软考-信息安全-网络安全应急响应技术原理与应用
17.1 网络安全应急响应概述
- “居安思危,思则有备,有备无患”。网络安全应急响应是针对潜在发生的网络安全事件而采取的网络安全措施。主要阐述网络安全应急响应的概念,网络安全应急响应的发展,网络安全应急响应的相关要求。
17.1.1 网络安全应急响应概念
- 网络安全应急响应是指为应对网络安全事件,相关人员或组织机构对网络安全事件进行监测,预警,分析,响应和恢复等工作。
- 必须建立相应的应急组织,制定网络安全应急计划和采取网络安全应急保障措施,以便及时响应和处理网络中随时可能出现的安全事件。
17.1.2 网络安全应急响应发展
- 世界上第一个计算机安全应急组织CERT。
- 国内已经建立了国家计算机网络应急技术处理协调中心,简称“国家互联网应急中心”,英文简称为CNCERT或CNCERT/CC。
- 成立了国家信息安全漏洞共享平台(CNVD)。
- 中国反网络病毒联盟(ANVA)。
- 中国互联网网络安全威胁治理联盟(CCTGA)。
17.1.3 网络安全应急响应相关要求
- 网络安全应急响应是网络空间安全保障的重要机制,《中华人民共和国网络安全法》(第五章监测预警与应急处置)中明确地给出了相应的法律要求。
- 对于网络安全应急响应管理和技术要求,国家有关部门相继发布了以下标准规范
- 《信息安全技术 信息系统安全管理要求》
- 《信息安全技术 信息安全事件分类分级指南》
- 《信息安全技术 信息系统灾难恢复规范》
- 《信息安全技术 灾难恢复中心建设与运维管理规范》
17.2 网络安全应急响应组织建立与工作机制
17.2.1 网络安全应急响应组织建立
- 网络安全应急响应组织的工作主要包括如下几个方面:
- 网络安全威胁情报分析研究。
- 网络安全事件的监测与分析。
- 网络安全预警信息发布。
- 网络安全应急响应预案编写与修订。
- 网络安全应急响应知识库开发与管理。
- 网络安全应急响应演练。
- 网络安全事件响应和处置。
- 网络安全事件分析和总结。
- 网络安全教育与培训。
17.2.2 网络安全应急响应组织工作机制
- 是对组织机构的网络安全事件进行处理,协调或提供支持的团队。
- 负责协调组织机构的安全紧急事件,为组织机构提供计算机网络安全的监测,预警,响应,防范等安全服务和技术支持,及时收集,核实,汇总,发布有关网络安全的权威性信息。
17.2.3 网络安全应急响应组织类型
- 应急响应组分成以下几类:
- 公益性应急响应组。
- 内部应急响应组。
- 商业性应急响应组。
- 厂商应急响应组。
17.3 网络安全应急响应预案内容与类型
17.3.1 网络安全事件类型与分级
- 2017年中央网信办发布《国家网络安全事件应急预案》,其中把网络信息安全事件分为恶意程序事件,网络攻击事件,信息破坏事件,信息内容安全事件,设备设施故障,灾害性事件与其他信息安全事件等7个基本分类。
17.3.2 网络安全应急响应预案内容
- 网络安全应急响应预案是指在 突发紧急情况下,按事先设想的安全事件类型及意外情形,制定处理安全事件的工作步骤。
- 对应基本的内容如下:
- 详细列出系统紧急情况的类型及处理措施。
- 事件处理基本工作流程。
- 应急处理所要采取的具体步骤及操作顺序。
- 执行应急预案有关人员的姓名,住址,电话号码以及有关职能部门的联系方法。
17.3.3 网络安全应急响应预案类型
- 1.核心业务系统中断或硬件设备故障时的应急处置程序
- 2.门户网站及托管系统遭到完整性破坏时的应急处置程序
- 3.外网系统遭遇黑客入侵攻击时的应急处置程序
- 4.外网系统遭遇拒绝服务攻击时的应急处置程序
- 5.外部电源中断后的应急处置程序
17.4 常见网络安全应急事件场景与处理流程
17.4.1 常见网络安全应急处理场景
- 1.恶意程序事件
- 2.网络攻击事件
- 3.网站及Web应用安全事件
- 4.拒绝服务事件
17.4.2 网络安全应急处理流程
17.4.3 网络安全事件应急演练
- 桌面应急演练
- 参演人员利用地图,沙盘,流程图,计算机模拟,视频会议等辅助手段,针对事先假定的演练情景,讨论和推演应急决策及现场处置的过程。
