信息系統(tǒng)安全應急響應處置介紹樊運安協(xié)會專家組成員CISSPCISPCOBITITIL目錄應急響應體系應急響應案例其他應急響應定義1

應急響應（Emergencyresponse）組織為了應對突發(fā)/重大信息安全事件的發(fā)生所做的準備，已及在事件發(fā)生后所采取的的措施。——（信息安全應急響應計劃規(guī)范GB/T24363-2009）

應急響應通常是指一個組織為了應對各種意外事件的發(fā)生所做的準備以及在事件發(fā)生后所采取的措施。

信息系統(tǒng)安全事件應急響應的對象是指針對信息系統(tǒng)所存儲、傳輸、處理的信息的安全事件。事件的主體可能來自自然界、系統(tǒng)自身故障、組織內(nèi)部或外部的人為攻擊等。按照信息系統(tǒng)安全的三個特性，可以把安全事件定義為破壞信息或信息處理系統(tǒng)CIA的行為，即破壞保密性的安全事件、破壞完整性的安全事件和破壞可用性的安全事件等。——（信息系統(tǒng)等保體系框架GA/T708-2007）應急響應的定義2信息安全響應的定義3

信息安全應急響應是指在計算機系統(tǒng)或網(wǎng)絡上的威脅安全的事件發(fā)生后采取的措施和行動。這些措施和行動通常是用來減小和阻止事件帶來的負面影響和破壞的后果。信息安全應急響應是解決網(wǎng)絡系統(tǒng)安全問題的有效安全服務手段之一。應急處置定義應急處置啟動應急響應計劃后，應立即采取相關措施抑制信息安全事件影響，避免造成更大損失。在確定有效控制了信息安全事件影響后，開始實施恢復操作。恢復階段的行動集中于建立臨時業(yè)務處理能力、修復原系統(tǒng)的損害、在原系統(tǒng)或新設施中恢復運行業(yè)務能力等應急措施。——（信息安全應急響應計劃規(guī)范GB/T24363-2009）信息安全應急響應產(chǎn)生的背景MorrisWorm1988年Morris蠕蟲病毒事件爆發(fā)后，世界上第一個應急響應組織成立----CERT/CCCNCERT/CC的職能CNCERT/CC(國家互聯(lián)網(wǎng)應急中心)作為國家級應急組織，主要業(yè)務包括如下：我國信息安安全應急響響應管理體體系信息安全應應急響應法法規(guī)標準信息安全應應急響應要要求—信息安全等等級保護應急預案管理a)

應在統(tǒng)一的應急預案框架下制定不同事件的應急預案，應急預案框架應包括啟動應急預案的條件、應急處理流程、系統(tǒng)恢復流程、事后教育和培訓等內(nèi)容；b)

應從人力、設備、技術和財務等方面確保應急預案的執(zhí)行有足夠的資源保障；c)

應對系統(tǒng)相關的人員進行應急預案培訓，應急預案的培訓應至少每年舉辦一次；d)

應定期對應急預案進行演練，根據(jù)不同的應急恢復內(nèi)容，確定演練的周期；e)

應規(guī)定應急預案需要定期審查和根據(jù)實際情況更新的內(nèi)容，并按照執(zhí)行。安全事件處置a)

應報告所發(fā)現(xiàn)的安全弱點和可疑事件，但任何情況下用戶均不應嘗試驗證弱點；b)

應制定安全事件報告和處置管理制度，明確安全事件的類型，規(guī)定安全事件的現(xiàn)場處理、事件報告和后期恢復的管理職責；c)

應根據(jù)國家相關管理部門對計算機安全事件等級劃分方法和安全事件對本系統(tǒng)產(chǎn)生的影響，對本系統(tǒng)計算機安全事件進行等級劃分；d)

應制定安全事件報告和響應處理程序，確定事件的報告流程，響應和處置的范圍、程度，以及處理方法等；f)

