XX自有重要系统遭入侵应急预案(DOC 31页).doc

上传人(卖家):2023DOC 文档编号:5974988 上传时间:2023-05-19 格式:DOC 页数:19 大小:268KB
下载 相关 举报
XX自有重要系统遭入侵应急预案(DOC 31页).doc_第1页
第1页 / 共19页
XX自有重要系统遭入侵应急预案(DOC 31页).doc_第2页
第2页 / 共19页
XX自有重要系统遭入侵应急预案(DOC 31页).doc_第3页
第3页 / 共19页
XX自有重要系统遭入侵应急预案(DOC 31页).doc_第4页
第4页 / 共19页
XX自有重要系统遭入侵应急预案(DOC 31页).doc_第5页
第5页 / 共19页
点击查看更多>>
资源描述

1、 自有重要系统遭入侵应急预案目 录1目的12适用围13应急保障组织和职责14网络与信息安全事件分级35预防预警36入侵事件应急响应46.1应急响应流程46.2入侵事件的分类处置66.2.1攻击试探事件66.2.2正在进行的入侵事件76.2.3攻击行为已经完成96.3应急处理动作参考96.3.1Unix应急处理参考96.3.2Windows应急处理参考146.3.3网络设备应急处理参考197后期处置218附录218.1网络与信息安全事件报告表218.2网络与信息安全事件处理结果报告表221 目的提高自有重要系统遭入侵应急处置能力,建立健全应急工作机制,进一步加强网络与信息安全事件与威胁的监测能力

2、、预防能力、保障能力与应对能力,确保重要保障期间突发网络与信息安全事件得到快速、高效处置,预防和减少各类事件造成的损失和危害,特制定本预案。2 适用围本预案适用依托XXXX公司网络运行的自有的关系国计民生、社会稳定的省重要计算机信息系统。本预案适用于公司自有重要系统因网络攻击、信息破坏等导致的网络与信息安全事件的应急处置工作,或公司应急指挥领导机构认为必要时启动本预案。3 应急保障组织和职责成立应急保障组,提供详细准确的领导组、工作组联系式。应急工作领导小组成员部门及职务手机备注应急工作组成员专项组名称手机备注业务应用系统应急小组网络通讯应急工作小组主机及存储应急工作小组安全服务厂商安全服务厂

3、商相关机构和联系式机构名称联系人联系XX省通信管理局XX省公安厅公共信息网络安全监察总队XX互联网应急中心YNCERT集团应急办4 网络与信息安全事件分级根据网络与信息安全事件的分级考虑要素,将XXXX公司网络与信息安全事件划分为四个级别:I 级(特别重)、II 级(重)、III 级 (较重)和 IV(一般)四级。特别重网络与信息安全事件(级)是指造成直接经济损失大于XXX万元,扩散性很强,造成全局的重要信息系统瘫痪,衍生其他重大安全事件。重网络与信息安全事件(级)。指造成直接经济损失XX万至XXX万元,扩散性强,或发生在涉及大量客户端的造成重要信息系统无法使用,或发生在涉及全局的造成非重要应

4、用系统瘫痪。较重网络与信息安全事件(级)。指造成直接经济损失XX万至XX万元,基本无扩散性,或发生在涉及部分客户端的造成重要信息系统无法使用,或发生在涉及大量客户端的造成非重要信息系统瘫痪的。一般网络与信息安全事件(级)。指造成直接经济损失XX万元以,无扩散性,发生在涉及少量客户端的造成重要信息系统无法使用,或发生在涉及部分客户端的造成非重要信息系统瘫痪的。5 预防预警预防预警是应急响应迅速启动的关键。各单位利用自身的安全监控设备和工具,并结合社会其它信息源(如安全厂商的公告、各类应急响应机构的公告等),及时发现网络与信息安全威胁或事件发生的迹象和趋势,分析导致网络与信息安全事件的根源,为网络

5、与信息安全应急响应工作提供支持。预警信息是指存在潜在安全威胁或隐患但尚未造成实际危害和影响的信息,或者对事件信息分析后得出的预防性信息。XXXX公司网络与信息安全事件预警等级分为四级:I 级(特别重)、II 级(重)、III 级 (较重)和 IV(一般),I 级为最高级,依次用红色、橙色、黄色和蓝色表示,分别对应发生或可能发生特别重大、重大、较大、一般网络与信息安全事件。XXXX公司应建立并完善网络安全监测机制,提高监测能力,自主监测、自主定级管理围的预警信息。预警信息由应急办按照如下要求报送。涉及XXXX公司的 I 级、II 级预警信息,应于 2小时向集团公司和省通信管理局报告,抄送 YNC

