2024網(wǎng)絡(luò)產(chǎn)品應(yīng)急響應(yīng)安全要求技術(shù)要求_第1頁(yè)
2024網(wǎng)絡(luò)產(chǎn)品應(yīng)急響應(yīng)安全要求技術(shù)要求_第2頁(yè)
2024網(wǎng)絡(luò)產(chǎn)品應(yīng)急響應(yīng)安全要求技術(shù)要求_第3頁(yè)
2024網(wǎng)絡(luò)產(chǎn)品應(yīng)急響應(yīng)安全要求技術(shù)要求_第4頁(yè)
2024網(wǎng)絡(luò)產(chǎn)品應(yīng)急響應(yīng)安全要求技術(shù)要求_第5頁(yè)
已閱讀5頁(yè),還剩9頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

網(wǎng)絡(luò)產(chǎn)品應(yīng)急響應(yīng)安全要求技術(shù)要求目次TOC\o"1-2"\h\u29216前言 Ⅱ23071引言 Ⅲ204251范圍 134662規(guī)范性引用文件 1166363術(shù)語(yǔ)和定義 1178393.1網(wǎng)絡(luò)產(chǎn)品 1273703.2應(yīng)急事件 1286543.3應(yīng)急響應(yīng) 158143.4風(fēng)險(xiǎn)評(píng)估 213014縮略語(yǔ) 2177335技術(shù)支撐框架 26266應(yīng)急事件監(jiān)測(cè)分析 274086.1異常事件監(jiān)測(cè) 2314326.2應(yīng)急響應(yīng)技術(shù)實(shí)施要素監(jiān)測(cè) 3179106.3系統(tǒng)應(yīng)用信息收集 3123467應(yīng)急響應(yīng)技術(shù)保障 3246257.1設(shè)備的技術(shù)保障 3198267.2人員的技術(shù)保障 4291687.3事故上報(bào)通道保障 4216688應(yīng)急事件響應(yīng) 431663附錄A(資料性)網(wǎng)絡(luò)產(chǎn)品應(yīng)急響應(yīng)技術(shù)支撐預(yù)案 627685參考文獻(xiàn) 14TOC\o"1-1"\h\z\u 網(wǎng)絡(luò)產(chǎn)品應(yīng)急響應(yīng)安全要求技術(shù)要求范圍本文件規(guī)定了網(wǎng)絡(luò)產(chǎn)品在實(shí)際運(yùn)行維護(hù)階段應(yīng)滿足的應(yīng)急響應(yīng)安全技術(shù)要求,主要從應(yīng)急事件監(jiān)測(cè)分析、應(yīng)急響應(yīng)技術(shù)保障、應(yīng)急事件響應(yīng)等方面提出針對(duì)使用網(wǎng)絡(luò)產(chǎn)品的實(shí)際運(yùn)行維護(hù)方的安全技術(shù)要求。本文件適用于指導(dǎo)網(wǎng)絡(luò)產(chǎn)品的使用方建立和維護(hù)網(wǎng)絡(luò)產(chǎn)品應(yīng)急響應(yīng)技術(shù)體系,也可為第三方機(jī)構(gòu)開展測(cè)評(píng)時(shí)提供參考。規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中,注日期的引用文件,僅該日期對(duì)應(yīng)的版本適用于本文件;不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。GB/T28827.3信息技術(shù)服務(wù)運(yùn)行維護(hù)第3部分:應(yīng)急響應(yīng)規(guī)范GB/T32914信息安全技術(shù)網(wǎng)絡(luò)安全服務(wù)能力要求GB/T39276-2020信息安全技術(shù)網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全通用要求GB40050-2021網(wǎng)絡(luò)關(guān)鍵設(shè)備安全通用要求GB42250-2022信息安全技術(shù)網(wǎng)絡(luò)安全專用產(chǎn)品安全技術(shù)要求術(shù)語(yǔ)和定義下列術(shù)語(yǔ)和定義適用于本文件。網(wǎng)絡(luò)產(chǎn)品networkproduct作為網(wǎng)絡(luò)組成部分以及實(shí)現(xiàn)網(wǎng)絡(luò)功能的硬件、軟件或系統(tǒng),按照一定的規(guī)則和程序?qū)崿F(xiàn)信息的收集、存儲(chǔ)、傳輸、交換和處理。[來(lái)源:GB/T39276-2020,3.2]應(yīng)急事件emergencyevent導(dǎo)致或即將導(dǎo)致運(yùn)行維護(hù)服務(wù)對(duì)象運(yùn)行中斷、運(yùn)行質(zhì)量降低,以及需要實(shí)施重點(diǎn)時(shí)段保障的事件。[來(lái)源:GB/T28827.3-2012,3.2]應(yīng)急響應(yīng)emergencyresponse組織為預(yù)防、監(jiān)控、處置和管理應(yīng)急事件所采取的措施和活動(dòng)。