第5章信息系统安全事件响应 “智者千虑,必有一失”。尽管已经为信息系统的防护开发了许 多技术,但是很难没有一点疏漏,何况入侵者也是一些技术高 手 系统遭受到一次入侵,就面临一次灾难。这些影响信息系统安 全的不正当行为,就称为事件。事件响应,就是事件发生后所 采取的措施和行动。信息系统的脆弱,加上入侵技术的不断进 化,使得入侵不可避免。因此,遭受灾难后,的系统恢复就成 为一个与防火墙技术、入侵检测技术等同样重要的技术
第5章 信息系统安全事件响应 “智者千虑,必有一失”。尽管已经为信息系统的防护开发了许 多技术,但是很难没有一点疏漏,何况入侵者也是一些技术高 手。 系统遭受到一次入侵,就面临一次灾难。这些影响信息系统安 全的不正当行为,就称为事件。事件响应,就是事件发生后所 采取的措施和行动。信息系统的脆弱,加上入侵技术的不断进 化,使得入侵不可避免。因此,遭受灾难后,的系统恢复就成 为一个与防火墙技术、入侵检测技术等同样重要的技术
51应急响应 令1988年,莫里斯蠕虫迅雷不及掩耳之势肆虐互联网,招致 上千台计算机系统的崩溃,造成了以千万美元计的损失。 这突如其来的灾难,给人们敲响了警钟:面队人类对信息 系统以来程度不断增强,对付入侵不仅需要防御,还要能 够在事件发生后进行紧急处理和援助。1989年,在美国国 防部的资助下,CERT( Computer Emergency Team,计 算机紧急响应组)/cc( Call Center)成立。从此紧急响 应被摆到了人们的议事桌上。CERT成立以后,做了大量工 作。但最大的成就是使紧急响应为人们普遍接受 令一般说来,每个使用信息系统的组织都应当有一套紧急响 应的机制。这个机制包括两个环节: 应急响应组织; ·紧急预案
❖ 1988年,莫里斯蠕虫迅雷不及掩耳之势肆虐互联网,招致 上千台计算机系统的崩溃,造成了以千万美元计的损失。 这突如其来的灾难,给人们敲响了警钟:面队人类对信息 系统以来程度不断增强,对付入侵不仅需要防御,还要能 够在事件发生后进行紧急处理和援助。1989年,在美国国 防部的资助下,CERT(Computer Emergency Team,计 算机紧急响应组)/CC(Call Center)成立。从此紧急响 应被摆到了人们的议事桌上。CERT成立以后,做了大量工 作。但最大的成就是使紧急响应为人们普遍接受。 5.1 应急响应 ❖ 一般说来,每个使用信息系统的组织都应当有一套紧急响 应的机制。这个机制包括两个环节: · 应急响应组织; · 紧急预案
51.1应急响应组织 应急响应组织的主要工作有: 安全事件与软件安全缺陷分析研究; 安全知识库(包括漏洞知识、入侵检测等)开发与管理; 安全管理和应急知识的教育与培训; 发布安全信息(如系统漏洞与补丁,病毒警告等) 安全事件紧急处理。 应急响应组织包括应急保障领导小组和应急技术保障小组。 领导小组的主要职责是领导与协调突发事件与自然灾害的应 急处理。应急技术保障小组主要解决安全事件的技术问题, 如物理实体和环境安全技术、网络通信技术、系统平台技术 应用系统技术等
5.1.1 应急响应组织 ❖ 应急响应组织的主要工作有: · 安全事件与软件安全缺陷分析研究; · 安全知识库(包括漏洞知识、入侵检测等)开发与管理; · 安全管理和应急知识的教育与培训; · 发布安全信息(如系统漏洞与补丁,病毒警告等); · 安全事件紧急处理。 ❖ 应急响应组织包括应急保障领导小组和应急技术保障小组。 领导小组的主要职责是领导与协调突发事件与自然灾害的应 急处理。应急技术保障小组主要解决安全事件的技术问题, 如物理实体和环境安全技术、网络通信技术、系统平台技术、 应用系统技术等
512紧急预案 1.紧急预案及基本内容 应急预案是指根据不同的突发紧急事件类型和以外情形,预 先制定的处理方案。应急预案一般要包括如下内容: 令执行紧急预案的人员(姓名、住址、电话号码以及有关 职能部门的联系方法); 系统紧急事件类型及处理措施的详细说明; 应急处理的具体步骤和操作顺序
5.1.2 紧急预案 1. 紧急预案及基本内容 ❖ 执行紧急预案的人员(姓名、住址、电话号码以及有关 职能部门的联系方法); 应急预案是指根据不同的突发紧急事件类型和以外情形,预 先制定的处理方案。应急预案一般要包括如下内容: ❖ 系统紧急事件类型及处理措施的详细说明; ❖ 应急处理的具体步骤和操作顺序
