厦门建设局网站首页,网站推广的四个阶段是指,代售网站建设,wordpress 添加logo文章目录一、服务范围及流程1.1 服务范围1.2 服务流程及内容二、准备阶段2.1 负责人准备内容2.2 技术人员准备内容#xff08;一#xff09;服务需求界定#xff08;二#xff09;主机和网络设备安全初始化快照和备份2.3市场人员准备内容#xff08;1#xff09;预防和预…
文章目录一、服务范围及流程1.1 服务范围1.2 服务流程及内容二、准备阶段2.1 负责人准备内容2.2 技术人员准备内容一服务需求界定二主机和网络设备安全初始化快照和备份2.3市场人员准备内容1预防和预警机制2信息系统检测和报告三、检测阶段3.1 实施小组人员的确定3.2 检测范围及对象的确定3.3 检测方案的确定3.4检测方案的实施1检测搜集系统信息2主机检测3.5 检测结果的处理1确定安全事件的类型2评估突发信息安全事件的影响四、抑制阶段4.1 抑制方案的确定4.2 抑制方案的认可4.3 抑制方案的实施4.4抑制效果的判定五、根除阶段5.1 根除方案的确定5.2 根除方案的认可5.3 根除方案的实施5.4 根除效果的判定六、恢复阶段6.1 恢复方案的确定6.2 恢复信息系统七、总结阶段1事故总结:2相关的工具文档如专项预案、方案等归档。7.1 交付一、服务范围及流程
1.1 服务范围
为采购人提供安全事件应急响应和处理服务在发生信息破坏事件篡改、泄露、窃取、丢失等、大规模病毒事件、网站漏洞事件等信息安全事件时提供应急响应专家协助处置。
1.2 服务流程及内容
该服务流程并非一个固定不变的教条 需要应急响应服务人员在实际中灵活变通可适当简化但任何变通都必须纪录有关的原因。详细的记录对于找出事件的真相、查出威胁的来源与安全弱点、找到问题正确的解决方法甚至判定事故的责任避免同类事件的发生都有着极其重要的作用。
突发事件应急处理流程包括
准备阶段Preparation检测阶段Examination抑制阶段Suppresses根除阶段Eradicates恢复阶段Restoration总结阶段Summary。
如下图所示
二、准备阶段
目标在事件真正发生前为应急响应做好预备性的工作。角色技术人员、市场人员。内容根据不同角色准备不同的内容。输出《准备工具清单》、《事件初步报告表》、《实施人员工作清单》
2.1 负责人准备内容
制定工作方案和计划提供人员和物质保证审核并批准经费预算、恢复策略、应急响应计划批准并监督应急响应计划的执行指导应急响应实施小组的应急处置工作启动定期评审、修订应急响应计划以及负责组织的外部协作。
2.2 技术人员准备内容
一服务需求界定
首先要对服务对象的整个信息系统进行评估明确服务对象的应急需求具体包含以下内容
应急响应小组应了解应急服务对象的各项业务功能及其之间的相关性确定支持各种业务功能的相关信息系统资源及其他资源明确相关信息的保密性、完整性和可用性要求对服务对象的信息系统包括应用程序服务器网络及任何管理和维护这些系统的流程进行评估确定系统所执行的关键功能并确定执行这些关键功能所需要的特定系统资源应急响应小组采用定性或定量的方法对业务中断、系统宕机、网络瘫痪等突发安全事件造成的影响进行评估应急响应小组协助服务对象建立适当的应急响应策略应提供在业务中断、系统宕机、网络瘫痪等突发安全事件发生后快速有效的恢复信息系统运行的方法应急响应小组为服务对象提供相关的培训服务以提高服务对象的安全意识便于相关责任人明确自己的角色和责任了解常见的安全事件和入侵行为熟悉应急响应策略。
二主机和网络设备安全初始化快照和备份
在系统安全策略配置完成后要对系统做一次初始安全状态快照。这样如果以后在出现事故后对该服务器做安全检测时 通过将初始化快照做的结果与检测阶段做的快照进行比较就能够发现系统的改动或异常。
