信息系统安全事件响应
第5章信息系统安全事件响应“智者千虑,必有一失”。尽管已经为信息系统的防护开发了许多技术,但是很难没有一点疏漏,何况入侵者也是一些技术高手。系统遭受到一次入侵,就面临一次灾难。这些影响信息系统安全的不正当行为,就称为事件。事件响应,就是事件发生后所采取的措施和行动。信息系统的脆弱,加上入侵技术的不断进化,使得入侵不可避免。因此,遭受灾难后,的系统恢复就成为一个与防火墙技术、入侵检测技术等同样重要的技术。
5.1应急响应1988年,莫里斯蠕虫迅雷不及掩耳之势肆虐互联网,招致上千台计算机系统的崩溃,造成了以千万美元计的损失。这突如其来的灾难,给人们敲响了警钟:面队人类对信息系统以来程度不断增强,对付入侵不仅需要防御,还要能够在事件发生后进行紧急处理和援助。1989年,在美国国防部的资助下,CERT(ComputerEmergencyTeam,计算机紧急响应组)/CC(CallCenter)成立。从此紧急响应被摆到了人们的议事桌上。CERT成立以后,做了大量工作。但最大的成就是使紧急响应为人们普遍接受。一般说来,每个使用信息系统的组织都应当有一套紧急响应的机制。这个机制包括两个环节:·应急响应组织;·紧急预案。
5.1.1应急响应组织应急响应组织的主要工作有:·安全事件与软件安全缺陷分析研究;·安全知识库(包括漏洞知识、入侵检测等)开发与管理;·安全管理和应急知识的教育与培训;·发布安全信息(如系统漏洞与补丁,病毒警告等);·安全事件紧急处理。应急响应组织包括应急保障领导小组和应急技术保障小组。领导小组的主要职责是领导与协调突发事件与自然灾害的应急处理。应急技术保障小组主好看的异界小说
要解决安全事件的技术问题,如物理实体和环境安全技术、网络通信技术、系统平台技术、应用系统技术等。
5.1.2紧急预案1.紧急预案及基本内容应急预案是指根据不同的突发紧急事件类型和以外情形,预先制定的处理方案。应急预案一般要包括如下内容:执行紧急预案的人员(姓名、住址、电话号码以及有关职能部门的联系方法);系统紧急事件类型及处理措施的详细说明;应急处理的具体步骤和操作顺序。
2.常见安全事件紧急预案要根据安全事件的类型进行对应的处理。下面提供一些常见的安全事件类型供参考:物理实体及环境类安全事件,如意外停电、物理设备丢失、火灾、水灾等。网络通信类安全事件:如网络蠕虫侵害等。主机系统类安全事件,如计算机病毒、口令丢失等;应用系统类安全事件,如客护信息丢失等。
3.安全事件处理的基本流
中元节不能做的事禁忌程(1)安全事件报警值班人员发现紧急情况,要及时报告。报告要对安全事件进行准确描述并作书面记录。按照安全事件的类型,安全事件呈报条例应依次报告:一、值班人员,二、应急工作组长,三、应急领导小组。如果想进行任何类型的跟踪调查或者起诉入侵者,应先跟管理人员和法律顾问商量,然后通知有关执法机构。一定要记住,除非执法部门的参与,否则对入侵者进行的一切跟踪都可
能是非法的。同时,还应通知有关人员,交换相关信息,必要时可以获得援助;
安全事件处理的基本流程(续)(2)安全事件确认确定安全事件的类型,以便启动相应的预案。(3)启动紧急预案(a)首先要能够到紧急预案。(b)保护现场证据(如系统事件、处理者采取的行动、与外界的沟通等),避免灾害扩大;
安全事件处理的基本流程(续)(4)恢复系统(a)安装干净的操作系统版本。建议使用干净的备份程序备份整个系统,然后重装系统。(b)取消不必要的服务。只配置系统要提供的服务,取消那些没有必要的服务。检查并确信其配置文件没有脆弱性以及该服务是否可靠。(c)安装供应商提供的所有补丁。建议安装所有的安全补丁,使系统能够抵御外来攻击,不被再次侵入,这是最重要的一步。(d)查阅CERT的安全建议、安全总结和供应商的安全提示·CERT安全建议:/advisories/·CERT安全总结:/advisories/·供应商安全提示:ftp:///pub/cert_bulletins/(e)谨慎使用备份数据。在从备份中恢复数据时,要确信备份主机没有被侵入。一定要记住,恢复过程可能会重新带来安全缺陷,被入侵者利用。例如恢复用户的home目录以及数据文件中,以及用户起始目录下的.rhost文件中,也许藏有特洛伊木马程序。(f)改变密码。在弥补了安全漏洞或者解决了配置问题以后,建议改变系统中所有账户的密码。
