ISCS 计算机应急响应指南 信息安全咨询培训服务参考文件.doc

《ISCS 计算机应急响应指南 信息安全咨询培训服务参考文件.doc》由会员分享，可在线阅读，更多相关《ISCS 计算机应急响应指南 信息安全咨询培训服务参考文件.doc（23页珍藏版）》请在三一办公上搜索。

1、信息安全咨询培训服务参考文件计算机应急响应指南文档编号：ISCS-计算机应急响应指南_001版本：1.0作者：陈静/彭勇2003年2月目 录目 录I修订记录III第 1 章 介绍11.1 目的11.2 背景11.3 范围1第 2 章 角色和职责32.1 用户32.2 管理者32.3 系统管理员32.4 计算机应急响应团队（CIRT）32.5 计算机安全官员（CSO）32.6 监察长 (OIG)32.7 媒体联系官员（OMR）4第 3 章 威胁环境53.1 内部和外部威胁53.2 恶意代码攻击53.2.1 病毒事件53.2.2 宏病毒53.2.3 蠕虫63.2.4 特洛伊木马63.2.5 破解工

2、具63.3 解密高手/黑客攻击63.4 技术脆弱性7第 4 章 应急响应程序94.1 准备94.1.1 基线保护94.1.2 计划和指导方针94.1.3 培训94.2 确认104.2.1 确定征兆104.2.2 确认事件特性104.2.3 确定证据114.2.4 保护证据114.2.5 报告事件114.3 遏制114.3.1 保持低调124.3.2 避免潜在的危险代码124.3.3 备份系统124.3.4 更换密码124.4 清除124.4.1 确定动机和征兆134.4.2 增强防御134.4.3 执行脆弱性分析134.5 恢复134.5.1 确定行动方针134.5.2 监测和验证系统134.

3、6 追踪134.6.1 文档化事件的响应量134.6.2 文档化事件成本144.6.3 准备报告144.6.4 修订策略和程序14第 5 章 法律问题15第 6 章 结论16附录A : 组织机构计算机系统事件报告表格17修订记录时间作者备注1.02003/2陈静彭勇由陈静完成相应翻译和整理，彭勇做了相应修改。本文档主要涉及计算机事件响应服务/应急响应服务中的事件响应功能，描述了事件响应相关的背景、流程等。可以作为组织机构内部进行计算机事件响应的指南文件。具有一定的实用价值。具体使用时，其前提条件是组织机构已建立了相对完善的计算机安全管理特别是计算机事件响应/应急响应的相关管理结构，组织机构应根

4、据自己的组织结构进行相应调整。第 1 章 介绍1.1 目的本计算机安全应急响应指南的目的就是向组织机构内使用、管理信息系统的从事技术、管理等领域的所有人员提供一个整体通用的指南，用于帮助组织机构的所有人员能快速、有效地处理和恢复计算机安全事件：l 执行所有必要的步骤来响应并正确处理事件；l 防止或者最小化对关键的计算服务的中断；l 最小化丢失或偷窃敏感或者关键的业务信息。信息安全需要所有使用、管理信息系统的人员共同来维护，每个机构也应对外部系统和外部组织机构承担相应的安全的社会责任。本指南也可以作为组织机构同其他组织进行沟通的指导，即同组织机构内部及外部的其他信息安全和相应法律机构进行沟通协调

5、的指导，同时使用此指南也可以指导员工遵守司法机构等的相关规定、指导员工从事合理、合法的行为。应急响应的关键就是要在紧急情况下能够快速、有效地协同各种不同技术范畴领域的员工协同行动。为此，组织机构需要有具体的策略、流程和指导方针。本文为组织机构对计算机安全事件响应的准备提供了整体的概述，它也将帮助用户在第一次参与安全事件提供了许多帮助。1.2 背景组织机构的信息系统和信息资产保护的需求要求包含对应的应急响应过程，它的目的在于有效地处理发生的安全事件。应急响应能力可以确保当安全事件在系统发生时能够给用户提供相应的帮助，并且能考虑到共享信息的脆弱性和威胁，采取正确的措施。和其他机构组织共享信息应该遵

