《计算机病毒》第5章 信息系统安全事件响应

第5章信息系统安全事件响应 “智者千虑,必有一失”。尽管已经为信息系统的防护开发了许 多技术,但是很难没有一点疏漏,何况入侵者也是一些技术高 手 系统遭受到一次入侵,就面临一次灾难。这些影响信息系统安 全的不正当行为,就称为事件。事件响应,就是事件发生后所 采取的措施和行动。信息系统的脆弱,加上入侵技术的不断进 化,使得入侵不可避免。因此,遭受灾难后,的系统恢复就成 为一个与防火墙技术、入侵检测技术等同样重要的技术

第5章 信息系统安全事件响应 “智者千虑，必有一失”。尽管已经为信息系统的防护开发了许 多技术，但是很难没有一点疏漏，何况入侵者也是一些技术高 手。 系统遭受到一次入侵，就面临一次灾难。这些影响信息系统安 全的不正当行为，就称为事件。事件响应，就是事件发生后所 采取的措施和行动。信息系统的脆弱，加上入侵技术的不断进 化，使得入侵不可避免。因此，遭受灾难后，的系统恢复就成 为一个与防火墙技术、入侵检测技术等同样重要的技术

51应急响应 令1988年,莫里斯蠕虫迅雷不及掩耳之势肆虐互联网,招致 上千台计算机系统的崩溃,造成了以千万美元计的损失。 这突如其来的灾难,给人们敲响了警钟:面队人类对信息 系统以来程度不断增强,对付入侵不仅需要防御,还要能 够在事件发生后进行紧急处理和援助。1989年,在美国国 防部的资助下,CERT( Computer Emergency Team,计 算机紧急响应组)/cc( Call Center)成立。从此紧急响 应被摆到了人们的议事桌上。CERT成立以后,做了大量工 作。但最大的成就是使紧急响应为人们普遍接受 令一般说来,每个使用信息系统的组织都应当有一套紧急响 应的机制。这个机制包括两个环节: 应急响应组织; ·紧急预案

❖ 1988年，莫里斯蠕虫迅雷不及掩耳之势肆虐互联网，招致 上千台计算机系统的崩溃，造成了以千万美元计的损失。 这突如其来的灾难，给人们敲响了警钟：面队人类对信息 系统以来程度不断增强，对付入侵不仅需要防御，还要能 够在事件发生后进行紧急处理和援助。1989年，在美国国 防部的资助下，CERT（Computer Emergency Team，计 算机紧急响应组）/CC（Call Center）成立。从此紧急响 应被摆到了人们的议事桌上。CERT成立以后，做了大量工 作。但最大的成就是使紧急响应为人们普遍接受。 5.1 应急响应 ❖ 一般说来，每个使用信息系统的组织都应当有一套紧急响 应的机制。这个机制包括两个环节： · 应急响应组织； · 紧急预案

51.1应急响应组织 应急响应组织的主要工作有: 安全事件与软件安全缺陷分析研究; 安全知识库(包括漏洞知识、入侵检测等)开发与管理; 安全管理和应急知识的教育与培训; 发布安全信息(如系统漏洞与补丁,病毒警告等) 安全事件紧急处理。 应急响应组织包括应急保障领导小组和应急技术保障小组。 领导小组的主要职责是领导与协调突发事件与自然灾害的应 急处理。应急技术保障小组主要解决安全事件的技术问题, 如物理实体和环境安全技术、网络通信技术、系统平台技术 应用系统技术等

5.1.1 应急响应组织 ❖ 应急响应组织的主要工作有： · 安全事件与软件安全缺陷分析研究； · 安全知识库（包括漏洞知识、入侵检测等）开发与管理； · 安全管理和应急知识的教育与培训； · 发布安全信息（如系统漏洞与补丁，病毒警告等）； · 安全事件紧急处理。 ❖ 应急响应组织包括应急保障领导小组和应急技术保障小组。 领导小组的主要职责是领导与协调突发事件与自然灾害的应 急处理。应急技术保障小组主要解决安全事件的技术问题， 如物理实体和环境安全技术、网络通信技术、系统平台技术、 应用系统技术等

512紧急预案 1.紧急预案及基本内容 应急预案是指根据不同的突发紧急事件类型和以外情形,预 先制定的处理方案。应急预案一般要包括如下内容: 令执行紧急预案的人员(姓名、住址、电话号码以及有关 职能部门的联系方法); 系统紧急事件类型及处理措施的详细说明; 应急处理的具体步骤和操作顺序

