信息系統安全應急響應處置第一頁，共70頁。介紹樊運安協會專家組成員CISSPCISPCOBITITIL第一頁，共68頁。第二頁，共70頁。目錄應急響應體系應急響應案例其他第二頁，共68頁。第三頁，共70頁。應急響應定義1

應急響應（Emergencyresponse）組織為了應對突發/重大信息安全事件的發生所做的準備，已及在事件發生后所采取的的措施?！ㄐ畔踩珣表憫媱澮幏禛B/T24363-2009）第三頁，共68頁。第四頁，共70頁。

應急響應通常是指一個組織為了應對各種意外事件的發生所做的準備以及在事件發生后所采取的措施。

信息系統安全事件應急響應的對象是指針對信息系統所存儲、傳輸、處理的信息的安全事件。事件的主體可能來自自然界、系統自身故障、組織內部或外部的人為攻擊等。按照信息系統安全的三個特性，可以把安全事件定義為破壞信息或信息處理系統CIA的行為，即破壞保密性的安全事件、破壞完整性的安全事件和破壞可用性的安全事件等?！ㄐ畔⑾到y等保體系框架GA/T708-2007）應急響應的定義2第四頁，共68頁。第五頁，共70頁。信息安全響應的定義3

信息安全應急響應是指在計算機系統或網絡上的威脅安全的事件發生后采取的措施和行動。這些措施和行動通常是用來減小和阻止事件帶來的負面影響和破壞的后果。信息安全應急響應是解決網絡系統安全問題的有效安全服務手段之一。第五頁，共68頁。第六頁，共70頁。應急處置定義應急處置啟動應急響應計劃后，應立即采取相關措施抑制信息安全事件影響，避免造成更大損失。在確定有效控制了信息安全事件影響后，開始實施恢復操作?；謴碗A段的行動集中于建立臨時業務處理能力、修復原系統的損害、在原系統或新設施中恢復運行業務能力等應急措施?！ㄐ畔踩珣表憫媱澮幏禛B/T24363-2009）第六頁，共68頁。第七頁，共70頁。信息安全應急響應產生的背景MorrisWorm1988年Morris蠕蟲病毒事件爆發后，世界上第一個應急響應組織成立----CERT/CC2000年10月份成立“國家計算機網絡應急技術處理協調中心”，簡稱“國家互聯網應急中心”，在31個省成立分中心第七頁，共68頁。第八頁，共70頁。第八頁，共68頁。第九頁，共70頁。CNCERT/CC的職能CNCERT/CC(國家互聯網應急中心)作為國家級應急組織，主要業務包括如下：第九頁，共68頁。第十頁，共70頁。我國信息安全應急響應管理體系第十頁，共68頁。第十一頁，共70頁。信息安全應急響應法規標準第十一頁，共68頁。第十二頁，共70頁。信息安全應急響應要求—信息安全等級保護應急預案管理a)

應在統一的應急預案框架下制定不同事件的應急預案，應急預案框架應包括啟動應急預案的條件、應急處理流程、系統恢復流程、事后教育和培訓等內容；b)

應從人力、設備、技術和財務等方面確保應急預案的執行有足夠的資源保障；c)

應對系統相關的人員進行應急預案培訓，應急預案的培訓應至少每年舉辦一次；d)

應定期對應急預案進行演練，根據不同的應急恢復內容，確定演練的周期；e)

應規定應急預案需要定期審查和根據實際情況更新的內容，并按照執行。安全事件處置a)

應報告所發現的安全弱點和可疑事件，但任何情況下用戶均不應嘗試驗證弱點；b)

應制定安全事件報告和處置管理制度，明確安全事件的類型，規定安全事件的現場處理、事件報告和后期恢復的管理職責；c)

應根據國家相關管理部門對計算機安全事件等級劃分方法和安全事件對本系統產生的影響，對本系統計算機安全事件進行等級劃分；d)

