书签 分享 收藏 举报 版权申诉 / 69
上传文档赚钱

类型信息系统安全应急响应处置培训课件(-69张).ppt

  • 上传人(卖家):晟晟文业
  • 文档编号:3941030
  • 上传时间:2022-10-27
  • 格式:PPT
  • 页数:69
  • 大小:5.86MB
  • 【下载声明】
    1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
    2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
    3. 本页资料《信息系统安全应急响应处置培训课件(-69张).ppt》由用户(晟晟文业)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
    4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
    5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
    配套讲稿:

    如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。

    特殊限制:

    部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。

    关 键  词:
    信息系统安全 应急 响应 处置 培训 课件 69
    资源描述:

    1、Page 11Page 2介绍樊运安 协会专家组成员CISSP CISP COBIT ITIL2Page 3目录应急响应体系应急响应案例其他3Page 4 应急响应(Emergency response)组织为了应对突发/重大信息安全事件的发生所做的准备,已及在事件发生后所采取的的措施。(信息安全应急响应计划规范GB/T 24363-2009)4Page 5 应急响应通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。信息系统安全事件应急响应的对象是指针对信息系统所存储、传输、处理的信息的安全事件。事件的主体可能来自自然界、系统自身故障、组织内部或外部的人为攻击等

    2、。按照信息系统安全的三个特性,可以把安全事件定义为破坏信息或信息处理系统 CIA 的行为,即破坏保密性的安全事件、破坏完整性的安全事件和破坏可用性的安全事件等。(信息系统等保体系框架GA/T 708-2007)5Page 6 信息安全应急响应是指在计算机系统或网络上的威胁安全的事件发生后采取的措施和行动。这些措施和行动通常是用来减小和阻止事件带来的负面影响和破坏的后果。信息安全应急响应是解决网络系统安全问题的有效安全服务手段之一。6Page 7应急处置 启动应急响应计划后,应立即采取相关措施抑制信息安全事件影响,避免造成更大损失。在确定有效控制了信息安全事件影响后,开始实施恢复操作。恢复阶段的

    3、行动集中于建立临时业务处理能力、修复原系统的损害、在原系统或新设施中恢复运行业务能力等应急措施。(信息安全应急响应计划规范GB/T 24363-2009)7Page 8MorrisWorm1988年Morris蠕虫病毒事件爆发后,世界上第一个应急响应组织成立-CERT/CC2000年10月份成立“国家计算机网络应急技术处理协调中心”,简称“国家互联网应急中心”,在31个省成立分中心http:/ 99Page 10CNCERT/CC的职能的职能CNCERT/CC(国家互联网应急中心)作为国家级应急组织,主要业务包括如下:10Page 1111Page 1212Page 13应急预案管理a)应在统

    4、一的应急预案框架下制定不同事件的应急预案,应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容;b)应从人力、设备、技术和财务等方面确保应急预案的执行有足够的资源保障;c)应对系统相关的人员进行应急预案培训,应急预案的培训应至少每年举办一次;d)应定期对应急预案进行演练,根据不同的应急恢复内容,确定演练的周期;e)应规定应急预案需要定期审查和根据实际情况更新的内容,并按照执行。安全事件处置a)应报告所发现的安全弱点和可疑事件,但任何情况下用户均不应尝试验证弱点;b)应制定安全事件报告和处置管理制度,明确安全事件的类型,规定安全事件的现场处理、事件报告和后期恢复

    5、的管理职责;c)应根据国家相关管理部门对计算机安全事件等级划分方法和安全事件对本系统产生的影响,对本系统计算机安全事件进行等级划分;d)应制定安全事件报告和响应处理程序,确定事件的报告流程,响应和处置的范围、程度,以及处理方法等;f)对造成系统中断和造成信息泄密的安全事件应采用不同的处理程序和报告程序。13Page 141)组织开展应急响应工作2)应急响应启动条件的决策3)应急响应所需资源的协调。1)应急响应事件的咨询2)应急响应事件的综合评估。1)应急事件技术能力的支撑2)技术资源协调。1)应急事件的日常监控2)应急事件的响应。1)应急事件的处理2)重要信息系统的业务能力恢复。14Page

    6、15网络钓鱼事件网页内嵌恶意代码事件混合攻击程序事件计算机病毒事件蠕虫事件特洛伊木马事件僵尸网络事件 网络扫描窃听事件拒绝服务攻击事件后门攻击事件漏洞攻击事件网络钓鱼事件干扰事件信息内容安全事件信息丢失事件信息篡改事件信息假冒事件信息泄露事件信息窃取事件软硬件自身故障外围保障设施故障人为破坏事件自然灾害人为灾害15Page 16事件描述等级信息安全事件影响信息系统损害程度特别重大事件I级特别严重影响或破坏特别严重重大事件II级严重影响或破坏重大较大事件III级较严重影响或破坏较大一般事件IV级较小影响或破坏较小16Page 1717Page 181)明确信息系统网络与系统架构。2)明确信息系统

