23-網(wǎng)絡與信息安全應急響應技術規(guī)范與指南

1、中國移動網(wǎng)絡與信息安全應急響應技術規(guī)范與指南版 本 號 ：V1.0精品資料中國移動通信CHINA MOBILE中國移動通信有限責任公司二零零四年十一月前言 11一、背景 11二、適用范圍 12三、編制依據(jù) 12四、閱讀對象 12五、引用標準 13六、縮略語 13七、安全事件及分類 14八、安全事件應急響應 16九、文檔內容概述 191準備階段 221.1 概述 221.1.1 準備階段工作內容 系統(tǒng)快照 應急響應工具包 241.1.2 準備階段工作流程 241.1.3 準備階段操作說明 25251.2 主機和網(wǎng)絡設備安全初始化快照1.2.1 WINDOW

2、S安全初始化快照 281.2.2 UNIX安全初始化快照 3 Solaris 安全初始化快照 331.2.3 網(wǎng)絡設備安全初始化快照 4 路由器安全初始化快照 461.2.4 數(shù)據(jù)庫安全初始化快照 4 Oracle 安全初始化快照 471.2.5 安全加固及系統(tǒng)備份 551.3 應急響應標準工作包的準備 561.3.1 WINDOWS系統(tǒng)應急處理工作包 5 系統(tǒng)基本命令 5 其它工具軟件 571.3.2 Unix系統(tǒng)應急處理工作包 5 系統(tǒng)基本命令 5 其它工具軟件 591.3.3

3、ORACLE數(shù)據(jù)庫應急處理工具包 602檢測階段 622.1 概述 622.1.1 檢測階段工作內容 622.1.2 檢測階段工作流程 632.1.3 檢測階段操作說明 642.2 系統(tǒng)安全事件初步檢測方法 652.2.1 WINDOWS 系統(tǒng)檢測技術規(guī)范 6 Windows服務器檢測技術規(guī)范 6 Windows檢測典型案例 682.2.2 UNIX 系統(tǒng)檢測技術規(guī)范 6 Solaris 系統(tǒng)檢測技術規(guī)范 6 Unix 檢測典型案例 702.3 系統(tǒng)安全事件高級檢測方法 742.3.1 WINDOWS 系統(tǒng)高級檢測技術規(guī)范 742

4、.3.1.1 Windows高級檢測技術規(guī)范 7 Windows高級檢測技術案例 752.3.2 UNIX 系統(tǒng)高級檢測技術規(guī)范 7 Solaris 高級檢測技術規(guī)范 7 Unix 高級檢測技術案例 812.4 網(wǎng)絡安全事件檢測方法 852.4.1 拒絕服務事件檢測方法 8 利用系統(tǒng)漏洞的拒絕服務攻擊檢測方法 8 利用網(wǎng)絡協(xié)議的拒絕服務攻擊檢測方法 852.4.2 網(wǎng)絡欺騙安全事件檢測方法 8 DNS 欺騙檢測規(guī)范及案例 8 WEB 欺騙檢測規(guī)范及案例 8 電子郵件欺

5、騙檢測規(guī)范及案例 862.4.3 網(wǎng)絡竊聽安全事件檢測方法 8 共享環(huán)境下SNIFFER 檢測規(guī)范及案例 8 交換環(huán)境下SNIFFER 檢測規(guī)范及案例 912.4.4 口令猜測安全事件檢測方法 9 windows 系統(tǒng)檢測 9 UNIX 系統(tǒng)檢測 9 CISCO 路由器檢測 932.4.5 網(wǎng)絡異常流量特征檢測 9 網(wǎng)絡異常流量分析方法 942.5 數(shù)據(jù)庫安全事件檢測方法 952.5.1 數(shù)據(jù)庫常見攻擊方法檢測 952.5.2 腳本安全事件檢測 9 SQL注入攻擊檢測方法 962.5

6、.2.2 SQL注入攻擊案例 972.6 事件驅動方式的安全檢測方法 982.6.1 日常例行檢查中發(fā)現(xiàn)安全事件的安全檢測方法 9 特點 9 人工檢測被入侵的前兆 9 檢測的流程 992.6.2 事件驅動的病毒安全檢測方法 10 特點 10 病毒檢測流程 10 防御計算機病毒措施 1042.6.3 事件驅動的入侵檢測安全檢測方法 10 特征 10 入侵檢測系統(tǒng)分為網(wǎng)絡型和主機型 10 入侵檢測流程 1062.6.4 事件驅動的防火墻安全檢測方法 108

7、 特點 10 防火墻安全檢測流程 1083抑制和根除階段 1113.1 概述 1113.1.1 抑制和根除階段工作內容 1113.1.2 抑制和根除階段工作流程 1123.1.3 抑制和根除階段操作說明 1133.2 拒絕服務類攻擊抑制 1143.2.1 SYN和ICMP拒絕服務攻擊抑制和根除 1 SYN (UDP) -FLOOD 拒絕服務攻擊抑制及根除 1 ICMP-FLOOD 拒絕服務攻擊抑制及根除 1153.2.2 系統(tǒng)漏洞拒絕服務抑制 1 WIN 系統(tǒng)漏洞拒絕服務攻擊抑制及根除 1 U