應制定安全事件報告和響應處理程序，確定事件的報告流程，響應和處置的范圍、程度，以及處理方法等；f)

對造成系統中斷和造成信息泄密的安全事件應采用不同的處理程序和報告程序。第十二頁，共68頁。第十三頁，共70頁。應急響應組織結構1）組織開展應急響應工作2）應急響應啟動條件的決策3）應急響應所需資源的協調。。。。。。1）應急響應事件的咨詢2）應急響應事件的綜合評估。。。。。。1）應急事件技術能力的支撐2）技術資源協調。。。。。。1）應急事件的日常監控2）應急事件的響應。。。。。。1）應急事件的處理2）重要信息系統的業務能力恢復。。。。。。第十三頁，共68頁。第十四頁，共70頁。網絡釣魚事件網頁內嵌惡意代碼事件應急事件類型有害程序事件混合攻擊程序事件計算機病毒事件蠕蟲事件特洛伊木馬事件僵尸網絡事件網絡攻擊事件網絡掃描竊聽事件拒絕服務攻擊事件后門攻擊事件漏洞攻擊事件網絡釣魚事件干擾事件信息內容安全事件信息破壞事件信息丟失事件信息篡改事件信息假冒事件信息泄露事件信息竊取事件設備設施故障軟硬件自身故障外圍保障設施故障人為破壞事件災害性事故自然災害人為災害第十四頁，共68頁。第十五頁，共70頁。應急事件等級事件描述等級信息安全事件影響信息系統損害程度特別重大事件I級特別嚴重影響或破壞特別嚴重重大事件II級嚴重影響或破壞重大較大事件III級較嚴重影響或破壞較大一般事件IV級較小影響或破壞較小第十五頁，共68頁。第十六頁，共70頁。信息安全應急響應流程第十六頁，共68頁。第十七頁，共70頁。信息安全應急響應流程—準備階段分析資產的風險1）明確信息系統網絡與系統架構。

2）明確信息系統的管理人員。

3）明確信息系統的保護要求。

4）計算損失和影響。風險加固1）根據風險建立防御/控制措施。

2）安全管理及安全技術層面要同時兼顧。編制應急預案1）制定應急處理的操作步驟。

2）制定應急處理的報告路線。

3）制定信息系統恢復的優先級順序。

4）明確配合的人員信息。第十七頁，共68頁。第十八頁，共70頁。信息安全應急響應流程—準備階段組建應急響應團隊1）組建管理人員團隊。2）組建技術人員團隊。

3）明確人員職責。4）建立應急響應組織人員清單。保障資源儲備1）信息安全應急響應專項資金。2）應急響應所需的軟硬件設備。3）社會關系資源。技術支持資源庫1）網絡拓撲圖。2）信息系統及設備安裝配置文檔。

3）常見問題處理手冊。

。。。。。。第十八頁，共68頁。第十九頁，共70頁。信息安全應急響應流程—檢測階段日常運維監控1）收集各類故障信息。2）確認信息系統的實時運行狀況。

3）信息安全事件探測。事件判斷1）確認事件給信息系統帶來的影響。

2）確認事件給信息系統造成的損害程度。3）一般事件與應急事件的判定。事件上報1）確認應急事件類型。2）確認應急事件等級。3）通知相關人員。

4）啟動應急預案。第十九頁，共68頁。第二十頁，共70頁。信息安全應急響應流程—抑制階段控制事件蔓延1）采取有效的措施防止事件的進一步擴大。

2）盡可能減少負面影響。抑制響應1）采取常規的技術手段處理應急事件。

2）嘗試快速修復系統，消除應急事件帶來的影響。抑制監測1）確認當前的抑制手段是否有效。

2）分析應急事件發生的原因，為根除階段提供解決方案。第二十頁，共68頁。第二十一頁，共70頁。信息安全應急響應流程—根除、恢復階段啟動應急預案1）協調各應急響應小組人員到位。2）根據應急場景啟動相關預案。根除監測1）根據應急預案的執行情況確認處置是否有效。

