安全事件处理的基本流程(续) (7)撰写安全事件报告 安全事件报告的内容包括: 安全事件发生的日期、时间; 安全事件处理参加的人员; 事件发现的途径; 事件类型 事件涉及范围 现场记录 事件导致的损失和影响; 事件处理过程 使用的技术和工具; 经验和教训
安全事件处理的基本流程(续) (7)撰写安全事件报告 安全事件报告的内容包括: · 安全事件发生的日期、时间; · 安全事件处理参加的人员; · 事件发现的途径; · 事件类型; · 事件涉及范围; · 现场记录; · 事件导致的损失和影响; · 事件处理过程 · 使用的技术和工具; · 经验和教训
61.3灾难恢复 灾难恢复是安全事件应急预案中特别重要的部分。 从发现入侵的那刻起就围绕它进行,并且应当包括 如下几项内容: 与高层管理人员协商; 冷夺回系统控制权; 令入侵评估:分析入侵途径,检査入侵对系统的损害; 清除入侵者留下的后门; 恢复系统
6.1.3 灾难恢复 ❖ 与高层管理人员协商; ❖ 夺回系统控制权; ❖ 入侵评估:分析入侵途径,检查入侵对系统的损害; ❖ 清除入侵者留下的后门; ❖ 恢复系统。 灾难恢复是安全事件应急预案中特别重要的部分。 从发现入侵的那刻起就围绕它进行,并且应当包括 如下几项内容:
1.与高层人员协商 系统恢复的步骤应当符合组织的安全预案。如果安全预案中没有描述,应 当与管理人员协商,以便能从更高角度进行判断,并得到更多部门的支持 和配合。 2.夺回系统控制权 为了夺回对被入侵系统的控制权,需要将入侵其从网络上断开,包括播号 连接。如果在恢复过程中,没有断开被侵入系统和网络的连接,入侵者就 可能破坏所进行恢复工作。 进行系统恢复也会丢失一些有用信息,如入侵者正在使用的扫描程序或监 听进程。因此想要继续追踪入侵者时,可以不采取这样的措施,以免被入 侵者发现。但是,也要采取其他一些措施,避免入侵蔓延
1. 与高层人员协商 系统恢复的步骤应当符合组织的安全预案。如果安全预案中没有描述,应 当与管理人员协商,以便能从更高角度进行判断,并得到更多部门的支持 和配合。 2. 夺回系统控制权 为了夺回对被入侵系统的控制权,需要将入侵其从网络上断开,包括播号 连接。如果在恢复过程中,没有断开被侵入系统和网络的连接,入侵者就 可能破坏所进行恢复工作。 进行系统恢复也会丢失一些有用信息,如入侵者正在使用的扫描程序或监 听进程。因此想要继续追踪入侵者时,可以不采取这样的措施,以免被入 侵者发现。但是,也要采取其他一些措施,避免入侵蔓延
3.复制一份被侵入系统的映像 在进行入侵分析之前,最好对被入侵系统进行备份(如使用UNX命令dd)。 这个备份在恢复失败是非常有用。 4.入侵评估 入侵评估包括入侵风险评估、入侵路径分析、入侵类型确定和入侵涉及范围 调查。下面介绍围绕这些工作进行的调查工作。 (1)详细审查系统日志文件和显示器输出,检查异常现象。 (2)入侵者遗留物分析。包括 检查入侵者对系统文件和配置文件的修改; 检查被修改的数据 检查入侵者留下的工具和数据 检查网络监听工具 (3)其他,如网络的周遍环境和涉及的远程站点
3. 复制一份被侵入系统的映像 在进行入侵分析之前,最好对被入侵系统进行备份(如使用UNIX命令dd)。 这个备份在恢复失败是非常有用。 4. 入侵评估 入侵评估包括入侵风险评估、入侵路径分析、入侵类型确定和入侵涉及范围 调查。下面介绍围绕这些工作进行的调查工作。 (1)详细审查系统日志文件和显示器输出,检查异常现象。 (2)入侵者遗留物分析。包括 · 检查入侵者对系统文件和配置文件的修改; · 检查被修改的数据 · 检查入侵者留下的工具和数据 · 检查网络监听工具 (3)其他,如网络的周遍环境和涉及的远程站点
5.清除后门 后门是入侵者为下次攻击打下的埋伏,包括修改了的配置文件、 系统木马程序、修改了的系统内核等。 6.记录恢复过程中所有的步骤 毫不夸张地讲,记录恢复过程中采取的每一步措施,是非常重 要的。恢复一个被侵入的系统是一件很麻烦的事,要耗费大量 的时间,因此经常会使人作出一些草率的决定。记录自己所做 的每一步可以帮助你避免作出草率的决定,还可以留作以后的 参考,也还可能对法律调査提供帮助
5. 清除后门 后门是入侵者为下次攻击打下的埋伏,包括修改了的配置文件、 系统木马程序、修改了的系统内核等。 6. 记录恢复过程中所有的步骤 毫不夸张地讲,记录恢复过程中采取的每一步措施,是非常重 要的。恢复一个被侵入的系统是一件很麻烦的事,要耗费大量 的时间,因此经常会使人作出一些草率的决定。记录自己所做 的每一步可以帮助你避免作出草率的决定,还可以留作以后的 参考,也还可能对法律调查提供帮助