计算机安全事件处理指南.docVIP

计算机安全事件处理指南 计算机安全事件处理指南（一）：准备和预防 安全事件响应过程从启动准备工作到事件后分析可以分为几个阶段。启动阶段包括建立和培训安全事件响应小组并获得必要的工具和资源。在准备工作中，组织也要以风险评估的结果为基础，通过选择和实施一套控制措施来限制安全事件的发生次数。但是即使在实施了安全控制措施后，残余风险依然不可避免，而且没有哪种控制措施是绝对安全的，所以对破坏网络安全的行为要进行检测，一旦安全事件发生要对组织发出报警。针对安全事件的严重程度，组织可以采取行动，通过对安全事件进行限制并最终从中恢复来减缓安全事件所造成的影响。在安全事件得到适当处理后，组织要提交一份报告，详细描述安全事件的起因、造成的损失以及以后对这类安全事件所应采取的防范措施和步骤。图1描述了安全事件响应的生命周期。 图1：安全事件响应生命周期 1、准备 ??? 安全事件响应方法学通常都要强调准备工作，不仅要建立一个安全事件响应能力，使组织能够从容响应安全事件，而且要通过确保系统、网络及应用足够安全来预防安全事件。虽然预防安全事件一般不属于安全事件响应小组的职责，但是因为它太重要了，以至于现在它已经被认为是安全事件响应小组的基础组件工作。在提出系统安全保护建议时，安全事件响应小组的专长是非常有价值的。本节将针对安全事件处理及预防的准备工作提供指导。 1.1 准备处理安全事件 ??? 表1列出了在安全事件处理过程中一些有价值的工具和资源。可以看到对安全事件分析有用的具体软件信息以及一些包含对安全事件响应有帮助的信息的网站清单。 表1安全事件处理人员所需工具和资源 工具/资源 安全事件处理人员通信及设施 联系信息 用于小组成员及组织内部和外部的其它人员（包括主要联系人和后备人员），比如执法机构和其它安全事件响应小组；这些信息可能包括电话号码、电子邮件地址、公钥（按照下面将要提到的加密软件）、以及验证联系人身份的指令 待命信息 用于组织内其它小组，包括问题升级信息 安全事件报告机制 比如电话号码、邮件地址和是网上表格，用户可以用它们来报告可以事件；至少要有一种方法允许用户可以用匿名方式报告事件 传呼机或移动电话 小组成员要随身携带的通信工具，保证成员在非工作时间也能联系得到。 加密软件 被用于小组成员之间在组织内部、以及和外部机构之间的通信，必须采用经过FIPS 140-2验证过的加密算法 作战指挥室 用于集中式通信和协调；如果不需要永久性的作战指挥室，安全事件响应小组应该制定一个流程用来在需要时获得一个临时的作战指挥室。 安全存储设施 用于保护证据和其它敏感信息 安全事件分析硬件和软件 计算机取证工作站 \o style=mso-footnote-id: [1]和/或备份设备 用于创建磁盘映象、保存日志文件、保存安全事件其它相关数据 笔记本计算机 由于这种计算机便于携带，可用于数据分析、监听数据包及编写报告 备用工作站、服务器及网络设备 这些设备可应用于许多用途，比如用备份来恢复系统、测试恶意代码；如果小组难以判断额外设备的费用，可以使用现有的实验设备，或者用操作系统仿真软件来建立虚拟实验室 空白介质 比如软盘、只读CD和只读DVD 便携式打印机 用于从非网络连接系统中打印日志文件和其它证据副本。 数据包监听和协议分析器 捕获并分析可能包含有事件证据的网络流量 计算机取证软件 用于分析磁盘映象，查找安全事件证据 软盘和光盘存放有程序可靠版本的软盘和光盘，可用它们从系统中收集证据 证据收集辅助设备 通过包括笔记本计算机、数字像机、录音机、证据存放袋和标签、证据磁带等来保护证据，以备可能发生的法律行动 安全事件分析资源 端口列表 包括常用端口和特洛伊木马端口 文档 包括操作系统、应用、协议、入侵检测特征码、病毒特征码的文档。 网络拓扑图和关键资产清单 比如WEB服务器、邮件服务器、FTP服务器。 工具/资源 基线 预期网络、系统和应用的行为的基线。 关键文件的加密hash 提高安全事件的分析、验证和消除速度 安全事件减缓软件 介质 包括操作系统引导盘和CD、操作系统介质及应用介质 安全补丁 来自操作系统和应用厂商 备份映像 存储在二级介质上的操作系统、应用和数据。 ??? 许多安全事件响应小组都创建了一个简便工具箱（jump kit），一般是一个轻便的袋子或箱子，里面装有安全事件处理人员在异地调查时可能需要的东西。这种工具箱随时可用，这样在发生严重事件时，安全事件处理人员可以拿起来就走，工具箱中配备了很多表1中所列出的东西。比如每个工具箱中一般都有一台笔记本计算机并安装了适当的软件（如包监听和计算机取证等）。其它重要材料包括备份设备、空白介质、基本网络设备和线缆以及操作系统和应用介质和补丁。因为这种工具箱主要是为了工作方便，所以工具箱中的东西一