xx自有重要系统遭入侵应急预案.docVIP

自有重要系统遭入侵应急预案 目 录 1 目的 1 2 适用范围 1 3 应急保障组织和职责 1 4 网络与信息安全事件分级 3 5 预防预警 3 6 入侵事件应急响应 4 6.1 应急响应流程 4 6.2 入侵事件的分类处置 6 6.2.1 攻击试探事件 6 6.2.2 正在进行的入侵事件 7 6.2.3 攻击行为已经完成 9 6.3 应急处理动作参考 9 6.3.1 Unix应急处理参考 9 6.3.2 Windows应急处理参考 14 6.3.3 网络设备应急处理参考 19 7 后期处置 21 8 附录 21 8.1 网络与信息安全事件报告表 21 8.2 网络与信息安全事件处理结果报告表 22 目的 适用范围 本预案适用XXXX公司网络运行的自有的关系国计民生、社会稳定的省内重要计算机信息系统。 应急保障组织和职责 成立应急保障组，提供详细准确的领导组、工作组联系方式。 应急工作领导小组成员名单 姓名 部门及职务 电话 手机 邮件 备注 应急工作组成员名单 姓名 专项组名称 电话 手机 邮件 备注 业务应用系统应急小组 网络通讯应急工作小组 主机及存储应急工作小组 安全服务厂商 安全服务厂商 相关机构和联系方式 机构名称 联系人 联系电话 邮件 XX省通信管理局 XX互联网应急中心YNCERT 集团应急办 分级 预防预警 预防预警是应急响应迅速启动的关键。利用自身的安全监控设备和工具，并结合社会其它信息源（如安全厂商的公告、各类应急响应机构的公告等），及时发现网络与信息安全威胁或事件发生的迹象和趋势，分析导致网络与信息安全事件的根源，为网络与信息安全应急响应工作提供支持。 入侵事件应急响应 应急响应流程 在发生网络与信息安全事件时，启动下列应急响应流程，应急响应流程如图1所示。 图1 应急响应流程 事件处理基本流程主要包括以下内容： 确认阶段：确定应急处理方式。 （1）应急工作组接受异常事件报告后，分析是否存在网络与信息安全事件。 （2）如存在网络与信息安全事件，对事件进行定级，同时上报给应急领导小组。 遏制阶段：及时采取行动遏制事件发展。 抑制事件的影响进一步扩大，限制潜在的损失与破坏，同时要确保封锁方法对涉及相关业务影响最小。可能的抑制策略一般包括：关闭服务或关闭所有的系统，从网络上断开相关系统，修改防火墙和路由器的过滤规则，封锁或删除被攻破的登录账号，阻断可疑用户得以进入网络的通路，提高系统或网络行为的监控级别，设置陷阱，启用紧急事件下的接管系统，实行特殊“防卫状态”安全警戒，反击攻击者的系统等。 根除阶段：彻底解决问题隐患。 在事件被抑制之后，通过对有关事件或行为的分析结果，找出事件根源，明确相应的补救措施并彻底清除。与此同时，执法部门和其他相关机构将对攻击源进行定位并采取合适的措施将其中断。 恢复和跟踪阶段。 在确保安全问题解决后，要及时清理系统、恢复数据、程序、服务。恢复工作应避免出现误操作导致数据的丢失。另外，恢复工作中如果涉及到机密数据，需遵照机密系统的恢复要求。 第六步：监控入侵者行为 对入侵者行为的监控没有固定的过程，每个事件都有不同的情况。省公司分管安全领导或者其授权的人应该指导整个监控过程。当驱逐入侵者的时机成熟时，按照第三步执行。 攻击行为已经完成 如果在事件发生以后才觉察，通常很难找到足够的信息来分析入侵者怎样获得访问系统的权限。如果发现曾经有人闯入过系统，应该在第一时间通知安全管理员，安全管理员负责通知相关人员进行事件调查和处理。 应急处理动作参考 Unix应急处理参考 Unix系统应急处理主要事项 Unix系统的入侵检测方法主要包括：检查系统运行的进程，检查系统开放的端口，鉴定未授权的用户账号或组，检查相关程序（命令）、文件的权限，检查所有相关的日志，寻找异常或隐藏文件等。可以采用手工和工具检查相结合的方式进行。 一、手工检查与审计 下面就各种检查项目做一下详细说明。 1、检查端口与网络连接 Netstat可以显示 TCP 和 UDP 所有打开的端口。 Lsof列举所有运行进程及其所打开的文件描述符，其中包括常规文件， 库文件，目录，UNIX流，套接字等。 Arp可以显示系统当前IP-MAC对应表，而且能手动设置静态IP-MAC对应表。 如果发现的已打开的端口无法识别，则应对它们进行调查以确定在该计算机上是否需要对应的服务。如果不需要该服务，则应禁用或删除相关的服务以防止计算机在该端口上监听。 也可以通过该命令检查有哪些相关的连接，也许恶意的连接就在这里。以太网中的arp欺骗能改变数