【正文】 ..學(xué)習(xí)好幫手安全事件發(fā)生的原因，避免同類(lèi)安全事件再次發(fā)生；在需要司法機(jī)關(guān)介入時(shí)，提供法律任何的數(shù)字證據(jù)等。在規(guī)范中以安全事件應(yīng)急響應(yīng) 6 階段（PDCERF）方法學(xué)為主線介紹安全事件應(yīng)急響應(yīng)的過(guò)程和具體工作內(nèi)容。6 階段（PDCERF）方法學(xué)不是安全事件應(yīng)急響應(yīng)唯一的方法，結(jié)合中國(guó)移動(dòng)安全事件應(yīng)急響應(yīng)工作經(jīng)驗(yàn)，在實(shí)際應(yīng)急響應(yīng)過(guò)程中，也不一定嚴(yán)格存在這6 個(gè)階段，也不一定嚴(yán)格按照 6 階段的順序進(jìn)行。但它是目前適用性較強(qiáng)的應(yīng)急響應(yīng)的通用方法學(xué)。它包括準(zhǔn)備、檢測(cè)、抑制、根除、恢復(fù)和跟進(jìn) 6 個(gè)階段。6 階段方法學(xué)的簡(jiǎn)要關(guān)系見(jiàn)下圖。準(zhǔn)備階段：準(zhǔn)備階段是安全事件響應(yīng)的第一個(gè)階段，即在事件真正發(fā)生前為事件響應(yīng)做好準(zhǔn)備。這一階段極為重要，因?yàn)槭录l(fā)生時(shí)可能需要在短時(shí)間內(nèi)處理較多的事物，如果沒(méi)有足夠的準(zhǔn)備，那么將無(wú)法正確的完成響應(yīng)工作。在準(zhǔn)備階段請(qǐng)關(guān)注以下信息：? 基于威脅建立合理的安全保障措施? 建立有針對(duì)性的安全事件應(yīng)急響應(yīng)預(yù)案，并進(jìn)行應(yīng)急演練? 為安全事件應(yīng)急響應(yīng)提供足夠的資源和人員? 建立支持事件響應(yīng)活動(dòng)管理體系檢測(cè)階段：檢測(cè)是指以適當(dāng)?shù)姆椒ù_認(rèn)在系統(tǒng)/網(wǎng)絡(luò)中是否出現(xiàn)了惡意代碼、文件和目錄是否被篡改等異?；顒?dòng)/現(xiàn)象。如果可能的話同時(shí)確定它的影響范圍和問(wèn)題原因。在操作的角度來(lái)講，事件響應(yīng)過(guò)程中所有的后續(xù)階段都依賴(lài)于檢測(cè)，如果沒(méi)有檢測(cè)，就不會(huì)存在真正意義上的事件響應(yīng)。檢測(cè)階段是事件響應(yīng)的觸發(fā)條件。抑制階段：抑制階段是事件響應(yīng)的第三個(gè)階段，它的目的是限制攻擊/破壞所波及的范圍。同時(shí)也是限制潛在的損失。所有的抑制活動(dòng)都是建立在能正確檢測(cè)事件的基礎(chǔ)上，抑制活動(dòng)必須結(jié)合檢測(cè)階段發(fā)現(xiàn)的安全事件的現(xiàn)象、性質(zhì)、范圍等屬性，制定并實(shí)施正確的抑制策略。抑制策略可能包含以下內(nèi)容：? 完全關(guān)閉所有系統(tǒng)；? 從網(wǎng)絡(luò)上斷開(kāi)主機(jī)或部分網(wǎng)絡(luò)；? 修改所有的防火墻和路由器的過(guò)濾規(guī)則；? 封鎖或刪除被攻擊的登陸賬號(hào)；? 加強(qiáng)對(duì)系統(tǒng)或網(wǎng)絡(luò)行為的監(jiān)控；? 設(shè)置誘餌服務(wù)器進(jìn)一步獲取事件信息；? 關(guān)閉受攻擊系統(tǒng)或其他相關(guān)系統(tǒng)的部分服務(wù)；根除階段：安全事件應(yīng)急響應(yīng) 6 階段方法論的第 4 階段是根除階段，即在準(zhǔn)確的抑制事件后，找出事件的根源并徹底根除它，以避免攻擊者再次使用相同手段攻擊系統(tǒng)，引發(fā)安全事件。在根除階段中將需要利用到在準(zhǔn)備階段中產(chǎn)生的結(jié)果?