6、守此准则，应该协助相应管理部门进行适当、合法的行动，并同相关司法部门协调一致。处理计算机安全事件不是一件简单的事情。有效的应急响应要求负责应急响应的技术人员具有很强的技术知识、广泛的交流、明确的职责和合作。然而，最终用户，他一般没有可以有效应急响应的高要求技术，但他却可能是发现安全事件的第一人。所以，事件响应和应急响应中的重点就是在事件响应和最终用户对系统威胁和脆弱性的意识两方面提供给用户以帮助。此外，评估补救措施分步的法律内容只存放在组织机构的相关管理人员办公室中。另外，用于评估安全事件导致的破坏性和恢复系统完整性的程序通常都集中在每天都会操作系统和数据的系统拥有者和管理者处。1.3 范围这

7、份文档中包含的指导直接针对技术员工，例如：系统管理员，技术支持人员等。但是，它也适用于所有的组织机构员工和协约用户（即组织机构信息系统的所有用户），以及处理、存储、传递或者访问组织IT信息和计算资源基础设施的人员。这个指导方针适用于组织机构所有的信息和计算资源基础设施，而不论这些信息资源的敏感程度如何，是否被组织机构拥有和操作，或者是否为组织机构工作之用。第 2 章 角色和职责每一个组织机构员工，从组织机构网络资源的终端用户到相关管理人员，都有责任保护组织机构信息系统的安全。2.1 用户尽管组织机构中已大量使用了各种先进的自动的入侵检测系统，但计算机用户仍可能是发现入侵事件的第一人。最终用户和

8、系统用户都需要对异常系统行为产生警惕，这些异常行为可能正说明安全事件在进行中。除了他们的应急响应责任之外，系统用户可能在某种程度上还有向计算机资源中心（Help Desk ）报告事件（例如，被系统的用户工作站探测到的病毒感染、系统威胁或者拒绝服务）的职责。2.2 管理者管理者要确保他们的员工了解报告程序和安全策略，可以及时保护组织机构的信息系统、人员和资产。他们有责任向信息技术中心报告安全事件，并通知计算机安全官员（CSO）。2.3 系统管理员组织机构信息系统的系统管理员可能经常是发现安全事件的第一人。象管理者一样，系统管理员有责任立刻将事件报告给CSO。另外，他们可能在需要时会被要求协助决定

9、和执行解决方案。2.4 计算机应急响应团队（CIRT）CSO已经建立了组织机构的CIRT。它是协助CIO处理安全事件的组织响应团队。团队的职责包括发现、响应和处理可能会中断组织机构信息基础设施的日常操作的事件，并正式化事件报告。而且，CIRT被建立来正式化对事件的报告，和计算机技术中心员工、用户团体一起通知事件信息。2.5 计算机安全官员（CSO）CSO有责任在组织机构中进行计算机安全管理整理。也有责任向CIO和其他系统管理者报告严重的安全事件，并协调和高级管理、OIG以及其他法律执行权威的职责。2.6 监察长 (OIG)OIG对事件处理主动化提供法律执行授权和调查支持。如果怀疑某关键的操作，

10、必须立刻通知OIG。由OIG决定，搜集其他的法律执行支持来协助事件调查。2.7 媒体联系官员（OMR）组织机构的OMR有责任公开回答有关于组织机构活动的问题。当计算机安全事件发生时，在需要时，OMR能够向公众传播信息。组织机构员工有权利公开散布和计算机安全事件相关的信息，但是要向将与OMR合作的CSO提供那些信息。第 3 章 威胁环境尽管计算机安全事件可能会采取许多的形式和许多迂回的手段，但是总有一些出现更加频繁的攻击类型。知道这些类型的攻击，以及组织机构将如何对付它们将帮助组织机构员工更好地准备响应和报告所有相关信息给CSO。3.1 内部和外部威胁内部威胁 内部威胁指的是用户滥用资源，运行恶

