最新网络电视台安全事件应急预案.docx
《最新网络电视台安全事件应急预案.docx》由会员分享,可在线阅读,更多相关《最新网络电视台安全事件应急预案.docx(12页珍藏版)》请在冰点文库上搜索。
最新网络电视台安全事件应急预案
网络电视台重点宣传保障期
网站安全事件应急处理预案
2013-01-18
目的
本文以网络电视台互联网站系统现状出发,结合目前网络安全状况的分析,建立本预案用以处理可能发生的网络安全事件。
本预案以安全事件已发现和确认为背景,重在安全事件发生后的处理。
范围
本应急预案适用于网络电视台系统,网络电视台系统面临的主要安全风险有以下三种:
●信息篡改:
针对网络电视台服务器,XX将信息系统中的信息更换为攻击者所提供的信息而导致的信息安全事件,例如网页篡改等导致的信息安全事件。
●拒绝服务:
包括从外部发起,针对网络电视台的拒绝服务攻击,也包括网络电视台内部被非法控制的主机,作为傀儡机发起的拒绝服务。
●恶意代码攻击:
指病毒或者网络蠕虫,其表现形式为,网络电视台内主机遭受恶意代码破坏或从外网发起对网络电视台的蠕虫病毒感染。
信息篡改事件
是指XX将信息系统中的信息更换为攻击者所提供的信息而导致的信息安全事件。
1.1紧急处理措施
1、进行系统临时性恢复,迅速恢复系统被篡改的内容;
2、严格监控对系统的业务访问以及服务器系统登陆情况,确保对再次攻击的行为能进行检测;
使用事件查看器查看系统安全日志,获得当前系统正在登录帐户的信息及来源
使用事件查看器查看系统安全日志,获得系统前N次登录记录
3、将发生安全事件的设备脱网,做好安全审计及系统恢复准备;
4、在必要情况下,将遭受攻击的主机上系统日志、应用日志等导出备份,并加以分析判断。
抑制处理
1、分析日志(系统安全日志,Windows防火墙日志等),确认主机上有无异常权限用户非法登陆,并记录其IP地址、登陆时间等信息;
使用事件查看器查看系统安全日志,获得当前系统正在登录帐户的信息及来源
使用事件查看器查看系统安全日志,获得系统前N次登录记录
应用日志记录了定时作业的内容,通常在默认日志目录中一个文件里
2、分析系统目录以及搜索整盘近期被修改的和新创建的文件,查找是否存在可疑文件和后门程序;
3、分析系统服务,有无新增或者修改过的服务;检查有无可疑进程;检查有无可疑端口;
Netstat–an列出所有打开的端口及连接状态
Netstat–i只显示网络套接字的进程
任务管理器会列出系统正在运行的所有进程
4、使用第三方Rootkit检查工具(如chkrootkit)检查是否存在Rootkit性质后门程序;
5、结合上述日志审计,确定攻击者的方式、以及入侵后所获得的最大管理权限和是否对被攻击服务器留有后门程序
根除
1、部署网页防篡改软件
1.在主Web服务器上部署监控端,通过事件触发+文件驱动保护的方式,对Web服务目录提供实时保护,禁止在主服务器上对监控目录进行任何写操作。
2.在备份Web服务器上部署Server端以及控制台,将主服务器上Web服务的相关目录全部拷贝在备份Web服务器上。
所有的维护操作均在备份服务器上进行,并实时同步到主Web服务器上
3.对数据库的保护通过专门的IISSec模块进行防护。
此模块部署在主Web服务器上,主要防护数据库读取,数据交互等动态信息。
4.系统上网运行。
拒绝服务攻击
拒绝服务攻击事件是指利用信息系统缺陷、或通过暴力攻击的手段,以大量消耗信息系统的CPU、内存、磁盘空间或网络带宽等资源,从而影响信息系统正常运行为目的的信息安全事件。
拒绝服务发起时往往表现为cpu、内存、带宽等的高利用率,同时由于攻击手法和形式的多样性,造成对攻击形式攻击特征分析带来一定的难度。
当此类攻击发生后,可根据如下几种归类,确认和处理此类安全事件。
由外部发起
外部破坏者发起对网络电视台的拒绝服务攻击。
1.1.1系统漏洞类
此类攻击利用的软件或者操作系统的漏洞,比如最新公布了一个apache某一模块存在拒绝服务漏洞,当这一模块接受了一个特殊构造的数据包时,会造成apache服务停止响应。
1.1.1.1利用主机漏洞
1、如果系统服务无法正常响应,迅速切换到备用系统;
2、通过防火墙或网络设备配置访问控制列表,过滤DoS发起源的连接。
