一、做好基礎性的防護工作,伺服器安裝干凈的操作系統,不需要的服務一律不裝,多一項就多一種被入侵的可能性,打齊所有補丁,微軟的操作系統當然推薦 WIN2K3,性能和安全性比WIN2K都有所增強,選擇一款優秀的殺毒軟體,至少能對付大多數木馬和病毒的,安裝好殺毒軟體,設置好時間段自動上網升級,設置好帳號和許可權,設置的用戶盡可能的少,對用戶的許可權盡可能的小,密碼設置要足夠強壯。對於 MSSQL,也要設置分配好許可權,按照最小原則分配。最好禁用xp_cmdshell。有的網路有硬體防火牆,當然好,但僅僅依靠硬體防火牆,並不能阻擋 hacker的攻擊,利用反向連接型的木馬和其他的辦法還是可以突破硬體防火牆的阻擋。WIN2K3系統自帶的防火牆功能還不夠強大,建議打開,但還需要安裝一款優秀的軟體防火牆保護系統,我一般習慣用ZA,論壇有很多教程了。對於對互聯網提供服務的伺服器,軟體防火牆的安全級別設置為最高,然後僅僅開放提供服務的埠,其他一律關閉,對於伺服器上所有要訪問網路的程序,現在防火牆都會給予提示是否允許訪問,根據情況對於系統升級,殺毒軟體自動升級等有必要訪問外網的程序加到防火牆允許訪問列表。那麼那些反向連接型的木馬就會被防火牆阻止,這樣至少系統多了一些安全性的保障,給hacker入侵就多一些阻礙。網路上有很多基礎型的防護資料,大家可以查查相關伺服器安全配置方面的資料。
二、修補所有已知的漏洞,未知的就沒法修補了,所以要養成良好的習慣,就是要經常去關注。了解自己的系統,知彼知己,百戰百勝。所有補丁是否打齊,比如 mssql,server-U,論壇程序是否還有漏洞,每一個漏洞幾乎都是致命的,系統開了哪些服務,開了哪些埠,目前開的這些服務中有沒有漏洞可以被黑客應用,經常性的了解當前黑客攻擊的手法和可以被利用的漏洞,檢查自己的系統中是否存在這些漏洞。比如SQL注入漏洞,很多網站都是因為這個伺服器被入侵,如果我們作為網站或者伺服器的管理者,我們就應該經常去關注這些技術,自己經常可以用一些安全性掃描工具檢測檢測,比如X- scan,snamp, nbsi,PHP注入檢測工具等,或者是用當前比較流行的hacker入侵工具檢測自己的系統是否存在漏洞,這得針對自己的系統開的服務去檢測,發現漏洞及時修補。網路管理人員不可能對每一方面都很精通,可以請精通的人員幫助檢測,當然對於公司來說,如果系統非常重要,應該請專業的安全機構來檢測,畢竟他們比較專業。
三、伺服器的遠程管理,相信很多人都喜歡用server自帶的遠程終端,我也喜歡,簡潔速度快。但對於外網開放的伺服器來說,就要謹慎了,要想到自己能用,那麼這個埠就對外開放了,黑客也可以用,所以也要做一些防護了。一就是用證書策略來限制訪問者,給 TS配置安全證書,客戶端訪問需要安全證書。二就是限制能夠訪問伺服器終端服務的IP地址。三是可以在前兩者的基礎上再把默認的3389埠改一下。當然也可以用其他的遠程管理軟體,pcanywhere也不錯。
四、另外一個容易忽視的環節是網路容易被薄弱的環節所攻破,伺服器配置安全了,但網路存在其他不安全的機器,還是容易被攻破,「千里之堤,潰於蟻穴 」。利用被控制的網路中的一台機器做跳板,可以對整個網路進行滲透攻擊,所以安全的配置網路中的機器也很必要。說到跳板攻擊,水平稍高一點的hacker 攻擊一般都會隱藏其真實IP,所以說如果被入侵了,再去追查的話是很難成功的。Hacker利用控制的肉雞,肉雞一般都是有漏洞被完全控制的計算機,安裝了一些代理程序或者黑客軟體,比如DDOS攻擊軟體,跳板程序等,這些肉雞就成為黑客的跳板,從而隱藏了真實IP。
