系统快照结果分析查找问题。4. 系统当前进程分析，查看相关开放端口。5. 各种日志收集分析软件和方法。6. 评估类的工具软件进行自我评估主动发现问题，查找攻击者可能利用的攻击弱点。R 恢复恢复阶段是指通过采取一系列的步骤将系统恢复到正常业务状态。尤其是与各个业务系统实际情况相结合的部分，恢复的方式包含两种。一是在应急处理方案中列明所有系统变化的情况下，直接删除并恢复所有变化。二是在应急处理方案中未列明所有系统变化的情况下，重装系