應(yīng)急響應(yīng)流程

精選優(yōu)質(zhì)文檔-----傾情為你奉上精選優(yōu)質(zhì)文檔-----傾情為你奉上專心---專注---專業(yè)專心---專注---專業(yè)精選優(yōu)質(zhì)文檔-----傾情為你奉上專心---專注---專業(yè)應(yīng)急響應(yīng)流程不管我們事前做了多么周密的工作去評(píng)估風(fēng)險(xiǎn)和加固系統(tǒng)，攻擊者可能還是會(huì)在某個(gè)凌晨偷偷潛入我們的系統(tǒng)更改掉我們的系統(tǒng)文件，面對(duì)攻擊者的攻擊早早的計(jì)劃出對(duì)策是非常重要的，如果等到攻擊者實(shí)施完攻擊后我們才開始想應(yīng)該如何應(yīng)對(duì)的話，可能會(huì)手忙腳亂的把事情弄得一團(tuán)糟糕。為了有效應(yīng)對(duì)相關(guān)安全事件，我們根據(jù)經(jīng)典的應(yīng)急事件處理流程PDCERF制定了相應(yīng)的應(yīng)急響應(yīng)流程。PDCERF是國(guó)際上對(duì)應(yīng)急響應(yīng)的一個(gè)標(biāo)準(zhǔn)流程，即準(zhǔn)備（策略、防御、程序、人員、工具、基礎(chǔ)設(shè)施、資金）、檢測(cè)（檢測(cè)、調(diào)查、評(píng)價(jià)、報(bào)告、決策）、抑制（安全域（地理/層次/人機(jī)/業(yè)務(wù)）、邊界控制）、根除（定位、對(duì)癥下藥、副作用）、恢復(fù)（數(shù)據(jù)恢復(fù)、狀態(tài)恢復(fù)、行為恢復(fù)、環(huán)境恢復(fù)）、跟蹤（追究責(zé)任、改進(jìn)）。P準(zhǔn)備1.每個(gè)管理員所維護(hù)的網(wǎng)絡(luò)系統(tǒng)都會(huì)由特定的軟件和硬件組成，那么定期登陸這些軟硬件設(shè)備的廠商站點(diǎn)去查看是否目前有新的安全漏洞補(bǔ)丁或者是安全警告非常必要，至少應(yīng)該保證一個(gè)星期查看一次，也可以選擇訂閱廠家的更新郵件列表。2.每星期登陸一次國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心查看安全公告內(nèi)容，對(duì)于安全警告信息確認(rèn)分析，如果所管理網(wǎng)絡(luò)存在警報(bào)中安全問題，應(yīng)及時(shí)安裝從站點(diǎn)下載的補(bǔ)丁。3.在本組織內(nèi)部制作一個(gè)信息安全相關(guān)的發(fā)布頁面，親自負(fù)責(zé)來維護(hù)信息發(fā)布，定期發(fā)布安全預(yù)警信息和安全維護(hù)文章，對(duì)于常用的殺毒軟件等安全工具也應(yīng)該提供下載，做到每一個(gè)新員工加入后可以通過這個(gè)站點(diǎn)獲取到全部所需要的軟件和安全規(guī)定和相關(guān)知識(shí)技巧。4.針對(duì)近三年來蠕蟲病毒攻擊分析后，內(nèi)部網(wǎng)絡(luò)大量的WINDOWS平臺(tái)個(gè)人計(jì)算機(jī)是很大的安全隱患，管理員應(yīng)該提供一篇WINDOWS主機(jī)的安全配置方面文章，群發(fā)給普通用戶進(jìn)行安全配置，必要時(shí)提供一次統(tǒng)一的相關(guān)操作培訓(xùn)。5.每月定期采用掃描軟件對(duì)服務(wù)器進(jìn)行安全評(píng)估工作，認(rèn)真分析安全風(fēng)險(xiǎn)報(bào)告，每當(dāng)升級(jí)新的安全漏洞資料后，設(shè)置僅僅掃描新填風(fēng)險(xiǎn)對(duì)所管理網(wǎng)絡(luò)進(jìn)行全掃描，分析結(jié)果。6.在內(nèi)部進(jìn)行全面的IP地址和員工姓名，所在地理位置，使用情況，員工郵件地址統(tǒng)計(jì)，建立標(biāo)準(zhǔn)電子檔案，不推薦使用DHCP方式分配IP地址。