23-网络与信息安全应急响应技术规范与指南.doc

23-网络与信息安全应急响应技术规范与指南.doc

《23-网络与信息安全应急响应技术规范与指南.doc》由会员分享，可在线阅读，更多相关《23-网络与信息安全应急响应技术规范与指南.doc（89页珍藏版）》请在冰点文库上搜索。

QB-XX-XXX-2004

中国移动

网络与信息安全应急响应技术规范与指南

版本号：

V1.0

中国移动通信有限责任公司

二零零四年十一月

目录

前言 7

一、背景 7

二、适用范围 7

三、编制依据 7

四、阅读对象 7

五、引用标准 8

六、缩略语 8

七、安全事件及分类 8

八、安全事件应急响应 9

九、文档内容概述 11

1准备阶段 13

1.1概述 13

1.1.1准备阶段工作内容 13

1.1.1.1系统快照 13

1.1.1.2应急响应工具包 14

1.1.2准备阶段工作流程 14

1.1.3准备阶段操作说明 15

1.2主机和网络设备安全初始化快照 15

1.2.1Windows安全初始化快照 16

1.2.2Unix安全初始化快照 19

1.2.2.1Solaris安全初始化快照 19

1.2.3网络设备安全初始化快照 26

1.2.3.1路由器安全初始化快照 26

1.2.4数据库安全初始化快照 27

1.2.4.1Oracle安全初始化快照 27

1.2.5安全加固及系统备份 32

1.3应急响应标准工作包的准备 32

1.3.1Windows系统应急处理工作包 33

1.3.1.1系统基本命令 33

1.3.1.2其它工具软件 33

1.3.2Unix系统应急处理工作包 34

1.3.2.1系统基本命令 34

1.3.2.2其它工具软件 34

1.3.3Oracle数据库应急处理工具包 35

2检测阶段 36

2.1概述 36

2.1.1检测阶段工作内容 36

2.1.2检测阶段工作流程 36

2.1.3检测阶段操作说明 37

2.2系统安全事件初步检测方法 37

2.2.1Windows系统检测技术规范 37

2.2.1.1Windows服务器检测技术规范 37

2.2.1.2Windows检测典型案例 39

2.2.2Unix系统检测技术规范 39

2.2.2.1Solaris系统检测技术规范 39

2.2.2.2Unix检测典型案例 40

2.3系统安全事件高级检测方法 43

2.3.1Windows系统高级检测技术规范 43

2.3.1.1Windows高级检测技术规范 43

2.3.1.2Windows高级检测技术案例 44

2.3.2Unix系统高级检测技术规范 45

2.3.2.1Solaris高级检测技术规范 45

2.3.2.2Unix高级检测技术案例 48

2.4网络安全事件检测方法 52

2.4.1拒绝服务事件检测方法 52

2.4.1.1利用系统漏洞的拒绝服务攻击检测方法 52

2.4.1.2利用网络协议的拒绝服务攻击检测方法 52

2.4.2网络欺骗安全事件检测方法 52

2.4.2.1DNS欺骗检测规范及案例 52