对主机系统做一个标准的安全初始化的状态快照 包括的主要内容有 日志及审核策略快照等。用户账户快照进程快照服务快照自启动快照关键文件签名快照开放端口快照系统资源利用率的快照注册表快照计划任务快照等等 对网络设备做一个标准的安全初始化的状态快照 包括的主要内容有 路由器快照防火墙快照用户快照系统资源利用率等快照。 信息系统的业务数据及办公数据均十分重要因此需要进行数据存储及备份。目前存储备份结构主要有DAS、SAN 和NAS以及通过磁带或光盘对数据进行备份。各服务对象可以根据自身的特点选择不同的存储产品构建自己的数据存储备份系统。
工具包的准备
应急服务提供者应根据应急服务对象的需求准备处置网络安全事件的工具包包括常用的系统基本命令、其他软件工具等应急服务提供者的工具包中的工具最好是采用绿色免安装的 应保存在安全的移动介质上如一次性可写光盘、加密的U 盘等应急服务提供者的工具包应定期更新、补充
必要技术的准备
上述是针对应急响应的处理涉及到的安全技术工具涵盖应急响应的事件取样、事件分析、事件隔离、系统恢复和攻击追踪等各个方面构成了网络安全应急响应的技术基础。所以我们的应急响应服务实施成员还应该掌握以下必要的技术手段和规范具体包括以下内容 1系统检测技术包括以下检测技术规范
Windows系统检测技术规范Unix系统检测技术规范网络安全事故检测技术规范数据库系统检测技术规范常见的应用系统检测技术规范
2攻击检测技术包括以下技术
异常行为分析技术入侵检测技术安全风险评估技术
3攻击追踪技术
4现场取样技术
5系统安全加固技术
6攻击隔离技术
7资产备份恢复技术。
2.3市场人员准备内容
和服务对象建立长期友好的业务关系和服务对象签订应急服务合同或协议建立预防和预警机制及时上报。
1预防和预警机制
市场人员要严格按照应急响应负责人的安排和建议及时提醒服务对象提高防范网络攻击、病毒入侵、网络窃密等的能力防止有害信息传播保障服务对象网络的安全畅通。将协会网络信息中心会发布的病毒预防警报以及更新的防护策略及时有效地告知服务对象做好防护策略的更新。
2信息系统检测和报告
按照“早发现、早报告、早处置”的原则市场人员要加强对服务对象信息系统的安全检测结果的通告收集可能引发信息安全事件的有关信息、进行分析判断。如服务对象发现有异常情况或有信息安全事件发生时要立即向协会网络信息中心应急响应负责人报告并填写事件初步报告表。要求服务对象持续监测信息系统状况密切关注应急响应负责人提出初步行动对策和行动方案听从指令和安排及时减小损失。
三、检测阶段
目标接到事故报警后在服务对象的配合下对异常的系统进行初步分析确认其是否真正发生了信息安全事件制定进一步的响应策略并保留证据。角色应急服务实施小组成员、应急响应日常运行小组内容 检测范围及对象的确定检测方案的确定检测方案的实施检测结果的处理。 输出《检测结果记录》
3.1 实施小组人员的确定
应急响应负责人根据《事件初步报告表》的内容初步分析事故的类型、严重程度等以此来确定临时应急响应小组的实施人员的名单。
3.2 检测范围及对象的确定
应急服务提供者应对发生异常的系统进行初步分析判断是否正真发生了安全事件应急服务提供者和服务对象共同确定检测对象及范围检测对象及范围应得到服务对象的书面授权。
3.3 检测方案的确定
应急服务提供者和服务对象共同确定检测方案应急服务提供者制定的检测方案应明确应急服务提供者所使用的检测规范 应急服务提供者制定的检测方案应明确应急服务提供者的检测范围其检测范围应仅限于服务对象已授权的与安全事件相关的数据对服务对象的机密性数据信息未经授权的不得访问应急服务提供者制定的检测方案应包含实施方案失败的应变和回退措施应急服务提供者和服务对象充分沟通并预测应急处理方案可能造成的影响。