8、NIX 系統(tǒng)漏洞拒絕服務攻擊抑制及根除 1網(wǎng)絡設備IOS系統(tǒng)漏洞拒絕服務攻擊抑制 1183.3 利用系統(tǒng)漏洞類攻擊抑制 1191.1.1 系統(tǒng)配置漏洞類攻擊抑制 1 簡單口令攻擊類抑制 1 簡單口令攻擊類根除 1191.1.2 系統(tǒng)程序漏洞類攻擊抑制 1 緩沖溢出攻擊類抑制 1 緩沖溢出攻擊類根除 1213.4 網(wǎng)絡欺騙類攻擊抑制與根除 1213.4.1 DNS 欺騙攻擊抑制與根除 1213.4.2 電子郵件欺騙攻擊抑制與根除 1 電子郵件欺騙攻擊抑制 1 電子郵件欺騙

9、攻擊根除 1233.5 網(wǎng)絡竊聽類攻擊抑制及根除 1243.5.1 共享環(huán)境下SNIFFER 攻擊抑制及根除 1 共享環(huán)境下SNIFFER 攻擊抑制及根除 1243.5.2 交換環(huán)境下SNIFFER 攻擊抑制 1 交換環(huán)境下SNIFFER 攻擊抑制 1253.6 數(shù)據(jù)庫 SQL 注入類攻擊抑制與根除 1273.6.1 數(shù)據(jù)庫 SQL 注入類攻擊抑制與根除 12 對于動態(tài)構造SQL 查詢的場合，可以使用下面的技術： 12 用存儲過程來執(zhí)行所有的查詢。 12 限制表單或查詢字符串輸入的長度。 1281283.6.1

10、.4 檢查用戶輸入的合法性，確信輸入的內容只包含合法的數(shù)據(jù)。 將用戶登錄名稱、密碼等數(shù)據(jù)加密保存。 12 檢查提取數(shù)據(jù)的查詢所返回的記錄數(shù)量 12 Sql注入并沒有根除辦法 1293.7 惡意代碼攻擊抑制和根除 1293.7.1 惡意代碼介紹 1293.7.2 惡意代碼抑制和根除 12 惡意代碼抑制方法 12 惡意代碼根除方法 1304恢復階段 1321.1.1 恢復階段工作內容 1321.1.2 恢復階段工作流程 1331.1.3 恢復階段操作說明 1334.2 重裝系統(tǒng) 1344.2.1 重裝系統(tǒng)時的步驟 134

11、4.2.2 重裝系統(tǒng)時的注意事項 1344.3 安全加固及系統(tǒng)初始化 1354.3.1 系統(tǒng)安全加固和安全快照 13 安全加固 13 安全快照 1355跟進階段 1365.1 概述 1365.1.1 跟進階段工作內容 1365.1.2 跟進階段工作流程 1375.1.3 跟進階段操作說明 1375.2 跟進階段的目的和意義 1385.3 跟進階段的報告內容 1386取證流程和工具 1416.1 概述 1416.2 操作說明 1416.3 取證的重要規(guī)則 1426.4 取證流程 1426.5 取證工具 1436.5.1 系統(tǒng)命令 1436.5.2 商業(yè)軟件介紹 1

12、45精品資料前言 制定本文檔的目的是為中國移動提供網(wǎng)絡與信息安全響應工作的技術規(guī)范及指南，本規(guī)范含了一個關于安全攻防的具體技術內容的附件。 本文檔由中國移動通信有限公司網(wǎng)絡部提出并歸口。解釋權歸屬于中國移動通信有限公司網(wǎng)絡部。 本文檔起草單位：中國移動通信有限公司網(wǎng)絡部 本文檔主要起草人：王新旺、蔡洗非、陳敏時、彭泉、劉小云、王亮、余曉敏、周碧波、劉楠、謝朝霞 本文檔解釋單位：中國移動通信有限公司網(wǎng)絡部一、背景隨著我國的互聯(lián)網(wǎng)絡迅猛發(fā)展，互聯(lián)網(wǎng)絡已經(jīng)深入到各行各業(yè)當中，在我國的經(jīng)濟生活中發(fā)揮著日益重要的作用。 中國移動計算機網(wǎng)絡系統(tǒng)作為我國最龐大的網(wǎng)絡系統(tǒng)之一，網(wǎng)絡安全問題的重要性隨著移動業(yè)務

13、的重要性提高而日益凸顯。一直以來，中國移動通信有限公司都在不斷加強網(wǎng)絡安全保護設施，以保證整個網(wǎng)絡的信息安全。近幾年黑客活動日益頻繁，病毒多次爆發(fā)，涉及面廣，危害性大，滲透性深，各類計算機網(wǎng)絡安全事件層出不窮，移動骨干網(wǎng)絡和全國各省分公司計算機信息系統(tǒng)都不同程度地存在爆發(fā)安全危機的隱患。為了提高中國移動網(wǎng)絡安全事件應急響應能力，規(guī)范相關應急響應技術， 中國移動通信有限公司決定起草編寫網(wǎng)絡與信息安全應急響應技術規(guī)范與指南，由技術部門牽頭并提供業(yè)務指導，深圳市安絡科技有限公司提供具體實施的技術配合工作。二、適用范圍本規(guī)范僅適用于中國移動通信有限公司（其中包括各省移動通信有限公司），開展安全事件應急

