信息系统安全应急响应处置.pptxVIP

信息系统安全应急响应处置;介绍;目录;应急响应定义1; 应急响应通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。 信息系统安全事件应急响应的对象是指针对信息系统所存储、传输、处理的信息的安全事件。事件的主体可能来自自然界、系统自身故障、组织内部或外部的人为攻击等。按照信息系统安全的三个特性，可以把安全事件定义为破坏信息或信息处理系统 CIA 的行为，即破坏必威体育官网网址性的安全事件、破坏完整性的安全事件和破坏可用性的安全事件等。 ——（信息系统等保体系框架GA/T 708-2007）;信息安全响应的定义3;应急处置定义;信息安全应急响应产生的背景;;CNCERT/CC的职能;我国信息安全应急响应管理体系;信息安全应急响应法规标准;信息安全应急响应要求—信息安全等级保护;应急响应组织结构;网络钓鱼事件;应急事件等级;信息安全应急???应流程;信息安全应急响应流程—准备阶段;信息安全应急响应流程—准备阶段;信息安全应急响应流程—检测阶段;信息安全应急响应流程—抑制阶段;信息安全应急响应流程—根除、恢复阶段;信息安全应急响应流程—事后活动阶段;应急预案的定义;应急预案的类型;应急预案框架;应急预案的文档结构;应急预案的编制步骤;应急预案的启动执行过程;信息安全应急演练流程;目录;知名公共案例;知名公共案例-携程;知名公共案例-携程;知名公共案例-OpenSSL;知名公共案例-OpenSSL;知名公共案例-OpenSSL;案例一：奥帆委网站系统 案例二：遗忘密码 案例三：DDOS攻击应急响应;2007年6月，奥帆委官方网站感觉异常 远程测试发现站点存在多种漏洞 SQL注入 绕过安全验证漏洞 上传漏洞 已经存在多个木马Webshell ;典型注入攻击-SQL注入;SQL注入 Webshell 后台绕过登录 ;Webshell;;程序员未预料到的结果…… Username: admin OR 1=1 -- Password: 1 SELECT COUNT(*) FROM Users WHERE username=admin OR 1=1 -- and password=1;案例一：奥帆委网站系统;远程监控 ;现场值守 每日安全日报 阶段性总结报告 ;案例二：遗忘密码;案例二：遗忘密码;案例二：遗忘密码;案例二：遗忘密码;案例二：遗忘密码;案例二：遗忘密码;案例二：遗忘密码;描述： 某网络管理员发现连续几天在晚上18：00时左右，WEB服务器网站不能正常访问。 ;事件描述分析： 客户描述 根据客户描述的情况，WEB服务无法正常访问属于紧急响应安全事件 网络现状基本信息 远程访问该WEB服务器，无法打开页面 事件基本分析 产生的可能性：a.WEB服务未启动 b.主机网络不通 c.病毒问题 d.受到拒绝服务攻击 e.防火墙策略更改f.其他原因;制定方案： 到用户现场进行分析 在事件重现前部署监控工具，流量分析，协议分析等 判断事件类型：维护问题，病毒，内部发起攻击，外部发起攻击等 判断受攻击目标：主机受到攻击，WEB服务受到攻击，网络设备受到攻击，网络带宽受到攻击 判断攻击方法：漏洞型，流量型，混合型 ;事件调查： 对数据包进行简单分析，排除病毒可能，根据流量分析，局域网流量并不是特别大，网关处流量非常大，基本排除内部向外发起攻击可能。从内网访问服务器正常，以及根据数据包的类型判断，基本排除主机或WEB服务的漏洞攻击可能。 对收集到的数据包的包头进行分析，存在大量的tcp syn包，udp包以及少量icmp包，和未知ip包等。;SYN Flood攻击： 此种攻击经过抓包分析可以看到，大量的syn请求发向目标地址??而syn包的源地址为大量的随机生成的虚假地址。 在目标主机上使用netstat –an命令可以看到大量syn连接，处于syn_received状态 ? ;如果是单纯的tcp synflood攻击，未达到限速的情况下，可以使用性能较好的，具有防synflood功能的设备进行防护。 如果是主机服务器停止响应，需要在网关或防火墙上对主机服务进行“代理”，保护主机。此时网关或防火墙需要有能力抵抗此类拒绝服务攻击。 如果攻击数据包是崎型数据包，需要网关或防火墙能抵抗此类拒绝服务攻击。 如果攻击数据包达到限速，需要逐级追查数据包的来源。;对数据包特征进行分析，包括来源地址（随机），端口，TTL值，序列号，协议号等等。 在路由器各端口上查看流量来源，或使用流量分析工具。分析数据包的特征，确定大部分数据包的来源。 逐级往上，寻找部分具有相同特征的数据包来源，并与该级相关网络管理员取得联系。 本案例中初步定位到有部分相同特征的攻击数据包来源于某托管机房。 ;总结： 网络攻击方式多种多样 每种