對造成系統(tǒng)中斷和造成信息泄密的安全事件應采用不同的處理程序和報告程序。應急響應組組織結構應急領導小組應急專家小組應急響應

技術保障小組應急響應

日常運行小組應急響應

實施小組1）組織開展展應急響應應工作2）應急響應應啟動條件件的決策3）應急響應應所需資源源的協(xié)調(diào)。。。。。。。1）應急響應應事件的咨咨詢2）應急響應應事件的綜綜合評估。。。。。。。1）應急事件件技術能力力的支撐2）技術資源源協(xié)調(diào)。。。。。。。1）應急事件件的日常監(jiān)監(jiān)控2）應急事件件的響應。。。。。。。1）應急事件件的處理2）重要信息息系統(tǒng)的業(yè)業(yè)務能力恢恢復。。。。。。。網(wǎng)絡釣魚事事件網(wǎng)頁內(nèi)嵌惡惡意代碼事事件應急事件類類型有害程序事事件混合攻擊程程序事件計算機病毒毒事件蠕蟲事件特洛伊木馬馬事件僵尸網(wǎng)絡事事件網(wǎng)絡攻擊事事件網(wǎng)絡掃描竊竊聽事件拒絕服務攻攻擊事件后門攻擊事事件漏洞攻擊事事件網(wǎng)絡釣魚事事件干擾事件信息內(nèi)容安安全事件信息破壞事事件信息丟失事事件信息篡改事事件信息假冒事事件信息泄露事事件信息竊取事事件設備設施故故障軟硬件自身身故障外圍保障設設施故障人為破壞事事件災害性事故故自然災害人為災害應急事件等等級事件描述等級信息安全事件影響信息系統(tǒng)損害程度特別重大事件I級特別嚴重影響或破壞特別嚴重重大事件II級嚴重影響或破壞重大較大事件III級較嚴重影響或破壞較大一般事件IV級較小影響或破壞較小信息安全應應急響應流流程信息安全應應急響應流流程—準備階段分析資產(chǎn)的風險1）明確信息系統(tǒng)網(wǎng)絡與系統(tǒng)架構。

2）明確信息系統(tǒng)的管理人員。

3）明確信息系統(tǒng)的保護要求。

4）計算損失和影響。風險加固1）根據(jù)風險建立防御/控制措施。

2）安全管理及安全技術層面要同時兼顧。編制應急預案1）制定應急處理的操作步驟。

2）制定應急處理的報告路線。

3）制定信息系統(tǒng)恢復的優(yōu)先級順序。

4）明確配合的人員信息。信息安全應應急響應流流程—準備階段組建應急響應團隊1）組建管理人員團隊。2）組建技術人員團隊。

3）明確人員職責。4）建立應急響應組織人員清單。保障資源儲備1）信息安全應急響應專項資金。2）應急響應所需的軟硬件設備。3）社會關系資源。技術支持資源庫1）網(wǎng)絡拓撲圖。2）信息系統(tǒng)及設備安裝配置文檔。

3）常見問題處理手冊。

。。。。。。信息安全應應急響應流流程—檢測階段日常運維監(jiān)控1）收集各類故障信息。2）確認信息系統(tǒng)的實時運行狀況。

3）信息安全事件探測。事件判斷1）確認事件給信息系統(tǒng)帶來的影響。

2）確認事件給信息系統(tǒng)造成的損害程度。3）一般事件與應急事件的判定。事件上報1）確認應急事件類型。2）確認應急事件等級。3）通知相關人員。

4）啟動應急預案。信息安全應應急響應流流程—抑制階段控制事件蔓延1）采取有效的措施防止事件的進一步擴大。

2）盡可能減少負面影響。抑制響應1）采取常規(guī)的技術手段處理應急事件。

2）嘗試快速修復系統(tǒng)，消除應急事件帶來的影響。抑制監(jiān)測1）確認當前的抑制手段是否有效。

2）分析應急事件發(fā)生的原因，為根除階段提供解決方案。信息安全應應急響應流流程—根除、恢復復階段啟動應急預案1）協(xié)調(diào)各應急響應小組人員到位。2）根據(jù)應急場景啟動相關預案。根除監(jiān)測1）根據(jù)應急預案的執(zhí)行情況確認處置是否有效。

2）嘗試恢復信息系統(tǒng)的正常運行。持續(xù)監(jiān)測1）當應急處置成功后對應急事件持續(xù)監(jiān)測。

2）確認應急事件已根除。

3）信息系統(tǒng)運行恢復到正常狀況。信息安全應應急響應流流程—事后活動階階段應急響應情況報告1）由應急響應實施小組報告應急事件的處置情況。2）由應急響應領導小組下達應急響應結束的指令。應急事件調(diào)查1）對應急事件發(fā)生的原因進行調(diào)查。

