安全事件应急处理措施 实用

发布 2021-12-01 20:17:28 阅读 1784

攻击类型简要描述信息篡改(含信息窃取)

信息篡改事件是指未经授权将信息系统中的信息更换为攻击者所提供的信息而导致的信息安全事件,例如网页篡改等导致的信息安全事件。

发起源外部。

类别措施。紧急措施:

1、进行系统临时性恢复,迅速恢复系统被篡改的内容;

2、严格监控对系统的业务访问以及服务器系统登陆情况,确保对再次攻击的行为能进行检测;3、将发生安全事件的设备脱网,做好安全审计及系统恢复准备;

4、在必要情况下,将遭受攻击的主机上系统日志、应用日志等导出备份,并加以分析判断。抑制处理:

1、分析系统日志,确认主机上有无异常权限用户非法登陆,并记录其ip地址、登陆时间等信息;2、分析系统目录以及搜索整盘近期被修改的和新创建的文件,查找是否存在可疑文件和后门程序;3、分析系统服务、进程、端口等,确认有无可疑项;

4、结合上述日志审计,确定攻击者的方式、以及入侵后所获得的最大管理权限和是否对被攻击服务器留有后门程序和嗅探程序等。**:

1、通过防火墙策略的配置严格限制恶意地址对该服务器的远程登录及访问请求;2、对web服务软件和数据库进行安全配置;

3、必要情况下进行主机系统重新安装,并恢复数据库系统;4、恢复业务数据;

5、进行业务测试,确定系统完全恢复;

主机系统。6、系统上网运行。

1、如果系统服务无法正常响应,迅速切换到备用系统;

2、通过防火墙或网络设备配置访问控制列表,过滤dos发起源的连接3、确认造成系统cpu、内存占用高的进程或者应用;

4、确认系统存在的漏洞(cve漏洞发布组织查看此版本应用是否存在dos的漏洞);5、根据漏洞信息和相应安全建议采取相应的控制措施;6、安装相应的补丁修复程序,修复漏洞后切换到原运行系统。

拒绝服务攻击。

拒绝服务攻击事件是指利用信息系统缺陷、或通过暴力攻击的手段,以大量消耗信息系统的。

外部。系统漏洞类。

cpu、内存、磁盘空间或网络带宽等资源,从而影响信息系统正常运行为目的的信息安全事件。

网络协议漏洞应用类漏洞。

网络设备。1、如果系统服务无法正常响应,迅速切换到备用系统;2、利用防火墙或网络设备配置acl,过滤dos发起源的连接3、确认当前ios版本。

4、到cve漏洞发布组织查看此版本应用是否存在dos的漏洞5、根据漏洞信息和相应安全建议采取相应的控制措施6、安装相应的补丁修复程序7、切换到主系统。

1、通过网络流量分析软件,确定数据包类型特征。

2、在防火墙或网络设备上配置访问控制策略,限制或过滤来自于攻击源的流量。

1、通过网络流量分析软件,确定数据包类型特征。

2、在防火墙或网络设备上配置访问控制策略,限制或过滤发送源地址的访问。

3、可以通过在web服务器限定最大连接数等方式。

内部紧急措施:

1、通过网络流量分析软件,确认数据包特征2、确定对外发包的被控主机。3、断网隔离被控主机。

4、调整防火墙或网络设备访问控制acl策略,严格限制该机器的对外继续发包。

抑制处理:1、检查并确认被控主机上的恶意进程或恶意程序。2、关闭恶意进程,清除恶意程序。**:

1、必要情况下重新安装系统,对系统进行安全加固2、重新恢复业务系统。

3、上线运行紧急措施:

1、确定恶意**源头。

2、必要情况下切换备机,断网隔离。

3、通过在防火墙或网络设备设置访问控制策略,限制外部的访问。抑制处理:

1、确定恶意**特征:进程、端口等2、清除恶意****:

1、重新安装操作系统2、对操作系统进行安全加固3、恢复应用系统。

4、系统上线。

根据**网络数据包特征,在防火墙或网络设备设置访问控制列表,过滤相关的ip地址和端口,阻断。

恶意**的继续感染。

恶意**(包括蠕后门、恶意软件)

