.第十二章 应对锦囊与精彩案例分析.pdfVIP

应对锦囊与精彩案例分析 第十二章 应对锦囊与精彩案例分析1 12.1 应对基础 PDCERF 的 6 步走原则1 12.2 常见攻击的应对小锦囊4 12.2.1 页面被篡改事件处理流程5 12.2.2 网络蠕虫病毒爆发处理流程6 12.2.3 DMZ 区域遭受 DOS 拒绝服务攻击后的处理流程 7 12.3 三次攻击事件应急处理回溯8 12.3.1 利用审计日志进行追踪分析8 12.3.2 某国家机关网站被黑案例12 12.3.3 某政府机关出现未知蠕虫攻击事件的攻防三日拉锯战17 第十二章 应对锦囊与精彩案例分析 作者：SQL 关于本书的任何建议与指正欢迎给我邮件 caopeng@ 12.1 应对基础PDCERF 的6 步走原则 不管我们事前做了多么周密的工作去评估风险和加固系统，攻击者可能还是会在某个凌 晨偷偷潜入我们的系统更改掉我们的系统文件，面对攻击者的攻击早早的计划出对策是非常 重要的，如果等到攻击者实施完攻击后我们才开始想应该如何应对的话，可能会手忙脚乱的 把事情弄的一团糟糕。 在多年的工作经验中我曾经为不少单位编写过相关的安全应急事件处理流程与规定，本 章节我为读者提供经典的应急事件处理流程 PDCERF 的实际应用思路，希望能帮助读者在面 对攻击的时候有所帮助。 PDCERF 是国际上对应急响应的一个标准流程，即准备(策略、防御、程序、人员、工具、 基础设施、资金)、检测(检测、调查、评价、报告、决策)、抑制(安全域(地理/层次/人机/ 业务)、边界控制)、根除(定位、对症下药、副作用)、恢复(数据恢复、状态恢复、行为恢 复、环境恢复)、跟踪(追究责任、改进)。 P 准备： 1. 每个管理员所维护的网络系统都会由特定的软件和硬件组成，那么定期登陆这些软硬件 设备的厂商站点去查看是否目前有新的安全漏洞补丁或者是安全警告非常必要，至少应 该保证一个星期查看一次，也可以选择订阅厂家的更新邮件列表。 应对锦囊与精彩案例分析 2. 每星期登陆一次国家计算机网络应急技术处理协调中心 查看安全公 告内容，对于安全警告信息确认分析，如果所管理网络存在警报中安全问题，应及时安 装从站点下载的补丁。 3. 在本组织内部制作一个信息安全相关的发布页面，亲自负责来维护信息发布，定期发布 安全预警信息和安全维护文章，对于常用的杀毒软件等安全工具也应该提供下载，做到 每一个新员工加入后可以通过这个站点获取到全部所需要的软件和安全规定和相关知 识技巧。 4. 针对近三年来蠕虫病毒攻击分析后，内部网络大量的 WINDOWS 平台个人计算机是很大的 安全隐患，管理员应该提供一篇 WINDOWS 主机的安全配置方面文章，群发给普通用户进 行安全配置，必要时提供一次统一的相关操作培训。 5. 每月定期采用扫描软件对服务器进行安全评估工作，认真分析安全风险报告，每当升级 新的安全漏洞资料后，设置仅仅扫描新填风险对所管理网络进行全扫描，分析结果。 6. 在内部进行全面的 IP 地址和员工姓名，所在地理位置，使用情况，员工邮件地址统计， 建立标准电子档案，不推荐使用 DHCP方式分配 IP地址。如果设备支持可以在桌面交换 机上进行 IP、MAC 地址与物理端口限定的方法，防止 IP 地址盗用。 7. 对于服务器群业务主机建立 IP 地址，服务器名称，运行业务系统、网络维护人员、业 务管理使用人员相关联名单。 8. 定期在组织内部举办网络安全相关的知识培训讲座，可以从本企业的安全承包商中邀请 一些熟悉安全技术的人进行讲座。 9. 对于重要服务器系统进行必要的安全加固工作，在加固完成后进行系统快照保存相关数 据以备日后分析。 10. 安全管理员准备应急工具包，内容是指网络与信息安全应急事件处理过程中将使用工具 集合。该工具包应由安全技术人员及时建立，并定时更新。使用应急响应工具包中的工 具所产生的结果将是网络与信息安全应急事件处理过程中的可信基础。 D 检