5.1.2 紧急预案 1. 紧急预案及基本内容 ❖ 执行紧急预案的人员（姓名、住址、电话号码以及有关 职能部门的联系方法）； 应急预案是指根据不同的突发紧急事件类型和以外情形，预 先制定的处理方案。应急预案一般要包括如下内容： ❖ 系统紧急事件类型及处理措施的详细说明； ❖ 应急处理的具体步骤和操作顺序

2.常见安全事件 紧急预案要根据安全事件的类型进行对应的处理。下面提供 些常见的安全事件类型供参考: 冷物理实体及环境类安全事件,如意外停电、物理设备丢 失、火灾、水灾等。 令网络通信类安全事件:如网络蠕虫侵害等。 主机系统类安全事件,如计算机病毒、口令丢失等; 应用系统类安全事件,如客护信息丢失等

2. 常见安全事件 ❖ 物理实体及环境类安全事件，如意外停电、物理设备丢 失、火灾、水灾等。 紧急预案要根据安全事件的类型进行对应的处理。下面提供 一些常见的安全事件类型供参考： ❖ 网络通信类安全事件：如网络蠕虫侵害等。 ❖ 主机系统类安全事件，如计算机病毒、口令丢失等； ❖ 应用系统类安全事件，如客护信息丢失等

3.安全事件处理的基本流程 (1)安全事件报警 值班人员发现紧急情况,要及时报告。报告要对安全事件进行准确描述 并作书面记录。按照安全事件的类型,安全事件呈报条例应依次报告: 值班人员,二、应急工作组长,三、应急领导小组。如果想进行任 何类型的跟踪调查或者起诉入侵者,应先跟管理人员和法律顾问商量, 然后通知有关执法机构。一定要记住,除非执法部门的参与,否则对入 侵者进行的一切跟踪都可能是非法的。 同时,还应通知有关人员,交换相关信息,必要时可以获得援助;

3. 安全事件处理的基本流程 （1）安全事件报警 值班人员发现紧急情况，要及时报告。报告要对安全事件进行准确描述 并作书面记录。按照安全事件的类型，安全事件呈报条例应依次报告： 一、值班人员，二、应急工作组长，三、应急领导小组。如果想进行任 何类型的跟踪调查或者起诉入侵者，应先跟管理人员和法律顾问商量， 然后通知有关执法机构。一定要记住，除非执法部门的参与，否则对入 侵者进行的一切跟踪都可能是非法的。 同时，还应通知有关人员，交换相关信息，必要时可以获得援助；

安全事件处理的基本流程(续) (2)安全事件确认 确定安全事件的类型,以便启动相应的预案。 (3)启动紧急预案 (a)首先要能够找到紧急预案。 (b)保护现场证据(如系统事件、处理者采取的行动、与外界的沟通 等),避免灾害扩大;

安全事件处理的基本流程（续） （2）安全事件确认 确定安全事件的类型，以便启动相应的预案。 （3）启动紧急预案 （a）首先要能够找到紧急预案。 （b）保护现场证据（如系统事件、处理者采取的行动、与外界的沟通 等），避免灾害扩大；

安全事件处理的基本流程(续) (4)恢复系统 (a)安装干净的操作系统版本。建议使用干净的备份程序备份整个系统,然后 重装系统。 (b)取消不必要的服务。只配置系统要提供的服务,取消那些没有必要的服务。 检查并确信其配置文件没有脆弱性以及该服务是否可靠。 (c)安装供应商提供的所有补丁。建议安装所有的安全补丁,使系统能够抵御 外来攻击,不被再次侵入,这是最重要的一步。 (d)查阅CERT的安全建议、安全总结和供应商的安全提示 CERT安全建议:htt:/ ww.cert. org/ advisories/ ·cERT安全总结:htp:/www.cert.orgladvisories 供应商安全提示:ftp/ ftp. cert. orglpublcert bulletins (e)谨慎使用备份数据。在从备份中恢复数据时,要确信备份主机没有被侵 入。一定要记住,恢复过程可能会重新带来安全缺陷,被入侵者利用。例如恢 复用户的home目录以及数据文件中,以及用户起始目录下的 rhost文件中,也 许藏有特洛伊木马程序。 (f)改变密码。在弥补了安全漏洞或者解决了配置问题以后,建议改变系统中 所有账户的密码

