网络安全建设解决方案

项目背景

应急响应是为了解决客户突发网络或安全事件而开展的一项安全服务。随着“互联网+”时代到来，互联网成为很多社会生产的重要组成部分，而且越来越多的企事业单位采用网络化办公，网络安全应急响应已经不再局限在传统应急通信技术领域，也不再仅仅是国家公共安全管理部门的职责，而是成为各行各业企业、机构日常管理的一部分。

解决方案

当发生数据窃取、木马病毒、拒绝服务攻击等安全事件时，威翰德可结合多年安全服务经验，从准备、检测、抑制、根除、恢复、总结溯源六个方面，进行分析处理，帮助客户降低安全事件对其造成的影响和损失。

1、准备阶段

选择、安装和熟悉响应过程中的协助工具及有助于收集和维护与入侵相关数据的工具，为所有的应用软件和操作系统创建启动盘或随机器发行的介质库。用初始可靠的启动盘（或CD−ROM）使机器以已知的预先设定的配置重新启动，这在相当程度上能保证被入侵后的文件、程序以及数据不会加载到系统中。

为了防止不可预期的变化，在试验机器上安装可信任版本的系统；为了避免有意或无意的破坏，所有的介质应该处于硬件写保护状态。

建立一个包含所有应用程序和不同版本的操作系统的安全补丁库。确保备份程序足够从任何损害中恢复。建立资源工具包并准备相关硬件设备资源工具包，包含在响应过程中可能要使用的所有工具。确保测试系统正确配置且可用在任何分析或测试中，使用被入侵的系统都可能导致这些系统进一步地暴露和损害。已被入侵的系统产生的任何结果都是不可靠的。此外，采用这样的系统或许会由于恶意程序而暴露正在进行的测试。使用物理和逻辑上与任何运行的系统和网络隔离的测试系统和测试网络。选择将被入侵的系统移到测试网络中，并且部署新安装的打过补丁的安全系统，以便继续运行。在完成分析后，清除所有的磁盘，这样可以确保任何残留文件或恶意程序不影响将来的分析，或任何正在测试系统上进行的工作，或无意中被传到其他运行系统中。这在测试系统还有其他用途时是很关键的。备份所有被分析的系统以及保护分析结果，以备将来进一步分析。

2、检测阶段

检测阶段的主要任务有发现可疑迹象或问题发生后进行的一系列初步处理工作，分析所有可能得到的信息来确定入侵行为的特征。

一旦被入侵检测机制或另外可信的站点警告已经检测到了入侵，需要确定系统和数据被入侵到了什么程度。需要权衡收集尽可能多信息的价值和入侵者发现他们的活动被发现的风险之间的关系。一些入侵者会惊慌并试图删除他们活动的所有痕迹，进一步破坏准备拯救的系统。这会使分析无法进行下去。

备份并“隔离”被入侵的系统，进一步查找其他系统上的入侵痕迹。检查防火墙、网络监视软件以及路由器的日志，确定攻击者的入侵路径和方法，以及入侵者进入系统后都做了什么。

在当前缺少安全预警机制的情况下，网络安全的应急响应活动主要还是立足于事中或事后的确认，而且，即使是在事中或事后，也不一定可以发现存在的安全问题，往往都是在已经造成了破坏之后，才发生了对系统可用性、完整性和保密性造成明显破坏的行为或者有了用户投诉后才会去了解发生的安全问题。

一般典型的事故现象包括：

（1）账号被盗用；

（2）骚扰性的垃圾信息；

（3）业务服务功能失效；

（4）业务内容被明显篡改；

（5）系统崩溃、资源不足。

3、抑制阶段

抑制阶段的主要任务是限制事件扩散和影响的范围。抑制举措往往会对合法业务流量造成影响，最有效的抑制方式是尽可能地靠近攻击的发起端实施抑制。但是，一般情况下攻击包都会伪造源IP地址，在Internet这样的大型网络环境中难以确定攻击流的真正来源，因此，要靠近攻击发起端实施面向 Internet 全网的抑制操作在当前技术上依然不成熟。