    7、的管理人员。3)明确信息系统的保护要求。4)计算损失和影响。1)根据风险建立防御/控制措施。2)安全管理及安全技术层面要同时兼顾。1)制定应急处理的操作步骤。2)制定应急处理的报告路线。3)制定信息系统恢复的优先级顺序。4)明确配合的人员信息。18Page 191)组建管理人员团队。2)组建技术人员团队。3)明确人员职责。4)建立应急响应组织人员清单。1)信息安全应急响应专项资金。2)应急响应所需的软硬件设备。3)社会关系资源。1)网络拓扑图。2)信息系统及设备安装配置文档。3)常见问题处理手册。19Page 201)收集各类故障信息。2)确认信息系统的实时运行状况。3)信息安全事件探测。1)

    8、确认事件给信息系统带来的影响。2)确认事件给信息系统造成的损害程度。3)一般事件与应急事件的判定。1)确认应急事件类型。2)确认应急事件等级。3)通知相关人员。4)启动应急预案。20Page 211)采取有效的措施防止事件的进一步扩大。2)尽可能减少负面影响。1)采取常规的技术手段处理应急事件。2)尝试快速修复系统,消除应急事件带来的影响。1)确认当前的抑制手段是否有效。2)分析应急事件发生的原因,为根除阶段提供解决方案。21Page 221)协调各应急响应小组人员到位。2)根据应急场景启动相关预案。1)根据应急预案的执行情况确认处置是否有效。2)尝试恢复信息系统的正常运行。1)当应急处置成功

    9、后对应急事件持续监测。2)确认应急事件已根除。3)信息系统运行恢复到正常状况。22Page 231)由应急响应实施小组报告应急事件的处置情况。2)由应急响应领导小组下达应急响应结束的指令。1)对应急事件发生的原因进行调查。2)评估应急事件对信息系统造成的损失。3)评估应急事件对单位、组织带来的影响。1)对存在的风险点进行加固和整改。2)评价应急预案的执行情况和后续改进计划。3)对应急响应组织成员进行评价,表彰立功人员。23Page 24 应急预案是指针对可能发生的事故,为迅速、有序地开展应急行动而预先制定的行动方案。24Page 25组织开展应急响应工作的指导性文件具体类型的安全事件解决方案针

    10、对场景的一次性解决方案特定环境下、特定安全事件的处理方案25Page 26一级目录(行业指引)二级目录(综合预案)三级目录(特定系统预案)四级目录(专题预案)五级目录(技术资源库)组织开展信息安全应急响应工作指南信息安全应急综合预案应用系统专项应急预案XX机房空调应急预案XX产品安装配置文档XX产品常见问题处理手册 XX产品问题处理单主机系统专项应急预案XX品牌服务器应急预案网络系统专项应急预案XX品牌网络交换机应急预案信息安全专项应急预案 XX品牌防火墙应急预案26Page 27一、总则1.1 目的1.2 应急响应需求1.3 基本原则1.4 适用范围1.5 启动条件1.6 适用性规章制度1.

    11、7 相关预案1.8 发布与生效二、组织结构及分工2.1 网络与信息安全领导小组2.2 网络与信息安全领导小组办公室2.3 应急响应工作组三、应急响应流程3.1 事件分析3.2 事件处理3.3 结束响应四、演练及维护五、保障措施六、附件27Page 2828Page 2929Page 3030Page 31目录应急响应体系应急响应案例其他31Page 32知名公共案例32Page 33知名公共案例-携程33Page 34知名公共案例-携程34Page 3535Page 36知名公共案例-OpenSSL36Page 37知名公共案例-OpenSSL37Page 3838Page 39知名公共案例-

    12、OpenSSL39Page 4040Page 41案例一:奥帆委网站系统案例二:遗忘密码案例三:DDOS攻击应急响应公司案例41Page 422007年6月,奥帆委官方网站感觉异常远程测试发现站点存在多种漏洞SQL注入绕过安全验证漏洞上传漏洞已经存在多个木马Webshell案例一:奥帆委网站系统42Page 43典型注入攻击典型注入攻击-SQL-SQL注入注入vSQL注入攻击原理 SQL注入(SQL Injection):程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据或进行数据库操作

