- 1、本文档共50页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
安全事件应急响应及分析;目 录;1)安全事件响应概述 及流程介绍;什么是突发事件
中断正常运作的程序并使系统突然陷入某种级别危机的事件。
计算机入侵,拒绝服务攻击,信息泄露等。
什么是应急响应
信息安全应急响应是对危机信息安全的事件做出及时、准确的响应处理,综合利用检测、抑制、根除、恢复等手段,杜绝危害的进一步蔓延扩大,保证系统能够提供正常服务。
;漏洞发布到攻击出现的时间越来越短
Witty蠕虫事件、MS08-067
花样翻新,防不胜防
尼姆达蠕虫:通过email、共享网络资源、IIS服务器传播
变种速度令人惊叹
黑客:从单打独斗到“精诚”合作
Botnet
攻击程序日益自动化、并唾手可得
;确认与排除突发事件是否发生
收集与突发事件有关的信息
提供有价值的报告和建议
使损失最小化
支持民事或刑事诉讼
保护由法律或者正常规定的隐私权;第一阶段:准备——让我们严阵以待
第二阶段:确认——对情况综合判断
第三阶段:封锁——制止事态的扩大
第四阶段:根除——彻底的补救措施
第五阶段:恢复——备份,顶上去!
第六阶段:跟踪——还会有第二次吗
;
;预防为主
帮助服务对象建立安全政策
帮助服务对象按照安全政策配置安全设备和软件
扫描,风险分析,打补丁
如有条件且得到许可,建立监控设施
;
;确定事件的责任人
指定一个责任人全权处理此事件
给予必要的资源
确定事件的性质
误会?玩笑?还是恶意的攻击/入侵?
影响的严重程度
预计采用什么样的专用资源来修复?
;即时采取的行动
防止进一步的损失,确定后果
确定适当的封锁方法
咨询安全策略
确定进一步操作的风险
损失最小化
可列出若干选项,讲明各自的风险,由服务对象选择
;长期的补救措施
确定原因,定义征兆
分析漏洞
加强防范
修复隐患
修改安全策略
;被攻击的系统由备份来恢复
作一个新的备份
把所有安全上的变更作备份
服务重新上线
持续监控
;关注系统恢复以后的安全状况,特别是曾经出问题的地方
建立跟踪文档,规范记录跟踪结果
追踪来源,建立基线库
调查取证;外部原因
攻击类型
拒绝服务:SYN-flood、UDP-flood、cc
DNS欺骗:DNS poison
ARP欺骗: arp病毒
问题分析
抓包分析:wireshark
简单命令:nslookup、arp
解决办法
封攻击者IP;内部原因
攻击类型
系统被入侵,入侵者已获取部分权限或已完全控制系统。
问题分析
系统或应用程序存在漏洞
解决办法
恢复系统
查找原因
清除后门
修补漏洞;2) 网络流量异常事件 响应与分析;网络流量异常事件;3)网站篡改事件响应与分析;网站页面篡改案例;篡改事件处置流程;篡改事件分析过程;审核日志:
系统日志
应用日志
安全性日志
Web日志
FTP日志
数据库日志
查看攻击者遗留痕迹
分析入侵原因并弥补漏洞
;分析网站系统日志,一般IIS日志和Apache日志等均有web访问详细记录,若日志在系统中已被删除,应通过日志服务器或者日志审计系统查看日志。日志分析有以下方式:
分析安全事件发生时间段内的日志信息,查看是否有异常访问(如网站扫描日志、上传页面日志、管理员登陆页面访问日志等)
以遭篡改或者挂暗链的页面名称为关键字,搜索日志内容,判断是否存在管理员IP之外的访问地址。若存在,则应以此地址为关键字做进一步分析,判断攻击者的攻击方式和路径。
若网站已被上传木马,则查看日志中对该木马的访问记录,进而根据此木马来源IP地址为关键字做进一步分析。
;WEB日志
IIS日志在%systemroot%\system32\logfiles下相应子目录中
;WEB日志格式
日期和时间
默认采用格林威治时间,比北京时间晚8小时
客户端地址
服务器地址
服务器端口
方法(GET、POST、PUT、DELETE等)
URI资源
协议状态
请求成功,200-299
临时资源,300-307
请求错误,400-499
服务器端内部错误,500-599
;WEB日志(SQL注入示例)
2009-10-13 15:16:42 27 GET /list.asp id=19%20and%20user0|13|80040e07|[Microsoft][ODBC_SQL_Server_Driver][SQL_Server]将_nvarchar_值_article_user_转换为数据类型为_int_的列时发生语法错误。 80 - 4 Mozilla/4.0+
;WEB日志(路径扫描示例)
2009-10-13 15:20:44 27 GET /admin_main.asp - 80 - 4 Mozilla/4.0 404 0 2
2009-10-13 15:20:44 27 GET /admintab.as
