ISCS 计算机应急响应指南 信息安全咨询培训服务参考文件

信息安全咨询培训服务参考文件信息安全咨询培训服务参考文件 计算机应急响应指南计算机应急响应指南 文档编号 ISCS 计算机应急响应指南 001 版本 1 0 作者 陈静 彭勇 2003 年 2 月 页码 i 计算机应急响应指南版本 信息安全咨询培训服务参考文件日期 文件编号 ISCS 计算机应急响应指南 001作者 陈静 彭勇 目目 录录 目目 录录 I 修订记录修订记录 III 第第 1 章章 介绍介绍 1 1 1 目的 1 1 2 背景 1 1 3 范围 1 第第 2 章章 角色和职责角色和职责 3 2 1 用户 3 2 2 管理者 3 2 3 系统管理员 3 2 4 计算机应急响应团队 CIRT 3 2 5 计算机安全官员 CSO 3 2 6 监察长 OIG 3 2 7 媒体联系官员 OMR 4 第第 3 章章 威胁环境威胁环境 5 3 1 内部和外部威胁 5 3 2 恶意代码攻击 5 3 2 1 病毒事件 5 3 2 2 宏病毒 5 3 2 3 蠕虫 6 3 2 4 特洛伊木马 6 3 2 5 破解工具 6 3 3 解密高手 黑客攻击 6 3 4 技术脆弱性 7 第第 4 章章 应急响应程序应急响应程序 9 4 1 准备 9 4 1 1 基线保护 9 4 1 2 计划和指导方针 9 4 1 3 培训 9 页码 ii 计算机应急响应指南版本 信息安全咨询培训服务参考文件日期 文件编号 ISCS 计算机应急响应指南 001作者 陈静 彭勇 4 2 确认 10 4 2 1 确定征兆 10 4 2 2 确认事件特性 10 4 2 3 确定证据 11 4 2 4 保护证据 11 4 2 5 报告事件 11 4 3 遏制 11 4 3 1 保持低调 12 4 3 2 避免潜在的危险代码 12 4 3 3 备份系统 12 4 3 4 更换密码 12 4 4 清除 12 4 4 1 确定动机和征兆 13 4 4 2 增强防御 13 4 4 3 执行脆弱性分析 13 4 5 恢复 13 4 5 1 确定行动方针 13 4 5 2 监测和验证系统 13 4 6 追踪 13 4 6 1 文档化事件的响应量 13 4 6 2 文档化事件成本 14 4 6 3 准备报告 14 4 6 4 修订策略和程序 14 第第 5 章章 法律问题法律问题 15 第第 6 章章 结论结论 16 附附 录录 A 组织机构计算机系统事件报告表格组织机构计算机系统事件报告表格 17 页码 iii 计算机应急响应指南版本 信息安全咨询培训服务参考文件日期 文件编号 ISCS 计算机应急响应指南 001作者 陈静 彭勇 修修订订记记录录 版本版本时间时间作者作者备注备注 1 02003 2陈静 彭勇 由陈静完成相应翻译和整理 彭勇做了相应修改 本文档主要涉及计算机事件响应服务 应急响应服务中的事 件响应功能 描述了事件响应相关的背景 流程等 可以作 为组织机构内部进行计算机事件响应的指南文件 具有一定 的实用价值 具体使用时 其前提条件是组织机构已建立了相对完善的计 算机安全管理特别是计算机事件响应 应急响应的相关管理 结构 组织机构应根据自己的组织结构进行相应调整 页码 1 计算机应急响应指南版本 信息安全咨询培训服务参考文件日期 文件编号 ISCS 计算机应急响应指南 001作者 陈静 彭勇 第第 1 章章 介介绍绍 1 1 目的目的 本计算机安全应急响应指南的目的就是向组织机构内使用 管理信息系统的从事技术 管理等领域的所有人员提供一个整体通用的指南 用于帮助组织机构的所有人员能快速 有效地处理和恢复计算机安全事件 执行所有必要的步骤来响应并正确处理事件 防止或者最小化对关键的计算服务的中断 最小化丢失或偷窃敏感或者关键的业务信息 