网络安全应急管理与技术实践"
本书共分为 3 篇。第 1 篇从网络安全应急响应的基本理论出发,结合多年从事安全管理、
应急服务等工作的理论与实践经验,针对新时代应急服务人员所应掌握的相关法律法规、规
章制度与规范基线,进行了归纳总结。第 2 篇以网络安全应急技术与实践为主,沿着黑客的
入侵路线,详细讲解了黑客主要的入侵方法与攻击手段,同时,我们也从安全管理员角度出
发,详细讲解了如何分析入侵痕迹、检查系统薄弱点、预防黑客入侵,重点突出如何开展应
急自查与应急响应演练。第 3 篇从网络安全应急响应体系建设出发,阐述应急响应体系建立、
应急预案的编写与演练以及 PDCERF 应急响应方法。
本书突出应急响应的实用性、技术实践性、案例分析和场景过程重现,书中融入了大量
应急响应事件案例、分析、技术重现、文档模板,是一本从工作中来到工作中去的实操、实
用类图书。本书适合作为大中型企业网络安全专业人员工作用书;同时也是信息安全保障人
员认证(CISAW)应急管理与服务方向认证考试培训的指定教材;也适合作为中职、高职
和应用型本科的信息安全教材;同样也可作为有志从事网络与信息安全工作的广大从业者和
爱好者的参考用书。
“工业互联网”的概念最早是由美国通用电气公司(GE)于2012 年提出的,随后其联合AT&T、思科(Cisco)、IBM 和英特尔(intel)4 家IT 巨头组建了工业互联网联盟(IIC),并将这一概念大力推广开来。“工业互联网”的主要目的是使现实世界中的机器、设备和网络能在更深层次与信息世界的大数据和分析连接在一起,带动工业革命和网络革命两大革命性转变。在新一轮科技革命和产业变革浪潮下,工业产业发展必然呈现出智能化、网络化和服务化趋势,工业互联网是工业技术变更发展的必然趋势。
随着信息技术的应用和发展,网络深入到大众生活、国计民生的每一个领域。网络安全事件关系着人民群众的切身利益,影响着社会经济的稳定运行。
本书围绕应急响应的具体流程与实践操作,带领读者深入浅出地了解与掌握应急处置工作,让读者从企业的具体需求与实践出发,为开展应急防护工作打下坚实的基础。
本书共分为3 篇。
第1 篇(第1~4 章)从网络安全应急响应的基本理论出发,让应急人员了解国家相关法律法规,使一切应急行为依法而动。同时,我们结合多年从事安全管理、应急服务等工作的理论与实践经验,针对新时代应急服务人员所应掌握的相关法律法规、规章制度与规范基线,进行了归纳总结,对其中重点条款提出了自己的理解,并以“接地气”的短句进行提炼,具有很强的实用性和可读性。本篇包括网络安全应急响应的概念与历史背景、网络安全应急响应相关的法律法规、网络安全等级保护2.0 中的应急响应、网络安全应急响应组织与相关标准、网络安全事件分级分类。
第2 篇(第5~10 章)以网络安全应急技术与实践为主,沿着黑客的入侵路线,详细讲解了黑客主要的入侵方法与攻击手段,同时,我们也从安全管理员角度出发,详细讲解了如何分析入侵痕迹、检查系统薄弱点、预防黑客入侵,重点突出如何开展应急自查与应急响应演练。本篇网络安全应急技术与实践在模拟环境中进行过程重现,包括黑客入侵技术、网络安全应急响应自查技术、网络层安全防御与应急响应演练、Web 层攻击分析与应急响应演练、主机层安全应急响应演练、数据库层安全应急响应演练。
第3 篇(第11~13 章)从网络安全应急响应体系建设出发,阐述应急响应体系建立、应急预案的编写与演练以及PCERF 应急响应方法,其中包含大量企业实践内容,引用了大量企业应急响应体系建设的实际案例,帮助读者了解如何建立有效且符合法律法规的网络安全应急响应体系。
本书作为信息安全保障人员认证(Certified Information Security AssuranceWorker,CISAW)应急管理与服务认证培训考试指定教材,认证培训过程中将提供“红黑演义攻防演练平台”Internet 接入实践练习服务、专家精讲视频以及活泼生动的动画故事讲解视频。
作 者
第1 篇 网络安全应急管理
第1 章 概论 ................................................................................................. 2
1.1 网络安全应急响应的概念 ......................................................................... 2
1.2 网络安全应急响应的历史背景 ................................................................. 3
1.3 网络安全应急响应的政策依据 ................................................................. 3
1.3.1 《网络安全法》关于应急处置和监测预警的规定 ..................... 4
1.3.2 《突发事件应对法》关于应急响应的规定 ................................. 6
1.3.3 《数据安全法》关于应急响应的要求 ......................................... 6
1.3.4 《个人信息保护法》关于应急响应的要求 ................................. 7
第2 章 网络安全等级保护2.0 中的应急响应 ............................................... 9
2.1 网络安全等级保护概述 ............................................................................. 9
2.2 网络安全等级保护中事件处置及应急响应的要求与合规指引 ........... 10
第3 章 网络安全应急响应组织与相关标准 ................................................ 16
3.1 国际网络安全应急响应组织介绍 ........................................................... 16
3.2 网络安全应急响应标准 ........................................................................... 19
3.3 《国家网络安全事件应急预案》概述 ................................................... 20
第4 章 网络安全事件分级分类 .................................................................. 21
4.1 信息安全事件分级分类 ........................................................................... 21
4.2 网络安全事件分级 ................................................................................... 22
4.3 网络和信息系统损失程度划分 ............................................................... 23
第2 篇 网络安全应急技术与实践
第5 章 黑客入侵技术 ................................................................................. 26
5.1 入侵前奏分析 ........................................................................................... 26
5.1.1 whois 查询 .................................................................................... 26
5.1.2 DNS 解析查询 ............................................................................. 26
5.1.3 默认404 页面信息泄漏 .............................................................. 27
5.1.4 HTTP 状态码 ............................................................................... 28
5.1.5 端口扫描 ...................................................................................... 30
5.1.6 社会工程学 .................................................................................. 32
5.1.7 知识链条扩展 .............................................................................. 32
5.2 Web 入侵事件 .......................................................................................... 33
5.2.1 自动化漏洞挖掘 .......................................................................... 33
5.2.2 旁站入侵 ...................................................................................... 33
5.2.3 ARP 欺骗...................................................................................... 34