[來(lái)源:GB/T28827.3-2012,3.3]風(fēng)險(xiǎn)評(píng)估riskassessment特定威脅利用單個(gè)或一組資產(chǎn)脆弱性的可能性以及由此可能給組織帶來(lái)的損害。[來(lái)源:GB/T28827.3-2012,3.2]縮略語(yǔ)下列縮略語(yǔ)適用于本文件。ISP:網(wǎng)絡(luò)業(yè)務(wù)提供商(InternetServiceProvider)IPS:入侵防御系統(tǒng)(IntrusionPreventionSystem)IDS:入侵檢測(cè)系統(tǒng)(IntrusionDetectionSystem)技術(shù)支撐框架在執(zhí)行網(wǎng)絡(luò)產(chǎn)品應(yīng)急響應(yīng)安全管理過(guò)程中,本文提出了一種技術(shù)框架(如圖1所示),主要包含應(yīng)急事件監(jiān)測(cè)分析、應(yīng)急響應(yīng)技術(shù)保障、應(yīng)急事件響應(yīng)等安全技術(shù)要求。圖1網(wǎng)絡(luò)產(chǎn)品應(yīng)急響應(yīng)安全技術(shù)框架應(yīng)急事件監(jiān)測(cè)分析異常事件監(jiān)測(cè)網(wǎng)絡(luò)產(chǎn)品使用方應(yīng)儲(chǔ)備支持監(jiān)測(cè)可疑網(wǎng)絡(luò)流量、業(yè)務(wù)服務(wù)器是否崩潰、訪問(wèn)業(yè)務(wù)健康狀態(tài)、信息系統(tǒng)日志中的可疑配置更改操作、多次失敗登錄、未經(jīng)授權(quán)的對(duì)外網(wǎng)絡(luò)連接、違反訪問(wèn)業(yè)務(wù)安全策略的事件、感染蠕蟲、病毒、惡意軟件等以下監(jiān)測(cè)分析技術(shù)以能夠?qū)崟r(shí)監(jiān)測(cè)網(wǎng)絡(luò)異常事件:應(yīng)支持監(jiān)測(cè)出可疑網(wǎng)絡(luò)流量(如激增的拒絕服務(wù)類流量以及能夠影響網(wǎng)絡(luò)正常運(yùn)行的流量)并產(chǎn)生告警;應(yīng)支持監(jiān)測(cè)業(yè)務(wù)服務(wù)器是否崩潰;應(yīng)支持監(jiān)測(cè)訪問(wèn)業(yè)務(wù)健康狀態(tài);應(yīng)支持監(jiān)測(cè)信息系統(tǒng)日志中的可疑配置更改操作;應(yīng)支持監(jiān)測(cè)針對(duì)網(wǎng)絡(luò)關(guān)鍵設(shè)備或信息系統(tǒng)接入多次失敗登錄等異常操作;應(yīng)支持監(jiān)測(cè)未經(jīng)授權(quán)的對(duì)外網(wǎng)絡(luò)連接;應(yīng)支持監(jiān)測(cè)違反訪問(wèn)業(yè)務(wù)安全策略的事件;應(yīng)支持監(jiān)測(cè)利用已知漏洞攻擊的事件,并發(fā)出告警;宜支持監(jiān)測(cè)被感染蠕蟲、病毒,或其他形式的惡意邏輯命令符,并發(fā)出告警;宜支持監(jiān)測(cè)惡意軟件,對(duì)被懷疑為惡意代碼的軟件組件進(jìn)行分析告警,并確定事件的影響范圍。應(yīng)急響應(yīng)技術(shù)實(shí)施要素監(jiān)測(cè)應(yīng)定期通過(guò)以下技術(shù)手段監(jiān)測(cè)應(yīng)急響應(yīng)技術(shù)實(shí)施要素是否完備:開展風(fēng)險(xiǎn)評(píng)估中風(fēng)險(xiǎn)識(shí)別的脆弱點(diǎn)、風(fēng)險(xiǎn)點(diǎn)是否有缺失,規(guī)避風(fēng)險(xiǎn)的措施是否有效;在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上監(jiān)測(cè)各種信息安全事件發(fā)生時(shí)對(duì)網(wǎng)絡(luò)運(yùn)行環(huán)境可能產(chǎn)生的影響是否全面;在業(yè)務(wù)中斷、系統(tǒng)宕機(jī)、網(wǎng)絡(luò)癱瘓等信息安全事件發(fā)生后應(yīng)急響應(yīng)策略以及處理的技術(shù)手段是否完善;應(yīng)急響應(yīng)所需設(shè)施、工具等是否齊全。系統(tǒng)應(yīng)用信息收集應(yīng)通過(guò)以下技術(shù)手段對(duì)系統(tǒng)應(yīng)用的信息進(jìn)行收集,收集的信息包括應(yīng)收集易變的數(shù)據(jù)、收集持久數(shù)據(jù)、證據(jù)收集過(guò)程日志:應(yīng)收集易變的數(shù)據(jù),最大限度減少對(duì)信息系統(tǒng)的影響,審核易變數(shù)據(jù)可以了解網(wǎng)絡(luò)系統(tǒng)的狀態(tài)和當(dāng)前正在運(yùn)行的進(jìn)程,通常包括各種日志、文件、配置設(shè)置、當(dāng)前/過(guò)去登錄用戶記錄、正在運(yùn)行的進(jìn)程、打開的文件、文件修改或系統(tǒng)設(shè)置(訪問(wèn)控制列表、注冊(cè)表信息和權(quán)限)、捕捉的屏幕快照?qǐng)D像等,以此確定事件的日期、事件和起因;收集持久數(shù)據(jù)同時(shí)要防止網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)被覆蓋。