网络与信息安全应急响应技术规范与的指南.doc

学习好帮手 中国移动 网络与信息安全应急响应技术规范与指南 版 本 号 V 1 0 中国移动通信有限责任公司 二零零四年十一月 学习好帮手 目 录 前言前言 7 一 背景一 背景 7 二 适用范围二 适用范围 7 三 编制依三 编制依据据 7 四 阅读对象四 阅读对象 7 五 引用标准五 引用标准 8 六 缩略语六 缩略语 8 七 安全事件及分类七 安全事件及分类 8 八 安全事件应急响应八 安全事件应急响应 9 九 文档内容概述九 文档内容概述 11 1 准备阶段准备阶段 13 1 1 概述概述 13 1 1 1 准备阶段工作内容 13 1 1 1 1 系统快照 13 1 1 1 2 应急响应工具包 14 1 1 2 准备阶段工作流程 14 1 1 3 准备阶段操作说明 15 1 2 主机和网络设备安全初始化快照主机和网络设备安全初始化快照 15 1 2 1 WINDOWS安全初始化快照 16 1 2 2 UNIX安全初始化快照 19 1 2 2 1 Solaris 安全初始化快照 19 1 2 3 网络设备安全初始化快照 26 1 2 3 1 路由器安全初始化快照 26 1 2 4 数据库安全初始化快照 27 1 2 4 1 Oracle 安全初始化快照 27 1 2 5 安全加固及系统备份 32 1 3 应急响应标准工作包的准备应急响应标准工作包的准备 32 1 3 1 WINDOWS系统应急处理工作包 33 1 3 1 1 系统基本命令 33 1 3 1 2 其它工具软件 33 1 3 2 UNIX系统应急处理工作包 34 1 3 2 1 系统基本命令 34 1 3 2 2 其它工具软件 34 1 3 3 ORACLE 数据库应急处理工具包 35 2 检测阶段检测阶段 36 学习好帮手 2 1 概述概述 36 2 1 1 检测阶段工作内容 36 2 1 2 检测阶段工作流程 36 2 1 3 检测阶段操作说明 37 2 2 系统安全事件初步检测方法系统安全事件初步检测方法 37 2 2 1 WINDOWS系统检测技术规范 37 2 2 1 1 Windows 服务器检测技术规范 37 2 2 1 2 Windows 检测典型案例 39 2 2 2 UNIX系统检测技术规范 39 2 2 2 1 Solaris 系统检测技术规范 39 2 2 2 2 Unix 检测典型案例 40 2 3 系统安全事件高级检测方法系统安全事件高级检测方法 43 2 3 1 WINDOWS系统高级检测技术规范 43 2 3 1 1 Windows 高级检测技术规范 43 2 3 1 2 Windows 高级检测技术案例 44 2 3 2 UNIX系统高级检测技术规范 45 2 3 2 1 Solaris 高级检测技术规范 45 2 3 2 2 Unix 高级检测技术案例 48 2 4 网络安全事件检测方法网络安全事件检测方法 52 2 4 1 拒绝服务事件检测方法 52 2 4 1 1 利用系统漏洞的拒绝服务攻击检测方法 52 2 4 1 2 利用网络协议的拒绝服务攻击检测方法 52 2 4 2 网络欺骗安全事件检测方法 52 2 4 2 1 DNS 欺骗检测规范及案例 52 2 4 2 2 WEB 欺骗检测规范及案例 52 2 4 2 3 电子邮件欺骗检测规范及案例 53 2 4 3 网络窃听安全事件检测方法 54 2 4 3 1 共享环境下 SNIFFER 检测规范及案例 54 2 4 3 2 交换环境下 SNIFFER 检测规范及案例 55 2 4 4 口令猜测安全事件检测方法 55 2 4 4 1 windows 系统检测 56 2 4 4 2 UNIX 系统检测 56 2 4 4 3 CISCO 路由器检测 56 2 4 5 网络异常流量特征检测 57 2 4 5 1 网络异常流量分析方法 57 2 5 数据库安全事件检测方法数据库安全事件检测方法 58 2 5 1 数据库常见攻击方法检测 58 2 5 2 脚本安全事件检测 58 2 5 2 1 SQL 注入攻击检测方法 58 2 5 2 2 SQL 注入攻击案例 59 2 6 事件驱动方式的安全检测方法事件驱动方式的安全检测方法 59 2 6 1 日常例行检查中发现安全事件的安全检测方法 59 2 6 1 1 特点 59 2 6 1 2 人工检测被入侵的前兆 59 学习好帮手 2 6 1 3 检测的流程 60 2 6 2 事件驱动的病毒安全检测方法 61 2 6 2 1 特点 61 2 6 2 2 病毒检测流程 62 2 6 2 3 防御计算机病毒措施 63 2 6 3 事件驱动的入侵检测安全检测方法 63 2 6 3 1 特征 63 2 6 3 2 入侵检测系统分为网络型和主机型 63 2 6 3 3 入侵检测流程 64 2 6 4 事件驱动的防火墙安全检测方法 64 2 6 4 1 特点 64 2 6 4 2 防火墙安全检测流程 65 3 抑制和根除阶段抑制和根除阶段 67 3 1 概述概述 67 3 1 1 抑制和根除阶段工作内容 67 3 1 2 抑制和根除阶段工作流程 67 3 1 3 抑制和根除阶段操作说明 68 3 2 拒绝服务类攻击抑制拒绝服务类攻击抑制 69 3 2 1 SYN 和 ICMP 拒绝服务攻击抑制和根除 