14、響應工作。本規(guī)范從安全事件應急響應的技術角度，為中國移動提供通用的技術參考和規(guī)范說明。本規(guī)范不包含應急響應管理方面的內容，也未闡述適用中國移動特定的業(yè)務專用應急技術。相關內容應分別在管理規(guī)范和業(yè)務系統(tǒng)的應急預案與連續(xù)性計劃中體現(xiàn)。系統(tǒng)隨著安全事件應急響應技術的不斷發(fā)展，本規(guī)范的相關部分也需要進行相應的調整完善。三、編制依據(jù)本規(guī)范依據(jù)中國移動互聯(lián)網(wǎng)（CMnet ）網(wǎng)絡安全管理辦法2002 版四、閱讀對象本文詳細地分析了計算機及網(wǎng)絡系統(tǒng)面臨的威脅與黑客攻擊方法，詳盡、 具體地披露了攻擊技術的真相，給出了防范策略和技術實現(xiàn)措施。閱讀對象限于中國移動的系統(tǒng)維護人員、安全技術人員和安全評估人員。未經(jīng)授權

15、嚴禁傳播此文檔。五、引用標準RFC 793Transmission Control ProtocolRFC 768User Datagram ProtocolRFC 821Simple Mail Transfer ProtocolRFC 959File Transfer ProtocolRFC 2616Hypertext Transfer ProtocolRFC 792Internet Control Message ProtocalRFC 828Ethernet Address Resolution ProtocolRFC 2196Site Security Handbook六、縮略語CMn

16、et :中國移動互聯(lián)網(wǎng)CMCert/CC :中國移動網(wǎng)絡與信息安全應急小組TCP :Transmission Control ProtocolUDP :User Datagram ProtocolSMTP :Simple Mail Transfer ProtocolHIIP :Hypertext Transfer ProtocolICMP :Internet Control Message ProtocolARP :Ethernet Address Resolution ProtocolFTP :File Transfer Protocol七、安全事件及分類安全事件是有可能損害資產(chǎn)安全屬性（機

17、密性、完整性、可用性）的任何活動。本文所稱安全事件特指由外部和內部的攻擊所引起的危害業(yè)務系統(tǒng)或支撐系統(tǒng)安全并可能引起損失的事件。安全事件可能給企業(yè)帶來可計算的財務損失和公司的信譽損失本文采用兩種分類原則對安全事件進行了分類：基于受攻擊設備的分類原則 （面向中國移動系統(tǒng)維護人員）和基于安全事件原因的分類原則（面向中國移動安全技術人員）。在準備和檢測階段依據(jù)攻擊設備分類原則進行闡述，其他后續(xù)階段依據(jù)安全事件原因進行闡述。基于受攻擊設備分類原則，安全事件分為： 主機設備安全事件 網(wǎng)絡設備安全事件 數(shù)據(jù)庫系統(tǒng)安全事件基于安全事件原因的分類原則，安全事件分為： 拒絕服務類安全事件拒絕服務類安全事件是指由

18、于惡意用戶利用擠占帶寬、消耗系統(tǒng)資源等攻擊方法使系統(tǒng)無法為正常用戶提供服務所引起的安全事件。 系統(tǒng)漏洞類安全事件系統(tǒng)漏洞類安全事件是指由于惡意用戶利用系統(tǒng)的安全漏洞對系統(tǒng)進行未授權的訪問或破壞所引起的安全事件。 網(wǎng)絡欺騙類安全事件網(wǎng)絡欺騙類安全事件是指由于惡意用戶利用發(fā)送虛假電子郵件、建立虛假服務網(wǎng)站、發(fā)送虛假網(wǎng)絡消息等方法對系統(tǒng)或用戶進行未授權的訪問或破壞所引起的安全 事件。 網(wǎng)絡竊聽類安全事件網(wǎng)絡竊聽類安全事件是指由于惡意用戶利用以太網(wǎng)監(jiān)聽、鍵盤記錄等方法獲取未授權的信息或資料所引起的安全事件。 數(shù)據(jù)庫注入類安全事件ligia數(shù)據(jù)庫注入類安全事件是指由于惡意用戶通過提交特殊的參數(shù)從而達到獲

19、取數(shù)據(jù)庫中存儲的數(shù)據(jù)、得到數(shù)據(jù)庫用戶的權限所引起的安全事件。 惡意代碼類安全事件惡意代碼類安全事件是指惡意用戶利用病毒、蠕蟲、特洛伊木馬等其他惡意代碼破壞網(wǎng)絡可用性或竊取網(wǎng)絡中數(shù)據(jù)所引起的安全事件。 操作誤用類安全事件操作誤用類安全事件是指合法用戶由于誤操作造成網(wǎng)絡或系統(tǒng)不能正常提供服務 所引起的安全事件。在上面的分類中可能存在一個具體的安全事件同時屬于幾類的情況，比如，蠕蟲病毒引起的安全事件，就有可能同時屬于拒絕服務類的安全事件，系統(tǒng)漏洞類安全事件， 和惡意代碼類安全事件。此時，應根據(jù)安全事件特征的輕重緩急，來合理的選擇應對的技術措施。仍然以蠕蟲病毒為例，在抑制階段，可能側重采用對抗拒絕服務