6、ERT。III级预警信息,应于 4 小时向集团公司和省通信管理局报告,抄送 YNCERT。IV 级预警信息,应于 5 个工作日报送 YNCERT,抄送省通信管理局。预警信息报送的容应包括:(一)信息基本情况描述;(二)可能产生的危害及程度;(三)可能影响的用户及围;(四)截止信息报送时,已知晓该信息的单位/人员围;(五)建议应采取的应对措施及建议。未经集团公司和省通信管理局的审核和授权,不得发布网络与信息安全事件预警信息。6 入侵事件应急响应6.1 应急响应流程在发生网络与信息安全事件时,启动下列应急响应流程,应急响应流程如图1所示。IT服务平台是否具备处理能力是是否预案启动确定是否发生信息安

7、全事件对事件定级上报启动IT服务平台处理否安全事件处理恢复系统运行评估损失编写事件处理报告结束响应结束响应是是是否否图1 应急响应流程事件处理基本流程主要包括以下容:1) 确认阶段:确定应急处理式。(1)应急工作组接受异常事件报告后,分析是否存在网络与信息安全事件。(2)如存在网络与信息安全事件,对事件进行定级,同时上报给应急领导小组。2) 遏制阶段:及时采取行动遏制事件发展。抑制事件的影响进一步扩大,限制潜在的损失与破坏,同时要确保封锁法对涉及相关业务影响最小。可能的抑制策略一般包括:关闭服务或关闭所有的系统,从网络上断开相关系统,修改防火墙和路由器的过滤规则,封锁或删除被攻破的登录账号,阻

8、断可疑用户得以进入网络的通路,提高系统或网络行为的监控级别,设置陷阱,启用紧急事件下的接管系统,实行特殊“防卫状态”安全警戒,反击攻击者的系统等。3) 根除阶段:彻底解决问题隐患。在事件被抑制之后,通过对有关事件或行为的分析结果,找出事件根源,明确相应的补救措施并彻底清除。与此同时,执法部门和其他相关机构将对攻击源进行定位并采取合适的措施将其中断。4) 恢复和跟踪阶段。在确保安全问题解决后,要及时清理系统、恢复数据、程序、服务。恢复工作应避免出现误操作导致数据的丢失。另外,恢复工作中如果涉及到数据,需遵照系统的恢复要求。6.2 入侵事件的分类处置按照入侵事件进行的过程和所处的阶段,可以分成三种

9、类型:l 攻击者正在试图取得访问系统的权限;l 已经建立连接,攻击正在进行时;l 攻击已经完成。在这三种类型的事件中,攻击正在进行时的情形最峻,必须尽快处理。处理正在进行的入侵事件有两种法,一种是立即切断入侵者和系统的连接,将系统恢复到安全的状态;第二种法是不惊动攻击者,尽量收集信息以确定攻击源或作为法律证据。这两种法的选择取决于对本次入侵者行为可能造成的风险的估计。6.2.1 攻击试探事件这种类型的事件的特征为:多次登录尝试,多次ftp、telnet或rsh尝试、反复拨号尝试等。第一步:确定问题通过系统日志文件和活动的网络连接来识别入侵者的来处,备份所有审计信息,如:系统日志文件,root

10、的history文件,utmp 和wtmp文件,并妥善保存这些文件。列出进程状态信息,并将其存在文件中妥善保存。同时记录所有工作活动。第二步:通知公司的安全管理员在30分钟通知安全管理员,如果不能及时找到安全管理员,就通知安全主管或安全管理员的备份人员。安全管理员或其备份人员负责通知其它层次的管理人员。第三步:识别攻击源如果能够找到攻击的来源,安全管理员或其指定的专人应该负责和对的系统管理员或安全分析员联系,尽量找出攻击的发起者。如果找到了攻击者,应该把相关信息通知安全主管或者省公司分管安全领导,由他们来决定怎样处理。同时记录所有工作活动。第四步:通知 CERT如果不能找到攻击者,安全管理员应