2）嘗試恢復信息系統的正常運行。持續監測1）當應急處置成功后對應急事件持續監測。

2）確認應急事件已根除。

3）信息系統運行恢復到正常狀況。第二十一頁，共68頁。第二十二頁，共70頁。信息安全應急響應流程—事后活動階段應急響應情況報告1）由應急響應實施小組報告應急事件的處置情況。2）由應急響應領導小組下達應急響應結束的指令。應急事件調查1）對應急事件發生的原因進行調查。

2）評估應急事件對信息系統造成的損失。

3）評估應急事件對單位、組織帶來的影響。應急響應總結1）對存在的風險點進行加固和整改。

2）評價應急預案的執行情況和后續改進計劃。

3）對應急響應組織成員進行評價，表彰立功人員。第二十二頁，共68頁。第二十三頁，共70頁。應急預案的定義應急預案是指針對可能發生的事故，為迅速、有序地開展應急行動而預先制定的行動方案。第二十三頁，共68頁。第二十四頁，共70頁。應急預案的類型組織開展應急響應工作的指導性文件具體類型的安全事件解決方案針對場景的一次性解決方案特定環境下、特定安全事件的處理方案第二十四頁，共68頁。第二十五頁，共70頁。應急預案框架一級目錄

（行業指引）二級目錄

（綜合預案）三級目錄

（特定系統預案）四級目錄

（專題預案）五級目錄

（技術資源庫）組織開展信息安全應急響應工作指南

信息安全應急綜合預案

應用系統專項應急預案XX機房空調應急預案XX產品安裝配置文檔

XX產品常見問題處理手冊

XX產品問題處理單主機系統專項應急預案XX品牌服務器應急預案網絡系統專項應急預案XX品牌網絡交換機應急預案信息安全專項應急預案XX品牌防火墻應急預案第二十五頁，共68頁。第二十六頁，共70頁。應急預案的文檔結構第二十六頁，共68頁。第二十七頁，共70頁。應急預案的編制步驟第二十七頁，共68頁。第二十八頁，共70頁。應急預案的啟動執行過程第二十八頁，共68頁。第二十九頁，共70頁。信息安全應急演練流程第二十九頁，共68頁。第三十頁，共70頁。目錄應急響應體系應急響應案例其他第三十頁，共68頁。第三十一頁，共70頁。知名公共案例第三十一頁，共68頁。第三十二頁，共70頁。知名公共案例-攜程第三十二頁，共68頁。第三十三頁，共70頁。知名公共案例-攜程第三十三頁，共68頁。第三十四頁，共70頁。第三十四頁，共68頁。第三十五頁，共70頁。知名公共案例-OpenSSL第三十五頁，共68頁。第三十六頁，共70頁。知名公共案例-OpenSSL第三十六頁，共68頁。第三十七頁，共70頁。第三十七頁，共68頁。第三十八頁，共70頁。知名公共案例-OpenSSL第三十八頁，共68頁。第三十九頁，共70頁。第三十九頁，共68頁。第四十頁，共70頁。案例一：奧帆委網站系統案例二：遺忘密碼案例三：DDOS攻擊應急響應公司案例第四十頁，共68頁。第四十一頁，共70頁。2007年6月，奧帆委官方網站感覺異常遠程測試發現站點存在多種漏洞SQL注入繞過安全驗證漏洞上傳漏洞已經存在多個木馬Webshell案例一：奧帆委網站系統第四十一頁，共68頁。第四十二頁，共70頁。典型注入攻擊-SQL注入SQL注入攻擊原理SQL注入（SQLInjection）：程序員在編寫代碼的時候，沒有對用戶輸入數據的合法性進行判斷，使應用程序存在安全隱患。用戶可以提交一段數據庫查詢代碼，根據程序返回的結果，獲得某些他想得知的數據或進行數據庫操作操作系統Web應用數據庫服務器123調用數據庫查詢直接調用操作系統命令通過數據庫調用操作系統命令第四十二頁，共68頁。43第四十三頁，共70頁。