11、意代码或者试图非法访问应用系统的现象。典型例子包括对他人帐户的非法使用、对系统特权的非法使用，以及执行可能破坏数据的恶意代码行为。更重要的内部威胁包括在系统执行非法操作的合法系统管理员。外部威胁 外部威胁指的是试图非法访问系统或者造成服务中断的操作者行为。典型例子包括中断/拒绝服务的攻击、垃圾邮件、执行会破坏数据或者崩溃这个系统的恶意代码。3.2 恶意代码攻击恶意代码一般会隐藏自己的存在，因此它通常难于被探测到。具有自复制功能的恶意代码，象病毒和蠕虫，都可以很快地复制自己，以致于遏制政策成为一个特别困难的问题。处理恶意代码攻击需要专门的考虑。3.2.1 病毒事件病毒是一种自复制代码，它通过修改

12、可执行文件操作和传播。病毒经常是用户初始化的，当用户通常按照适当的操作流程时，它不会显示出任何的威胁存在。总的来说，用户不应该在没有进行首次扫描病毒操作前执行附件程序。一般电子邮件中容易携带感染病毒代码。组织机构响应. 组织机构向所有用户提供培训，让用户了解病毒如何工作以及限制病毒传播的程序。组织机构有反病毒工具，包括每台台式电脑的扫描器，它可以和网络扫描器检查每个文件操作。组织机构在可写保护的CD-ROM上保留已知的好的反病毒软件副本。组织机构将立刻中止使用已被病毒感染的任何计算机设备。留着被感染的计算机，通知计算机资源中心（CRC）。不要在没有CRC指导的情况下自行试图清除病毒或者恢复系统

13、。3.2.2 宏病毒宏病毒是一种利用应用软件自身的宏编程语言进行传播的病毒类型。（例如微软的Word或者Excel）。组织机构响应. 因为宏病毒感染的是文档文件而不是程序，组织机构已经扩充了病毒保护内容，其中包括使用最新的商家反病毒应用软件来检查所有的文件。用户将会收到如何在他们的微软办公应用软件上开启宏保护的指导。3.2.3 蠕虫蠕虫是一种自包含的自复制代码。（也就是能够不修改任何软件而自行操作）。通过察看系统过程来注意蠕虫是最好的方法。如果一个不熟悉的过程（通常带有一个不知道的名称）正在运行，并且占据着系统处理容量的大部分比例，系统就可能正在被蠕虫攻击。蠕虫有时也显示给用户一些异常信息，可

14、以说明它们的存在。如果有来自于未知用户的信息，要求用户复制电子邮件信息到一个文件中，这可能也会传播蠕虫。蠕虫一般在网络上传播自己，并且可以非常快地传播。 组织机构响应. 如果任何组织机构员工发现蠕虫的迹象，他或她必须立刻通知CRC。使用相应的病毒报告表格。迅速地消灭被蠕虫代码建立的任何欺诈过程将最小化潜在的破坏。如果蠕虫是一种基于网络的蠕虫，也就是说，使用网络来传播自己，ITC将切断所有和网络连接的工作站或者客户机。3.2.4 特洛伊木马特洛伊木马程序是一种恶意程序，它伪装自己是有效的程序或者有益的工具。许多恶意代码实际上就是一种形式或其他形式的特洛伊木马程序。特洛伊木马程序经常会欺骗用户复制

15、和执行它们。组织机构响应. 在组织机构组织发行任何新的商业应用软件之前，必须先经过测试。而且，组织机构策略要求员工接收可以在组织机构计算机上安装非标准的应用软件的授权。尽管有这些预防措施，特洛伊木马还是能够通过隐藏在可移动的存储介质（例如软盘）文件中被传播。3.2.5 破解工具破解工具是攻击者为了各种各样的目的而移植到系统中的一种程序，象提高特权、获取密码、隐藏攻击者的出现等等。他们可以从系统外部被使用来获取信息和开始对目标系统的攻击。如果对软件程序的鉴别或功能有任何质疑，需要将软件交给CRC处理。如果发现特洛伊木马已经破坏或者甚至感染了系统，需将系统放置一边，并联系CRC。3.3 解密高手/

