网络与信息安全应急响应技术规范与指南

中国移动

网络与信息安全应急响应技术规范与指南

版本号：V1.0

中国移动通信有限责任公司

二零零四年十一月

目录

前言 (7)

一、背景 (7)

二、适用范围 (7)

三、编制依据 (7)

四、阅读对象 (7)

五、引用标准 (8)

六、缩略语 (8)

七、安全事件及分类 (8)

八、安全事件应急响应 (9)

九、文档内容概述 (11)

1准备阶段 (13)

1.1概述 (13)

1.1.1准备阶段工作内容 (13)

1.1.1.1系统快照 (13)

1.1.1.2应急响应工具包 (14)

1.1.2准备阶段工作流程 (14)

1.1.3准备阶段操作说明 (15)

1.2主机和网络设备安全初始化快照 (15)

1.2.1W INDOWS安全初始化快照 (16)

1.2.2U NIX安全初始化快照 (19)

1.2.2.1 Solaris 安全初始化快照 (19)

1.2.3网络设备安全初始化快照 (26)

1.2.3.1 路由器安全初始化快照 (26)

1.2.4数据库安全初始化快照 (27)

1.2.4.1 Oracle 安全初始化快照 (27)

1.2.5安全加固及系统备份 (32)

1.3应急响应标准工作包的准备 (32)

1.3.1W INDOWS系统应急处理工作包 (33)

1.3.1.1 系统基本命令 (33)

1.3.1.2 其它工具软件 (33)

1.3.2U NIX系统应急处理工作包 (34)

1.3.2.1系统基本命令 (34)

1.3.2.2 其它工具软件 (34)

1.3.3O RACLE 数据库应急处理工具包 (35)

2检测阶段 (36)

2.1.1检测阶段工作内容 (36)

2.1.2检测阶段工作流程 (36)

2.1.3检测阶段操作说明 (37)

2.2系统安全事件初步检测方法 (37)

2.2.1W INDOWS系统检测技术规范 (37)

2.2.1.1 Windows服务器检测技术规范 (37)

2.2.1.2 Windows检测典型案例 (39)

2.2.2U NIX系统检测技术规范 (39)

2.2.2.1 Solaris 系统检测技术规范 (39)

2.2.2.2 Unix检测典型案例 (40)

2.3系统安全事件高级检测方法 (43)

2.3.1W INDOWS系统高级检测技术规范 (43)

2.3.1.1 Windows高级检测技术规范 (43)

2.3.1.2 Windows高级检测技术案例 (44)

2.3.2U NIX系统高级检测技术规范 (45)

2.3.2.1 Solaris高级检测技术规范 (45)

2.3.2.2 Unix高级检测技术案例 (48)

2.4网络安全事件检测方法 (52)

2.4.1拒绝服务事件检测方法 (52)

2.4.1.1 利用系统漏洞的拒绝服务攻击检测方法 (52)

2.4.1.2 利用网络协议的拒绝服务攻击检测方法 (52)

2.4.2网络欺骗安全事件检测方法 (52)

2.4.2.1 DNS欺骗检测规范及案例 (52)

2.4.2.2 WEB欺骗检测规范及案例 (52)

2.4.2.3 电子邮件欺骗检测规范及案例 (53)

2.4.3网络窃听安全事件检测方法 (54)

2.4.3.1共享环境下SNIFFER检测规范及案例 (54)

2.4.3.2交换环境下SNIFFER检测规范及案例 (55)

2.4.4口令猜测安全事件检测方法 (55)

2.4.4.1 windows系统检测 (56)

2.4.4.2 UNIX系统检测 (56)

2.4.4.3 CISCO路由器检测 (56)

2.4.5网络异常流量特征检测 (57)

2.4.5.1网络异常流量分析方法 (57)

2.5数据库安全事件检测方法 (58)

2.5.1数据库常见攻击方法检测 (58)

2.5.2脚本安全事件检测 (58)

2.5.2.1 SQL注入攻击检测方法 (58)

2.5.2.2 SQL注入攻击案例 (59)

2.6事件驱动方式的安全检测方法 (59)

2.6.1日常例行检查中发现安全事件的安全检测方法 (59)

2.6.1.1特点 (59)

2.6.1.2人工检测被入侵的前兆 (59)

2.6.2事件驱动的病毒安全检测方法 (61)

2.6.2.1特点 (61)

2.6.2.2病毒检测流程 (62)

2.6.2.3防御计算机病毒措施 (63)

2.6.3事件驱动的入侵检测安全检测方法 (63)

2.6.3.1特征 (63)

2.6.3.2入侵检测系统分为网络型和主机型 (63)

2.6.3.3入侵检测流程 (64)

2.6.4事件驱动的防火墙安全检测方法 (64)

2.6.4.1特点 (64)

2.6.4.2防火墙安全检测流程 (65)

3抑制和根除阶段 (67)

3.1概述 (67)

3.1.1抑制和根除阶段工作内容 (67)

3.1.2抑制和根除阶段工作流程 (67)

3.1.3抑制和根除阶段操作说明 (68)

3.2拒绝服务类攻击抑制 (69)

3.2.1SYN和ICMP拒绝服务攻击抑制和根除 (69)

3.2.1.1 SYN（UDP）-FLOOD拒绝服务攻击抑制及根除 (69)

3.2.1.2 ICMP-FLOOD拒绝服务攻击抑制及根除 (69)

3.2.2系统漏洞拒绝服务抑制 (70)

3.2.2.1 WIN系统漏洞拒绝服务攻击抑制及根除 (70)

3.2.2.2 UNIX系统漏洞拒绝服务攻击抑制及根除 (70)

3.2.3.3 网络设备IOS系统漏洞拒绝服务攻击抑制 (71)

3.3利用系统漏洞类攻击抑制 (71)

3.3.1系统配置漏洞类攻击抑制 (71)

3.3.1.1简单口令攻击类抑制 (71)

3.3.1.2简单口令攻击类根除 (71)

3.3.2系统程序漏洞类攻击抑制 (72)

3.3.2.1缓冲溢出攻击类抑制 (72)

3.3.2.2缓冲溢出攻击类根除 (72)

3.4网络欺骗类攻击抑制与根除 (73)

3.4.1DNS欺骗攻击抑制与根除 (73)

3.4.2电子邮件欺骗攻击抑制与根除 (73)

3.4.2.1电子邮件欺骗攻击抑制 (73)

3.4.2.2电子邮件欺骗攻击根除 (74)

3.5网络窃听类攻击抑制及根除 (74)

3.5.1共享环境下SNIFFER攻击抑制及根除 (74)

3.5.1.1共享环境下SNIFFER攻击抑制及根除 (74)

3.5.2交换环境下SNIFFER攻击抑制 (75)

3.5.2.1交换环境下SNIFFER攻击抑制 (75)