信息安全需要所有使用 管理信息系统的人员共同来维护 每个机构也应对外部系统 和外部组织机构承担相应的安全的社会责任 本指南也可以作为组织机构同其他组织进行 沟通的指导 即同组织机构内部及外部的其他信息安全和相应法律机构进行沟通协调的指 导 同时使用此指南也可以指导员工遵守司法机构等的相关规定 指导员工从事合理 合 法的行为 应急响应的关键就是要在紧急情况下能够快速 有效地协同各种不同技术范畴领域的 员工协同行动 为此 组织机构需要有具体的策略 流程和指导方针 本文为组织机构对 计算机安全事件响应的准备提供了整体的概述 它也将帮助用户在第一次参与安全事件提 供了许多帮助 1 2 背景背景 组织机构的信息系统和信息资产保护的需求要求包含对应的应急响应过程 它的目的 在于有效地处理发生的安全事件 应急响应能力可以确保当安全事件在系统发生时能够给用户提供相应的帮助 并且能 考虑到共享信息的脆弱性和威胁 采取正确的措施 和其他机构组织共享信息应该遵守此 准则 应该协助相应管理部门进行适当 合法的行动 并同相关司法部门协调一致 处理计算机安全事件不是一件简单的事情 有效的应急响应要求负责应急响应的技术 人员具有很强的技术知识 广泛的交流 明确的职责和合作 然而 最终用户 他一般没 有可以有效应急响应的高要求技术 但他却可能是发现安全事件的第一人 所以 事件响 应和应急响应中的重点就是在事件响应和最终用户对系统威胁和脆弱性的意识两方面提供 给用户以帮助 此外 评估补救措施分步的法律内容只存放在组织机构的相关管理人员办 公室中 另外 用于评估安全事件导致的破坏性和恢复系统完整性的程序通常都集中在每 天都会操作系统和数据的系统拥有者和管理者处 1 3 范围范围 这份文档中包含的指导直接针对技术员工 例如 系统管理员 技术支持人员等 但 是 它也适用于所有的组织机构员工和协约用户 即组织机构信息系统的所有用户 以 页码 2 计算机应急响应指南版本 信息安全咨询培训服务参考文件日期 文件编号 ISCS 计算机应急响应指南 001作者 陈静 彭勇 及处理 存储 传递或者访问组织 IT 信息和计算资源基础设施的人员 这个指导方针适用 于组织机构所有的信息和计算资源基础设施 而不论这些信息资源的敏感程度如何 是否 被组织机构拥有和操作 或者是否为组织机构工作之用 页码 3 计算机应急响应指南版本 信息安全咨询培训服务参考文件日期 文件编号 ISCS 计算机应急响应指南 001作者 陈静 彭勇 第第 2 章章 角角色色和和职职责责 每一个组织机构员工 从组织机构网络资源的终端用户到相关管理人员 都有责任保 护组织机构信息系统的安全 2 1 用户用户 尽管组织机构中已大量使用了各种先进的自动的入侵检测系统 但计算机用户仍可能 是发现入侵事件的第一人 最终用户和系统用户都需要对异常系统行为产生警惕 这些异 常行为可能正说明安全事件在进行中 除了他们的应急响应责任之外 系统用户可能在某种程度上还有向计算机资源中心 Help Desk 报告事件 例如 被系统的用户工作站探测到的病毒感染 系统威胁或者 拒绝服务 的职责 2 2 管理者管理者 管理者要确保他们的员工了解报告程序和安全策略 可以及时保护组织机构的信息系 统 人员和资产 他们有责任向信息技术中心报告安全事件 并通知计算机安全官员 CSO 2 3 系统管理员系统管理员 组织机构信息系统的系统管理员可能经常是发现安全事件的第一人 象管理者一样 系统管理员有责任立刻将事件报告给 CSO 另外 他们可能在需要时会被要求协助决定和 执行解决方案 2 4 计算机应急响应团队 计算机应急响应团队 CIRT CSO 已经建立了组织机构的 CIRT 它是协助 CIO 处理安全事件的组织响应团队 团 队的职责包括发现 响应和处理可能会中断组织机构信息基础设施的日常操作的事件 