3、确认造成系统cpu、内存占用高的进程或者应用。
4、确认系统存在的漏洞,根据漏洞信息和安全建议采取相应的控制措施;安装相应的补丁修复程序,
5、修复漏洞后切换到原运行系统。
1.1.1.2利用网络设备漏洞
1、如果系统服务无法正常响应,迅速切换到备用系统;
2、利用防火墙或网络设备配置ACL,过滤DoS发起源的连接
3、确认当前IOS版本,确认此版本是否存在DOS的漏洞
4、根据漏洞信息和相应安全建议采取相应的控制措施,安装相应的补丁修复程序。
5、切换到主系统。
1.1.2网络协议类
协议类攻击是以发起大量连接或数据包为基础,造成被攻击方连接队列耗尽或cpu、内存资源的耗尽。
此类攻击为最常见。
比如:
synflood。
1、通过网络流量分析软件,确定数据包类型特征,比如利用的是udp、tcp还是icmp协议
2、在防火墙配置访问控制策略。
3、可以通过电信运营商NOC中心协调相关机构,对攻击源地址进行监控处理。
1.1.3应用类
应用类,主要是指针对web服务发起的攻击,表现在分布式的大量http请求,以耗尽web服务的最大连接数或者消耗数据库资源为目的。
比如:
对某一大页面的访问或者对某一页面的数据库搜索。
1、通过网络流量分析软件,确定数据包类型特征,
2、在防火墙或网络设备上配置访问控制策略,限制或过滤发送源地址的访问
3、可以通过电信运营商NOC中心协调相关机构,对攻击源地址进行监控处理。
由内部发起
当内部主机被入侵后,如果放置了拒绝服务攻击程序,被黑客用来对其他系统发动拒绝服务攻击。
1.1.4紧急措施
1、通过网络流量分析软件(tcpdump、sniffer等),分析数据包特征。
2、通过流量分析,确定对外发包的被控主机,条件允许将其断网隔离。
3、调整防火墙或网络设备访问控制ACL策略,严格限制该机器的对外继续发包。
1.1.5抑制处理
1、检查并确认被控主机上的恶意进程或恶意程序。
2、清除恶意进程,一般先关闭进程,然后删除其相关文件。
1.1.6根除
1、选择电信安全卫士服务中的流量清洗服务子模块。
2、重新恢复业务系统,上线运行
恶意代码
恶意代码以病毒或蠕虫最为常见。
其中蠕虫类攻击,往往影响严重。
内部
内部恶意代码,表现为网络电视台内主机或者网络上,存在恶意代码。
1.1.7紧急处理
1、通过网络流量分析软件(tcpdump、sniffer等)确定恶意代码源头,即定位到哪个机房的哪台机器
2、必要情况下切换备机,断网隔离。
3、通过在防火墙或网络设备设置访问控制策略,限制外部的访问。
1.1.8抑制处理
1、在问题主机上,确定恶意代码特征:
进程、端口等,通常以netstat–naple查看进程和端口的绑定情况,分析出异常的端口或者进程
2、清除恶意代码,一般先停止恶意进程,同时将其相关文件删除
1.1.9根除
1、部署IPS安全防护设备
在Web服务器和接入交换机之间部署入侵防护设备IPS,主动监测,实时阻断恶意攻击。
2、实现功能:
进行事前防护,最大程度减少威胁
实时阻断各种攻击行为,便于取证
开放特定端口,方便异地备份
控制备份服务器与主服务器之间通信,避免备份服务器被入侵
外部
当网络电视台外部网络遭受恶意代码(蠕虫)攻击时,此类恶意代码可能会以网络连接、邮件、文件传输等形式试图感染到网络电视台内部。
当此类攻击发生时:
1、通过网络流量分析软件(tcpdump、sniffer等),分析代码网络数据包特征,确定恶意代码利用的端口及IP
2、在防火墙设置acl规则,过滤相关的IP和端口
3、同时根据恶意代码的利用机理,在主机层面做一定防范,比如安装补丁、修改配置、做访问控制等。
附录
1.Windows应急处理参考列表
Windows应急处理主要事项
Windows系统的入侵检测方法主要包括:
检查所有相关的日志,检查相关文件,鉴定未授权的用户账号或组,寻找异常或隐藏文件,检查系统的运行的进程,检查系统开放的端口等。
可以采用手工和工具检查相结合的方式进行。
一、手工检查与审计
下面就各种检查项目做一下详细说明。
1、检查端口与网络连接
Netstat.exe是一种命令行实用工具,可以显示TCP和UDP的所有打开的端口。
如果发现的已打开的端口无法识别,则应对它们进行调查以确定在该计算机上是否需要对应的服务。