2.4.2.2WEB欺骗检测规范及案例 52

2.4.2.3电子邮件欺骗检测规范及案例 53

2.4.3网络窃听安全事件检测方法 54

2.4.3.1共享环境下SNIFFER检测规范及案例 54

2.4.3.2交换环境下SNIFFER检测规范及案例 55

2.4.4口令猜测安全事件检测方法 55

2.4.4.1windows系统检测 56

2.4.4.2UNIX系统检测 56

2.4.4.3CISCO路由器检测 56

2.4.5网络异常流量特征检测 57

2.4.5.1网络异常流量分析方法 57

2.5数据库安全事件检测方法 58

2.5.1数据库常见攻击方法检测 58

2.5.2脚本安全事件检测 58

2.5.2.1SQL注入攻击检测方法 58

2.5.2.2SQL注入攻击案例 59

2.6事件驱动方式的安全检测方法 59

2.6.1日常例行检查中发现安全事件的安全检测方法 59

2.6.1.1特点 59

2.6.1.2人工检测被入侵的前兆 59

2.6.1.3检测的流程 60

2.6.2事件驱动的病毒安全检测方法 61

2.6.2.1特点 61

2.6.2.2病毒检测流程 62

2.6.2.3防御计算机病毒措施 63

2.6.3事件驱动的入侵检测安全检测方法 63

2.6.3.1特征 63

2.6.3.2入侵检测系统分为网络型和主机型 63

2.6.3.3入侵检测流程 64

2.6.4事件驱动的防火墙安全检测方法 64

2.6.4.1特点 64

2.6.4.2防火墙安全检测流程 65

3抑制和根除阶段 67

3.1概述 67

3.1.1抑制和根除阶段工作内容 67

3.1.2抑制和根除阶段工作流程 67

3.1.3抑制和根除阶段操作说明 68

3.2拒绝服务类攻击抑制 69

3.2.1SYN和ICMP拒绝服务攻击抑制和根除 69

3.2.1.1SYN（UDP）-FLOOD拒绝服务攻击抑制及根除 69

3.2.1.2ICMP-FLOOD拒绝服务攻击抑制及根除 69

3.2.2系统漏洞拒绝服务抑制 70

3.2.2.1WIN系统漏洞拒绝服务攻击抑制及根除 70

3.2.2.2UNIX系统漏洞拒绝服务攻击抑制及根除 70

3.2.3.3网络设备IOS系统漏洞拒绝服务攻击抑制 71

3.3利用系统漏洞类攻击抑制 71

3.3.1系统配置漏洞类攻击抑制 71

3.3.1.1简单口令攻击类抑制 71

3.3.1.2简单口令攻击类根除 71

3.3.2系统程序漏洞类攻击抑制 72

3.3.2.1缓冲溢出攻击类抑制 72

3.3.2.2缓冲溢出攻击类根除 72

3.4网络欺骗类攻击抑制与根除 73

3.4.1DNS欺骗攻击抑制与根除 73

3.4.2电子邮件欺骗攻击抑制与根除 73

3.4.2.1电子邮件欺骗攻击抑制 73

3.4.2.2电子邮件欺骗攻击根除 74

3.5网络窃听类攻击抑制及根除 74

3.5.1共享环境下SNIFFER攻击抑制及根除 74

3.5.1.1共享环境下SNIFFER攻击抑制及根除 74

3.5.2交换环境下SNIFFER攻击抑制 75

