《企业网络安全系统应急响应方案设计》由会员分享,可在线阅读,更多相关《企业网络安全系统应急响应方案设计(9页珍藏版)》请在金锄头文库上搜索。
1、企业网络安全应急响应方案事实证明,事先制定一个行之有效的网络安全事件响应计划( 在本文后续描述中简称事件响应计划 ) ,能够在出现实际的安全事件之后,帮助你及你的安全处理团队正确识别事件类型, 及时保护日志等证据文件,并从中找出受到攻击的原因,在妥善修复后再将系统投入正常运 行。有时,甚至还可以通过分析保存的日志文件,通过其中的任何有关攻击的蛛丝马迹找到 具体的攻击者,并将他 (她) 绳之以法。一、制定事件响应计划的前期准备 制定事件响应计划是一件要求严格的工作,在制定之前,先为它做一些准备工作是非常 有必要的,它将会使其后的具体制定过程变得相对轻松和高效。这些准备工作包括建立事件 响应小姐并
2、确定成员、明确事件响应的目标,以及准备好制定事件响应计划及响应事件时所 需的工具软件。1、建立事件响应小组和明确小组成员任何一种安全措施,都是由人来制定,并由人来执行实施的,人是安全处理过程中最重 要的因素,它会一直影响安全处理的整个过程,同样,制定和实施事件响应计划也是由有着 这方面知识的各种成员来完成的。既然如此,那么在制定事件响应计划之前,我们就应当先 组建一个事件响应小组,并确定小组成员和组织结构。至于如何选择响应小组的成员及组织结构,你可以根据你所处的实际组织结构来决定, 但你应当考虑小组成员本身的技术水平及配合能达到的默契程度,同时,你还应该明白如何 保证小组成员内部的安全。一般来
3、说,你所在组织结构中的领导者也可以作为小组的最高领 导者,每一个部门中的领导者可以作为小组的下一级领导, 每个部门的优秀的 IT 管理人员可 以成为小组成员, 再加上你所在的 IT 部门中的一些优秀成员, 就可以组建一个事件响应小组 了。响应小组应该有一个严密的组织结构和上报制度,其中, IT 人员应当是最终的事件应对 人员,负责事件监控识别处理的工作, 并向上级报告 ; 小组中的部门领导可作为小组响应人员 的上一级领导,直接负责督促各小组成员完成工作,并且接受下一级的报告并将事件响应过 程建档上报 ; 小组最高领导者负责协调整个事件响应小组的工作,对事件处理方法做出明确决定,并监督小组每一次
4、事件响应过程。在确定了事件响应小组成员及组织结构后,你就可以将他们组织起来,参与制定事件响 应计划的每一个步骤。2、明确事件响应目标在制定事件响应计划前, 我们应当明白事件响应的目标是什么 ?是为了阻止攻击, 减小损 失,尽快恢复网络访问正常,还是为了追踪攻击者,这应当从你要具体保护的网络资源来确 定。在确定事件响应目标时,应当明白,确定了事件响应目标,也就基本上确定了事件响应 计划的具体方向,所有将要展开的计划制定工作也将围绕它来进行,也直接关系到要保护的 网络资源。因此,先明确一个事件响应的目标,并在执行时严格围绕它来进行,坚决杜绝违 背响应目标的处理方式出现,是关系到事件响应最终效果的关
5、键问题之一。应当注意的是,事件响应计划的目标,不是一成不变的,你应当在制定和实施的过程中 不断地修正它,让它真正适应你的网络保护需要,并且,也不是说,你只能确定一个响应目 标,你可以根据你自身的处理能力,以及投入成本的多少,来确定一个或几个你所需要的响 应目标,例如,有时在做到尽快恢复网络正常访问的同时,尽可能地收集证据,分析并找到 攻击者,并将他 ( 她) 绳之以法。3、准备事件响应过程中所需要的工具软件对于计算机安全技术人员来说, 有时会出现三分技术七分工具情况。 不论你的技术再好, 如果需要时没有相应的工具,有时也只能望洋兴叹。同样的道理,当我们在响应事件的过程 当中,将会用到一些工具软