69 3 2 1 1 SYN UDP FLOOD 拒绝服务攻击抑制及根除 69 3 2 1 2 ICMP FLOOD 拒绝服务攻击抑制及根除 69 3 2 2 系统漏洞拒绝服务抑制 70 3 2 2 1 WIN 系统漏洞拒绝服务攻击抑制及根除 70 3 2 2 2 UNIX 系统漏洞拒绝服务攻击抑制及根除 70 3 2 3 3 网络设备 IOS 系统漏洞拒绝服务攻击抑制 71 3 3 利用系统漏洞类攻击抑制利用系统漏洞类攻击抑制 71 3 3 1 系统配置漏洞类攻击抑制 71 3 3 1 1 简单口令攻击类抑制 71 3 3 1 2 简单口令攻击类根除 71 3 3 2 系统程序漏洞类攻击抑制 72 3 3 2 1 缓冲溢出攻击类抑制 72 3 3 2 2 缓冲溢出攻击类根除 72 3 4 网络欺骗类攻击抑制与根除网络欺骗类攻击抑制与根除 73 3 4 1 DNS 欺骗攻击抑制与根除 73 3 4 2 电子邮件欺骗攻击抑制与根除 73 3 4 2 1 电子邮件欺骗攻击抑制 73 3 4 2 2 电子邮件欺骗攻击根除 74 3 5 网络窃听类攻击抑制及根除网络窃听类攻击抑制及根除 74 3 5 1 共享环境下 SNIFFER 攻击抑制及根除 74 3 5 1 1 共享环境下 SNIFFER 攻击抑制及根除 74 3 5 2 交换环境下 SNIFFER 攻击抑制 75 3 5 2 1 交换环境下 SNIFFER 攻击抑制 75 学习好帮手 3 6 数据库数据库 SQL 注入类攻击抑制与根除注入类攻击抑制与根除 76 3 6 1 数据库 SQL 注入类攻击抑制与根除 76 3 6 1 1 对于动态构造 SQL 查询的场合 可以使用下面的技术 76 3 6 1 2 用存储过程来执行所有的查询 76 3 6 1 3 限制表单或查询字符串输入的长度 76 3 6 1 4 检查用户输入的合法性 确信输入的内容只包含合法的数据 76 3 6 1 5 将用户登录名称 密码等数据加密保存 77 3 6 1 6 检查提取数据的查询所返回的记录数量 77 3 6 1 7 Sql 注入并没有根除办法 77 3 7 恶意代码攻击抑制和根除恶意代码攻击抑制和根除 77 3 7 1 恶意代码介绍 77 3 7 2 恶意代码抑制和根除 77 3 7 2 1 恶意代码抑制方法 77 3 7 2 2 恶意代码根除方法 78 4 恢复阶段恢复阶段 79 4 1 1 恢复阶段工作内容 79 4 1 2 恢复阶段工作流程 79 4 1 3 恢复阶段操作说明 80 4 2 重装系统重装系统 80 4 2 1 重装系统时的步骤 80 4 2 2 重装系统时的注意事项 81 4 3 安全加固及系统初始化安全加固及系统初始化 81 4 3 1 系统安全加固和安全快照 81 4 3 1 1 安全加固 81 4 3 1 2 安全快照 81 5 跟进阶段跟进阶段 82 5 1 概述概述 82 5 1 1 跟进阶段工作内容 82 5 1 2 跟进阶段工作流程 82 5 1 3 跟进阶段操作说明 83 5 2 跟进阶段的目的和意义跟进阶段的目的和意义 83 5 3 跟进阶段的报告内容跟进阶段的报告内容 83 6 取证流程和工具取证流程和工具 86 6 1 概述概述 86 6 2 操作说明操作说明 86 6 3 取证的重要规则取证的重要规则 86 6 4 取证流程取证流程 86 学习好帮手 6 5 取证工具取证工具 87 6 5 1 系统命令 87 6 5 2 商业软件介绍 88 学习好帮手 前言 制定本文档的目的是为中国移动提供网络与信息安全响应工作的技术规范及指南 本规范含了一个关于安全攻防的具体技术内容的附件 本文档由中国移动通信有限公司网络部提出并归口 解释权归属于中国移动通信有 限公司网络部 本文档起草单位 中国移动通信有限公司网络部 本文档主要起草人 王新旺 蔡洗非 陈敏时 彭泉 刘小云 王亮 余晓敏 周 碧波 刘楠 谢朝霞 本文档解释单位 中国移动通信有限公司网络部 一 背景 随着我国的互联网络迅猛发展 互联网络已经深入到各行各业当中 在我国的经济生 活中发挥着日益重要的作用 中国移动计算机网络系统作为我国最庞大的网络系统之一 网络安全问题的重要性随着移动业务的重要性提高而日益凸显 一直以来 中国移动通信 有限公司都在不断加强网络安全保护设施 以保证整个网络的信息安全 近几年黑客活动 日益频繁 病毒多次爆发 涉及面广 危害性大 渗透性深 各类计算机网络安全事件层 出不穷 移动骨干网络和全国各省分公司计算机信息系统都不同程度地存在爆发安全危机 的隐患 为了提高中国移动网络安全事件应急响应能力 规范相关应急响应技术 中国移 动通信有限公司决定起草编写 网络与信息安全应急响应技术规范与指南 由技术部门牵 头并提供业务指导 深圳市安络科技有限公司提供具体实施的技术配合工作 二 适用范围 本规范仅适用于中国移动通信有限公司 其中包括各省移动通信有限公司 开展安全 事件应急响应工作 本规范从安全事件应急响应的技术角度 为中国移动提供通用的技术 参考和规范说明 本规范不包含应急响应管理方面的内容 也未阐述适用中国移动特定的 业务专用应急技术 相关内容应分别在管理规范和业务系统的应急预案与连续性计划中体 现 系统随着安全事件应急响应技术的不断发展 本规范的相关部分也需要进行相应的调 