《自有重要系统遭入侵应急预案》由会员分享,可在线阅读,更多相关《自有重要系统遭入侵应急预案(25页珍藏版)》请在金锄头文库上搜索。
1、自有重要系统遭入侵应急预案目录1目的 12 适用范围 13 应急保障组织和职责 14 网络与信息安全事件分级 35预防预警 36 入侵事件应急响应 46.1应急响应流程46.2入侵事件的分类处置66.2.1攻击试探事件66.2.2正在进行的入侵事件76.2.3 攻击行为已经完成96.3应急处理动作参考96.3.1 Unix应急处理参考96.3.2 Windows应急处理参考146.3.3网络设备应急处理参考197 后期处置 218 附录 218.1网络与信息安全事件报告表218.2网络与信息安全事件处理结果报告表221 / 2511 目的提高自有重要系统遭入侵应急处置能力,建立健全应急工作机制
2、,进一步加强网络与 信息安全事件与威胁的监测能力、预防能力、保障能力与应对能力,确保重要保障期间突发 网络与信息安全事件得到快速、高效处置,预防和减少各类事件造成的损失和危害,特制定 本预案。2 适用范围本预案适用依托XXXX公司网络运行的自有的关系国计民生、社会稳定的省内重要计算机信息系统。本预案适用于公司自有重要系统因网络攻击、信息破坏等导致的网络与信息安全事件的应急处置工作,或公司应急指挥领导机构认为必要时启动本预案。3 应急保障组织和职责成立应急保障组,提供详细准确的领导组、工作组联系方式。应急工作领导小组成员名单”1*部门及职务电话邮件应急工作组成员名单相关机构和联系方式机构名称联系
3、人联系电话邮件XX省通信管理局XX省公安厅公共信 息网络安全监察总队XX互联网应急中心YNCERT集团应急办4 网络与信息安全事件分级根据网络与信息安全事件的分级考虑要素,将XXXX公司网络与信息安全事件划分为 四个级别:I级(特别严重)、II级(严重)、III级(较重)和IV (一般)四级。特别严重网络与信息安全事件(I级)是指造成直接经济损失大于XXX万元,扩散性 很强,造成全局的重要信息系统瘫痪,衍生其他重大安全事件。严重网络与信息安全事件(II级)。指造成直接经济损失XX万至XXX万元,扩散性 强,或发生在涉及大量客户端的造成重要信息系统无法使用,或发生在涉及全局的造成非重 要应用系统
4、瘫痪。较重网络与信息安全事件(III级)。指造成直接经济损失XX万至XX万元,基本无扩 散性,或发生在涉及部分客户端的造成重要信息系统无法使用,或发生在涉及大量客户端的 造成非重要信息系统瘫痪的。一般网络与信息安全事件(W级)。指造成直接经济损失XX万元以内,无扩散性,发 生在涉及少量客户端的造成重要信息系统无法使用,或发生在涉及部分客户端的造成非重要 信息系统瘫痪的。5 预防预警预防预警是应急响应迅速启动的关键。各单位利用自身的安全监控设备和工具,并结合 社会其它信息源(如安全厂商的公告、各类应急响应机构的公告等),及时发现网络与信息 安全威胁或事件发生的迹象和趋势,分析导致网络与信息安全事
5、件的根源,为网络与信息安 全应急响应工作提供支持。预警信息是指存在潜在安全威胁或隐患但尚未造成实际危害和影响的信息,或者对事件 信息分析后得出的预防性信息oXXXX公司网络与信息安全事件预警等级分为四级:I级(特 别严重)、II级(严重)、III级(较重)和IV (一般),I级为最高级,依次用红色、 橙色、黄色和蓝色表示,分别对应发生或可能发生特别重大、重大、较大、一般网络与信息 安全事件。XXXX 公司应建立并完善网络安全监测机制,提高监测能力,自主监测、自主定级管 理范围内的预警信息。预警信息由应急办按照如下要求报送。涉及XXXX公司的I级、II级预警信息,应于2小时内向集团公司和省通信管