    13、操作系统Web应用数据库服务器123调用数据库查询直接调用操作系统命令通过数据库调用操作系统命令43Page 44SQL注入Webshell后台绕过登录Tips44Page 45Webshell45Page 46Tips46Page 47Tips47Page 48案例一:奥帆委网站系统48Page 49 远程监控案例一:奥帆委网站系统49Page 50现场值守每日安全日报阶段性总结报告案例一:奥帆委网站系统50Page 51案例二:遗忘密码51Page 52案例二:遗忘密码52Page 53案例二:遗忘密码53Page 54案例二:遗忘密码54Page 55案例二:遗忘密码55Page 56案

    14、例二:遗忘密码56Page 57案例二:遗忘密码57Page 58描述:某网络管理员发现连续几天在晚上18:00时左右,WEB服务器网站不能正常访问。案例三:DDOS攻击应急响应58Page 59事件描述分析:客户描述 根据客户描述的情况,WEB服务无法正常访问属于紧急响应安全事件网络现状基本信息 远程访问该WEB服务器,无法打开页面事件基本分析 产生的可能性:a.WEB服务未启动 b.主机网络不通 c.病毒问题 d.受到拒绝服务攻击 e.防火墙策略更改f.其他原因案例三:DDOS攻击应急响应59Page 60制定方案:到用户现场进行分析在事件重现前部署监控工具,流量分析,协议分析等判断事件类

    15、型:维护问题,病毒,内部发起攻击,外部发起攻击等判断受攻击目标:主机受到攻击,WEB服务受到攻击,网络设备受到攻击,网络带宽受到攻击判断攻击方法:漏洞型,流量型,混合型案例三:DDOS攻击应急响应60Page 61事件调查:对数据包进行简单分析,排除病毒可能,根据流量分析,局域网流量并不是特别大,网关处流量非常大,基本排除内部向外发起攻击可能。从内网访问服务器正常,以及根据数据包的类型判断,基本排除主机或WEB服务的漏洞攻击可能。对收集到的数据包的包头进行分析,存在大量的tcp syn包,udp包以及少量icmp包,和未知ip包等。案例三:DDOS攻击应急响应61Page 62SYN Floo

    16、d攻击:此种攻击经过抓包分析可以看到,大量的syn请求发向目标地址,而syn包的源地址为大量的随机生成的虚假地址。在目标主机上使用netstat an命令可以看到大量syn连接,处于syn_received状态 案例三:DDOS攻击应急响应62Page 63如果是单纯的tcp synflood攻击,未达到限速的情况下,可以使用性能较好的,具有防synflood功能的设备进行防护。如果是主机服务器停止响应,需要在网关或防火墙上对主机服务进行“代理”,保护主机。此时网关或防火墙需要有能力抵抗此类拒绝服务攻击。如果攻击数据包是崎型数据包,需要网关或防火墙能抵抗此类拒绝服务攻击。如果攻击数据包达到限速

    17、,需要逐级追查数据包的来源。案例三:DDOS攻击应急响应63Page 64对数据包特征进行分析,包括来源地址(随机),端口,TTL值,序列号,协议号等等。在路由器各端口上查看流量来源,或使用流量分析工具。分析数据包的特征,确定大部分数据包的来源。逐级往上,寻找部分具有相同特征的数据包来源,并与该级相关网络管理员取得联系。本案例中初步定位到有部分相同特征的攻击数据包来源于某托管机房。案例三:DDOS攻击应急响应64Page 65总结:网络攻击方式多种多样每种网络设备、安全产品都能解决一定问题设备自身安全问题DD.o.S.的基本防护设置问题流量监控,数据包、事件等统计分析必不可少案例三:DDOS攻击应急响应65Page 66目录应急响应体系应急响应案例其他66Page 67问题1:近视67Page 68问题2:淹没68Page 6969

    展开阅读全文
    提示  163文库所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
    关于本文
    本文标题:信息系统安全应急响应处置培训课件(-69张).ppt
    链接地址:https://www.163wenku.com/p-3941030.html

    Copyright@ 2017-2037 Www.163WenKu.Com  网站版权所有  |  资源地图   
    IPC备案号:蜀ICP备2021032737号  | 川公网安备 51099002000191号


    侵权投诉QQ:3464097650  资料上传QQ:3464097650
       


    【声明】本站为“文档C2C交易模式”,即用户上传的文档直接卖给(下载)用户,本站只是网络空间服务平台,本站所有原创文档下载所得归上传人所有,如您发现上传作品侵犯了您的版权,请立刻联系我们并提供证据,我们将在3个工作日内予以改正。

    163文库