3.安全事件处理的基本流程 (1)安全事件报警 值班人员发现紧急情况,要及时报告。报告要对安全事件进行准确描述 并作书面记录。按照安全事件的类型,安全事件呈报条例应依次报告: 、值班人员,二、应急工作组长,三、应急领导小组。如果想进行任 何类型的跟踪调查或者起诉入侵者,应先跟管理人员和法律顾问商量, 然后通知有关执法机构。一定要记住,除非执法部门的参与,否则对入 侵者进行的一切跟踪都可能是非法的。 同时,还应通知有关人员,交换相关信息,必要时可以获得援助;
3. 安全事件处理的基本流程 (1)安全事件报警 值班人员发现紧急情况,要及时报告。报告要对安全事件进行准确描述 并作书面记录。按照安全事件的类型,安全事件呈报条例应依次报告: 一、值班人员,二、应急工作组长,三、应急领导小组。如果想进行任 何类型的跟踪调查或者起诉入侵者,应先跟管理人员和法律顾问商量, 然后通知有关执法机构。一定要记住,除非执法部门的参与,否则对入 侵者进行的一切跟踪都可能是非法的。 同时,还应通知有关人员,交换相关信息,必要时可以获得援助;
安全事件处理的基本流程(续) (2)安全事件确认 确定安全事件的类型,以便启动相应的预案。 (3)启动紧急预案 (a)首先要能够找到紧急预案。 (b)保护现场证据(如系统事件、处理者采取的行动、与外界的沟通 等),避免灾害扩大;
安全事件处理的基本流程(续) (2)安全事件确认 确定安全事件的类型,以便启动相应的预案。 (3)启动紧急预案 (a)首先要能够找到紧急预案。 (b)保护现场证据(如系统事件、处理者采取的行动、与外界的沟通 等),避免灾害扩大;
安全事件处理的基本流程(续) (4)恢复系统 (a)安装干净的操作系统版本。建议使用干净的备份程序备份整个系统,然后 重装系统。 (b)取消不必要的服务。只配置系统要提供的服务,取消那些没有必要的服务。 检査并确信其配置文件没有脆弱性以及该服务是否可靠 (c)安装供应商提供的所有补丁。建议安装所有的安全补丁,使系统能够抵御 外来攻击,不被再次侵入,这是最重要的一步。 (d)查阅cERT的安全建议、安全总结和供应商的安全提示 cERT安全建议:hte/www.cer.org/advisories cERT安全总结http://www.cert.orgladvisories 供应商安全提示:ftp!/ ftp. cert. org/pub/ cert bulletins (e)谨慎使用备份数据。在从备份中恢复数据时,要确信备份主机没有被侵 入。一定要记住,恢复过程可能会重新带来安全缺陷,被入侵者利用。例如恢 复用户的home目录以及数据文件中,以及用户起始目录下的 rhost文件中,也 许藏有特洛伊木马程序。 (f)改变密码。在弥补了安全漏洞或者解决了配置问题以后,建议改变系统中 所有账户的密码
安全事件处理的基本流程(续) (4)恢复系统 (a)安装干净的操作系统版本。建议使用干净的备份程序备份整个系统,然后 重装系统。 (b)取消不必要的服务。只配置系统要提供的服务,取消那些没有必要的服务。 检查并确信其配置文件没有脆弱性以及该服务是否可靠。 (c)安装供应商提供的所有补丁。建议安装所有的安全补丁,使系统能够抵御 外来攻击,不被再次侵入,这是最重要的一步。 (d)查阅CERT的安全建议、安全总结和供应商的安全提示 · CERT安全建议:http://www.cert.org/advisories/ · CERT安全总结:http://www.cert.org/advisories/ · 供应商安全提示:ftp://ftp.cert.org/pub/cert_bulletins/ (e)谨慎使用备份数据 。在从备份中恢复数据时,要确信备份主机没有被侵 入。一定要记住,恢复过程可能会重新带来安全缺陷,被入侵者利用。例如恢 复用户的home目录以及数据文件中,以及用户起始目录下的.rhost文件中,也 许藏有特洛伊木马程序。 (f)改变密码。在弥补了安全漏洞或者解决了配置问题以后,建议改变系统中 所有账户的密码
安全事件处理的基本流程(续) (5)加强系统和网络的安全 (a)根据cERT的 UNIX/NT配置指南检查系统的安全性。 cERT的 UNDX/NT配置指南可以帮助你检查系统中容易被入侵者利用的配置问题。 http://www.certorg/techtips/unixconfigurationguidelineshtml http://www.cert.org/techtips/winconfigurationguidelineshtml 查阅安全工具文档可以参考http://www.cert.org/techtips/securitytoolshtml (b)安装安全工具。在将系统连接到网络上之前,一定要安装所有选择的安全工具。 同时,最好使用 Tripwire、aide等工具对系统文件进行MD5校验,把校验码放到安全 的地方,以便以后对系统进行检查。 (c)打开日志。启动日志(ogng)检查( auditing)记账( accounting)程序,将它们 设置到准确的级别,例如 sendmail日志应该是9级或者更高。 要经常备份日志文件,或者将日志写到另外的机器、一个只能增加的文件系统或者 个安全的日志主机。 (d)配置防火墙对网络进行防御。可以参考: http:/www.cert.org/tech_tips/packet_filtering.html (e)重新连接到 Internet。全完成以上步骤以后,就可以把系统连接回 nternet了。 应当注意,安全事件处理工作复杂,责任重大,至少应有两人参加
安全事件处理的基本流程(续) (5)加强系统和网络的安全 (a)根据CERT的UNIX/NT配置指南检查系统的安全性。 CERT的UNIX/NT配置指南可以帮助你检查系统中容易被入侵者利用的配置问题。 http://www.cert.org/tech_tips/unix_configuration_guidelines.html http://www.cert.org/tech_tips/win_configuration_guidelines.html 查阅安全工具文档可以参考http://www.cert.org/tech_tips/security_tools.html (b)安装安全工具。在将系统连接到网络上之前,一定要安装所有选择的安全工具。 同时,最好使用Tripwire、aide等工具对系统文件进行MD5校验,把校验码放到安全 的地方,以便以后对系统进行检查。 (c)打开日志。启动日志(logging)/检查(auditing)/记账(accounting)程序,将它们 设置到准确的级别,例如sendmail日志应该是9级或者更高。 要经常备份日志文件,或者将日志写到另外的机器、一个只能增加的文件系统或者 一个安全的日志主机。 (d)配置防火墙对网络进行防御。可以参考: http://www.cert.org/tech_tips/packet_filtering.html (e)重新连接到Internet。全完成以上步骤以后,就可以把系统连接回Internet了。 应当注意,安全事件处理工作复杂,责任重大,至少应有两人参加
安全事件处理的基本流程(续) (6)应急工作总结 召开会议,分析问题和解决方法,参考ftp: /ftp. isi. edu/in-notes/rfc2196txt (a)总结教训。从记录中总结出对于这起事故的教训,这有助于你检讨自 己的安全策略。 (b)计算事件的代价。计算事件代价有助于让组织认识到安全的重要性。 (c)改进安全策略
安全事件处理的基本流程(续) (6)应急工作总结 召开会议,分析问题和解决方法,参考ftp://ftp.isi.edu/in-notes/rfc2196.txt (a)总结教训。从记录中总结出对于这起事故的教训,这有助于你检讨自 己的安全策略。 (b)计算事件的代价。计算事件代价有助于让组织认识到安全的重要性。 (c)改进安全策略