持久數(shù)據(jù)是指網(wǎng)絡(luò)系統(tǒng)硬盤的數(shù)據(jù)和斷電后不會(huì)改變的移動(dòng)存儲(chǔ)介質(zhì)的數(shù)據(jù),包括磁盤映像(文件、隱藏文件、刪除數(shù)據(jù)、閑置空間、交換文件和未分配空間)、精確復(fù)制原始數(shù)據(jù)的過(guò)程;證據(jù)收集過(guò)程日志,包含在證據(jù)收集過(guò)程中所采取的一切行動(dòng)的時(shí)間標(biāo)記記錄。記錄的目的是使過(guò)程得到驗(yàn)證,并確保數(shù)字證書是對(duì)原始數(shù)據(jù)的精確標(biāo)識(shí)。使用合理的取證方法和工具來(lái)捕捉數(shù)據(jù)或證據(jù),可以避免或減少證據(jù)被污染的情況。獲取、保存、分析信息系統(tǒng)歷史文件的過(guò)程可以幫助描述事件和策劃下一步行動(dòng)方案。應(yīng)急響應(yīng)技術(shù)保障設(shè)備的技術(shù)保障網(wǎng)絡(luò)產(chǎn)品中設(shè)備應(yīng)至少滿足GB/T39276-2020《信息安全技術(shù)網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全通用要求》中基本級(jí)安全要求,涉及網(wǎng)絡(luò)關(guān)鍵設(shè)備應(yīng)滿足GB40050-2021《網(wǎng)絡(luò)關(guān)鍵設(shè)備安全通用要求》,涉及網(wǎng)絡(luò)安全專用產(chǎn)品的應(yīng)滿足GB42250-2022《信息安全技術(shù)網(wǎng)絡(luò)安全專用產(chǎn)品安全技術(shù)要求》。人員的技術(shù)保障提供網(wǎng)絡(luò)安全服務(wù)應(yīng)急響應(yīng)工作的人員應(yīng)具有與所開展網(wǎng)絡(luò)安全服務(wù)相適應(yīng)的技術(shù)能力,并滿足GB/T32914《信息安全技術(shù)網(wǎng)絡(luò)安全服務(wù)能力要求》中關(guān)于技術(shù)能力的要求。事故上報(bào)通道保障個(gè)人或用戶的報(bào)告應(yīng)具備通過(guò)個(gè)人或用戶上報(bào)應(yīng)急事件的技術(shù)通道,當(dāng)用戶或管理員發(fā)現(xiàn)網(wǎng)絡(luò)事件,報(bào)告相關(guān)信息到指定的事件收集聯(lián)絡(luò)點(diǎn),可通過(guò)電話、電子信箱等方式上報(bào),當(dāng)指定事件收集聯(lián)絡(luò)部門收集到事件告警后,應(yīng)按照應(yīng)急事件類型快速制定應(yīng)急預(yù)案。其他內(nèi)部或外部構(gòu)成組織機(jī)構(gòu)的事故報(bào)告應(yīng)支持通過(guò)其他內(nèi)部或外部構(gòu)成組織機(jī)構(gòu)進(jìn)行應(yīng)急事件事故上報(bào)的技術(shù)管理通道,可通過(guò)電話、電子信箱等方式上報(bào),當(dāng)指定事件收集聯(lián)絡(luò)部門收集到事故告警后,應(yīng)按照應(yīng)急事件類型快速制定應(yīng)急預(yù)案。應(yīng)急事件響應(yīng)進(jìn)入應(yīng)急響應(yīng)環(huán)節(jié),按照初步研判的安全事件等級(jí)進(jìn)行應(yīng)急響應(yīng)。當(dāng)網(wǎng)絡(luò)發(fā)生故障時(shí),先判斷破壞的來(lái)源與性質(zhì):如果是自然災(zāi)害導(dǎo)致的,根據(jù)網(wǎng)絡(luò)平臺(tái)的實(shí)時(shí)監(jiān)測(cè),采取恢復(fù)措施;如果是設(shè)備損壞導(dǎo)致的故障,斷開影響安全和穩(wěn)定的信息網(wǎng)絡(luò)設(shè)備,斷開與破壞來(lái)源的物理鏈接,平滑過(guò)渡到備份設(shè)備,修理或更換損壞的設(shè)備;如果是人為破壞,定位損壞的設(shè)備,斷開影響安全和穩(wěn)定的信息網(wǎng)絡(luò)設(shè)備,斷開與破壞來(lái)源的物理鏈接,跟蹤并鎖定破壞來(lái)源的IP地址或其他網(wǎng)絡(luò)用戶信息,修復(fù)被破壞的信息,恢復(fù)網(wǎng)絡(luò)。