第12章 服务与管理1 - 副本.ppt

第十二章 服务与管理 总论 网络信息安全工作是一个过程，技术和产品的到位只是工作的开始，远远不是工作的结束 因此，服务和管理在网络信息安全中起着非常重要的作用 应急处理、安全管理、法律法规、标准都属于这个范畴 5.1 应急处理体系 什么是安全事件 安全事件 – 是那些影响计算机系统和网络安全的不当行为，例如： 盗取帐号 黑掉网页 非法获取其他用户的口令 传播计算机病毒 发送垃圾包 等等…… 什么不是安全事件 一些其他有害事件不属于本文讨论的范畴，如 水灾 火灾 地震 系统掉电 系统过热 物理结构的崩溃 等等…… 应急处理的由来 应急事件处理全过程 第一阶段：准备 – 让我们严阵以待 第二阶段：确认 – 对情况综合判断 第三阶段：抑制 – 防止事态的扩大 第四阶段：根除 – 彻底的补救措施 第五阶段：恢复 – 备份，顶上去! 第六阶段：跟踪 – 还会有下一次吗 第一阶段 – 准备 分析主要威胁，建立一组合理的防御/控制措施 极其关键的一环 我们能把一个漏洞百出的系统暴露在攻击之下吗？ 切记：事件处理的系统和应用本身也需要抗攻击的 第一阶段 – 准备 制定事件响应的程序 在何种情况下，事件响应涉及的人员应该采取哪些步骤 何种情况下，应该和哪些人联系 在直接相关的组织之间哪些类型的信息可以共享，哪些不能 划分响应活动的优先级 明确任务分工 – 每个人都承担什么 资料归档 第一阶段 – 准备 获得资源 硬件资源：如计算和网络设备、移动电话、保险箱 软件资源：如入侵检测工具、IP定位工具、取证分析工具、事件响应应用程序 人力资源：称职的人员是相当关键的 其他：获得培训等。 第一阶段 – 准备 创造支持事件响应的基础条件 制定并实施适当的安全策略 按照安全策略为被保护系统选择和实施适当的防御和控制措施 如有条件并得到许可，建立监控平台 制定事件响应流程，并严格遵守 建立必备的安全信息数据库 创建和更新联系人列表 第一阶段 – 准备 典型的准备工作 确保通过口令过滤器实施口令策略(避免弱口令的存在) 确保不活跃和缺少的帐号被删除和封锁 安装并维护合适的安全工具(如IDS、审计工具等) 运行并定期检查系统日志/审计 安装补丁程序(一定要确保其正确) 定期检查系统文件的完整性 备份每一个必要的系统 对每一件可疑的事件保持足够的警惕 … … 第二阶段 – 确认 检测 并不仅是入侵检测，范围各广，如检测文件系统完整性、病毒、蠕虫等 有些攻击需要检测工具，而一些特征明显的事件则直接可由人来判断，如 页面被修改 出现了不熟悉的文件或程序 日志被删除或某一段时间日志空白 出现陌生的用户名 用户权限的提升或超级用户的使用 系统性能大幅度下降 等等… … 第二阶段 – 确认 初步的动作和响应 最重要的：不要惊慌，人为的错误远比安全事件的损失大得多 花时间分析所有的异常现象，尽量掌握更多的情况 启动审计功能或增加审计信息量(如果尚未启动的话) 事件发生后迅速拿到系统的完整备份，掌握有力的证据 开始记录所有发生的事情，尽管它们中间大部分没有用 第二阶段 – 确认 估计事件的范围 这不仅有助于知道下一步要做什么，而且有助于确定该事件响应的优先级 影响了多少主机 涉及到多少网络 攻击者侵入网络内部有多远 攻击者得到了什么样的权限 风险在哪里 攻击者已经做了什么 还是哪些主机具有同样的漏洞 还有哪些人知道这件事情，特别是在商业领域中 等等… … 第二阶段 – 确认 报告给相关的人 事件的基本信息 – 攻击的类型、攻击者表现出来的目的、受害的操作系统、涉及的网络、攻击者的输入的命令、被攻击的帐号等 攻击源的信息 – 发起攻击的主机、攻击所经网络的已知路径 攻击的结果，攻击者已经得到了什么 威胁 – 攻击传播的范围有多大，可能有什么样的损失 事件当前的状态 关键人员的联络方法 日志、审计信息 等等… … 第三阶段 抑制 可能的抑制策略 完全关闭所有的系统，彻底的办法，但也是迫不得以的办法 从网络上断开，内部用户可以继续使用(但愿不是内部人作案) 修改防火墙和路由器的过滤规则，拒绝看起来可能发起攻击的主机的所有流量 封锁被攻破的登录帐号 提高系统或网络行为的监控力度 设置诱饵服务器作为陷阱 关闭存在漏洞的服务 反制 – 慎之又慎 第三阶段 抑制 其他的行动 继续记录网络和主机上所发生的一切 进一步分析事件性质，确定更有效的抑制方法，使成功抑制事件的可能性最大化 确定进一步操作的风险 损失最小化 继续向有关组织和人报告或求援 第四阶段 – 根除 针对不同操作系统的特性采取不同的根除方法 根除务必全面，忽略任何一个细节都可能导致另一个突发的事件，极端方法：格式化并重新安装系统 做好记录 第五阶段 – 恢复 第六阶段 – 跟踪 目标是回顾发生事件的相关信息，避免