本书共分为 3 篇。第 1 篇从网络安全应急响应的基本理论出发,结合多年从事安全管理、 应急服务等工作的理论与实践经验,针对新时代应急服务人员所应掌握的相关法律法规、规 章制度与规范基线,进行了归纳总结。第 2 篇以网络安全应急技术与实践为主,沿着黑客的 入侵路线,详细讲解了黑客主要的入侵方法与攻击手段,同时,我们也从安全管理员角度出 发,详细讲解了如何分析入侵痕迹、检查系统薄弱点、预防黑客入侵,重点突出如何开展应 急自查与应急响应演练。第 3 篇从网络安全应急响应体系建设出发,阐述应急响应体系建立、 应急预案的编写与演练以及 PDCERF 应急响应方法。 本书突出应急响应的实用性、技术实践性、案例分析和场景过程重现,书中融入了大量 应急响应事件案例、分析、技术重现、文档模板,是一本从工作中来到工作中去的实操、实 用类图书。本书适合作为大中型企业网络安全专业人员工作用书;同时也是信息安全保障人 员认证(CISAW)应急管理与服务方向认证考试培训的指定教材;也适合作为中职、高职 和应用型本科的信息安全教材;同样也可作为有志从事网络与信息安全工作的广大从业者和 爱好者的参考用书。
本书围绕应急响应的具体流程与实践操作,带领读者深入浅出地了解与掌握应急处置工作,让读者从企业的具体需求与实践出发,为开展应急防护工作打下坚实的基础。
本书共分为 3 篇。第 1 篇(第 1~4 章)从网络安全应急响应的基本理论出发,让应急人员了
解国家相关法律法规,使一切应急行为依法而动。
第2 篇(第 5~10 章)以网络安全应急技术与实践为主,沿着黑客的入侵路线,详细讲解了黑客主要的入侵方法与攻击手段,同时,我们也从安全管理员角度出发,详细讲解了如何分析入侵痕迹、检查系统薄弱点、预防黑客入侵, 重点突出如何开展应急自查与应急响应演练。
3 篇(第 11~13 章)从网络安全应急响应体系建设出发,阐述应急响应体系建立、应急预案的编写与演练以及 PCERF 应急响应方法,其中包含大量企业实践内容,引用了大量企业应急响应体系建设的实际案例,帮助读者了解如何建立有效且符合法律法规的网络安全应急响应体系。
本书作为信息安全保障人员认证(Certified Information Security Assurance Worker,CISAW)应急管理与服务认证培训考试指定教材。
工业互联网的概念最早是由美国通用电气公司(GE)于2012 年提出的,随后其联合AT&T、思科(Cisco)、IBM 和英特尔(intel)4 家IT 巨头组建了工业互联网联盟(IIC),并将这一概念大力推广开来。工业互联网的主要目的是使现实世界中的机器、设备和网络能在更深层次与信息世界的大数据和分析连接在一起,带动工业革命和网络革命两大革命性转变。在新一轮科技革命和产业变革浪潮下,工业产业发展必然呈现出智能化、网络化和服务化趋势,工业互联网是工业技术变更发展的必然趋势。
随着信息技术的应用和发展,网络深入到大众生活、国计民生的每一个领域。网络安全事件关系着人民群众的切身利益,影响着社会经济的稳定运行。
本书围绕应急响应的具体流程与实践操作,带领读者深入浅出地了解与掌握应急处置工作,让读者从企业的具体需求与实践出发,为开展应急防护工作打下坚实的基础。
本书共分为3 篇。
第1 篇(第1~4 章)从网络安全应急响应的基本理论出发,让应急人员了解国家相关法律法规,使一切应急行为依法而动。同时,我们结合多年从事安全管理、应急服务等工作的理论与实践经验,针对新时代应急服务人员所应掌握的相关法律法规、规章制度与规范基线,进行了归纳总结,对其中重点条款提出了自己的理解,并以接地气的短句进行提炼,具有很强的实用性和可读性。本篇包括网络安全应急响应的概念与历史背景、网络安全应急响应相关的法律法规、网络安全等级保护2.0 中的应急响应、网络安全应急响应组织与相关标准、网络安全事件分级分类。
第2 篇(第5~10 章)以网络安全应急技术与实践为主,沿着黑客的入侵路线,详细讲解了黑客主要的入侵方法与攻击手段,同时,我们也从安全管理员角度出发,详细讲解了如何分析入侵痕迹、检查系统薄弱点、预防黑客入侵,重点突出如何开展应急自查与应急响应演练。本篇网络安全应急技术与实践在模拟环境中进行过程重现,包括黑客入侵技术、网络安全应急响应自查技术、网络层安全防御与应急响应演练、Web 层攻击分析与应急响应演练、主机层安全应急响应演练、数据库层安全应急响应演练。
第3 篇(第11~13 章)从网络安全应急响应体系建设出发,阐述应急响应体系建立、应急预案的编写与演练以及PCERF 应急响应方法,其中包含大量企业实践内容,引用了大量企业应急响应体系建设的实际案例,帮助读者了解如何建立有效且符合法律法规的网络安全应急响应体系。
本书作为信息安全保障人员认证(Certified Information Security AssuranceWorker,CISAW)应急管理与服务认证培训考试指定教材,认证培训过程中将提供红黑演义攻防演练平台Internet 接入实践练习服务、专家精讲视频以及活泼生动的动画故事讲解视频。
作 者
