信息安全软考「软考-信息安全工程师学习笔记81——网络安全应急响应技术与工具」

时间：2023-03-20 14:21:02来源：搜狐

今天带来信息安全软考「软考-信息安全工程师学习笔记81——网络安全应急响应技术与工具」，关于信息安全软考「软考-信息安全工程师学习笔记81——网络安全应急响应技术与工具」很多人还不知道，现在让我们一起来看看吧！

常见的网络安全应急响应技术：

访问控制网络安全评估网络安全监测系统恢复入侵取证

网络安全应急响应技术概况

访问控制

访问控制是网络安全应急响应的重要技术手段，其主要用途是控制网络资源不被非法访问，限制安全事件的影响范围。

根据访问控制的对象的不同，访问控制的技术手段

网络访问控制主机访问控制数据库访问控制应用服务访问控制等

访问控制手段可以通过如下技术实现

防火墙代理服务器路由器VLAN用户身份认证授权

网络安全评估

恶意代码检测

利用恶意代码检测工具分析受害系统是否安装了病毒、木马、蟎虫或间谍软件。

常用的恶意代码检测工具主要有D盾_Web查杀(英文名WebShellKill) 、chkrootkit、 rkhunter 以及360杀毒工具等。

漏洞扫描

通过漏洞扫描工具检查受害系统所存在的漏洞，然后分析漏洞的危害性。

常用的漏洞扫描工具主要有端口扫播工具Nmap、Ness等。

文件完整性检查

文件完整性检查的目的是发现受害系统中被篡改的文件或操作系统的内核是否被替换。

例如，在UNIX系统上，容易被特洛伊木马代替的二进制文件通常有: telnet、 intetnetd. login.su、ftp、 ls、ps、 nctstat、 ifconfig、 find、 du、 df、 libe、 sync、inetd 和syslogd. 除此之外,工作人员还需要检查所有被einecd.cn文件引用的文件，重要的网络和系统程序以及共享库文件。因此，对于UNIX系统，网络管理员可使用cmp命令直接把系统中的二进制文件和原始发布介质上对应的文件进行比较。或者利用MDS工具进行Hash值校验，其方法是向供应商获取其发布的二进制文件的Hash值，然后使用MD5工具对可疑的二进制文件进行检查。

系统配置文件检查

攻击者进入受害系统后，一般会对系统文件进行修改，以利于后续攻击或控制。网络管理员通过对系统配置文件检查分析，可以发现攻击者对受害系统的操作。例如，在UNIX系统中,网络管理员需要进行下列检查:

检查/etc/passwd文件中是否有可疑的用户。检查/etc/inet.conf文件是否被修改过。检查/etc/services文件是否被修改过。检查r命令配置/etc/hosts .equiv或者.rhosts文件。检查新的SUID和SGID文件,使用find命令找出系统中的所有SUID和SGID文件

网卡混杂模式检查

网卡混杂模式检查的目的是确认受害系统中是否安装了网络嗅探器。由于网络嗅探器可以监视和记录网络信息，入侵者通常会使用网络嗅探器获得网络上传输的用户名和密码。

文件系统检查

文件系统检查的具的是确认受害系统中是否有入侵者创建的文件。一般来说，入侵者会在受害系统中建立隐藏目录或隐藏文件，以利于后续入侵。

日志文件审查

审查受害系统的日志文件，可以让应急响应人员掌握入侵者的系统侵入途径、入侵者的执行操作。

网络安全监测

网络安全监测的目的是对受害系统的网络活动或内部活动进行分析,获取受害系统的当前状态信息。

网络流量监测

通过利用网络监测工具,获取受害系统的网络流量数据，挖掘分析受害系统在网络上的通信信息，以发现受害系统的网上异常行为，特别是一些隐蔽的网络攻击，如远控木马、窃密木马、网络蠕虫、勒索病毒等。

常用的网络监测工具有TCPDump、TCPView、Snort、WireShark、netstat。

系统自身监测

系统自身监测的目的主要在于掌握受害系统的当前活动状态，以确认入侵者在受害系统的操作。系统自身监测的方法包括如下几个方面。

1) 受害系统的网络通信状态监测

用netstat命令、TCPView、HTTPNetworkSniffe等显示当前受害机器的网络监听程序及网给连接。

2)受害系统的操作系统进程活动状态监测

在Linux/UNIX系统中，用ps命令查看受害机器的活动进程。在Windows系统中，可用Autoruns、 Process Explorer、ListDLLs 等查看系统进程活动状况。

3)受害系统的用户活动状况监测

用who命令显示受害系统的在线用户信息

4)受害系统的用户活动状况监测

用amp命令查看受害机器的地址解析缓存表

5)受害系统的进程资源使用状况监测

UNIX/Linux系统中可用lsof工具检查进程使用的文件、TCP/udp端口、用户等相关信息,Windows系统下，可以使用fport工具对相关进程和端口号进行关联。