按照故障發(fā)生的不同情況分別采取以下措施:網(wǎng)絡(luò)攻擊,當(dāng)發(fā)現(xiàn)黑客正在進(jìn)行攻擊時(shí)或者已經(jīng)被攻擊時(shí),可采用關(guān)閉接口的方式將被攻擊的路由器、交換機(jī)等設(shè)備從網(wǎng)絡(luò)中隔離出來(lái),并將有關(guān)情況記錄并向上級(jí)匯報(bào);應(yīng)急實(shí)施人員在接到通知后立即趕往現(xiàn)場(chǎng),對(duì)現(xiàn)場(chǎng)進(jìn)行分析,并做好記錄;對(duì)該設(shè)備的配置進(jìn)行數(shù)據(jù)備份;恢復(fù)與重建被攻擊或破壞的系統(tǒng)。廣域網(wǎng)外部線路中斷緊急處置措施,廣域網(wǎng)線路中斷后,應(yīng)急日常運(yùn)行小組人員應(yīng)立即向負(fù)責(zé)人報(bào)告;負(fù)責(zé)人員接到報(bào)告后,應(yīng)迅速判斷故障節(jié)點(diǎn),查明故障原因并記錄;如屬于內(nèi)部職責(zé),應(yīng)立即予以恢復(fù);如屬于ISP部門管轄范圍,應(yīng)立即與ISP維護(hù)部門聯(lián)系,要求修復(fù);視故障嚴(yán)重性,如有必要,向上級(jí)部門主管書面匯報(bào)。局域網(wǎng)中斷緊急處置措施,設(shè)備管理部門準(zhǔn)備好網(wǎng)絡(luò)備用設(shè)備,存放在指定的位置;局域網(wǎng)中斷后,應(yīng)急日常運(yùn)行小組人員應(yīng)立即研判故障節(jié)點(diǎn),查明故障原因,并向應(yīng)急實(shí)施小組成員匯報(bào);如屬于線路故障,應(yīng)重新安裝線路;如屬于路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備故障,應(yīng)立即從指定地點(diǎn)將備用設(shè)備取出調(diào)試;如屬于路由器、交換機(jī)配置文件破壞,應(yīng)迅速按照要求重新配置或者啟用備份文件,并調(diào)試通暢;如有必要,需逐級(jí)向上級(jí)領(lǐng)導(dǎo)書面匯報(bào)。按照事件發(fā)生的不同類型采取不同的應(yīng)急響應(yīng)技術(shù)措施,參考附錄A網(wǎng)絡(luò)產(chǎn)品應(yīng)急響應(yīng)技術(shù)預(yù)案。

附錄A(資料性)網(wǎng)絡(luò)產(chǎn)品應(yīng)急響應(yīng)技術(shù)支撐預(yù)案僵尸網(wǎng)絡(luò)事件應(yīng)急預(yù)案僵尸網(wǎng)絡(luò)事件屬于有害程序事件。僵尸網(wǎng)絡(luò)事件指攻擊者通過(guò)各種途徑傳播僵尸程序,感染互聯(lián)網(wǎng)上的大量主機(jī),而被感染的主機(jī)將通過(guò)一個(gè)控制信道接收攻擊者的指令,組成一個(gè)僵尸網(wǎng)絡(luò)。應(yīng)急啟動(dòng)在安全事件檢測(cè)過(guò)程中,如發(fā)現(xiàn)局域網(wǎng)連接數(shù)大大增加、對(duì)系統(tǒng)資源占用導(dǎo)致服務(wù)器明顯變慢或資源耗盡、網(wǎng)站服務(wù)器被遠(yuǎn)程安裝異常軟件和程序等情況,應(yīng)根據(jù)判定依據(jù)對(duì)安全事件類型進(jìn)行確認(rèn),主要包括以下四點(diǎn):在命令行(如windows中cmd.exe)里輸入“netstat-an”命令,如果出現(xiàn)本地IP向多個(gè)目標(biāo)IP的相同端口(如135、445等)發(fā)起連接的現(xiàn)象,則很可能是掃描行為;IPS出現(xiàn)重復(fù)性地與外部的IP地址連接或非法的DNS地址連接日志;IDS上出現(xiàn)大量的協(xié)議監(jiān)測(cè)網(wǎng)絡(luò)通信內(nèi)容;防病毒軟件上存在大量未查殺的病毒信息記錄。經(jīng)現(xiàn)場(chǎng)確認(rèn)為僵尸網(wǎng)絡(luò)事件時(shí),啟動(dòng)本預(yù)案。應(yīng)急處置僵尸網(wǎng)絡(luò)事件應(yīng)急預(yù)案啟動(dòng)后,應(yīng)根據(jù)以下流程進(jìn)行應(yīng)急處置:關(guān)閉或斷開問(wèn)題服務(wù)器;查看防火墻策略、連接和端口流量,開啟調(diào)試模式(如Debug)并配置防火墻策略阻斷該問(wèn)題IP;通過(guò)端口連接和異常的進(jìn)程進(jìn)行定位,查殺該進(jìn)程;重新啟動(dòng)問(wèn)題服務(wù)器,刷新服務(wù)器的連接池,恢復(fù)應(yīng)用初始狀態(tài);通過(guò)持續(xù)關(guān)注服務(wù)器的連接數(shù)、訪問(wèn)WEB頁(yè)面速度、安全設(shè)備相關(guān)告警信息等,確認(rèn)網(wǎng)絡(luò)狀態(tài)是否恢復(fù)正常;如恢復(fù)則通過(guò)日志查找問(wèn)題應(yīng)用或進(jìn)程,找到后卸載問(wèn)題應(yīng)用,關(guān)閉問(wèn)題進(jìn)程,修改注冊(cè)表;如未恢復(fù)或未找到問(wèn)題應(yīng)用或進(jìn)程,則重新安裝問(wèn)題服務(wù)器;使用補(bǔ)救工具,如防范惡意代碼或防病毒產(chǎn)品可以檢測(cè)并清除隱藏的rootkit感染;后續(xù)可利用蜜罐(Honeypot)部署多個(gè)蜜罐捕獲傳播中的僵尸程序(如Bot)記錄該程序的網(wǎng)絡(luò)行為(如網(wǎng)絡(luò)流量重定向工具Honeywall)。