文档介绍:网络电视台重点宣传保障期网站安全事件应急处理预案2013-01-18目的本文以网络电视台互联网站系统现状出发,结合目前网络安全状况的分析,建立本预案用以处理可能发生的网络安全事件。本预案以安全事件已发现和确认为背景,重在安全事件发生后的处理。范围本应急预案适用于网络电视台系统,网络电视台系统面临的主要安全风险有以下三种:信息篡改:针对网络电视台服务器,未经授权将信息系统中的信息更换为攻击者所提供的信息而导致的信息安全事件,例如网页篡改等导致的信息安全事件。拒绝服务:包括从外部发起,针对网络电视台的拒绝服务攻击,也包括网络电视台内部被非法控制的主机,作为傀儡机发起的拒绝服务。恶意代码攻击:指病毒或者网络蠕虫,其表现形式为,网络电视台内主机遭受恶意代码破坏或从外网发起对网络电视台的蠕虫病毒感染。信息篡改事件是指未经授权将信息系统中的信息更换为攻击者所提供的信息而导致的信息安全事件。紧急处理措施进行系统临时性恢复,迅速恢复系统被篡改的内容;严格监控对系统的业务访问以及服务器系统登陆情况,确保对再次攻击的行为能进行检测;使用事件查看器查看系统安全日志,获得当前系统正在登录帐户的信息及来源使用事件查看器查看系统安全日志,获得系统前N次登录记录将发生安全事件的设备脱网,做好安全审计及系统恢复准备;在必要情况下,将遭受攻击的主机上系统日志、应用日志等导出备份,并加以分析判断。抑制处理分析日志(系统安全日志,Windows防火墙日志等),确认主机上有无异常权限用户非法登陆,并记录其IP地址、登陆时间等信息;使用事件查看器查看系统安全日志,获得当前系统正在登录帐户的信息及来源使用事件查看器查看系统安全日志,获得系统前N次登录记录应用日志记录了定时作业的内容,通常在默认日志目录中一个文件里分析系统目录以及搜索整盘近期被修改的和新创建的文件,查找是否存在可疑文件和***程序;分析系统服务,有无新增或者修改过的服务;检查有无可疑进程;stat–stat–i只显示网络套接字的进程任务管理器会列出系统正在运行的所有进程使用第三方Rootkit检查工具(如chkrootkit)检查是否存在Rootkit性质***程序;结合上述日志审计,确定攻击者的方式、以及入侵后所获得的最大管理权限和是否对被攻击服务器留有***程序根除部署网页防篡改软件在主Web服务器上部署监控端,通过事件触发+文件驱动保护的方式,对Web服务目录提供实时保护,禁止在主服务器上对监控目录进行任何写操作。在备份Web服务器上部署Server端以及控制台,将主服务器上Web服务的相关目录全部拷贝在备份Web服务器上。所有的维护操作均在备份服务器上进行,并实时同步到主Web服务器上对数据库的保护通过专门的IISSec模块进行防护。此模块部署在主Web服务器上,主要防护数据库读取,数据交互等动态信息。系统上网运行。拒绝服务攻击拒绝服务攻击事件是指利用信息系统缺陷、或通过暴力攻击的手段,以大量消耗信息系统的CPU、内存、磁盘空间或网络带宽等资源,从而影响信息系统正常运行为目的的信息安全事件。拒绝服务发起时往往表现为cpu、内存、带宽等的高利用率,同时由于攻击手法和形式的多样性,造成对攻击形式攻击特征分析带来一定的难度。当此类攻击发生后,可根据如下几种归类,确认和处理此类安全事件。由外部发起外部破坏者发起对网络电视台的拒绝服务攻