11、该与CERT和本地通管局取得联系,向他们提供与攻击相关的信息。同时记录所有工作活动。注意,信息的发布必须得到省公司分管安全领导或他指定的负责人的可。第五步:事后处理在调查之后,安全管理员或安全主管应该指定相关人员对此次事件写一份报告,针对事件和采取的行为进行描述,并执行事后分析。6.2.2 正在进行的入侵事件这种类型的事件包括系统上任非授权人员建立的活动会话和执行命令的行为,如:活动的rlogin 或telnet会话,活动的ftp 会话。由于入侵者可能在很短的时间破坏系统,事件响应的时间非常重要,所以在处理这类事件时,应该首先由省公司分管安全领导或其指定的人员在综合考虑监控人员的能力和可能造成

12、的风险的前提下决定是立即将入侵者驱逐出系统还是在不惊动入侵者的情况下收集证据。第一步:通知相关人员尽快通知安全管理员,如果在5分钟无法和他取得联系则立即通知备份人员。安全管理员负责通知其他相关人员,并且在系统分析员的帮助下估计入侵者下一步行为,并针对入侵者继续活动的风险进行评估。安全管理员应该尽快通知安全主管,如果在10分钟之不能办到,立即通知备份人员。安全主管决定是立即将入侵者驱逐出系统还是在不惊动入侵者的情况下收集证据。不同的决定有不同的处理过程。安全管理员或安全主管应该在30分钟通知省公司分管安全领导,必要时,省公司分管安全领导将情况向上级管理者汇报。第二步:系统快照对所有审计信息(如:

13、系统日志文件,root 的history文件,utmp 和wtmp文件等)进行备份,并妥善保管;获取所有进程的状态信息并将其存在一个文件里,安全存放文件;所有可疑的文件都应该先转移到安全的地或在磁带里存档,然后将其删除;列出所有活动的网络连接,在分析员的帮助下获得系统的快照,记录所有的行为。第三步:驱逐入侵者杀掉所有活动的入侵进程,并删除入侵者在系统中留下的文件和程序;改变所有入侵者访问过的的口令,删除入侵者自己开的。同时记录所有工作活动。第四步:恢复系统将系统恢复到日常运行状态,恢复被入侵者修改的数据和文件;安装系统patch,修补系统漏洞,通知相应的人员;此次事件所有恢复系统的行为都应该记

14、录在案。第五步:事后分析在进行调查之后,由安全管理员或安全主管 和相关人员提交一份对事件全过程的总结报告。第六步:监控入侵者行为对入侵者行为的监控没有固定的过程,每个事件都有不同的情况。省公司分管安全领导或者其授权的人应该指导整个监控过程。当驱逐入侵者的时机成熟时,按照第三步执行。6.2.3 攻击行为已经完成如果在事件发生以后才觉察,通常很难找到足够的信息来分析入侵者怎样获得访问系统的权限。如果发现曾经有人闯入过系统,应该在第一时间通知安全管理员,安全管理员负责通知相关人员进行事件调查和处理。6.3 应急处理动作参考6.3.1 Unix应急处理参考Unix系统应急处理主要事项Unix系统的入侵

15、检测法主要包括:检查系统运行的进程,检查系统开放的端口,鉴定未授权的用户账号或组,检查相关程序(命令)、文件的权限,检查所有相关的日志,寻找异常或隐藏文件等。可以采用手工和工具检查相结合的式进行。一、手工检查与审计下面就各种检查项目做一下详细说明。1、检查端口与网络连接 Netstat可以显示 TCP 和 UDP 所有打开的端口。Lsof列举所有运行进程及其所打开的文件描述符,其中包括常规文件, 库文件,目录,UNIX流,套接字等。Arp可以显示系统当前IP-MAC对应表,而且能手动设置静态IP-MAC对应表。如果发现的已打开的端口无法识别,则应对它们进行调查以确定在该计算机上是否需要对应的服

16、务。如果不需要该服务,则应禁用或删除相关的服务以防止计算机在该端口上监听。 也可以通过该命令检查有哪些相关的连接,也恶意的连接就在这里。以太网中的arp欺骗能改变数据流向,可用来窃听用户数据,其症状表现为异常的IP-MAC对应表。法:Netstat an列出所有打开的端口及连接状态Lsof i只显示网络套接字的进程Arp a列出当前系统arp表,重点检查网关MAC地址木马端口列表: .commodon./threat/threat-ports.htm .chebucto.ns.ca/rakerman/port-table.html2、检查账户安全服务器被入侵之后,通常会表现在系统的用户账户上,