3.5.2.1交换环境下SNIFFER攻击抑制 75

3.6数据库SQL注入类攻击抑制与根除 76

3.6.1数据库SQL注入类攻击抑制与根除 76

3.6.1.1对于动态构造SQL查询的场合，可以使用下面的技术：

76

3.6.1.2用存储过程来执行所有的查询。

76

3.6.1.3限制表单或查询字符串输入的长度。

76

3.6.1.4检查用户输入的合法性，确信输入的内容只包含合法的数据。

76

3.6.1.5将用户登录名称、密码等数据加密保存。

77

3.6.1.6检查提取数据的查询所返回的记录数量 77

3.6.1.7Sql注入并没有根除办法. 77

3.7恶意代码攻击抑制和根除 77

3.7.1恶意代码介绍 77

3.7.2恶意代码抑制和根除 77

3.7.2.1恶意代码抑制方法 77

3.7.2.2恶意代码根除方法 78

4恢复阶段 79

4.1.1恢复阶段工作内容 79

4.1.2恢复阶段工作流程 79

4.1.3恢复阶段操作说明 80

4.2重装系统 80

4.2.1重装系统时的步骤 80

4.2.2重装系统时的注意事项 81

4.3安全加固及系统初始化 81

4.3.1系统安全加固和安全快照 81

4.3.1.1安全加固 81

4.3.1.2安全快照 81

5跟进阶段 82

5.1概述 82

5.1.1跟进阶段工作内容 82

5.1.2跟进阶段工作流程 82

5.1.3跟进阶段操作说明 83

5.2跟进阶段的目的和意义 83

5.3跟进阶段的报告内容 83

6取证流程和工具 86

6.1概述 86

6.2操作说明 86

6.3取证的重要规则 86

6.4取证流程 86

6.5取证工具 87

6.5.1系统命令 87

6.5.2商业软件介绍 88

前言

·制定本文档的目的是为中国移动提供网络与信息安全响应工作的技术规范及指南，本规范含了一个关于安全攻防的具体技术内容的附件。

·本文档由中国移动通信有限公司网络部提出并归口。

解释权归属于中国移动通信有限公司网络部。

·本文档起草单位：

中国移动通信有限公司网络部

·本文档主要起草人：

王新旺、蔡洗非、陈敏时、彭泉、刘小云、王亮、余晓敏、周碧波、刘楠、谢朝霞

·本文档解释单位：

中国移动通信有限公司网络部

一、背景

随着我国的互联网络迅猛发展，互联网络已经深入到各行各业当中，在我国的经济生活中发挥着日益重要的作用。

中国移动计算机网络系统作为我国最庞大的网络系统之一，网络安全问题的重要性随着移动业务的重要性提高而日益凸显。

一直以来，中国移动通信有限公司都在不断加强网络安全保护设施，以保证整个网络的信息安全。

近几年黑客活动日益频繁，病毒多次爆发，涉及面广，危害性大，渗透性深，各类计算机网络安全事件层出不穷，移动骨干网络和全国各省分公司计算机信息系统都不同程度地存在爆发安全危机的隐患。

为了提高中国移动网络安全事件应急响应能力，规范相关应急响应技术，中国移动通信有限公司决定起草编写《网络与信息安全应急响应技术规范与指南》，由技术部门牵头并提供业务指导，深圳市安络科技有限公司提供具体实施的技术配合工作。

