新络安全应急管理与技术实践曹雅斌,尤其,张胜生 编9787302629160

篇网络安全应急管理

章概论.2

1.1网络安全应急响应的概念.2

1.2网络安全应急响应的历史背景.3

1.3网络安全应急响应的政策依据.3

1.3.1《网络安全法》关于应急处置和监测预警的规定.4

1.3.2《突发事件应对法》关于应急响应的规定.6

1.3.3《数据安全法》关于应急响应的要求.6

1.3.4《个人信息保护法》关于应急响应的要求.7

第2章网络安全等级保护2.0中的应急响应.9

2.1网络安全等级保护概述.9

2.2网络安全等级保护中事件处置及应急响应的要求与合规指引.10

第3章网络安全应急响应组织与相关标准.16

3.1国际网络安全应急响应组织介绍.16

3.2网络安全应急响应标准.19

3.3《网络安全事件应急预案》概述.20

第4章网络安全事件分级分类.21

4.1信息安全事件分级分类.21

4.2网络安全事件分级.22

4.3网络和信息系统损失程度划分.

第2篇网络安全应急技术与实践

第5章黑客入侵技术.26

5.1入侵前奏分析.26

5.1.1whois查询.26

5.1.2DNS解析查询.26

5.1.3默认404页面信息泄漏.27

5.1.4HTTP状态码.28

5.1.5端口扫描.30

5.1.6社会工程学.32

5.1.7知识链条扩展.32

5.2Web入侵事件.33

5.2.1自动化漏洞挖掘.33

5.2.2旁站入侵.33

5..ARP欺骗.34

5.2.4钓鱼邮件.34

5.2.5DNS劫持.35

5.3主机入侵事件.35

5.4数据库入侵事件.36

5.5拒绝服务攻击事件.37

第6章网络安全应急响应自查技术.38

6.1网络安全应急响应关键流程自查.38

6.2网络安全应急响应关键技术点自查.39

6.2.1账号管理自查.39

6.2.2口令管理自查.40

6..病毒木马自查.40

6.2.4日志审计自查.41

6.2.5远程接入、接入认自查.42

6.2.6网络互联、安全域管理自查.42

6.2.7信息资产清理自查.43

6.2.8安全验收自查.43

6.3物理安全自查.44

6.3.1物理位置选择.44

6.3.2物理访问控制.45

6.3.3防盗窃和防破坏.45

6.3.4防雷击.46

6.3.5防火.46

6.3.6防水和防潮.47

6.3.7防静电.47

6.3.8温湿度控制.47

6.3.9电力供应.48

6.3.10电磁防护.48

第7章网络层安全防御与应急响应演练.50

7.1网络架构安全防御措施检查.50

7.1.1网络架构安全.50

7.1.2访问控制.51

7.1.3安全审计.52

7.1.4安全区域边界.53

7.1.5入侵防范.53

7.1.6恶意代码防范.54

7.2网络设备安全防御检查.54

7.2.1访问控制.54

7.2.2安全审计.55

7..网络设备防护.56

7.3网络层攻击分析与应急响应演练.57

7.3.1网络层DDoS攻击的防御方法.57

7.3.2网络抓包重现与分析.59

7.3.3分析数据包寻找发起网络扫描的IP.61

7.3.4通过TCP三次握手判断端口开放情况.62

7.3.5无线ARP欺骗与消息监听重现分析.65

7.3.6使用Wireshark进行无线监听重现分析.69

第8章Web层攻击分析与应急响应演练.75

8.1SL注入攻击分析与应急演练.75

8.1.1SL注入漏洞挖掘与利用过程分析.76

8.1.2利用注入漏洞植入木马过程分析.81

8.1.3后门账号添加过程分析.85

8.1.4反弹后门添加过程分析.87

8.1.5入侵排查与应急处置.88

8.1.6SL注入漏洞应急处置.91

8.2XSS高级钓鱼手段分析与应急处置.92

8.2.1利用XSS漏洞的钓鱼攻击.92

8.2.2高级钓鱼攻防.94

8..高级钓鱼手法分析.96

8.2.4XSS漏洞应急处置.96

8.3CSRF攻击分析与应急处置.97

8.3.1攻击脚本准备.98

8.3.2添加恶意留言.98

8.3.3一句话木马自动添加成功.100

8.3.4CSRF漏洞检测与应急处置.101

8.4文件上传漏洞的利用与应急处置.103

8.4.1文件上传漏洞原理.103

8.4.2利用文件上传漏洞进行木马上传.103

8.4.3文件上传漏洞的应急处置.107

8.5Web安全事件应急响应技术总结.108

8.5.1Web应用入侵检测.108

8.5.2Web日志分析.112

8.5.3Apache日志分析.119

8.5.4IIS日志分析.121

8.5.5服务器日志.1

第9章主机层安全应急响应演练.124

9.1Windows木马后门植入.124

9.2Linux系统木马后门植入.129

9.2.1新增用户账户.130

9.2.2破解用户密码.131

9..SUShell.131

9.2.4文件系统后门.133

9.2.5Crond定时任务.133

9.3后门植入监测与防范.134

9.3.1后门监测.134

9.3.2后门防范.134

9.4主机日志分析.135

9.4.1Windows日志分析.135

9.4.2Linux日志分析.147

9.5Windows检查演练.151

9.5.1身份鉴别.151

9.5.2访问控制.152

9.5.3安全审计.153

9.5.4剩余信息保护.154

9.5.5入侵防范.155

9.5.6恶意代码防范.155

9.5.7资源控制.156

9.5.8软件安装.157

9.6Linux检查演练.157

9.6.1身份鉴别.157

9.6.2访问控制.158

9.6.3安全审计.159

9.6.4入侵防范.160

9.6.5资源控制.160

9.7Tomcat检查演练.161

