信息系统安全应急响应处置PPT幻灯片.ppt

信息系统安全紧急响应处置，简介，伯恩斯协会专家组cissciscobititil，2，目录，紧急响应系统，紧急响应案例，其他，3，2020/6/8，紧急响应定义1，紧急响应(信息安全紧急响应计划规范GB/T24363-2009)，4，2020/6/8，紧急响应通常是指一个组织为应对各种故障事件做好准备，以及在事件发生后采取的措施。信息系统安全事件应急响应对象是指向信息系统存储、发送和处理的信息的指针的安全事件。事件的主体可能来自自然界、系统本身的故障、组织内部或外部的人为攻击等。根据信息系统安全的三个特性，可以将安全事件定义为破坏信息或信息处理系统CIA的行为，即破坏机密性的安全事件，破坏完整性的安全事件，以及破坏可用性的安全事件。(信息系统等保险体系框架GA/T708-2007)、紧急响应定义2，5、2020/6/8、信息安全响应定义3、信息安全紧急响应是指发生计算机系统或网络安全威胁事件后采取的措施和措施。这些措施和措施通常用于减少和防止事件带来的负面影响和损害的后果。信息安全应急响应是解决网络系统安全问题的有效安全服务手段之一。6，2020/6/8，定义紧急处置，启动应急响应计划后，应立即采取相关措施，遏制信息安全事故的影响，防止更大的损失。一旦确定您有效地控制了信息安全事件的影响，请启动恢复操作。恢复阶段的措施侧重于建立临时业务处理能力、恢复原始系统的损坏、恢复原始系统或新设施的业务能力等紧急措施。(信息安全紧急响应计划规范GB/T24363-2009)，7，2020/6/8，信息安全紧急响应背景，Morris，Worm，1988年Morris蠕虫事件后世界上第一个紧急响应组织中国的信息安全应急响应管理系统，11，2020/6/8，信息安全应急响应管理标准，12，2020/6/8，信息安全应急响应要求信息安全级别保护，13，2020/6/8 ，即可从workspace页面中移除物件。即可从workspace页面中移除物件。即可从workspace页面中移除物件。即可从workspace页面中移除物件。即可从workspace页面中移除物件。1)紧急响应事件咨询2)紧急响应事件综合评估。即可从workspace页面中移除物件。即可从workspace页面中移除物件。即可从workspace页面中移除物件。即可从workspace页面中移除物件。即可从workspace页面中移除物件。1)紧急情况技术能力支持2)技术资源调整。即可从workspace页面中移除物件。即可从workspace页面中移除物件。即可从workspace页面中移除物件。即可从workspace页面中移除物件。即可从workspace页面中移除物件。1)对紧急情况的日常监控2)对紧急情况的响应。即可从workspace页面中移除物件。即可从workspace页面中移除物件。即可从workspace页面中移除物件。即可从workspace页面中移除物件。即可从workspace页面中移除物件。1)紧急情况处理2)恢复关键信息系统的工作能力。即可从workspace页面中移除物件。即可从workspace页面中移除物件。即可从workspace页面中移除物件。即可从workspace页面中移除物件。即可从workspace页面中移除物件。，14，2020/6/8，网络钓鱼事件，网页上恶意代码事件，紧急事件类型，有害程序事件，混合攻击程序事件，计算机病毒事件，蠕虫事件，木马事件人员伤亡事件，灾难事件，自然灾害，人类灾害，15，2020/6/8，紧急事件等级，16，2020/6/8，信息安全紧急响应流程，17，2020 ，24，2020/6/8，紧急计划类型，组织的紧急响应任务指令，特定类型的安全事件解决方案，特定环境，特定安全事件处理，紧急计划框架，26，2020/6/8，紧急计划文档结构， 众所周知的公开案例-OpenSSL，37，2020/6/8，38，2020/6/8，众所周知的公开案例-OpenSSL，39，2020/6 SQL注入攻击原理SQL注入(SQLInjection):程序员在编写代码时没有对用户输入数据的合法性的判断，因此应用程序存在安全风险。 用户可以提交数据库查询代码片段，根据程序返回的结果获取他们想知道的数据，或者进行数据库操作。43，SQL注入Webshell后台旁路登录，Tips，Webshell，/login.asp，管理员，管理员，程序员考虑的方案3360 username : admin password 330，Tips，46，程序员的意外结果.username : admin or 1=1-password 33601 select count(*)fromuserswhereusername=admin or 1=1-and password“，”是SQL字符串变量的分隔符，攻击密钥通过边界字符成功地将攻击者的意图注入SQL语句中！通过注释验证SQL语句是否正确！-MSSQL注释，Tips，47，案例1:奥林匹克帆板网站系统，远程监控，案例1:奥林匹克帆板网站系统，现场每日安全日报阶段性总结报告，案例1:奥林匹克帆板网站系统，50，案例2:忘记密码，案例3: DDOS攻击紧急响应，58，事件说明分析：客户说明根据客户描述的情况，web服务无法正常访问紧急响应安全事件网络状态基本信息无法远程访问相应的web服务器，页面事件基本分析可能：a . web服务无法启动b .主机网络无法运行c .病毒问题d .拒绝服务攻击e .防火墙策略更改f . 方案开发：在用户现场重现分析事件之前部署监控工具、流量分析、协议分析等判断事件类型：维护问题、病毒、内部攻击、外部启动攻击等判断攻击目标：主机攻击、web服务攻击、网络设备攻击、网络带宽判断攻击目标攻击方法：漏洞、流量类型、混合、网络带宽在intranet上访问服务器是正常的，根据数据包类型，可以基本排除主机或web服务的漏洞攻击。分析收集的包的包头，有很多tcpsyn包、UDP包和较少的icmp包、未知IP包等。案例3: DDOS攻击紧急响应，61，syn flood攻击：如捕获分析所示，大量syn请求发送到目标地址，syn包的源地址是大量随机生成的虚假地址。在目标主机上使用netstatan命令可以查看syn_received状态的许多syn连接。案例3: DDOS攻击紧急响应，62，如果是简单的tcpsynflood攻击，如果没有达到速度限制，则可以使用性能好且具有synflood功能的设备进行保护。如果主机服务器停止响应，则必须从网关或防火墙“代理”主机服务以保护主机。此时，网关或防火墙需要能够抵抗这种拒绝服务的攻击。如果攻击包是sakey数据包，则需要网关或防火墙来抵抗这种拒绝服务的攻击。攻击包达到速度限制后，必须分阶段追踪包的来源。案例3:分析封包特性，例如DDOS攻击紧急回应、63、来源位址(任意)、连接埠、TTL值、序号、通讯协定号码等。检查路由器每个端口上的流量源，或使用流量分析工具。分析数据包的特性以确定大多数数据包的来源。向上一级，找到具有相同特性的某些数据包源，并