并 正式化事件报告 而且 CIRT 被建立来正式化对事件的报告 和计算机技术中心员工 用户团体一起通 知事件信息 2 5 计算机安全官员 计算机安全官员 CSO CSO 有责任在组织机构中进行计算机安全管理整理 也有责任向 CIO 和其他系统管理 者报告严重的安全事件 并协调和高级管理 OIG 以及其他法律执行权威的职责 2 6 监察长监察长 OIG OIG 对事件处理主动化提供法律执行授权和调查支持 如果怀疑某关键的操作 必须 立刻通知 OIG 由 OIG 决定 搜集其他的法律执行支持来协助事件调查 页码 4 计算机应急响应指南版本 信息安全咨询培训服务参考文件日期 文件编号 ISCS 计算机应急响应指南 001作者 陈静 彭勇 2 7 媒体联系官员 媒体联系官员 OMR 组织机构的 OMR 有责任公开回答有关于组织机构活动的问题 当计算机安全事件发 生时 在需要时 OMR 能够向公众传播信息 组织机构员工有权利公开散布和计算机安全 事件相关的信息 但是要向将与 OMR 合作的 CSO 提供那些信息 页码 5 计算机应急响应指南版本 信息安全咨询培训服务参考文件日期 文件编号 ISCS 计算机应急响应指南 001作者 陈静 彭勇 第第 3 章章 威威胁胁环环境境 尽管计算机安全事件可能会采取许多的形式和许多迂回的手段 但是总有一些出现更 加频繁的攻击类型 知道这些类型的攻击 以及组织机构将如何对付它们将帮助组织机构 员工更好地准备响应和报告所有相关信息给 CSO 3 1 内部和外部威胁内部和外部威胁 内部威胁 内部威胁指的是用户滥用资源 运行恶意代码或者试图非法访问应用系统 的现象 典型例子包括对他人帐户的非法使用 对系统特权的非法使用 以及执行可能破 坏数据的恶意代码行为 更重要的内部威胁包括在系统执行非法操作的合法系统管理员 外部威胁 外部威胁指的是试图非法访问系统或者造成服务中断的操作者行为 典型 例子包括中断 拒绝服务的攻击 垃圾邮件 执行会破坏数据或者崩溃这个系统的恶意代码 3 2 恶意代码攻击恶意代码攻击 恶意代码一般会隐藏自己的存在 因此它通常难于被探测到 具有自复制功能的恶意 代码 象病毒和蠕虫 都可以很快地复制自己 以致于遏制政策成为一个特别困难的问题 处理恶意代码攻击需要专门的考虑 3 2 1 病毒事件病毒事件 病毒是一种自复制代码 它通过修改可执行文件操作和传播 病毒经常是用户初始化 的 当用户通常按照适当的操作流程时 它不会显示出任何的威胁存在 总的来说 用户 不应该在没有进行首次扫描病毒操作前执行附件程序 一般电子邮件中容易携带感染病毒 代码 组织机构响应 组织机构向所有用户提供培训 让用户了解病毒如何工作以及限制病 毒传播的程序 组织机构有反病毒工具 包括每台台式电脑的扫描器 它可以和网络扫描 器检查每个文件操作 组织机构在可写保护的 CD ROM 上保留已知的好的反病毒软件副本 组织机构将立刻 中止使用已被病毒感染的任何计算机设备 留着被感染的计算机 通知计算机资源中心 CRC 不要在没有 CRC 指导的情况 下自行试图清除病毒或者恢复系统 3 2 2 宏病毒宏病毒 宏病毒是一种利用应用软件自身的宏编程语言进行传播的病毒类型 例如微软的 Word 或者 Excel 组织机构响应 因为宏病毒感染的是文档文件而不是程序 组织机构已经扩充了病毒 保护内容 其中包括使用最新的商家反病毒应用软件来检查所有的文件 用户将会收到如 页码 6 计算机应急响应指南版本 信息安全咨询培训服务参考文件日期 文件编号 ISCS 计算机应急响应指南 001作者 陈静 彭勇 何在他们的微软办公应用软件上开启宏保护的指导 3 2 3 蠕虫蠕虫 蠕虫是一种自包含的自复制代码 也就是能够不修改任何软件而自行操作 通过 察看系统过程来注意蠕虫是最好的方法 