信息安全-应急响应处置指导书.docxVIP

应急响应处置指导书 目 录 TOC \o 1-3 \h \z \u 一、 概述 5 1.1 应急响应方式 5 1.2 准备阶段 5 1.3 检测阶段 6 1.4 抑制阶段 7 1.5 抑制阶段 7 1.6 根除阶段 7 1.7 恢复阶段 8 1.8 跟踪阶段 8 二、 入侵排查 8 2.1 Linux 8 2.1.1 Web服务 8 2.1.2 SSH服务 9 2.1.3 进程 10 2.1.4网络连接 10 2.1.5敏感目录 11 2.1.6 history 11 2.1.7开机启动 12 2.1.8 定时任务 14 2.1.9 服务 15 2.1.10系统日志 15 2.1.11工具篇 17 2.2 Windows 22 2.2.1检查系统账号安全 22 2.2.2检查异常端口、进程 23 2.2.3检查启动项、计划任务、服务 24 2.2.4检查系统相关信息 26 2.2.5自动化查杀 26 2.2.6日志分析 27 2.2.7工具篇 27 三、 勒索病毒 29 3.1 了解现状 30 3.2 了解发病时间 30 3.3 确认感染者 30 3.4 感染文件特征和感染时间 30 3.5 处理方式 32 四、 挖矿木马 32 4.1 了解现状 32 4.2 了解发病时间 33 4.3 了解系统架构 33 4.4 确认感染者 33 4.5 处置建议 33 4.6 防御措施 34 五、 ddos攻击 34 5.1 了解现状 34 5.2 了解发病时间 34 5.3 了解系统架构 35 5.4 事件排查 35 5.5 判断依据 35 5.6 事件处置 36 5.6.1网络层DDOS攻击 36 5.6.2应用层DDOS攻击 36 六、 样本提取 37 附件一 应急处置及安全加固申请单 38  概述 在监测到安全事件发生之后第一时间确定安全事件类型、发生时间、事件发生的客户单位信息，对各项信息进行整理，同时通知客户采取应急措施，针对发现的严重安全漏洞，及时告知客户并进行漏洞分析和漏洞修复。 在监测到安全事件发生之后第一时间确定安全事件类型、发生时间、事件发生的客户单位信息，对各项信息进行整理，同时通知客户采取应急措施，针对发现的严重安全漏洞，及时告知客户并进行漏洞分析和漏洞修复。 1.1 应急响应方式 现场应急响应：通常是要到客户突发现场进行应急处置。需注意相关操作必须获得用户授权，并对操作过程进行记录。 远程应急响应：远程通过电话、邮件等方式指导用户进行应急处置。 1.2 准备阶段 准备阶段需要及时和客户确认事件背景、相关负责人联系方式、确定参与此次应急响应人员、根据客户描述，初步判定事件响应策略，携带应急响应工具包前往客户现场。 准备阶段主要包括：事件背景、响应人员确定、事件响应策略、相关负责人联系方式、应急响应相关授权、应急响应工具包、应急响应手册等。 1.3 检测阶段 检测阶段确认入侵事件是否发生，如真发生了入侵事件，评估造成的危害、范围以及发展的速度，事件会不会进一步升级。然后根据评估结果通知相关的人员进入应急的流程。 检测阶段主要包括：事件类型、事件影响范围、受影响系统、事件发展趋势、安全设备等。 备注：事件类型分类 安全事件分类主要参考中央网信办发布《国家网络安全事件应急预案》，网络安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他网络安全事件等。 （1）有害程序事件分为计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件。 （2）网络攻击事件分为拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件。 （3）信息破坏事件分为信息篡改事件、信息假冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件。 （4）信息内容安全事件是指通过网络传播法律法规禁止信息，组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。 （5）设备设施故障分为软硬件自身故障、外围保障设施故障、人为破坏事故和其他设备设施故障。 （6）灾害性事件是指由自然灾害等其他突发事件导致的网络安全事件。 （7）其他事件是指不能归为以上分类的网络安全事件 1.4 抑制阶段 采用针对性的安全措施降低事件损失、避免安全事件的扩散和安全事件对