安全事件处理的基本流程(续)(5)加强系统和网络的安全(a)根据CERT的UNIX/NT配置指南检
查系统的安全性。CERT的UNIX/NT配置指南可以帮助你检查系统中容易被入侵者利用的配置问题。/tech_tips/unix_configuration_guidelines.html/tech_tips/win_configuration_guidelines.html查阅安全工具文档可以参考/tech_tips/security_tools.html(b)安装安全工具。在将系统连接到网络上之前,一定要安装所有选择的安全工具。同时,最好使用Tripwire、aide等工具对系统文件进行MD5校验,把校验码放到安全的地方,以便以后对系统进行检查。(c)打开日志。启动日志(logging)/检查(auditing)/记账(accounting)程序,将它们设置
到准确的级别,例如sendmail日志应该是9级或者更高。要经常备份日志文件,或者将日志写到另外的机器、一个只能增加的文件系统或者一个安全的日志主机。(d)配置防火墙对网络进行防御。可以参考:/tech_tips/packet_filtering.html(e)重新连接到Internet。全完成以上步骤以后,就可以把系统连接回Internet了。应当注意,安全事件处理工作复杂,责任重大,至少应有两人参加。
安全事件处理的基本流程(续)(6)应急工作总结召开会议,分析问题和解决方法,参考ftp://ftp.isi.edu/(a)总结教训。从记录中总结出对于这起事故的教训,这有助于你检讨自己的安全策略。(b)计算事件的代价。计算事件代价有助于让组织认识到安全的重要性。(c)改进安全策略。
安全事件处理的基本流程(续)(7)撰写安全事件报告安全事件报告的内容包括:·安全事件发生的日期、时间;·安全事件处理参加的人员;·事件发现的途径;·事件类型;·事件涉及范围;·现场记录;·事件导致的损失和影响;·事件处理过程·使用的技术和工具;·经验和教训。
you raise me up中文歌词5.1.3灾难恢复灾难恢复是安全事件应急预案中特别重要的部分。从发现入侵的那刻起就围绕它进行,并且应当包括如下几项内容:与高层管理人员协商;夺回系统控制权;入侵评估:分析入侵途径,检查入侵对系统的损害;清除入侵者留下的后门;恢复系统。数据库恢复
1.与高层人员协商系统恢复的步骤应当符合组织的安全预案。如果安全预案中没有描述,应当与管理人员协商,以便能从更高角度进行判断,并得到更多部门的支持和配合。2.夺回系统控制权为了夺回对被入侵系统的控制权,需要将入侵其从网络上断开,包括播号连接。如果在恢复过程中,没有断开被侵入系统和网络的连接,入侵者就可能破坏所进行恢复工作。进行系统恢复也会丢失一些有用信息,如入侵者正在使用的扫描程序或监听进程。因此想要继续追踪入侵者时,可以不采取这样的措施,以免被入侵者发现。但是,也要采取其他一些措施,避免入侵蔓延。文职工作
3.复制一份被侵入系统的映像在进行入侵分析之前,最好对被入侵系统进行备份(如使用UNIX命令dd)。这个备份在恢复失败是非常有用。4.入侵评估入侵评估包括入侵风险评估、入侵路径分析、入侵类型确定和入侵涉及范围调查。下面介绍围绕这些工作进行的调查工作。(1)详细审查系统日志文交通事故理赔
件和显示器输出,检查异常现象。(2)入侵者遗留物分析。包括·检查入侵者对系统文件和配置文件的修改;·检查被修改的数据·检查入侵者留下的工具和数据
·检查网络监听工具(3)其他,如网络的周遍环境和涉及的远程站点。
5.清除后门后门是入侵者为下次攻击打下的埋伏,包括修改了的配置文件、系统木马程序、修改了的系统内核等。6.记录恢复过程中所有的步骤毫不夸张地讲,记录恢复过程中采取的每一步措施,是非常重要的。恢复一个被侵入的系统是一件很麻烦的事,要耗费大量的时间,因此经常会使人作出一些草率的决定。记录自己所做的每一步可以帮助你避免作出草率的决定,还可以留作以后的参考,也还可能对法律调查提供帮助。