整完善 三 编制依据 本规范依据 中国移动互联网 CMnet 网络安全管理办法 2002 版 四 阅读对象 本文详细地分析了计算机及网络系统面临的威胁与黑客攻击方法 详尽 具体地披露 了攻击技术的真相 给出了防范策略和技术实现措施 阅读对象限于中国移动的系统维护 人员 安全技术人员和安全评估人员 未经授权严禁传播此文档 学习好帮手 五 引用标准 六 缩略语 CMnet 中国移动互联网 CMCert CC 中国移动网络与信息安全应急小组 TCP Transmission Control Protocol UDP User Datagram Protocol SMTP Simple Mail Transfer Protocol HTTP Hypertext Transfer Protocol ICMP Internet Control Message Protocol ARP Ethernet Address Resolution Protocol FTP File Transfer Protocol 七 安全事件及分类 安全事件是有可能损害资产安全属性 机密性 完整性 可用性 的任何活动 本文所称安全事件特指由外部和内部的攻击所引起的危害业务系统或支撑系统安全并 可能引起损失的事件 安全事件可能給企业带来可计算的财务损失和公司的信誉损失 本文采用两种分类原则对安全事件进行了分类 基于受攻击设备的分类原则 面向中 国移动系统维护人员 和基于安全事件原因的分类原则 面向中国移动安全技术人员 在 准备和检测阶段依据攻击设备分类原则进行阐述 其他后续阶段依据安全事件原因进行阐 述 基于受攻击设备分类原则 安全事件分为 主机设备安全事件 网络设备安全事件 数据库系统安全事件 基于安全事件原因的分类原则 安全事件分为 拒绝服务类安全事件 拒绝服务类安全事件是指由于恶意用户利用挤占带宽 消耗系统资源等攻击方法 使系统无法为正常用户提供服务所引起的安全事件 系统漏洞类安全事件 系统漏洞类安全事件是指由于恶意用户利用系统的安全漏洞对系统进行未授权的 RFC 793Transmission Control Protocol RFC 768User Datagram Protocol RFC 821Simple Mail Transfer Protocol RFC 959File Transfer Protocol RFC 2616Hypertext Transfer Protocol RFC 792Internet Control Message Protocal RFC 828Ethernet Address Resolution Protocol RFC 2196Site Security Handbook 学习好帮手 访问或破坏所引起的安全事件 网络欺骗类安全事件 网络欺骗类安全事件是指由于恶意用户利用发送虚假电子邮件 建立虚假服务网 站 发送虚假网络消息等方法对系统或用户进行未授权的访问或破坏所引起的安 全事件 网络窃听类安全事件 网络窃听类安全事件是指由于恶意用户利用以太网监听 键盘记录等方法获取未 授权的信息或资料所引起的安全事件 数据库注入类安全事件 数据库注入类安全事件是指由于恶意用户通过提交特殊的参数从而达到获取数据 库中存储的数据 得到数据库用户的权限所引起的安全事件 恶意代码类安全事件 恶意代码类安全事件是指恶意用户利用病毒 蠕虫 特洛伊木马等其他恶意代码 破坏网络可用性或窃取网络中数据所引起的安全事件 操作误用类安全事件 操作误用类安全事件是指合法用户由于误操作造成网络或系统不能正常提供服务 所引起的安全事件 在上面的分类中可能存在一个具体的安全事件同时属于几类的情况 比如 蠕虫病毒 引起的安全事件 就有可能同时属于拒绝服务类的安全事件 系统漏洞类安全事件 和恶 意代码类安全事件 此时 应根据安全事件特征的轻重缓急 来合理的选择应对的技术措 施 仍然以蠕虫病毒为例 在抑制阶段 可能侧重采用对抗拒绝服务攻击的措施 控制蠕 虫传播 疏通网络流量 缓解病毒对业务带来的压力 在根除阶段采用恶意代码类安全事 件的应对措施孤立并清除被感染的病毒源 而在恢复阶段 主要侧重于消除被感染主机存 在的安全漏洞 从而避免再次感染相同的蠕虫病毒 随着攻击手段的增多 安全事件的种类需要不断补充 八 安全事件应急响应 安全事件应急响应是指针对已经发生或可能发生的安全事件进行监控 分析 协调 处理 保护资产安全属性的活动 良好的安全事件响应遵循事先制定的流程和技术规范 本文所指的安全事件应急响应特指对已经发生的安全事件进行分析和处理的过程 安全事件应急响应工作的特点是高度的压力 短暂的时间和有限的资源 应急响应是 一项需要充分的准备并严密组织的工作 它必须避免不正确的和可能是灾难性的动作或忽 略了关键步骤的情况发生 它的大部分工作应该是对各种可能发生的安全事件制定应急预 案 并通过多种形式的应急演练 不断提高应急预案的实际可操作性 具有必要技能和相 当资源的应急响应组织是安全事件响应的保障 参与具体安全事件应急响应的人员应当不 仅包括中国移动应急组织的人员 还应包括安全事件涉及到的业务系统维护人员 设备提 供商 集成商和第三方安全应急服务提供人员等 从而保证具有足够的知识和技能应对当 前的安全事件 应急响应除了需要技术方面的技能外 还需要管理能力 