6、件来应对相应的攻击方法,我们不可能等到出现了实际的安全事 件时,才想到要使用什么工具软件来进行应对,然后再去寻找或购买这些软件。这样一来, 就有可能会因为某一个工具软件没有准备好而耽误处理事件的及时性,引起事件影响范围的 扩大。因此,事先考虑当我们应对安全事件之时,所能够用得到的工具软件,将它们全部准 备好,不管你通过什么方法得到,然后用可靠的存储媒介来保存这些工具软件,是非常有必 要的。我们所要准备的工具软件主要包括数据备份恢复、网络及应用软件漏洞扫描、网络及应 用软件攻击防范,以及日志分析和追踪等软件。这些软件的种类很多,在准备时,得从你的 实际情况出发, 针对各种网络攻击方法, 以及你的
7、使用习惯和你能够承受的成本投入来决定。下面列出需要准备哪些方面的工具软件:(1) 、系统及数据的备份和恢复软件。(2) 、系统镜像软件。(3) 、文件监控及比较软件。(4) 、各类日志文件分析软件。(5) 、网络分析及嗅探软件。(6) 、网络扫描工具软件。(7) 、网络追捕软件。(8) 、文件捆绑分析及分离软件,二进制文件分析软件,进程监控软件。(9) 、如有可能,还可以准备一些反弹木马软件。 由于涉及到的软件很多,而且又有应用范围及应用平台之分,你不可能全部将它们下载 或购买回来,这肯定是不够现实的。因而在此笔者也不好一一将这些软件全部罗列出来,但 有几个软件,在事件响应当中是经常用到的,例
8、如, Securebacker 备份恢复软件, Nikto 网 页漏洞扫描软件,Namp网络扫描软件,Tcpdump(WinDump网络监控软件,Fport端口监测软件, Ntop 网络通信监视软件, RootKitRevealer(Windows 下)文件完整性检查软件, ArpwatchARP 检测软件,OSSECHID入侵检测和各种日志分析工具软件,微软的BASE分析软件,SNOR基于网络入侵检测软件, SpikeProxy 网站漏洞检测软件, Sara 安全评审助手, NetStumbler 是 802.11 协议的嗅探工具, 以及 Wireshark 嗅探软件等都是应该拥有的。 还有
9、一些好用的软件 是操作系统本身带有的,例如 Nbtstat 、Ping 等等,由于真的太多,就不再在此列出了,其 实上述提到的每个软件以及所有需要准备的软件,都可以在一些安全类网站上下载免费或试 用版本。准备好这些软件后,应当将它们全部妥善保存。你可以将它们刻录到光盘当中,也可以 将它们存入移动媒体当中,并随身携带,这样,当要使用它们时随手拿来就可以了。由于有 些软件是在不断的更新当中的, 而且只有不断升级它们才能保证应对最新的攻击方法, 因此, 对于这些工具软件,还应当及时更新。二、制定事件响应计划 当上述准备工作完成后,我们就可以开始着手制定具体的事件响应计划。在制定时,要 根据在准备阶段
10、所确立的响应目标来进行。并且要将制定好的事件响应计划按一定的格式装 订成册,分发到每一个事件响应小组成员手中。由于每个网络用户具体的响应目标是不相同的,因而就不可能存在任何一个完全相同的 事件响应计划。但是,一个完整的事件响应计划,下面所列出的内容是不可缺少的:(1) 、需要保护的资产 ;(2) 、所保护资产的优先级 ;(3) 、事件响应的目标 ;(4) 、事件处理小组成员及组成结构,以及事件处理时与它方的合作方式 ;(5) 、事件处理的具体步骤及注意事项 ;(6) 、事件处理完成后文档编写存档及上报方式 ;(7) 、事件响应计划的后期维护方式 ;(8) 、事件响应计划的模拟演练计划。上述列出
11、项中的第一项和第二项所要说明的内容应该很容易理解,这些在制定安全策略 时就会考虑到的,应该很容易就能够完成,还用上述列出项中的第三项和第四项,也已经在 本文的制定事件响应计划准备节时说明了,就不再在本文中再做详细说明。至于上述列出项 中的第五、第六、第七和第八项,笔者只在此将它们的大概意思列出来,因为要在下面分别 用一个单独的小节,给它们做详细的说明。在制定事件响应计划过程当中,还应当特别注意的是:事件响应计划要做到尽量详细和 条理清晰,以便事件响应小组成员能够很好地明白。这要求,在制定过程当中,应当从自身 的实际情况出发,认真仔细地调查和分析实际会出现的各种攻击事件,组合各种资源,利用 头脑
