网络安全应急响应是在特定网络和系统面临或已经遭受突然攻击行为时,进行快速应急反应,提出并实施应急方案。作为一项综合性工作,网络安全应急响应不仅涉及入侵检测、事件诊断、攻击隔离、快速恢复、网络追踪、计算机取证、自动响应等关键技术,对安全管理也提出更高的要求。根据应急事件处理的PDCERF方法学,将应急响应分为准备、检测、抑制、根除、恢复、跟进6个阶段的工作,本文按照各个阶段主要应用的关键技术进行介绍。一、准备阶段准备(Preparation)阶段是网络安全事件响应的第一个阶段,也属于一个过渡阶段,即横跨在网络安全事件真正发生前和有迹象将要发生的时间段上,大部分工作需要在应急响应之前就已做好准备。这一阶段极为重要,因为事件发生时可能需要在短时间内处理较多事务,如果没有足够的准备,将无法准确地完成及时响应,导致难以意料的损失。(一)准备阶段工作内容准备阶段的工作内容主要有2个,—是对信息网络系统进行初始化快照。二是准备应急响应工具包。系统快照是指常规情况下,信息系统进程、账号、服务端口和关键文件签名等状态信息的记录。通过在系统初始化或发生重要状态改变后,在确保系统未被入侵的前提下,立即制作并保存系统快照,并在检测的时候将保存的快照与信息系统当前状态进行对比,是后续“检测”安全事件的一种重要途径。1、系统快照系统快照是系统正常状态下的精简化描述,因此须在确保系统未被入侵的前提下,由系统维护人员完成系统快照的生成和保存工作,注意执行系统快照留存的时间点有以下几种。(1)系统初始化安装完成后。(2)系统重要配置文件发生更改后。(3)系统进行软件升级后。(4)系统发生过安全入侵事件并恢复后。在进行安全检测时,通过将最近保存的系统快照与当前系统快照进行仔细的核对,能够快速、准确地发现系统的改变或异常。准备阶段还应包括建立安全保障措施、对系统进行安全加固,制定安全事件应急预案规范,进行应急演练等内容。主机系统快照,应包括但并不限于以下内容。(1)系统进程快照。(2)关键文件签名快照。(3)开放的对外服务端口快照。(4)系统资源利用率的快照。(5)注册表快照。(6)计划任务快照。(7)系统账号快照。(8)日志及审核策略快照。以上内容中的系统进程快照、关键文件签名和系统账号快照尤为重要,—般入侵事件均可通过此3项快照的关联分析查找获得重要信息。网络设备快照应包括但并不限于以下内容。(1)路由快照。(2)设备账号快照。(3)系统资源利用率快照。数据库系统快照照应包括但并不限于以下内容。(1)开启的服务。(2)所有用户及所具有的角色及权限。(3)概要文件。(4)数据库参数。(5)所有初始化参数。2、应急响应工具包应急响应工具包是指网络与信息安全应急事件处理过程中使用工具的集合。该工具包应由安全技术人员及时建立,并定时更新。使用应急响应工具包中的工具所产生的结果将是网络与信息安全应急事件处理过程中的可信基础。本规范结合实际工作情况,具体说明了Windows应急响应工具包和Unix/Linux应急响应工具包。工具包应尽量放置在不可更改的介质上,如只读光盘。(二)准备阶段工作流程第一步:系统维护人员按照系统的初始化策略对系统进行安装和配置加固。第二步:系统维护人员对安装和配置加固后的系统进行自我检查,确认是否加固完成。第三步:系统维护人员建立系统状态快照。第四步:系统维护人员对快照信息进行完整性签名,以防止快照被非法篡改。自我检查,确认是否加固完成一L--第五步:系统维护人员将快照保存在与系统分离的存储介质上。准备阶段的具体流程如图1所示。建立和保存系统狀态快照快照保存冒1准争阶段流图1准备阶段流程(三)准备阶段操作说明1、对系统的影响:操作不会对系统造成影响,在系统正常运行情况下执行各个步骤。对系统进行安装和配置加固对快照进行完整性签名專2、操作的复杂度(容易/普通/复杂):容易。3、操作效果:对执行后的结果必须保存到不可更改的存储介质。4操作人员:各操作系统、数据库、网络设备的系统维护人员。二、检测阶段讲述检测阶段的网络安全应急响应实施。结合准备阶段生成的系统初始化状态快照,这里概要介绍检测安全事件(系统安...