；謴?fù)階段：將事件的根源根除后，將進(jìn)入恢復(fù)階段?；謴?fù)階段的目標(biāo)是把所有被攻破的系統(tǒng)或網(wǎng)絡(luò)設(shè)備還原到它們正常的任務(wù)狀態(tài)。跟進(jìn)階段：安全事件應(yīng)急響應(yīng) 6 階段方法論的最后一個(gè)階段是跟進(jìn)階段，其目標(biāo)是回顧并整合發(fā)生事件的相關(guān)信息。跟進(jìn)階段也是 6 個(gè)階段中最可能被忽略的階段。但這一步也是非常關(guān)鍵的。該階段需要完成的原因有以下幾點(diǎn)：? 有助于從安全事件中吸取經(jīng)驗(yàn)教訓(xùn)，提高技能；? 有助于評(píng)判應(yīng)急響應(yīng)組織的事件響應(yīng)能力；.. . . ..學(xué)習(xí)好幫手準(zhǔn)備階段/Prepairing檢測(cè)階段/Detection抑制階段/Control根除階段/Eradicate恢復(fù)階段/Restore跟進(jìn)階段/Follow安全事件應(yīng)急響應(yīng) 6 階段方法論：九、文檔內(nèi)容概述本規(guī)范的主要內(nèi)容是應(yīng)急響應(yīng)技術(shù)規(guī)范，分別對(duì)應(yīng)急響應(yīng)流程中每個(gè)環(huán)節(jié)所用到的技術(shù)進(jìn)行了闡述。整個(gè)文檔由正文和附件兩個(gè)文檔組成，其中正文部分以應(yīng)急響應(yīng)方法學(xué)的六個(gè)階段（準(zhǔn)備、檢測(cè)、抑制、根除、恢復(fù)和跟進(jìn)）為主線順序劃分章節(jié)，并對(duì)安全事件響應(yīng)過(guò)程中涉及的取證流程和工具進(jìn)行了簡(jiǎn)要的說(shuō)明。附件部分是關(guān)于安全攻防的具體技術(shù)內(nèi)容。正文的主要內(nèi)容是：? 第一章， “準(zhǔn)備階段” ，主要闡述了準(zhǔn)備階段為應(yīng)急響應(yīng)后續(xù)階段工作制作系統(tǒng)初始化狀態(tài)快照的相關(guān)內(nèi)容和技術(shù)，并以 Windows、Solaris 系統(tǒng)為例對(duì)安全初始化快照生成步驟做了詳細(xì)的說(shuō)明，也闡述了 Windows、Solaris、Oracle 等系統(tǒng)的應(yīng)急處理工具包包含的內(nèi)容和制作要求做了詳細(xì)的說(shuō)明。建立安全保障措施、制定安全事件應(yīng)急預(yù)案，進(jìn)行應(yīng)急演練等內(nèi)容不包含在本規(guī)范闡述的范圍之內(nèi)。? 第二章， “檢測(cè)階段” ，詳細(xì)闡述了結(jié)合準(zhǔn)備階段生成的系統(tǒng)初始化狀態(tài)快照檢測(cè)安全事件(系統(tǒng)安全事件、網(wǎng)絡(luò)安全事件、數(shù)據(jù)庫(kù)安全事件) 相關(guān)內(nèi)容和技術(shù)，并以Windows、Solaris 系統(tǒng)為例做了詳細(xì)的說(shuō)明。本規(guī)范不闡述通過(guò)入侵檢測(cè)系統(tǒng)、用戶投訴等其他途徑檢測(cè)安全事件的技術(shù)內(nèi)容。? 第三章， “抑制和根除階段” ，闡述了各類(lèi)安全事件(拒絕服務(wù)類(lèi)攻擊、系統(tǒng)漏洞及惡意代碼類(lèi)攻擊、網(wǎng)絡(luò)欺騙類(lèi)攻擊、網(wǎng)絡(luò)竊聽(tīng)類(lèi)攻擊、數(shù)據(jù)庫(kù) SQL 注入類(lèi)攻擊)相應(yīng)的抑制或根除方法和技術(shù), 并以 Windows、Solaris 系統(tǒng)為例做了詳細(xì)的說(shuō)明。? 第四章， “恢復(fù)階段” ，說(shuō)明了將系統(tǒng)恢復(fù)到正常的任務(wù)狀態(tài)的方式。