网络安全应急响应具体实施.pdfVIP

  1. 1、本文档共23页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多

网络安全应急响应是在特定网络和系统面临或已经遭受突然攻击行为时,

进行快速应急反应,提出并实施应急方案。作为一项综合性工作,网络安

全应急响应不仅涉及入侵检测、事件诊断、攻击隔离、快速恢复、网络追

踪、计算机取证、自动响应等关键技术,对安全管理也提出更高的要求。

根据应急事件处理的PDCERF方法学,将应急响应分为准备、检测、抑制、

根除、恢复、跟进6个阶段的工作,本文按照各个阶段主要应用的关键技

术进行介绍。

一、准备阶段

准备(Preparation)阶段是网络安全事件响应的第一个阶段,也属于一个过

渡阶段,即横跨在网络安全事件真正发生前和有迹象将要发生的时间段上,大

部分工作需要在应急响应之前就已做好准备。这一阶段极为重要,因为事件发

生时可能需要在短时间内处理较多事务,如果没有足够的准备,将无法准确地

完成及时响应,导致难以意料的损失。

(一)准备阶段工作内容

准备阶段的工作内容主要有2个,一是对信息网络系统进行初始化快照。

二是准备应急响应工具包。系统快照是指常规情况下,信息系统进程、账

号、服务端口和关键文件签名等状态信息的记录。通过在系统初始化或发

生重要状态改变后,在确保系统未被入侵的前提下,立即制作并保存系统

快照,并在检测的时候将保存的快照与信息系统当前状态进行对比,是后

续“检测”安全事件的一种重要途径。

1、系统快照

系统快照是系统正常状态下的精简化描述,因此须在确保系统未被入侵的

前提下,由系统维护人员完成系统快照的生成和保存工作,注意执行系统

快照留存的时间点有以下几种。

(1)系统初始化安装完成后。

(2)系统重要配置文件发生更改后。

(3)系统进行软件升级后。

(4)系统发生过安全入侵事件并恢复后。

在进行安全检测时,通过将最近保存的系统快照与当前系统快照进行仔细

的核对,能够快速、准确地发现系统的改变或异常。

准备阶段还应包括建立安全保障措施、对系统进行安全加固,制定安全事

件应急预案规范,进行应急演练等内容。

主机系统快照,应包括但并不限于以下内容。

(1)系统进程快照。

(2)关键文件签名快照。

(3)开放的对外服务端口快照。

(4)系统资源利用率的快照。

(5)注册表快照。

(6)计划任务快照。

(7)系统账号快照。

(8)日志及审核策略快照。

以上内容中的系统进程快照、关键文件签名和系统账号快照尤为重要,一

般入侵事件均可通过此3项快照的关联分析查找获得重要信息。

网络设备快照应包括但并不限于以下内容。

(1)路由快照。

(2)设备账号快照。

(3)系统资源利用率快照。

数据库系统快照照应包括但并不限于以下内容。

(1)开启的服务。

(2)所有用户及所具有的角色及权限。

(3)概要文件。

(4)数据库参数。

(5)所有初始化参数。

2、应急响应工具包

应急响应工具包是指网络与信息安全应急事件处理过程中使用工具的集合。该

工具包应由安全技术人员及时建立,并定时更新。使用应急响应工具包中的工

具所产生的结果将是网络与信息安全应急事件处理过程中的可信基础。本规范

结合实际工作情况,具体说明了Windows应急响应工具包和Unix/Linux应

急响应工具包。工具包应尽量放置在不可更改的介质上,如只读光盘。

(二)准备阶段工作流程

第一步:系统维护人员按照系统的初始化策略对系统进行安装和配置加固。

第二步:系统维护人员对安装和配置加固后的系统进行自我检查,确认是

否加固完成。

第三步:系统维护人员建立系统状态快照。

第四步:系统维护人员对快照信息进行完整性签名,以防止快照被非法篡

改。

第五步:系统维护人员将快照保存在与系统分离的存储介质上。

准备阶段的具体流程如图1所示。

图1准备阶段流程

(三)准备阶段操作说明

1、对系统的影响:操作不会对系统造成影响,在系统正常运行情况下

执行各个步骤。

2、操

文档评论(0)

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档