安全事件处理的基本流程（续） （4）恢复系统 （a）安装干净的操作系统版本。建议使用干净的备份程序备份整个系统，然后 重装系统。 （b）取消不必要的服务。只配置系统要提供的服务，取消那些没有必要的服务。 检查并确信其配置文件没有脆弱性以及该服务是否可靠。 （c）安装供应商提供的所有补丁。建议安装所有的安全补丁，使系统能够抵御 外来攻击，不被再次侵入，这是最重要的一步。 （d）查阅CERT的安全建议、安全总结和供应商的安全提示 · CERT安全建议：http://www.cert.org/advisories/ · CERT安全总结：http://www.cert.org/advisories/ · 供应商安全提示：ftp://ftp.cert.org/pub/cert_bulletins/ （e）谨慎使用备份数据 。在从备份中恢复数据时，要确信备份主机没有被侵 入。一定要记住，恢复过程可能会重新带来安全缺陷，被入侵者利用。例如恢 复用户的home目录以及数据文件中，以及用户起始目录下的.rhost文件中，也 许藏有特洛伊木马程序。 （f）改变密码。在弥补了安全漏洞或者解决了配置问题以后，建议改变系统中 所有账户的密码

安全事件处理的基本流程(续) (5)加强系统和网络的安全 (a)根据cERT的 UNIX/NTI配置指南检查系统的安全性。 cERT的 UNIX/NT配置指南可以帮助你检查系统中容易被入侵者利用的配置问题。 http://www.cert.org/tech_tips/unix_configuration_guidelines.html http://www.cert.org/tech_tips/win_configuration_guidelines.html 查阅安全工具文档可以参考htt:/ ww.cert. org/ tech tips/ security tools. htm (b)安装安全工具。在将系统连接到网络上之前,一定要安装所有选择的安全工具。 同时,最好使用 Tripwire、aide等工具对系统文件进行MD5校验,把校验码放到安全 的地方,以便以后对系统进行检查。 (c)打开日志。启动日志(ogng)检查 auditing记账( accounting程序,将它们 设置到准确的级别,例如 sendmail日志应该是9级或者更高。 要经常备份日志文件,或者将日志写到另外的机器、一个只能增加的文件系统或者 一个安全的日志主机 (d)配置防火墙对网络进行防御。可以参考: http:/www.cert.org/techtipslpacketfilteringhtml (e)重新连接到 Internet。全完成以上步骤以后,就可以把系统连接回 IInternet了。 一应当注意,安全事件处理工作复杂,责任重大,至少应有两人参加

安全事件处理的基本流程（续） （5）加强系统和网络的安全 （a）根据CERT的UNIX/NT配置指南检查系统的安全性。 CERT的UNIX/NT配置指南可以帮助你检查系统中容易被入侵者利用的配置问题。 http://www.cert.org/tech_tips/unix_configuration_guidelines.html http://www.cert.org/tech_tips/win_configuration_guidelines.html 查阅安全工具文档可以参考http://www.cert.org/tech_tips/security_tools.html （b）安装安全工具。在将系统连接到网络上之前，一定要安装所有选择的安全工具。 同时，最好使用Tripwire、aide等工具对系统文件进行MD5校验，把校验码放到安全 的地方，以便以后对系统进行检查。 （c）打开日志。启动日志(logging)/检查(auditing)/记账(accounting)程序，将它们 设置到准确的级别，例如sendmail日志应该是9级或者更高。 要经常备份日志文件，或者将日志写到另外的机器、一个只能增加的文件系统或者 一个安全的日志主机。 （d）配置防火墙对网络进行防御。可以参考： http://www.cert.org/tech_tips/packet_filtering.html （e）重新连接到Internet。全完成以上步骤以后，就可以把系统连接回Internet了。 应当注意，安全事件处理工作复杂，责任重大，至少应有两人参加

安全事件处理的基本流程(续) (6)应急工作总结 召开会议,分析问题和解决方法,参考fp:/ ftp. isi edlin- notes/rfc2196txt (a)总结教训。从记录中总结出对于这起事故的教训,这有助于你检讨自 己的安全策略。 (b)计算事件的代价。计算事件代价有助于让组织认识到安全的重要性。 (c)改进安全策略

安全事件处理的基本流程（续） （6）应急工作总结 召开会议，分析问题和解决方法，参考ftp://ftp.isi.edu/in-notes/rfc2196.txt （a）总结教训。从记录中总结出对于这起事故的教训，这有助于你检讨自 己的安全策略。 （b）计算事件的代价。计算事件代价有助于让组织认识到安全的重要性。 （c）改进安全策略