五、最後想說的是即使大家經過層層防護,系統也未必就絕對安全了,但已經可以抵擋一般的hacker的攻擊了。連老大微軟都不能說他的系統絕對安全。系統即使只開放80埠,如果服務方面存在漏洞的話,水平高的hacker還是可以鑽進去,所以最關鍵的一點我認為還是關注最新漏洞,發現就要及時修補。「攻就是防,防就是攻」 ,這個觀點我比較贊同,我說的意思並不是要去攻擊別人的網站,而是要了解別人的攻擊手法,更好的做好防護。比如不知道什麼叫克隆管理員賬號,也許你的機器已經被入侵並被克隆了賬號,可能你還不知道呢?如果知道有這種手法,也許就會更注意這方面。自己的網站如果真的做得無漏洞可鑽,hacker也就無可奈何了。
B. 國家網路信息安全應急協調機制
熱心相助
您好!您提出問題是國家安全機密不允許公開流傳,請參考:
1.網路信息安全應急機制的理論基礎及法律保障
http://wenku..com/view/184ab68002d276a200292e7e.html
2.網路與信息安全應急預案
http://wenku..com/view/dfa3bdfff705cc1755270977.html?from=rec&pos=1&weight=9
C. 網路安全應急響應的網路安全應急響應做什麼
應急響應的活動應該主要包括兩個方面:
第一、未雨綢繆,即在事件發生前事先做好准備,比如風險評估、制定安全計劃、安全意識的培訓、以發布安全通告的方式進行的預警、以及各種防範措施;
第二、亡羊補牢,即在事件發生後採取的措施,其目的在於把事件造成的損失降到最小。這些行動措施可能來自於人,也可能來自系統,不如發現事件發生後,系統備份、病毒檢測、後門檢測、清除病毒或後門、隔離、系統恢復、調查與追蹤、入侵者取證等一系列操作。
以上兩個方面的工作是相互補充的。首先,事前的計劃和准備為事件發生後的響應動作提供了指導框架,否則,響應動作將陷入混亂,而這些毫無章法的響應動作有可能造成比事件本身更大的損失;其次,事後的響應可能發現事前計劃的不足,吸取教訓,從而進一步完善安全計劃。因此,這兩個方面應該形成一種正反饋的機制,逐步強化組織的安全防範體系。
D. 《網路安全法》對網路安全應急預案有哪些要求
《網路安全法》第25條規定:網路運營者應當制定網路安全事件應急預案,及時處置系統漏洞、計算機病 毒、網路攻擊、網路侵入等安全風險;在發生危害網路安全的事件時,立即啟動應急預案,採取相應的補救措施,並按照規定向有關主管部門報告。
《網路安全法》第53條規定:國家網信部門協調有關部門建立健全網路安全風險評估和應急工作機制,制定網路安全事件應急預案,並定期組織演練。
負責關鍵基礎信息設施安全保護工作的部門應當制定本行業、本領域的網路安全事件應急預案,並定期組織演練。網路安全事件應急預案應當按照事件發生後的危害程度、影響范圍等因素對網路安全事件進行分級,並規定相應的應急處置措施。
網路安全應急預案應立足安全防護,加強預警,重點保護重要信息網路和關系社會穩定的重要信息系統, 在預防、監控、應急處理、應急保障等方面採取多種措施,構築網路與信息安全保障體系。加強計算機信息網 絡安全的宣傳和教育,提高工作人員的信息安全意識。 要對機房、網路設備、伺服器等設施定期開展安全檢查, 密切關注互聯網信息動態,及時獲取充分而准確的信息, 跟蹤研判,果斷決策,迅速處置,最大限度地減少危害和影響。
希望可以幫到您,謝謝!