6、理局 报告,抄送YNCERT。III级预警信息,应于4小时内向集团公司和省通信管理局报告, 抄送YNCERTo IV级预警信息,应于5个工作日内报送YNCERT,抄送省通信管理局。预警信息报送的内容应包括:(一)信息基本情况描述;(二)可能产生的危害及程度;(三)可能影响的用户及范围;(四)截止信息报送时,已知晓该信息的单位/人员范围;(五)建议应采取的应对措施及建议。未经集团公司和省通信管理局的审核和授权,不得发布网络与信息安全事件预警信息。6 入侵事件应急响应6.1 应急响应流程在发生网络与信息安全事件时,启动下列应急响应流程,应急响应流程如图1所示。图 1 应急响应流程 事件处理基本流程
7、主要包括以下内容:1)确认阶段:确定应急处理方式。(1)应急工作组接受异常事件报告后,分析是否存在网络与信息安全事件。(2)如存在网络与信息安全事件,对事件进行定级,同时上报给应急领导小组2) 遏制阶段:及时采取行动遏制事件发展。抑制事件的影响进一步扩大,限制潜在的损失与破坏,同时要确保封锁方法对涉及相关 业务影响最小。可能的抑制策略一般包括:关闭服务或关闭所有的系统,从网络上断开相关 系统,修改防火墙和路由器的过滤规则,封锁或删除被攻破的登录账号,阻断可疑用户得以 进入网络的通路,提高系统或网络行为的监控级别,设置陷阱,启用紧急事件下的接管系统, 实行特殊“防卫状态”安全警戒,反击攻击者的系
8、统等。3) 根除阶段:彻底解决问题隐患。在事件被抑制之后,通过对有关事件或行为的分析结果,找出事件根源,明确相应的补 救措施并彻底清除。与此同时,执法部门和其他相关机构将对攻击源进行定位并采取合适的 措施将其中断。4) 恢复和跟踪阶段。在确保安全问题解决后,要及时清理系统、恢复数据、程序、服务。恢复工作应避免出 现误操作导致数据的丢失。另外,恢复工作中如果涉及到机密数据,需遵照机密系统的恢复 要求。6.2 入侵事件的分类处置按照入侵事件进行的过程和所处的阶段,可以分成三种类型: 攻击者正在试图取得访问系统的权限; 已经建立连接,攻击正在进行时; 攻击已经完成。在这三种类型的事件中,攻击正在进行
9、时的情形最严峻,必须尽快处理。处理正在进行 的入侵事件有两种方法,一种是立即切断入侵者和系统的连接,将系统恢复到安全的状态; 第二种方法是不惊动攻击者,尽量收集信息以确定攻击源或作为法律证据。这两种方法的选 择取决于对本次入侵者行为可能造成的风险的估计。6.2.1攻击试探事件这种类型的事件的特征为:多次登录尝试,多次或rsh尝试、反复拨号尝试等。第一步:确定问题通过系统日志文件和活动的网络连接来识别入侵者的来处,备份所有审计信息, 如:系统日志文件,root的history文件,utmp和wtmp文件,并妥善保存这些文件。 列出进程状态信息,并将其存在文件中妥善保存。同时记录所有工作活动。 第
10、二步:通知公司的安全管理员在30分钟内通知安全管理员,如果不能及时找到安全管理员,就通知安全主管或 安全管理员的备份人员。安全管理员或其备份人员负责通知其它层次的管理人员。 第三步:识别攻击源如果能够找到攻击的来源,安全管理员或其指定的专人应该负责和对方的系统管 理员或安全分析员联系,尽量找出攻击的发起者。如果找到了攻击者,应该把相关信 息通知安全主管或者省公司分管安全领导,由他们来决定怎样处理。同时记录所有工 作活动。第四步:通知 CERT如果不能找到攻击者,安全管理员应该与CERT和本地通管局取得联系,向他们提 供与攻击相关的信息。同时记录所有工作活动。注意,信息的发布必须得到省公司分管安