通過(guò)人工分析網(wǎng)絡(luò)日志并結(jié)合樣本分析結(jié)果,可以掌握該程序的屬性,包括它連接的服務(wù)器、端口、頻道、控制口令等信息,獲得該僵尸網(wǎng)絡(luò)的基本信息甚至控制權(quán)。蠕蟲事件應(yīng)急預(yù)案蠕蟲事件屬于有害程序事件。本預(yù)案中蠕蟲事件按照表現(xiàn)形式分為網(wǎng)絡(luò)蠕蟲和主機(jī)蠕蟲兩大類:主機(jī)蠕蟲:主機(jī)蠕蟲完全包含在它們運(yùn)行的計(jì)算機(jī)中,并且使用網(wǎng)絡(luò)的連接僅將自身拷貝到其他的計(jì)算機(jī)中,主計(jì)算機(jī)蠕蟲在將其自身的拷貝加入另外的主機(jī)后,就會(huì)終止它自身(因此在任意給定的時(shí)刻,只有一個(gè)蠕蟲的拷貝運(yùn)行);網(wǎng)絡(luò)蠕蟲:網(wǎng)絡(luò)蠕蟲是一種智能化、自動(dòng)化,綜合網(wǎng)絡(luò)攻擊、密碼學(xué)和計(jì)算機(jī)的病毒技術(shù),無(wú)須計(jì)算機(jī)使用者干預(yù)即可運(yùn)行的攻擊程序或代碼,它會(huì)掃描和攻擊網(wǎng)絡(luò)上存在系統(tǒng)漏洞的節(jié)點(diǎn)主機(jī),通過(guò)局域網(wǎng)或者互聯(lián)網(wǎng)從一個(gè)節(jié)點(diǎn)傳播到另外一個(gè)節(jié)點(diǎn)。新一代網(wǎng)絡(luò)蠕蟲具有智能化、自動(dòng)化和高技術(shù)化的特征。應(yīng)急啟動(dòng)當(dāng)網(wǎng)絡(luò)安全事件發(fā)生,經(jīng)現(xiàn)場(chǎng)確認(rèn)為蠕蟲事件時(shí),啟動(dòng)本預(yù)案,判定方式如下:網(wǎng)絡(luò)速度減慢,“DNS”和“IIS”服務(wù)遭到非法拒絕,用戶不能正常瀏覽網(wǎng)頁(yè);網(wǎng)絡(luò)被阻塞,不穩(wěn)定甚至癱瘓,交換機(jī)資源被大量消耗,流量被大量占用,CPU、內(nèi)存被大量占用;檢查防病毒網(wǎng)關(guān)的日志,查看異常告警信息;檢查IPS的日志,查看異常告警信息;檢查出口及各個(gè)網(wǎng)絡(luò)區(qū)域的IDS設(shè)備日志,查看異常告警信息;檢查系統(tǒng)服務(wù)器文件是否被篡改、加密。應(yīng)急處置蠕蟲事件應(yīng)急預(yù)案啟動(dòng)后,應(yīng)根據(jù)以下流程進(jìn)行應(yīng)急處置:隔離中毒服務(wù)器,啟用備用服務(wù)器或系統(tǒng);根據(jù)病毒特征,使用專用工具進(jìn)行查殺;重裝中毒服務(wù)器,導(dǎo)入備份數(shù)據(jù);利用部署的企業(yè)版殺毒軟件對(duì)服務(wù)器進(jìn)行清查;對(duì)涉事服務(wù)器同Vlan的服務(wù)器群進(jìn)行相關(guān)蠕蟲的查殺。后門攻擊事件應(yīng)急預(yù)案后門攻擊事件屬于網(wǎng)絡(luò)攻擊事件。本預(yù)案將后門攻擊事件按照表現(xiàn)形式分為基于網(wǎng)頁(yè)的后門攻擊事件及基于系統(tǒng)的后門攻擊事件兩大類:基于網(wǎng)頁(yè)后門攻擊:此類后門程序一般都是服務(wù)器上正常的WEB服務(wù)來(lái)構(gòu)造自己的連接方式,比如現(xiàn)在流行的ASP、CGI腳本后門等;基于系統(tǒng)后門攻擊:攻擊者利用系統(tǒng)自身的某個(gè)服務(wù)或者線程、功能擴(kuò)展、“客戶端/服務(wù)端”的控制和遠(yuǎn)程安裝rootkit類工具的連接方式進(jìn)行攻擊。應(yīng)急啟動(dòng)當(dāng)網(wǎng)絡(luò)安全事件發(fā)生,經(jīng)現(xiàn)場(chǎng)確認(rèn)為后門攻擊事件時(shí),啟動(dòng)本預(yù)案?;诰W(wǎng)頁(yè)的后門攻擊在安全事件檢測(cè)過(guò)程中,如發(fā)現(xiàn)網(wǎng)站頁(yè)面被替換或者信息被篡改、頁(yè)面運(yùn)行不正常、自動(dòng)下載不明程序等情況,應(yīng)根據(jù)判定依據(jù)對(duì)安全事件類型進(jìn)行確認(rèn)。主要包括以下三點(diǎn):服務(wù)器區(qū)安全設(shè)備IPS發(fā)現(xiàn)木馬后門類檢測(cè)的告警日志。服務(wù)器區(qū)的安全設(shè)備WAF有大量攻擊日志。網(wǎng)站上有上傳的不明文件,如在圖片庫(kù)中發(fā)現(xiàn)可執(zhí)行文件等?;谙到y(tǒng)的后門攻擊在安全事件檢測(cè)過(guò)程中,如發(fā)現(xiàn)植入的遠(yuǎn)程控制軟件、惡意修改系統(tǒng)管理員口令或者WEB應(yīng)用管理員口令、新增文件或丟失等情況,應(yīng)根據(jù)判定依據(jù)對(duì)安全事件類型進(jìn)行確認(rèn),主要包括以下五點(diǎn):系統(tǒng)賬號(hào)無(wú)法登錄/異常登錄。