相关的法律知识 沟通协调的技能 写作技巧 甚至心理学的知识 在系统通常存在各种残余风险的客观情况下 应急响应是一个必要的保护策略 同时 需要强调的是 尽管有效的应急响应可以在某种程度上弥补安全防护措施的不足 但不可 能完全代替安全防护措施 缺乏必要的安全措施 会带来更多的安全事件 最终造成资源 的浪费 安全事件应急响应的目标通常包括 采取紧急措施 恢复业务到正常服务状态 调查 学习好帮手 安全事件发生的原因 避免同类安全事件再次发生 在需要司法机关介入时 提供法律任 何的数字证据等 在规范中以安全事件应急响应 6 阶段 PDCERF 方法学为主线介绍安全事件应急响 应的过程和具体工作内容 6 阶段 PDCERF 方法学不是安全事件应急响应唯一的方法 结合中国移动安全事件应急响应工作经验 在实际应急响应过程中 也不一定严格存在这 6 个阶段 也不一定严格按照 6 阶段的顺序进行 但它是目前适用性较强的应急响应的通 用方法学 它包括准备 检测 抑制 根除 恢复和跟进 6 个阶段 6 阶段方法学的简要 关系见下图 准备阶段 准备阶段是安全事件响应的第一个阶段 即在事件真正发生前为事件响应 做好准备 这一阶段极为重要 因为事件发生时可能需要在短时间内处理较多的事物 如 果没有足够的准备 那么将无法正确的完成响应工作 在准备阶段请关注以下信息 基于威胁建立合理的安全保障措施 建立有针对性的安全事件应急响应预案 并进行应急演练 为安全事件应急响应提供足够的资源和人员 建立支持事件响应活动管理体系 检测阶段 检测是指以适当的方法确认在系统 网络中是否出现了恶意代码 文件和目 录是否被篡改等异常活动 现象 如果可能的话同时确定它的影响范围和问题原因 在操作 的角度来讲 事件响应过程中所有的后续阶段都依赖于检测 如果没有检测 就不会存在 真正意义上的事件响应 检测阶段是事件响应的触发条件 抑制阶段 抑制阶段是事件响应的第三个阶段 它的目的是限制攻击 破坏所波及的范 围 同时也是限制潜在的损失 所有的抑制活动都是建立在能正确检测事件的基础上 抑 制活动必须结合检测阶段发现的安全事件的现象 性质 范围等属性 制定并实施正确的 抑制策略 抑制策略可能包含以下内容 完全关闭所有系统 从网络上断开主机或部分网络 修改所有的防火墙和路由器的过滤规则 封锁或删除被攻击的登陆账号 加强对系统或网络行为的监控 设置诱饵服务器进一步获取事件信息 关闭受攻击系统或其他相关系统的部分服务 根除阶段 安全事件应急响应 6 阶段方法论的第 4 阶段是根除阶段 即在准确的抑制 事件后 找出事件的根源并彻底根除它 以避免攻击者再次使用相同手段攻击系统 引发 安全事件 在根除阶段中将需要利用到在准备阶段中产生的结果 恢复阶段 将事件的根源根除后 将进入恢复阶段 恢复阶段的目标是把所有被攻破 的系统或网络设备还原到它们正常的任务状态 跟进阶段 安全事件应急响应 6 阶段方法论的最后一个阶段是跟进阶段 其目标是回 顾并整合发生事件的相关信息 跟进阶段也是 6 个阶段中最可能被忽略的阶段 但这一步 也是非常关键的 该阶段需要完成的原因有以下几点 有助于从安全事件中吸取经验教训 提高技能 有助于评判应急响应组织的事件响应能力 学习好帮手 准备阶段 Prepairing 检测阶段 Detection 抑制阶段 Control 根除阶段 Eradicate 恢复阶段 Restore 跟进阶段 Follow 安全事件应急响应 6 阶段方法论 九 文档内容概述 本规范的主要内容是应急响应技术规范 分别对应急响应流程中每个环节所用到的技 术进行了阐述 整个文档由正文和附件两个文档组成 其中正文部分以应急响应方法学的 六个阶段 准备 检测 抑制 根除 恢复和跟进 为主线顺序划分章节 并对安全事件 响应过程中涉及的取证流程和工具进行了简要的说明 附件部分是关于安全攻防的具体技 术内容 正文的主要内容是 第一章 准备阶段 主要阐述了准备阶段为应急响应后续阶段工作制作系统初始 化状态快照的相关内容和技术 并以 Windows Solaris 系统为例对安全初始化快照 生成步骤做了详细的说明 也阐述了 Windows Solaris Oracle 等系统的应急处理 工具包包含的内容和制作要求做了详细的说明 建立安全保障措施 制定安全事件应急预案 进行应急演练等内容不包含在本规范 阐述的范围之内 第二章 检测阶段 详细阐述了结合准备阶段生成的系统初始化状态快照检测安 全事件 系统安全事件 网络安全事件 数据库安全事件 相关内容和技术 并以 Windows Solaris 系统为例做了详细的说明 本规范不阐述通过入侵检测系统 用户投诉等其他途径检测安全事件的技术内容 第三章 抑制和根除阶段 阐述了各类安全事件 拒绝服务类攻击 系统漏洞及 恶意代码类攻击 网络欺骗类攻击 网络窃听类攻击 数据库 SQL 注入类攻击 相 应的抑制或根除方法和技术 并以 Windows Solaris 系统为例做了详细的说明 第四章 恢复阶段 说明了将系统恢复到正常的任务状态的方式 详细说明了两 种恢复的方式 一是在应急处理方案中列明所有系统变化的情况下 直接删除并恢 学习好帮手 复所有变化 二是在应急处理方案中未列明所有系统变化的情况下 重装系统 第五章 跟进阶段 为对抑制或根除的效果进行审计 确认系统没有被再次入侵 