17、我们可以在系统日志上察看相关的信息。除了察看事件日志外,也应该检查所有账户的信息,包括他们所属的组和默认SHELL。有些入侵者入侵后常常将添加他们自己的账号,或者将那些系统置的用户修改了权限,从而便他们以后再次入侵。法:查看/etc/passwd中是否有新增加的名查看/etc/passwd中除root外是否还有uid、gid为0的检查/etc/passwd中如nobody、lp等系统置是否设置了可登录的默认SHELL如设置过限制登录的策略应检查这些策略是否已经被修改或删除。如/etc/default/login文件中CONSOLE=/dev/console是否被注释掉。3、查找恶意进程可以通过

18、以下工具和法检查系统运行的进程,找出异常的进程。法:Ps ef会列出系统正在运行的所有进程 Solaris常见进程说明:sched 系统进程调度init init进程pageout 存换页进程fsflush 文件系统同步进程sac sac监控进程,和ttymon一起提供终端登陆功能dtlogin CDE登陆进程cron crontab任务调度守护进程sysevent 将核级和用户级系统事件通知给适当的应用程序.事件可以包括硬件 和软件状态更改,错误和故障picld 负责维护及控制客户及插模块对PICL(Platform Information and Control Library)信息的访问

19、rpcbind rpc监控总进程,相当于portmatsyslogd syslog系统日志守护进程inetd internet服务超级守护进程nscd 名字服务缓存进程statd rpc.statd,NFS文件服务状态同步子进程htt htt输入法进程lockd rpc.lockd,NFS文件服务锁状态子进程powerd 电源管理服务,类似PC的APMsmcboot Solaris WBEM SMC serverutmpd utmp登陆用户监控进程snmpXdmi snmp服务子进程htt_serv 输入法服务器dmispd DMI Service Provider daemonauditd

20、BSM审计守护进程dtgreet CDE服务子进程sshd ssh服务器fbconsol framebuffer显示输出驱动ttymon tty监控服务,和sac一起提供终端登陆功能,类似于其他Unix中的gettymibiisa snmp服务子进程Xsun Solaris X服务器devfsadm /dev (devfs)同步进程dtlogin CDE登录守护进程4、检查自启动项攻击者在获得系统控制权后通常会将其后门、木马等程序设置为自动运行,以达到长期控制的目的。常见的自启动项有/etc/inittab、/etc下的RC脚本、/etc/inetd.conf、/var/spool/cron/

21、crontabs 或 /var/spool/cron 目录中的 crontab 文件 法:检查/etc/inittab中有无新增的项,重点查看id:rstate:action:process中的process字段仔细检查这些 rc?.d 目录,如果发现某个脚本文件不是到 /etc/rc.d/init.d 或 /etc/init.d 目录中某个脚本文件的符号连接,或者出现与上面文件名规则不相符的脚本文件,或者增加了某个脚本文件,它很可能是用来启动后门进程的,必须仔细检查这些脚本启动的程序。确信 rc?.d 目录中脚本文件都是到 /etc/rc.d/init.d 或 /etc/init.d 目录中

22、某个脚本文件的符号连接后,再 cd 到 /etc/rc.d/init.d 或 /etc/init.d 目录下。检查 init.d 目录下的脚本文件,如果某个脚本启动的服务进程与名称不符,或者脚本文件的容被修改,加有别的什么东西启动了别的进程,必须仔细检查,极可能是被用来启动后门进程了。检查 /etc/inetd.conf,特别是最后两个字段,查看是否除通常的服务外新加有一行启动了别的服务。如果有的话,仔细检查这项服务,很可能是在启动后门程序检查 /var/spool/cron/crontabs 或 /var/spool/cron 目录中的 crontab 文件,可以使用crontab l命令查