有新增的不明用戶。新增異常進(jìn)程。出現(xiàn)未知的端口連接行為。新增系統(tǒng)文件或丟失。應(yīng)急處置后門攻擊事件應(yīng)急預(yù)案啟動(dòng)后,應(yīng)根據(jù)以下流程進(jìn)行應(yīng)急處置:基于網(wǎng)頁(yè)的后門攻擊將問(wèn)題頁(yè)面/服務(wù)器進(jìn)行隔離。安裝Webshell查殺工具、安全狗等相關(guān)功能軟件,對(duì)網(wǎng)站上的后門進(jìn)行及時(shí)的查殺。根據(jù)WEB日志和系統(tǒng)日志,人工排查可疑文件,查找后門程序,將發(fā)現(xiàn)的后門程序刪除。通過(guò)防火墻封禁觸發(fā)告警的源IP地址。針對(duì)頁(yè)面利用備份文件進(jìn)行網(wǎng)站恢復(fù)。加強(qiáng)網(wǎng)站安全監(jiān)測(cè),防范網(wǎng)頁(yè)惡意篡改及信息泄露?;谙到y(tǒng)的后門攻擊將問(wèn)題服務(wù)器進(jìn)行隔離。通過(guò)終端防病毒軟件、反rootkit工具等進(jìn)行惡意程序查找,并清除惡意程序。通過(guò)防火墻封禁觸發(fā)告警的源IP地址。根據(jù)系統(tǒng)日志,人工排查可疑文件,注意系統(tǒng)運(yùn)行狀況及文件增減情況,查看是否有異常服務(wù)啟動(dòng)項(xiàng)運(yùn)行,及時(shí)終止。使用第三方殺毒軟件全天監(jiān)控、定時(shí)掃描查殺,定時(shí)更新系統(tǒng)補(bǔ)丁。勒索攻擊事件應(yīng)急預(yù)案勒索病毒是一種黑客通過(guò)技術(shù)手段將受害者機(jī)器內(nèi)的重要數(shù)據(jù)文件進(jìn)行加密,最終迫使受害者向黑客繳納文件解密贖金,黑客收到贖金后,進(jìn)一步協(xié)助受害者恢復(fù)被加密數(shù)據(jù),從而達(dá)到病毒非法牟利勒索錢財(cái)?shù)哪康?,勒索病毒是近年?lái)極為流行的病毒類型之一。本預(yù)案將勒索病毒攻擊事件主要分為使用加密算法對(duì)攻擊機(jī)器內(nèi)的文件進(jìn)行加密、直接對(duì)磁盤分區(qū)進(jìn)行加密和劫持操作系統(tǒng)引導(dǎo)區(qū)后禁止用戶正常登錄操作系統(tǒng)三種類型。應(yīng)急啟動(dòng)勒索病毒最終以勒索錢財(cái)為目的,當(dāng)遭受勒索病毒攻擊后會(huì)產(chǎn)生極為明顯的受勒索特征。當(dāng)網(wǎng)絡(luò)安全事件發(fā)生,經(jīng)現(xiàn)場(chǎng)確認(rèn)為勒索病毒攻擊事件時(shí),啟動(dòng)本預(yù)案,具體可通過(guò)以下三種方式來(lái)進(jìn)行判斷中毒類型是否為勒索病毒:桌面壁紙被篡改,為了讓受害者第一時(shí)間感知到被病毒入侵,攻擊者通過(guò)修改用戶桌面壁紙的方式告知用戶已被病毒感染,需要繳納贖金。有明顯的勒索信息窗口展示,勒索病毒加密文件完成后,通常會(huì)在被加密文件所在目錄下創(chuàng)建一個(gè)勒索提示說(shuō)明文檔,勒索病毒加密文件完成后通常會(huì)自動(dòng)打開該文檔,通常以TXT、HTML或病毒程序彈出窗口的形式呈現(xiàn)。文件后綴被修改并且文件使用打開異常,勒索病毒通常為了標(biāo)識(shí)文件被自身加密過(guò),當(dāng)對(duì)文件加密完成后,會(huì)修改被加密文件的原始后綴,被修改后的文件后綴區(qū)別于常見(jiàn)文件類型,通過(guò)該后綴可以判斷是否遭受到了勒索病毒攻擊。應(yīng)急處置勒索病毒攻擊事件應(yīng)急預(yù)案啟動(dòng)后,應(yīng)根據(jù)以下流程進(jìn)行應(yīng)急處置:采用物理隔離或訪問(wèn)控制的方式隔離受感染的主機(jī)。物理隔離指對(duì)于受感染的主機(jī),在局域網(wǎng)內(nèi)進(jìn)行斷網(wǎng)處理,確認(rèn)勒索病毒清理完畢且經(jīng)評(píng)估無(wú)風(fēng)險(xiǎn)后才能重新接入網(wǎng)絡(luò)。訪問(wèn)控制指的是采用在安全設(shè)備中增加策略、關(guān)閉不必要的端口、修改登錄口令等方式對(duì)訪問(wèn)的網(wǎng)絡(luò)資源的權(quán)限進(jìn)行嚴(yán)格的認(rèn)證和控制,避免勒索病毒橫向傳播導(dǎo)致局域網(wǎng)內(nèi)其他主機(jī)被動(dòng)染毒。檢查局域網(wǎng)內(nèi)其他主機(jī)、核心業(yè)務(wù)系統(tǒng)等是否受到影響,備份系統(tǒng)是否被加密等,確定感染范圍,評(píng)估存在的風(fēng)險(xiǎn)。對(duì)勒索病毒進(jìn)行殺毒處理,對(duì)勒索病毒的行為進(jìn)行分析,了解攻擊發(fā)生的事件、現(xiàn)象,尋找并清理病毒進(jìn)程,刪除相關(guān)注冊(cè)表及文件。及時(shí)更新安全補(bǔ)丁,對(duì)系統(tǒng)進(jìn)行升級(jí)處理,關(guān)閉不必要的端口。