20、攻擊的措施，控制蠕蟲傳播，疏通網(wǎng)絡流量，緩解病毒對業(yè)務帶來的壓力。在根除階段采用惡意代碼類安全事件的應對措 施孤立并清除被感染的病毒源。而在恢復階段，主要側重于消除被感染主機存在的安全漏洞， 從而避免再次感染相同的蠕蟲病毒。隨著攻擊手段的增多，安全事件的種類需要不斷補充。八、安全事件應急響應安全事件應急響應是指針對已經(jīng)發(fā)生或可能發(fā)生的安全事件進行監(jiān)控、分析、 協(xié)調、 處理、 保護資產(chǎn)安全屬性的活動。良好的安全事件響應遵循事先制定的流程和技術規(guī)范。本文所指的安全事件應急響應特指對已經(jīng)發(fā)生的安全事件進行分析和處理的過程。安全事件應急響應工作的特點是高度的壓力，短暫的時間和有限的資源。應急響應是一項

21、需要充分的準備并嚴密組織的工作。它必須避免不正確的和可能是災難性的動作或忽略了關鍵步驟的情況發(fā)生。它的大部分工作應該是對各種可能發(fā)生的安全事件制定應急預案，并通過多種形式的應急演練，不斷提高應急預案的實際可操作性。具有必要技能和相當資源的應急響應組織是安全事件響應的保障。參與具體安全事件應急響應的人員應當不僅包括中國移動應急組織的人員，還應包括安全事件涉及到的業(yè)務系統(tǒng)維護人員、設備提供商、集成商和第三方安全應急服務提供人員等，從而保證具有足夠的知識和技能應對當前的安全事件。應急響應除了需要技術方面的技能外，還需要管理能力，相關的法律知識、溝通協(xié)調的技能、寫作技巧、甚至心理學的知識。在系統(tǒng)通常存

22、在各種殘余風險的客觀情況下，應急響應是一個必要的保護策略。同時需要強調的是，盡管有效的應急響應可以在某種程度上彌補安全防護措施的不足，但不可能完全代替安全防護措施。缺乏必要的安全措施，會帶來更多的安全事件，最終造成資源的浪費。安全事件應急響應的目標通常包括：采取緊急措施，恢復業(yè)務到正常服務狀態(tài)；調查安全事件發(fā)生的原因，避免同類安全事件再次發(fā)生；在需要司法機關介入時，提供法律任何的數(shù)字證據(jù)等。在規(guī)范中以安全事件應急響應6 階段（ PDCERF ）方法學為主線介紹安全事件應急響應的過程和具體工作內容。6 階段（ PDCERF ）方法學不是安全事件應急響應唯一的方法，結合中國移動安全事件應急響應工作

23、經(jīng)驗，在實際應急響應過程中，也不一定嚴格存在這6個階段，也不一定嚴格按照6階段的順序進行。但它是目前適用性較強的應急響應的通用方法學。它包括準備、檢測、抑制、根除、恢復和跟進6個階段。6階段方法學的簡要關系見下圖。準備階段：準備階段是安全事件響應的第一個階段，即在事件真正發(fā)生前為事件響應做好準備。這一階段極為重要， 因為事件發(fā)生時可能需要在短時間內處理較多的事物，如果沒有足夠的準備，那么將無法正確的完成響應工作。在準備階段請關注以下信息： 基于威脅建立合理的安全保障措施 建立有針對性的安全事件應急響應預案，并進行應急演練 為安全事件應急響應提供足夠的資源和人員 建立支持事件響應活動管理體系檢測

24、階段：檢測是指以適當?shù)姆椒ù_認在系統(tǒng)/網(wǎng)絡中是否出現(xiàn)了惡意代碼、文件和目錄是否被篡改等異?；顒?/現(xiàn)象。如果可能的話同時確定它的影響范圍和問題原因。在操作 的角度來講，事件響應過程中所有的后續(xù)階段都依賴于檢測，如果沒有檢測，就不會存在真正意義上的事件響應。檢測階段是事件響應的觸發(fā)條件。抑制階段：抑制階段是事件響應的第三個階段，它的目的是限制攻擊/破壞所波及的范圍。同時也是限制潛在的損失。所有的抑制活動都是建立在能正確檢測事件的基礎上，抑制活動必須結合檢測階段發(fā)現(xiàn)的安全事件的現(xiàn)象、性質、范圍等屬性，制定并實施正確的抑制策略。抑制策略可能包含以下內容： 完全關閉所有系統(tǒng)； 從網(wǎng)絡上斷開主機或部分網(wǎng)

25、絡； 修改所有的防火墻和路由器的過濾規(guī)則； 封鎖或刪除被攻擊的登陸賬號； 加強對系統(tǒng)或網(wǎng)絡行為的監(jiān)控； 設置誘餌服務器進一步獲取事件信息； 關閉受攻擊系統(tǒng)或其他相關系統(tǒng)的部分服務；根除階段：安全事件應急響應 6階段方法論的第 4階段是根除階段，即在準確的抑制事件后，找出事件的根源并徹底根除它，以避免攻擊者再次使用相同手段攻擊系統(tǒng)，引發(fā)安全事件。在根除階段中將需要利用到在準備階段中產(chǎn)生的結果?；謴碗A段：將事件的根源根除后， 將進入恢復階段。 恢復階段的目標是把所有被攻破的 系統(tǒng)或網(wǎng)絡設備還原到它們正常的任務狀態(tài)。跟進階段：安全事件應急響應6階段方法論的最后一個階段是跟進階段，其目標是回顧并整合發(fā)