23、看计划任务5、检查系统日志Unix日志对于系统安全的作用是很重要的,进行入侵检查时有着非常重要的作用。法:使用w命令查看utmp日志,获得当前系统正在登录的信息及来源使用last命令查看wtmp日志,获得系统前N次登录记录Su命令日志,记录了每一次执行su命令的动作:时间日期,成功与否,终端设备,用户ID.有些UNIX具有单独的su日志,有些则保存在syslog中Cron日志记录了定时作业的容,通常在/var/log/cron或默认日志目录中一个称为cron的文件里如果.bash_history被到/dev/null文件,或者环境变量中的$HISTFILE,$HISTFILESIZE两个变量值

24、为0,那么很有可能是恶意修改了。 6、检查suid程序设置了root suid的程序,任意用户运行时都以root权限执行。(Passwd命令需要suid)法:查找设置了suid的程序:find / -type f ( -perm -4000 -o -perm -2000 ) print7、环境变量运行env命令查看当前系统环境变量设置检查容:是否有.或.在其中是否有指向tmp等位置8、检查应用检查相关应用的日志信息:法:检查/etc/syslog.conf以及其他守护进程的配置文件以确定应用日志的位置Apache默认日志在/usr/local/apache/logs,最有用的日志是access

25、_log,还有ssl_request_log,ssl_engine_log也能提供有价值的信息。其中可能包含攻击前的扫描记录。syslogd守护进程提供非常强大的日志功能,比如装载一个核模块的登记,其配置文件为/etc/syslog.conf,通常它提供的最有用的日志是:messages,secure,syslog.在syslog.conf中每一行含有三个字段:facility字段表示产生该日志文件的子系统;priority字段表明事件的重级别;action字段表明如记录日志,它提供了远程网络记录的能力二、工具检查1、Tripwire对系统中文件的完整性进行检查,以确保他们没有被恶意的改变2、

26、chkrootkit检查rootkit的开源工具6.3.2 Windows应急处理参考Windows应急处理主要事项Windows系统的入侵检测法主要包括:检查所有相关的日志,检查相关文件,鉴定未授权的用户账号或组,寻找异常或隐藏文件,检查系统的运行的进程,检查系统开放的端口等。可以采用手工和工具检查相结合的式进行。一、手工检查与审计下面就各种检查项目做一下详细说明。1、检查端口与网络连接 Netstat.exe 是一种命令行实用工具,可以显示 TCP 和 UDP 的所有打开的端口。 如果发现的已打开的端口无法识别,则应对它们进行调查以确定在该计算机上是否需要对应的服务。如果不需要该服务,则应

27、禁用或删除相关的服务以防止计算机在该端口上监听。 也可以通过该命令检查有哪些相关的连接,也恶意的连接就在这里。法:Netstat an(系统命令)(windows2003使用命令Netstat ano可检测出端口对应的进程)Netstat a(系统命令)(windows2003使用命令Netstat ao可检测出端口对应的进程)Fport(第三工具)木马端口列表: .commodon./threat/threat-ports.htm .chebucto.ns.ca/rakerman/port-table.html2、检查账户安全服务器被入侵之后,通常会表现在系统的用户账户上,我们可以在系统日志

28、上察看相关的信息。除了察看事件日志外,也应该检查所有账户的信息,包括他们所属的组。有些入侵者入侵后常常将添加他们自己的账号,或者将那些偏僻的用户修改了权限,从而便他们以后再次入侵。法:可以在“计算机管理”“用户管理”中查看系统。可以使用命令查看:net user ;net localgroup administrators;可以cca.exe(第三工具)检查是否有克隆的存在。3、查找恶意进程可以通过以下工具和法检查系统运行的进程,找出异常的进程。法:任务管理器(系统工具)Psinfo.exe(第三工具) Windows2000基本的系统进程如下:smss.exe Session Manager

29、 会话管理csrss.exe 子系统服务器进程 winlogon.exe 管理用户登录 services.exe 包含很多系统服务 lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统服务) svchost.exe 包含很多系统服务 spoolsv.exe 将文件加载到存中以便迟后打印。(系统服务) explorer.exe 资源管理器 internat.exe 输入法 4、监视已安装的服务和驱动程序多针对计算机的攻击都是这样实现的:攻击安装在目标计算机上的服务,或者将有效的驱动程序替换为包含特洛伊木马的驱动程序版本,以给予攻