16、黑客攻击解密高手或者黑客是那些试图获取非法访问远程系统权限的用户。到现在，解密高手和黑客实际上使用相同的秘密手段入侵系统。通常黑客就在终端命令输入处，等着观察发生的事情，然后输入更多的命令。现在，许多的破坏攻击都是自动化的，仅仅进行几秒的时间，要确认和响应他们就变得更加困难。解密高手现在一般使用破解工具（前面描述的），它不同于惯用的恶意代码，因为许多的破解工具不会中断系统或者破坏代码。破解工具是典型的针对终端用户的工具，就象获取管理级访问，修改审计日志等等。调制解调器拨入是解密或者破坏系统的流行方式。组织机构响应. 组织机构策略中必须明确所有的调制解调器都将被设置为拨出或者拨入仅在单独的PC机

17、上适用。显示解密高手或者黑客可能已经危及系统的征兆包括以下特点：目录和文件的变化；显示的最近的登录时间不是真实的最后登录时间；发现有人从其它终端登录进入个人帐户；或者l 登录帐户的能力丧失（因为经常有人会改变密码）组织机构响应. 如果这些或者其他特征被观察到，应该立刻通知ITC技术支持。使用附加的应急响应表格（附件）。如果在获取非法访问的行动中捕捉到解密者，组织机构应该依照攻击的特性来采取措施。如果攻击者已经获取了管理级别访问能力，正在删除或者修改用户文件，或者已经访问了含有敏感数据的设备，攻击就具有严重的威胁。在这种情况下，CIRT必须通过终止攻击者建立的程序来锁住攻击者离开系统的退路。如果

18、攻击者没有获取管理级别访问能力，没有显示破坏或者中断系统操作，CIRT可以选择允许攻击者继续操作来搜集必要证据来抓获或者起诉攻击者。解密者/黑客攻击的关键阶段就是擦除。因为破坏者频繁地使用破解工具，当他们的攻击结束时要确保没有破坏痕迹留在系统是很重要的。处理解密者/黑客的攻击行为的另一个关键元素就是如何处理搜集到的证据。系统日志打印输出，复制系统中发现的恶意代码，备份磁带，在日志中记录到的涉及监管和登录的证据连续性都可能成为令人信服的对付犯罪者的有利证据。 (参见4.2.4节)组织机构响应. 如果系统用户发现那些破坏产生的证据，组织机构CIRT将建立这些证据的副本，并将它们发送给CSO 和OI

19、G进行更深入的检查。CIRT将恢复所有被攻击者变动的通常设置值文件的许可和配置设置。处理解密者/黑客攻击是有风险的，除非处理人员具有技术技能、程序和必要的设备，这也是CIRT被建立的原因。3.4 技术脆弱性当对抗内部或者外部威胁时，技术脆弱性是信息系统或者组件（例如系统安全程序、硬件设计和内部控制）的一个漏洞或者弱点，它可以被利用来干扰系统安全。许多现今已知的应用软件和操作系统的技术脆弱性都可以在开发测试、用户接受性测试、证明和鉴定、安全和测试和评估以及OIG审计期间被发现。组织机构响应. 如果用户发现可用来破坏系统或网络安全的技术脆弱性，他或她应该立刻利用附加的应急响应报告表格书面列出脆弱性

20、，并迅速发送给CSO以及相关的系统管理员。这个文档应该记录以下信息：(1) 描述脆弱性(2) 描述脆弱性发现的环境 (3) 描述弱点或者设计缺陷的具体影响(4) 显示应用软件厂商是否已经被通报在列出脆弱性后，即使正常的指挥链已经被控制，信息也应该被立刻通知给相关人员，以引起CSO的注意。不要通过网络发送脆弱性报告，或者和办公通道以外的任何人共享脆弱性信息。CSO将和系统管理员、CIO和OIG一起安排工作来解决脆弱性。第 4 章 应急响应程序组织机构为计算机安全事件响应定义了六个阶段：准备、确认、遏制、根除、恢复和追踪。了解每一阶段会促使处理过程更加系统和有效，可以帮助关键员工了解响应的过程，以