26、生事件的相關信息。跟進階段也是6個階段中最可能被忽略的階段。但這一步也是非常關鍵的。該階段需要完成的原因有以下幾點： 有助于從安全事件中吸取經(jīng)驗教訓，提高技能； 有助于評判應急響應組織的事件響應能力；安全事件應急響應 6階段方法論:九、文檔內容概述本規(guī)范的主要內容是應急響應技術規(guī)范，分別對應急響應流程中每個環(huán)節(jié)所用到的技術進行了闡述。整個文檔由正文和附件兩個文檔組成，其中正文部分以應急響應方法學的六個階段（準備、檢測、抑制、根除、恢復和跟進）為主線順序劃分章節(jié)，并對安全事件響應過 程中涉及的取證流程和工具進行了簡要的說明。附件部分是關于安全攻防的具體技術內容。正文的主要內容是： 第一章，&qu

27、ot;準備階段；主要闡述了準備階段為應急響應后續(xù)階段工作制作系統(tǒng)初始化狀態(tài)快照的相關內容和技術， 并以Windows、Solaris系統(tǒng)為例對安全初始化快照生 成步驟做了詳細的說明， 也闡述了 Windows、Solaris、Oracle等系統(tǒng)的應急處理工 具包包含的內容和制作要求做了詳細的說明。建立安全保障措施、制定安全事件應急預案，進行應急演練等內容不包含在本規(guī)范闡述的范圍之內。 第二章，"檢測階段；詳細闡述了結合準備階段生成的系統(tǒng)初始化狀態(tài)快照檢測安全事件（系統(tǒng)安全事件、網(wǎng)絡安全事件、數(shù)據(jù)庫安全事件）相關內容和技術，并以Windows、Solaris系統(tǒng)為例做了詳細的說明。本規(guī)

28、范不闡述通過入侵檢測系統(tǒng)、用戶投訴等其他途徑檢測安全事件的技術內容。 第三章，"抑制和根除階段”，闡述了各類安全事件（拒絕服務類攻擊、系統(tǒng)漏洞及惡意代碼類攻擊、網(wǎng)絡欺騙類攻擊、網(wǎng)絡竊聽類攻擊、數(shù)據(jù)庫 SQL注入類攻擊）相應的抑制或根除方法和技術,并以Windows、Solaris系統(tǒng)為例做了詳細的說明。 第四章，"恢復階段；說明了將系統(tǒng)恢復到正常的任務狀態(tài)的方式。詳細說明了兩種恢復的方式。一是在應急處理方案中列明所有系統(tǒng)變化的情況下，直接刪除并恢復所有變化。二是在應急處理方案中未列明所有系統(tǒng)變化的情況下，重裝系統(tǒng)。 第五章，"跟進階段；為對抑制或根除的效果進行審計

29、，確認系統(tǒng)沒有被再次入侵提供了幫助。并說明了跟進階段的工作要如何進行、在何時進行比較合適、具體的工作流程、要思考和總結的問題以及需要報告的內容。 第六章，“取證流程和工具”，取證工作提供了可參考的工作流程，并列舉了部分取證工具的使用方法。文檔結構圖:盡管本規(guī)范和指南在寫作之初就做了全局性的規(guī)劃，內容的組織形式不依賴于具體的攻擊情景，事件分類方法具有較完備的覆蓋性，從而可在一定程度上保證文檔內容的穩(wěn)定性。本規(guī)范檔是以應急響應方法學為主線，突出通用的過程。 但由于安全攻擊手段層出不窮，作者寫作時間和水平有限，本規(guī)范和指南還需要在今后結合中國移動的實際情況不斷對其進行補充和完善。1準備階段主要闡述了

30、準備階段為應急響應后續(xù)階段工作制作系統(tǒng)初始化狀態(tài)快照的相關內容和技術，并以 Windows、Solaris系統(tǒng)為例對安全初始化快照生成步驟做了詳細的說明，也闡 述了 Windows、Solaris、Oracle等系統(tǒng)的應急處理工具包包含的內容和制作要求做了詳細 的說明。準備階段還應包括的建立安全保障措施、制定安全事件應急預案，進行應急演練等內容不包含在本規(guī)范闡述的范圍之內，請參考中國移動相關規(guī)范。1.1 概述1.1.1 準備階段工作內容準備階段的工作內容主要有兩個，一是對信息系統(tǒng)進行初始化的快照。二是準備應急響應工具包。系統(tǒng)快照是信息系統(tǒng)進程、賬號、服務端口和關鍵文件簽名等狀態(tài)信息的記錄。通過

31、在系統(tǒng)初始化或發(fā)生重要狀態(tài)改變后，在確保系統(tǒng)未被入侵的前提下， 立即制作并保存系統(tǒng)快照，并在檢測的時候將保存的快照與信息系統(tǒng)當前狀態(tài)進行對比，是發(fā)現(xiàn)安全事件的一種重要途徑。 系統(tǒng)快照系統(tǒng)快照是系統(tǒng)狀態(tài)的精簡化描述。在確保系統(tǒng)未被入侵的前提下，應在以下時機由系統(tǒng)維護人員完成系統(tǒng)快照的生成和保存工作 系統(tǒng)初始化安裝完成后 系統(tǒng)重要配置文件發(fā)生更改后 系統(tǒng)進行軟件升級后 系統(tǒng)發(fā)生過安全入侵事件并恢復后在今后的安全檢測時，通過將最近保存的系統(tǒng)快照與當前系統(tǒng)快照進行仔細的核對，能夠快速、準確的發(fā)現(xiàn)系統(tǒng)的改變或異常。準備階段還應包括建立安全保障措施、對系統(tǒng)進行安全加固，制定安全事件應急預案，

32、進行應急演練等內容。這些內容不在本規(guī)范檔中進行詳細的闡述。主機系統(tǒng)快照，應包括但并不限于以下內容： 系統(tǒng)進程快照； 關鍵文件簽名快照； 開放的對外服務端口快照； 系統(tǒng)資源利用率的快照； 注冊表快照； 計劃任務快照； 系統(tǒng)賬號快照； 日志及審核策略快照。以上內容中的系統(tǒng)進程快照、關鍵文件簽名和系統(tǒng)賬號快照尤為重要，一般入侵事件均可通過此三項快照的關聯(lián)分析查找獲得重要信息。網(wǎng)絡設備快照應包括但并不限于以下內容： 路由快照； 設備賬號快照； 系統(tǒng)資源利用率快照；數(shù)據(jù)庫系統(tǒng)快照照應包括但并不限于以下內容： 開啟的服務 所有用戶及所具有的角色及權限 概要文件 數(shù)據(jù)庫參數(shù) 所有初始化參數(shù) 應

33、急響應工具包應急工具包是指網(wǎng)絡與信息安全應急事件處理過程中將使用工具集合。該工具包應由安全技術人員及時建立，并定時更新。使用應急響應工具包中的工具所產(chǎn)生的結果將是網(wǎng)絡與信息安全應急事件處理過程中的可信基礎。本規(guī)范結合中國移動實際工作情況，具體說明了Windows應急響應工具包和 Unix/Linux應急響應工具包。工具包應盡量放置在不可更改的 介質上，如只讀光盤。1.1.2 準備階段工作流程第一步：系統(tǒng)維護人員按照系統(tǒng)的初始化策略對系統(tǒng)進行安裝和配置加固第二步：系統(tǒng)維護人員對安裝和配置加固后的系統(tǒng)進行自我檢查，確認是否加固完成第三步：系統(tǒng)維護人員建立系統(tǒng)狀態(tài)快照第四步：系統(tǒng)維護人員對快照信息進

34、行完整性簽名，以防止快照被非法篡改第五步：系統(tǒng)維護人員將快照保存在與系統(tǒng)分離的存儲介質上準備階段流程圖:對系統(tǒng)進行安裝和配置加固自我檢查，確認是否加固完成建立和保存系統(tǒng)狀態(tài)快照對快照進行完整性簽名快照保存1.1.3 準備階段操作說明1）對系統(tǒng)的影響：本章操作不會對系統(tǒng)造成影響，在系統(tǒng)正常運行情況下執(zhí)行各個步驟;2）操作的復雜度（容易/普通/復雜/）:容易；3）操作效果：對執(zhí)行后的結果必須保存到不可更改的存儲介質；4）操作人員：各操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡設備的系統(tǒng)維護人員1.2主機和網(wǎng)絡設備安全初始化快照1、Windows安全初始化快照 生成帳號快照； 生成進程快照； 生成服務快照； 生成自啟動快

35、照； 生成文件簽名快照； 生成網(wǎng)絡連接快照； 生成共享快照； 生成定時作業(yè)快照； 生成注冊表快照； 保存所有快照到光盤內2、Unix安全初始化快照 獲得所有setuid和setgid的文件列表； 獲得所有的隱藏文件列表； 獲得初始化進程列表； 獲得開放的端口列表 獲得開放的服務列表； 獲得初始化passwd文件信息； 獲得初始化shadow文件信息； 獲得初始化的不能ftp登陸的用戶信息； 獲得初始化的用戶組信息； 獲得初始化的/etc/hosts文件信息； 獲得初始化的/etc/default/login 文件信息； 獲得/var/log目錄下的初始化文件列表信息； 獲得/var/adm目錄

36、下的初始化文件列表信息; 獲得初始化計劃任務列表文件; 獲得初始化加載的內核模塊列表； 獲得初始化日志配置文件 /etc/syslog.conf信息; 獲得初始化md5校驗和信息； 保存所有快照到光盤內。3、網(wǎng)絡設備安全初始化快照 獲取用戶訪問線路列表； 獲取用戶權限信息列表； 獲取開放端口列表； 獲取路由表； 獲取訪問控制列表； 獲取路由器CPU狀態(tài)； 保存所有信息到光盤內。4、數(shù)據(jù)庫安全初始化快照 獲取Oracle數(shù)據(jù)庫用戶信息； 獲取DEFAULT概要文件信息； 獲取數(shù)據(jù)庫參數(shù)信息； 獲取Oracle其他初始化參數(shù)信息； 保存所有信息到光盤內。5、安全加固及系統(tǒng)備份1.2.1 Windo