如果一个不熟悉的过程 通常带有一个不知道的 名称 正在运行 并且占据着系统处理容量的大部分比例 系统就可能正在被蠕虫攻击 蠕虫有时也显示给用户一些异常信息 可以说明它们的存在 如果有来自于未知用户的信 息 要求用户复制电子邮件信息到一个文件中 这可能也会传播蠕虫 蠕虫一般在网络上 传播自己 并且可以非常快地传播 组织机构响应 如果任何组织机构员工发现蠕虫的迹象 他或她必须立刻通知 CRC 使用相应的病毒报告表格 迅速地消灭被蠕虫代码建立的任何欺诈过程将最小化潜在的破坏 如果蠕虫是一种基 于网络的蠕虫 也就是说 使用网络来传播自己 ITC 将切断所有和网络连接的工作站或 者客户机 3 2 4 特洛伊木马特洛伊木马 特洛伊木马程序是一种恶意程序 它伪装自己是有效的程序或者有益的工具 许多恶 意代码实际上就是一种形式或其他形式的特洛伊木马程序 特洛伊木马程序经常会欺骗用 户复制和执行它们 组织机构响应 在组织机构组织发行任何新的商业应用软件之前 必须先经过测试 而且 组织机构策略要求员工接收可以在组织机构计算机上安装非标准的应用软件的授权 尽管有这些预防措施 特洛伊木马还是能够通过隐藏在可移动的存储介质 例如软盘 文 件中被传播 3 2 5 破解工具破解工具 破解工具是攻击者为了各种各样的目的而移植到系统中的一种程序 象提高特权 获 取密码 隐藏攻击者的出现等等 他们可以从系统外部被使用来获取信息和开始对目标系 统的攻击 如果对软件程序的鉴别或功能有任何质疑 需要将软件交给 CRC 处理 如果发现特洛 伊木马已经破坏或者甚至感染了系统 需将系统放置一边 并联系 CRC 3 3 解密高手解密高手 黑客攻击黑客攻击 解密高手或者黑客是那些试图获取非法访问远程系统权限的用户 到现在 解密高手 和黑客实际上使用相同的秘密手段入侵系统 通常黑客就在终端命令输入处 等着观察发 生的事情 然后输入更多的命令 现在 许多的破坏攻击都是自动化的 仅仅进行几秒的 时间 要确认和响应他们就变得更加困难 解密高手现在一般使用破解工具 前面描述的 页码 7 计算机应急响应指南版本 信息安全咨询培训服务参考文件日期 文件编号 ISCS 计算机应急响应指南 001作者 陈静 彭勇 它不同于惯用的恶意代码 因为许多的破解工具不会中断系统或者破坏代码 破解工具 是典型的针对终端用户的工具 就象获取管理级访问 修改审计日志等等 调制解调器拨入是解密或者破坏系统的流行方式 组织机构响应 组织机构策略中必须明确所有的调制解调器都将被设置为拨出或者拨 入仅在单独的 PC 机上适用 显示解密高手或者黑客可能已经危及系统的征兆包括以下特点 目录和文件的变化 显示的最近的登录时间不是真实的最后登录时间 发现有人从其它终端登录进入个人帐户 或者 登录帐户的能力丧失 因为经常有人会改变密码 组织机构响应 如果这些或者其他特征被观察到 应该立刻通知 ITC 技术支持 使用 附加的应急响应表格 附件 如果在获取非法访问的行动中捕捉到解密者 组织机构应该依照攻击的特性来采取措 施 如果攻击者已经获取了管理级别访问能力 正在删除或者修改用户文件 或者已经访 问了含有敏感数据的设备 攻击就具有严重的威胁 在这种情况下 CIRT 必须通过终止攻 击者建立的程序来锁住攻击者离开系统的退路 如果攻击者没有获取管理级别访问能力 没有显示破坏或者中断系统操作 CIRT 可以 选择允许攻击者继续操作来搜集必要证据来抓获或者起诉攻击者 解密者 黑客攻击的关键阶段就是擦除 因为破坏者频繁地使用破解工具 当他们的攻 击结束时要确保没有破坏痕迹留在系统是很重要的 处理解密者 黑客的攻击行为的另一个关键元素就是如何处理搜集到的证据 系统日志 打印输出 复制系统中发现的恶意代码 备份磁带 在日志中记录到的涉及监管和登录的 