二、适用范围

本规范仅适用于中国移动通信有限公司（其中包括各省移动通信有限公司），开展安全事件应急响应工作。

本规范从安全事件应急响应的技术角度，为中国移动提供通用的技术参考和规范说明。

本规范不包含应急响应管理方面的内容，也未阐述适用中国移动特定的业务专用应急技术。

相关内容应分别在管理规范和业务系统的应急预案与连续性计划中体现。

系统随着安全事件应急响应技术的不断发展，本规范的相关部分也需要进行相应的调整完善。

三、编制依据

本规范依据《中国移动互联网（CMnet）网络安全管理办法》2002版

四、阅读对象

本文详细地分析了计算机及网络系统面临的威胁与黑客攻击方法，详尽、具体地披露了攻击技术的真相，给出了防范策略和技术实现措施。

阅读对象限于中国移动的系统维护人员、安全技术人员和安全评估人员。

未经授权严禁传播此文档。

五、引用标准

RFC793

TransmissionControlProtocol

RFC768

UserDatagramProtocol

RFC821

SimpleMailTransferProtocol

RFC959

FileTransferProtocol

RFC2616

HypertextTransferProtocol

RFC792

InternetControlMessageProtocal

RFC828

EthernetAddressResolutionProtocol

RFC2196

SiteSecurityHandbook

六、缩略语

CMnet：

中国移动互联网

CMCert/CC：

中国移动网络与信息安全应急小组

TCP：

TransmissionControlProtocol

UDP：

UserDatagramProtocol

SMTP：

SimpleMailTransferProtocol

HTTP：

HypertextTransferProtocol

ICMP：

InternetControlMessageProtocol

ARP：

EthernetAddressResolutionProtocol

FTP：

FileTransferProtocol

七、安全事件及分类

安全事件是有可能损害资产安全属性（机密性、完整性、可用性）的任何活动。

本文所称安全事件特指由外部和内部的攻击所引起的危害业务系统或支撑系统安全并可能引起损失的事件。

安全事件可能給企业带来可计算的财务损失和公司的信誉损失

本文采用两种分类原则对安全事件进行了分类：

基于受攻击设备的分类原则（面向中国移动系统维护人员）和基于安全事件原因的分类原则（面向中国移动安全技术人员）。

在准备和检测阶段依据攻击设备分类原则进行阐述，其他后续阶段依据安全事件原因进行阐述。

基于受攻击设备分类原则，安全事件分为：

·主机设备安全事件

·网络设备安全事件

·数据库系统安全事件

基于安全事件原因的分类原则，安全事件分为：

·拒绝服务类安全事件

拒绝服务类安全事件是指由于恶意用户利用挤占带宽、消耗系统资源等攻击方法使系统无法为正常用户提供服务所引起的安全事件。

·系统漏洞类安全事件

系统漏洞类安全事件是指由于恶意用户利用系统的安全漏洞对系统进行未授权的访问或破坏所引起的安全事件。

·网络欺骗类安全事件

网络欺骗类安全事件是指由于恶意用户利用发送虚假电子邮件、建立虚假服务网站、发送虚假网络消息等方法对系统或用户进行未授权的访问或破坏所引起的安全事件。

·网络窃听类安全事件

网络窃听类安全事件是指由于恶意用户利用以太网监听、键盘记录等方法获取未授权的信息或资料所引起的安全事件。

·数据库注入类安全事件ligia

数据库注入类安全事件是指由于恶意用户通过提交特殊的参数从而达到获取数据库中存储的数据、得到数据库用户的权限所引起的安全事件。

·恶意代码类安全事件

恶意代码类安全事件是指恶意用户利用病毒、蠕虫、特洛伊木马等其他恶意代码破坏网络可用性或窃取网络中数据所引起的安全事件。

·操作误用类安全事件

操作误用类安全事件是指合法用户由于误操作造成网络或系统不能正常提供服务所引起的安全事件。

在上面的分类中可能存在一个具体的安全事件同时属于几类的情况，比如，蠕虫病毒引起的安全事件，就有可能同时属于拒绝服务类的安全事件，系统漏洞类安全事件，和恶意代码类安全事件。

此时，应根据安全事件特征的轻重缓急，来合理的选择应对的技术措施。

仍然以蠕虫病毒为例，在抑制阶段，可能侧重采用对抗拒绝服务攻击的措施，控制蠕虫传播，疏通网络流量，缓解病毒对业务带来的压力。

在根除阶段采用恶意代码类安全事件的应对措施孤立并清除被感染的病毒源。

而在恢复阶段，主要侧重于消除被感染主机存在的安全漏洞，从而避免再次感染相同的蠕虫病毒。

随着攻击手段的增多，安全事件的种类需要不断补充。

八、安全事件应急响应

安全事件应急响应是指针对已经发生或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全属性的活动。

良好的安全事件响应遵循事先制定的流程和技术规范。

本文所指的安全事件应急响应特指对已经发生的安全事件进行分析和处理的过程。

安全事件应急响应工作的特点是高度的压力，短暂的时间和有限的资源。

应急响应是一项需要充分的准备并严密组织的工作。

它必须避免不正确的和可能是灾难性的动作或忽略了关键步骤的情况发生。

它的大部分工作应该是对各种可能发生的安全事件制定应急预案，并通过多种形式的应急演练，不断提高应急预案的实际可操作性。

具有必要技能和相当资源的应急响应组织是安全事件响应的保障。

参与具体安全事件应急响应的人员应当不仅包括中国移动应急组织的人员，还应包括安全事件涉及到的业务系统维护人员、设备提供商、集成商和第三方安全应急服务提供人员等，从而保证具有足够的知识和技能应对当前的安全事件。

