信息系统安全应急响应处置.ppt

1、,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,信息,系统,安全应急响应处置,介绍,樊运安 协会专家组成员,CISSP CISP COBIT ITIL,目录,应,急响应,体系,应,急响应案例,其他,应急响应,定义,1,应急,响应（,Emergency response,）,组织为了应对突发,/,重大信息安全事件的发生所做的准备，已及在事件发生后所采取的的措施。,（,信息安全应急响应计划规范,GB/T 24363-2009,）,应急响应,通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。,信息系统安全事件应急响应的对象,是

2、指针对信息系统所存储、传输、处理的信息的安全事件。事件的主体可能来自自然界、系统自身故障、组织内部或外部的人为攻击等。按照信息系统安全的三个特性，可以把安全事件定义为破坏信息或信息处理系统,CIA,的行为，即破坏保密性的安全事件、破坏完整性的安全事件和破坏可用性的安全事件等。,（,信息系统等保体系框架,GA/T 708-2007,）,应急响应的定义,2,信息安全响应的定义,3,信息安全应急响应是指在计算机系统或网络上的威胁安全的事件发生后采取的措施和行动。这些措施和行动通常是用来减小和阻止事件带来的负面影响和破坏的后果。信息安全应急响应是解决网络系统安全问题的有效安全服务手段之一。,应急,处置

3、,定义,应急处置,启动应急响应计划后，应立即采取相关措施抑制信息安全事件影响，避免造成更大损失。在确定有效控制了信息安全事件影响后，开始实施恢复操作。恢复阶段的行动集中于建立临时业务处理能力、修复原系统的损害、在原系统或新设施中恢复运行业务能力等应急措施。,（,信息安全应急响应计划规范,GB/T 24363-2009,）,信息安全应急响应产生的背景,Morris,Worm,1988,年,Morris,蠕虫病毒事件爆发后，世界上第一个应急响应,组织成立,-CERT/CC,2000,年,10,月份成立,“,国家计算机网络应急技术处理协调中心,”,，,简称,“,国家互联网应急中心,”,，在,31,个

4、省成立分中心,Injection,）：程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据或进行数据库操作,操作系统,Web,应用,数据库服务器,1,2,3,调用数据库查询,直接调用操作系统命令,通过数据库调用操作系统命令,43,SQL,注入,Webshell,后,台绕过登录,Tips,Webshell,/login.asp,管理员,管理员,程序员考虑的场景,:,Username:admin,Password:p$w0rd,SELECT COUNT(*),FROM Users,WHERE

5、username=,admin,and password=,p$w0rd,登录成功！,Tips,程序员未预料到的结果,Username:admin,OR 1=1,-,Password:1,SELECT COUNT(*),FROM Users,WHERE username,=,admin OR 1=1-,and,password=,1,/login.asp,攻击者,登录成功！,是,SQL,字符串变量的定界符,攻击关键,通过定界符成功地将攻击者的意图注入到,SQL,语句中！,通过注释保证,SQL,语句正确！,-,是,MS SQL,的注释符,Tips,案例一：奥帆委网站系统,远程监控,案例一：奥帆委

6、网站系统,现场值守,每,日安全日报,阶段性总结报告,案例一：奥帆委网站系统,案例,二,：遗忘密码,案例,二,：遗忘密码,案例,二,：遗忘密码,案例,二,：遗忘密码,案例,二,：遗忘密码,案例,二,：遗忘密码,案例,二,：遗忘密码,描述：,某网络管理员发现连续几天在晚上,18,：,00,时左右，,WEB,服务器网站不能正常访问。,案例,三,：,DDOS,攻击应急响应,事件描述分析：,客户描述,根据客户描述的情况，,WEB,服务无法正常访问属于紧急响应安全事件,网络现状基本信息,远程访问该,WEB,服务器，无法打开页面,事件基本分析,产生的可能性：,a.WEB,服务未启动,b.,主机网络不通,c,

7、.,病毒,问题,d.,受到拒绝服务攻击,e.,防火墙策略更改,f.,其他原因,案例,三,：,DDOS,攻击应急响应,制定方案：,到用户现场进行分析,在事件重现前部署监控工具，流量分析，协议分析等,判断事件类型：维护问题，病毒，内部发起攻击，外部发起攻击等,判断受攻击目标：主机受到攻击，,WEB,服务受到攻击，网络设备受到攻击，网络带宽受到攻击,判断攻击方法：漏洞型，流量型，混合型,案例,三,：,DDOS,攻击应急响应,事件调查：,对,数据包进行简单分析，排除病毒可能，根据流量分析，局域网流量并不是特别大，网关处流量非常大，基本排除内部向外发起攻击可能。从内网访问服务器正常，以及根据数据包的类型

8、判断，基本排除主机或,WEB,服务的漏洞攻击可能。,对收集到的数据包的包头进行分析，存在大量的,tcp syn,包，,udp,包以及少量,icmp,包，和未知,ip,包等。,案例,三,：,DDOS,攻击应急响应,SYN Flood,攻击：,此种攻击经过抓包分析可以看到，大量的,syn,请求发向目标地址，而,syn,包的源地址为大量的随机生成的虚假地址。,在目标主机上使用,netstat,an,命令可以看到大量,syn,连接，处于,syn_received,状态,案例三：,DDOS,攻击应急响应,如果是单纯的,tcp synflood,攻击，未达到限速的情况下，可以使用性能较好的，,具有,防,s

9、ynflood,功能的设备进行防护。,如果是主机服务器停止响应，需要在网关或防火墙上对主机服务进行,“,代理,”,，保护主机。此时网关或防火墙需要有能力抵抗此类拒绝服务攻击。,如果攻击数据包是崎型数据包，需要网关或防火墙能抵抗此类拒绝服务攻击。,如果攻击数据包达到限速，需要逐级追查数据包的来源。,案例,三,：,DDOS,攻击应急响应,对数据包特征进行分析，包括来源地址（随机），端口，,TTL,值，序列号，协议号等等。,在路由器各端口上查看流量来源，或使用流量分析工具。分析数据包的特征，确定大部分数据包的来源。,逐级往上，寻找部分具有相同特征的数据包来源，并与该级相关网络管理员取得联系。,本案例中初步定位到有部分相同特征的攻击数据包来源于某托管机房。,案例,三,：,DDOS,攻击应急响应,总结：,网络攻击方式多种多样,每种网络设备、安全产品都能解决一定问题,设备自身安全问题,D,D.o.S.,的基本防护设置问题,流量,监控，数据包、事件等统计分析必不可少,案例,三,：,DDOS,攻击应急响应,目录,应,急响应,体系,应,急响应案例,其他,问题,1,：,近视,问题,2,：淹没,谢 谢！,