证据连续性都可能成为令人信服的对付犯罪者的有利证据 参见 4 2 4 节 组织机构响应 如果系统用户发现那些破坏产生的证据 组织机构 CIRT 将建立这些证 据的副本 并将它们发送给 CSO 和 OIG 进行更深入的检查 CIRT 将恢复所有被攻击者 变动的通常设置值文件的许可和配置设置 处理解密者 黑客攻击是有风险的 除非处理人 员具有技术技能 程序和必要的设备 这也是 CIRT 被建立的原因 3 4 技术脆弱性技术脆弱性 当对抗内部或者外部威胁时 技术脆弱性是信息系统或者组件 例如系统安全程序 硬件设计和内部控制 的一个漏洞或者弱点 它可以被利用来干扰系统安全 许多现今已 知的应用软件和操作系统的技术脆弱性都可以在开发测试 用户接受性测试 证明和鉴定 安全和测试和评估以及 OIG 审计期间被发现 页码 8 计算机应急响应指南版本 信息安全咨询培训服务参考文件日期 文件编号 ISCS 计算机应急响应指南 001作者 陈静 彭勇 组织机构响应 如果用户发现可用来破坏系统或网络安全的技术脆弱性 他或她应该 立刻利用附加的应急响应报告表格书面列出脆弱性 并迅速发送给 CSO 以及相关的系统管 理员 这个文档应该记录以下信息 1 描述脆弱性 2 描述脆弱性发现的环境 3 描述弱点或者设计缺陷的具体影响 4 显示应用软件厂商是否已经被通报 在列出脆弱性后 即使正常的指挥链已经被控制 信息也应该被立刻通知给相关人员 以引起 CSO 的注意 不要通过网络发送脆弱性报告 或者和办公通道以外的任何人共享脆 弱性信息 CSO 将和系统管理员 CIO 和 OIG 一起安排工作来解决脆弱性 页码 9 计算机应急响应指南版本 信息安全咨询培训服务参考文件日期 文件编号 ISCS 计算机应急响应指南 001作者 陈静 彭勇 第第 4 章章 应应急急响响应应程程序序 组织机构为计算机安全事件响应定义了六个阶段 准备 确认 遏制 根除 恢复和 追踪 了解每一阶段会促使处理过程更加系统和有效 可以帮助关键员工了解响应的过程 以致于他们能够处理没有预料到的发生事件各方面 以下段落定义了响应的六大过程 4 1 准备准备 组织机构认为在事件发生之前准备响应过程是事件处理过程的最关键方面 这种提前 准备避免了紊乱地和迷惑地对待事件 组织机构准备也可以通过确保响应计划被所有员工 所熟知而限制潜在的破坏性 从而使处理更加容易 4 1 1 基线保护基线保护 组织机构已经在所有的系统和网络安装了基线保护 所有计算组件都有第一线的防御 能力 保证事件不会很快地在系统间传播 组织机构局域网 LAN 服务器已经进行了访 问控制设置 除了 LAN 管理员之外没有人可以写入系统执行 作为一贯的好做法 组织机构系统管理员保持遵守 CERT 通告 公告板警示 事件及 脆弱性记录来确保在事件发生之前可以适当 准确地防御 组织机构提前获得一些有用工具 可以潜在避免当事件发生后才开始获取那些工具所 造成的可能的破坏延迟 组织机构已经执行了入侵检测系统来监测并处理报警 4 1 2 计划和指导方针计划和指导方针 组织机构已建成计算机应急响应团队 委任的系统管理员在处理已牵连一个或更多基 础系统的关键事件期间是有益处的 除了指定的系统管理员外 万一还有人想要管理级访 问权限 那时被用来获取对每个系统和 LAN 管理级访问的密码已经被记录封存在独立的信 封内 并放在 ITC 的安全的数据介质内 组织机构已经有了紧急事件通信需要时的计划 事件负面影响正常的通信通道时 组 织机构已经准备有事件处理期间可联系的员工列表 包括住宅电话号码 首选和第二选的 FAX 号码 手机号码和呼机号码 组织机构建立了书面的应急响应指导 适用范围广泛 并发送文档给所有级别的员工 这份书面指导被建立 可以帮助一般的系统管理员响应带有计算机安全事件征兆的未预料 事件 4 1 3 培训培训 