E. 網路安全事件應急預案應當按照事件發生後的什麼因素,對網路安全事件進行分級,並規定相應的應急處置措施
可以根據網路安全事件的:
可控性、
嚴重程度、
影響范圍
的不同對安全事件進行分級,並規定響應的處置措施
一般情況下分為4級
一級、特別重大--對xx工作造成特別嚴重損害,且事態發展超過xx控制能力的安全事件
二級、重大--造成嚴重損害,超出單一部門自身控制能力,需協調各部門協同處置的安全事件
三級、較大--對xx工作造成一定損害,但部門內部可自行處理的安全事件
四級、一般--對某些工作有些影響,但不危及整體工作
F. 網路安全處理過程
網路安全應急響應是十分重要的,在網路安全事件層出不窮、事件危害損失巨大的時代,應對短時間內冒出的網路安全事件,根據應急響應組織事先對各自可能情況的准備演練,在網路安全事件發生後,盡可能快速、高效的跟蹤、處置與防範,確保網路信息安全。就目前的網路安全應急監測體系來說,其應急處理工作可分為以下幾個流程:
1、准備工作
此階段以預防為主,在事件真正發生前為應急響應做好准備。主要包括以下幾項內容:制定用於應急響應工作流程的文檔計劃,並建立一組基於威脅態勢的合理防禦措施;制定預警與報警的方式流程,建立一組盡可能高效的事件處理程序;建立備份的體系和流程,按照相關網路安全政策配置安全設備和軟體;建立一個支持事件響應活動的基礎設施,獲得處理問題必備的資源和人員,進行相關的安全培訓,可以進行應急響應事件處理的預演方案。
2、事件監測
識別和發現各種網路安全緊急事件。一旦被入侵檢測機制或另外可信的站點警告已經檢測到了入侵,需要確定系統和數據被入侵到了什麼程度。入侵響應需要管理層批准,需要決定是否關閉被破壞的系統及是否繼續業務,是否繼續收集入侵者活動數據(包括保護這些活動的相關證據)。通報信息的數據和類型,通知什麼人。主要包括以下幾種處理方法:
布局入侵檢測設備、全局預警系統,確定網路異常情況;
預估事件的范圍和影響的嚴重程度,來決定啟動相應的應急響應的方案;
事件的風險危害有多大,涉及到多少網路,影響了多少主機,情況危急程度;
確定事件責任人人選,即指定一個責任人全權處理此事件並給予必要資源;
攻擊者利用的漏洞傳播的范圍有多大,通過匯總,確定是否發生了全網的大規模入侵事件;
3、抑制處置
在入侵檢測系統檢測到有安全事件發生之後,抑制的目的在於限制攻擊范圍,限制潛在的損失與破壞,在事件被抑制以後,應該找出事件根源並徹底根除;然後就該著手系統恢復,把所有受侵害的系統、應用、資料庫等恢復到它們正常的任務狀態。
收集入侵相關的所有資料,收集並保護證據,保證安全地獲取並且保存證據;
確定使系統恢復正常的需求和時間表、從可信的備份介質中恢復用戶數據和應用服務;
通過對有關惡意代碼或行為的分析結果,找出事件根源明確相應的補救措施並徹底清除,並對攻擊源進行准確定位並採取措施將其中斷;
清理系統、恢復數據、程序、服務,把所有被攻破的系統和網路設備徹底還原到正常的任務狀態。
4、應急場景
網路攻擊事件:
安全掃描攻擊:黑客利用掃描器對目標進行漏洞探測,並在發現漏洞後進一步利用漏洞進行攻擊;
暴力破解攻擊:對目標系統賬號密碼進行暴力破解,獲取後台管理員許可權;
系統漏洞攻擊:利用操作系統、應用系統中存在漏洞進行攻擊;
WEB漏洞攻擊:通過SQL注入漏洞、上傳漏洞、XSS漏洞、授權繞過等各種WEB漏洞進行攻擊;
拒絕服務攻擊:通過大流量DDOS或者CC攻擊目標,使目標伺服器無法提供正常服務;
信息破壞事件:
系統配置遭篡改:系統中出現異常的服務、進程、啟動項、賬號等等;
資料庫內容篡改:業務數據遭到惡意篡改,引起業務異常和損失;
網站內容篡改事件:網站頁面內容被黑客惡意篡改;
信息數據泄露事件:伺服器數據、會員賬號遭到竊取並泄露.