詳細(xì)說(shuō)明了兩種恢復(fù)的方式。一是在應(yīng)急處理方案中列明所有系統(tǒng)變化的情況下，直接刪除并恢.. . . ..學(xué)習(xí)好幫手復(fù)所有變化。二是在應(yīng)急處理方案中未列明所有系統(tǒng)變化的情況下，重裝系統(tǒng)。? 第五章， “跟進(jìn)階段” ，為對(duì)抑制或根除的效果進(jìn)行審計(jì)，確認(rèn)系統(tǒng)沒(méi)有被再次入侵提供了幫助。并說(shuō)明了跟進(jìn)階段的工作要如何進(jìn)行、在何時(shí)進(jìn)行比較合適、具體的工作流程、要思考和總結(jié)的問(wèn)題以及需要報(bào)告的內(nèi)容。? 第六章， “取證流程和工具” ，取證工作提供了可參考的工作流程，并列舉了部分取證工具的使用方法。跟進(jìn)恢復(fù)抑制和根除檢測(cè)準(zhǔn)備審計(jì)安裝、加固和系統(tǒng)初始化針對(duì)事件和檢測(cè)結(jié)果系統(tǒng)、網(wǎng)絡(luò)和數(shù)據(jù)庫(kù)事件系統(tǒng)快照、應(yīng)急響應(yīng)工具文檔結(jié)構(gòu)圖：取證盡管本規(guī)范和指南在寫(xiě)作之初就做了全局性的規(guī)劃，內(nèi)容的組織形式不依賴(lài)于具體的攻擊情景，事件分類(lèi)方法具有較完備的覆蓋性，從而可在一定程度上保證文檔內(nèi)容的穩(wěn)定性。本規(guī)范檔是以應(yīng)急響應(yīng)方法學(xué)為主線，突出通用的過(guò)程。但由于安全攻擊手段層出不窮，作者寫(xiě)作時(shí)間和水平有限，本規(guī)范和指南還需要在今后結(jié)合中國(guó)移動(dòng)的實(shí)際情況不斷對(duì)其進(jìn)行補(bǔ)充和完善。.. . . ..學(xué)習(xí)好幫手1 準(zhǔn)備階段主要闡述了準(zhǔn)備階段為應(yīng)急響應(yīng)后續(xù)階段工作制作系統(tǒng)初始化狀態(tài)快照的相關(guān)內(nèi)容和技術(shù)，并以 Windows、Solaris 系統(tǒng)為例對(duì)安全初始化快照生成步驟做了詳細(xì)的說(shuō)明，也闡述了 Windows、Solaris、Oracle 等系統(tǒng)的應(yīng)急處理工具包包含的內(nèi)容和制作要求做了詳細(xì)的說(shuō)明。準(zhǔn)備階段還應(yīng)包括的建立安全保障措施、制定安全事件應(yīng)急預(yù)案，進(jìn)行應(yīng)急演練等內(nèi)容不包含在本規(guī)范闡述的范圍之內(nèi)，請(qǐng)參考中國(guó)移動(dòng)相關(guān)規(guī)范。 概述 準(zhǔn)備階段工作內(nèi)容準(zhǔn)備階段的工作內(nèi)容主要有兩個(gè)，一是對(duì)信息系統(tǒng)進(jìn)行初始化的快照。二是準(zhǔn)備應(yīng)急響應(yīng)工具包。系統(tǒng)快照是信息系統(tǒng)進(jìn)程、賬號(hào)、服務(wù)端口和關(guān)鍵文件簽名等狀態(tài)信息的記錄。通過(guò)在系統(tǒng)初始化或發(fā)生重要狀態(tài)改變后，在確保系統(tǒng)未被入侵的前提下，立即制作并保存系統(tǒng)快照，并在檢測(cè)的時(shí)候?qū)⒈４娴目煺张c信息系統(tǒng)當(dāng)前狀態(tài)進(jìn)行對(duì)比，是發(fā)現(xiàn)安全事件的一種重要途徑。 系統(tǒng)快照系統(tǒng)快照是系統(tǒng)狀態(tài)的精簡(jiǎn)化描述。在確保系統(tǒng)未被入侵的前提下，應(yīng)在以下時(shí)機(jī)由系統(tǒng)維護(hù)人員完成系統(tǒng)快照的生成和保存工作? 系統(tǒng)初始化安裝完成后? 