向适当的 CIRT 组员提供培训 培训应急响应事件时的方法 CIRT 成员也被要求参加 定期的模拟事件训练 在其中执行书面的对模拟事件的响应程序 页码 10 计算机应急响应指南版本 信息安全咨询培训服务参考文件日期 文件编号 ISCS 计算机应急响应指南 001作者 陈静 彭勇 4 2 确认确认 确认阶段组织机构的方法包括 1 确认事件 2 如果事件已经发生 确认它的特性 3 确认和保护证据 还有 4 记录和报告事件 当员工注意到数据 系统或者网络的可疑 异常情况时 他或她就启动组织机构的确认过程 4 2 1 确定征兆确定征兆 确定异常情况是否就是发生事件所显示的征兆是很困难的 因为最经常出现的安全事 件的表象是其他一些事物 例如 系统配置错误 应用程序错误 硬件故障 用户错误 等等 典型的计算机安全事件的征兆包括以下的一些或全部内容 a 来自于入侵检测工具的系统报警或者相似的现象 b 可疑的系统或者网络帐户登录 例如 一个 UNIX 用户没有经过正常顺序获得 root 访问 c 帐户矛盾 例如 有人注意到无论什么发生 在帐户日志上都没有登录记录 存在 一个 18 分钟的空缺 d 不成功的登录企图 e 不清楚的 新的用户帐户 f 不清楚的新的文件或者不熟悉的文件名称 g 不清楚的对文件长度或者日期的修改 特别是对系统可执行文件 h 对系统文件进行写操作或者修改的不明确企图 i 不清楚的对数据的修改或者删除操作 j 拒绝 中断服务或者一个或多个用户不能登录到帐户 k 系统崩溃 l 弱系统执行 m 捕获网络传输的程序或者嗅探设备的操作 n Door knob rattling 例如 攻击扫描器的使用 远程访问系统或者用户信息的请 求 或者社交工程企图 o 异常使用时间 记住 更多的计算机安全事件都发生在非工作时间 p 显示的用户帐号的最后使用时间不是那个用户最后使用的真实时间 q 异常使用模式 例如 程序正在不了解如何编程的用户帐号下进行编制 4 2 2 确认事件特性确认事件特性 尽管到最后没有哪一个征兆可以说明计算机安全事件正在发生 但发现一个或者更多 的这些征兆可以促进发现者更紧密地调查事件 碰到一个或更多这些征兆的系统管理员应 该和 CSO 指定的 ITC 联系人合作 来确定真实发生的事情 组织机构将在逐个征兆分析 的基础上确认安全事件 页码 11 计算机应急响应指南版本 信息安全咨询培训服务参考文件日期 文件编号 ISCS 计算机应急响应指南 001作者 陈静 彭勇 如果事件涉及危险性活动或者可能的犯罪活动 CSO 和 CIO 必须根据结果作出决定 通知组织机构 OIG 相关国家信息安全管理机构 4 2 3 确定证据确定证据 为了保护证据 数字 日期和签名都要记录和打印输出 在安全环境放置存有初始 未修改并且完整记录的海量磁盘 或者拷贝整个记录到一个可选的地址并适当保护 当向 CSO 递交证据时 要确保在指挥链的分解下 每个项都被详细标记 4 2 4 保护证据保护证据 所有证据的保管链必须保持 要提供文档来显示已处理证据的人的顺序和证据被存储 的场所的次序 日期和时间也必须描述 在时间和日期上必须没有任何的失误 证据的传 递过程也必须文档化 在预想可能会出现问题的状况下必须要验证和证明信息的完整性 必须将证据保存在 防篡改的介质上 例如 CD R 或者生成加密信息或者校验和 例如 SHA 1 MD5 或 CRC32 一旦计算机安全相关事件已经宣布 组织机构必须获取可疑事件出现的系统的完整备 份 因为计算机犯罪的犯罪者正在对快速破坏自己非法活动的证据操作越来越精通 所以 必须意识到需要通过进行完全备份来立刻获取证据 否则在检查证据之前 证据可能已经 被破坏了 备份可以为以后确定是否有其他非法活动发生提供对比的依据 4 2 5 报告事件报告事件 