3.4检测方案的实施
1检测搜集系统信息
记录时使用目录及文件名约定
在受入侵的计算机的D盘根目录下D:\如果无D盘则在其他盘根目录下建立一个qihoo目录目录中包含以下子目录
artifact用于存放可疑文件样本cmdoutput用于记录命令行输出结果screenshot用于存放屏幕拷贝文件log用于存放各类日志文件
文件格式
命令行输出文件缺省仅使用TXT格式。日志文件及其他格式尽量使用TXT、CSV和其他不需要特殊工具就可以阅读的格式。屏幕拷贝文件应该使用JPG格式。可疑文件样本最好加密压缩为zip格式默认密码为wljslmz
搜集操作系统基本信息
右键点击“我的电脑属性” 将“常规”、“自动更新”、“远程”3 个选卡各制作一个窗口拷贝使用 AltPrtScr 。并保存到 qihoo\screenshot 目录下文件名称应该使用系统常规 -01、自动更新-01、远程-01 等形式命名。进入 CMD 状态“开始 运行 cmd”进入 D 盘根目录下的 wljslmz 目录执行一下命令
netstat -nao netstat.txt (网络连接信息)
tasklist tasklist.txt 当前进程信息
ipconfig /all ipconfig.txtIP 属性
ver ver.txt 操作系统属性
....................................日志信息
目标导出所有日志信息说明进入管理工具将“管理工具 事件察看器”中导出所有事件分别使用一下文件名保存 application.txt、security.txt、system.txt。
帐号信息
目标导出所有帐号信息说明使用 net usernet groupnet local group 命令检查帐号和组的情况使用计算机管理查看本地用户和组将导出的信息保存在 D:\wljslmz\user中
2主机检测
日志检查
目标 从日志信息中检测出未授权访问或非法登录事件从IIS/FTP 日志中检测非正常访问行为或攻击行为 说明 检查事件查看器中的系统和安全日志信息比如安全日志中异常登录时间未知用户名登录检查%WinDir%\System32\LogFiles 目录下的WWW 日志和FTP 日志比如WWW 日志中的对shell.asp 文件的成功访问。
帐号检查
目标检查帐号信息中非正常帐号隐藏帐号说明 通过询问管理员或负责人 或者和系统的所有的正常帐号列表做对比判断是否有可疑的陌生的账号出现 利用这些获得的信息和前面准备阶段做的帐号快照工作进行对比。
进程检查
目标检查是否存在未被授权的应用程序或服务说明使用任务管理器检查或使用进程查看工具进行查看利用这些获得的信息和前面准备阶段做的进程快照工作进行对比判断是否有可疑的进程。
服务检查
目标检查系统是否存在非法服务说明使用“管理工具”中的“服务”查看非法服务或使用360 安全卫士、Wsystem 察看当前服务情况利用这些获得的信息和准备阶段做的服务快照工作进行对比。
自启动检查
目标检查未授权自启动程序说明检查系统各用户“启动”目录下是否存在未授权程序。
网络连接检查
目标检查非正常网络连接和开放的端口说明关闭所有的网络通讯程序以免出现干扰然后使用ipconfig,netstat –an 或其它第三方工具查看所有连接检查服务端口开放情况和异常数据的信息。
共享检查
目标检查非法共享目录。说明使用net share 或其他第三方的工具检测当前开放的共享使用$是隐藏目录共享通过询问负责人看是否有可疑的共享文件。
文件检查
