0423应急响应.ppt

应急响应服务的内容 病毒事件响应 系统入侵事件响应 网络故障事件响应 拒绝服务攻击事件响应 内容提要 应急响应服务背景 什么是应急响应 应急响应组的组建 应急响应服务的过程 应急响应服务的形式和内容 应急响应服务的指标 应急响应服务案例 应急响应服务的指标 远程应急响应服务 在确认客户的应急响应请求后2小时内，交与相关应急响应人员进行处理。无论是否解决，进行处理的当天必须返回响应情况的简报，直到此次响应服务结束。 本地应急响应服务 对本地范围内的客户，3-6小时内到达现场；对异地的客户，24小时加路途时间内到达现场。 内容提要 应急响应服务背景 什么是应急响应 应急响应组的组建 应急响应服务的过程 应急响应服务的形式和内容 应急响应服务的指标 应急响应服务案例 应急响应服务案例 国家XX局的主机入侵应急响应 XX证券公司“红色代码”病毒事件应急响应 XX电信公司网络拒绝服务攻击事件应急响应 XX省教育网拒绝服务攻击事件应急响应 国家XX局应急响应 事件描述 该主机位于国家XX局的X层计算机办公室，在2001年11月中曾经连续发生数据库被删除记录的事件，最后该网站管理员认定事件可疑，随即向国家XX局网络安全管理部门报告。 主机用途 做为国家XX局计算中心内部网站使用，负责发布计算中心内部信息。操作系统Windows 2000 Server SP2，网站运行IIS5，后台数据库采用ACCESS。 国家XX局应急响应 现场分析 主要依据是服务器的IIS日志，利用查找功能在该日志的文件夹里查找是否有被攻击的行为。 查找漏洞攻击的关键字后发现没有找到任何攻击行为的征兆，只有几次NIMUDA病毒发作的记录，和此次攻击事件无关。然后查找该主机数据库的关键字mynews.mdb后发现该数据库曾经在11月被来自8 IP地址的的浏览者非法下载。进一步的跟踪该IP地址的浏览记录后发现，该IP地址的访问者之后曾经非法访问了该网站的在线管理系统。由于攻击者下载的网站数据库中明文存放着该管理员的管理密码,经和管理员确认后认定来自此IP地址的访问并非远程管理员，所以初步怀疑为攻击者。 国家XX局应急响应 扫描分析 发现服务器采用FAT32的磁盘格式，建议采用NTFS格式的磁盘分区提供更高的安全可靠性能； 没有采取端口访问限制策略，远程主机可以随意连接到电脑上的开放端口； 开放的SNMP协议暴露服务器主机的配置和使用情况； 没有禁止的IPC共享连接可以远程得到主机的网络和系统配置文件。 国家XX局应急响应 原因分析 由于此名攻击者是直接下载的xx局计算中心网站的数据库文件，之前没有做任何攻击和猜解尝试，表明该攻击者非常熟悉该网站文件和数据库结构，怀疑是内部知情人员所为。 响应建议 由于主机的数据库名称已经暴露，所以建议把该数据库文件名称改为新的名称； 由于目标主机完全采用的是默认安装所以建议对该主机做一次全面的安全配置； 建议主机打全最新的安全补丁； 严格限制该主机的物理访问权限。 XX证券公司应急响应 事件描述 2001年8月10日下午4点30分， XX证券信息中心紧急电话:证券公司网络传输速度缓慢，严重影响正常业务运作。5点10分，三名应急技术人员到达xx证券信息中心机房。 现场分析 通过检查 “冰之眼”入侵检测系统的日志和使用网络监听设备监听网络流量，发现机房中一台清算业务的服务器网络连接异常，经过仔细检查后，可以做出明确判断： XX证券内部网系统已经遭受“红色代码”蠕虫的攻击，有大量Windows服务器受到感染，并且正在以非常快的速度进行扫描和攻击，造成网络堵塞，严重影响了网络传输速度。 XX证券公司应急响应 原因分析 “红色代码”蠕虫不是普通的病毒，不会通过邮件等方式进行传播，很有可能是因为拨号上网等方式传播进内部网，造成“红色代码”蠕虫在证券内部网泛滥，严重影响正常的业务运作。 处理过程 证券信息中心迅速做出反应，通过电话、Email等方式，将我公司发布的关于防范“红色代码”蠕虫的公告发布给各个营业部，并限定了问题处理期限。 我公司应急响应人员与信息中心技术人员相互配合，于当晚将信息中心的服务器进行了仔细的检查，对相关服务器做了完备的防范措施。 XX证券公司应急响应 响应结论 对于新出现的攻击方式应进行及时的跟踪并进行相应的处理。 攻击事件发生后，应提高反应速度及处理速度，把可能出现的影响减至最小。 建立全网的监控体系，及时发现问题。 建立xx证券系统应急响应体系。 严格网络安全制度，避免病毒、蠕虫等通过Internet传播进内部网系统。 XX电信公司应急响应 事件