2）評估應急事件對信息系統(tǒng)造成的損失。

3）評估應急事件對單位、組織帶來的影響。應急響應總結1）對存在的風險點進行加固和整改。

2）評價應急預案的執(zhí)行情況和后續(xù)改進計劃。

3）對應急響應組織成員進行評價，表彰立功人員。應急預案的的定義應急預案是是指針對可可能發(fā)生的的事故，為為迅速、有有序地開展展應急行動動而預先制制定的行動動方案。應急預案的的類型組織開展應應急響應工工作的指導導性文件具體類型的的安全事件件解決方案案針對場景的的一次性解解決方案特定環(huán)境下下、特定安安全事件的的處理方案案應急預案框框架一級目錄

（行業(yè)指引）二級目錄

（綜合預案）三級目錄

（特定系統(tǒng)預案）四級目錄

（專題預案）五級目錄

（技術資源庫）組織開展信息安全應急響應工作指南

信息安全應急綜合預案

應用系統(tǒng)專項應急預案XX機房空調(diào)應急預案XX產(chǎn)品安裝配置文檔

XX產(chǎn)品常見問題處理手冊

XX產(chǎn)品問題處理單主機系統(tǒng)專項應急預案XX品牌服務器應急預案網(wǎng)絡系統(tǒng)專項應急預案XX品牌網(wǎng)絡交換機應急預案信息安全專項應急預案XX品牌防火墻應急預案應急預案的的文檔結構構應急預案的的編制步驟驟應急預案的的啟動執(zhí)行行過程信息安全應應急演練流流程目錄應急響應體系應急響應案例例其他知名公共案案例知名公共案案例-攜程知名公共案案例-攜程知名公共案案例-OpenSSL知名公共案案例-OpenSSL知名公共案案例-OpenSSL案例一：奧奧帆委網(wǎng)站站系統(tǒng)案例二：遺遺忘密碼案例三：DDOS攻擊應急響響應公司案例2007年6月，奧帆委官方網(wǎng)站站感覺異常常遠程測試發(fā)發(fā)現(xiàn)站點存存在多種漏漏洞SQL注入繞過安全驗證證漏洞上傳漏洞已經(jīng)存在多個個木馬Webshell案例一：奧奧帆委網(wǎng)站站系統(tǒng)典型注入攻擊擊-SQL注入SQL注入攻擊原原理SQL注入（SQLInjection）：程序員員在編寫代代碼的時候候，沒有對對用戶輸入入數(shù)據(jù)的合合法性進行行判斷，使使應用程序序存在安全全隱患。用用戶可以提提交一段數(shù)數(shù)據(jù)庫查詢詢代碼，根根據(jù)程序返返回的結果果，獲得某某些他想得得知的數(shù)據(jù)據(jù)或進行數(shù)數(shù)據(jù)庫操作作操作系統(tǒng)Web應用數(shù)據(jù)庫服務器123調(diào)用數(shù)據(jù)庫查詢直接調(diào)用操作系統(tǒng)命令通過數(shù)據(jù)庫調(diào)用操作系統(tǒng)命令43SQL注入Webshell后臺繞過登錄錄TipsWebshell/login.asp管理員管理員程序員考慮慮的場景:Username:adminPassword:p@$$w0rdSELECTCOUNT(*)FROMUsersWHEREusername='admin'andpassword='p@$$w0rd'登錄成功！！Tips程序員未預預料到的結結果……Username:admin'OR1=1--Password:1SELECTCOUNT(*)FROMUsersWHEREusername='admin'OR1=1--'andpassword='1'/login.asp攻擊者登錄成功功！‘是SQL字符串變變量的定定界符攻擊關鍵鍵通過定界界符成功功地將攻攻擊者的的意圖注注入到SQL語句中！！通過注釋釋保證SQL語句正確確！--是MSSQL的注釋符符Tips案例一：：奧帆委委網(wǎng)站系系統(tǒng)遠程監(jiān)控控案例一：：奧帆委委網(wǎng)站系系統(tǒng)現(xiàn)場值守守每日安全日日報階段性總總結報告告案例一：：奧帆委委網(wǎng)站系系統(tǒng)案例二：遺忘密密碼案例二：遺忘密密碼案例二：遺忘密密碼案例二：遺忘密密碼案例二：遺忘密密碼案例二：遺忘密密碼案例二：遺忘密密碼描述：某網(wǎng)絡管管理員發(fā)發(fā)現(xiàn)連續(xù)續(xù)幾天在在晚上18：00時左右，，WEB服務器網(wǎng)網(wǎng)站不能能正常訪訪問。