G. 晉城市互聯網網路安全應急預案的應急處置
5.1 信息報告與處理
5.1.1信息來源主要有以下三類:
(1)預測預警系統監測到的互聯網網路安全事件信息;
(2)上級機構或其他職能部門通報的互聯網網路安全事件信息;
(3)接到來自社會和各信息安全責任單位的報告信息。
5.1.2互聯網網路安全事件發生後,事發單位、責任單位和相關工作機構要按照相關應急預案和報告制度,在立即組織搶險救援的同時,及時匯總信息並迅速報告上級主管部門和市網安辦。
5.1.3發生一般互聯網網路安全事件,事發單位必須在半小時內向市網安辦值班室(設在市信息中心)口頭報告,在1小時內向市網安辦值班室(設在市信息中心)書面報告;較大以上互聯網網路安全事件或特殊情況,立即報告。
5.1.4發生重大互聯網網路安全事件,市網安辦、相關區縣政府、責任單位等必須在接報後1小時內分別向市委、市政府值班室口頭報告,在2小時內分別向市委、市政府值班室書面報告;特別重大互聯網網路安全事件或特殊情況,立即報告。
5.1.5信息處理可按以下程序進行:
(1)記錄與了解。接到互聯網網路安全事件報警後,要先詳細記錄該事件數據痕跡和細節信息,了解事件造成的損失、影響以及現場控制情況,並盡可能全面了解與事件有關的信息。
(2)事件確認與判斷。在匯總相關信息的基礎上,及時判斷事件性質,並根據判定結果,開展下一步的工作。
①屬於互聯網網路安全事件的,應參考資料庫對該次事件做進一步的事件驗證,確認屬於互聯網網路安全事件的,應進入事件分析流程。
②屬於誤報的,值班人員應對該事件進行記錄和處理。
③對於與互聯網網路安全無關的事件,值班人員也應做好記錄,並將事件轉交給相關主管機構處理。
(3)事件分析。事件確認後,根據掌握的信息,分析事件已經造成的損失和預計損失、事件的嚴重程度和擴散性等情況。
(4)准備啟動應急處置規程。市網安辦根據事件分析的結果,按照互聯網網路安全事件等級判斷標准確定事件等級,並做好啟動相應應急預案處置規程的准備。
5.2應急響應
5.2.1響應等級
根據互聯網網路安全事件的可控性、嚴重程度和影響范圍,應急響應級別分為四級:Ⅰ級、Ⅱ級、Ⅲ級和Ⅳ級,分別應對特別重大、重大、較大和一般互聯網網路安全事件。
5.2.2分級響應
(1)Ⅰ、Ⅱ級應急響應。發生重大或特別重大信息安全事件,市網安辦立即報請或由市政府確定應急響應等級和范圍,啟動相應應急預案,必要時,組建市應急處置指揮部,統一指揮、協調有關單位和部門實施應急處置。
(2)Ⅲ、Ⅳ級響應。對於一般、較大信息安全事件,市網安辦組織協調具有處置互聯網網路安全事件職責的職能部門和單位以及事發地區縣政府,調度所需應急資源,協助事發單位開展應急處置。
5.2.3響應程序
(1)應急資源調配
①應急人員協調。市網安辦根據具體的互聯網網路安全事件,負責組織協調信息安全專家、網路專家、信息系統專家等各類應急響應技術人員。
②相關許可權。市網安辦負責明確和協調處置機構或人員在應急響應過程中所需的許可權。
③其它必要資源。市網安辦根據應急資料庫中的信息獲取處置事件所必需的資源,如網路與通訊資源、計算機設備、網路設備、網路安全設備與軟體、處置案例、解決方案等,為處置小組提供參考。