7.系统恢复各种安全事件预案的执行都是为了使系统在事故后得以迅速恢复。对于服务器和数据库等系统特别重要设备,则需要单独订立紧急恢复预案。(1)服务器的恢复一旦服务器因故障完全停止运行,常规的恢复方法是在一个新的硬件平台上重建。步骤如下:a)安装服务器操作系统;b)安装所有需要的驱动程序;c)安装所有需要的服务软件包;d)安装所有需要的流行修补程序和安全修补程序;e)安装备份软件;f)安装备份软件需要的修补程序;g)恢复最后一次完全备份磁带;h)恢复所有增量备份或差异备份磁带。显然,用手工进行服务器的恢复是非常麻烦的。如果能设计一种专门的软件包,可以生成存有服务器镜像文件的启动盘,来恢复服务器,就便利多了。
7.系统恢复(2)数据库系统的恢复数据库恢复的目的是在足够备份的基础上,使数据库尽快恢复到正常。其中包括:a)数据文件恢复:把备份文件恢复到原来位置。b)控制文件恢复:控制文件受损时,要将其恢复到原位重新启动。c)文件系统恢复:在大型操作系统中,可能会因介质受损,导致文件系统被破坏。其恢复步骤为:·将介质重新初始化;·重新创建文件系统;·利用备份完整地恢复数据库中的数据;·启动数据库系统。
5.2数据容错、数据容灾和数据备份信息系统是脆弱的,它的可靠性不断遭受者威胁。为了保证系统的可靠性,经过长期摸索,人们总结出了三条途径:避错、纠错和容错。避错是完善设计和制造,试图构造一个不会发生故障的系统。但是,这是不太现实的。任何一个系统总会有纰漏。因此,人们不得不用纠错作为避错的补充。一旦系统出现故障,可以通过检测和核实来消除,在进行系统的恢复。容错是第三条途径。其基本思想是,即使出现错误,系统也还能执行一组规定的程序。或者说,程序不会因为系统中的故障而中断或被修改,并且故障也不引起执行结果的差错。或者简单地说,容错就是系统可以抵抗错误的能力。容灾是针对灾害而言的。
灾害对系统危害要比错误要大、要严重。从保护数据的安全性出发,数据备份是数据容错、数据容灾以及数据恢复的重要保障。
5.2.1数据容错系统与基本技术1.容错系统分类根据容错系统的应用环境,可以将容错系统分为如下5种
类型。(1)高可用度系统可用度用系统在某时刻可以运行的概率衡量。高可用度系统面向通用计算机系统,用于执行各种无法预测的用户程序,主要面向商业市场。(2)长寿命系统长寿命系统在其生命期中不能进行人工维修,常用于航天系统中。它实际上也是一种容灾系统。(3)延迟维修系统这也是一种容灾系统,用于航空等在一定阶段不能进行维修的场合。(4)高性能系统这类系统对于故障(瞬时或永久)都非常敏感,应当具有瞬时故障的自动恢复能力,并增加平均无故障时间。(5)关键任务系统这类系统出错可能危机人的生命或造成重大经济损失,要求处理正确无误,而且故障恢复时间要最短。
2.常用数据容错技术(1)“空闲”设备“空闲”设备也称双件热备,就是配置两套相同的部件。在正常状态下,一个运行,另一个空闲。当正常运行的部件出现故障时,原来空闲的一台立即替补。(2)镜像镜像是把一份工作交给两个相同的部件同时执行。这样在一个部件出现故障时,另一个部件继续工作。(3)复现复现也称延迟镜像。复现与镜像一样需要两个系统,但是它把一个称为原系统,一个称为辅助系统;辅助系统从原系统中接收数据。与原系统中的数据相比,辅助系统的数据接收存在一定延迟。当原系统出现故障时,辅助系统只能在接近故障点的地方开始工作。与镜像相比,复现同一时间只需管理一套设备。(4)负载均衡负载均衡就是将一个任务分解成多个子任务,分配给不同的服务器执行,通过减少每个部件的工作量,增加系统的稳定性。
5.2.2数据容灾系统与基本技术真正的数据容灾就是要能在灾难发生时,全面、及时地恢复整个系统。
在系统遭受灾害时,使系统还能工作或尽快恢复工作的最基础的工作是数据备份。不论任何一个容灾系统,没有备份的数据,任何容灾方案都没有现实意义。
1.数据容灾等级从技术上看,衡量数据容灾系统有两个主要指标:RPO(RecoveryPointObject)和RTO(RecoveryTimeObject),其中RPO代表了当灾难发生时允许丢失的数据量;而RTO则代表了系统恢复的时间。设计一个容灾备份系统,需要考虑多方面的因素,如备份/恢复数据量大小、应用数据中心和备援数据中心之间的距离和数据传输方式、灾难发生时所要求的恢复速度、备援中心的管理及投入资金

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。