案例三：DDOS攻擊應急急響應事件描述述分析：：客戶描述述根據(jù)客戶戶描述的的情況，，WEB服務無法法正常訪訪問屬于于緊急響響應安全全事件網(wǎng)絡現(xiàn)狀狀基本信信息遠程訪問問該WEB服務務器器，，無無法法打打開開頁頁面面事件件基基本本分分析析產(chǎn)生生的的可可能能性性：：a.WEB服務務未未啟啟動動b.主機機網(wǎng)網(wǎng)絡絡不不通通c.病毒毒問題題d.受到到拒拒絕絕服服務務攻攻擊擊e.防火火墻墻策策略略更更改改f.其他他原原因因案例例三：DDOS攻擊擊應應急急響響應應制定定方方案案：：到用用戶戶現(xiàn)現(xiàn)場場進進行行分分析析在事事件件重重現(xiàn)現(xiàn)前前部部署署監(jiān)監(jiān)控控工工具具，，流流量量分分析析，，協(xié)協(xié)議議分分析析等等判斷斷事事件件類類型型：：維維護護問問題題，，病病毒毒，，內(nèi)內(nèi)部部發(fā)發(fā)起起攻攻擊擊，，外外部部發(fā)發(fā)起起攻攻擊擊等等判斷斷受受攻攻擊擊目目標標：：主主機機受受到到攻攻擊擊，，WEB服務務受受到到攻攻擊擊，，網(wǎng)網(wǎng)絡絡設設備備受受到到攻攻擊擊，，網(wǎng)網(wǎng)絡絡帶帶寬寬受受到到攻攻擊擊判斷斷攻攻擊擊方方法法：：漏漏洞洞型型，，流流量量型型，，混混合合型型案例例三：DDOS攻擊擊應應急急響響應應事件件調(diào)調(diào)查查：：對數(shù)據(jù)據(jù)包包進進行行簡簡單單分分析析，，排排除除病病毒毒可可能能，，根根據(jù)據(jù)流流量量分分析析，，局局域域網(wǎng)網(wǎng)流流量量并并不不是是特特別別大大，，網(wǎng)網(wǎng)關關處處流流量量非非常常大大，，基基本本排排除除內(nèi)內(nèi)部部向向外外發(fā)發(fā)起起攻攻擊擊可可能能。。從從內(nèi)內(nèi)網(wǎng)網(wǎng)訪訪問問服服務務器器正正常常，，以以及及根根據(jù)據(jù)數(shù)數(shù)據(jù)據(jù)包包的的類類型型判判斷斷，，基基本本排排除除主主機機或或WEB服務務的的漏漏洞洞攻攻擊擊可可能能。。對收收集集到到的的數(shù)數(shù)據(jù)據(jù)包包的的包包頭頭進進行行分分析析，，存存在在大大量量的的tcpsyn包，，udp包以以及及少少量量icmp包，，和和未未知知ip包等等。。案例例三：DDOS攻擊擊應應急急響響應應SYNFlood攻擊擊：：此種種攻攻擊擊經(jīng)經(jīng)過過抓抓包包分分析析可可以以看看到到，，大大量量的的syn請求求發(fā)發(fā)向向目目標標地地址址，，而而syn包的的源源地地址址為為大大量量的的隨隨機機生生成成的的虛虛假假地地址址。。在目目標標主主機機上上使使用用netstat––an命令令可可以以看看到到大大量量syn連接接，，處處于于syn_received狀態(tài)態(tài)案例例三三：：DDOS攻擊擊應應急急響響應應如果果是是單單純純的的tcpsynflood攻擊擊，，未未達達到到限限速速的的情情況況下下，，可可以以使使用用性性能能較較好好的的，，具有有防synflood功能能的的設設備備進進行行防防護護。。如果果是是主主機機服服務務器器停停止止響響應應，，需需要要在在網(wǎng)網(wǎng)關關或或防防火火墻墻上上對對主主機機服服務務進進行行““代代理理””，，保保護護主主機機。。此此時時網(wǎng)網(wǎng)關關或或防防火火墻墻需需要要有有能能力力抵抵抗抗此此類類拒拒絕絕服服務務攻攻擊擊。。如果果攻攻擊擊數(shù)數(shù)據(jù)據(jù)包包是是崎崎型型數(shù)數(shù)據(jù)據(jù)包包，，需需要要網(wǎng)網(wǎng)關關或或防防火火墻墻能能抵抵抗抗此此類類拒拒絕絕服服務務攻攻擊擊。。如果果攻攻擊擊數(shù)數(shù)據(jù)據(jù)包包達達到到限限速速，，需需要要逐逐級級追追查查數(shù)數(shù)據(jù)據(jù)包包的的來來源源。。案例例三：DDOS攻擊擊應應急急響響應應對數(shù)數(shù)據(jù)據(jù)包包特特征征進進行行分分析析，，包包括括來來源源地地址址（（隨隨機機）），，端端口口，，TTL值，，序序列列號號，，協(xié)協(xié)議議號號等等等等。。