如果基于计算机的事件被探测到 它必须立刻报告给 CSO 特别地 每一个系统拥有 者都必须知道如何和在什么时间联系 CSO 这份指导附加的事件报告表格应该被使用来汇 总可疑事件的信息和报告 CSO 有责任将事件信息及时报告给高级管理层 另外 CSO 必须迅速报告给 CIO 有 关事件安全的严重漏洞情况 如果有犯罪活动的证据 CIO 将直接指示 CSO 来通报组织机 构 OIG 注意 除了指定的组织机构发言人 和可能参与其中 的 FBI 组织机构的其他员工没有权利和组织机构以外 的任何人讨论安全事件 组织机构系统和网络审计日志可以提供充足的信息来帮助决定是否已经出现了非法活 动 一旦 CSO 和独立的系统拥有者确定已经出现严重的计算机安全事件 它涉及很广泛的 范围 他们必须通报 OIG 和联邦授权机构 4 3 遏制遏制 组织机构在遏制阶段的的直接目的就是尽可能地限制事件的范围和程度 而不是为了 获取确认或者起诉犯罪者的证据就任由事件继续发展 页码 12 计算机应急响应指南版本 信息安全咨询培训服务参考文件日期 文件编号 ISCS 计算机应急响应指南 001作者 陈静 彭勇 在遏制阶段首要决定就是对关键信息和计算服务要采取什么措施 CSO 和系统拥有者 将在适当的调查组织中工作来确定是否有敏感数据遗留在系统或者拷贝到介质上 被带走 相似地 也要确定是否经由被认为没有中断可能的网络传输关键计算服务到其他系统 要确定危险系统的操作状态 查看系统是否 1 完全关闭 2 断网状态 或者 3 允 许在正常操作状态继续运行 以致于系统活动可以被监测到 将依据对事件风险的评估结 果 在仅有简单病毒事件的情况下 组织机构 CIRT 必须快速行动 在不关闭被感染系统 的条件下清除任何病毒 如果系统是相当敏感或者信息 关键程序可能正面临风险 组织机 构通常将关闭系统 或者至少暂时把它从网络隔离 如果存在对系统不会造成对数据的 很大破坏 毁坏或者危及的情况下 有可能通过继续视为正常的运行来确定犯罪者 那么 组织机构可以在密切监视下继续操作 4 3 1 保持低调保持低调 如果已监测到基于网络的攻击 组织机构必须小心不要让入侵者发觉到 要避免用明显的方法来寻找攻击者 如果攻击者探测到试图定位他们的行动 他们可能 会删除系统 维持标准程序 继续使用组织机构入侵检测系统 4 3 2 避免潜在的危险代码避免潜在的危险代码 不建议以 root 或者管理者身份登录被危及的系统并且开始在系统输入命令 例如 要 避免使用 FTP 从另一个站点下载工具 如果可能 为组织核心操作系统记录关键二进制的 指纹档案 4 3 3 备份系统备份系统 将受影响的系统备份到一个新的未使用介质 一旦有显示表明安全事件已经发现 就 需要立刻做备份 立刻进行一个完整的备份可以捕获可能会被破坏的证据 使得有机会看 到并分析它 做两个备份 一个做为证据 保持密封状态 另一个就作为额外备份作用的 资源 4 3 4 更换密码更换密码 在所有受影响的系统都要立刻进行密码变更 密码应该在被危及系统和所有定期和被 危及系统联系的系统上被更改 并且通报所有受密码变更影响的员工 如果嗅探设备被探 测或者被怀疑 在 LAN 上所有系统的密码可能都已经被危及 要注意 用户改变的密码 没有在其他的计算机系统上使用着 4 4 清除清除 制止计算机安全事件造成破坏之后需要做的就是清除事件造成的影响 在病毒入侵环 境下 组织机构将使用一种或者更多种被认证的商业病毒清除应用软件 清除所有系统和 介质 例如 软盘 备份存储介质 的病毒 组织机构知道许多入侵都会留下难以定位的 页码 13 计算机应急响应指南版本 信息安全咨询培训服务参考文件日期 文件编号 ISCS 计算机应急响应指南 001作者 陈静 彭勇 良性的或恶意的 制造品 所以 组织机构将要注意清除 1 恶意制造物 