包括常见的病毒、蠕虫、恶意。

内部。虫、病毒、软件、后门等。

外部。**仿冒是一种旨在窃取。

用户身份或个人信息的电子邮件欺骗方法。

内部。1、浏览仿冒的站点,通过域名解析等方式定位**仿冒的服务器的地址等信息。2、将该服务器进行临时断网分析,确认仿冒的行为原因。

3、对该服务器进行全面的安全检查,如果是服务器被入侵所致,需要进一步确定控制源。对攻击源进行跟踪处理。(可参考windows、unix入侵检查处理手册)。

4、清除该服务器的仿冒**内容及恶意程序。

5、检查服务器所被利用的漏洞,并修复漏洞,安全测试**网运行。

6、必要情况下(发现难以清除的或被植入较多的恶意程序),需要重新安装服务器,并进行安全加固、

漏洞修复,安全测试、重新入网,确保设备的安全运行。

外部。1、浏览仿冒的站点,通过域名解析等方式定位**仿冒的服务器的地址等信息。2、通过安全处协调相关机构,跟踪、处理**仿冒的服务器,确认仿冒的行为原因。

3、如果仿冒的服务器同样是被控制所为,可在相关机构协调许可下对该服务器进行安全检查分析,确定被控制的原因,并进一步逐级确定控制源。(可参考windows、unix入侵检查处理手册)

dns劫持dns服务器被控。

制或者记录别修改造成的破坏。

内部。4、必要情况下通过协调相关机构可对控制源进行进一步检查处理。紧急措施:

1、根据具体情况,先切换到备份机上,保证服务的运行。抑制处理:

1、隔离发现问题主机。

2、对问题主机进行进程、日志、端口、服务等分析,确认问题3、清除恶意程序**:

1、必要情况下,重新安装系统;2、对系统进行安全加固;3、重新恢复业务系统;

4、上线运行。

凡是未经用户许可就强行发送到用户的邮箱中的任何电子邮件可称为垃圾邮件。垃圾邮件一般具有批量发送的特征。见内容包括赚钱信息、商业。

垃圾邮件信等。

内、外。1、确定垃圾邮件的关键字特征。

2、根据关键字,在邮件服务器上配置垃圾邮件过滤策略紧急措施:

1、通过ids等安全设备快速定位攻击行为和被攻击主机,进行必要的系统临时性恢复;2、严格监控对系统的业务访问以及服务器系统登陆情况,确保对再次攻击的行为能进行检测;3、将发生安全事件的设备脱网,做好安全审计及系统恢复准备;

4、在必要情况下,将遭受攻击的主机上系统日志、应用日志等导出备份,并加以分析判断。抑制处理:

1、分析业务应用日志,确认有无恶意应用用户登录或者异常登录情况;

2、分析系统日志,确认主机上有无异常权限用户非法登陆,并记录其ip地址、登陆时间等信息;3、分析系统目录以及搜索整盘近期被修改的和新创建的文件,查找是否存在可疑文件和后门程序;

通过渗透等非正常手段,利用信息系统漏洞来进行进行的攻击破坏,统称为外部攻击,或者黑客。

外部攻击攻击。

内、外。4、分析系统服务、进程、端口等,确认有无可疑项;

5、结合上述日志审计,确定攻击者的方式、以及入侵后所获得的最大管理权限和是否对被攻击服务器留有后门程序和嗅探程序等。**:

1、通过防火墙策略的配置严格限制外网恶意地址对该服务器的远程登录及访问请求,关闭不必要的端口访问;

2、如果漏洞是发生在软件方面,则对应用软件或者数据库进行相关安全配置;

3、如果由于系统漏洞导致,需要打补丁解决,则需要上报上级进行测试后方可进行补丁装载;4、必要情况下进行主机系统重新安装,并恢复系统;5、恢复业务数据;

6、进行业务测试,确定系统完全恢复;7、系统上网运行。

信息安全事件应急处理预案

防范为主,加强信息安全监控。宣传普及信息安全防范知识,贯彻预防为主的思想,树立常备不懈的观念,经常性地做好应对信息安全突发事件的思想准备 预案准备 机制准备和工作准备,提高公共防范意识以及基础网络和重要信息系统的信息安全综合保障水平。加强对信息安全隐患的日常监测,发现和防范重大信息安全突发性事件,及...

食品安全突发事件应急处理预案

为维护广大食客和全体职工生命安全,保障本企业运营顺利进行,维护社会的政治稳定,根据 食品安全法 的要求,结合本单位工作具体情况,特制定如下饮食安全应急预案 一 健全食物中毒报告制度 认真贯彻执行卫生部 国家食品药品监督管理局关于食物中毒事故处理办法的精神以便及时采取防治措施。二 广泛开展预防食物中毒...

体育伤害事件应急处理预案

为加强依法治校,科学而规范地做好学校体育管理工作,减少或杜绝体育伤害事故的发生,维护学校正常教学秩序,特制定体育伤害事故预防及应急处理预案。一 组织措施 1 学校领导要牢固树立防范学生在校体育伤害事故的意识,成立预防及应急处理小组,明确分工,通过各种渠道及有效措施加强对教职工 学生 家长等进行有关安...