提供了帮助 并说明了跟进阶段的工作要如何进行 在何时进行比较合适 具体的 工作流程 要思考和总结的问题以及需要报告的内容 第六章 取证流程和工具 取证工作提供了可参考的工作流程 并列举了部分取 证工具的使用方法 跟进 恢复 抑制和根除 检测 准备 审计 安装 加固和系统初始化 针对事件和检测结果 系统 网络和数据库事件 系统快照 应急响应工具 文档结构图 取证 尽管本规范和指南在写作之初就做了全局性的规划 内容的组织形式不依赖于具体的 攻击情景 事件分类方法具有较完备的覆盖性 从而可在一定程度上保证文档内容的稳定 性 本规范档是以应急响应方法学为主线 突出通用的过程 但由于安全攻击手段层出不 穷 作者写作时间和水平有限 本规范和指南还需要在今后结合中国移动的实际情况不断 对其进行补充和完善 学习好帮手 1 准备阶段 主要阐述了准备阶段为应急响应后续阶段工作制作系统初始化状态快照的相关内容和 技术 并以 Windows Solaris 系统为例对安全初始化快照生成步骤做了详细的说明 也阐 述了 Windows Solaris Oracle 等系统的应急处理工具包包含的内容和制作要求做了详细 的说明 准备阶段还应包括的建立安全保障措施 制定安全事件应急预案 进行应急演练等内 容不包含在本规范阐述的范围之内 请参考中国移动相关规范 1 1 概述 1 1 1 准备阶段工作内容 准备阶段的工作内容主要有两个 一是对信息系统进行初始化的快照 二是准备应急 响应工具包 系统快照是信息系统进程 账号 服务端口和关键文件签名等状态信息的记 录 通过在系统初始化或发生重要状态改变后 在确保系统未被入侵的前提下 立即制作 并保存系统快照 并在检测的时候将保存的快照与信息系统当前状态进行对比 是发现安 全事件的一种重要途径 1 1 1 1 系统快照 系统快照是系统状态的精简化描述 在确保系统未被入侵的前提下 应在以下时机由 系统维护人员完成系统快照的生成和保存工作 系统初始化安装完成后 系统重要配置文件发生更改后 系统进行软件升级后 系统发生过安全入侵事件并恢复后 在今后的安全检测时 通过将最近保存的系统快照与当前系统快照进行仔细的核对 能够快速 准确的发现系统的改变或异常 准备阶段还应包括建立安全保障措施 对系统进行安全加固 制定安全事件应急预案 进行应急演练等内容 这些内容不在本规范档中进行详细的阐述 主机系统快照 应包括但并不限于以下内容 系统进程快照 关键文件签名快照 开放的对外服务端口快照 系统资源利用率的快照 注册表快照 计划任务快照 系统账号快照 日志及审核策略快照 以上内容中的系统进程快照 关键文件签名和系统账号快照尤为重要 一般入侵事件 学习好帮手 均可通过此三项快照的关联分析查找获得重要信息 网络设备快照应包括但并不限于以下内容 路由快照 设备账号快照 系统资源利用率快照 数据库系统快照照应包括但并不限于以下内容 开启的服务 所有用户及所具有的角色及权限 概要文件 数据库参数 所有初始化参数 1 1 1 2 应急响应工具包 应急工具包是指网络与信息安全应急事件处理过程中将使用工具集合 该工具包应由 安全技术人员及时建立 并定时更新 使用应急响应工具包中的工具所产生的结果将是网 络与信息安全应急事件处理过程中的可信基础 本规范结合中国移动实际工作情况 具体 说明了 Windows 应急响应工具包和 Unix Linux 应急响应工具包 工具包应尽量放置在不可 更改的介质上 如只读光盘 1 1 2 准备阶段工作流程 第一步 系统维护人员按照系统的初始化策略对系统进行安装和配置加固 第二步 系统维护人员对安装和配置加固后的系统进行自我检查 确认是否加固完成 第三步 系统维护人员建立系统状态快照 第四步 系统维护人员对快照信息进行完整性签名 以防止快照被非法篡改 第五步 系统维护人员将快照保存在与系统分离的存储介质上 学习好帮手 对系统进行安装和配置加固 自我检查 确认是否加固完 成 建立和保存系统状态快照 对快照进行完整性签名 快照保存 准备阶段流程图 1 1 3 准备阶段操作说明 1 对系统的影响 本章操作不会对系统造成影响 在系统正常运行情况下执行各个步骤 2 操作的复杂度 容易 普通 复杂 容易 3 操作效果 对执行后的结果必须保存到不可更改的存储介质 4 操作人员 各操作系统 数据库 网络设备的系统维护人员 1 2 主机和网络设备安全初始化快照 1 Windows 安全初始化快照 生成帐号快照 生成进程快照 生成服务快照 生成自启动快照 生成文件签名快照 生成网络连接快照 生成共享快照 生成定时作业快照 生成注册表快照 保存所有快照到光盘内 2 Unix 安全初始化快照 获得所有 setuid 和 setgid 的文件列表 获得所有的隐藏文件列表 学习好帮手 获得初始化进程列表 获得开放的端口列表 获得开放的服务列表 获得初始化 passwd 文件信息 获得初始化 shadow 文件信息 获得初始化的不能 ftp 登陆的用户信息 获得初始化的用户组信息 获得初始化的 etc hosts 文件信息 获得初始化的 etc default login 文件信息 获得 var log 目录下的初始化文件列表信息 获得 var adm 目录下的初始化文件列表信息 获得初始化计划任务列表文件 获得初始化加载的内核模块列表 获得初始化日志配置文件 