計(jì)算機(jī)病毒事件應(yīng)急預(yù)案計(jì)算機(jī)病毒事件屬于有害程序事件。本預(yù)案將計(jì)算機(jī)病毒事件按照表現(xiàn)形式大致分為以下幾種:按破壞性分:良性病毒、惡性病毒、極惡性病毒、災(zāi)難性病毒。按傳染方式分:引導(dǎo)區(qū)型病毒、文件型病毒、混合型病毒宏病毒。按連接方式分:源碼型病毒、入侵型病毒、操作系統(tǒng)型病毒、外殼型病毒。應(yīng)急啟動(dòng)在安全事件檢測(cè)過(guò)程中,如發(fā)現(xiàn)正常網(wǎng)頁(yè)無(wú)法打開、遭到篡改、服務(wù)器出現(xiàn)宕機(jī)、藍(lán)屏等情況,應(yīng)根據(jù)判定依據(jù)對(duì)安全事件類型進(jìn)行確認(rèn),依據(jù)如下:網(wǎng)頁(yè)所屬服務(wù)器內(nèi)的文件被刪除或受到不同程度的損壞。服務(wù)器系統(tǒng)出現(xiàn)可疑登錄信息。服務(wù)器系統(tǒng)出現(xiàn)新增的可疑用戶。破壞引導(dǎo)扇區(qū)及BIOS,硬件環(huán)境破壞。檢查防病毒網(wǎng)關(guān)的日志,查看異常告警信息。檢查IPS的日志,查看異常告警信息。服務(wù)器內(nèi)出現(xiàn)多個(gè)相同名稱的進(jìn)程。服務(wù)器系統(tǒng)文件出現(xiàn)非正常隱藏文件夾。注冊(cè)表中出現(xiàn)可疑的注冊(cè)項(xiàng)。經(jīng)現(xiàn)場(chǎng)確認(rèn)為計(jì)算機(jī)病毒事件時(shí),啟動(dòng)本預(yù)案。應(yīng)急處置計(jì)算機(jī)病毒事件應(yīng)急預(yù)案啟動(dòng)后,應(yīng)根據(jù)以下流程進(jìn)行應(yīng)急處置:隔離中毒服務(wù)器,啟用備用服務(wù)器或系統(tǒng)。根據(jù)病毒特征,使用專用工具進(jìn)行查殺。重裝中毒服務(wù)器,導(dǎo)入備份數(shù)據(jù)。通過(guò)部署的企業(yè)版殺毒軟件對(duì)服務(wù)器進(jìn)行清查。對(duì)涉事服務(wù)器同Vlan的服務(wù)群進(jìn)行相關(guān)木馬文件的排查和查殺。網(wǎng)絡(luò)輿情炒作事件應(yīng)急預(yù)案網(wǎng)絡(luò)輿情炒作事件屬于有害內(nèi)容事件。本預(yù)案將網(wǎng)絡(luò)輿情炒作事件按照表現(xiàn)形式大致分為以下三種:攻擊、扭曲國(guó)家形象的內(nèi)容:網(wǎng)站或信息系統(tǒng)出現(xiàn)惡意攻擊、扭曲國(guó)家形象的言論、圖片等。扭曲政策、惡意引導(dǎo)言論的內(nèi)容:網(wǎng)站或信息系統(tǒng)上出現(xiàn)針對(duì)國(guó)家發(fā)布的政策、法規(guī)、條文等內(nèi)容進(jìn)行惡意解讀、歪曲內(nèi)容、引導(dǎo)錯(cuò)誤言論的行為。發(fā)布違法違規(guī)的內(nèi)容:網(wǎng)站或信息系統(tǒng)上出現(xiàn)涉及黃賭毒、非法組織、非法言論等違法違規(guī)的內(nèi)容。應(yīng)急啟動(dòng)在安全事件檢測(cè)過(guò)程中,如因出現(xiàn)的熱點(diǎn)輿論信息造成了負(fù)面影響,啟動(dòng)本預(yù)案,負(fù)面影響主要包括以下內(nèi)容:發(fā)現(xiàn)惡意攻擊、扭曲國(guó)家形象的言論、圖片等。發(fā)現(xiàn)針對(duì)國(guó)家發(fā)布的政策、法規(guī)、條文等內(nèi)容進(jìn)行惡意解讀、歪曲內(nèi)容、引導(dǎo)錯(cuò)誤言論的行為。發(fā)現(xiàn)涉及黃賭毒、非法組織、非法言論等違法違規(guī)的內(nèi)容。應(yīng)急處置網(wǎng)絡(luò)輿情炒作事件應(yīng)急預(yù)案啟動(dòng)后,應(yīng)根據(jù)事件調(diào)查結(jié)果、事件的性質(zhì)、重要程度及輿情發(fā)展的態(tài)勢(shì)(由一般到嚴(yán)重),分別采取以下信息公開方式:關(guān)閉相關(guān)問(wèn)題網(wǎng)頁(yè)或網(wǎng)站,刪除網(wǎng)絡(luò)輿情炒作事件的相關(guān)內(nèi)容。對(duì)涉事網(wǎng)站的信息平臺(tái)進(jìn)行凍結(jié),關(guān)閉評(píng)論或回復(fù)功能?;蛘哌M(jìn)行已造成嚴(yán)重后果的,關(guān)停網(wǎng)站,關(guān)閉上述平臺(tái)的相關(guān)板塊。必要時(shí)限制或關(guān)閉涉事信息平臺(tái)的用戶注冊(cè)功能,并對(duì)相關(guān)敏感詞匯進(jìn)行過(guò)濾。通知平臺(tái)管理人員對(duì)惡意敏感信息進(jìn)行集中清理。對(duì)涉嫌煽動(dòng)、鼓動(dòng)行為的賬號(hào)進(jìn)行禁封。條件許可情況下,針對(duì)輿論熱點(diǎn)所涉及的核心問(wèn)題,在信息平臺(tái)上及時(shí)發(fā)送通告,闡明事實(shí),穩(wěn)定輿論。