9.7.1访问控制.161

9.7.2安全审计.162

..3控制.162

9.7.4入侵防范.162

9.8WebLogic检查演练.163

9.8.1安全审计.164

9.8.2访问控制.164

9.8.3资源控制.164

9.8.4入侵防范.165

0章数据库层安全应急响应演练.166

10.1MySL数据库程序漏洞利用.166

10.1.1信息收集.166

10.1.2后台登录爆破.168

10.1.3寻找程序漏洞.174

10.1.4SL注入攻击拖库.175

10.2MySL数据库安全配置.177

10.2.1修改root口令并修改默认配置.177

10.2.2使用独立用户运行MySL.78

10..禁止远程连接数据库并连接用户.179

10.2.4MySL服务器权限控制.180

10.2.5数据库备份策略.183

10.3Oracle攻击重现与分析.184

10.3.1探测Oracle端口.184

10.3.2EM控制台令破.185

10.3.3Oracle数据窃取.187

10.4Oracle主机检查演练.188

10.4.1身份鉴别.188

10.4.2访问控制.189

10.4.3安全审计.189

10.4.4剩余信息保护.190

10.4.5入侵防范.190

第3篇网络安全应急响应体系建设

1章应急响应体系建立.192

11.1体系设计原则.193

11.2体系建设实施.193

11.2.1责任体系构建.194

11.2.2业务风险评估与影响分析.195

11..监测与预警体系建设.196

11.2.4应急预案的制定与维护.198

11.2.5应急处理流程的建立.199

11.2.6应急工具的准备.199

2章应急预案的编写与演练.201

12.1应急响应预案的编制.201

12.1.1总则.202

12.1.2角色及职责.203

12.1.3预防和预警机制.204

12.1.4应急响应流程.204

12.1.5应急响应保障措施.208

12.1.6附件.209

12.2应急预案演练.211

12.2.1应急演练形式.211

12.2.2应急演练规划.212

12..应急演练计划阶段.212

12.2.4网络安全事件应急演练准备阶段.214

12.2.5网络安全事件应急演练实施阶段.218

12.2.6网络安全事件应急演练评估与总结阶段.219

3章PDCERF应急响应方法.221

13.1准备阶段.222

13.1.1组建应急小组.222

13.1.2制定应急响应制度规范.224

13.1.3编制应急预案.225

13.1.4培训演练.225

13.2检测阶段.225

13.2.1信息通报.225

13.2.2确定事件类别与事件等级.226

13..应急启动.227

13.3抑制阶段.227

13.3.1抑制方法确定.227

13.3.2抑制方法认可.227

13.3.3抑制实施.228

13.4阶段.228

13.4.1方法确定.228

13.4.2实施.229

13.5恢复阶段.229

13.5.1恢复方法确定.229

13.5.2实施恢复操作.0

13.6跟踪阶段.0

参考文献.1

曹雅斌，长期从事质量管理、认认可和标准化工作，负责质量安全管理和认认可领域的政策法规、制度体系研究建立以及测评认的组织实施工作。现任职于中国安全技术与认中心，负责网络信息安全人员培训与认工作。参加制定多个认认可标准，发表了多篇技术贸易措施相关，编著出版了《世界贸易组织和技术贸易措施》《网络安全应急响应》《信息安全风险管理与实践》等著作。

尤其，长期从事网络与数据安全认认可和人员培训工作。《信息技术安全技术 信息安全管理体系 要求》(ISO/IEC 27001)、《信息技术 安全技术 信息安全管理体系控制实践指南》(ISO/IEC 27002)、《公共安全业务连续管理体系 要求》（ISO 201）、《公共安全业务连续管理系 指南》(ISO 21)等多项标准、行业标准主要起草人之一。出版多部信息安全管理体系专著。国际标准化组织 ISO/IEC SC27/WG1（信息技术 安全技术 信息安全管理国际标准起草组） 注册专家。

张胜生，现就职于北京中安国发信息技术研究院，中央财经大学信息学院校外导师，辽宁学院信息系客座教授，北京市总工会和北京市科学技术委员会联合授予其团队“信息安全应急演练关键技术—张胜生工作室”称号。致力于应急演练与网络犯罪研究，从事企业网安实战教学已有15年，成功打造了“网络犯罪侦查实验室”及系列实训平台，并在辽宁学院等相关院校取得应用成果，荣获“中国信息安全攻防实验室产品实战和实一等奖”。主持翻译了国际信息安全认教材《CISSP认指南》(第6版) ，主持编著了《网络犯罪过程分析与应急响应—红黑演义实战宝典》。

本书围绕应急响应的具体流程与实践操作，带领读者深入浅出地了解与掌握应
急处置工作，让读者从企业的具体需求与实践出发，为开展应急防护工作打下
坚实的基础。
本书共分为 3 篇。
篇（ ～4 章）从网络安全应急响应的基本理论出发，让应急人员了
解相关法律法规，使一切应急行为依法而动。
第2 篇（第 5～10 章）以网络安全应急技术与实践为主，沿着黑客的入侵
路线，详细讲解了黑客主要的入侵方法与攻击手段，同时，我们也从安全管理
员角度出发，详细讲解了如何分析入侵痕迹、检查系统薄弱点、预防黑客入侵，
重点突出如何开展应急自查与应急响应演练。
3 篇（ 1～13 章）从网络安全应急响应体系建设出发，阐述应急响应
体系建立、应急预案的编写与演练以及 PCERF 应急响应方法，其中包含大量
企业实践内容，引用了大量企业应急响应体系建设的实际案例，帮读者了解
如何建立有效且符合法律法规的网络安全应急响应体系。
本书作为信息安全保障人员认（Certified Information Security Assurance
Worker，CISAW）应急管理与服务认培训指定教材。