信息系统安全应急响应处置培训课件.pptx

04六月2024;简介;目录;应急响应定义1;应急响应一般是指一种组织为了应对多种意外事件的发生所做的准备以及在事件发生后所采用的措施。

信息系统安全事件应急响应的对象是指针对信息系统所存储、传播、处理的信息的安全事件。事件的主体也许来自自然界、系统自身故障、组织内部或外部的人为袭击等。按照信息系统安全的三个特性，可以把安全事件定义为破坏信息或信息处理系统CIA的行为，即破坏保密性的安全事件、破坏完整性的安全事件和破坏可用性的安全事件等。——（信息系统等保体系框架GA/T708-）;信息安全响应的定义3;应急处置定义;信息安全应急响应产生的背景;;CNCERT/CC的职能;我国信息安全应急响应管理体系;信息安全应急响应法规原则;信息安全应急响应规定—信息安全等级保护;应急响应组织构造;网络钓鱼事件;应急事件等级;信息安全应急响应流程;信息安全应急响应流程—准备阶段;信息安全应急响应流程—准备阶段;信息安全应急响应流程—检测阶段;信息安全应急响应流程—克制阶段;信息安全应急响应流程—根除、恢复阶段;信息安全应急响应流程—事后活动阶段;应急预案的定义;应急预案的类型;应急预案框架;应急预案的文档构造;应急预案的编制环节;应急预案的启动执行过程;信息安全应急演习流程;目录;著名公共案例;著名公共案例-携程;著名公共案例-携程;著名公共案例-OpenSSL;著名公共案例-OpenSSL;著名公共案例-OpenSSL;案例一：奥帆委网站系统

案例二：遗忘密码

案例三：DDOS袭击应急响应;6月，奥帆委官方网站感觉异常

远程测试发现站点存在多种漏洞

SQL注入

绕过安全验证漏洞

上传漏洞

已经存在多种木马Webshell;经典注入袭击-SQL注入;SQL注入

Webshell

后台绕过登录

;Webshell;;程序员未预料到的成果……

Username:adminOR1=1--

Password:1

SELECTCOUNT(*)

FROMUsers

WHEREusername=adminOR1=1--andpassword=1;案例一：奥帆委网站系统;远程监控

;现场值守

每日安全日报

阶段性总结汇报;案例二：遗忘密码;案例二：遗忘密码;案例二：遗忘密码;案例二：遗忘密码;案例二：遗忘密码;案例二：遗忘密码;案例二：遗忘密码;描述：

某网络管理员发现持续几天在晚上18：00时左右，WEB服务器网站不能正常访问。;事件描述分析：

客户描述

根据客户描述的状况，WEB服务无法正常访问属于紧急响应安全事件

网络现实状况基本信息

远程访问该WEB服务器，无法打开页面

事件基本分析

产生的也许性：a.WEB服务未启动b.主机网络不通c.病毒问题d.受到拒绝服务袭击e.防火墙方略更改f.其他原因;制定方案：

到顾客现场进行分析

在事件重现前布署监控工具，流量分析，协议分析等

判断事件类型：维护问题，病毒，内部发起袭击，外部发起袭击等

判断受袭击目的：主机受到袭击，WEB服务受到袭击，网络设备受到袭击，网络带宽受到袭击

判断袭击措施：漏洞型，流量型，混合型;事件调查：

对数据包进行简朴分析，排除病毒也许，根据流量分析，局域网流量并不是尤其大，网关处流量非常大，基本排除内部向外发起袭击也许。从内网访问服务器正常，以及根据数据包的类型判断，基本排除主机或WEB服务的漏洞袭击也许。

对搜集到的数据包的包头进行分析，存在大量的tcpsyn包，udp包以及少许icmp包，和未知ip包等。;SYNFlood袭击：

此种袭击通过抓包分析可以看到，大量的syn祈求发向目的地址，而syn包的源地址为大量的随机生成的虚假地址。

在目的主机上使用netstat–an命令可以看到大量syn连接，处在syn_received状态

?

;假如是单纯的tcpsynflood袭击，未到达限速的状况下，可以使用性能很好的，具有防synflood功能的设备进行防护。

假如是主机服务器停止响应，需要在网关或防火墙上对主机服务进行“代理”，保护主机。此时网关或防火墙需要有能力抵御此类拒绝服务袭击。

假如袭击数据包是崎型数据包，需要网关或防火墙能抵御此类拒绝服务袭击。

假如袭击数据包到达限速，需要逐层追查数据包的来源。;对数据包特性进行分析，包括来源地址（随机），端口，TTL值，序列号，协议号等等。

在路由器各端口上查看流量来源，或使用流量分析工具。分析数据包的特性，确定大部分数据包的来源。

逐层往上，寻找部分具有相似特性的数据包来源，并与该级有关网络管理员获得联络。

本案例中初步定位到有部分相似特性的袭击数据包来源于某托管机房。;总结：

网络袭击方式多种多样

每种网络设备、安全产品都能处理一定问题