网络与信息安全应急响应技术规范与指南

1、中国移动 网络与信息安全应急响应技术规范与指南 版 本 号 ：V 1 . 0 中国移动通信有限责任公司 二零零四年十一月 目 录 前言前言.7 一、背景一、背景.7 二、适用范围二、适用范围.7 三、编制依三、编制依据据.7 四、阅读对象四、阅读对象.7 五、引用标准五、引用标准.8 六、缩略语六、缩略语.8 七、安全事件及分类七、安全事件及分类.8 八、安全事件应急响应八、安全事件应急响应.9 九、文档内容概述九、文档内容概述.11 1 准备阶段准备阶段.13 1.1 概述概述.13 1.1.1 准备阶段工作内容.13 1.1.1.1 系统快照.13 1.1.1.2 应急响应工具包.14 1

2、.1.2 准备阶段工作流程.14 1.1.3 准备阶段操作说明.15 1.2 主机和网络设备安全初始化快照主机和网络设备安全初始化快照.15 1.2.1 WINDOWS安全初始化快照.16 1.2.2 UNIX安全初始化快照.19 1.2.2.1 Solaris 安全初始化快照 .19 1.2.3 网络设备安全初始化快照.26 1.2.3.1 路由器安全初始化快照.26 1.2.4 数据库安全初始化快照.27 1.2.4.1 Oracle 安全初始化快照.27 1.2.5 安全加固及系统备份.32 1.3 应急响应标准工作包的准备应急响应标准工作包的准备.32 1.3.1 WINDOWS系统应

3、急处理工作包.33 1.3.1.1 系统基本命令.33 1.3.1.2 其它工具软件.33 1.3.2 UNIX系统应急处理工作包.34 1.3.2.1 系统基本命令.34 1.3.2.2 其它工具软件.34 1.3.3 ORACLE 数据库应急处理工具包.35 2 检测阶段检测阶段.36 2.1 概述概述.36 2.1.1 检测阶段工作内容.36 2.1.2 检测阶段工作流程.36 2.1.3 检测阶段操作说明.37 2.2 系统安全事件初步检测方法系统安全事件初步检测方法.37 2.2.1 WINDOWS系统检测技术规范.37 2.2.1.1 Windows 服务器检测技术规范.37 2.

4、2.1.2 Windows 检测典型案例.39 2.2.2 UNIX系统检测技术规范.39 2.2.2.1 Solaris 系统检测技术规范 .39 2.2.2.2 Unix 检测典型案例.40 2.3 系统安全事件高级检测方法系统安全事件高级检测方法.43 2.3.1 WINDOWS系统高级检测技术规范.43 2.3.1.1 Windows 高级检测技术规范.43 2.3.1.2 Windows 高级检测技术案例.44 2.3.2 UNIX系统高级检测技术规范.45 2.3.2.1 Solaris 高级检测技术规范 .45 2.3.2.2 Unix 高级检测技术案例.48 2.4 网络安全事

5、件检测方法网络安全事件检测方法.52 2.4.1 拒绝服务事件检测方法.52 2.4.1.1 利用系统漏洞的拒绝服务攻击检测方法.52 2.4.1.2 利用网络协议的拒绝服务攻击检测方法.52 2.4.2 网络欺骗安全事件检测方法.52 2.4.2.1 DNS 欺骗检测规范及案例.52 2.4.2.2 WEB 欺骗检测规范及案例.52 2.4.2.3 电子邮件欺骗检测规范及案例.53 2.4.3 网络窃听安全事件检测方法.54 2.4.3.1 共享环境下 SNIFFER 检测规范及案例.54 2.4.3.2 交换环境下 SNIFFER 检测规范及案例.55 2.4.4 口令猜测安全事件检测方法

6、.55 2.4.4.1 windows 系统检测.56 2.4.4.2 UNIX 系统检测.56 2.4.4.3 CISCO 路由器检测.56 2.4.5 网络异常流量特征检测.57 2.4.5.1 网络异常流量分析方法.57 2.5 数据库安全事件检测方法数据库安全事件检测方法.58 2.5.1 数据库常见攻击方法检测.58 2.5.2 脚本安全事件检测.58 2.5.2.1 SQL 注入攻击检测方法.58 2.5.2.2 SQL 注入攻击案例.59 2.6 事件驱动方式的安全检测方法事件驱动方式的安全检测方法.59 2.6.1 日常例行检查中发现安全事件的安全检测方法.59 2.6.1.1