您可能关注的文档
- 02-信息系统安全等级保护基本要求.pptx
- 01输气管道安全保护.pptx
- 020130530控制生奶安全需要新思维.pptx
- 01华北区域安全管理(赵敏,10月16日).pptx
- 02 安全带和安全气囊.pptx
- 0217安全生产工作汇报(PPT33页).pptx
- 02第二章《高处作业人员的安全要求》.pptx
- 0221公司级安全培训课件(PPT75页).pptx
- 02企业安全生产主体责任(PPT61页).pptx
- 03-SecPath网络安全监控插卡(NSM)概述V20.pptx
- 国际标准 IEC 61169-47:2015 EN Radio-frequency connectors - Part 47: Sectional specification for radio-frequency coaxial connectors with clamp coupling, typically for use in 75 Ω cable networks (type F-Quick) 无线电频率连接器 - 第47部分:用于无线电频率同轴连接器的部分规范,.pdf
- 国际标准 IEC 61158-5-17:2007 EN 工业通信网络 - 现场总线规范 - 第5-17部分:应用层服务定义 - 类型17元素 Industrial communication networks - Fieldbus specifications - Part 5-17: Application layer service definition - Type 17 elements.pdf
- 国际标准 IEC 61158-5-17:2007 EN Industrial communication networks - Fieldbus specifications - Part 5-17: Application layer service definition - Type 17 elements 工业通信网络 - 现场总线规范 - 第5-17部分:应用层服务定义 - 类型17元素.pdf
- 国际标准 IEC 60939-2-2:2004 EN_D 完整抑制无线电干扰滤波器单元-第2-2部分:空白详细规范-用于抑制电磁干扰的被动滤波器单元-仅需进行安全测试的滤波器(安全测试) Complete filter units for radio interference suppression - Part 2-2: Blank detail specification - Passive filter uits for electromagnetic interference .pdf
- 国际标准 IEC 60939-2-2:2004 EN_D Complete filter units for radio interference suppression - Part 2-2: Blank detail specification - Passive filter uits for electromagnetic interference suppression - Filters for which safety tests are required (safety.pdf
- 国际标准 IEC 60670-23:2006 EN-FR Boxes and enclosures for electrical accessories for household and similar fixed electrical installations - Part 23: Particular requirements for floor boxes and enclosures 家用和类似固定电气安装用电器配件的盒子与封闭装置——第23部分:地板箱和封闭装置的要求.pdf
- 国际标准 IEC 60670-23:2006 EN-FR 家用和类似固定电气安装用电器配件的盒子与封闭装置——第23部分:地板箱和封闭装置的要求 Boxes and enclosures for electrical accessories for household and similar fixed electrical installations - Part 23: Particular requirements for floor boxes and enclosures.pdf
- 2024版完整的货物运输合同书.doc
- 2024版无财产的离婚协议书书模板.doc
- 2024版委托融资租赁合同书书.doc
文档评论(0)