CISP-19-信息安全应急响应-new (三) 应急响应案例.pdf

应急响应处理实践——所处理的事故类型 应急响应处理实践——所处理的事故类型 拒绝服务事故 • 拒绝服务（DoS ）：通过耗尽资源来阻止或伤害网络、系统或应用的攻 击。 • 分布拒绝服务（DDoS ）：一种使用大量主机执行攻击的 DoS技术。 恶意代码事故 • 恶意代码：感染主机的病毒、蠕虫、特洛伊木马或其它代码实体。 非授权访问事故 • 非授权访问： 人员没有没有得到许可，获得对网络、应用、数据或其它 资源的逻辑或物理访问。 不正确使用事故 • 不正确使用： 人员违反可接受的信息系统使用策略。 多组件事故 • 多组件事故：单个事故包含两个或多个事故。 准备阶段—拒绝服务事故 准备阶段—拒绝服务事故 主要工作推荐 主要工作推荐 • 主机上的设置 • 配置防火墙规则集以预防反射器攻击 • 配置边界路由器以预防放大器攻击 • 充足的网络带宽保证 • 把网站做成静态页面 • 确定组织机构的互联网服务提供商（ISP ）和第二 层提供商能帮助处理网络DoS攻击。 • 配置安全软件以检测DoS攻击 • 配置网络边界以拒绝所有没有明确允许的出局流量 准备阶段—恶意代码事故 准备阶段—恶意代码事故 主要工作推荐 主要工作推荐 • 让用户意识到恶意代码问题。 • 让用户意识到恶意代码问题。 • 阅读防病毒公告。 • 阅读防病毒公告。 • 为关键主机部署主机入侵检测系统，包括文件完整 • 为关键主机部署主机入侵检测系统，包括文件完整 性检查器。 性检查器。 • 使用防病毒软件，并且保持更新为最新的病毒特征 • 使用防病毒软件，并且保持更新为最新的病毒特征 码。。 码。。 • 配置软件以阻止可疑的文件。 • 配置软件以阻止可疑的文件。 • 减少开放的Windows共享。 • 减少开放的Windows共享。 准备阶段—非授权访问事件 准备阶段—非授权访问事件 主要工作推荐 主要工作推荐 • 配置入侵检测软件以对获得非授权访问的企图进行告警。 • 配置所有主机使用集中日志。 • 建立流程，以使所有用户修改其口令。 • 配置网络边界以拒绝所有没有明确允许的入局流量。 • 安全保护所有的远程访问方式，包括调制解调器和虚拟专用 网（VPN ）。 • 将所有公共访问的服务放在安全保护的非军事区（DMZ ）网 段。 • 在主机上禁止所有不需要的服务并隔离关键的服务。 • 在个人主机上使用主机防火墙软件以限制主机对攻击的暴露。 • 创建和实施口令策略。 准备阶段—不当操作事故 准备阶段—不当操作事故 主要工作推荐 主要工作推荐 • 同组织机构的人力资源和法务部门一起讨论不当操作事故的 • 同组织机构的人力资源和法务部门一起讨论不当操作事故的 处理。 处理。 • 同组织机构的法务部门讨论责任义务问题。 • 同组织机构的法务部门讨论责任义务问题。 • 配置网络入侵检测系统以检测某些类型的不正确使用。 • 配置网络入侵检测系统以检测某些类型的不正确使用。 • 日志记录用户活动的基本信息。 • 日志记录用户活动的基本信息。 • 配置所有电子邮件服务器以使其不再用于非授权的邮件转发。 • 配置所有电子邮件服务器以使其不再用于非授权的邮件转发。 • 在所有电子邮件服务器上实施垃圾邮件过滤软件。 • 在所有电子邮件服务器上实施垃圾邮件过滤软件。 • 实施URL过滤软件。 • 实施URL过滤软件。 准备阶段—多组件事故 准备阶段—多组件事