网络与信息安全应急响应技术规范与指南.docx

1、网络与信息安全应急响应技术规范与指南中国移动网络与信息安全应急响应技术规范与指南版本号：V1.0中国移动通信有限责任公司二零零四年十一月前言制定本文档的目的是为中国移动提供网络与信息安全响应工作的技术规范及指南，本规范含了一个关于安全攻防的具体技术内容的附件。本文档由中国移动通信有限公司网络部提出并归口。解释权归属于中国移动通信有限公司网络部。本文档起草单位：中国移动通信有限公司网络部本文档主要起草人：王新旺、蔡洗非、陈敏时、彭泉、刘小云、王亮、余晓敏、周碧波、刘楠、谢朝霞本文档解释单位：中国移动通信有限公司网络部一、背景随着我国的互联网络迅猛发展，互联网络已经深入到各行各业当中，在我国的经济

2、生活中发挥着日益重要的作用。中国移动计算机网络系统作为我国最庞大的网络系统之一，网络安全问题的重要性随着移动业务的重要性提高而日益凸显。一直以来，中国移动通信有限公司都在不断加强网络安全保护设施，以保证整个网络的信息安全。近几年黑客活动日益频繁，病毒多次爆发，涉及面广，危害性大，渗透性深，各类计算机网络安全事件层出不穷，移动骨干网络和全国各省分公司计算机信息系统都不同程度地存在爆发安全危机的隐患。为了提高中国移动网络安全事件应急响应能力，规范相关应急响应技术，中国移动通信有限公司决定起草编写网络与信息安全应急响应技术规范与指南，由技术部门牵头并提供业务指导，深圳市安络科技有限公司提供具体实施的

3、技术配合工作。二、适用范围本规范仅适用于中国移动通信有限公司（其中包括各省移动通信有限公司），开展安全事件应急响应工作。本规范从安全事件应急响应的技术角度，为中国移动提供通用的技术参考和规范说明。本规范不包含应急响应管理方面的内容，也未阐述适用中国移动特定的业务专用应急技术。相关内容应分别在管理规范和业务系统的应急预案与连续性计划中体现。系统随着安全事件应急响应技术的不断发展，本规范的相关部分也需要进行相应的调整完善。三、编制依据本规范依据中国移动互联网（CMnet）网络安全管理办法 2002版四、阅读对象本文详细地分析了计算机及网络系统面临的威胁与黑客攻击方法，详尽、具体地披露了攻击技术的真

4、相，给出了防范策略和技术实现措施。阅读对象限于中国移动的系统维护人员、安全技术人员和安全评估人员。XX严禁传播此文档。 五、引用标准RFC 793Transmission Control ProtocolRFC 768User Datagram ProtocolRFC 821Simple Mail Transfer ProtocolRFC 959File Transfer ProtocolRFC 2616Hypertext Transfer ProtocolRFC 792Internet Control Message ProtocalRFC 828Ethernet Address Resol

5、ution ProtocolRFC 2196 Site Security Handbook六、缩略语CMnet： 中国移动互联网CMCert/CC： 中国移动网络与信息安全应急小组TCP： Transmission Control ProtocolUDP： User Datagram ProtocolSMTP： Simple Mail Transfer ProtocolHTTP： Hypertext Transfer ProtocolICMP： Internet Control Message ProtocolARP： Ethernet Address Resolution ProtocolF

6、TP： File Transfer Protocol七、安全事件及分类安全事件是有可能损害资产安全属性（机密性、完整性、可用性）的任何活动。本文所称安全事件特指由外部和内部的攻击所引起的危害业务系统或支撑系统安全并可能引起损失的事件。安全事件可能給企业带来可计算的财务损失和公司的信誉损失本文采用两种分类原则对安全事件进行了分类：基于受攻击设备的分类原则（面向中国移动系统维护人员）和基于安全事件原因的分类原则（面向中国移动安全技术人员）。在准备和检测阶段依据攻击设备分类原则进行阐述，其他后续阶段依据安全事件原因进行阐述。基于受攻击设备分类原则，安全事件分为：主机设备安全事件网络设备安全事件数据库