目标检查病毒、木马、蠕虫、后门等可疑文件。说明使用防病毒软件检查文件扫描硬盘上所有的文件将可疑文件进行提取加密压缩成.zip保存到 wljslmz\artifact目录下的相应子目录中。
查找其他入侵痕迹
目标查找其它系统上的入侵痕迹寻找攻击途径说明其它系统包括同一IP 地址段或同一网段的系统、同一域的其他系统、拥有相同操作系统的其他系统。
3.5 检测结果的处理
1确定安全事件的类型
经过检测判断出信息安全事件类型。
信息安全事件可以有以下 7 个基本分类 有害程序事件蓄意制造、传播有害程序或是因受到有害程序的影响而导致的信息安全事件。网络攻击事件通过网络或其他技术手段利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件。信息破坏事件通过网络或其他技术手段造成信息系统中的信息被篡改、假冒、泄漏、窃取等而导致的信息安全事件。信息内容安全事件利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容的安全事件。设备设施故障由于信息系统自身故障或外围保障设施故障而导致的信息安全事件以及人为的使用非技术手段有意或无意的造成信息系统破坏而导致的信息安全事件。灾害性事件由于不可抗力对信息系统造成物理破坏而导致的信息安全事件。其他信息安全事件不能归为以上6个基本分类的信息安全事件。
2评估突发信息安全事件的影响
采用定量和/或定性的方法对业务中断、系统宕机、网络瘫痪数据丢失等突发信息安全事件造成的影响进行评估确定是否存在针对该事件的特定系统预案如有则启动相关预案如果事件涉及多个专项预案应同时启动所有涉及的专项预案如果没有针对该事件的专项预案应根据事件具体情 况 采取抑制措施抑制事件进一步扩散。
四、抑制阶段
目标及时采取行动限制事件扩散和影响的范围限制潜在的损失与破坏同时要确保封锁方法对涉及相关业务影响最小。角色应急服务实施小组、应急响应日常运行小组。内容 抑制方案的确定抑制方案的认可抑制方案的实施抑制效果的判定 输出《抑制处理记录表》
4.1 抑制方案的确定
应急服务提供者应在检测分析的基础上初步确定与安全事件相对应的抑制方法如有多项可由服务对象考虑后自己选择在确定抑制方法时应该考虑 全面评估入侵范围、入侵带来的影响和损失通过分析得到的其他结论如入侵者的来源服务对象的业务和重点决策过程服务对象的业务连续性。
4.2 抑制方案的认可
应急服务提供者应告知服务对象所面临的首要问题应急服务提供者所确定的抑制方法和相应的措施应得到服务对象的认可在采取抑制措施之前应急服务提供者要和服务对象充分沟通告知可能存在的风险制定应变和回退措施并与其达成协议。
4.3 抑制方案的实施
应急服务提供者要严格按照相关约定实施抑制不得随意更改抑制的措施的范围如有必要更改需获得服务对象的授权抑制措施包含但不仅限于以下几方面 确定受害系统的范围后将被害系统和正常的系统进行隔离断开或暂时关闭被攻击的系统使攻击先彻底停止持续监视系统和网络活动记录异常流量的远程IP、域名、端口停止或删除系统非正常帐号隐藏帐号更改口令加强口令的安全级别挂起或结束未被授权的、可疑的应用程序和进程关闭存在的非法服务和不必要的服务删除系统各用户“启动”目录下未授权自启动程序使用netshare或其他第三方的工具停止所有开放的共享使用反病毒软件或其他安全工具检查文件扫描硬盘上所有的文件隔离或清除病毒、木马、蠕虫、后门等可疑文件设置陷阱如蜜罐系统或者反击攻击者的系统。
4.4抑制效果的判定
防止事件继续扩散限制了潜在的损失和破坏使目前损失最小化对其它相关业务的影响是否控制在最小。
五、根除阶段
目标对事件进行抑制之后通过对有关事件或行为的分析结果找出事件根源明确相应的补救措施并彻底清除。角色应急服务实施小组、应急响应日常运行小组。内容 根除方案的确定根除方案的认可根除方案的实施根除效果的判定 输出《根除处理记录表》