5.2.4 钓鱼邮件 ...................................................................................... 34
5.2.5 DNS 劫持 ..................................................................................... 35
5.3 主机入侵事件 ........................................................................................... 35
5.4 数据库入侵事件 ....................................................................................... 36
5.5 拒绝服务攻击事件 ................................................................................... 37
第6 章 网络安全应急响应自查技术 ........................................................... 38
6.1 网络安全应急响应关键流程自查 ........................................................... 38
6.2 网络安全应急响应关键技术点自查 ....................................................... 39
6.2.1 账号管理自查 .............................................................................. 39
6.2.2 口令管理自查 .............................................................................. 40
6.2.3 病毒木马自查 .............................................................................. 40
6.2.4 日志审计自查 .............................................................................. 41
6.2.5 远程接入、接入认证自查 .......................................................... 42
6.2.6 网络互联、安全域管理自查 ...................................................... 42
6.2.7 信息资产清理自查 ...................................................................... 43
6.2.8 安全验收自查 .............................................................................. 43
6.3 物理安全自查 ........................................................................................... 44
6.3.1 物理位置选择 .............................................................................. 44
6.3.2 物理访问控制 .............................................................................. 45
6.3.3 防盗窃和防破坏 .......................................................................... 45
6.3.4 防雷击 .......................................................................................... 46
6.3.5 防火 .............................................................................................. 46
6.3.6 防水和防潮 .................................................................................. 47
6.3.7 防静电 .......................................................................................... 47
6.3.8 温湿度控制 .................................................................................. 47
6.3.9 电力供应 ...................................................................................... 48
6.3.10 电磁防护 .................................................................................... 48
第7 章 网络层安全防御与应急响应演练 .................................................... 50
7.1 网络架构安全防御措施检查 ................................................................... 50
7.1.1 网络架构安全 .............................................................................. 50
7.1.2 访问控制 ...................................................................................... 51
7.1.3 安全审计 ...................................................................................... 52
7.1.4 安全区域边界 .............................................................................. 53
7.1.5 入侵防范 ...................................................................................... 53
7.1.6 恶意代码防范 .............................................................................. 54
7.2 网络设备安全防御检查 ........................................................................... 54
7.2.1 访问控制 ...................................................................................... 54
7.2.2 安全审计 ...................................................................................... 55
7.2.3 网络设备防护 .............................................................................. 56
7.3 网络层攻击分析与应急响应演练 ........................................................... 57
7.3.1 网络层DDoS 攻击的防御方法 .................................................. 57
7.3.2 网络抓包重现与分析 .................................................................. 59
7.3.3 分析数据包寻找发起网络扫描的IP .......................................... 61
7.3.4 通过TCP 三次握手判断端口开放情况 ..................................... 62
7.3.5 无线ARP 欺骗与消息监听重现分析 ......................................... 65
7.3.6 使用Wireshark 进行无线监听重现分析 .................................... 69
第8 章 Web 层攻击分析与应急响应演练 ................................................... 75
8.1 SQL 注入攻击分析与应急演练 .............................................................. 75
8.1.1 SQL 注入漏洞挖掘与利用过程分析 .......................................... 76