如果不需要该服务,则应禁用或删除相关的服务以防止计算机在该端口上监听。
也可以通过该命令检查有哪些相关的连接,也许恶意的连接就在这里。
方法:
Netstat–an(系统命令)(windows2003使用命令Netstat–ano可检测出端口对应的进程)
Netstat–a(系统命令)(windows2003使用命令Netstat–ao可检测出端口对应的进程)
Fport(第三方工具)
木马端口列表:
/threat-ports.htm
.ca/~rakerman/port-table.html
2、检查账户安全
服务器被入侵之后,通常会表现在系统的用户账户上,我们可以在系统日志上察看相关的信息。
除了察看事件日志外,也应该检查所有账户的信息,包括他们所属的组。
有些黑客入侵后常常将添加他们自己的账号,或者将那些偏僻的用户修改了权限,从而方便他们以后再次入侵。
方法:
可以在“计算机管理”—“用户管理”中查看系统帐号。
可以使用命令查看:
netuser;netlocalgroupadministrators;
可以cca.exe(第三方工具)检查是否有克隆帐号的存在。
3、查找恶意进程
可以通过以下工具和方法检查系统运行的进程,找出异常的进程。
方法:
任务管理器(系统工具)
Psinfo.exe(第三方工具)
Windows2000基本的系统进程如下:
smss.exeSessionManager会话管理
csrss.exe子系统服务器进程
winlogon.exe管理用户登录
services.exe包含很多系统服务
lsass.exe管理IP安全策略以及启动ISAKMP/Oakley(IKE)和IP安全驱动程序。
(系统服务)
svchost.exe包含很多系统服务
spoolsv.exe将文件加载到内存中以便迟后打印。
(系统服务)
explorer.exe资源管理器
internat.exe输入法
4、监视已安装的服务和驱动程序
许多针对计算机的攻击都是这样实现的:
攻击安装在目标计算机上的服务,或者将有效的驱动程序替换为包含特洛伊木马的驱动程序版本,以给予攻击者访问目标计算机的权限。
1、通过服务控制台查看服务。
服务MMC控制台用于监视本地计算机或远程计算机的服务,并允许管理员配置、暂停、停止、启动和重新启动所有已安装的服务。
可使用此控制台确定是否存在已配置为自动启动的服务当前未启动的情况。
2、通过注册表项查看服务和驱动程序:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
5、检查注册表的关键项:
一般来说,木马或者后门都会利用注册表来再次运行自己,所以,校验注册表来发现入侵也是常用的手法之一。
使用REGEDIT注册表编辑器可以查看注册表。
在注册表里,我们着重要查看
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion、HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\、HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\下面的子树。
特别是要查看Run,RunOnce,RunOnceEx,RunServices,和RunServicesOnce文件夹,查找是否存在异常的条目。
HKEY_LOCAL_MACHINE\SOFTWAREMicrosoft\WindowsNT\CurrentVersion\WinLogon也是需要检查的地方。
主要检查内容:
Shell项内容正常情况应该为Explorer.exe;Userinit项内容应该为C:
\WINNT\system32\userinit.exe;检查是否有增加的项目其内容包括.exe.sys.dll等各种可执行文件。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify是否有异常的项。
正常的项目主要有:
crypt32chain,cryptnet,cscdll,sclgntfy,SensLogn,wzcnotif.可能还会包括显卡、防病毒等项。