7、系统安全事件基于安全事件原因的分类原则，安全事件分为：拒绝服务类安全事件拒绝服务类安全事件是指由于恶意用户利用挤占带宽、消耗系统资源等攻击方法使系统无法为正常用户提供服务所引起的安全事件。系统漏洞类安全事件系统漏洞类安全事件是指由于恶意用户利用系统的安全漏洞对系统进行未授权的访问或破坏所引起的安全事件。网络欺骗类安全事件网络欺骗类安全事件是指由于恶意用户利用发送虚假电子邮件、建立虚假服务网站、发送虚假网络消息等方法对系统或用户进行未授权的访问或破坏所引起的安全事件。网络窃听类安全事件网络窃听类安全事件是指由于恶意用户利用以太网监听、键盘记录等方法获取未授权的信息或资料所引起的安全事件。数据库注

8、入类安全事件数据库注入类安全事件是指由于恶意用户通过提交特殊的参数从而达到获取数据库中存储的数据、得到数据库用户的权限所引起的安全事件。恶意代码类安全事件恶意代码类安全事件是指恶意用户利用病毒、蠕虫、特洛伊木马等其他恶意代码破坏网络可用性或窃取网络中数据所引起的安全事件。操作误用类安全事件操作误用类安全事件是指合法用户由于误操作造成网络或系统不能正常提供服务所引起的安全事件。在上面的分类中可能存在一个具体的安全事件同时属于几类的情况，比如，蠕虫病毒引起的安全事件，就有可能同时属于拒绝服务类的安全事件，系统漏洞类安全事件，和恶意代码类安全事件。此时，应根据安全事件特征的轻重缓急，来合理的选择应对

9、的技术措施。仍然以蠕虫病毒为例，在抑制阶段，可能侧重采用对抗拒绝服务攻击的措施，控制蠕虫传播，疏通网络流量，缓解病毒对业务带来的压力。在根除阶段采用恶意代码类安全事件的应对措施孤立并清除被感染的病毒源。而在恢复阶段，主要侧重于消除被感染主机存在的安全漏洞，从而避免再次感染相同的蠕虫病毒。随着攻击手段的增多，安全事件的种类需要不断补充。八、安全事件应急响应安全事件应急响应是指针对已经发生或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全属性的活动。良好的安全事件响应遵循事先制定的流程和技术规范。本文所指的安全事件应急响应特指对已经发生的安全事件进行分析和处理的过程。安全事件应急响应工作

10、的特点是高度的压力，短暂的时间和有限的资源。应急响应是一项需要充分的准备并严密组织的工作。它必须避免不正确的和可能是灾难性的动作或忽略了关键步骤的情况发生。它的大部分工作应该是对各种可能发生的安全事件制定应急预案，并通过多种形式的应急演练，不断提高应急预案的实际可操作性。具有必要技能和相当资源的应急响应组织是安全事件响应的保障。参与具体安全事件应急响应的人员应当不仅包括中国移动应急组织的人员，还应包括安全事件涉及到的业务系统维护人员、设备提供商、集成商和第三方安全应急服务提供人员等，从而保证具有足够的知识和技能应对当前的安全事件。应急响应除了需要技术方面的技能外，还需要管理能力，相关的法律知识

11、、沟通协调的技能、写作技巧、甚至心理学的知识。在系统通常存在各种残余风险的客观情况下，应急响应是一个必要的保护策略。同时需要强调的是，尽管有效的应急响应可以在某种程度上弥补安全防护措施的不足，但不可能完全代替安全防护措施。缺乏必要的安全措施，会带来更多的安全事件，最终造成资源的浪费。安全事件应急响应的目标通常包括：采取紧急措施，恢复业务到正常服务状态；调查安全事件发生的原因，避免同类安全事件再次发生；在需要司法机关介入时，提供法律任何的数字证据等。在规范中以安全事件应急响应6阶段（PDCERF）方法学为主线介绍安全事件应急响应的过程和具体工作内容。6阶段（PDCERF）方法学不是安全事件应急响

12、应唯一的方法，结合中国移动安全事件应急响应工作经验，在实际应急响应过程中，也不一定严格存在这6个阶段，也不一定严格按照6阶段的顺序进行。但它是目前适用性较强的应急响应的通用方法学。它包括准备、检测、抑制、根除、恢复和跟进6个阶段。6阶段方法学的简要关系见下图。准备阶段：准备阶段是安全事件响应的第一个阶段，即在事件真正发生前为事件响应做好准备。这一阶段极为重要，因为事件发生时可能需要在短时间内处理较多的事物，如果没有足够的准备，那么将无法正确的完成响应工作。在准备阶段请关注以下信息：基于威胁建立合理的安全保障措施建立有针对性的安全事件应急响应预案，并进行应急演练为安全事件应急响应提供足够的资源和

