信息系統(tǒng)安全應(yīng)急響應(yīng)處置

介紹樊運(yùn)安協(xié)會(huì)專家組成員CISSP

CISP

COBIT

ITIL應(yīng)急響應(yīng)體系應(yīng)急響應(yīng)案例其他目錄應(yīng)急響應(yīng)定義1應(yīng)急響應(yīng)（Emergency

response）組織為了應(yīng)對(duì)突發(fā)/重大信息安全事件的發(fā)生所做的準(zhǔn)備，已及在事件發(fā)生后所采取的的措施?！ㄐ畔踩珣?yīng)急響應(yīng)計(jì)劃規(guī)范GB/T24363-2009

）應(yīng)急響應(yīng)的定義2應(yīng)急響應(yīng)通常是指一個(gè)組織為了應(yīng)對(duì)各種意外事件的發(fā)生所做的準(zhǔn)備以及在事件發(fā)生后所采取的措施。信息系統(tǒng)安全事件應(yīng)急響應(yīng)的對(duì)象是指針對(duì)信息系統(tǒng)所存儲(chǔ)、傳輸、處理的信息的安全事件。事件的主體可能來自自然界、系統(tǒng)自身故障、組織內(nèi)部或外部的人為攻擊等。按照信息系統(tǒng)安全的三個(gè)特性，可以把安全事件定義為破壞信息或信息處理系統(tǒng)

CIA

的行為，即破壞保密性的安全事件、破壞完整性的安全事件和破壞可用性的安全事件等。 ——（信息系統(tǒng)等保體系框架GA/T 708-2007

）信息安全響應(yīng)的定義3信息安全應(yīng)急響應(yīng)是指在計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)上的威脅安全的事件發(fā)生后采取的措施和行動(dòng)。這些措施和行動(dòng)通常是用來減小和阻止事件帶來的負(fù)面影響和破壞的后果。信息安全應(yīng)急響應(yīng)是解決網(wǎng)絡(luò)系統(tǒng)安全問題的有效安全服務(wù)手段之一。應(yīng)急處置定義應(yīng)急處置啟動(dòng)應(yīng)急響應(yīng)計(jì)劃后，應(yīng)立即采取相關(guān)措施抑制信息安全事件影響，避免造成更大損失。在確定有效控制了信息安全事件影響后，開始實(shí)施恢復(fù)操作?；謴?fù)階段的行動(dòng)集中于建立臨時(shí)業(yè)務(wù)處理能力、修復(fù)原系統(tǒng)的損害、在原系統(tǒng)或新設(shè)施中恢復(fù)運(yùn)行業(yè)務(wù)能力等應(yīng)急措施。——（信息安全應(yīng)急響應(yīng)計(jì)劃規(guī)范GB/T 24363-2009

）信息安全應(yīng)急響應(yīng)產(chǎn)生的背景MorrisWorm1988年Morris

蠕蟲病毒事件爆發(fā)后，世界上第一個(gè)應(yīng)急響應(yīng)組織成立----CERT/CCCNCERT/CC的職能CNCERT/CC(國(guó)家互聯(lián)網(wǎng)應(yīng)急中心)作為國(guó)家級(jí)應(yīng)急組織，主要業(yè)務(wù)包括如下：我國(guó)信息安全應(yīng)急響應(yīng)管理體系信息安全應(yīng)急響應(yīng)法規(guī)標(biāo)準(zhǔn)信息安全應(yīng)急響應(yīng)要求—信息安全等級(jí)保護(hù)應(yīng)在統(tǒng)一的應(yīng)急預(yù)案框架下制定不同事件的應(yīng)急預(yù)案，應(yīng)急預(yù)案框架應(yīng)包括啟動(dòng)應(yīng)急預(yù)案的條件、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程、事后教育和培訓(xùn)等內(nèi)容；應(yīng)從人力、設(shè)備、技術(shù)和財(cái)務(wù)等方面確保應(yīng)急預(yù)案的執(zhí)行有足夠的資源保障；應(yīng)急預(yù)案管理c)