系统恢复

系统恢复技术用于将受害系统进行安全处理后，使其重新正常运行，尽量降低攻击造成的损失。

1.系统紧急启动

当计算机系统因口令遗忘、系统文件丢失等导致系统无法正常使用的时候，利用系统紧急启动盘可以恢复受损的系统，重新获取受损的系统访问权限。

系统紧急启动盘主要的作用是实现计算设备的操作系统引导恢复

主要类型有光盘、U盘。系统紧急启动盘保存操作系统最小化启动相关文件，能够独立完成对相关设备的启动。

2.恶意代码清除

系统遭受恶意代码攻击后无法正常使用，通过使用安全专用工具，对受害系统的恶意代码进行清除。

3.系统漏洞修补

针对受害系统，通过安全工具检查相应的安全漏洞，然后安装补丁软件。

4.文件删除恢复

操作系统删除文件时，只是在该文件的文件目录项上做一个删除标记，把FAT表中所占用的簇标记为空簇，而DATA区域中的簇仍旧保存着原文件的内容。因此，计算机普通文件删除只是逻辑做标记，而不是物理上清除，此时通过安全恢复工具，可以把已删除的文件找回来。

5.系统备份容灾

常见的备份容灾技术主要有磁盘阵列、双机热备系统、容灾中心等。

当运行系统受到攻击瘫痪后，启用备份容灾系统，以保持业务连续运行和数据安全。

《信息安全技术信息系统灾难恢复规范(GB/T 20988- -2007)》定义了六个灾难恢复等级和技术要求

等级一：基本支持。要求数据备份系统能够保证每周至少进行一次数据备份，备份介质能够提供场外存放。对于备用数据处理系统和备用网络系统，没有具体要求。

等级二：备用场地支持。在满足等级一的条件基础上，要求配备灾难恢复所需的部分数据处理设备，或灾难发生后能在预定时间内调配所需的数据处理设备到备用场地；要求配备部分通信线路和相应的网络设备，或灾难发生后能在预定时间内调配所需的通信线路和网络设备到备用场地。

等级三：电子传输和设备支持。要求每天至少进行一次完全数据备份，备份介质场外存放，同时每天多次利用通信网络将关键数据定时批量传送至备用场地。配备灾难恢复所需的部分数据处理设备、通信线路和相应的网络设备。

等级四：电子传输及完整设备支持。在等级三的基础上，要求配置灾难恢复所需的所有数据处理设备、通信线路和相应的网络设备，并且处于就绪或运行状态。

等级五：实时数据传输及完整设备支持。除要求每天至少进行一次完全数据备份，备份介质场外存放外，还要求采用远程数据复制技术，利用通信网络将关键数据实时复制到备用场地。

等级六：数据零丢失和远程集群支持。要求实现远程实时备份，数据零丢失；备用数据处理系统具备与生产数据处理系统一致的处理能力，应用软件是“集群的”，可实时切换。

转自中国存储网
(原文链接：《信息系统灾难恢复规范》 - 灾备建设国家标准解读-容灾-中存储网)

人侵取证

入侵取证是指通过特定的软件和工具，从计算机及网络系统中提取攻击证据。

依据证据信息变化的特点，可以将证据信息分成两大类

第一类是实时信息或易失信息，例如内存和网络连接第二类是非易失信息，不会随设备断电而丢失。

可以作为证据或证据关联的信息有以下几种:

日志，如操作系统日志、网络访问日志等;文件，如操作系统文件大小、文件内容、文件创建日期、交换文件等:系统进程，如进程名、进程访问文件等;用户，特别是在线用户的服务时间、使用方式等:系统状态，如系统开放的服务及网络运行的模式等;网络通信连接记录，如网络路由器的运行日志等;磁盘介质，包括硬盘、光盘、USB 等，特别是磁盘隐藏空间。

网络安全取证一般包含如下6个步骤:

取证现场保护。保护受害系统或设备的完整性，防止证据信息丢失。识别证据。识别可获取的证据信息类型，应用适当的获取技术与工具。传输证据。将获取的信息安全地传送到取证设备。保存证据。存储证据，并确保存储的数据与原始数据一致。分析证据。将有关证据进行关联分析，构造证据链，重现攻击过程。提交证据。向管理者、律师或者法院提交证据。

在取证过程中，每一步的执行都涉及相关的技术与工具。

1.证据获取

此类技术用于从受害系统获取原始证据数据

常见证据有系统时间、系统配置信息、关键系统文件、系统用户信息、系统日志、垃圾箱文件、网络访问记录、恢复已删除的文件、防火墙日志、IDS 日志等。

典型工具有ipconfig、ifconfig、 netstat、 fport、 Isof、 date、 time、 who、ps、TCPDump等

2.证据安全保护

此类技术用于保护受害系统的证据的完整性及保密性，防止证据受到破坏或非法访问,如用md5sum、Tripwire 保护相关证据数据的完整性，便用PGP加密电子邮件。

3.证据分析

此类技术用于分析受害系统的证据数据

常见的技术方法有关键词搜索、可疑文件分析、数据挖掘等。