如果設(shè)備支持可以在桌面交換機(jī)上進(jìn)行IP、MAC地址與物理端口限定的方法，防止IP地址盜用。7.對(duì)于服務(wù)器群業(yè)務(wù)主機(jī)建立IP地址，服務(wù)器名稱，運(yùn)行業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)維護(hù)人員、業(yè)務(wù)管理使用人員相關(guān)聯(lián)名單。8.定期在組織內(nèi)部舉辦網(wǎng)絡(luò)安全相關(guān)的知識(shí)培訓(xùn)講座，可以從本企業(yè)的安全承包商中邀請(qǐng)一些熟悉安全技術(shù)的人進(jìn)行講座。9.對(duì)于重要服務(wù)器系統(tǒng)進(jìn)行必要的安全加固工作，在加固完成后進(jìn)行系統(tǒng)快照保存相關(guān)數(shù)據(jù)以備日后分析。10.安全管理員準(zhǔn)備應(yīng)急工具包，內(nèi)容是指網(wǎng)絡(luò)與信息安全應(yīng)急事件處理過程中將使用工具集合。該工具包應(yīng)由安全技術(shù)人員及時(shí)建立，并定時(shí)更新。使用應(yīng)急響應(yīng)工具包中的工具所產(chǎn)生的結(jié)果將是網(wǎng)絡(luò)與信息安全應(yīng)急事件處理過程中的可信基礎(chǔ)。D檢測(cè)1.在系統(tǒng)中部署入侵檢測(cè)設(shè)備到整個(gè)系統(tǒng)中，安全管理員保證定期登陸入侵檢測(cè)系統(tǒng)查看相關(guān)的告警信息并進(jìn)行必要的事件排查與處理。2.網(wǎng)絡(luò)內(nèi)部配置一臺(tái)專門的日志收集服務(wù)器，將企業(yè)網(wǎng)絡(luò)內(nèi)部的安全產(chǎn)品和網(wǎng)絡(luò)設(shè)備的安全性相關(guān)告警信息統(tǒng)一發(fā)送給日志收集服務(wù)器進(jìn)行報(bào)警顯示。安全管理員每天上班或下班前定時(shí)查看該服務(wù)器的的安全報(bào)警信息。3.利用PING命令或者SNMP、NETFLOW協(xié)議監(jiān)控網(wǎng)絡(luò)設(shè)備端口工作狀態(tài)、整體流量和連通性等健康狀態(tài)，實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)訪問流量，當(dāng)發(fā)現(xiàn)異常網(wǎng)絡(luò)訪問流量時(shí)，馬上報(bào)警。對(duì)于外網(wǎng)防火墻到DMZ區(qū)域交換機(jī)進(jìn)行端口流量監(jiān)控，當(dāng)流量一旦超過了當(dāng)前接入帶寬上限流量的時(shí)候，需要及時(shí)發(fā)現(xiàn)情況。4.當(dāng)流量出現(xiàn)異常的時(shí)候，需要借助各種分析工具例如前面章節(jié)所介紹的SNIFFER等參與到事件的整體分析中。5.定期針對(duì)系統(tǒng)的各種日志進(jìn)行分析，查看是否存在異常情況。C抑制和E根除階段1.當(dāng)攻擊流量不大的時(shí)候，在防火墻，交換機(jī)、路由器上針對(duì)各種危險(xiǎn)的訪問行為進(jìn)行訪問控制列表或者黑洞路由方式進(jìn)行設(shè)置。2.當(dāng)攻擊流量過大超過目前租用線路上限數(shù)值時(shí)，及時(shí)聯(lián)系ISP在上層路由器中進(jìn)行封堵。3.對(duì)系統(tǒng)當(dāng)前狀態(tài)進(jìn)行快照分析，對(duì)比以往系統(tǒng)快照結(jié)果分析查找問題。4.系統(tǒng)當(dāng)前進(jìn)程分析，查看相關(guān)開放端口。5.各種日志收集分析軟件和方法。