文档介绍：网络电视台安全事件应急预案
网络电视台重点宣传保障期
网站安全事件应急处理预案
2013-01-18
1目的
本文以网络电视台互联网站系统现状出发，结合目前网络安全状况的分析，建立本预案 用以处理可能发生的网络安全事件。
本预案以安全事件已发现和确认为背景，重在安全事件发生后的处理。2范围
本应急预案适用于网络电视台系统，网络电视台系统面临的主要安全风险有以下三种：
信息篡改：针对网络电视台服务器，未经授权将信息系统中的信息更换为攻击者所 提供的信息而导致的信息安全事件，例如网页篡改等导致的信息安全事件。
拒绝服务：包括从外部发起，针对网络电视台的拒绝服务攻击，也包括网络电视台 内部被非法控制的主机，作为傀儡机发起的拒绝服务。 恶意代码攻击：指病毒或者网 络蠕虫，其表现形式为，网络电视台内主机遭受恶意代码破坏或从外网发起对网络电视台 的蠕虫病毒感染。3信息篡改事件
是指未经授权将信息系统中的信息更换为攻击者所提供的信息而导致的信息安全事件。
1紧急处理措施
1、 进行系统临时性恢复，迅速恢复系统被篡改的内容；
2、 严格监控对系统的业务访问以及服务器系统登陆情况，确保对再次攻击的行为能进 行检测；
使用事件查看器查看系统安全日志，获得当前系统正在登录帐户的信息及来源
使用事件查看器查看系统安全日志，获得系统前N次登录记录网络电视台安全事件应急 处理预案
3、 将发生安全事件的设备脱网，做好安全审计及系统恢复准备；
4、 在必要情况下，将遭受攻击的主机上系统日志、应用日志等导出备份，并加以分析 判断。
2抑制处理
1、 分析日志（系统安全日志，Windows防火墙日志等），确认主机上有无异常权限用户 非法登陆，并记录其IP地址、登陆时间等信息；
使用事件查看器查看系统安全日志，获得当前系统正在登录帐
户的信息及来源
使用事件查看器查看系统安全日志，获得系统前N次登录记录
应用日志记录了定时作业的内容，通常在默认日志目录中一个
文件里
2、 分析系统目录以及搜索整盘近期被修改的和新创建的文件，查找是否存在可疑文件 和***程序；
3、 分析系统服务，有无新增或者修改过的服务；检查有无可疑进程；检查有无可疑端 口；
Netstat - an列出所有打开的端口及连接状态
Netstat - i只显不网络套接字的进程
任务管理器会列出系统正在运行的所有进程
4、 使用第三方Rootkit检查工具（如chkrootkit）检查是否存在Rootkit性质***程 序；
5、 结合上述日志审计，确定攻击者的方式、以及入侵后所获得的最大管理权限和是否 对被攻击服务器留有***程序
3根除
1、 部署网页防篡改软件
对Web服务目录提供实时保护，禁止在主服务器上对监控目录进行任何写操作。
在备份Web服务器上部署Server端以及控制台，将主服务器上Web
服务的相关目录全部拷贝在备份Web服务器上。
所有的维护操作均在备份服务器上进行， 务器上部署监控端，通过事件触发+文件驱动保护的方式，
对数据库的保护通过专门的USSec模块进行防护。此模块部署在主Web
服务器上，主要防护数据库读取，数据交互等动态信息。
系统上网运行。
4拒绝服务攻击
拒绝服务攻击事件是指利用信息系统缺陷、或通过暴力攻击的手段，以大量消耗信息系 统的CPU、内存、磁盘空间或网络带宽等资源，从而影响信息系统正常运行为目的的信息 安全事件。拒绝服务发起时往往表现为cpu、内存、带宽等的高利用率，同时由于攻击手 法和形式的多样性，造成对攻击形式攻击特征分析带来一定的难度。当此类攻击发生后， 可根据如下几种归类，确认和处理此类安全事件。
1由外部发起
外部破坏者发起对网络电视台的拒绝服务攻击。
1. 1系统漏洞类
此类攻击利用的软件或者操作系统的漏洞，比如最新公布了一个apache某一模块存在 拒绝服务漏洞，当这一模块接受了一个特殊构造的数据包时，会造成apache服务停止响 应。
1. 1. 1利用主机漏洞
1、
2、
3、
4、
5、 如果系统服务无法正常响应，迅速切换到备用系统；通过防火墙或网络设备配置 访问控制列表，过滤DoS发起源的连接。确认造成系统cpu、内存占用高的进程或者应 用。确认系统存在的漏洞，根据漏洞信息和安全建议采取相应的控制措施；安装相应的 补丁修复程序，修复漏洞后切换到原运行系统。
1. 1. 2利用网络设备漏洞
1、
3、 如果系统服务无法正常响应，迅速切换到备用系统；利用防火墙或网络设备配置 ACL,过滤DoS发起源的连接 确认当前I0S版本，确认此版木是否存在DOS的漏洞第3页