21、致于他们能够处理没有预料到的发生事件各方面。以下段落定义了响应的六大过程。4.1 准备组织机构认为在事件发生之前准备响应过程是事件处理过程的最关键方面。这种提前准备避免了紊乱地和迷惑地对待事件。组织机构准备也可以通过确保响应计划被所有员工所熟知而限制潜在的破坏性，从而使处理更加容易。4.1.1 基线保护组织机构已经在所有的系统和网络安装了基线保护。所有计算组件都有第一线的防御能力，保证事件不会很快地在系统间传播。组织机构局域网（LAN）服务器已经进行了访问控制设置，除了LAN管理员之外没有人可以写入系统执行。 作为一贯的好做法，组织机构系统管理员保持遵守CERT通告、公告板警示，事件及脆弱性记

22、录来确保在事件发生之前可以适当、准确地防御。组织机构提前获得一些有用工具，可以潜在避免当事件发生后才开始获取那些工具所造成的可能的破坏延迟。组织机构已经执行了入侵检测系统来监测并处理报警。4.1.2 计划和指导方针组织机构已建成计算机应急响应团队。委任的系统管理员在处理已牵连一个或更多基础系统的关键事件期间是有益处的。除了指定的系统管理员外，万一还有人想要管理级访问权限，那时被用来获取对每个系统和LAN管理级访问的密码已经被记录封存在独立的信封内，并放在ITC的安全的数据介质内。组织机构已经有了紧急事件通信需要时的计划。事件负面影响正常的通信通道时，组织机构已经准备有事件处理期间可联系的员工列

23、表，包括住宅电话号码、首选和第二选的FAX号码、手机号码和呼机号码。组织机构建立了书面的应急响应指导，适用范围广泛，并发送文档给所有级别的员工。这份书面指导被建立，可以帮助一般的系统管理员响应带有计算机安全事件征兆的未预料事件。4.1.3 培训向适当的CIRT组员提供培训，培训应急响应事件时的方法。CIRT成员也被要求参加定期的模拟事件训练，在其中执行书面的对模拟事件的响应程序。4.2 确认确认阶段组织机构的方法包括：1) 确认事件；2) 如果事件已经发生，确认它的特性；3) 确认和保护证据；还有4) 记录和报告事件。当员工注意到数据、系统或者网络的可疑异常情况时，他或她就启动组织机构的确认过

24、程。4.2.1 确定征兆确定异常情况是否就是发生事件所显示的征兆是很困难的，因为最经常出现的安全事件的表象是其他一些事物（例如：系统配置错误，应用程序错误、硬件故障、用户错误，等等）。典型的计算机安全事件的征兆包括以下的一些或全部内容：(a) 来自于入侵检测工具的系统报警或者相似的现象；(b) 可疑的系统或者网络帐户登录（例如：一个UNIX用户没有经过正常顺序获得root访问）；(c) 帐户矛盾（例如：有人注意到无论什么发生，在帐户日志上都没有登录记录，存在一个18分钟的空缺）；(d) 不成功的登录企图；(e) 不清楚的、新的用户帐户；(f) 不清楚的新的文件或者不熟悉的文件名称；(g) 不清

25、楚的对文件长度或者日期的修改，特别是对系统可执行文件；(h) 对系统文件进行写操作或者修改的不明确企图；(i) 不清楚的对数据的修改或者删除操作；(j) 拒绝/中断服务或者一个或多个用户不能登录到帐户；(k) 系统崩溃；(l) 弱系统执行；(m) 捕获网络传输的程序或者嗅探设备的操作；(n) Door knob rattling （例如：攻击扫描器的使用、远程访问系统或者用户信息的请求、或者社交工程企图）；(o) 异常使用时间（记住，更多的计算机安全事件都发生在非工作时间）；(p) 显示的用户帐号的最后使用时间不是那个用户最后使用的真实时间；(q) 异常使用模式（例如：程序正在不了解如何编程的