SQL注入Webshell后臺繞過登錄Tips第四十三頁，共68頁。第四十四頁，共70頁。Webshell第四十四頁，共68頁。第四十五頁，共70頁。/login.asp管理員管理員程序員考慮的場景:Username:adminPassword:p@$$w0rdSELECTCOUNT(*)FROMUsersWHEREusername='admin'andpassword='p@$$w0rd'登錄成功！Tips第四十五頁，共68頁。第四十六頁，共70頁。程序員未預料到的結果……Username:admin'OR1=1--Password:1SELECTCOUNT(*)FROMUsersWHEREusername='admin'OR1=1--'andpassword='1'/login.asp攻擊者登錄成功！‘是SQL字符串變量的定界符攻擊關鍵通過定界符成功地將攻擊者的意圖注入到SQL語句中！通過注釋保證SQL語句正確！--是MSSQL的注釋符Tips第四十六頁，共68頁。第四十七頁，共70頁。案例一：奧帆委網站系統第四十七頁，共68頁。第四十八頁，共70頁。遠程監控案例一：奧帆委網站系統第四十八頁，共68頁。第四十九頁，共70頁。現場值守每日安全日報階段性總結報告案例一：奧帆委網站系統第四十九頁，共68頁。第五十頁，共70頁。案例二：遺忘密碼第五十頁，共68頁。第五十一頁，共70頁。案例二：遺忘密碼第五十一頁，共68頁。第五十二頁，共70頁。案例二：遺忘密碼第五十二頁，共68頁。第五十三頁，共70頁。案例二：遺忘密碼第五十三頁，共68頁。第五十四頁，共70頁。案例二：遺忘密碼第五十四頁，共68頁。第五十五頁，共70頁。案例二：遺忘密碼第五十五頁，共68頁。第五十六頁，共70頁。案例二：遺忘密碼第五十六頁，共68頁。第五十七頁，共70頁。描述：某網絡管理員發現連續幾天在晚上18：00時左右，WEB服務器網站不能正常訪問。案例三：DDOS攻擊應急響應第五十七頁，共68頁。第五十八頁，共70頁。事件描述分析：客戶描述根據客戶描述的情況，WEB服務無法正常訪問屬于緊急響應安全事件網絡現狀基本信息遠程訪問該WEB服務器，無法打開頁面事件基本分析產生的可能性：a.WEB服務未啟動b.主機網絡不通c.病毒問題d.受到拒絕服務攻擊e.防火墻策略更改f.其他原因案例三：DDOS攻擊應急響應第五十八頁，共68頁。第五十九頁，共70頁。制定方案：到用戶現場進行分析在事件重現前部署監控工具，流量分析，協議分析等判斷事件類型：維護問題，病毒，內部發起攻擊，外部發起攻擊等判斷受攻擊目標：主機受到攻擊，WEB服務受到攻擊，網絡設備受到攻擊，網絡帶寬受到攻擊判斷攻擊方法：漏洞型，流量型，混合型案例三：DDOS攻擊應急響應第五十九頁，共68頁。第六十頁，共70頁。事件調查：對數據包進行簡單分析，排除病毒可能，根據流量分析，局域網流量并不是特別大，網關處流量非常大，基本排除內部向外發起攻擊可能。從內網訪問服務器正常，以及根據數據包的類型判斷，基本排除主機或WEB服務的漏洞攻擊可能。對收集到的數據包的包頭進行分析，存在大量的tcpsyn包，udp包以及少量icmp包，和未知ip包等。案例三：DDOS攻擊應急響應第六十頁，共68頁。第六十一頁，共70頁。SYNFlood攻擊：此種攻擊經過抓包分析可以看到，大量的syn請求發向目標地址，而syn包的源地址為大量的隨機生成的虛假地址。在目標主機上使用netstat–an命令可以看到大量syn連接，處于syn_received狀態

案例三：DDOS攻擊