8.1.2 利用注入漏洞植入木马过程分析............................................... 81
8.1.3 后门账号添加过程分析 .............................................................. 85
8.1.4 反弹后门添加过程分析 .............................................................. 87
8.1.5 入侵排查与应急处置 .................................................................. 88
8.1.6 SQL 注入漏洞应急处置 .............................................................. 91
8.2 XSS 高级钓鱼手段分析与应急处置 ....................................................... 92
8.2.1 利用XSS 漏洞的钓鱼攻击 ......................................................... 92
8.2.2 高级钓鱼攻防 .............................................................................. 94
8.2.3 高级钓鱼手法分析 ...................................................................... 96
8.2.4 XSS 漏洞应急处置 ...................................................................... 96
8.3 CSRF 攻击分析与应急处置 .................................................................... 97
8.3.1 攻击脚本准备 .............................................................................. 98
8.3.2 添加恶意留言 .............................................................................. 98
8.3.3 一句话木马自动添加成功 ........................................................ 100
8.3.4 CSRF 漏洞检测与应急处置 ...................................................... 101
8.4 文件上传漏洞的利用与应急处置 ......................................................... 103
8.4.1 文件上传漏洞原理 .................................................................... 103
8.4.2 利用文件上传漏洞进行木马上传............................................. 103
8.4.3 文件上传漏洞的应急处置 ........................................................ 107
8.5 Web 安全事件应急响应技术总结 ......................................................... 108
8.5.1 Web 应用入侵检测 .................................................................... 108
8.5.2 Web 日志分析 ............................................................................ 112
8.5.3 Apache 日志分析 ....................................................................... 119
8.5.4 IIS 日志分析 .............................................................................. 121
8.5.5 其他服务器日志 ........................................................................ 123
第9 章 主机层安全应急响应演练 ............................................................. 124
9.1 Windows 木马后门植入 ......................................................................... 124
9.2 Linux 系统木马后门植入 ...................................................................... 129
9.2.1 新增超级用户账户 .................................................................... 130
9.2.2 破解用户密码 ............................................................................ 131
9.2.3 SUID Shell .................................................................................. 131
9.2.4 文件系统后门 ............................................................................ 133
9.2.5 Crond 定时任务 ......................................................................... 133
9.3 后门植入监测与防范 ............................................................................. 134
9.3.1 后门监测 .................................................................................... 134
9.3.2 后门防范 .................................................................................... 134
9.4 主机日志分析 ......................................................................................... 135
9.4.1 Windows 日志分析 .................................................................... 135
9.4.2 Linux 日志分析 .......................................................................... 147
9.5 Windows 检查演练 ................................................................................. 151
9.5.1 身份鉴别 .................................................................................... 151
9.5.2 访问控制 .................................................................................... 152
9.5.3 安全审计 .................................................................................... 153
9.5.4 剩余信息保护 ............................................................................ 154
9.5.5 入侵防范 .................................................................................... 155
9.5.6 恶意代码防范 ............................................................................ 155
9.5.7 资源控制 .................................................................................... 156
9.5.8 软件安装限制 ............................................................................ 157
9.6 Linux 检查演练 ...................................................................................... 157