12、风暴的方法,不断细化事件响应计划中的每一个具体应对方法,不断修订事件响应的目 标,以此来加强事件响应计划的可扩展性和持续性,使事件响应计划真正适应实际的需求 同时,不仅每个事件响应小组的成员都应当参加进来,而且,包括安全产品提供商,各个合 作伙伴,以及当地的政府部门和法律机构都应当考虑进来。总之,一定要将事件响应计划尽可能地做到与你实际响应目标相对应。三、事件响应的具体实施在进行事件响应之前,你应该非常明白一个道理,就是事件处理时不能违背你制定的响 应目标,不能在处理过程中避重就轻。例如,本来是要尽快恢复系统运行的,你却只想着如 何去追踪攻击者在何方,那么,就算你最终追查到了攻击者,但此次攻击
13、所带来的影响却会 因此而变得更加严重,这样一来,不仅不能给带来什么样成就感,反而是得不偿失的。但如 果你事件响应的目标本身就是为了追查攻击者,例如网络警察,那么对如何追踪攻击者就应 当是首要目标了。事实证明,按照事先制定的处理步骤来对事件进行响应,能减少处理过程当中的杂乱无 章,减少操作及判断失误而引起的处理不及时,因此,所有事件响应小组的成员,不仅要熟 习整个事件响应计划,而且要特别熟练事件处理时的步骤。总体来说,一个具体的事件响应步骤,应当包括五个部分:事件识别,事件分类,事件 证据收集,网络、系统及应用程序数据恢复,以及事件处理完成后建档上报和保存。现将它 们详细说明如下:1、事件识别在
14、整个事件处理过程当中,这一步是非常重要的,你必需从众多的信息中,识别哪些是 真正的攻击事件,哪些是正常的网络访问。事件识别,不仅要依赖安全软件及系统所产生的各种日志中的异常记录项来做出判断, 而且也与事件识别者的技术水平及经验有很大的关系。这是因为,不仅安全软件有误报和漏 报的现象,而且,攻击者往往会在成功入侵后,会用一切手段来修改这些日志,以掩盖他的 行踪,让你无法从日志中得到某些重要的信息。这时,一个有着丰富经验的事件识别者,就 可以通过对网络及系统中某种现象的判断,来决定是否已经受到了攻击。有了可靠的日志,再加上在受到了攻击时会出现各种异常现象,我们就可以通过分析这 些日志文件中的记录项
15、,以及对各种现象的判断来确定是否受到了真正的攻击。因此,如果 日志中出现了下面列出项中的记录,或网络和主机系统出现了下面列出项中的现象,就一定 表明你所监控的网络或主机已经或正在面临着某种类别的攻击:(1) 、日志文件中记录有异常的没有登录成功的审计事件 ;(2) 、日志文件中有成功登录的不明账号记录 ;(3) 、日志文件中存在有异常的修改某些特殊文件的记录 ;(4) 、日志文件中存在有某段时间来自网络的不正常扫描记录 ;(5) 、日志文件中存在有在某段时间启动的不明服务进程的记录 ;(6) 、日志文件中存在有特殊用户权限被修改或添加了不明用户账号的记录 ;(7) 、日志文件中存在有添加了某种
16、不明文件的记录 ;(8) 、日志文件中存在有不明软件主动向外连接的记录 ;(9) 、查看日志文件属性时,时间戳不对,或者日志文件大小与你的记录不相符(10) 、查看日志文件内容时,发现日志文件中的某个时间段不存在或被修改 ;(11) 、发现系统反应速度变慢,或在某个时间段突然变慢,但已经排除了系统硬件性能 影响的原因 ;(12) 、发现系统中安全软件被停止,正常服务被停止 ;(13) 、发现网站网页被篡改或被删除替换 ;(14) 、发现系统变得不稳定,突然死机,系统资源占用过大,不断重启 ;(15) 、发现网络流量突然增大,查看发现对外打开了不明端口 ;(16) 、发现网卡被设为混杂模式 ;(17) 、某些正常服务不能够被访问等等。能够用来做出判断异常记录和异常现象还有很多,笔者就不在这里全部列出了。这要求 事件响应人