11、全领导或他指定的负责人的许可。 第五步:事后处理在调查之后,安全管理员或安全主管应该指定相关人员对此次事件写一份报告, 针对事件和采取的行为进行描述,并执行事后分析。6.2.2正在进行的入侵事件这种类型的事件包括系统上任何非授权人员建立的活动会话和执行命令的行为, 如:活动的rlogin或telnet会话,活动的ftp会话。由于入侵者可能在很短的时间内破坏系统,事件响应的时间非常重要,所以在处 理这类事件时,应该首先由省公司分管安全领导或其指定的人员在综合考虑监控人员 的能力和可能造成的风险的前提下决定是立即将入侵者驱逐出系统还是在不惊动入侵 者的情况下收集证据。第一步:通知相关人员尽快通知安
12、全管理员,如果在 5 分钟内无法和他取得联系则立即通知备份人员。安全管理员负责通知其他相关人员,并且在系统分析员的帮助下估计入侵者下一步行 为,并针对入侵者继续活动的风险进行评估。安全管理员应该尽快通知安全主管,如果在10 分钟之内不能办到,立即通知备份 人员。安全主管决定是立即将入侵者驱逐出系统还是在不惊动入侵者的情况下收集证 据。不同的决定有不同的处理过程。安全管理员或安全主管应该在30 分钟内通知省公司分管安全领导,必要时,省公 司分管安全领导将情况向上级管理者汇报。第二步:系统快照对所有审计信息(如:系统日志文件,root的history文件,utmp和wtmp文件 等)进行备份,并妥
13、善保管;获取所有进程的状态信息并将其存在一个文件里,安全存放文件; 所有可疑的文件都应该先转移到安全的地方或在磁带里存档,然后将其删除; 列出所有活动的网络连接,在分析员的帮助下获得系统的快照,记录所有的行为。 第三步:驱逐入侵者杀掉所有活动的入侵进程,并删除入侵者在系统中留下的文件和程序; 改变所有入侵者访问过的帐户的口令,删除入侵者自己开的帐号。同时记录所有 工作活动。第四步:恢复系统将系统恢复到日常运行状态,恢复被入侵者修改的数据和文件;安装系统pat ch,修补系统漏洞,通知相应的人员;此次事件所有恢复系统的行为都应该记录在案。第五步:事后分析在进行调查之后,由安全管理员或安全主管 和
14、相关人员提交一份对事件全过程的 总结报告。第六步:监控入侵者行为对入侵者行为的监控没有固定的过程,每个事件都有不同的情况。省公司分管安 全领导或者其授权的人应该指导整个监控过程。当驱逐入侵者的时机成熟时,按照第三步执行。6.2.3攻击行为已经完成如果在事件发生以后才觉察,通常很难找到足够的信息来分析入侵者怎样获得访 问系统的权限。如果发现曾经有人闯入过系统,应该在第一时间通知安全管理员,安 全管理员负责通知相关人员进行事件调查和处理。6.3 应急处理动作参考6.3.1Unix 应急处理参考Unix系统应急处理主要事项Unix 系统的入侵检测方法主要包括:检查系统运行的进程,检查系统开放的端口,
15、 鉴定未授权的用户账号或组,检查相关程序(命令)、文件的权限,检查所有相关的日志, 寻找异常或隐藏文件等。可以采用手工和工具检查相结合的方式进行。一、手工检查与审计下面就各种检查项目做一下详细说明。1、检查端口与网络连接Netstat可以显示TCP和UDP所有打开的端口。Lsof列举所有运行进程及其所打开的文件描述符,其中包括常规文件,库文件,目 录,UNIX流,套接字等。Arp可以显示系统当前IP-MAC对应表,而且能手动设置静态IP-MAC对应表。如果发现的已打开的端口无法识别,则应对它们进行调查以确定在该计算机上是否需 要对应的服务。如果不需要该服务,则应禁用或删除相关的服务以防止计算机在该端口上监 听。也可以通过该命令检查有哪些相关的连接,也许恶意的连接就在这里。以太网中的arp 欺骗能改变数据流向,可用来窃听用户数据,其症状表现为异常的IP-MAC对应表。方法:Netstat