9.6.1 身份鉴别 .................................................................................... 157
9.6.2 访问控制 .................................................................................... 158
9.6.3 安全审计 .................................................................................... 159
9.6.4 入侵防范 .................................................................................... 160
9.6.5 资源控制 .................................................................................... 160
9.7 Tomcat 检查演练 .................................................................................... 161
9.7.1 访问控制 .................................................................................... 161
9.7.2 安全审计 .................................................................................... 162
9.7.3 资源控制 .................................................................................... 162
9.7.4 入侵防范 .................................................................................... 162
9.8 WebLogic 检查演练 ............................................................................... 163
9.8.1 安全审计 .................................................................................... 164
9.8.2 访问控制 .................................................................................... 164
9.8.3 资源控制 .................................................................................... 164
9.8.4 入侵防范 .................................................................................... 165
第10 章 数据库层安全应急响应演练 ....................................................... 166
10.1 MySQL 数据库程序漏洞利用 ............................................................. 166
10.1.1 信息收集 .................................................................................. 166
10.1.2 后台登录爆破 .......................................................................... 168
10.1.3 寻找程序漏洞 .......................................................................... 174
10.1.4 SQL 注入攻击拖库 .................................................................. 175
10.2 MySQL 数据库安全配置 ..................................................................... 177
10.2.1 修改root 口令并修改默认配置 .............................................. 177
10.2.2 使用其他独立用户运行MySQL ............................................ 178
10.2.3 禁止远程连接数据库并限制连接用户 ................................... 179
10.2.4 MySQL 服务器权限控制 ........................................................ 180
10.2.5 数据库备份策略 ...................................................................... 183
10.3 Oracle 攻击重现与分析 ....................................................................... 184
10.3.1 探测Oracle 端口 ...................................................................... 184
10.3.2 EM 控制台口令爆破 ............................................................... 185
10.3.3 Oracle 数据窃取 ....................................................................... 187
10.4 Oracle 主机检查演练 ........................................................................... 188
10.4.1 身份鉴别 .................................................................................. 188
10.4.2 访问控制 .................................................................................. 189
10.4.3 安全审计 .................................................................................. 189
10.4.4 剩余信息保护 .......................................................................... 190
10.4.5 入侵防范 .................................................................................. 190
第3 篇 网络安全应急响应体系建设
第11 章 应急响应体系建立 ...................................................................... 192
11.1 体系设计原则 ....................................................................................... 193
11.2 体系建设实施 ....................................................................................... 193
11.2.1 责任体系构建 .......................................................................... 194
11.2.2 业务风险评估与影响分析 ....................................................... 195
11.2.3 监测与预警体系建设 ............................................................... 196
11.2.4 应急预案的制定与维护 ........................................................... 198
11.2.5 应急处理流程的建立 ............................................................... 199
11.2.6 应急工具的准备....................................................................... 199
第12 章 应急预案的编写与演练 .............................................................. 201
12.1 应急响应预案的编制 ........................................................................... 201