etc syslog conf 信息 获得初始化 md5 校验和信息 保存所有快照到光盘内 3 网络设备安全初始化快照 获取用户访问线路列表 获取用户权限信息列表 获取开放端口列表 获取路由表 获取访问控制列表 获取路由器 CPU 状态 保存所有信息到光盘内 4 数据库安全初始化快照 获取 Oracle 数据库用户信息 获取 DEFAULT 概要文件信息 获取数据库参数信息 获取 Oracle 其他初始化参数信息 保存所有信息到光盘内 5 安全加固及系统备份 1 2 1 Windows 安全初始化快照 1 获取帐号信息 说明 Windows 2000 Server 缺省安装后有五个帐号 其中两个帐号是 IIS 帐号 一个是安 装了终端服务的终端用户帐号 如果系统维护人员自己创建了帐号 也要记录在案 操作方法 使用 net user 命令 Windows 系统自带 可以列举出系统当前帐号 附加信息 Windows 2000 Server 缺省安装后的五个帐号名称 Administrator 默认系统维护人员帐号 Guest 来宾用户帐号 学习好帮手 IUSR 机器名 IIS 来宾帐号 IWAM 机器名 启动 IIS 的进程帐号 TsInternetUser 终端用户帐号 2 获取进程列表 说明 系统维护人员应在系统安装配置完成后对系统进程做快照 操作方法 通过使用 pslist 命令 第三方工具 下载 能够列举 当前进程建立快照 使用 Widnows 任务管理器 Windows 系统自带 也可以列举出当前 进程 但推荐使用 pslist 工具 附加信息 请参见附录 1 察看 Windows 2000 Server 系统进程名及对应功能 3 获取服务列表 说明 系统维护人员应在系统安装配置完成后对系统服务做服务快照 操作方法 使用 sc query state all 命令格式 Windows 资源工具箱中的工具 可以列举出 系统当前服务信息 附加信息 请参见附录 2 察看 Windows 2000 Server 系统服务 4 获取自启动程序信息 说明 Windows 2000 Server 缺省安装后并无自启动项目 如果系统维护人员自己安装了某 些软件 比如 Office 打印机等等 缺省情况下将被添加到自启动目录中 操作方法 检查各用户目录下的 开始 菜单 程序 启动 目录 5 获取系统关键文件签名 说明 Windows 2000 Server 缺省安装后 系统维护人员应利用 md5sum 工具 对系统重要 文件生成系统 MD5 快照 然后将这些签名信息保存在安全的服务器上 以后可做文件对 比 操作方法 使用 md5sum exe 命令 第三方工具 系统文件进行 MD5 快照 使用方法 md5sum FILE 后面可跟多个文件 附加信息 建议用户对以下二进制文件和动态连接库文件进行 MD5SUM 快照 windir EXPLORER EXE windir REGEDIT EXE windir NOTEPAD EXE windir TASKMAN EXE windir system32 cmd exe windir system32 net exe windir system32 ftp exe windir system32 tftp exe windir system32 at exe windir system32 netstat exe windir system32 ipconfig exe windir system32 arp exe windir system32 KRNL386 EXE windir system32 WINLOGON EXE 学习好帮手 windir system32 TASKMGR EXE windir system32 runonce exe windir system32 rundll32 exe windir system32 regedt32 exe windir system32 notepad exe windir system32 CMD EXE windir system COMMDLG DLL windir system32 HAL DLL windir system32 MSGINA DLL windir system32 WSHTCPIP DLL windir system32 TCPCFG DLL windir system32 EVENTLOG DLL windir system32 COMMDLG DLL windir system32 COMDLG32 DLL windir system32 COMCTL32 DLL 6 获取网络连接信息 说明 Windows2000 缺省情况下系统开放 135 139 445 1025 TCP 端口 开放 137 138 445UDP 端口 如果安装了 MS SQL 服务器 还开放 TCP1433 UDP1434 端口 如 果安装了 IIS 服务器还将开放 TCP80 端口 操作方法 使用 netstat an 命令可以列举出当前系统开放的 TCP UDP 端口 附加信息 建议使用 netstat an 命令 Windows 系统自带 快照出系统开放端口和正常 连接 7 获取共享信息 说明 Windows 