5.1 根除方案的确定
应急服务提供者应协助服务对象检查所有受影响的系统在准确判断安全事件原因的基础上提出方案建议由于入侵者一般会安装后门或使用其他的方法以便于在将来有机会侵入该被攻陷的系统因此在确定根除方法时需要了解攻击者时如何入侵的以及与这种入侵方法相同和相似的各种方法。
5.2 根除方案的认可
应急服务提供者应明确告知服务对象所采取的根除措施可能带来的风险制定应变和回退措施并得到服务对象的书面授权应急服务提供者应协助服务对象进行根除方法的实施。
5.3 根除方案的实施
应急服务提供者应使用可信的工具进行安全事件的根除处理不得使用受害系统已有的不可信的文件和工具根除措施易包含但不仅限与以下几个方面 改变全部可能受到攻击的系统帐号和口令并增加口令的安全级别修补系统、网络和其他软件漏洞增强防护功能复查所有防护措施的配置安装最新的防火墙和杀毒软件并及时更新 对未受保护或者保护不够的系统增加新的防护措施提高其监视保护级别以保证将来对类似的入侵进行检测
5.4 根除效果的判定
找出造成事件的原因备份与造成事件的相关文件和数据对系统中的文件进行清理根除使系统能够正常工作。
六、恢复阶段
目标恢复安全事件所涉及到得系统并还原到正常状态使业务能够正常进行恢复工作应避免出现误操作导致数据的丢失。角色应急服务实施小组、应急响应日常运行小组。内容 恢复方案的确定恢复信息系统 输出《恢复处理记录表》
6.1 恢复方案的确定
应急服务提供者应告知服务对象一个或多个能从安全事件中恢复系统的方法及他们可能存在的风险应急服务提供者应和服务对象共同确定系统恢复方案根据抑制和根除的情况协助服务对象选择合适的系统恢复的方案恢复方案涉及到以下几方面 如何获得访问受损设施或地理区域的授权如何通知相关系统的内部和外部业务伙伴如何获得安装所需的硬件部件如何获得装载备份介质如何恢复关键操作系统和应用软件如何恢复系统数据如何成功运行备用设备 如果涉及到涉密数据确定恢复方法时应遵循相应的保密要求 。
6.2 恢复信息系统
应急响应实施小组应按照系统的初始化安全策略恢复系统恢复系统时应根据系统中个子系统的重要性确定系统恢复的顺序恢复系统过程宜包含但不限于以下方面利用正确的备份恢复用户数据和配置信息开启系统和应用服务将受到入侵或者怀疑存在漏洞而关闭的服务修改后重新开放连接网络服务重新上线并持续监控持续汇总分析了解各网的运行情况对于不能彻底恢复配置和清除系统上的恶意文件或不能肯定系统在根除处理后是否已恢复正常时应选择彻底重建系统应急服务实施小组应协助服务对象验证恢复后的系统是否正常运行应急服务实施小组宜帮助服务对象对重建后的系统进行安全加固应急服务实施小组宜帮助服务对象为重建后的系统建立系统快照和备份。
七、总结阶段
目标通过以上各个阶段的记录表格回顾安全事件处理的全过程整理与事件相关的各种信息进行总结并尽可能的把所有信息记录到文档中。角色应急服务实施小组、应急响应日常运行小组。内容
1事故总结:
应急服务提供者应及时检查安全事件处理记录是否齐全是否具备可塑性并对事件处理过程进行总结和分析应急处理总结的具体工作包括但不限于以下几项 事件发生的现象总结事件发生的原因分析系统的损害程度评估事件损失估计采取的主要应对措施
2相关的工具文档如专项预案、方案等归档。
事故报告: 应急服务提供者应向服务对象提供完备的网络安全事件处理报告应急服务提供者应向服务对象提供网络安全方面的措施和建议。
7.1 交付
安全事件处置完成系统得到恢复。找到安全事件发生原因并提供安全解决方案。
提供交付物 《XX 系统事件应急响应报告》 并经采购人相关负责人的书面确认。