(2)處置方案制訂與檢驗。處置小組制訂具體處置方案,交由市網安辦組織相關工作機構、事發單位和有關職能部門進行檢驗,檢驗結果上報市應急處置指揮部。
(3)處置決策與資源調度。市應急處置指揮部對市網安辦上報的檢驗結果進行評估,經批准後,聯絡小組及有關部門按處置方案的要求,協調、落實所需的資源。
(4)實施處置。處置小組根據指揮部下達的指令,按照承擔職責和操作許可權建立運行機制,執行對互聯網網路安全事件的應急處置。
5.3先期處置
5.3.1互聯網網路安全事件發生後,事發單位必須在第一時間實施即時處置,並按職責和規定許可權啟動相關應急預案處置規程,控制事態發展並及時市網安辦、市應急聯動中心或事發地區縣政府報告。
5.3.2市網安辦應在接報事件信息後,及時掌握事件的發展情況,評估事件的影響和可能波及的范圍,研判事件的發展態勢,根據需要組織各專業工作機構在各自職責范圍內參與互聯網網路安全事件的先期應急處置工作。
5.3.3市網安辦會同市應急聯動中心組織事發地區縣政府和相關聯動單位聯動處置較大和一般互聯網網路安全事件,對特別重大或重大互聯網網路安全事件,負責組織實施先期處置。
5.4應急指揮與協調
5.4.1一旦發生先期處置仍不能控制的互聯網網路安全事件,市網安辦應及時研判事件等級並上報市政府,必要時,成立市應急處置指揮部,下設聯絡小組和處置小組。
5.4.2現場指揮部由事發地區縣政府和市網安辦視情設立,在市應急處置指揮部的統一指揮下,負責現場應急處置的指揮協調。現場指揮部由市網安辦、發生互聯網網路安全事件所在的主管機構與責任單位負責人組成,並根據處置需要組織信息安全專家等參與。
5.5 應急結束
5.5.1對於重大和特別重大的互聯網網路安全事件,在應急處置工作結束,或者相關危險因素消除後,市政府根據市應急處置指揮部的建議,決定終止實施應急措施,轉入常態管理。
5.5.2對於一般和較大的互聯網網路安全事件,應急結束的判斷標准為信息系統和業務恢復正常,由該事件衍生的其它事件已經消失,安全隱患已經消除。由市網安辦宣布應急結束,轉入常態管理。
H. 網路安全應急預案怎麼寫
應急預案是有,但是還沒觸發過,有沒有效不能提前下定論。就像A股市場熔斷機制一樣,推出前都叫好,推出沒幾天就叫停了
I. 網路安全應急響應的介紹
「應急響應」對應的英文是「Incident Response」或「Emergency Response」等,通常是指一個組織為了應對各種意外事件的發生所做的准備以及在事件發生後所採取的措施。
J. 網路安全應急響應現狀如何
當發生網路入侵、病毒爆發、現有網路安全防禦體系(如防火牆、入侵檢測、入侵防禦等)被突破或當機或無異常顯示、防毒軟體或被病毒所劫殺或對病毒不作為時,如何阻擊入侵、查殺病毒、恢復系統?事前制定的應急響應預案總難以有效應對尚且未知的病毒及網路攻擊,匆忙趕赴現場,無奈斷網恢復,或簡單備機切換,大多公司網路安全應急響應現狀如此,與黑客病毒實施的遠程入侵控制相比,技術和手段完全處於非對等的劣勢地位。能否改變現狀,有何解決方案?