2000Server 缺省情况下开放各磁盘共享 如 C 远程管理共享 admin 和 远程 IPC 共享 IPC 如果用户另外打开了其它目录文件的共享 请记录在案 操作方法 使用 net share 命令 Windows 系统自带 建立共享快照 附加信息 Windows 2000Server 缺省共享 共享名 资源 注释 D D 默认共享 ADMIN D WINNT 远程管理 C C 默认共享 IPC 远程 IPC 8 获取定时作业信息 说明 Windows 2000 Server 缺省安装后并无定时作业 如果系统维护人员自己设置了某些 软件 请记录在案 建议系统维护人员使用 at 命令建立定时作业快照 操作方法 使用 at 命令 Windows 系统自带 建立定时作业快照 附加信息 无 9 获取注册表信息 说明 在对 Windows 2000 Server 安装了必要的软件后 可对注册表关键键值进行快照 供 学习好帮手 以后在检测时进行注册表对比 操作方法 使用 regdmp 命令 Windows 资源工具箱 可以对注册表进行快照 附加信息 可以进行注册表快照有多种方法 例如使用第三方软件 比如 Regshot Regsnap 等 在 Windows 注册表编辑器中也可以对注册表进行备份和快照 另外 微软的资源工具箱中的 regdmp 命令也可以用来进行注册表快照工作 直接在命令下运行 该命令及需要备份的键值即可 比如 C tools MS regdmp HKEY LOCAL MACHINE SOFTWARE MICROSOFT WINDOWS CURRENTVERSION RUN 建议系统维护人员对下面的关键键值进行快照 HKEY LOCAL MACHINES System CurrentControlSet Control SessionManager KnownDLLs HKEY LOCAL MACHINES System ControlSet001 Control SessionManager KnownDLLs HKEY LOCAL MACHINES Software Micrsoft Windows CurrentVersion Run HKEY LOCAL MACHINES Software Micrsoft Windows CurrentVersion RunOnce HKEY LOCAL MACHINES Software Micrsoft Windows CurrentVersion RunOnceEx HKEY LOCAL MACHINES Software Micrsoft Windows CurrentVersion RunServices HKEY LOCAL MACHINES Software Micrsoft WindowsNT CurrentVersion Windows run line HKEY LOCAL MACHINES sam sam HKEY CURRENT USER Software Micrsoft Windows CurrentVersion Run HKEY CURRENT USER Software Micrsoft Windows CurrentVersion RunOnce HKEY CURRENT USER Software Micrsoft Windows CurrentVersion RunOnceEx HKEY CURRENT USER Software Micrsoft Windows CurrentVersion RunServices HKEY CURRENT USER Software Micrsoft WindowsNT CurrentVersion Windows run line 1 2 2 Unix 安全初始化快照 1 2 2 1 Solaris 安全初始化快照 以 Solaris8 为例 1 获取所有 setuid 和 setgid 的文件列表 命令 find type f perm 04000 o perm 02000 print 查找系统中所有的带有 suid 位和 sgid 位的文件 2 获取所有的隐藏文件列表 命令 find name print 查找所有以 开头的文件并打印出路径 3 获取初始化进程列表 命令 ps ef 说明 UID 进程所有者的用户 id PID 进程 id PPID 父进程的进程 id C CPU 占用率 学习好帮手 STIME 以小时 分和秒表示的进程启动时间 TIME 进程自从启动以后占用 CPU 的全部时间 CMD 生成进程的命令名 4 获取开放的端口列表 命令 netstat an 5 获取开放的服务列表 命令 cat etc inetd conf 具体内容请参见附录 6 Solaris 的 inetd conf 初始化主要内容 6 获取初始化 passwd 文件信息 命令 cat etc passwd 说明 如果发现一些系统账号 如 bin sys 加上了 shell 部分 就说明有问题 下面是正常的 passwd 文件 bin sys adm 等系统帐号没有 shell bin x 2 2 usr bin sys x 3 3 adm x 4 4 Admin var adm 7 获取初始化 shadow 