26、用户帐号下进行编制）；4.2.2 确认事件特性尽管到最后没有哪一个征兆可以说明计算机安全事件正在发生，但发现一个或者更多的这些征兆可以促进发现者更紧密地调查事件。碰到一个或更多这些征兆的系统管理员应该和CSO、指定的ITC联系人合作，来确定真实发生的事情。组织机构将在逐个征兆分析的基础上确认安全事件。如果事件涉及危险性活动或者可能的犯罪活动，CSO 和CIO 必须根据结果作出决定，通知组织机构OIG，相关国家信息安全管理机构。4.2.3 确定证据为了保护证据、数字、日期和签名都要记录和打印输出。在安全环境放置存有初始、未修改并且完整记录的海量磁盘，或者拷贝整个记录到一个可选的地址并适当保护。当

27、向CSO递交证据时，要确保在指挥链的分解下，每个项都被详细标记。4.2.4 保护证据所有证据的保管链必须保持。要提供文档来显示已处理证据的人的顺序和证据被存储的场所的次序。日期和时间也必须描述。在时间和日期上必须没有任何的失误。证据的传递过程也必须文档化。在预想可能会出现问题的状况下必须要验证和证明信息的完整性。必须将证据保存在防篡改的介质上（例如CD-R），或者生成加密信息或者校验和（例如SHA-1, MD5 或CRC32)。一旦计算机安全相关事件已经宣布，组织机构必须获取可疑事件出现的系统的完整备份。因为计算机犯罪的犯罪者正在对快速破坏自己非法活动的证据操作越来越精通，所以必须意识到需要通

28、过进行完全备份来立刻获取证据，否则在检查证据之前，证据可能已经被破坏了。备份可以为以后确定是否有其他非法活动发生提供对比的依据。4.2.5 报告事件如果基于计算机的事件被探测到，它必须立刻报告给CSO。特别地，每一个系统拥有者都必须知道如何和在什么时间联系CSO。这份指导附加的事件报告表格应该被使用来汇总可疑事件的信息和报告。CSO有责任将事件信息及时报告给高级管理层。另外，CSO必须迅速报告给CIO有关事件安全的严重漏洞情况。如果有犯罪活动的证据，CIO将直接指示CSO来通报组织机构OIG。注意: 除了指定的组织机构发言人（和可能参与其中的FBI），组织机构的其他员工没有权利和组织机构以外的

29、任何人讨论安全事件。组织机构系统和网络审计日志可以提供充足的信息来帮助决定是否已经出现了非法活动。一旦CSO和独立的系统拥有者确定已经出现严重的计算机安全事件，它涉及很广泛的范围，他们必须通报OIG和联邦授权机构。4.3 遏制组织机构在遏制阶段的的直接目的就是尽可能地限制事件的范围和程度，而不是为了获取确认或者起诉犯罪者的证据就任由事件继续发展。在遏制阶段首要决定就是对关键信息和计算服务要采取什么措施。CSO和系统拥有者将在适当的调查组织中工作来确定是否有敏感数据遗留在系统或者拷贝到介质上，被带走。相似地，也要确定是否经由被认为没有中断可能的网络传输关键计算服务到其他系统。要确定危险系统的操作

30、状态。查看系统是否1) 完全关闭； 2) 断网状态；或者 3) 允许在正常操作状态继续运行（以致于系统活动可以被监测到）将依据对事件风险的评估结果。在仅有简单病毒事件的情况下，组织机构CIRT必须快速行动，在不关闭被感染系统的条件下清除任何病毒。如果系统是相当敏感或者信息/关键程序可能正面临风险，组织机构通常将关闭系统（或者至少暂时把它从网络隔离）。如果存在对系统不会造成对数据的很大破坏、毁坏或者危及的情况下，有可能通过继续视为正常的运行来确定犯罪者，那么组织机构可以在密切监视下继续操作。4.3.1 保持低调如果已监测到基于网络的攻击，组织机构必须小心不要让入侵者发觉到。要避免用明显的方法来寻