7、 特点.59 2.6.1.2 人工检测被入侵的前兆.59 2.6.1.3 检测的流程.60 2.6.2 事件驱动的病毒安全检测方法.61 2.6.2.1 特点.61 2.6.2.2 病毒检测流程.62 2.6.2.3 防御计算机病毒措施.63 2.6.3 事件驱动的入侵检测安全检测方法.63 2.6.3.1 特征.63 2.6.3.2 入侵检测系统分为网络型和主机型.63 2.6.3.3 入侵检测流程.64 2.6.4 事件驱动的防火墙安全检测方法.64 2.6.4.1 特点.64 2.6.4.2 防火墙安全检测流程.65 3 抑制和根除阶段抑制和根除阶段.67 3.1 概述概述.67 3.1

8、.1 抑制和根除阶段工作内容.67 3.1.2 抑制和根除阶段工作流程.67 3.1.3 抑制和根除阶段操作说明.68 3.2 拒绝服务类攻击抑制拒绝服务类攻击抑制.69 3.2.1 SYN 和 ICMP 拒绝服务攻击抑制和根除.69 3.2.1.1 SYN（UDP）-FLOOD 拒绝服务攻击抑制及根除.69 3.2.1.2 ICMP-FLOOD 拒绝服务攻击抑制及根除.69 3.2.2 系统漏洞拒绝服务抑制.70 3.2.2.1 WIN 系统漏洞拒绝服务攻击抑制及根除.70 3.2.2.2 UNIX 系统漏洞拒绝服务攻击抑制及根除.70 3.2.3.3 网络设备 IOS 系统漏洞拒绝服务攻击

9、抑制.71 3.3 利用系统漏洞类攻击抑制利用系统漏洞类攻击抑制.71 3.3.1 系统配置漏洞类攻击抑制.71 3.3.1.1 简单口令攻击类抑制.71 3.3.1.2 简单口令攻击类根除.71 3.3.2 系统程序漏洞类攻击抑制.72 3.3.2.1 缓冲溢出攻击类抑制.72 3.3.2.2 缓冲溢出攻击类根除.72 3.4 网络欺骗类攻击抑制与根除网络欺骗类攻击抑制与根除.73 3.4.1 DNS 欺骗攻击抑制与根除.73 3.4.2 电子邮件欺骗攻击抑制与根除.73 3.4.2.1 电子邮件欺骗攻击抑制.73 3.4.2.2 电子邮件欺骗攻击根除.74 3.5 网络窃听类攻击抑制及根除

10、网络窃听类攻击抑制及根除.74 3.5.1 共享环境下 SNIFFER 攻击抑制及根除.74 3.5.1.1 共享环境下 SNIFFER 攻击抑制及根除.74 3.5.2 交换环境下 SNIFFER 攻击抑制.75 3.5.2.1 交换环境下 SNIFFER 攻击抑制.75 3.6 数据库数据库 SQL 注入类攻击抑制与根除注入类攻击抑制与根除.76 3.6.1 数据库 SQL 注入类攻击抑制与根除 .76 3.6.1.1 对于动态构造 SQL 查询的场合，可以使用下面的技术：.76 3.6.1.2 用存储过程来执行所有的查询。.76 3.6.1.3 限制表单或查询字符串输入的长度。.76 3

11、.6.1.4 检查用户输入的合法性，确信输入的内容只包含合法的数据。.76 3.6.1.5 将用户登录名称、密码等数据加密保存。.77 3.6.1.6 检查提取数据的查询所返回的记录数量.77 3.6.1.7 Sql 注入并没有根除办法.77 3.7 恶意代码攻击抑制和根除恶意代码攻击抑制和根除.77 3.7.1 恶意代码介绍.77 3.7.2 恶意代码抑制和根除.77 3.7.2.1 恶意代码抑制方法.77 3.7.2.2 恶意代码根除方法.78 4 恢复阶段恢复阶段.79 4.1.1 恢复阶段工作内容.79 4.1.2 恢复阶段工作流程.79 4.1.3 恢复阶段操作说明.80 4.2 重装系统重装系统.80 4.2.1 重装系统时的步骤.80 4.2.2 重装系统时的注意事项.81 4.3 安全加固及系统初始化安全加固及系统初始化.81 4.3.1 系统安全加固和安全快照.81 4.3.1.1 安全加固.81 4.3.1.2 安全快照.81 5 跟进阶段跟进阶段.82 5.1 概述概述.82 5.1.1 跟进阶