文件信息 命令 cat etc shadow 说明 如果发现一些系统账号的密码被更改了 或者不可登录的用户有密码了 就说明该 账号可能有问题了 sys CVLoXsQvCgK62 6445 adm CVLoXsQvCgK62 6445 8 获取初始化的不能 ftp 登陆的用户信息 命令 cat ftpusers 说明 在这个列表里边的用户名是不允许 ftp 登陆的 如果列表改变了 有可能是被入侵 者改动过 root daemon bin sys adm lp uucp nuucp listen nobody noaccess nobody4 9 获取初始化的用户组信息 学习好帮手 命令 cat etc group 说明 这是系统用户的分组情况 root 0 root other 1 bin 2 root bin daemon sys 3 root bin sys adm adm 4 root adm daemon uucp 5 root uucp mail 6 root tty 7 root tty adm lp 8 root lp adm nuucp 9 root nuucp staff 10 daemon 12 root daemon sysadmin 14 nobody 60001 noaccess 60002 nogroup 65534 10 获取初始化的 etc hosts 文件信息 命令 cat hosts Internet host table 127 0 0 1 localhost 192 168 0 180 Solaris8x86 loghost 11 获取初始化的 etc default login 文件信息 命令 cat etc default login 说明 这里是用户登陆的配置文件的一部分 如控制 root 能否从控制台以外的地方登陆 ident login dfl 1 10 99 08 04 SMI SVr4 0 1 1 1 1 Set the TZ environment variable of the shell TIMEZONE EST5EDT ULIMIT sets the file size limit for the login Units are disk blocks The default of zero means no limit ULIMIT 0 If CONSOLE is set root can only login on that device Comment this line out to allow remote login by root CONSOLE dev console 现在 root 是不能远程登录的 PASSREQ determines if login requires a password 学习好帮手 PASSREQ YES 12 获取 var log 目录下的初始化文件列表信息 命令 ls la var log 说明 这些日志是和 etc syslog conf 配置文件中的日志相对应的 total 8 drwxr xr x 2 root sys 512 Jan 12 03 54 drwxr xr x 28 root sys 512 Jan 12 04 28 rw 1 root sys 0 Jan 12 03 46 authlog rw r r 1 root other 424 Jan 12 04 28 sysidconfig log rw r r 1 root sys 766 Jan 12 04 57 syslog 13 获取 var adm 目录下的初始化文件列表信息 命令 ls la var adm 说明 这些日志是和 etc syslog conf 配置文件中的日志相对应的 total 114 drwxrwxr x 6 root sys 512 Jan 12 05 11 drwxr xr x 28 root sys 512 Jan 12 04 28 rw 1 uucp bin 0 Jan 12 03 46 aculog r r r 1 root other 2828 Jan 12 05 08 lastlog drwxr xr x 2 adm adm 512 Jan 12 03 46 log rw r r 1 root root 25859 Jan 12 04 57 messages drwxr xr x 2 adm adm 512 Jan 12 03 46 passwd drwxr xr x 2 root sys 512 Jan 12 03 55 sm bin rw rw rw 1 root bin 0 Jan 12 03 46 spellhist drwxr xr x 2 root sys 512 Jan 12 03 46 streams rw 1 root root 99 Jan 12 05 13 sulog rw r r 1 root bin 3348 Jan 12 05 08 utmpx rw r r 1 root root 244 Jan 12 04 57 vold log rw r r 1 adm adm 15996 Jan 12 05 08 wtmpx 14 获取初始化计划任务列表文件 命令 var spool cr