- 实战应急演练
- 单项应急演练
- 综合应急演练
- 校验性应急演练
- 检验应急预案的可行性,应急准备的充分性,应急机制的协调性及相关人员的应急处置能力而组织的演练
- 示范性应急演练
- 为向观摩人员展示应急能力或提供示范教学,严格按照应急预案规定开展的示范性演练。
- 研究性应急演练
- 为研究和解决突发事件应急处置的重点,难点问题,试验信方案,新技术,新装备而组织的演练。
17.5 网络安全应急响应技术与常见工具
17.5.1 网络安全应急响应技术概况
- 访问控制,网络安全评估,系统恢复,网络安全监测,入侵取证。
17.5.2 访问控制
17.5.3 网络安全评估
- 1.恶意代码检测
- 2.漏洞扫描
- 3.文件完整性检查
- 4.系统配置文件检查
- 5.网卡混杂模式检查
- 6.文件系统检查
- 7.日志文件审查
17.5.4 网络安全监测
- 1.网络流量监测
- tcpdump,tcpview,snort,wireshark,netstat
- 2.系统自身监测
- 1)受害系统的网络通信状态监测
- netstat,tcpview
- 2)受害系统的操作系统进程活动状态监测
- Linux环境下有ps
- Windows环境下有autoruns,process explorer
- 3)受害系统的用户活动状况监测
- who命令
- 4)受害系统的地址解析状况监测
- arp -a
- 5)受害系统的进程资源使用状况监测
- lsof
- 1)受害系统的网络通信状态监测
17.5.5 系统恢复
- 1.系统紧急启动
- 主要类型有光盘,U盘。
- 2.恶意代码清除
- 3.系统漏洞修补
- 4.文件删除恢复
- 5.系统备份容灾
- 《信息安全技术 信息系统灾难恢复规范(GB/T 20988-2007)》
17.5.6 入侵取证
- 通常可以作为证据或证据关联的信息如下:
- 日志
- 文件
- 系统进程
- 用户
- 系统状态
- 如系统开放的服务及网络运行的模式等
- 网络通信连接记录
- 磁盘介质
- 网络安全取证一般包含如下6个步骤:
- 1)取证现场保护
- 2)识别证据
- 3)传输证据
- 4)保存证据
- 5)分析证据
- 6)提交证据
- 1.证据获取
- ipconfig,ifconfig,netstat,fport,lsof,date,time,who,ps,tcpdump
- 2.正确安全保护
- md5sum,tripwire,使用PGP加密电子邮件
- 3.证据分析
- grep,find,ollydbg,gdb,strings,tracert等
17.6 网络安全应急响应参考案例
17.6.1 公共互联网网络安全突发事件应急预案
17.6.2 阿里云安全应急响应服务
17.6.3 IBM产品安全漏洞应急响应
17.6.4 永恒之蓝攻击的紧急处置
17.6.5 页面篡改事件处置规程
迷茫的人生,需要不断努力,才能看清远方模糊的志向!
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】凌霞软件回馈社区,博客园 & 1Panel & Halo 联合会员上线
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】博客园社区专享云产品让利特惠,阿里云新客6.5折上折
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 一个费力不讨好的项目,让我损失了近一半的绩效!
· 清华大学推出第四讲使用 DeepSeek + DeepResearch 让科研像聊天一样简单!
· 实操Deepseek接入个人知识库
· CSnakes vs Python.NET:高效嵌入与灵活互通的跨语言方案对比
· Plotly.NET 一个为 .NET 打造的强大开源交互式图表库
2020-07-27 sqlmap从入门到精通-第六章-6-5 FCKeditor漏洞实战逐步渗透某站点