13、人员建立支持事件响应活动管理体系检测阶段：检测是指以适当的方法确认在系统/网络中是否出现了恶意代码、文件和目录是否被篡改等异常活动/现象。如果可能的话同时确定它的影响范围和问题原因。在操作的角度来讲，事件响应过程中所有的后续阶段都依赖于检测，如果没有检测，就不会存在真正意义上的事件响应。检测阶段是事件响应的触发条件。抑制阶段：抑制阶段是事件响应的第三个阶段，它的目的是限制攻击/破坏所波及的范围。同时也是限制潜在的损失。所有的抑制活动都是建立在能正确检测事件的基础上，抑制活动必须结合检测阶段发现的安全事件的现象、性质、范围等属性，制定并实施正确的抑制策略。抑制策略可能包含以下内容：完全关闭所有系

14、统；从网络上断开主机或部分网络；修改所有的防火墙和路由器的过滤规则；封锁或删除被攻击的登陆账号；加强对系统或网络行为的监控；设置诱饵服务器进一步获取事件信息；关闭受攻击系统或其他相关系统的部分服务；根除阶段：安全事件应急响应6阶段方法论的第4阶段是根除阶段，即在准确的抑制事件后，找出事件的根源并彻底根除它，以避免攻击者再次使用相同手段攻击系统，引发安全事件。在根除阶段中将需要利用到在准备阶段中产生的结果。恢复阶段：将事件的根源根除后，将进入恢复阶段。恢复阶段的目标是把所有被攻破的系统或网络设备还原到它们正常的任务状态。跟进阶段：安全事件应急响应6阶段方法论的最后一个阶段是跟进阶段，其目标是回顾

15、并整合发生事件的相关信息。跟进阶段也是6个阶段中最可能被忽略的阶段。但这一步也是非常关键的。该阶段需要完成的原因有以下几点：有助于从安全事件中吸取经验教训，提高技能；有助于评判应急响应组织的事件响应能力；九、文档内容概述本规范的主要内容是应急响应技术规范，分别对应急响应流程中每个环节所用到的技术进行了阐述。整个文档由正文和附件两个文档组成，其中正文部分以应急响应方法学的六个阶段（准备、检测、抑制、根除、恢复和跟进）为主线顺序划分章节，并对安全事件响应过程中涉及的取证流程和工具进行了简要的说明。附件部分是关于安全攻防的具体技术内容。正文的主要内容是：第一章，“准备阶段”，主要阐述了准备阶段为应急

16、响应后续阶段工作制作系统初始化状态快照的相关内容和技术，并以Windows、Solaris系统为例对安全初始化快照生成步骤做了详细的说明，也阐述了Windows、Solaris、Oracle等系统的应急处理工具包包含的内容和制作要求做了详细的说明。建立安全保障措施、制定安全事件应急预案，进行应急演练等内容不包含在本规范阐述的范围之内。第二章，“检测阶段”，详细阐述了结合准备阶段生成的系统初始化状态快照检测安全事件(系统安全事件、网络安全事件、数据库安全事件)相关内容和技术，并以Windows、Solaris系统为例做了详细的说明。本规范不阐述通过入侵检测系统、用户投诉等其他途径检测安全事件的技

17、术内容。第三章，“抑制和根除阶段”，阐述了各类安全事件(拒绝服务类攻击、系统漏洞及恶意代码类攻击、网络欺骗类攻击、网络窃听类攻击、数据库SQL注入类攻击)相应的抑制或根除方法和技术, 并以Windows、Solaris系统为例做了详细的说明。第四章，“恢复阶段”，说明了将系统恢复到正常的任务状态的方式。详细说明了两种恢复的方式。一是在应急处理方案中列明所有系统变化的情况下，直接删除并恢复所有变化。二是在应急处理方案中未列明所有系统变化的情况下，重装系统。第五章，“跟进阶段”，为对抑制或根除的效果进行审计，确认系统没有被再次入侵提供了帮助。并说明了跟进阶段的工作要如何进行、在何时进行比较合适、具