检查类似txt等文本或其它后缀映射是否正常。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions,映像劫持主要是用来调试程序。
通常此项下不应设置任何子项、值。
6、检查所有相关的日志
windows日志对于系统安全的作用是很重要的,网络管理员应该非常重视日志。
Windows的系统日志文件有应用程序日志,安全日志、系统日志等等。
可以通过“事件管理器”查看。
建议日志的文件大小不小于100M。
安全日志文件:
%systemroot%\system32\config\SecEvent.EVT
系统日志文件:
%systemroot%\system32\config\SysEvent.EVT
应用程序日志文件:
%systemroot%\system32\config\AppEvent.EVT
7、检查用户目录:
检查C:
\DocumentsandSettings\目录各用户的目录。
主要检查内容:
用户最近一次的登陆时间;检查用户目录下的文件内容;检查LocalSettings目录下的历史文件(History)、临时文件(Temp)、访问网页的临时文件(TemporaryInternetFiles)、应用数据文件(ApplicationData)等内容。
8、检查文件系统
检查C:
\、C:
\winnt、C:
\winnt\System、C:
\winnt\System32、C:
\winnt\\System32\dllcache、C:
\winnt\\System32\drivers、各个ProgramFiles目录下的内容,检查他们目录及文件的属性,若无版本说明,多为可疑文件;若某文件的建立时间异常,也可能是可疑的文件。
维护一份文件和目录的完整列表,定期地进行更新和对比,这可能会加重过度操劳的管理员的负担,但是,如果系统的状态不是经常变动的话,这是发现很多恶意行为踪迹最有效的方法。
9、环境变量
右键点击“我的电脑”-属性-选择“高级”-“环境变量”
检查内容:
temp变量的所在位置的内容;
后缀映射PATHEXT是否包含有非windows的后缀;
有没有增加其他的路径到PATH变量中;
(对用户变量和系统变量都要进行检查)
10、检查防病毒
检查防病毒系统是否正常工作、病毒库是否正常更新、是否有异常的报警。
11、检查应用
检查相关应用的日志信息:
Internet信息服务FTP日志默认位置:
%systemroot%\system32\logfiles\msftpsvc1\
Internet信息服务WWW日志默认位置:
%systemroot%\system32\logfiles\w3svc1\
DNS日志文件:
%systemroot%\system32\config
Scheduler服务日志默认位置:
%systemroot%\schedlgu.txt
Sqlserver的日志。
通过sqlserver控制台来查看。
有的管理员很可能将这些日志重定位。
其中EVENTLOG下面有很多的子表,里面可查到以上日志的定位目录。
Schedluler服务日志在注册表中的位置:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent
12、文件签名
以上工作完成后,运行sigverif对%systemroot%\system32\下的*.exe、*.dll、*.sys等文件进行校验。
二、工具检查
1、IceSword:
综合的入侵检测工具。
可检测进程、端口、网络连接、服务等项。
2、procexp.exe检查进程以及所调用的相关文件。
3、rkdetect进行后门(rootkit)检查.
4、Autoruns列出所有随系统自动运行的程序、文件和映像劫持项目。
网络电视台事故紧急处理办法
一、网站工作人员一但发现网站遭受黑客攻击或其他非正常情况须在第一时间通知网站负责人及索贝公司相关技术人员;
二、相关人员应该尽快查明事故原因,并做相应处理,恢复网站正常运行;
三、当日网站编辑、相关技术人员及事故第一时间发现人应将事故记录在案并及时向部门主管领导汇报相关事故情况。
升级会员 