2.常见安全事件 紧急预案要根据安全事件的类型进行对应的处理。下面提供 些常见的安全事件类型供参考: 冷物理实体及环境类安全事件,如意外停电、物理设备丢 失、火灾、水灾等。 令网络通信类安全事件:如网络蠕虫侵害等。 主机系统类安全事件,如计算机病毒、口令丢失等; 应用系统类安全事件,如客护信息丢失等
2. 常见安全事件 ❖ 物理实体及环境类安全事件,如意外停电、物理设备丢 失、火灾、水灾等。 紧急预案要根据安全事件的类型进行对应的处理。下面提供 一些常见的安全事件类型供参考: ❖ 网络通信类安全事件:如网络蠕虫侵害等。 ❖ 主机系统类安全事件,如计算机病毒、口令丢失等; ❖ 应用系统类安全事件,如客护信息丢失等
3.安全事件处理的基本流程 (1)安全事件报警 值班人员发现紧急情况,要及时报告。报告要对安全事件进行准确描述 并作书面记录。按照安全事件的类型,安全事件呈报条例应依次报告: 值班人员,二、应急工作组长,三、应急领导小组。如果想进行任 何类型的跟踪调查或者起诉入侵者,应先跟管理人员和法律顾问商量, 然后通知有关执法机构。一定要记住,除非执法部门的参与,否则对入 侵者进行的一切跟踪都可能是非法的。 同时,还应通知有关人员,交换相关信息,必要时可以获得援助;
3. 安全事件处理的基本流程 (1)安全事件报警 值班人员发现紧急情况,要及时报告。报告要对安全事件进行准确描述 并作书面记录。按照安全事件的类型,安全事件呈报条例应依次报告: 一、值班人员,二、应急工作组长,三、应急领导小组。如果想进行任 何类型的跟踪调查或者起诉入侵者,应先跟管理人员和法律顾问商量, 然后通知有关执法机构。一定要记住,除非执法部门的参与,否则对入 侵者进行的一切跟踪都可能是非法的。 同时,还应通知有关人员,交换相关信息,必要时可以获得援助;
安全事件处理的基本流程(续) (2)安全事件确认 确定安全事件的类型,以便启动相应的预案。 (3)启动紧急预案 (a)首先要能够找到紧急预案。 (b)保护现场证据(如系统事件、处理者采取的行动、与外界的沟通 等),避免灾害扩大;
安全事件处理的基本流程(续) (2)安全事件确认 确定安全事件的类型,以便启动相应的预案。 (3)启动紧急预案 (a)首先要能够找到紧急预案。 (b)保护现场证据(如系统事件、处理者采取的行动、与外界的沟通 等),避免灾害扩大;
安全事件处理的基本流程(续) (4)恢复系统 (a)安装干净的操作系统版本。建议使用干净的备份程序备份整个系统,然后 重装系统。 (b)取消不必要的服务。只配置系统要提供的服务,取消那些没有必要的服务。 检查并确信其配置文件没有脆弱性以及该服务是否可靠。 (c)安装供应商提供的所有补丁。建议安装所有的安全补丁,使系统能够抵御 外来攻击,不被再次侵入,这是最重要的一步。 (d)查阅CERT的安全建议、安全总结和供应商的安全提示 CERT安全建议:htt:/ ww.cert. org/ advisories/ ·cERT安全总结:htp:/www.cert.orgladvisories 供应商安全提示:ftp/ ftp. cert. orglpublcert bulletins (e)谨慎使用备份数据。在从备份中恢复数据时,要确信备份主机没有被侵 入。一定要记住,恢复过程可能会重新带来安全缺陷,被入侵者利用。例如恢 复用户的home目录以及数据文件中,以及用户起始目录下的 rhost文件中,也 许藏有特洛伊木马程序。 (f)改变密码。在弥补了安全漏洞或者解决了配置问题以后,建议改变系统中 所有账户的密码
安全事件处理的基本流程(续) (4)恢复系统 (a)安装干净的操作系统版本。建议使用干净的备份程序备份整个系统,然后 重装系统。 (b)取消不必要的服务。只配置系统要提供的服务,取消那些没有必要的服务。 检查并确信其配置文件没有脆弱性以及该服务是否可靠。 (c)安装供应商提供的所有补丁。建议安装所有的安全补丁,使系统能够抵御 外来攻击,不被再次侵入,这是最重要的一步。 (d)查阅CERT的安全建议、安全总结和供应商的安全提示 · CERT安全建议:http://www.cert.org/advisories/ · CERT安全总结:http://www.cert.org/advisories/ · 供应商安全提示:ftp://ftp.cert.org/pub/cert_bulletins/ (e)谨慎使用备份数据 。在从备份中恢复数据时,要确信备份主机没有被侵 入。一定要记住,恢复过程可能会重新带来安全缺陷,被入侵者利用。例如恢 复用户的home目录以及数据文件中,以及用户起始目录下的.rhost文件中,也 许藏有特洛伊木马程序。 (f)改变密码。在弥补了安全漏洞或者解决了配置问题以后,建议改变系统中 所有账户的密码