37、ws 安全初始化快照1 、獲取帳號信息：說明： Windows 2000 Server 缺省安裝后有五個帳號，其中兩個帳號是IIS 帳號，一個是安裝了終端服務的終端用戶帳號，如果系統(tǒng)維護人員自己創(chuàng)建了帳號，也要記錄在案。操作方法：使用net user 命令（ Windows 系統(tǒng)自帶）可以列舉出系統(tǒng)當前帳號。附加信息：Windows 2000 Server 缺省安裝后的五個帳號名稱：Administrator ：默認系統(tǒng)維護人員帳號Guest ：來賓用戶帳號IUSR_機器名：IIS來賓帳號IWAM_機器名：啟動IIS的進程帳號TsInternetUser ：終端用戶帳號2、獲取進程列表：說明：

38、系統(tǒng)維護人員應在系統(tǒng)安裝配置完成后對系統(tǒng)進程做快照。操作方法：通過使用pslist 命令 （第三方工具， 下載 ），能夠列舉當前進程建立快照。使用 Widnows 任務管理器（Windows 系統(tǒng)自帶）也可以列舉出當前進程，但推薦使用pslist 工具。附加信息：請參見附錄1 察看 Windows 2000 Server 系統(tǒng)進程名及對應功能。3、獲取服務列表：說明：系統(tǒng)維護人員應在系統(tǒng)安裝配置完成后對系統(tǒng)服務做服務快照。操作方法：使用sc query state= all 命令格式（Windows 資源工具箱中的工具）可以列舉出系統(tǒng)當前服務信息。附加信息：請參見附錄2 察看 Windows

39、2000 Server 系統(tǒng)服務。4、獲取自啟動程序信息：說明： Windows 2000 Server 缺省安裝后并無自啟動項目。如果系統(tǒng)維護人員自己安裝了某些軟件，比如Office ，打印機等等，缺省情況下將被添加到自啟動目錄中。操作方法：檢查各用戶目錄下的“開始菜單程序 啟動”目錄5、獲取系統(tǒng)關鍵文件簽名：說明： Windows 2000 Server 缺省安裝后，系統(tǒng)維護人員應利用md5sum 工具，對系統(tǒng)重要文件生成系統(tǒng)MD5 快照，然后將這些簽名信息保存在安全的服務器上，以后可做文件對比。操作方法：使用md5sum.exe命令（第三方工具， 下載）可對系統(tǒng)文件進行MD5 快照。使用

40、方法：md5sum FILE. （后面可跟多個文件）。附加信息：建議用戶對以下二進制文件和動態(tài)連接庫文件進行MD5SUM 快照。#windirEXPLORER.EXE#windirREGEDIT.EXE#windirNOTEPAD.EXE#windirTASKMAN.EXE#windirsystem32cmd.exe#windirsystem32ftp.exe#windirsystem32tftp.exe#windirsystem32at.exe#windirsystem32netstat.exe#windirsystem32ipconfig.exe#windirsystem32arp.exe

41、#windirsystem32KRNL386.EXE#windirsystem32WINLOGON.EXE#windirsystem32TASKMGR.EXE#windirsystem32runonce.exe#windirsystem32rundll32.exe#windirsystem32regedt32.exe#windirsystem32notepad.exe#windirsystem32CMD.EXE#windirsystemCOMMDLG.DLL#windirsystem32HAL.DLL#windirsystem32MSGINA.DLL#windirsystem32WSHTCPI

42、P.DLL#windirsystem32TCPCFG.DLL#windirsystem32EVENTLOG.DLL#windirsystem32COMMDLG.DLL#windirsystem32COMDLG32.DLL#windirsystem32COMCTL32.DLL6、獲取網(wǎng)絡連接信息：說 明 ： Windows2000 缺 省 情 況 下 系 統(tǒng) 開 放 135/139/445/1025 TCP 端 口 ， 開 放137/138/445UDP 端口。如果安裝了MS SQL 服務器，還開放TCP1433/UDP1434 端口，如果安裝了IIS 服務器還將開放TCP80 端口。操作方法：

43、使用 netstat -an命令可以列舉出當前系統(tǒng)開放的TCP/UDP端口。附加信息：建議使用netstat -an命令（Windows系統(tǒng)自帶）快照出系統(tǒng)開放端口和正常連接。7、獲取共享信息：說明：Windows 2000Server缺省情況下開放各磁盤共享，如 C$ ,遠程管理共享（admin$） 和遠程 IPC 共享 （IPC$） ，如果用戶另外打開了其它目錄文件的共享，請記錄在案。操作方法：使用net share 命令（ Windows 系統(tǒng)自帶）建立共享快照。附加信息：Windows 2000Server 缺省共享共享名資源注釋D$D:默認共享ADMIN$D:WINNT遠程管理C$C

44、:默認共享IPC$遠程IPC8、獲取定時作業(yè)信息：說明： Windows 2000 Server 缺省安裝后并無定時作業(yè)。如果系統(tǒng)維護人員自己設置了某些軟件，請記錄在案。建議系統(tǒng)維護人員使用at 命令建立定時作業(yè)快照。操作方法：使用at 命令（ Windows 系統(tǒng)自帶）建立定時作業(yè)快照。附加信息：無9、獲取注冊表信息：說明：在對Windows 2000 Server 安裝了必要的軟件后,可對注冊表關鍵鍵值進行快照，供以后在檢測時進行注冊表對比。操作方法：使用regdmp 命令（ Windows 資源工具箱）可以對注冊表進行快照。附加信息：可以進行注冊表快照有多種方法，例如使用第三方軟件，比如