系統(tǒng)重要配置文件發(fā)生更改后? 系統(tǒng)進(jìn)行軟件升級(jí)后? 系統(tǒng)發(fā)生過(guò)安全入侵事件并恢復(fù)后在今后的安全檢測(cè)時(shí)，通過(guò)將最近保存的系統(tǒng)快照與當(dāng)前系統(tǒng)快照進(jìn)行仔細(xì)的核對(duì)，能夠快速、準(zhǔn)確的發(fā)現(xiàn)系統(tǒng)的改變或異常。準(zhǔn)備階段還應(yīng)包括建立安全保障措施、對(duì)系統(tǒng)進(jìn)行安全加固，制定安全事件應(yīng)急預(yù)案，進(jìn)行應(yīng)急演練等內(nèi)容。這些內(nèi)容不在本規(guī)范檔中進(jìn)行詳細(xì)的闡述。主機(jī)系統(tǒng)快照，應(yīng)包括但并不限于以下內(nèi)容：? 系統(tǒng)進(jìn)程快照；? 關(guān)鍵文件簽名快照；? 開(kāi)放的對(duì)外服務(wù)端口快照；? 系統(tǒng)資源利用率的快照；? 注冊(cè)表快照；? 計(jì)劃任務(wù)快照；? 系統(tǒng)賬號(hào)快照；? 日志及審核策略快照。以上內(nèi)容中的系統(tǒng)進(jìn)程快照、關(guān)鍵文件簽名和系統(tǒng)賬號(hào)快照尤為重要，一般入侵事件.. . . ..學(xué)習(xí)好幫手均可通過(guò)此三項(xiàng)快照的關(guān)聯(lián)分析查找獲得重要信息。網(wǎng)絡(luò)設(shè)備快照應(yīng)包括但并不限于以下內(nèi)容：? 路由快照；? 設(shè)備賬號(hào)快照；? 系統(tǒng)資源利用率快照；數(shù)據(jù)庫(kù)系統(tǒng)快照照應(yīng)包括但并不限于以下內(nèi)容：? 開(kāi)啟的服務(wù)? 所有用戶及所具有的角色及權(quán)限? 概要文件? 數(shù)據(jù)庫(kù)參數(shù)? 所有初始化參數(shù) 應(yīng)急響應(yīng)工具包應(yīng)急工具包是指網(wǎng)絡(luò)與信息安全應(yīng)急事件處理過(guò)程中將使用工具集合。該工具包應(yīng)由安全技術(shù)人員及時(shí)建立，并定時(shí)更新。使用應(yīng)急響應(yīng)工具包中的工具所產(chǎn)生的結(jié)果將是網(wǎng)絡(luò)與信息安全應(yīng)急事件處理過(guò)程中的可信基礎(chǔ)。本規(guī)范結(jié)合中國(guó)移動(dòng)實(shí)際工作情況，具體說(shuō)明了 Windows 應(yīng)急響應(yīng)工具包和 Unix/Linux 應(yīng)急響應(yīng)工具包。工具包應(yīng)盡量放置在不可更改的介質(zhì)上，如只讀光盤(pán)。 準(zhǔn)備階段工作流程第一步：系統(tǒng)維護(hù)人員按照系統(tǒng)的初始化策略對(duì)系統(tǒng)進(jìn)行安裝和配置加固第二步：系統(tǒng)維護(hù)人員對(duì)安裝和配置加固后的系統(tǒng)進(jìn)行自我檢查，確認(rèn)是否加固完成第三步：系統(tǒng)維護(hù)人員建立系統(tǒng)狀態(tài)快照第四步：系統(tǒng)維護(hù)人員對(duì)快照信息進(jìn)行完整性簽名，以防止快照被非法篡改第五步：系統(tǒng)維護(hù)人員將快照保存在與系統(tǒng)分離的存儲(chǔ)介質(zhì)上.. . . ..