30、击者访问目标计算机的权限。 1、通过服务控制台查看服务。服务 MMC 控制台用于监视本地计算机或远程计算机的服务,并允管理员配置、暂停、停止、启动和重新启动所有已安装的服务。可使用此控制台确定是否存在已配置为自动启动的服务当前未启动的情况。2、通过注册表项查看服务和驱动程序:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices5、检查注册表的关键项:一般来说,木马或者后门都会利用注册表来再次运行自己,所以,校验注册表来发现入侵也是常用的手法之一。使用REGEDIT注册表编辑器可以查看注册表。在注册表里,我们着重要查看HKEY_LOCAL_MACHI

31、NESoftwareMicrosoftWindowsCurrentVersion、HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion、HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersion下面的子树。特别是要查看 Run, RunOnce, RunOnceEx, RunServices, 和 RunServicesOnce 文件夹,查找是否存在异常的条目。HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWin

32、Logon也是需要检查的地。主要检查容:Shell项容正常情况应该为Explorer.exe;Userinit项容应该为C:WINNTsystem32userinit.exe;检查是否有增加的项目其容包括.exe .sys .dll 等各种可执行文件。HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotify是否有异常的项。正常的项目主要有:crypt32chain, cryptnet, cscdll, sclgntfy, SensLogn, wzcnotif.可能还会包括显卡、防病毒等项。检查类似txt等

33、文本或其它后缀映射是否正常。HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options,映像劫持主要是用来调试程序。通常此项下不应设置任子项、值。6、检查所有相关的日志windows日志对于系统安全的作用是很重要的,网络管理员应该非常重视日志。Windows的系统日志文件有应用程序日志,安全日志、系统日志等等。可以通过“事件管理器”查看。建议日志的文件大小不小于100M。安全日志文件:%systemroot%system32configSecEvent.EVT 系统日志文件:%s

34、ystemroot%system32configSysEvent.EVT 应用程序日志文件:%systemroot%system32configAppEvent.EVT7、检查用户目录:检查C:Documents and Settings目录各用户的目录。主要检查容:用户最近一次的登陆时间;检查用户目录下的文件容;检查Local Settings目录下的历史文件(History)、临时文件(Temp)、访问网页的临时文件(Temporary Internet Files)、应用数据文件(Application Data)等容。8、检查文件系统检查C: 、C: winnt、C: winntSys

35、tem 、C: winntSystem32、C: winntSystem32dllcache、C: winntSystem32drivers、各个Program Files目录下的容,检查他们目录及文件的属性,若无版本说明,多为可疑文件;若某文件的建立时间异常,也可能是可疑的文件。维护一份文件和目录的完整列表,定期地进行更新和对比,这可能会加重过度操劳的管理员的负担,但是,如果系统的状态不是经常变动的话,这是发现很多恶意行为踪迹最有效的法。9、环境变量右键点击“我的电脑”-属性-选择“高级”-“环境变量”检查容:temp变量的所在位置的容;后缀映射PATHEXT是否包含有非windows的后缀

36、;有没有增加其他的路径到PATH变量中;(对用户变量和系统变量都要进行检查)10、检查防病毒检查防病毒系统是否正常工作、病毒库是否正常更新、是否有异常的报警。11、检查应用检查相关应用的日志信息:Internet信息服务FTP日志默认位置:%sys temroot%sys tem32logfilesmsftpsvc1Internet信息服务WWW日志默认位置:%sys temroot%sys tem32logfilesw3svc1DNS日志文件:%systemroot%system32configScheduler服务日志默认位置:%sys temroot%schedlgu.txtSqlser

37、ver的日志。通过sqlserver控制台来查看。有的管理员很可能将这些日志重定位。其中EVENTLOG下面有很多的子表,里面可查到以上日志的定位目录。 Schedluler服务日志在注册表中的位置: HKEY_LOCAL_MACHINESOFTWAREMicrosoftSchedulingAgent 12、文件签名以上工作完成后,运行sigverif对%systemroot%system32下的*.exe、*.dll、*.sys等文件进行校验。二、工具检查1、IceSword:综合的入侵检测工具。可检测进程、端口、网络连接、服务等项。2、procexp.exe 检查进程以及所调用的相关文件。

38、3、rkdetect进行后门(rootkit)检查.4、Autoruns列出所有随系统自动运行的程序、文件和映像劫持项目。6.3.3 网络设备应急处理参考1、sh ver检查路由器版本信息,确定是否使用最新的稳定版本,确定软件特性和功能。2、Show interface f0/1检查接口状态3、show memory查看设备资源占用情况。3、ACL访问控制实例access-list 101 permit ip 192.168.0.0 0.0.0.255 anyaccess-list 101 deny ip any any loginterface eth 0/1description insi