安全事件处理的基本流程(续) (5)加强系统和网络的安全 (a)根据cERT的 UNIX/NTI配置指南检查系统的安全性。 cERT的 UNIX/NT配置指南可以帮助你检查系统中容易被入侵者利用的配置问题。 http://www.cert.org/tech_tips/unix_configuration_guidelines.html http://www.cert.org/tech_tips/win_configuration_guidelines.html 查阅安全工具文档可以参考htt:/ ww.cert. org/ tech tips/ security tools. htm (b)安装安全工具。在将系统连接到网络上之前,一定要安装所有选择的安全工具。 同时,最好使用 Tripwire、aide等工具对系统文件进行MD5校验,把校验码放到安全 的地方,以便以后对系统进行检查。 (c)打开日志。启动日志(ogng)检查 auditing记账( accounting程序,将它们 设置到准确的级别,例如 sendmail日志应该是9级或者更高。 要经常备份日志文件,或者将日志写到另外的机器、一个只能增加的文件系统或者 一个安全的日志主机 (d)配置防火墙对网络进行防御。可以参考: http:/www.cert.org/techtipslpacketfilteringhtml (e)重新连接到 Internet。全完成以上步骤以后,就可以把系统连接回 IInternet了。 一应当注意,安全事件处理工作复杂,责任重大,至少应有两人参加
安全事件处理的基本流程(续) (5)加强系统和网络的安全 (a)根据CERT的UNIX/NT配置指南检查系统的安全性。 CERT的UNIX/NT配置指南可以帮助你检查系统中容易被入侵者利用的配置问题。 http://www.cert.org/tech_tips/unix_configuration_guidelines.html http://www.cert.org/tech_tips/win_configuration_guidelines.html 查阅安全工具文档可以参考http://www.cert.org/tech_tips/security_tools.html (b)安装安全工具。在将系统连接到网络上之前,一定要安装所有选择的安全工具。 同时,最好使用Tripwire、aide等工具对系统文件进行MD5校验,把校验码放到安全 的地方,以便以后对系统进行检查。 (c)打开日志。启动日志(logging)/检查(auditing)/记账(accounting)程序,将它们 设置到准确的级别,例如sendmail日志应该是9级或者更高。 要经常备份日志文件,或者将日志写到另外的机器、一个只能增加的文件系统或者 一个安全的日志主机。 (d)配置防火墙对网络进行防御。可以参考: http://www.cert.org/tech_tips/packet_filtering.html (e)重新连接到Internet。全完成以上步骤以后,就可以把系统连接回Internet了。 应当注意,安全事件处理工作复杂,责任重大,至少应有两人参加
安全事件处理的基本流程(续) (6)应急工作总结 召开会议,分析问题和解决方法,参考fp:/ ftp. isi edlin- notes/rfc2196txt (a)总结教训。从记录中总结出对于这起事故的教训,这有助于你检讨自 己的安全策略。 (b)计算事件的代价。计算事件代价有助于让组织认识到安全的重要性。 (c)改进安全策略
安全事件处理的基本流程(续) (6)应急工作总结 召开会议,分析问题和解决方法,参考ftp://ftp.isi.edu/in-notes/rfc2196.txt (a)总结教训。从记录中总结出对于这起事故的教训,这有助于你检讨自 己的安全策略。 (b)计算事件的代价。计算事件代价有助于让组织认识到安全的重要性。 (c)改进安全策略
