信息系统安全应急响应处置介绍目录应急响应定义1应急响应通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。信息系统安全事件应急响应的对象是指针对信息系统所存储、传输、处理的信息的安全事件。事件的主体可能来自自然界、系统自身故障、组织内部或外部的人为攻击等。按照信息系统安全的三个特性，可以把安全事件定义为破坏信息或信息处理系统CIA的行为，即破坏保密性的安全事件、破坏完整性的安全事件和破坏可用性的安全事件等。——（信息系统等保体系框架GA/T708-2007）信息安全响应的定义3应急处置定义信息安全应急响应产生的背景CNCERT/CC的职能我国信息安全应急响应管理体系信息安全应急响应法规标准信息安全应急响应要求—信息安全等级保护应急响应组织结构网络钓鱼事件应急事件等级信息安全应急响应流程信息安全应急响应流程—准备阶段信息安全应急响应流程—准备阶段信息安全应急响应流程—检测阶段信息安全应急响应流程—抑制阶段信息安全应急响应流程—根除、恢复阶段信息安全应急响应流程—事后活动阶段应急预案的定义应急预案的类型应急预案框架应急预案的文档结构应急预案的编制步骤应急预案的启动执行过程信息安全应急演练流程目录知名公共案例知名公共案例-携程知名公共案例-携程知名公共案例-OpenSSL知名公共案例-OpenSSL知名公共案例-OpenSSL案例一：奥帆委网站系统案例二：遗忘密码案例三：DDOS攻击应急响应2007年6月，奥帆委官方网站感觉异常远程测试发现站点存在多种漏洞SQL注入绕过安全验证漏洞上传漏洞已经存在多个木马Webshell典型注入攻击-SQL注入SQL注入Webshell后台绕过登录Webshell程序员未预料到的结果……Username:admin'OR1=1--Password:1SELECTCOUNT(*)FROMUsersWHEREusername='admin'OR1=1--'andpassword='1'案例一：奥帆委网站系统远程监控现场值守每日安全日报阶段性总结报告案例二：遗忘密码案例二：遗忘密码案例二：遗忘密码案例二：遗忘密码案例二：遗忘密码案例二：遗忘密码案例二：遗忘密码描述：某网络管理员发现连续几天在晚上18：00时左右，WEB服务器网站不能正常访问。事件描述分析：客户描述根据客户描述的情况，WEB服务无法正常访问属于紧急响应安全事件网络现状基本信息远程访问该WEB服务器，无法打开页面事件基本分析产生的可能性：a.WEB服务未启动b.主机网络不通c.病毒问题d.受到拒绝服务攻击e.防火墙策略更改f.其他原因制定方案：到用户现场进行分析在事件重现前部署监控工具，流量分析，协议分析等判断事件类型：维护问题，病毒，内部发起攻击，外部发起攻击等判断受攻击目标：主机受到攻击，WEB服务受到攻击，网络设备受到攻击，网络带宽受到攻击判断攻击方法：漏洞型，流量型，混合型事件调查：对数据包进行简单分析，排除病毒可能，根据流量分析，局域网流量并不是特别大，网关处流量非常大，基本排除内部向外发起攻击可能。从内网访问服务器正常，以及根据数据包的类型判断，基本排除主机或WEB服务的漏洞攻击可能。对收集到的数据包的包头进行分析，存在大量的tcpsyn包，udp包以及少量icmp包，和未知ip包等。SYNFlood攻击：此种攻击经过抓包分析可以看到，大量的syn请求发向目标地址，而syn包的源地址为大量的随机生成的虚假地址。在目标主机上使用netstat–an命令可以看到大量syn连接，处于syn_received状态如果是单纯的tcpsynflood攻击，未达到限速的情况下，可以使用性能较好的，具有防synflood功能的设备进行防护。如果是主机服务器停止响应，需要在网关或防火墙上对主机服务进行“代理”，保护主机。此时网关或防火墙需要有能力抵抗此类拒绝服务攻击。如果攻击数据包是崎型数据包，需要网关或防火墙能抵抗此类拒绝服务攻击。如果攻击数据包达到限速，需要逐级追查数据包的来源。对数据包特征进行分析，包括来源地址（随机），端口，TTL值，序列号，协议号等等。在路由器各端口上查看流量来源，或使用流量分析工具。分析数据包的特征，确定大部分数据包的来源。逐级往上，寻找部分具有相同特征的数据包来源，并与该级相关网络管理员取得联系。本案例中初步定位到有部分相同特征的攻击数据包来源于某托管机房。总结：网络攻击方式多种多样每种网络设备、安全产品都能解决一定问题设备自身安全问题DD.o.S.的基本防护设置问题流量监控，数据包、事件等统计分析必不可少目录问题1：近视问题2：淹没谢谢！