應(yīng)對(duì)系統(tǒng)相關(guān)的人員進(jìn)行應(yīng)急預(yù)案培訓(xùn)，應(yīng)急預(yù)案的培訓(xùn)應(yīng)至少每年舉辦一次；應(yīng)定期對(duì)應(yīng)急預(yù)案進(jìn)行演練，根據(jù)不同的應(yīng)急恢復(fù)內(nèi)容，確定演練應(yīng)規(guī)定應(yīng)急預(yù)案需要定期審查和根據(jù)實(shí)際情況更新的內(nèi)容，并按照?qǐng)?zhí)d)的周期；e)行。

a)應(yīng)報(bào)告所發(fā)現(xiàn)的安全弱點(diǎn)和可疑事件，但任何情況下用戶均不應(yīng)嘗試驗(yàn)證弱點(diǎn)；b)

應(yīng)制定安全事件報(bào)告和處置管理制度，明確安全事件的類型，規(guī)定安全事件的現(xiàn)場(chǎng)處理、事件報(bào)告和后期恢復(fù)的管理職責(zé)；c)

應(yīng)根據(jù)國(guó)家相關(guān)管理部門對(duì)計(jì)算機(jī)安全事件等級(jí)劃分方法和安全事件對(duì)本系統(tǒng)產(chǎn)生的影響，對(duì)本系統(tǒng)計(jì)算機(jī)安全事件進(jìn)行等級(jí)劃分；安全事件處置d)

應(yīng)制定安全事件報(bào)告和響應(yīng)處理程序，確定事件的報(bào)告流程，響應(yīng)和處置的范圍、程度，以及處理方法等；f)

對(duì)造成系統(tǒng)中斷和造成信息泄密的安全事件應(yīng)采用不同的處理程序和報(bào)告程序。應(yīng)急響應(yīng)組織結(jié)構(gòu)組織開展應(yīng)急響應(yīng)工作應(yīng)急響應(yīng)啟動(dòng)條件的決策應(yīng)急響應(yīng)所需資源的協(xié)調(diào)。。。。。。應(yīng)急領(lǐng)導(dǎo)小組應(yīng)急響應(yīng)事件的咨詢應(yīng)急響應(yīng)事件的綜合評(píng)估。。。。。。應(yīng)急事件的處理重要信息系統(tǒng)的業(yè)務(wù)能力恢復(fù)。。。。。。應(yīng)急事件的日常監(jiān)控應(yīng)急事件的響應(yīng)。。。。。。應(yīng)急專家小組應(yīng)急事件技術(shù)能力的支撐技術(shù)資源協(xié)調(diào)。。。。。。應(yīng)急響應(yīng)技術(shù)保障小組應(yīng)急響應(yīng)日常運(yùn)行小組應(yīng)急響應(yīng)實(shí)施小組應(yīng)急事件類型應(yīng)急事件等級(jí)等級(jí)I級(jí)II級(jí)III級(jí)IV級(jí)信息安全事件影響特別嚴(yán)重影響或破壞嚴(yán)重影響或破壞較嚴(yán)重影響或破壞較小影響或破壞事件描述特別重大事件重大事件較大事件一般事件信息系統(tǒng)損害程度特別嚴(yán)重重大較大較小信息安全應(yīng)急響應(yīng)流程信息安全應(yīng)急響應(yīng)流程—準(zhǔn)備階段明確信息系統(tǒng)網(wǎng)絡(luò)與系統(tǒng)架構(gòu)。明確信息系統(tǒng)的管理人員。明確信息系統(tǒng)的保護(hù)要求。計(jì)算損失和影響。分析資產(chǎn)的風(fēng)險(xiǎn)根據(jù)風(fēng)險(xiǎn)建立防御/控制措施。安全管理及安全技術(shù)層面要同時(shí)兼顧。風(fēng)險(xiǎn)加固制定應(yīng)急處理的操作步驟。制定應(yīng)急處理的報(bào)告路線。制定信息系統(tǒng)恢復(fù)的優(yōu)先級(jí)順序。明確配合的人員信息。編制應(yīng)急預(yù)案信息安全應(yīng)急響應(yīng)流程—準(zhǔn)備階段1

）組建管理人員團(tuán)隊(duì)。組建應(yīng)急響應(yīng)團(tuán)隊(duì)