12.1.1 总则 .......................................................................................... 202
12.1.2 角色及职责 .............................................................................. 203
12.1.3 预防和预警机制 ...................................................................... 204
12.1.4 应急响应流程 .......................................................................... 204
12.1.5 应急响应保障措施 .................................................................. 208
12.1.6 附件 .......................................................................................... 209
12.2 应急预案演练 ....................................................................................... 211
12.2.1 应急演练形式 .......................................................................... 211
12.2.2 应急演练规划 .......................................................................... 212
12.2.3 应急演练计划阶段 .................................................................. 212
12.2.4 网络安全事件应急演练准备阶段 ........................................... 214
12.2.5 网络安全事件应急演练实施阶段 ........................................... 218
12.2.6 网络安全事件应急演练评估与总结阶段 ............................... 219
第13 章 PDCERF 应急响应方法 ............................................................. 221
13.1 准备阶段 ............................................................................................... 222
13.1.1 组建应急小组 .......................................................................... 222
13.1.2 制定应急响应制度规范 .......................................................... 224
13.1.3 编制应急预案 .......................................................................... 225
13.1.4 培训演练 .................................................................................. 225
13.2 检测阶段 ............................................................................................... 225
13.2.1 信息通报 .................................................................................. 225
13.2.2 确定事件类别与事件等级 ...................................................... 226
13.2.3 应急启动 .................................................................................. 227
13.3 抑制阶段 ............................................................................................... 227
13.3.1 抑制方法确定 .......................................................................... 227
13.3.2 抑制方法认可 .......................................................................... 227
13.3.3 抑制实施 .................................................................................. 228
13.4 根除阶段 ............................................................................................... 228
13.4.1 根除方法确定 .......................................................................... 228
13.4.2 根除实施 .................................................................................. 229
13.5 恢复阶段 ............................................................................................... 229
13.5.1 恢复方法确定 .......................................................................... 229
13.5.2 实施恢复操作 .......................................................................... 230
13.6 跟踪阶段 ............................................................................................... 230
参考文献 .................................................................................................... 231
" 本书围绕应急响应的具体流程与实践操作,带领读者深入浅出地了解与掌握应
急处置工作,让读者从企业的具体需求与实践出发,为开展应急防护工作打下
坚实的基础。
本书共分为 3 篇。
第 1 篇(第 1~4 章)从网络安全应急响应的基本理论出发,让应急人员了
解国家相关法律法规,使一切应急行为依法而动。
第2 篇(第 5~10 章)以网络安全应急技术与实践为主,沿着黑客的入侵
路线,详细讲解了黑客主要的入侵方法与攻击手段,同时,我们也从安全管理
员角度出发,详细讲解了如何分析入侵痕迹、检查系统薄弱点、预防黑客入侵,
重点突出如何开展应急自查与应急响应演练。
3 篇(第 11~13 章)从网络安全应急响应体系建设出发,阐述应急响应
体系建立、应急预案的编写与演练以及 PCERF 应急响应方法,其中包含大量
企业实践内容,引用了大量企业应急响应体系建设的实际案例,帮助读者了解
如何建立有效且符合法律法规的网络安全应急响应体系。
本书作为信息安全保障人员认证(Certified Information Security Assurance
Worker,CISAW)应急管理与服务认证培训考试指定教材。"
"曹雅斌,长期从事质量管理、认证认可和标准化工作,负责质量安全管理和认证认可领域的政策法规、制度体系研究建立以及测评认证的组织实施工作。现任职于中国网络安全审查技术与认证中心,负责网络信息安全人员培训与认证工作。参加制定多个认证认可国家标准,发表了多篇技术性贸易措施相关论文,编著出版了《世界贸易组织和技术性贸易措施》《网络安全应急响应》《信息安全风险管理与实践》等著作。
尤其,长期从事网络与数据安全认证认可和人员培训工作。《信息技术安全技术 信息安全管理体系 要求》(ISO/IEC 27001)、《信息技术 安全技术 信息安全管理体系控制实践指南》(ISO/IEC 27002)、《公共安全业务连续性管理体系 要求》(ISO 22301)、《公共安全业务连续性管理系 指南》(ISO 22313)等多项国家标准、行业标准主要起草人之一。出版多部信息安全管理体系专著。国际标准化组织 ISO/IEC SC27/WG1(信息技术 安全技术 信息安全管理国际标准起草组) 注册专家。
张胜生,现就职于北京中安国发信息技术研究院,中央财经大学信息学院研究生校外导师,辽宁警察学院公安信息系客座教授,北京市总工会和北京市科学技术委员会联合授予其团队“信息安全应急演练关键技术—张胜生工作室”称号。致力于应急演练与网络犯罪研究,从事企业网安实战教学已有15年,成功打造了“网络犯罪侦查实验室”及系列实训平台,并在辽宁警察学院等相关院校取得优秀应用成果,荣获“中国信息安全攻防实验室产品实战性和实用性一等奖”。主持翻译了国际信息安全认证教材《CISSP认证考试指南》(第6版) ,主持编著了《网络犯罪过程分析与应急响应—红黑演义实战宝典》。 "
