XXXXXXX公司网络与信息安全应急响应技术规范与指南

network · 发表于 2008-4-26 06:44:20

版本号：V1.2.4

目录

一、背景

二、本文阅读对象

三、安全事件及分类

四、文档内容概述

1.1.概述

1.1.1 准备阶段工作内容

1.1.1.1快照内容

1.1.1.2应急响应工具包

1.1.2 准备阶段工作流程

1.1.3 准备阶段操作说明

1.2主机和网络设备安全初始化快照

1.2.1 Windows安全初始化快照

1.2.2 Unix安全初始化快照

1.2.2.1 Solaris 安全初始化快照

1.2.3 网络设备安全初始化快照

1.2.3.1 路由器安全初始化快照

1.2.4 数据库安全初始化快照

1.2.4.1 Oracle 安全初始华快照

1.2.5安全加固及系统备份

1.3 应急响应标准工作包的准备

1.3.1 Windows系统应急处理工作包

1.3.1.1 系统基本命令

1.3.1.2 其它工具软件

1.3.2 Unix系统应急处理工作包

1.3.2.1系统基本命令

1.3.2.2 其它工具软件

1.3.3 Oracle 数据库应急处理工具包。

2 检测阶段技术规范

2.1章节概述和对应流程

2.1.1 章节概述

2.1.2 工作的具体流程

2.1.3 操作说明

2.2系统安全事件初步检测方法

2.2.1 Windows系统检测技术规范

2.2.2.1 Windows服务器检测技术规范

2.2.2.2 Windows检测典型案例

2.3.3 Unix系统检测技术规范

2.3.3.1 Solaris 系统检测技术规范

2.3.3.2 Unix检测典型案例

2.3系统安全事件高级检测方法

2.2.2 Windows系统高级检测技术规范

2.2.2.1 Windows高级检测技术规范

2.2.2.2 Windows高级检测技术案例

2.2.3 Unix系统高级检测技术规范

2.2.3.1 Solaris高级检测技术规范

2.2.3.2 Unix高级检测技术案例

2.4 网络安全事件检测方法

2.4.1 拒绝服务事件检测方法

2.4.1.1 利用系统漏洞的拒绝服务攻击检测方法

2.4.1.2 利用网络协议的拒绝服务攻击检测方法

2.4.2 网络欺骗安全事件检测方法

2.4.2.1 DNS欺骗检测规范及案例

2.4.2.2 WEB欺骗检测规范及案例

2.4.2.3 电子邮件欺骗检测规范及案例

2.4.3 网络窃听安全事件检测方法

2.4.3.1共享环境下SNIFFER检测规范及案例

2.4.3.2交换环境下SNIFFER检测规范及案例

2.4.4口令猜测安全事件检测方法

2.4.4.1 windows系统检测:

2.4.4.2 UNIX系统检测:

2.4.4.3 CISCO路由器检测:

2.4.5 网络异常流量特征检测

2.4.5.1网络异常流量分析方法

2.5 数据库安全事件检测方法

2.5.1数据库常见攻击方法检测

2.5.2脚本安全事件检测

2.5.2.1 SQL注入攻击检测方法

2.5.2.2 SQL注入攻击案例

2.6事件驱动方式的安全检测方法

2.6.1日常例行检查中发现安全事件的安全检测方法

2.6.1.1特点

2.6.1.2确定被入侵的人工检测前兆

2.6.1.3 检测的流程如下

2.6.2 事件驱动的病毒安全检测方法

2.6.2.1特点

2.6.2.2病毒检测流程

2.6.2.3防御计算机病毒措施

2.6.3 事件驱动的入侵检测安全检测方法

2.6.3.1特征：

2.6.3.2入侵检测系统分为网络型和主机型：

2.6.3.3入侵检测流程：

2.6.4 事件驱动的防火墙安全检测方法

2.6.4.1特点：

2.6.4.2防火墙安全检测流程：

3 抑制和根除阶段技术规范

3.1 章节概述和对应流程

3.1.1 章节概述

3.1.2 工作的具体流程

3.1.3 操作说明

3.2 拒绝服务类攻击抑制

3.2.1 SYN和ICMP拒绝服务攻击抑制和根除

3.2.1.1 SYN（UDP）-FLOOD拒绝服务攻击抑制及根除

3.2.1.2 ICMP-FLOOD拒绝服务攻击抑制及根除

3.2.3系统漏洞拒绝服务抑制

3.2.3.1 WIN系统漏洞拒绝服务攻击抑制及根除

3.2.3.2 UNIX系统漏洞拒绝服务攻击抑制及根除

3.2.3.3 网络设备IOS系统漏洞拒绝服务攻击抑制

3.3 利用系统漏洞类攻击抑制

3.3.1 系统配置漏洞类攻击抑制

3.3.3.1 简单口令攻击类抑制

3.3.3.2简单口令攻击类根除

3.3.2 系统程序漏洞类攻击抑制

3.3.2.1缓冲溢出攻击类抑制

3.3.2.2缓冲溢出攻击类根除

3.4 网络欺骗类攻击抑制与根除

3.4.1 DNS欺骗攻击抑制与根除

3.4.2 电子邮件欺骗攻击抑制与根除

3.4.2.1电子邮件欺骗攻击抑制

3.4.2.2电子邮件欺骗攻击根除：

3.5 网络窃听类攻击抑制及根除

3.5.1 共享环境下SNIFFER攻击抑制及根除

3.5.1.1共享环境下SNIFFER攻击抑制及根除

3.5.2交换环境下SNIFFER攻击抑制

3.5.2.1交换环境下SNIFFER攻击抑制

3.6 数据库SQL注入类攻击抑制与根除

3.6.1 数据库SQL注入类攻击抑制与根除

3.6.1.1对于动态构造SQL查询的场合，可以使用下面的技术：

3.6.1.2用存储过程来执行所有的查询。

3.6.1.3限制表单或查询字符串输入的长度。

3.6.1.4检查用户输入的合法性，确信输入的内容只包含合法的数据。

3.6.1.5将用户登录名称、密码等数据加密保存。

3.6.1.6检查提取数据的查询所返回的记录数量。

3.6.1.7 Sql注入并没有根除办法.

3.7恶意代码攻击抑制和根除

3.7.1恶意代码介绍

3.7.2 恶意代码抑制和根除

3.7.2.1恶意代码抑制方法

3.7.2.2恶意代码根除方法

4 系统恢复阶段技术规范

4.1 章节概述和对应流程

4.1.1 章节概述

4.1.2 工作的具体流程

4.1.3 操作说明

4.2 重装系统

4.2.1 重装系统时的步骤：

4.2.2 重装系统时的注意事项

4.3 安全加固及系统初始化

4.3.1 系统安全加固和安全快照

4.3.1.1安全加固

4.3.1.2安全快照

5 跟进阶段技术规范

5.1 章节概述和对应流程

5.1.1 章节概述

5.1.2 工作的具体流程

5.1.3 操作说明

5.2 跟进阶段的主要流程

5.2.1 跟进阶段的流程和意义

5.3 跟进阶段的报告内容

5.3.1跟进阶段报告内容

6 取证流程和工具

6.1 概述

6.2操作说明

2) 操作的复杂度(容易/普通/复杂/)：复杂；

6.3

取证的重要规则

6.4 取证流程

6.5 取证工具

6.5.1 系统命令

6.5.2 商业软件介绍

hx77169 · 发表于 2009-6-26 10:17:48

怎么只有大纲没有内容？

deqing · 发表于 2009-10-15 10:05:29

版主，内容可以共享一下吗，谢谢！

network · 发表于 2009-10-15 16:22:46

我也是只有大纲。没有内容

账号		自动登录	找回密码
密码			注册