對(duì)事件情節(jié)嚴(yán)重的、對(duì)社會(huì)造成嚴(yán)重影響、擾亂社會(huì)政策秩序的,應(yīng)交由網(wǎng)安部門和司法機(jī)關(guān)處理。保留相關(guān)服務(wù)器原始數(shù)據(jù),包括但不限于應(yīng)用數(shù)據(jù)、服務(wù)器系統(tǒng)日志、應(yīng)用日志等,以便網(wǎng)安部門和司法機(jī)關(guān)進(jìn)行檢查。事件發(fā)生后或處于重大敏感時(shí)期時(shí),應(yīng)安排相關(guān)人員進(jìn)行24小時(shí)值守,并隨時(shí)保持相關(guān)人員的通訊暢通,接到命令必須按時(shí)到達(dá)地點(diǎn),應(yīng)急日常運(yùn)行小組人員要有健全的值班記錄制度。加大監(jiān)管力度,對(duì)有組織、有煽動(dòng)性等網(wǎng)上行為的言論及時(shí)進(jìn)行記錄、通報(bào)和處理,避免事態(tài)擴(kuò)大。善后工作網(wǎng)絡(luò)輿情應(yīng)急處置結(jié)束后,相關(guān)責(zé)任部門及人員應(yīng)持續(xù)關(guān)注網(wǎng)絡(luò)上相關(guān)事件的輿情趨勢(shì),判斷事件出現(xiàn)的緣由,必要時(shí)利用官方網(wǎng)站、媒體等方式進(jìn)行公開聲明。軟硬件自身故障事件應(yīng)急預(yù)案軟硬件自身故障事件屬于設(shè)備設(shè)施故障事件。軟硬件自身故障事件指因信息系統(tǒng)中硬件設(shè)備的自然故障、軟硬件設(shè)計(jì)缺陷或者軟硬件運(yùn)行環(huán)境發(fā)生變化等而導(dǎo)致的信息安全事件。應(yīng)急啟動(dòng)在安全事件檢測(cè)過(guò)程中,如發(fā)現(xiàn)硬盤故障、應(yīng)用系統(tǒng)崩潰、操作系統(tǒng)崩潰、關(guān)鍵網(wǎng)絡(luò)連接設(shè)備(如路由器、交換機(jī)等)故障時(shí),啟動(dòng)本預(yù)案。應(yīng)急處置軟硬件自身故障事件應(yīng)急預(yù)案啟動(dòng)后,應(yīng)根據(jù)設(shè)備類型、故障情況選擇不同的措施,應(yīng)急處置方式主要包括以下內(nèi)容:非硬盤硬件故障(CPU、內(nèi)存、主板、網(wǎng)絡(luò)適配卡)更換損壞的硬件或直接更換主機(jī)(仍使用原來(lái)的硬盤)。修復(fù)或更新?lián)p壞的硬件作為新的備件。硬盤故障(RAID有效-文件系統(tǒng)仍可以正常讀?。┤〕鍪軗p硬盤。插入新的硬盤(相同容量和型號(hào))并重建。硬盤故障(RAID無(wú)效)備份用戶數(shù)據(jù)(包括工作文件、電子郵件等)。備份關(guān)鍵配置文件和系統(tǒng)文件。取出受損硬盤并插入新硬盤。重建RAID系統(tǒng)。使用緊急恢復(fù)盤重新引導(dǎo)系統(tǒng)。載入鏡像文件(包含標(biāo)準(zhǔn)的操作系統(tǒng)、應(yīng)用程序和其他必要工具軟件)恢復(fù)裝有系統(tǒng)的文件系統(tǒng)?;謴?fù)用戶數(shù)據(jù)和系統(tǒng)配置。應(yīng)用系統(tǒng)崩潰。備份應(yīng)用系統(tǒng)用戶數(shù)據(jù)、系統(tǒng)文件和配置文件。重新安裝應(yīng)用系統(tǒng)和相應(yīng)的補(bǔ)丁程序?;謴?fù)系統(tǒng)配置?;謴?fù)用戶數(shù)據(jù)。操作系統(tǒng)崩潰(軟件原因)關(guān)閉系統(tǒng)并使用緊急恢復(fù)盤重新引導(dǎo)系統(tǒng)。載入鏡像文件(包含標(biāo)準(zhǔn)的操作系統(tǒng)、應(yīng)用程序和其他必要工具軟件)恢復(fù)裝有系統(tǒng)的文件系統(tǒng)?;謴?fù)原有系統(tǒng)配置。關(guān)鍵網(wǎng)絡(luò)連接設(shè)備(路由器、交換機(jī)等)故障(冗余設(shè)備失效)更換相同型號(hào)的備用設(shè)備。從備份恢復(fù)原先的系統(tǒng)配置。重建冗余設(shè)置。修復(fù)或替換損壞設(shè)備作為新的備用設(shè)備。防火墻硬件故障(冗余設(shè)備失效)更換相同型號(hào)的備用設(shè)備。從備份恢復(fù)原先的系統(tǒng)配置。重建冗余設(shè)置。修復(fù)或替換損壞設(shè)備作為新的備用設(shè)備。防火墻軟件故障(冗余設(shè)備失效)使用安裝盤重新初始化防火墻系統(tǒng)。從備份恢復(fù)原先的防火墻系統(tǒng)配置。重建冗余設(shè)置。惡意操作事件應(yīng)急預(yù)案惡意操作事件屬于違規(guī)操作事件。本預(yù)案中惡意操作事件主要指人為破壞網(wǎng)絡(luò)線路、通信設(shè)施以及系統(tǒng)服務(wù)器遭到破壞兩大類。應(yīng)急啟動(dòng)當(dāng)網(wǎng)絡(luò)安全事

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論