2020软考 信息安全工程师(第二版)学习总结【十三】

第十七章 网络安全应急响应技术原理与应用

网络安全应急响应概述

  • 网络安全应急响应概念

    • 为应对网络安全事件,相关人员或组织机构对网络安全事件进行监测、预警、分析、响应和恢复等工作
  • 网络安全应急响应作用

    • 及时响应和处理网络中随时可能出现的安全事件
  • 网络安全应急响应相关规范

网络安全应急响应组织建立与工作机制

  • 网络安全应急响应组织建立
    • 由应急领导组和应急技术支撑组构成
    • 组织成员:管理、业务、技术、行政后勤等人员
    • 工作内容:
      • 网络安全威胁情报分析研究
      • 网络安全事件监测与分析
      • 网络安全预警信息发布
      • 网络安全应急响应预案编写与修订
      • 网络安全应急响应知识库开发与管理
      • 网络安全应急响应演练
      • 网络安全事件响应和处置
      • 网络安全事件分析和总结
      • 网络安全教育与培训
  • 网络安全应急响应组织工作机制
    • 对组织机构对网络安全事件进行处理、协调或提供支持的团队
  • 网络安全应急响应组织类型
    • 公益性应急响应组
    • 内部应急响应组
    • 商业性应急响应组
    • 厂商应急响应组

网络安全应急响应预案内容与类型

  • 网络安全事件类型与分级

    • 2017年中央网信办发布《国家网络安全事件应急预案》,将网络信息安全事件分类如下

      • 恶意程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件
    • 根据网络安全事件的影响程度,将网络安全事件分为四级

  • 网络安全应急响应预案基本内容

    • 详细列出系统紧急情况的类型及处理措施
    • 事件处理基本工作流程
    • 应急处理所要采取的具体步骤及操作顺序
    • 执行应急预案有关人员的姓名、住址、电话号码以及有关职能部门的联系方法
  • 网络安全应急响应预案类型与参考模板

    • 按照覆盖的管理区域分为:国家级、区域级、行业级、部门级
    • 参考模板
      • 核心业务系统中断或硬件设备故障时的应急处置程序(I级)
      • 门户网站及托管系统遭到完整性破坏时的应急处置程序(I级)
      • 外网系统遭遇黑客入侵攻击时的应急处置程序(II级)
      • 外网系统遭遇拒绝服务攻击时的应急处置程序(II级)
      • 外部电源中断后的应急处置程序(II级)

常见网络安全应急事件场景与处理流程

  • 常见网络安全应急处理场景

    • 恶意程序事件:恶意代码攻击
    • 网络攻击事件
      • 安全扫描器攻击
      • 暴力**
      • 系统漏洞
    • 网站及Web应用安全事件
    • 拒绝服务事件:DDoS,DoS
  • 网络安全应急处理流程

    1. 安全事件报警

    2. 安全事件确认:应急工作组长和应急领导小组确定

    3. 启动应急预案

    4. 安全事件处理:至少两人参加

      主要工作:

      • 准备工作:通知相关人员,交换必要信息
      • 检测工作:对现场做快照,保护一切可能作为证据的记录
      • 抑制工作:采取围堵措施,尽量限制攻击涉及的范围
      • 根除工作:解决问题,根除隐患,采取补救措施。对事故进行存档
      • 恢复工作:恢复系统,使系统正常运行
      • 总结工作:提交事故处理报告
    5. 撰写安全事件报告

      报告内容:

      • 安全事件发生对日期
      • 参加人员
      • 事件发现的途径
      • 事件类型
      • 事件涉及的范围
      • 现场记录
      • 事件导致的损失和影响
      • 事件处理的过程
      • 从本次事故中应该吸取的经验与教训
    6. 应急工作总结

  • 网络安全事件应急演练

    • 类型划分

    • 演练方法

      • CTF/红蓝对抗

网络安全应急响应技术与常见工具

  • 访问控制

    • 网络访问控制
    • 主机访问控制
    • 数据库访问控制
    • 应用服务器访问控制
  • 网络安全评估

    • 恶意代码检测:360杀毒
    • 漏洞扫描:Nessus
    • 文件完整性检查:监测二进制文件是否被替换
    • 系统配置文件检查:基线扫描
    • 网卡混杂模式检查:是否安装网络嗅探器
    • 文件系统检查
    • 日志文件审查
  • 网络安全检测

    • 网络流量监测:Wireshark
    • 系统自身监测
      • 受害系统等网络通信状态监测(netstat)
      • 受害系统等操作系统进程活动状态监测(ps)
      • 受害系统等用户活动状况监测(who)
      • 受害系统的地址解析状况监测(arp)
      • 受害系统的进程资源使用状况监测(lsof、fport)
  • 系统恢复

    • 系统紧急启动

    • 恶意代码清除

    • 系统漏洞修补

    • 文件删除恢复

    • 系统备份容灾

      • 技术:磁盘阵列、双机热备系统、容灾中心等
      • 《信息安全技术 信息系统灾难恢复规范(GB/T 20988-2007)》规范定义了六个灾难恢复等级和技术要求,:
      1. 第1级-基本支持
      2. 第2级-备用场地支持
      3. 第3级-电子传输和部分设备支持
      4. 第4级-电子传输及完整设备支持
      5. 第5级-实时数据传输及完整设备支持
      6. 第6级-数据零丢失和远程集群支持
  • 入侵取证

    • 证据信息分为两大类:

      • 实时信息或易失信息

      • 非易失信息

    • 通常,可作为证据或证据关联的信息有:

      • 日志

      • 文件,如文件大小、内容、创建日期、交换文件等

      • 系统进程

      • 用户,如在线用户的服务时间、使用方式

      • 系统状态

      • 网络通信连接记录

      • 磁盘介质

    • 网络安全取证的六个步骤:

      1. 取证现场保护
      2. 识别证据
      3. 传输证据
      4. 保存证据
      5. 分析证据
      6. 提交证据

网络安全应急响应参考案例

  • 公共互联网网络安全突发事件应急预案
  • 阿里云安全应急响应服务
  • IBM产品安全漏洞应急响应
  • “永恒之蓝”攻击的紧急处置
  • 页面篡改事件处置规程

详见P370-P377

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注