18、体的工作流程、要思考和总结的问题以及需要报告的内容。第六章，“取证流程和工具”，取证工作提供了可参考的工作流程，并列举了部分取证工具的使用方法。尽管本规范和指南在写作之初就做了全局性的规划，内容的组织形式不依赖于具体的攻击情景，事件分类方法具有较完备的覆盖性，从而可在一定程度上保证文档内容的稳定性。本规范档是以应急响应方法学为主线，突出通用的过程。但由于安全攻击手段层出不穷，作者写作时间和水平有限，本规范和指南还需要在今后结合中国移动的实际情况不断对其进行补充和完善。1准备阶段主要阐述了准备阶段为应急响应后续阶段工作制作系统初始化状态快照的相关内容和技术，并以Windows、Solaris系统

19、为例对安全初始化快照生成步骤做了详细的说明，也阐述了Windows、Solaris、Oracle等系统的应急处理工具包包含的内容和制作要求做了详细的说明。准备阶段还应包括的建立安全保障措施、制定安全事件应急预案，进行应急演练等内容不包含在本规范阐述的范围之内，请参考中国移动相关规范。1.1概述1.1.1准备阶段工作内容准备阶段的工作内容主要有两个，一是对信息系统进行初始化的快照。二是准备应急响应工具包。系统快照是信息系统进程、账号、服务端口和关键文件签名等状态信息的记录。通过在系统初始化或发生重要状态改变后，在确保系统未被入侵的前提下，立即制作并保存系统快照，并在检测的时候将保存的快照与信息系

20、统当前状态进行对比，是发现安全事件的一种重要途径。1.1.1.1系统快照系统快照是系统状态的精简化描述。在确保系统未被入侵的前提下，应在以下时机由系统维护人员完成系统快照的生成和保存工作系统初始化安装完成后系统重要配置文件发生更改后系统进行软件升级后系统发生过安全入侵事件并恢复后在今后的安全检测时，通过将最近保存的系统快照与当前系统快照进行仔细的核对，能够快速、准确的发现系统的改变或异常。准备阶段还应包括建立安全保障措施、对系统进行安全加固，制定安全事件应急预案，进行应急演练等内容。这些内容不在本规范档中进行详细的阐述。主机系统快照，应包括但并不限于以下内容：系统进程快照；关键文件签名快照；开

21、放的对外服务端口快照；系统资源利用率的快照；注册表快照；计划任务快照；系统账号快照；日志及审核策略快照。以上内容中的系统进程快照、关键文件签名和系统账号快照尤为重要，一般入侵事件均可通过此三项快照的关联分析查找获得重要信息。网络设备快照应包括但并不限于以下内容：路由快照；设备账号快照；系统资源利用率快照；数据库系统快照照应包括但并不限于以下内容：开启的服务所有用户及所具有的角色及权限概要文件数据库参数所有初始化参数1.1.1.2应急响应工具包应急工具包是指网络与信息安全应急事件处理过程中将使用工具集合。该工具包应由安全技术人员及时建立，并定时更新。使用应急响应工具包中的工具所产生的结果将是网络

22、与信息安全应急事件处理过程中的可信基础。本规范结合中国移动实际工作情况，具体说明了Windows应急响应工具包和Unix/Linux应急响应工具包。工具包应尽量放置在不可更改的介质上，如只读光盘。1.1.2 准备阶段工作流程第一步：系统维护人员按照系统的初始化策略对系统进行安装和配置加固第二步：系统维护人员对安装和配置加固后的系统进行自我检查，确认是否加固完成第三步：系统维护人员建立系统状态快照第四步：系统维护人员对快照信息进行完整性签名，以防止快照被非法篡改第五步：系统维护人员将快照保存在与系统分离的存储介质上1.1.3 准备阶段操作说明1) 对系统的影响：本章操作不会对系统造成影响，在系统

23、正常运行情况下执行各个步骤；2) 操作的复杂度(容易/普通/复杂/)：容易；3) 操作效果：对执行后的结果必须保存到不可更改的存储介质；4) 操作人员：各操作系统、数据库、网络设备的系统维护人员1.2主机和网络设备安全初始化快照1、Windows安全初始化快照生成帐号快照；生成进程快照；生成服务快照；生成自启动快照；生成文件签名快照；生成网络连接快照；生成共享快照；生成定时作业快照；生成注册表快照；保存所有快照到光盘内2、Unix安全初始化快照获得所有setuid和setgid的文件列表；获得所有的隐藏文件列表；获得初始化进程列表；获得开放的端口列表获得开放的服务列表；获得初始化passwd文