曹雅斌,长期从事质量管理、认证认可和标准化工作,负责质量安全管理和认证认可领域的政策法规、制度体系研究建立以及测评认证的组织实施工作。现任职于中国网络安全审查技术与认证中心,负责网络信息安全人员培训与认证工作。参加制定多个认证认可国家标准,发表了多篇技术性贸易措施相关论文,编著出版了《世界贸易组织和技术性贸易措施》《网络安全应急响应》《信息安全风险管理与实践》等著作。
尤其,长期从事网络与数据安全认证认可和人员培训工作。《信息技术安全技术 信息安全管理体系 要求》(ISO/IEC 27001)、《信息技术 安全技术 信息安全管理体系控制实践指南》(ISO/IEC 27002)、《公共安全业务连续性管理体系 要求》(ISO 22301)、《公共安全业务连续性管理系 指南》(ISO 22313)等多项国家标准、行业标准主要起草人之一。出版多部信息安全管理体系专著。国际标准化组织 ISO/IEC SC27/WG1(信息技术 安全技术 信息安全管理国际标准起草组) 注册专家。
张胜生,现就职于北京中安国发信息技术研究院,中央财经大学信息学院研究生校外导师,辽宁警察学院公安信息系客座教授,北京市总工会和北京市科学技术委员会联合授予其团队信息安全应急演练关键技术张胜生工作室称号。致力于应急演练与网络犯罪研究,从事企业网安实战教学已有15年,成功打造了网络犯罪侦查实验室及系列实训平台,并在辽宁警察学院等相关院校取得优秀应用成果,荣获中国信息安全攻防实验室产品实战性和实用性一等奖。主持翻译了国际信息安全认证教材《CISSP认证考试指南》(第6版) ,主持编著了《网络犯罪过程分析与应急响应红黑演义实战宝典》。
第1 篇 网络安全应急管理
第1 章 概论 2
11 网络安全应急响应的概念 2
12 网络安全应急响应的历史背景 3
13 网络安全应急响应的政策依据 3
131 《网络安全法》关于应急处置和监测预警的规定 4
132 《突发事件应对法》关于应急响应的规定 6
133 《数据安全法》关于应急响应的要求 6
134 《个人信息保护法》关于应急响应的要求 7
第2 章 网络安全等级保护20 中的应急响应 9
21 网络安全等级保护概述 9
22 网络安全等级保护中事件处置及应急响应的要求与合规指引 10
第3 章 网络安全应急响应组织与相关标准 16
31 国际网络安全应急响应组织介绍 16
32 网络安全应急响应标准 19
33 《国家网络安全事件应急预案》概述 20
第4 章 网络安全事件分级分类 21
41 信息安全事件分级分类 21
42 网络安全事件分级 22
43 网络和信息系统损失程度划分 23
第2 篇 网络安全应急技术与实践
第5 章 黑客入侵技术 26
51 入侵前奏分析 26
511 whois 查询 26
512 DNS 解析查询 26
513 默认404 页面信息泄漏 27
514 HTTP 状态码 28
515 端口扫描 30
516 社会工程学 32
517 知识链条扩展 32
52 Web 入侵事件 33
521 自动化漏洞挖掘 33
522 旁站入侵 33
523 ARP 欺骗 34
524 钓鱼邮件 34
525 DNS 劫持 35
53 主机入侵事件 35
54 数据库入侵事件 36
55 拒绝服务攻击事件 37
第6 章 网络安全应急响应自查技术 38
61 网络安全应急响应关键流程自查 38
62 网络安全应急响应关键技术点自查 39
621 账号管理自查 39
622 口令管理自查 40
623 病毒木马自查 40
624 日志审计自查 41
625 远程接入、接入认证自查 42
626 网络互联、安全域管理自查 42
627 信息资产清理自查 43
628 安全验收自查 43
63 物理安全自查 44
631 物理位置选择 44
632 物理访问控制 45
633 防盗窃和防破坏 45
634 防雷击 46
635 防火 46
636 防水和防潮 47
637 防静电 47
638 温湿度控制 47
639 电力供应 48
6310 电磁防护 48
第7 章 网络层安全防御与应急响应演练 50
71 网络架构安全防御措施检查 50
711 网络架构安全 50
712 访问控制 51
713 安全审计 52
714 安全区域边界 53
715 入侵防范 53
716 恶意代码防范 54
72 网络设备安全防御检查 54
721 访问控制 54
722 安全审计 55
723 网络设备防护 56
73 网络层攻击分析与应急响应演练 57
731 网络层DDoS 攻击的防御方法 57
732 网络抓包重现与分析 59
733 分析数据包寻找发起网络扫描的IP 61
734 通过TCP 三次握手判断端口开放情况 62
735 无线ARP 欺骗与消息监听重现分析 65
736 使用Wireshark 进行无线监听重现分析 69
第8 章 Web 层攻击分析与应急响应演练 75
81 SQL 注入攻击分析与应急演练 75
811 SQL 注入漏洞挖掘与利用过程分析 76
812 利用注入漏洞植入木马过程分析 81
813 后门账号添加过程分析 85
814 反弹后门添加过程分析 87
815 入侵排查与应急处置 88
816 SQL 注入漏洞应急处置 91
