信息系统安全应急响应处置培训课件.pptxVIP

信息系统平安应急响应处置;介绍;目录;应急响应定义1; 应急响应通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。 信息系统平安事件应急响应的对象是指针对信息系统所存储、传输、处理的信息的平安事件。事件的主体可能来自自然界、系统自身故障、组织内部或外部的人为攻击等。按照信息系统平安的三个特性，可以把平安事件定义为破坏信息或信息处理系统 CIA 的行为，即破坏保密性的平安事件、破坏完整性的平安事件和破坏可用性的平安事件等。 ——〔信息系统等保体系框架GA/T 708-2007〕;信息平安响应的定义3;应急处置定义;信息平安应急响应产生的背景;;CNCERT/CC的职能;我国信息平安应急响应管理体系;信息平安应急响应法规标准;信息平安应急响应要求—信息平安等级保护;应急响应组织结构;网络钓鱼事件;应急事件等级;信息平安应急响应流程;信息平安应急响应流程—准备阶段;信息平安应急响应流程—准备阶段;信息平安应急响应流程—检测阶段;信息平安应急响应流程—抑制阶段;信息平安应急响应流程—铲除、恢复阶段;信息平安应急响应流程—事后活动阶段;应急预案的定义;应急预案的类型;应急预案框架;应急预案的文档结构;应急预案的编制步骤;应急预案的启动执行过程;信息平安应急演练流程;目录;知名公共案例;知名公共案例-携程;知名公共案例-携程;知名公共案例-OpenSSL;知名公共案例-OpenSSL;知名公共案例-OpenSSL;案例一：奥帆委网站系统 案例二：遗忘密码 案例三：DDOS攻击应急响应;2007年6月，奥帆委官方网站感觉异常 远程测试发现站点存在多种漏洞 SQL注入 绕过平安验证漏洞 上传漏洞 已经存在多个木马Webshell;典型注入攻击-SQL注入;SQL注入 Webshell 后台绕过登录 ;Webshell;;程序员未预料到的结果…… Username: admin OR 1=1 -- Password: 1 SELECT COUNT(*) FROM Users WHERE username=admin OR 1=1 -- and password=1;案例一：奥帆委网站系统;远程监控 ;现场值守 每日平安日报 阶段性总结报告;案例二：遗忘密码;案例二：遗忘密码;案例二：遗忘密码;案例二：遗忘密码;案例二：遗忘密码;案例二：遗忘密码;???例二：遗忘密码;描述： 某网络管理员发现连续几天在晚上18：00时左右，WEB效劳器网站不能正常访问。;事件描述分析： 客户描述 根据客户描述的情况，WEB效劳无法正常访问属于紧急响应平安事件 网络现状根本信息 远程访问该WEB效劳器，无法翻开页面 事件根本分析 产生的可能性：a.WEB效劳未启动 b.主机网络不通 c.病毒问题 d.受到拒绝效劳攻击 e.防火墙策略更改f.其他原因;制定方案： 到用户现场进行分析 在事件重现前部署监控工具，流量分析，协议分析等 判断事件类型：维护问题，病毒，内部发起攻击，外部发起攻击等 判断受攻击目标：主机受到攻击，WEB效劳受到攻击，网络设备受到攻击，网络带宽受到攻击 判断攻击方法：漏洞型，流量型，混合型;事件调查： 对数据包进行简单分析，排除病毒可能，根据流量分析，局域网流量并不是特别大，网关处流量非常大，根本排除内部向外发起攻击可能。从内网访问效劳器正常，以及根据数据包的类型判断，根本排除主机或WEB效劳的漏洞攻击可能。 对收集到的数据包的包头进行分析，存在大量的tcp syn包，udp包以及少量icmp包，和未知ip包等。;SYN Flood攻击： 此种攻击经过抓包分析可以看到，大量的syn请求发向目标地址，而syn包的源地址为大量的随机生成的虚假地址。 在目标主机上使用netstat –an命令可以看到大量syn连接，处于syn_received状态 ? ;如果是单纯的tcp synflood攻击，未到达限速的情况下，可以使用性能较好的，具有防synflood功能的设备进行防护。 如果是主机效劳器停止响应，需要在网关或防火墙上对主机效劳进行“代理〞，保护主机。此时网关或防火墙需要有能力抵抗此类拒绝效劳攻击。 如果攻击数据包是崎型数据包，需要网关或防火墙能抵抗此类拒绝效劳攻击。 如果攻击数据包到达限速，需要逐级追查数据包的来源。;对数据包特征进行分析，包括来源地址〔随机〕，端口，TTL值，序列号，协议号等等。 在路由器各端口上查看流量来源，或使用流量分析工具。分析数据包的特征，确定大局部数据包的来源。 逐级往上，寻找局部具有相同特征的数据包来源，并与该级相关网络管理员取得联系。 本案例中初步定位到有局部相同特征的攻击数据包来源于某托管机房。;总结： 网络攻击方式多种多样 每种网络设备、平