应急响应除了需要技术方面的技能外，还需要管理能力，相关的法律知识、沟通协调的技能、写作技巧、甚至心理学的知识。

在系统通常存在各种残余风险的客观情况下，应急响应是一个必要的保护策略。

同时需要强调的是，尽管有效的应急响应可以在某种程度上弥补安全防护措施的不足，但不可能完全代替安全防护措施。

缺乏必要的安全措施，会带来更多的安全事件，最终造成资源的浪费。

安全事件应急响应的目标通常包括：

采取紧急措施，恢复业务到正常服务状态；调查安全事件发生的原因，避免同类安全事件再次发生；在需要司法机关介入时，提供法律任何的数字证据等。

在规范中以安全事件应急响应6阶段（PDCERF）方法学为主线介绍安全事件应急响应的过程和具体工作内容。

6阶段（PDCERF）方法学不是安全事件应急响应唯一的方法，结合中国移动安全事件应急响应工作经验，在实际应急响应过程中，也不一定严格存在这6个阶段，也不一定严格按照6阶段的顺序进行。

但它是目前适用性较强的应急响应的通用方法学。

它包括准备、检测、抑制、根除、恢复和跟进6个阶段。

6阶段方法学的简要关系见下图。

准备阶段：

准备阶段是安全事件响应的第一个阶段，即在事件真正发生前为事件响应做好准备。

这一阶段极为重要，因为事件发生时可能需要在短时间内处理较多的事物，如果没有足够的准备，那么将无法正确的完成响应工作。

在准备阶段请关注以下信息：

·基于威胁建立合理的安全保障措施

·建立有针对性的安全事件应急响应预案，并进行应急演练

·为安全事件应急响应提供足够的资源和人员

·建立支持事件响应活动管理体系

检测阶段：

检测是指以适当的方法确认在系统/网络中是否出现了恶意代码、文件和目录是否被篡改等异常活动/现象。

如果可能的话同时确定它的影响范围和问题原因。

在操作的角度来讲，事件响应过程中所有的后续阶段都依赖于检测，如果没有检测，就不会存在真正意义上的事件响应。

检测阶段是事件响应的触发条件。

抑制阶段：

抑制阶段是事件响应的第三个阶段，它的目的是限制攻击/破坏所波及的范围。

同时也是限制潜在的损失。

所有的抑制活动都是建立在能正确检测事件的基础上，抑制活动必须结合检测阶段发现的安全事件的现象、性质、范围等属性，制定并实施正确的抑制策略。

抑制策略可能包含以下内容：

·完全关闭所有系统；

·从网络上断开主机或部分网络；

·修改所有的防火墙和路由器的过滤规则；

·封锁或删除被攻击的登陆账号；

·加强对系统或网络行为的监控；

·设置诱饵服务器进一步获取事件信息；

·关闭受攻击系统或其他相关系统的部分服务；

根除阶段：

安全事件应急响应6阶段方法论的第4阶段是根除阶段，即在准确的抑制事件后，找出事件的根源并彻底根除它，以避免攻击者再次使用相同手段攻击系统，引发安全事件。

在根除阶段中将需要利用到在准备阶段中产生的结果。

恢复阶段：

将事件的根源根除后，将进入恢复阶段。

恢复阶段的目标是把所有被攻破的系统或网络设备还原到它们正常的任务状态。

跟进阶段：

安全事件应急响应6阶段方法论的最后一个阶段是跟进阶段，其目标是回顾并整合发生事件的相关信息。

跟进阶段也是6个阶段中最可能被忽略的阶段。

但这一步也是非常关键的。

该阶段需要完成的原因有以下几点：

·有助于从安全事件中吸取经验教训，提高技能；

·有助于评判应急响应组织的事件响应能力；

准备阶段/Prepairing

检测阶段/Detection

抑制阶段/Control

根除阶段/Eradicate

恢复阶段/Restore

跟进阶段/Follow

安全事件应急响应6阶段方法论：

九、文档内容概述

本规范的主要内容是应急响应技术规范，分别对应急响应流程中每个环节所用到的技术进行了阐述。

整个文档由正文和附件两个文档组成，其中正文部分以应急响应方法学的六个阶段（准备、检测、抑制、根除、恢复和跟进）为主线顺序划分章节，并对安全事件响应过程中涉及的取证流程和工具进行了简要的说明。