網路安全體系從技術手段上由兩大部分構成:安全防禦與應急救治,其兩者的關系如同醫學上疾病防疫與疾病救治的關系一樣,兩者的差別在於時間和順序上的不同。防禦在前,黑客或病毒攻擊在後,使系統免受破壞稱之為安全防禦;黑客或病毒攻擊在前,救治在後,使系統重新恢復正常稱之為應急救治。
目前網路安全產品以安全防禦為主,如防火牆、入侵檢測、入侵防禦、防毒軟體,以及網路細分、流量監視、流量控制等等,但網路安全應急救治的產品卻處於稀缺或空白的狀態。其表現為基於網路安全防禦體系的技術水平現狀,系統漏洞隨著時間推移陸續顯露,新病毒總量每年以超幾何級數增長,黑客及病毒的技術含量不斷提高和攻擊手段不斷翻新,黑客及病毒突破和破壞現有網路安全防禦體系、劫殺和禁用防毒軟體現象屢有發生,事前制定的網路安全應急響應預案總難以有效應對尚且未知的病毒及網路攻擊,網路安全應急響應尚還處於趕赴現場,斷網恢復,備機切換的簡單低級層次,究其根本原因,缺乏阻斷黑客進攻和查殺病毒的有效工具和能力即時實施網路連接對黑客病毒完成外科手術般的精確打擊、定點清除,造成網路部分或全局癱瘓,特別是爆發的大規模傳染性網路病毒對提供公共服務的機構造成社會公共安全事件也時有發生。
未雨綢繆,亡羊補牢,事前風險評估、組織機構建立,安全意識培訓,安全策略制定,各種措施防範,事後總結提高,安全訪問策略修正增補,更加嚴格措施防範,這些都是合理和必要的,但網路安全應急響應目前狀況「重防輕治,以防代治」卻是明顯的事實。各公司安全防禦產品琳琅滿目,個個價格不菲,當真正遭受網路入侵、病毒爆發,請求應急幫助時,得到的回復往往可能是,需對貴公司網路狀況進行一個安全評估,制定一套安全策略,採用本公司的產品,可以保證下次免遭此類黑客病毒侵襲。「救人於水火,須臾不可待」。可否先救人出水火,再說那事前事後防水防火之事?另一方面,沒有哪家公司產品可說是萬能的,若此次採用此公司此產品,預防此類黑客病毒侵襲,他日遇彼類黑客病毒侵襲,是否需要採用彼公司彼產品呢?這是用戶常遇到的尷尬決擇,頗有一番「上船易,下船難」的意境。喊一聲「孫大聖」,只聽「大聖來也」,孫悟空即到眼前,這是小說《西遊記》常描述的情景。若將此描述的情景視為網路安全應急響應模式,或許是再恰當不過的了,「召之即來,揮之即去,來之能戰,戰之能勝」。
「預防為主,防治結合」,這句話是如此耳濡目染,以至於很少有人考究其正確性和合理性。疾病成千上萬,各種病毒也在不斷變異進化,在目前醫學技術條件下能以接種疫苗方式進行免疫的傳染病不過十幾種。從這十幾種傳染病免疫表現出兩個特徵:1.可預防的;2.預防成本小於救治成本,這正是「預防為主,防治結合」正確性和合理性成立的前提條件。以流感為例,少有人願意花費上萬元去預防花費百把元即可治癒的流感,就是這個道理,一則流感病毒種類繁多,且自身不斷變異進化,防不勝防;二則辦同樣的事花銷更少費用是人們普遍的理性決擇。防禦系統和防毒軟體不可能防住所有的黑客病毒的入侵和攻擊。基於特徵碼識別的防毒軟體通過特徵碼比對可識別具有已知特徵碼的未知病毒,基於行為模式識別的防毒軟體通過行為模式比對可識別具有已知行為模式的未知病毒,但前者需要從已知病毒提取特徵碼,後者需要從已知病毒學習行為模式,所以,基於特徵碼識別的防毒軟體不可能識別具有未知特徵碼的未知病毒,基於行為模式識別的防毒軟體不可能識別具有未知行為模式的未知病毒。假設有朝一日遭遇網路戰,遇到的都是已知特徵碼或已知行為模式的病毒嗎?對於穿透防禦系統和防毒軟體的少量病毒,本應通過應急響應遠程或本地即時網路連接,實施精確打擊,定點清除的方式給予解決,但如缺少這種應急救治能力,或被迫提高防禦級別,或增加備機,或添加人手趕赴現場,如此造成安全防禦成本不可避免急劇增長,且效果並不如意。
綜上所述,針對網路安全應急響應目前狀況及存在的問題,開發一款網路安全應急響應工具,用於發生網路入侵、病毒爆發、現有網路安全防禦體系被突破、防毒軟體被病毒所劫殺或對病毒不作為時,即時實施遠程或本地網路連接,阻擊入侵、查殺病毒、恢復系統的工作,這將改變網路安全應急響應「重防輕治,有防無治」的現狀,填補缺失了的網路安全應急救治環節,與現有的網路安全防禦形成互補,構成防治結合完整的網路安全體系,提升了網路安全應急響應能力,特別是對企業、國防、公安、銀行、交通、政府等集團用戶具有十分重要的意義;另一方面,通過遠程響應縮短應急響應時間,可避免安全事態惡化和大幅減少運行維護成本。