2

）組建技術(shù)人員團(tuán)隊(duì)。明確人員職責(zé)。建立應(yīng)急響應(yīng)組織人員清單。1）信息安全應(yīng)急響應(yīng)專項(xiàng)資金。保障資源儲(chǔ)備

2

）應(yīng)急響應(yīng)所需的軟硬件設(shè)備。3

）社會(huì)關(guān)系資源。網(wǎng)絡(luò)拓?fù)鋱D。信息系統(tǒng)及設(shè)備安裝配置文檔。常見問題處理手冊(cè)。。。。。。。技術(shù)支持資源庫信息安全應(yīng)急響應(yīng)流程—檢測(cè)階段日常運(yùn)維監(jiān)控收集各類故障信息。確認(rèn)信息系統(tǒng)的實(shí)時(shí)運(yùn)行狀況。信息安全事件探測(cè)。確認(rèn)事件給信息系統(tǒng)帶來的影響。確認(rèn)事件給信息系統(tǒng)造成的損害程度。一般事件與應(yīng)急事件的判定。事件判斷事件上報(bào)確認(rèn)應(yīng)急事件類型。確認(rèn)應(yīng)急事件等級(jí)。通知相關(guān)人員。啟動(dòng)應(yīng)急預(yù)案。信息安全應(yīng)急響應(yīng)流程—抑制階段控制事件蔓延采取有效的措施防止事件的進(jìn)一步擴(kuò)大。盡可能減少負(fù)面影響。采取常規(guī)的技術(shù)手段處理應(yīng)急事件。嘗試快速修復(fù)系統(tǒng)，消除應(yīng)急事件帶來的影響。抑制響應(yīng)抑制監(jiān)測(cè)確認(rèn)當(dāng)前的抑制手段是否有效。分析應(yīng)急事件發(fā)生的原因，為根除階段提供解決方案。信息安全應(yīng)急響應(yīng)流程—根除、恢復(fù)階段協(xié)調(diào)各應(yīng)急響應(yīng)小組人員到位。根據(jù)應(yīng)急場(chǎng)景啟動(dòng)相關(guān)預(yù)案。啟動(dòng)應(yīng)急預(yù)案根除監(jiān)測(cè)根據(jù)應(yīng)急預(yù)案的執(zhí)行情況確認(rèn)處置是否有效。嘗試恢復(fù)信息系統(tǒng)的正常運(yùn)行。持續(xù)監(jiān)測(cè)當(dāng)應(yīng)急處置成功后對(duì)應(yīng)急事件持續(xù)監(jiān)測(cè)。確認(rèn)應(yīng)急事件已根除。信息系統(tǒng)運(yùn)行恢復(fù)到正常狀況。信息安全應(yīng)急響應(yīng)流程—事后活動(dòng)階段由應(yīng)急響應(yīng)實(shí)施小組報(bào)告應(yīng)急事件的處置情況。由應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組下達(dá)應(yīng)急響應(yīng)結(jié)束的指令。應(yīng)急響應(yīng)情況報(bào)告應(yīng)急事件調(diào)查應(yīng)急響應(yīng)總結(jié)對(duì)應(yīng)急事件發(fā)生的原因進(jìn)行調(diào)查。評(píng)估應(yīng)急事件對(duì)信息系統(tǒng)造成的損失。評(píng)估應(yīng)急事件對(duì)單位、組織帶來的影響。對(duì)存在的風(fēng)險(xiǎn)點(diǎn)進(jìn)行加固和整改。評(píng)價(jià)應(yīng)急預(yù)案的執(zhí)行情況和后續(xù)改進(jìn)計(jì)劃。對(duì)應(yīng)急響應(yīng)組織成員進(jìn)行評(píng)價(jià)，表彰立功人員。應(yīng)急預(yù)案的定義應(yīng)急預(yù)案是指針對(duì)可能發(fā)生的事故，為迅速、有序地開展應(yīng)急行動(dòng)而預(yù)先制定的行動(dòng)方案。應(yīng)急預(yù)案的類型組織開展應(yīng)急響應(yīng)工作的指導(dǎo)性文件具體類型的安全事件解決方案特定環(huán)境下、特定安全事件的處理方案針對(duì)場(chǎng)景的一次性解決方案應(yīng)急預(yù)案框架一級(jí)目錄 二級(jí)目錄 三級(jí)目錄 四級(jí)目錄 五級(jí)目錄（行業(yè)指引）