附件部分是关于安全攻防的具体技术内容。

正文的主要内容是：

·第一章，“准备阶段”，主要阐述了准备阶段为应急响应后续阶段工作制作系统初始化状态快照的相关内容和技术，并以Windows、Solaris系统为例对安全初始化快照生成步骤做了详细的说明，也阐述了Windows、Solaris、Oracle等系统的应急处理工具包包含的内容和制作要求做了详细的说明。

建立安全保障措施、制定安全事件应急预案，进行应急演练等内容不包含在本规范阐述的范围之内。

·第二章，“检测阶段”，详细阐述了结合准备阶段生成的系统初始化状态快照检测安全事件（系统安全事件、网络安全事件、数据库安全事件）相关内容和技术，并以Windows、Solaris系统为例做了详细的说明。

本规范不阐述通过入侵检测系统、用户投诉等其他途径检测安全事件的技术内容。

·第三章，“抑制和根除阶段”，阐述了各类安全事件（拒绝服务类攻击、系统漏洞及恶意代码类攻击、网络欺骗类攻击、网络窃听类攻击、数据库SQL注入类攻击）相应的抑制或根除方法和技术,并以Windows、Solaris系统为例做了详细的说明。

·第四章，“恢复阶段”，说明了将系统恢复到正常的任务状态的方式。

详细说明了两种恢复的方式。

一是在应急处理方案中列明所有系统变化的情况下，直接删除并恢复所有变化。

二是在应急处理方案中未列明所有系统变化的情况下，重装系统。

·第五章，“跟进阶段”，为对抑制或根除的效果进行审计，确认系统没有被再次入侵提供了帮助。

并说明了跟进阶段的工作要如何进行、在何时进行比较合适、具体的工作流程、要思考和总结的问题以及需要报告的内容。

·第六章，“取证流程和工具”，取证工作提供了可参考的工作流程，并列举了部分取证工具的使用方法。

跟进

恢复

抑制和根除

检测

准备

审计

安装、加固和系统初始化

针对事件和检测结果

系统、网络和数据库事件

系统快照、应急响应工具

文档结构图：

取证

尽管本规范和指南在写作之初就做了全局性的规划，内容的组织形式不依赖于具体的攻击情景，事件分类方法具有较完备的覆盖性，从而可在一定程度上保证文档内容的稳定性。

本规范档是以应急响应方法学为主线，突出通用的过程。

但由于安全攻击手段层出不穷，作者写作时间和水平有限，本规范和指南还需要在今后结合中国移动的实际情况不断对其进行补充和完善。

1准备阶段

主要阐述了准备阶段为应急响应后续阶段工作制作系统初始化状态快照的相关内容和技术，并以Windows、Solaris系统为例对安全初始化快照生成步骤做了详细的说明，也阐述了Windows、Solaris、Oracle等系统的应急处理工具包包含的内容和制作要求做了详细的说明。

准备阶段还应包括的建立安全保障措施、制定安全事件应急预案，进行应急演练等内容不包含在本规范阐述的范围之内，请参考中国移动相关规范。

1.1概述

1.1.1准备阶段工作内容

准备阶段的工作内容主要有两个，一是对信息系统进行初始化的快照。

二是准备应急响应工具包。

系统快照是信息系统进程、账号、服务端口和关键文件签名等状态信息的记录。

通过在系统初始化或发生重要状态改变后，在确保系统未被入侵的前提下，立即制作并保存系统快照，并在检测的时候将保存的快照与信息系统当前状态进行对比，是发现安全事件的一种重要途径。

1.1.1.1系统快照

系统快照是系统状态的精简化描述。

在确保系统未被入侵的前提下，应在以下时机由系统维护人员完成系统快照的生成和保存工作

·系统初始化安装完成后

·系统重要配置文件发生更改后

·系统进行软件升级后

·系统发生过安全入侵事件并恢复后

在今后的安全检测时，通过将最近保存的系统快照与当前系统快照进行仔细的核对，能够快速、准确的发现系统的改变或异常。

准备阶段还应包括建立安全保障措施、对系统进行安全加固，制定安全事件应急预案，进行应急演练等内容。

这些内容不在