抑制采用的方式可能有多种，常见的包括：

（1）关掉已受害的系统；

（2）断开网络；

（3）修改防火墙或路由器的过滤规则；

（4）封锁或删除被攻破的登录账号；

（5）关闭可被攻击利用的服务功能。

4、根除阶段

根除阶段的主要任务是通过事件分析查明事件危害的方式，并且给出清除危害的解决方案。

对事件的确认仅是初步的事件分析过程。事件分析的目的是找出问题出现的根本原因。在事件分析的过程中主要有主动和被动2种方式。

主动方式是采用攻击诱骗技术，通过让攻击方去侵入一个受监视存在漏洞的系统，直接观察到攻击方所采用的攻击方法。

被动方式是根据系统的异常现象去追查问题的根本原因。被动方式会综合用到以下的多种方法。

（1）系统异常行为分析：这是在维护系统及其环境特征白板的基础上，通过与正常情况做比较，找出攻击者的活动轨迹以及攻击者在系统中植下的攻击代码。

（2）日志审计：日志审计是通过检查系统及其环境的日志信息和告警信息来分析是否有攻击者做了哪些违规行为。

（3）入侵监测：对于还在进行的攻击行为，入侵监测方式通过捕获并检测进出系统的数据流，利用入侵监测工具所带的攻击特征数据库，可以在事件分析过程中帮助定位攻击的类型。

（4）安全风险评估：无论是利用系统漏洞进行的网络攻击还是感染病毒，都会对系统造成破坏，通过漏洞扫描工具或者是防病毒软件等安全风险评估工具扫描系统的漏洞或病毒可以有效地帮助定位攻击事件。

但是，在实际的事件分析过程中，往往会综合采用被动和主动的事件分析方法。特别是对于在网上自动传播的攻击行为，当采用被动方式难以分析出事件根本原因的时候，采用主动方式往往会很有效。

最后，改变全部可能受到攻击的系统的口令、重新设置被入侵系统、消除所有的入侵路径包括入侵者已经改变的方法、从最初的配置中恢复可执行程序（包括应用服务）和二进制文件、检查系统配置、确定是否有未修正的系统和网络漏洞并改正、限制网络和系统的暴露程度以改善保护机制、改善探测机制使它在受到攻击时得到较好的报告。

5、恢复阶段

恢复阶段的主要任务是把被破坏的信息彻底地还原到正常运作状态。确定使系统恢复正常的需求和时间表、从可信的备份介质中恢复用户数据、打开系统和应用服务、恢复系统网络连接、验证恢复系统、观察其他的扫描、探测等可能表示入侵者再次侵袭的信号。一般来说，要成功地恢复被破坏的系统，需要维护干净的备份系统，编制并维护系统恢复的操作手册，而且在系统重装后需要对系统进行全面的安全加固。

6、总结溯源

跟踪阶段的主要任务是回顾并整合应急响应过程的相关信息，进行事后分析总结、修订安全计划、政策、程序并进行训练以防止再次入侵，基于入侵的严重性和影响，确定是否进行新的风险分析、给系统和网络资产制定一个新的目录清单、如果需要，参与调查和起诉。这一阶段的工作对于准备阶段工作的开展起到重要的支持作用。

跟踪阶段的工作主要包括3个方面的内容。

（1）形成事件处理的最终报告。

（2）检查应急响应过程中存在的问题，重新评估和修改事件响应过程。

（3）评估应急响应人员相互沟通在事件处理上存在的缺陷，以促进事后进行有针对性的培训。

方案价值

在事件发生后能够及时止损，比如发现入侵者进行系统备份、病毒检测、后门检测、清除病毒或后门、隔离、系统恢复、调查与追踪、取证等一系列操作。可以作风险评估、制定安全计划、安全意识的培训、以发布安全通告的方式进行预警。把事件造成的损失降到最小。

项目优势：

专业的服务团队：应急响应服务团队由具备丰富应急处置经验的技术工程师组成，提供专业的技术支持，保证服务过程高效可靠。

7*24小时响应服务：服务人员24小时待命，提供全方位7*24应急响应服务，保障应急响应服务的及时性。

快速的响应机制：针对不同安全事件制定了完善的处置方案，根据事件类型进行快速响应和定位，为客户快速解决安全问题，降低因时间造成的损失。