信息系统安全应急响应处置.pptVIP

案例二:遗忘密码案例二:遗忘密码案例二:遗忘密码描述:某网络管理员发现连续几天在晚上18:00时左右，WEB服务器网站不能正常访问。案例三:DDOS攻击应急响应事件描述分析:客户描述根据客户描述的情况，WEB服务无法正常访问属于紧急响应安全事件网络现状基本信息远程访问该WEB服务器，无法打开页面事件基本分析产生的可能性:a.WEB服务未启动b.主机网络不通c.病毒问题d.受到拒绝服务攻击e.防火墙策略更改f.其他原因案例三:DDOS攻击应急响应制定方案:到用户现场进行分析在事件重现前部署监控工具，流量分析，协议分析等判断事件类型:维护问题，病毒，内部发起攻击，外部发起攻击等判断受攻击目标:主机受到攻击，WEB服务受到攻击，网络设备受到攻击，网络带宽受到攻击判断攻击方法:漏洞型，流量型，混合型案例三:DDOS攻击应急响应事件调查:对数据包进行简单分析，排除病毒可能，根据流量分析，局域网流量并不是特别大，网关处流量非常大，基本排除内部向外发起攻击可能。从内网访问服务器正常，以及根据数据包的类型判断，基本排除主机或WEB服务的漏洞攻击可能。对收集到的数据包的包头进行分析，存在大量的tcpsyn包，udp包以及少量icmp包，和未知ip包等。案例三:DDOS攻击应急响应SYNFlood攻击:此种攻击经过抓包分析可以看到，大量的syn请求发向目标地址，而syn包的源地址为大量的随机生成的虚假地址。在目标主机上使用netstat–an命令可以看到大量syn连接，处于syn_received状态?案例三:DDOS攻击应急响应如果是单纯的tcpsynflood攻击,未达到限速的情况下,可以使用性能较好的,具有防synflood功能的设备进行防护。如果是主机服务器停止响应,需要在网关或防火墙上对主机服务进行“代理”,保护主机。此时网关或防火墙需要有能力抵抗此类拒绝服务攻击。如果攻击数据包是崎型数据包,需要网关或防火墙能抵抗此类拒绝服务攻击。如果攻击数据包达到限速,需要逐级追查数据包的来源。案例三:DDOS攻击应急响应对数据包特征进行分析,包括来源地址（随机）,端口,TTL值,序列号,协议号等等。在路由器各端口上查看流量来源,或使用流量分析工具。分析数据包的特征,确定大部分数据包的来源。逐级往上,寻找部分具有相同特征的数据包来源,并与该级相关网络管理员取得联系。本案例中初步定位到有部分相同特征的攻击数据包来源于某托管机房。案例三:DDOS攻击应急响应总结:网络攻击方式多种多样每种网络设备、安全产品都能解决一定问题设备自身安全问题DD.o.S.的基本防护设置问题流量监控，数据包、事件等统计分析必不可少案例三:DDOS攻击应急响应目录应急响应体系应急响应案例其他问题1:近视问题2:淹没信息安全应急响应流程—事后活动阶段应急响应情况报告1）由应急响应实施小组报告应急事件的处置情况。2）由应急响应领导小组下达应急响应结束的指令。应急事件调查1）对应急事件发生的原因进行调查。

2）评估应急事件对信息系统造成的损失。

3）评估应急事件对单位、组织带来的影响。应急响应总结1）对存在的风险点进行加固和整改。

2）评价应急预案的执行情况和后续改进计划。

3）对应急响应组织成员进行评价，表彰立功人员。应急预案的定义应急预案是指针对可能发生的事故,为迅速、有序地开展应急行动而预先制定的行动方案。应急预案的类型组织开展应急响应工作的指导性文件具体类型的安全事件解决方案针对场景的一次性解决方案特定环境下、特定安全事件的处理方案应急预案框架一级目录

（行业指引）二级目录

（综合预案）三级目录

（特定系统预案）四级目录

（专题预案）五级目录

（技术资源库）组织开展信息安全应急响应工作指南信息安全应急综合预案应用系统专项应急预案XX机房空调应急预案XX产品安装配置文档

XX产品常见问题处理手册

XX产品问题处理单主机系统专项应急预案XX品牌服务器应急预案网络系统专项应急预案XX品牌网络交换机应急预案信息安全专项应急预案XX品牌防火墙应急预案应急预案的文档结构应急预案的编制步骤应急预案的启动执行过程信息安全应急演练流程目录应急响应体系应急响应案例其他知名公共案例知名公共案例-携程知名公共案例-携程知名公共案例-OpenSSL知名公共案例-OpenSSL知名公共案例-OpenSSL案例一: