《信息系统安全事件响应PPT幻灯片》由会员分享,可在线阅读,更多相关《信息系统安全事件响应PPT幻灯片(47页珍藏版)》请在金锄头文库上搜索。
1、1,第5章 信息系统安全事件响应,“智者千虑,必有一失”。尽管已经为信息系统的防护开发了许多技术,但是很难没有一点疏漏,何况入侵者也是一些技术高手。,系统遭受到一次入侵,就面临一次灾难。这些影响信息系统安全的不正当行为,就称为事件。事件响应,就是事件发生后所采取的措施和行动。信息系统的脆弱,加上入侵技术的不断进化,使得入侵不可避免。因此,遭受灾难后,的系统恢复就成为一个与防火墙技术、入侵检测技术等同样重要的技术。,2,1988年,莫里斯蠕虫迅雷不及掩耳之势肆虐互联网,招致上千台计算机系统的崩溃,造成了以千万美元计的损失。这突如其来的灾难,给人们敲响了警钟:面队人类对信息系统以来程度不断增强,对
2、付入侵不仅需要防御,还要能够在事件发生后进行紧急处理和援助。1989年,在美国国防部的资助下,CERT(Computer Emergency Team,计算机紧急响应组)/CC(Call Center)成立。从此紧急响应被摆到了人们的议事桌上。CERT成立以后,做了大量工作。但最大的成就是使紧急响应为人们普遍接受。,5.1 应急响应,一般说来,每个使用信息系统的组织都应当有一套紧急响应的机制。这个机制包括两个环节:, 应急响应组织;, 紧急预案。,3,5.1.1 应急响应组织,应急响应组织的主要工作有: 安全事件与软件安全缺陷分析研究; 安全知识库(包括漏洞知识、入侵检测等)开发与管理; 安全
3、管理和应急知识的教育与培训; 发布安全信息(如系统漏洞与补丁,病毒警告等); 安全事件紧急处理。,应急响应组织包括应急保障领导小组和应急技术保障小组。领导小组的主要职责是领导与协调突发事件与自然灾害的应急处理。应急技术保障小组主要解决安全事件的技术问题,如物理实体和环境安全技术、网络通信技术、系统平台技术、应用系统技术等。,4,5.1.2 紧急预案,1. 紧急预案及基本内容,执行紧急预案的人员(姓名、住址、电话号码以及有关职能部门的联系方法);,应急预案是指根据不同的突发紧急事件类型和以外情形,预先制定的处理方案。应急预案一般要包括如下内容:,系统紧急事件类型及处理措施的详细说明;,应急处理的
4、具体步骤和操作顺序。,5,2. 常见安全事件,物理实体及环境类安全事件,如意外停电、物理设备丢失、火灾、水灾等。,紧急预案要根据安全事件的类型进行对应的处理。下面提供一些常见的安全事件类型供参考:,网络通信类安全事件:如网络蠕虫侵害等。,主机系统类安全事件,如计算机病毒、口令丢失等;,应用系统类安全事件,如客护信息丢失等。,6,3. 安全事件处理的基本流程,(1)安全事件报警,值班人员发现紧急情况,要及时报告。报告要对安全事件进行准确描述并作书面记录。按照安全事件的类型,安全事件呈报条例应依次报告:一、值班人员,二、应急工作组长,三、应急领导小组。如果想进行任何类型的跟踪调查或者起诉入侵者,应
5、先跟管理人员和法律顾问商量,然后通知有关执法机构。一定要记住,除非执法部门的参与,否则对入侵者进行的一切跟踪都可能是非法的。,同时,还应通知有关人员,交换相关信息,必要时可以获得援助;,7,安全事件处理的基本流程(续),(2)安全事件确认,确定安全事件的类型,以便启动相应的预案。,(3)启动紧急预案,(a)首先要能够找到紧急预案。,(b)保护现场证据(如系统事件、处理者采取的行动、与外界的沟通等),避免灾害扩大;,8,安全事件处理的基本流程(续),(4)恢复系统,(a)安装干净的操作系统版本。建议使用干净的备份程序备份整个系统,然后重装系统。,(b)取消不必要的服务。只配置系统要提供的服务,取
6、消那些没有必要的服务。检查并确信其配置文件没有脆弱性以及该服务是否可靠。,(c)安装供应商提供的所有补丁。建议安装所有的安全补丁,使系统能够抵御外来攻击,不被再次侵入,这是最重要的一步。,(d)查阅CERT的安全建议、安全总结和供应商的安全提示 CERT安全建议: CERT安全总结: 供应商安全提示:,(e)谨慎使用备份数据 。在从备份中恢复数据时,要确信备份主机没有被侵入。一定要记住,恢复过程可能会重新带来安全缺陷,被入侵者利用。例如恢复用户的home目录以及数据文件中,以及用户起始目录下的.rhost文件中,也许藏有特洛伊木马程序。,(f)改变密码。在弥补了安全漏洞或者解决了配置问题以后,
7、建议改变系统中所有账户的密码。,9,安全事件处理的基本流程(续),(5)加强系统和网络的安全,(a)根据CERT的UNIX/NT配置指南检查系统的安全性。 CERT的UNIX/NT配置指南可以帮助你检查系统中容易被入侵者利用的配置问题。 查阅安全工具文档可以参考,(b)安装安全工具。在将系统连接到网络上之前,一定要安装所有选择的安全工具。同时,最好使用Tripwire、aide等工具对系统文件进行MD5校验,把校验码放到安全的地方,以便以后对系统进行检查。,(c)打开日志。启动日志(logging)/检查(auditing)/记账(accounting)程序,将它们设置到准确的级别,例如sen
8、dmail日志应该是9级或者更高。 要经常备份日志文件,或者将日志写到另外的机器、一个只能增加的文件系统或者一个安全的日志主机。,(d)配置防火墙对网络进行防御。可以参考:,(e)重新连接到Internet。全完成以上步骤以后,就可以把系统连接回Internet了。,应当注意,安全事件处理工作复杂,责任重大,至少应有两人参加。,10,安全事件处理的基本流程(续),(6)应急工作总结,召开会议,分析问题和解决方法,参考 (a)总结教训。从记录中总结出对于这起事故的教训,这有助于你检讨自己的安全策略。 (b)计算事件的代价。计算事件代价有助于让组织认识到安全的重要性。 (c)改进安全策略。,11,
9、安全事件处理的基本流程(续),(7)撰写安全事件报告,安全事件报告的内容包括: 安全事件发生的日期、时间; 安全事件处理参加的人员; 事件发现的途径; 事件类型; 事件涉及范围; 现场记录; 事件导致的损失和影响; 事件处理过程 使用的技术和工具; 经验和教训。,12,5.1.3 灾难恢复,与高层管理人员协商; 夺回系统控制权; 入侵评估:分析入侵途径,检查入侵对系统的损害; 清除入侵者留下的后门; 恢复系统。,灾难恢复是安全事件应急预案中特别重要的部分。从发现入侵的那刻起就围绕它进行,并且应当包括如下几项内容:,13,1. 与高层人员协商,系统恢复的步骤应当符合组织的安全预案。如果安全预案中
10、没有描述,应当与管理人员协商,以便能从更高角度进行判断,并得到更多部门的支持和配合。,2. 夺回系统控制权,为了夺回对被入侵系统的控制权,需要将入侵其从网络上断开,包括播号连接。如果在恢复过程中,没有断开被侵入系统和网络的连接,入侵者就可能破坏所进行恢复工作。 进行系统恢复也会丢失一些有用信息,如入侵者正在使用的扫描程序或监听进程。因此想要继续追踪入侵者时,可以不采取这样的措施,以免被入侵者发现。但是,也要采取其他一些措施,避免入侵蔓延。,14,3. 复制一份被侵入系统的映像,在进行入侵分析之前,最好对被入侵系统进行备份(如使用UNIX命令dd)。这个备份在恢复失败是非常有用。,4. 入侵评估
11、,入侵评估包括入侵风险评估、入侵路径分析、入侵类型确定和入侵涉及范围调查。下面介绍围绕这些工作进行的调查工作。,(1)详细审查系统日志文件和显示器输出,检查异常现象。 (2)入侵者遗留物分析。包括 检查入侵者对系统文件和配置文件的修改; 检查被修改的数据 检查入侵者留下的工具和数据 检查网络监听工具 (3)其他,如网络的周遍环境和涉及的远程站点。,15,5. 清除后门,后门是入侵者为下次攻击打下的埋伏,包括修改了的配置文件、系统木马程序、修改了的系统内核等。,6. 记录恢复过程中所有的步骤,毫不夸张地讲,记录恢复过程中采取的每一步措施,是非常重要的。恢复一个被侵入的系统是一件很麻烦的事,要耗费
12、大量的时间,因此经常会使人作出一些草率的决定。记录自己所做的每一步可以帮助你避免作出草率的决定,还可以留作以后的参考,也还可能对法律调查提供帮助。,16,7. 系统恢复,各种安全事件预案的执行都是为了使系统在事故后得以迅速恢复。对于服务器和数据库等系统特别重要设备,则需要单独订立紧急恢复预案。,(1)服务器的恢复,一旦服务器因故障完全停止运行,常规的恢复方法是在一个新的硬件平台上重建。步骤如下: a)安装服务器操作系统; b)安装所有需要的驱动程序; c)安装所有需要的服务软件包; d)安装所有需要的流行修补程序和安全修补程序; e)安装备份软件; f)安装备份软件需要的修补程序; g)恢复最
13、后一次完全备份磁带; h)恢复所有增量备份或差异备份磁带。 显然,用手工进行服务器的恢复是非常麻烦的。如果能设计一种专门的软件包,可以生成存有服务器镜像文件的启动盘,来恢复服务器,就便利多了。,17,7. 系统恢复,(2)数据库系统的恢复,数据库恢复的目的是在足够备份的基础上,使数据库尽快恢复到正常。其中包括: a)数据文件恢复:把备份文件恢复到原来位置。 b)控制文件恢复:控制文件受损时,要将其恢复到原位重新启动。 c)文件系统恢复:在大型操作系统中,可能会因介质受损,导致文件系统被破坏。其恢复步骤为: 将介质重新初始化; 重新创建文件系统; 利用备份完整地恢复数据库中的数据; 启动数据库系
14、统。,18,5.2 数据容错、数据容灾和数据备份,信息系统是脆弱的,它的可靠性不断遭受者威胁。为了保证系统的可靠性,经过长期摸索,人们总结出了三条途径:避错、纠错和容错。避错是完善设计和制造,试图构造一个不会发生故障的系统。但是,这是不太现实的。任何一个系统总会有纰漏。因此,人们不得不用纠错作为避错的补充。一旦系统出现故障,可以通过检测和核实来消除,在进行系统的恢复。 容错是第三条途径。其基本思想是,即使出现错误,系统也还能执行一组规定的程序。或者说,程序不会因为系统中的故障而中断或被修改,并且故障也不引起执行结果的差错。或者简单地说,容错就是系统可以抵抗错误的能力。 容灾是针对灾害而言的。灾
15、害对系统危害要比错误要大、要严重。 从保护数据的安全性出发,数据备份是数据容错、数据容灾以及数据恢复的重要保障。,19,5.2.1 数据容错系统与基本技术,1. 容错系统分类,根据容错系统的应用环境,可以将容错系统分为如下5种类型。 (1)高可用度系统 可用度用系统在某时刻可以运行的概率衡量。高可用度系统面向通用计算机系统,用于执行各种无法预测的用户程序,主要面向商业市场。 (2)长寿命系统 长寿命系统在其生命期中不能进行人工维修,常用于航天系统中。它实际上也是一种容灾系统。 (3)延迟维修系统 这也是一种容灾系统,用于航空等在一定阶段不能进行维修的场合。 (4)高性能系统 这类系统对于故障(
16、瞬时或永久)都非常敏感,应当具有瞬时故障的自动恢复能力,并增加平均无故障时间。 (5)关键任务系统 这类系统出错可能危机人的生命或造成重大经济损失,要求处理正确无误,而且故障恢复时间要最短。,20,2. 常用数据容错技术,(1)“空闲”设备 “空闲”设备也称双件热备,就是配置两套相同的部件。在正常状态下,一个运行,另一个空闲。当正常运行的部件出现故障时,原来空闲的一台立即替补。 (2)镜像 镜像是把一份工作交给两个相同的部件同时执行。这样在一个部件出现故障时,另一个部件继续工作。 (3)复现 复现也称延迟镜像。复现与镜像一样需要两个系统,但是它把一个称为原系统,一个称为辅助系统;辅助系统从原系统中接收数据。与原系统中的数据相比,辅助系统的数据接收存在一定延迟。当原系统出现故障时,辅助系统只能在接近故障点的地方开始工作。与镜像相比,复现同一时间只需管理一套设备。 (4)负载均衡 负载均衡就是将一个任务分解成多个子任务,分配给不同的服务器执行,通过减少每个部件的工作量,增加系统的稳定性。,21,5.2.2 数据容灾系统与基本技术,真正的数据容灾就是要能在灾难发生时,全面、及时地恢复整个系
