返回
信息系统安全事件响应

信息系统安全事件响应

ID:39278388

大小:225.50 KB

页数:47页

时间:2019-06-29

信息系统安全事件响应_第1页
信息系统安全事件响应_第2页
信息系统安全事件响应_第3页
信息系统安全事件响应_第4页
信息系统安全事件响应_第5页
资源描述:

《信息系统安全事件响应》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第5章信息系统安全事件响应“智者千虑,必有一失”。尽管已经为信息系统的防护开发了许多技术,但是很难没有一点疏漏,何况入侵者也是一些技术高手。系统遭受到一次入侵,就面临一次灾难。这些影响信息系统安全的不正当行为,就称为事件。事件响应,就是事件发生后所采取的措施和行动。信息系统的脆弱,加上入侵技术的不断进化,使得入侵不可避免。因此,遭受灾难后,的系统恢复就成为一个与防火墙技术、入侵检测技术等同样重要的技术。1988年,莫里斯蠕虫迅雷不及掩耳之势肆虐互联网,招致上千台计算机系统的崩溃,造成了以千万美元计的损失。这突如其来的灾难,给人们敲响了警钟:面队人类对信息系统以来程度不断增强

2、,对付入侵不仅需要防御,还要能够在事件发生后进行紧急处理和援助。1989年,在美国国防部的资助下,CERT(ComputerEmergencyTeam,计算机紧急响应组)/CC(CallCenter)成立。从此紧急响应被摆到了人们的议事桌上。CERT成立以后,做了大量工作。但最大的成就是使紧急响应为人们普遍接受。5.1应急响应一般说来,每个使用信息系统的组织都应当有一套紧急响应的机制。这个机制包括两个环节:·应急响应组织;·紧急预案。5.1.1应急响应组织应急响应组织的主要工作有:·安全事件与软件安全缺陷分析研究;·安全知识库(包括漏洞知识、入侵检测等)开发与管理;·安全管

3、理和应急知识的教育与培训;·发布安全信息(如系统漏洞与补丁,病毒警告等);·安全事件紧急处理。应急响应组织包括应急保障领导小组和应急技术保障小组。领导小组的主要职责是领导与协调突发事件与自然灾害的应急处理。应急技术保障小组主要解决安全事件的技术问题,如物理实体和环境安全技术、网络通信技术、系统平台技术、应用系统技术等。5.1.2紧急预案1.紧急预案及基本内容执行紧急预案的人员(姓名、住址、电话号码以及有关职能部门的联系方法);应急预案是指根据不同的突发紧急事件类型和以外情形,预先制定的处理方案。应急预案一般要包括如下内容:系统紧急事件类型及处理措施的详细说明;应急处理的具体

4、步骤和操作顺序。2.常见安全事件物理实体及环境类安全事件,如意外停电、物理设备丢失、火灾、水灾等。紧急预案要根据安全事件的类型进行对应的处理。下面提供一些常见的安全事件类型供参考:网络通信类安全事件:如网络蠕虫侵害等。主机系统类安全事件,如计算机病毒、口令丢失等;应用系统类安全事件,如客护信息丢失等。3.安全事件处理的基本流程(1)安全事件报警值班人员发现紧急情况,要及时报告。报告要对安全事件进行准确描述并作书面记录。按照安全事件的类型,安全事件呈报条例应依次报告:一、值班人员,二、应急工作组长,三、应急领导小组。如果想进行任何类型的跟踪调查或者起诉入侵者,应先跟管理人员和

5、法律顾问商量,然后通知有关执法机构。一定要记住,除非执法部门的参与,否则对入侵者进行的一切跟踪都可能是非法的。同时,还应通知有关人员,交换相关信息,必要时可以获得援助;安全事件处理的基本流程(续)(2)安全事件确认确定安全事件的类型,以便启动相应的预案。(3)启动紧急预案(a)首先要能够找到紧急预案。(b)保护现场证据(如系统事件、处理者采取的行动、与外界的沟通等),避免灾害扩大;安全事件处理的基本流程(续)(4)恢复系统(a)安装干净的操作系统版本。建议使用干净的备份程序备份整个系统,然后重装系统。(b)取消不必要的服务。只配置系统要提供的服务,取消那些没有必要的服务。检

6、查并确信其配置文件没有脆弱性以及该服务是否可靠。(c)安装供应商提供的所有补丁。建议安装所有的安全补丁,使系统能够抵御外来攻击,不被再次侵入,这是最重要的一步。(d)查阅CERT的安全建议、安全总结和供应商的安全提示·CERT安全建议:http://www.cert.org/advisories/·CERT安全总结:http://www.cert.org/advisories/·供应商安全提示:ftp://ftp.cert.org/pub/cert_bulletins/(e)谨慎使用备份数据。在从备份中恢复数据时,要确信备份主机没有被侵入。一定要记住,恢复过程可能会重新带来

7、安全缺陷,被入侵者利用。例如恢复用户的home目录以及数据文件中,以及用户起始目录下的.rhost文件中,也许藏有特洛伊木马程序。(f)改变密码。在弥补了安全漏洞或者解决了配置问题以后,建议改变系统中所有账户的密码。安全事件处理的基本流程(续)(5)加强系统和网络的安全(a)根据CERT的UNIX/NT配置指南检查系统的安全性。CERT的UNIX/NT配置指南可以帮助你检查系统中容易被入侵者利用的配置问题。http://www.cert.org/tech_tips/unix_configuration_guidel

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。