在路路由由器器各各端端口口上上查查看看流流量量來來源源，，或或使使用用流流量量分分析析工工具具。。分分析析數(shù)數(shù)據(jù)據(jù)包包的的特特征征，，確確定定大大部部分分數(shù)數(shù)據(jù)據(jù)包包的的來來源源。。逐級級往往上上，，尋尋找找部部分分具具有有相相同同特特征征的的數(shù)數(shù)據(jù)據(jù)包包來來源源，，并并與與該該級級相相關關網(wǎng)網(wǎng)絡絡管管理理員員取取得得聯(lián)聯(lián)系系。。本案案例例中中初初步步定定位位到到有有部部分分相相同同特特征征的的攻攻擊擊數(shù)數(shù)據(jù)據(jù)包包來來源源于于某某托托管管機機房房。。案例例三：DDOS攻擊擊應應急急響響應應總結結：：網(wǎng)絡絡攻攻擊擊方方式式多多種種多多樣樣每種種網(wǎng)網(wǎng)絡絡設設備備、、安安全全產(chǎn)產(chǎn)品品都都能能解解決決一一定定問問題題設備備自自身身安安全全問問題題DD.o.S.的基基本本防防護護設設置置問問題題流量量監(jiān)控控，，數(shù)數(shù)據(jù)據(jù)包包、、事事件件等等統(tǒng)統(tǒng)計計分分析析必必不不可可少少案例例三：DDOS攻擊擊應應急急響響應應目錄錄應急響應應體系應急響應應案例例其他問題1：近視問題2：淹沒沒謝謝謝！9、靜靜夜夜四四無無鄰鄰，，荒荒居居舊舊業(yè)業(yè)貧貧。。。。12月月-2212月月-22Thursday,December29,202210、雨中黃葉葉樹，燈下下白頭人。。。03:49:0603:49:0603:4912/29/20223:49:06AM11、以以我我獨獨沈沈久久，，愧愧君君相相見見頻頻。。。。12月月-2203:49:0603:49Dec-2229-Dec-2212、故人江江海別，，幾度隔隔山川。。。03:49:0603:49:0603:49Thursday,December29,202213、乍見翻疑疑夢，相悲悲各問年。。。12月-2212月-2203:49:0603:49:06December29,202214、他鄉(xiāng)生生白發(fā)，，舊國見見青山。。。29十十二月20223:49:06上午午03:49:0612月-2215、比不不了得得就不不比，，得不不到的的就不不要。。。。十二月月223:49上上午午12月月-2203:49December29,202216、行動動出成成果，，工作作出財財富。。。2022/12/293:49:0603:49:0629December202217、做前，，能夠環(huán)環(huán)視四周周；做時時，你只只能或者者最好沿沿著以腳腳為起點點的射線線向前。。。3:49:06上午午3:49上午午03:49:0612月-229、沒有失敗敗，只有暫暫時停止成成功！。12月-2212月-22Thursday,December29,202210、很多事情情努力了未未必有結果果，但是不不努力卻什什么改變也也沒有。。。03:49:0603:49:0603:4912/29/20223:49:06AM11、成成功功就就是是日日復復一一日日那那一一點點點點小小小小努努力力的的積積累累。。。。12月月-2203:49:0603:49Dec-2229-Dec-2212、世間成事事，不求其其絕對圓滿滿，留一份份不足，可可得無限完完美。。03:49:0603:49:0603:49Thursday,December29,202213、不知知香積積寺，，數(shù)里里入云云峰。。。12月月-2212月月-2203:49:0603:49:06December29,202214、意志志堅強強的人人能把把世界界放在在手中中像泥泥塊一一樣任任意揉揉捏。。29十十二二月20223:49:06上上午03:49:0612月月-2215、楚楚塞塞三三湘湘接接，，荊荊門門九九派派通通。。。。。十二二月月223:49上上午午12月月-2203:49December29,202216、少少年年十十五五二二十十時時，，步步行行奪奪得得胡胡馬馬騎騎。。。。2022/12/293:49:0603:49:0629D