45、 Regshot 、 Regsnap等。在Windows 注冊表編輯器中也可以對注冊表進行備份和快照。另外，微軟的資源工具箱中的regdmp 命令也可以用來進行注冊表快照工作。直接在命令下運行該命令及需要備份的鍵值即可，比如： C:toolsMS>regdmpHKEY_LOCAL_MACHINESOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN建議系統(tǒng)維護人員對下面的關鍵鍵值進行快照。HKEY_LOCAL_MACHINESSystemCurrentControlSetControlSessionManagerKnownDLLsHKEY_LOCAL_MACH

46、INESSystemControlSet001ControlSessionManager KnownDLLsHKEY_LOCAL_MACHINESSoftwareMicrsoftWindowsCurrentVersionRunHKEY_LOCAL_MACHINESSoftwareMicrsoftWindowsCurrentVersionRunOnceHKEY_LOCAL_MACHINESSoftwareMicrsoftWindowsCurrentVersionRunOnceExHKEY_LOCAL_MACHINESSoftwareMicrsoftWindowsCurrentVersionRun

47、ServicesHKEY_LOCAL_MACHINESSoftwareMicrsoftWindowsNTCurrentVersionWindows(“ run= ” line)HKEY_LOCAL_MACHINESsamsamHKEY_CURRENT_USERSoftwareMicrsoftWindowsCurrentVersionRunHKEY_CURRENT_USER SoftwareMicrsoftWindowsCurrentVersionRunOnceHKEY_CURRENT_USER SoftwareMicrsoftWindowsCurrentVersionRunOnceExHKEY

48、_CURRENT_USER SoftwareMicrsoftWindowsCurrentVersionRunServicesHKEY_CURRENT_USERSoftwareMicrsoftWindowsNTCurrentVersionWindows( “ run= ” line)1.2.2 Unix 安全初始化快照 Solaris 安全初始化快照以 Solaris8 為例：1 、獲取所有setuid 和 setgid 的文件列表命令：# find / -type f ( -perm -04000 -o -perm -02000 )-print查找系統(tǒng)中所有的帶有suid 位和

49、sgid 位的文件2、獲取所有的隱藏文件列表命令：# find / -name ".*"-print查找所有以”.”開頭的文件并打印出路徑3、獲取初始化進程列表命令：# ps -ef說明：UID:進程所有者的用戶idPID:進程 idPPID: 父進程的進程idC:CPU 占用率STIME: 以小時、分和秒表示的進程啟動時間TIME: 進程自從啟動以后占用CPU 的全部時間CMD: 生成進程的命令名4、獲取開放的端口列表命令：# netstat -an5、獲取開放的服務列表命令: # cat /etc/inetd.conf具體內容請參見附錄6： Solaris 的 inet

50、d.conf 初始化主要內容6、獲取初始化passwd 文件信息命令: # cat /etc/passwd說明 : 如果發(fā)現(xiàn)一些系統(tǒng)賬號(如bin, sys) 加上了 shell 部分， 就說明有問題, 下面是正常的passwd 文件， bin、 sys、 adm 等系統(tǒng)帳號沒有shell.bin:x:2:2:/usr/bin: sys:x:3:3:/:adm:x:4:4:Admin:/var/adm:7、獲取初始化shadow 文件信息命令 : # cat /etc/shadow說明 : 如果發(fā)現(xiàn)一些系統(tǒng)賬號的密碼被更改了, 或者不可登錄的用戶有密碼了, 就說明該賬號可能有問題了。sys:

51、CVLoXsQvCgK62:6445:adm: CVLoXsQvCgK62:6445:8、獲取初始化的不能ftp 登陸的用戶信息命令 : # cat ftpusers說明 : 在這個列表里邊的用戶名是不允許ftp 登陸的。 如果列表改變了，有可能是被入侵者改動過。root daemon bin sys adm lp uucp nuucp listennobody noaccessnobody49、獲取初始化的用戶組信息命令: # cat /etc/group說明: 這是系統(tǒng)用戶的分組情況root:0:rootother:1:bin:2:root,bin,daemonsys:3:root,bin

52、,sys,admadm:4:root,adm,daemonuucp:5:root,uucpmail:6:roottty:7:root,tty,admlp:8:root,lp,admnuucp:9:root,nuucpstaff:10:daemon:12:root,daemonsysadmin:14:nobody:60001:noaccess:60002:nogroup:65534:10 、獲取初始化的/etc/hosts 文件信息命令 : # cat hosts# Internet host table#localhost80 Solaris8x86 loghost11 、獲取初始化的/etc/default/login 文件信息命令: # cat /etc/default/login說明: 這里是用戶登陸的配置文件的一部分，如控制root 能否從控制臺以外的地方登陸#ident "(#)login.dfl 1.1099/08/04 SMI" /* SVr4.0 */# Set the TZ environment variable of the shell.#TIMEZONE=EST5EDT# ULIMIT sets the file size limit for the login. Uni