24、件信息；获得初始化shadow文件信息；获得初始化的不能ftp登陆的用户信息；获得初始化的用户组信息；获得初始化的 /etc/hosts文件信息；获得初始化的/etc/default/login文件信息；获得/var/log目录下的初始化文件列表信息；获得/var/adm目录下的初始化文件列表信息；获得初始化计划任务列表文件；获得初始化加载的内核模块列表；获得初始化日志配置文件/etc/syslog.conf信息；获得初始化md5校验和信息；保存所有快照到光盘内。3、网络设备安全初始化快照获取用户访问线路列表；获取用户权限信息列表；获取开放端口列表；获取路由表；获取访问控制列表；获取路由器CP

25、U状态；保存所有信息到光盘内。4、数据库安全初始化快照获取Oracle 数据库用户信息；获取DEFAULT概要文件信息；获取数据库参数信息；获取Oracle 其他初始化参数信息；保存所有信息到光盘内。5、安全加固及系统备份1.2.1 Windows安全初始化快照1、获取帐号信息：说明：Windows 2000 Server缺省安装后有五个帐号，其中两个帐号是IIS帐号，一个是安装了终端服务的终端用户帐号，如果系统维护人员自己创建了帐号，也要记录在案。操作方法：使用net user 命令（Windows系统自带）可以列举出系统当前帐号。附加信息：Windows 2000 Server缺省安装后的

26、五个帐号名称：Administrator：默认系统维护人员帐号Guest：来宾用户帐号IUSR_机器名：IIS来宾帐号IWAM_机器名：启动IIS的进程帐号TsInternetUser：终端用户帐号2、获取进程列表：说明：系统维护人员应在系统安装配置完成后对系统进程做快照。操作方法：通过使用pslist命令(第三方工具，下载)，能够列举当前进程建立快照。 使用Widnows任务管理器（Windows系统自带）也可以列举出当前进程，但推荐使用pslist工具。附加信息：请参见附录1察看Windows 2000 Server系统进程名及对应功能。3、获取服务列表：说明：系统维护人员应在系统安装配置

27、完成后对系统服务做服务快照。操作方法：使用sc query state= all命令格式（Windows资源工具箱中的工具）可以列举出系统当前服务信息。附加信息：请参见附录2察看Windows 2000 Server系统服务。4、获取自启动程序信息：说明：Windows 2000 Server缺省安装后并无自启动项目。如果系统维护人员自己安装了某些软件，比如Office，打印机等等，缺省情况下将被添加到自启动目录中。操作方法：检查各用户目录下的“开始菜单程序启动”目录5、获取系统关键文件签名：说明：Windows 2000 Server缺省安装后，系统维护人员应利用md5sum工具，对系统重要

28、文件生成系统MD5快照，然后将这些签名信息保存在安全的服务器上，以后可做文件对比。操作方法：使用md5sum.exe 命令（第三方工具，使用方法：md5sum FILE.（后面可跟多个文件）。附加信息：建议用户对以下二进制文件和动态连接库文件进行MD5SUM快照。#windirEXPLORER.EXE #windirREGEDIT.EXE #windirNOTEPAD.EXE#windirTASKMAN.EXE #windirsystem32cmd.exe #windirsystem32net.exe#windirsystem32ftp.exe #windirsystem32tftp.exe

29、#windirsystem32at.exe#windirsystem32netstat.exe#windirsystem32ipconfig.exe#windirsystem32arp.exe#windirsystem32KRNL386.EXE#windirsystem32WINLOGON.EXE #windirsystem32TASKMGR.EXE#windirsystem32runonce.exe #windirsystem32rundll32.exe#windirsystem32regedt32.exe#windirsystem32notepad.exe#windirsystem32CM

30、D.EXE#windirsystemCOMMDLG.DLL#windirsystem32HAL.DLL#windirsystem32MSGINA.DLL#windirsystem32WSHTCPIP.DLL#windirsystem32TCPCFG.DLL#windirsystem32EVENTLOG.DLL#windirsystem32COMMDLG.DLL#windirsystem32COMDLG32.DLL#windirsystem32COMCTL32.DLL6、获取网络连接信息：说明：Windows2000缺省情况下系统开放135/139/445/1025 TCP端口，开放 137/138/445UDP端口。如果安装了MS SQL 服务器，还开放TCP1433/UDP1434端口，如果安装了IIS服务器还将开放TCP80端口。操作方法：使用netstat an 命令可以列举出当前系统开放的TCP/UDP端口。附加信息： 建议使用netstat an 命令（Windows系统自带）快照出系统开放端口和正常连接。