（綜合預(yù)案）

（特定系統(tǒng)預(yù)案）

（專題預(yù)案）（技術(shù)資源庫）應(yīng)用系統(tǒng)專項(xiàng)應(yīng)急XX機(jī)房空調(diào)預(yù)案 應(yīng)急預(yù)案主機(jī)系統(tǒng)專項(xiàng)應(yīng)急XX品牌服務(wù)預(yù)案 器應(yīng)急預(yù)案組織開展信息工作指南安全應(yīng)急響應(yīng)

信息安全應(yīng)急綜合預(yù)案XX產(chǎn)品安裝配置文檔XX產(chǎn)品常見問XX品牌網(wǎng)絡(luò)題處理手冊(cè)XX產(chǎn)品問題處網(wǎng)絡(luò)系統(tǒng)專項(xiàng)應(yīng)急

交換機(jī)應(yīng)急預(yù)預(yù)案案理單信息安全專項(xiàng)應(yīng)急 XX品牌防火預(yù)案墻應(yīng)急預(yù)案應(yīng)急預(yù)案的文檔結(jié)構(gòu)應(yīng)急預(yù)案的編制步驟應(yīng)急預(yù)案的啟動(dòng)執(zhí)行過程信息安全應(yīng)急演練流程應(yīng)急響應(yīng)體系應(yīng)急響應(yīng)案例其他目錄知名公共案例知名公共案例-攜程知名公共案例-攜程知名公共案例-OpenSSL知名公共案例-OpenSSL知名公共案例-OpenSSL公司案例案例一：奧帆委網(wǎng)站系統(tǒng)案例二：遺忘密碼案例三：DDOS攻擊應(yīng)急響應(yīng)案例一：奧帆委網(wǎng)站系統(tǒng)2007年6月，奧帆委官方網(wǎng)站感覺異常遠(yuǎn)程測(cè)試發(fā)現(xiàn)站點(diǎn)存在多種漏洞SQL注入繞過安全驗(yàn)證漏洞上傳漏洞已經(jīng)存在多個(gè)木馬Webshell典型注入攻擊-SQL注入SQL注入攻擊原理.

SQL注入（

SQL Injection）：程序員在編寫代碼的時(shí)候，沒有對(duì)用戶輸入數(shù)據(jù)的合法性進(jìn)行判斷，使應(yīng)用程序存在安全隱患。用戶可以提交一段數(shù)據(jù)庫查詢代碼，根據(jù)程序返回的結(jié)果，獲得某些他想得知的數(shù)據(jù)或進(jìn)行數(shù)據(jù)庫操作Web應(yīng)用直接調(diào)用操作系統(tǒng)命令1數(shù)據(jù)庫服務(wù)器2調(diào)用數(shù)據(jù)庫查詢3通過數(shù)據(jù)庫調(diào)用操作系統(tǒng)命令操作系統(tǒng)42TipsSQL注入Webshell后臺(tái)繞過登錄WebshellTips程序員考慮的場(chǎng)景:Username:

adminPassword:

p@$$w0rdSELECT

COUNT(*)FROMWHEREUsersusername="admin"

and

password="p@$$w0rd"管理員/login.asp登錄成功！Tips程序員未預(yù)料到的結(jié)果……攻擊關(guān)鍵.Username:

admin"

OR

1=1

--Password:

1‘是SQL字符串SELECT COUNT(*)變量的定界符--是MS

SQL的注釋符通過定界符成功地將攻擊者的意圖注入到S語QL句中！.