31、找攻击者-如果攻击者探测到试图定位他们的行动，他们可能会删除系统。维持标准程序-继续使用组织机构入侵检测系统。4.3.2 避免潜在的危险代码不建议以root或者管理者身份登录被危及的系统并且开始在系统输入命令。例如：要避免使用FTP从另一个站点下载工具。如果可能，为组织核心操作系统记录关键二进制的指纹档案。4.3.3 备份系统将受影响的系统备份到一个新的未使用介质。一旦有显示表明安全事件已经发现，就需要立刻做备份。立刻进行一个完整的备份可以捕获可能会被破坏的证据，使得有机会看到并分析它。做两个备份，一个做为证据，保持密封状态，另一个就作为额外备份作用的资源。4.3.4 更换密码在所有受影响的系

32、统都要立刻进行密码变更。密码应该在被危及系统和所有定期和被危及系统联系的系统上被更改，并且通报所有受密码变更影响的员工。如果嗅探设备被探测或者被怀疑，在LAN上所有系统的密码可能都已经被危及。要注意，用户改变的密码，没有在其他的计算机系统上使用着。4.4 清除制止计算机安全事件造成破坏之后需要做的就是清除事件造成的影响。在病毒入侵环境下，组织机构将使用一种或者更多种被认证的商业病毒清除应用软件，清除所有系统和介质（例如：软盘、备份存储介质）的病毒。组织机构知道许多入侵都会留下难以定位的良性的或恶意的“制造品”。所以，组织机构将要注意清除: 1) 恶意制造物；（例如木马程序）；和2) 良性制造物

33、，仅当它们对资产表现出具有非常严重的风险时。4.4.1 确定动机和征兆使用遏制阶段搜集的信息并搜集其他信息。如果不能确定单一的攻击形式，就不能列出攻击并分级分类。4.4.2 增强防御执行适当的保护技术，象防火墙或者路由过滤器，移动系统到一个新的的名称/IP地址，或者在极限条件下，将机器功能控制过渡到一个更加安全的操作系统。4.4.3 执行脆弱性分析使用可靠的脆弱性分析工具，来扫描与受破坏的系统相连的脆弱系统。4.5 恢复组织机构定义恢复阶段来恢复系统到它的正常操作状态。4.5.1 确定行动方针在相关简单事件（例如试图但是没有成功入侵系统）发生时，恢复要求要保证事件对组织机构的计算机或者数据资源

34、没有负面影响。在复杂事件发生时，象：入侵者植入恶意代码，恢复可能要求利用备份盘或者对组织机构灾难恢复计划的全部执行，来进行完整的恢复操作。4.5.2 监测和验证系统首先，要通过读数据确定备份本身的完整性。一旦系统已经通过备份恢复，验证操作成功性和系统是否已经返回到它的正常操作状态。第二，经由正常任务开始运行系统，利用网络日志员和系统日志文件一同来密切监测它。要密切监测可能已经逃避了检测的潜在系统后门。4.6 追踪组织机构意识到在恢复阶段之后将更多的资源投入到事件当中不是总能有成效比的。然而，组织机构也知道在恢复之后继续追踪事件可以帮助完善事件处理程序。4.6.1 文档化事件的响应量获取对以下问

35、题的回答来评估处理这些事件的组织的执行情况：l 对事件是否有充足的准备？l 检测是否及时启动，或如果没有，为什么？l 其他工具是否可以帮助检测和消除处理？l 事件是否充分地被遏制？l 通信是否充足，或者可能会更好？l 面临的实际困难是什么？4.6.2 文档化事件成本内部确定员工工作时间需要和事件相联系（包括对系统的必要恢复时间）。这导致以下的成本分析：l 相关的现金成本是多少？ l 事件中断了正在进行的操作，损失多少？l 数据是否不能恢复，如果是，数据价值多少？l 是否有硬件损坏，如果有，成本多少？根据事件获取的经济成本对起诉有帮助，并且可以作为一个基础为将来的安全服务预算要求提供证明。4.6

