信息系统安全应急响应处置培训课件(ppt).pptVIP

知名公共案例 知名公共案例-携程 知名公共案例-携程 知名公共案例-OpenSSL 知名公共案例-OpenSSL 知名公共案例-OpenSSL 案例一：奥帆委网站系统 案例二：遗忘密码 案例三：DDOS攻击应急响应 公司案例 2007年6月，奥帆委官方网站感觉异常 远程测试发现站点存在多种漏洞 SQL注入 绕过安全验证漏洞 上传漏洞 已经存在多个木马Webshell 案例一：奥帆委网站系统 典型注入攻击-SQL注入 SQL注入攻击原理 SQL注入（ SQL Injection ）：程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据或进行数据库操作 操作系统 Web应用 数据库服务器 1 2 3 调用数据库查询 直接调用操作系统命令 通过数据库调用操作系统命令 SQL注入 Webshell 后台绕过登录 Tips Webshell /login.asp 管理员 管理员 程序员考虑的场景: Username: admin Password: p@$$w0rd SELECT COUNT(*) FROM Users WHERE username=admin and password=p@$$w0rd 登录成功！ Tips 程序员未预料到的结果…… Username: admin OR 1=1 -- Password: 1 SELECT COUNT(*) FROM Users WHERE username=admin OR 1=1 -- and password=1 /login.asp 攻击者 登录成功！ ‘是SQL字符串变量的定界符 攻击关键 通过定界符成功地将攻击者的意图注入到SQL语句中！ 通过注释保证SQL语句正确！ --是MS SQL的注释符 Tips 案例一：奥帆委网站系统 远程监控 案例一：奥帆委网站系统 现场值守 每日安全日报 阶段性总结报告 案例一：奥帆委网站系统 案例二：遗忘密码 Page ? * 信息系统安全应急响应处置 介绍 樊运安 协会专家组成员 CISSP CISP COBIT ITIL 目录 应急响应体系 应急响应案例 其他 应急响应定义1 应急响应（Emergency response） 组织为了应对突发/重大信息安全事件的发生所做的准备，已及在事件发生后所采取的的措施。——（信息安全应急响应计划规范GB/T 24363-2009） 应急响应通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。 信息系统安全事件应急响应的对象是指针对信息系统所存储、传输、处理的信息的安全事件。事件的主体可能来自自然界、系统自身故障、组织内部或外部的人为攻击等。按照信息系统安全的三个特性，可以把安全事件定义为破坏信息或信息处理系统 CIA 的行为，即破坏保密性的安全事件、破坏完整性的安全事件和破坏可用性的安全事件等。 ——（信息系统等保体系框架GA/T 708-2007） 应急响应的定义2 信息安全响应的定义3 信息安全应急响应是指在计算机系统或网络上的威胁安全的事件发生后采取的措施和行动。这些措施和行动通常是用来减小和阻止事件带来的负面影响和破坏的后果。信息安全应急响应是解决网络系统安全问题的有效安全服务手段之一。 应急处置定义 应急处置 启动应急响应计划后，应立即采取相关措施抑制信息安全事件影响，避免造成更大损失。在确定有效控制了信息安全事件影响后，开始实施恢复操作。恢复阶段的行动集中于建立临时业务处理能力、修复原系统的损害、在原系统或新设施中恢复运行业务能力等应急措施。——（信息安全应急响应计划规范GB/T 24363-2009） 信息安全应急响应产生的背景 Morris Worm 1988年Morris蠕虫病毒事件爆发后，世界上第一个应急响应 组织成立CERT/CC 2000年10月份成立“国家计算机网络应急技术处理协调中心”， 简称“国家互联网应急中心”，在31个省成立分中心 / CNCERT/CC的职能 CNCERT/CC(国家互联网应急中心)作为国家级应急组织，主要业务包括如下： 我国信息安全应急响应管理体系 信息安全应急响应法规标准 信息安全应急响应要求—信息安全等级保护 应急预案管理 a)?? 应在统一的应急预案框架下制定不同事件的应急预案，应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容； b)?? 应从人力、设备、技术和财务等方面确保应急预案的执行有足够的资源保障； c)?? 应对系统相关的人员进行应急预案培训，应急预案的培训应至少每年