39、de interface of the perimeter routerip address 192.168.0.254 255.255.255.0ip access-group 101 in4、syn flood攻击防御实例!established访问列表access-list 106 permit tcp any 192.168.0.0 0.0.0.255 establishedaccess-list 106 deny ip any any loginterface eth 0/2description “external Ethernet”ip address 192.168.1.254

40、 255.255.255.0ip access-group 106 in!TCP截获防ip tcp intercept list 107ip tcp intercept watch-timeout 10ip tcp intercept connection-timeout 60access-list 107 permit tcp any 192.168.0.0 0.0.0.255access-list 107 deny ip any any loginterface eth0ip access-group 107 in7 后期处置特别重大、重大、较大网络与信息安全事件处置结束后,事发单位应当对

41、事件造成的损失进行评估,做好受影响用户的解释与安抚工作,按照实事、尊重科学的原则,客观、准确查清事件原因,调查事件性质和责任,总结事件教训,提出和落实整改措施。特别重大、重大、较大事件的损失评估和事件调查、处理工作情况应当于网络与信息安全事件处置结束后15日向集团及XX省通信管理局报送书面报告。对在事件应对过程中表现突出的分公司和个人应给予表彰和奖励,对于处理不当、给和社会造成重大损失的分公司和个人依照相关规定进行惩处。8 附录8.1 网络与信息安全事件报告表报告时间 : 年 月 日 时 分单位名称报告人联系通讯地址传 真电子发生网络与信息安全事件的网络与信息系统名称及用途负责部门负责人网络与

42、信息安全事件的简要描述(如以前出现过类似情况也应加以说明)初步判定的事故原因当前采取的确应对措施本次网络与信息安全事件的初步影响状况、事件后果:口业务中断 口系统破坏 口数据丢失 口其他影响围口单台主机 口 台主机 口整个信息系统 口整个局域网 口整个xx网络重程度 口 极重 口 很重 口 重 口 一般 口 不重联系式一 值班: 传真:8.2 网络与信息安全事件处理结果报告表报告时间 : 年 月 日 时 分备案编号: 年 月 日 第 号 总第 号单位名称报告人联系通讯地址传 真电子发生网络与信息安全事件的网络与信息系统名称及用途网络或信息系统名称及用途操作系统口Sun 系列 口Irix 口Ai

43、X 口HPUX 口Windows 口BSD系列 口Linux数据库使用情况口无 口Oracie 口MS SQL 口InformiX 口Sybase 口MySQL系统是否经过安全测评口 是,已经通过安全测评 口 是,但未通过安全测评 口 否,未经过安全测评已采用的安全措施口防火墙口入侵检测系统发生网络与信息安全事件的网络或信息系统基本信息网络与信息安全事件的补充描述及最后判定的 事故原因对本次网络与信息安全事件的事后影响状况、事件后果口业务中断 口系统破坏 口数据破坏 口其他影响围 口单台主机 口台主机 口整个信息系统 口整个局域网 口整个xx网络重程度口极重 口很重 口重 口一般 口不重本次网络与信息安全事件的主要处理过程与结果 (必要时可附文字、图片 等材料)(可增页)针对此类事件应采取的保障网络与信息系统安全的措施和 建议 (可增页)报告人签章

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 办公、行业 > 待归类文档
版权提示 | 免责声明

1,本文(XX自有重要系统遭入侵应急预案(DOC 31页).doc)为本站会员(2023DOC)主动上传,163文库仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。
2,用户下载本文档,所消耗的文币(积分)将全额增加到上传者的账号。
3, 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(发送邮件至3464097650@qq.com或直接QQ联系客服),我们立即给予删除!


侵权处理QQ:3464097650--上传资料QQ:3464097650

【声明】本站为“文档C2C交易模式”,即用户上传的文档直接卖给(下载)用户,本站只是网络空间服务平台,本站所有原创文档下载所得归上传人所有,如您发现上传作品侵犯了您的版权,请立刻联系我们并提供证据,我们将在3个工作日内予以改正。


163文库-Www.163Wenku.Com |网站地图|