通過注釋保證SQL語句正確！FROMWHEREUsersusername="admin"

OR

1=1 --

"and

password="1"攻擊者/login.asp登錄成功！案例一：奧帆委網(wǎng)站系統(tǒng)案例一：奧帆委網(wǎng)站系統(tǒng)遠(yuǎn)程監(jiān)控案例一：奧帆委網(wǎng)站系統(tǒng)現(xiàn)場(chǎng)值守每日安全日?qǐng)?bào)階段性總結(jié)報(bào)告案例二：遺忘密碼案例二：遺忘密碼案例二：遺忘密碼案例二：遺忘密碼案例二：遺忘密碼案例二：遺忘密碼案例二：遺忘密碼案例三：DDOS攻擊應(yīng)急響應(yīng)描述：某網(wǎng)絡(luò)管理員發(fā)現(xiàn)連續(xù)幾天在晚上18：00時(shí)左右，WEB服務(wù)器網(wǎng)站不能正常訪問。案例三：DDOS攻擊應(yīng)急響應(yīng)事件描述分析：客戶描述根據(jù)客戶描述的情況，WEB服務(wù)無法正常訪問屬于緊急響應(yīng)安全事件網(wǎng)絡(luò)現(xiàn)狀基本信息遠(yuǎn)程訪問該WEB服務(wù)器，無法打開頁面事件基本分析產(chǎn)生的可能性：a.WEB服務(wù)未啟動(dòng) b.主機(jī)網(wǎng)絡(luò)不通 c.病毒問題 d.受到拒絕服務(wù)攻擊 e.防火墻策略更改f.其他原因案例三：DDOS攻擊應(yīng)急響應(yīng)制定方案：到用戶現(xiàn)場(chǎng)進(jìn)行分析

在事件重現(xiàn)前部署監(jiān)控工具，流量分析，協(xié)議分析等

判斷事件類型：維護(hù)問題，病毒，內(nèi)部發(fā)起攻擊，外部發(fā)起攻擊等

判斷受攻擊目標(biāo)：主機(jī)受到攻擊，WEB服務(wù)受到攻擊，網(wǎng)絡(luò)設(shè)備受到攻擊，網(wǎng)絡(luò)帶寬受到攻擊判斷攻擊方法：漏洞型，流量型，混合型案例三：DDOS攻擊應(yīng)急響應(yīng)事件調(diào)查：對(duì)數(shù)據(jù)包進(jìn)行簡(jiǎn)單分析，排除病毒可能，根據(jù)流量分析，局域網(wǎng)流量并不是特別大，網(wǎng)關(guān)處流量非常大，基本排除內(nèi)部向外發(fā)起攻擊可能。從內(nèi)網(wǎng)訪問服務(wù)器正常，以及根據(jù)數(shù)據(jù)包的類型判斷，基本排除主機(jī)或WEB服務(wù)的漏洞攻擊可能。對(duì)收集到的數(shù)據(jù)包的包頭進(jìn)行分析，存在大量的tcp syn包，udp包以及少量icmp包，和未知ip包等。案例三：DDOS攻擊應(yīng)急響應(yīng)SYN Flood攻擊：此種攻擊經(jīng)過抓包分析可以看到，大量的syn請(qǐng)求發(fā)向目標(biāo)地址，而syn包的源地址為大量的隨機(jī)生成的虛假地址。–an命令可以看到大量syn連接，處于syn_received在目標(biāo)主機(jī)上使用netstat狀態(tài)案例三：DDOS攻擊應(yīng)急響應(yīng)如果是單純的tcp synflood攻擊，未達(dá)到限速的情況下，可以使用性能較好的，具有防synflood功能的設(shè)備進(jìn)行防護(hù)。如果是主機(jī)服務(wù)器停止響應(yīng)，需要在網(wǎng)關(guān)或防火墻上對(duì)主機(jī)服務(wù)進(jìn)行“代理”，保護(hù)主機(jī)。此時(shí)網(wǎng)關(guān)或防火墻需要有能力抵抗此類拒絕服務(wù)攻擊。如果攻擊數(shù)據(jù)包是崎型數(shù)據(jù)包，需要網(wǎng)關(guān)或防火墻能抵抗此類拒絕服務(wù)攻擊。如果攻擊數(shù)據(jù)包達(dá)到限速，需要逐級(jí)追查數(shù)據(jù)包的來源。案例三：DDOS攻擊應(yīng)急響應(yīng)對(duì)數(shù)據(jù)包特征進(jìn)行分析，包括來源地址（隨機(jī)），端口，