學(xué)習(xí)好幫手對(duì)系統(tǒng)進(jìn)行安裝和配置加固自我檢查，確認(rèn)是否加固完成建立和保存系統(tǒng)狀態(tài)快照對(duì)快照進(jìn)行完整性簽名快照保存準(zhǔn)備階段流程圖： 準(zhǔn)備階段操作說(shuō)明1) 對(duì)系統(tǒng)的影響：本章操作不會(huì)對(duì)系統(tǒng)造成影響，在系統(tǒng)正常運(yùn)行情況下執(zhí)行各個(gè)步驟；2) 操作的復(fù)雜度(容易/普通/ 復(fù)雜/)：容易；3) 操作效果：對(duì)執(zhí)行后的結(jié)果必須保存到不可更改的存儲(chǔ)介質(zhì)；4) 操作人員：各操作系統(tǒng)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備的系統(tǒng)維護(hù)人員 主機(jī)和網(wǎng)絡(luò)設(shè)備安全初始化快照Windows 安全初始化快照? 生成帳號(hào)快照；? 生成進(jìn)程快照；? 生成服務(wù)快照；? 生成自啟動(dòng)快照；? 生成文件簽名快照；? 生成網(wǎng)絡(luò)連接快照；? 生成共享快照；? 生成定時(shí)作業(yè)快照；? 生成注冊(cè)表快照；? 保存所有快照到光盤(pán)內(nèi)Unix 安全初始化快照? 獲得所有 setuid 和 setgid 的文件列表；? 獲得所有的隱藏文件列表；.. . . ..學(xué)習(xí)好幫手? 獲得初始化進(jìn)程列表；? 獲得開(kāi)放的端口列表? 獲得開(kāi)放的服務(wù)列表；? 獲得初始化 passwd 文件信息；? 獲得初始化 shadow 文件信息；? 獲得初始化的不能 ftp 登陸的用戶信息；? 獲得初始化的用戶組信息；? 獲得初始化的 /etc/hosts 文件信息；? 獲得初始化的/etc/default/login 文件信息；? 獲得/var/log 目錄下的初始化文件列表信息；? 獲得/var/adm 目錄下的初始化文件列表信息；? 獲得初始化計(jì)劃任務(wù)列表文件；? 獲得初始化加載的內(nèi)核模塊列表；? 獲得初始化日志配置文件/etc/ 信息；? 獲得初始化 md5 校驗(yàn)和信息；? 保存所有快照到光盤(pán)內(nèi)。網(wǎng)絡(luò)設(shè)備安全初始化快照? 獲取用戶訪問(wèn)線路列表；? 獲取用戶權(quán)限信息列表；? 獲取開(kāi)放端口列表；? 獲取路由表；? 獲取訪問(wèn)控制列表；? 獲取路由器 CPU 狀態(tài)；? 保存所有信息到光盤(pán)內(nèi)。數(shù)據(jù)庫(kù)安全初始化快照? 獲取 Oracle 數(shù)據(jù)庫(kù)用戶信息；? 獲取 DEFAULT 概要文件信息；? 獲取數(shù)據(jù)庫(kù)參數(shù)信息；? 獲取 Oracle 其他初始化參數(shù)信息；? 保存所有信息到光盤(pán)內(nèi)。安全加固及系統(tǒng)備份 Windows 安全初始化快照獲取帳號(hào)信息：說(shuō)明：Windows 2022 Server 缺省安裝后有五個(gè)帳號(hào)，其中兩個(gè)帳號(hào)是 IIS 帳號(hào)，一個(gè)是安裝了終端服務(wù)的終端用戶帳號(hào)，如果系統(tǒng)維護(hù)人員自己創(chuàng)建了帳號(hào)，也要記錄在案。操作方法：使用 user 命令（Windows 系統(tǒng)自帶）可以列舉出系統(tǒng)當(dāng)前帳號(hào)。附加信息：Windows 2022 Server 缺省安裝后的五個(gè)帳號(hào)名稱(chēng)：Administrator：默認(rèn)系統(tǒng)維護(hù)人員帳號(hào)Guest：來(lái)賓用戶帳號(hào).. . . ..學(xué)習(xí)好幫手IUSR_機(jī)器名：IIS 來(lái)賓帳號(hào)IWAM_機(jī)器名：?jiǎn)?dòng) IIS 的進(jìn)程帳號(hào)TsInterUser：終端用戶帳號(hào)獲取進(jìn)程列表：說(shuō)明：系統(tǒng)維護(hù)人員應(yīng)在系統(tǒng)安裝配置完成后對(duì)系統(tǒng)進(jìn)程做快照。操作方法：通過(guò)