6.評(píng)估類的工具軟件進(jìn)行自我評(píng)估主動(dòng)發(fā)現(xiàn)問題，查找攻擊者可能利用的攻擊弱點(diǎn)。R恢復(fù)恢復(fù)階段是指通過采取一系列的步驟將系統(tǒng)恢復(fù)到正常業(yè)務(wù)狀態(tài)。尤其是與各個(gè)業(yè)務(wù)系統(tǒng)實(shí)際情況相結(jié)合的部分，恢復(fù)的方式包含兩種。一是在應(yīng)急處理方案中列明所有系統(tǒng)變化的情況下，直接刪除并恢復(fù)所有變化。二是在應(yīng)急處理方案中未列明所有系統(tǒng)變化的情況下，重裝系統(tǒng)。本部分的主要內(nèi)容是將系統(tǒng)恢復(fù)到正常的任務(wù)狀態(tài)。在系統(tǒng)遭到入侵后，攻擊者一定會(huì)對(duì)入侵的系統(tǒng)進(jìn)行更改。同時(shí)，攻擊者還會(huì)想盡各種辦法使這種修改不被系統(tǒng)維護(hù)人員發(fā)現(xiàn)。從而達(dá)到隱藏自己的目的。在根除階段能徹底恢復(fù)配置和清除系統(tǒng)上的惡意文件，并且能夠確定系統(tǒng)經(jīng)過根除已經(jīng)完全將系統(tǒng)的所有變化根除的情況下，可以通過直接恢復(fù)業(yè)務(wù)系統(tǒng)的方式來恢復(fù)系統(tǒng)。這種恢復(fù)方式的優(yōu)點(diǎn)是時(shí)間短、系統(tǒng)恢復(fù)快、系統(tǒng)維護(hù)人員工作量小和對(duì)業(yè)務(wù)的影響較小。在根除階段不能徹底恢復(fù)配置和清除系統(tǒng)上的惡意文件或不能肯定系統(tǒng)是否經(jīng)過根除后已干凈時(shí)，那么就一定要徹底的重裝系統(tǒng)。系統(tǒng)重裝往往是系統(tǒng)最可靠的系統(tǒng)恢復(fù)手段。F跟蹤1.從安全事件中吸取經(jīng)驗(yàn)教訓(xùn)非常關(guān)鍵，不停的自我完善的防護(hù)體系和策略才是最好的安全設(shè)計(jì)思路。2.將每一次安全事故的表現(xiàn)和處理步驟發(fā)布在內(nèi)部的信息安全發(fā)布站點(diǎn)上，方便以后內(nèi)部出現(xiàn)同樣攻擊事件后處理。3.對(duì)于內(nèi)部需要改善和作出調(diào)整的安全配置在內(nèi)部網(wǎng)絡(luò)中即使發(fā)布更新策略。4.如果可以確定攻擊者的來源IP地址，在網(wǎng)關(guān)防火墻上將來源IP地址段及時(shí)封堵，例如垃圾郵件的發(fā)送者等等。跟進(jìn)階段是應(yīng)急響應(yīng)的最后一個(gè)階段，本部分的內(nèi)容主要是對(duì)抑制或根除的效果進(jìn)行審計(jì)，確認(rèn)系統(tǒng)沒有被再次入侵。下面將詳細(xì)說明跟進(jìn)階段的工作要如何進(jìn)行、在何時(shí)進(jìn)行比較合適、具體的工作流程、要思考和總結(jié)的問題以及需要報(bào)告的內(nèi)容。跟進(jìn)階段的主要任務(wù)是確認(rèn)系統(tǒng)有沒有被再入侵，確認(rèn)系統(tǒng)有沒有被再入侵是通過對(duì)抑制或根除的效果進(jìn)行審計(jì)完成的。這種審計(jì)是一個(gè)需要定期進(jìn)行的過程。通常，第一次審計(jì)應(yīng)該在一定期限之內(nèi)進(jìn)行，以后再進(jìn)行復(fù)查。并輸出跟進(jìn)階段的報(bào)告內(nèi)容，包括安全事件的類型、時(shí)間、檢測(cè)方法、抑制方法、根除方法、事件影響范圍等。要在跟進(jìn)階段報(bào)告中詳細(xì)記錄這些內(nèi)容。跟進(jìn)階段還需對(duì)事件處理情況進(jìn)行總結(jié)，吸取經(jīng)驗(yàn)教訓(xùn)，對(duì)已有安全防護(hù)措施和安全事件應(yīng)急