例如木马 程序 和 2 良性制造物 仅当它们对资产表现出具有非常严重的风险时 4 4 1 确定动机和征兆确定动机和征兆 使用遏制阶段搜集的信息并搜集其他信息 如果不能确定单一的攻击形式 就不能列 出攻击并分级分类 4 4 2 增强防御增强防御 执行适当的保护技术 象防火墙或者路由过滤器 移动系统到一个新的的名称 IP 地址 或者在极限条件下 将机器功能控制过渡到一个更加安全的操作系统 4 4 3 执行脆弱性分析执行脆弱性分析 使用可靠的脆弱性分析工具 来扫描与受破坏的系统相连的脆弱系统 4 5 恢复恢复 组织机构定义恢复阶段来恢复系统到它的正常操作状态 4 5 1 确定行动方针确定行动方针 在相关简单事件 例如试图但是没有成功入侵系统 发生时 恢复要求要保证事件对 组织机构的计算机或者数据资源没有负面影响 在复杂事件发生时 象 入侵者植入恶意 代码 恢复可能要求利用备份盘或者对组织机构灾难恢复计划的全部执行 来进行完整的 恢复操作 4 5 2 监测和验证系统监测和验证系统 首先 要通过读数据确定备份本身的完整性 一旦系统已经通过备份恢复 验证操作 成功性和系统是否已经返回到它的正常操作状态 第二 经由正常任务开始运行系统 利 用网络日志员和系统日志文件一同来密切监测它 要密切监测可能已经逃避了检测的潜在 系统后门 4 6 追踪追踪 组织机构意识到在恢复阶段之后将更多的资源投入到事件当中不是总能有成效比的 然而 组织机构也知道在恢复之后继续追踪事件可以帮助完善事件处理程序 4 6 1 文档化事件的响应量文档化事件的响应量 获取对以下问题的回答来评估处理这些事件的组织的执行情况 对事件是否有充足的准备 检测是否及时启动 或如果没有 为什么 其他工具是否可以帮助检测和消除处理 事件是否充分地被遏制 通信是否充足 或者可能会更好 面临的实际困难是什么 页码 14 计算机应急响应指南版本 信息安全咨询培训服务参考文件日期 文件编号 ISCS 计算机应急响应指南 001作者 陈静 彭勇 4 6 2 文档化事件成本文档化事件成本 内部确定员工工作时间需要和事件相联系 包括对系统的必要恢复时间 这导致以 下的成本分析 相关的现金成本是多少 事件中断了正在进行的操作 损失多少 数据是否不能恢复 如果是 数据价值多少 是否有硬件损坏 如果有 成本多少 根据事件获取的经济成本对起诉有帮助 并且可以作为一个基础为将来的安全服务预 算要求提供证明 4 6 3 准备报告准备报告 根据事件类型 组织机构将准备报告 包括经验教训和上面提到的成本分析 可用来 加深组织机构员工意识的那部分报告内容将在培训中适当发送和使用 参见这份指导附录 的报告 4 6 4 修订策略和程序修订策略和程序 组织机构知道执行有效的计算机安全策略和程序经常要求根据经验来进行修订 所以 每个事件的经验教训都被用来审查组织机构的计算机安全措施 页码 15 计算机应急响应指南版本 信息安全咨询培训服务参考文件日期 文件编号 ISCS 计算机应急响应指南 001作者 陈静 彭勇 第第 5 章章 法法律律问问题题 为避免危及到起诉计算机犯罪的犯罪者的能力 组织机构系统向所有想登录系统的用 户显示了一个醒目的警告标语 警告标语 下面显示有副本 警告用户 系统是一个政府 系统 仅作为官方用途 任何非法使用都可能导致犯罪的起诉 登录标语也包括一个描述 说明使用系统时自愿同意被监测有关计算资源的活动 关于计算机使用的组织机构策略 使用这个系统只能为了组织机构授权目的之用 任何 其他的使用都是违反国家法律的政府资源滥用行为 在任何 时间系统的所有信息都受已授权的组织机构员工的访问影响 个人用户对那些信息没有窃密意识 OK OK 页码 16 计算机应急响应指南版本 信息安全咨询培训服务参考文件日期 文件编号 ISCS 计算机应急响应指南 001