36、.3 准备报告根据事件类型，组织机构将准备报告，包括经验教训和上面提到的成本分析。可用来加深组织机构员工意识的那部分报告内容将在培训中适当发送和使用。参见这份指导附录的报告。4.6.4 修订策略和程序组织机构知道执行有效的计算机安全策略和程序经常要求根据经验来进行修订。所以，每个事件的经验教训都被用来审查组织机构的计算机安全措施。第 5 章 法律问题为避免危及到起诉计算机犯罪的犯罪者的能力，组织机构系统向所有想登录系统的用户显示了一个醒目的警告标语。警告标语（下面显示有副本）警告用户，系统是一个政府系统，仅作为官方用途。任何非法使用都可能导致犯罪的起诉。登录标语也包括一个描述，说明使用系统时自

37、愿同意被监测有关计算资源的活动。关于计算机使用的组织机构策略 “使用这个系统只能为了组织机构授权目的之用。任何其他的使用都是违反国家法律的政府资源滥用行为。在任何时间系统的所有信息都受已授权的组织机构员工的访问影响。个人用户对那些信息没有窃密意识。 OKOK 第 6 章 结论这些指导方针就事件响应问题强调了两个基本原则。第一个原则就是强调采取定义好的、系统的响应计算机安全相关事件的程序的重要性。组织机构事件响应程序的六个阶段（准备、检测、遏制、消除、恢复和追踪）提供了保护组织机构计算机资源的合理基础。它们也可以作为根据操作环境开发不同的客户程序的基础。 响应这些事件的唯一有效方法就是使用一个结

38、构化的方法。第二个原则就是要有系统的指导，否则事件响应处理过程就没有价值。响应协作是事件处理的关键因素。组织机构员工如果适当协调合作，可以有效减少处理事件的工作时间。附录A : 组织机构计算机系统事件报告表格这份报告原则上被设计用作ITC、CSO和CIRT的统一的事件文档格式。另外，它可能对搜集更多的数据进行更进一步的分析是有用的；文档化这些分析将包括有根据组织机构使命、法律和策略要求建立的最新报告。组织机构计算机系统事件报告表格1.本事件的联系信息姓名：部门：职务：地址办公室电话：手机/呼机：传真：2.受影响的计算机/网络的物理位置（如果有用，需包括大楼号、房间号和条码信息）3.事件发生的日

39、期和时间日期（月/日/年）：时间（时：分：秒： 上午/下午/时区）：4.事件类型（检查所有使用的）： 入侵 Root危及 拒绝服务 网站破坏 病毒/恶意代码 用户帐号威胁 系统滥用 Hoax 社交工程学 网络扫描/探测 技术漏洞 其他（说明）：4a.如果是病毒， 提供病毒的名称： 提供任何有关这个病毒信息的URL： 提供事件大纲： 已采取的防止或者去除更深感染的措施：4b.如果是技术漏洞， 用通用术语描述漏洞的特性和结果： 描述漏洞发生的条件： 描述漏洞或者设计缺陷的具体影响： 显示是否已经通报应用商：5.受影响的系统信息IP 地址： 计算机/主机名称： 操作系统（包括发行号） 其他应用软件：

40、 6.（包括硬件/软件，版本号或者发行号）：7.受影响的主机数量： 1到100 100到1000 大于10008.明显的或者可疑源的IP 地址：源IP 地址： 其他可用信息：9.事件评估这个事件对生命、分支或者关键机构服务是否构成威胁？ 是 否 如果是，请详细描述：系统中数据的敏感度：事件引起的破坏或者发现：10.共享信息：是否已引起公安局的注意？ 是 否如果是，提供通报的名称和日期：考虑信息可能和组织机构之外的哪些人共享这些信息（不要留有空白，要检查所有的）： XX 其他政府响应团队 其他（说明）： 没有已授权的可共享信息注意：共享是为了统计分析和趋势项目。然而，以上提供的任何已授权的共享可能会为以后的分析或者调查加入组织详细信息。事件必须报告给相关机构和你的OIG。11.其他信息（如果这个事件和以前已报告的事件相关联，填入以前已分配的事件号作为参考）：这个表格交到：计算机安全办公室办公室地址： 表格 A-XXX 2003年X月