82 XSS 高级钓鱼手段分析与应急处置 92
821 利用XSS 漏洞的钓鱼攻击 92
822 高级钓鱼攻防 94
823 高级钓鱼手法分析 96
824 XSS 漏洞应急处置 96
83 CSRF 攻击分析与应急处置 97
831 攻击脚本准备 98
832 添加恶意留言 98
833 一句话木马自动添加成功 100
834 CSRF 漏洞检测与应急处置 101
84 文件上传漏洞的利用与应急处置 103
841 文件上传漏洞原理 103
842 利用文件上传漏洞进行木马上传 103
843 文件上传漏洞的应急处置 107
85 Web 安全事件应急响应技术总结 108
851 Web 应用入侵检测 108
852 Web 日志分析 112
853 Apache 日志分析 119
854 IIS 日志分析 121
855 其他服务器日志 123
第9 章 主机层安全应急响应演练 124
91 Windows 木马后门植入 124
92 Linux 系统木马后门植入 129
921 新增超级用户账户 130
922 破解用户密码 131
923 SUID Shell 131
924 文件系统后门 133
925 Crond 定时任务 133
93 后门植入监测与防范 134
931 后门监测 134
932 后门防范 134
94 主机日志分析 135
941 Windows 日志分析 135
942 Linux 日志分析 147
95 Windows 检查演练 151
951 身份鉴别 151
952 访问控制 152
953 安全审计 153
954 剩余信息保护 154
955 入侵防范 155
956 恶意代码防范 155
957 资源控制 156
958 软件安装限制 157
96 Linux 检查演练 157
961 身份鉴别 157
962 访问控制 158
963 安全审计 159
964 入侵防范 160
965 资源控制 160
97 Tomcat 检查演练 161
971 访问控制 161
972 安全审计 162
973 资源控制 162
974 入侵防范 162
98 WebLogic 检查演练 163
981 安全审计 164
982 访问控制 164
983 资源控制 164
984 入侵防范 165
第10 章 数据库层安全应急响应演练 166
101 MySQL 数据库程序漏洞利用 166
1011 信息收集 166
1012 后台登录爆破 168
1013 寻找程序漏洞 174
1014 SQL 注入攻击拖库 175
102 MySQL 数据库安全配置 177
1021 修改root 口令并修改默认配置 177
1022 使用其他独立用户运行MySQL 178
1023 禁止远程连接数据库并限制连接用户 179
1024 MySQL 服务器权限控制 180
1025 数据库备份策略 183
103 Oracle 攻击重现与分析 184
1031 探测Oracle 端口 184
1032 EM 控制台口令爆破 185
1033 Oracle 数据窃取 187
104 Oracle 主机检查演练 188
1041 身份鉴别 188
1042 访问控制 189
1043 安全审计 189
1044 剩余信息保护 190
1045 入侵防范 190
第3 篇 网络安全应急响应体系建设
第11 章 应急响应体系建立 192
111 体系设计原则 193
112 体系建设实施 193
1121 责任体系构建 194
1122 业务风险评估与影响分析 195
1123 监测与预警体系建设 196
1124 应急预案的制定与维护 198
1125 应急处理流程的建立 199
1126 应急工具的准备 199
第12 章 应急预案的编写与演练 201
121 应急响应预案的编制 201
1211 总则 202
1212 角色及职责 203
1213 预防和预警机制 204
1214 应急响应流程 204
1215 应急响应保障措施 208
1216 附件 209
122 应急预案演练 211
1221 应急演练形式 211
1222 应急演练规划 212
1223 应急演练计划阶段 212
1224 网络安全事件应急演练准备阶段 214
1225 网络安全事件应急演练实施阶段 218
1226 网络安全事件应急演练评估与总结阶段 219
第13 章 PDCERF 应急响应方法 221
131 准备阶段 222
1311 组建应急小组 222
1312 制定应急响应制度规范 224
1313 编制应急预案 225
1314 培训演练 225
132 检测阶段 225
1321 信息通报 225
1322 确定事件类别与事件等级 226
1323 应急启动 227
133 抑制阶段 227
1331 抑制方法确定 227
1332 抑制方法认可 227
1333 抑制实施 228
134 根除阶段 228
1341 根除方法确定 228
1342 根除实施 229
135 恢复阶段 229
1351 恢复方法确定 229
1352 实施恢复操作 230
136 跟踪阶段 230
参考文献 231