目 录
1 前言 7
1.1 适用范围 7
1.2 阅读对象 7
1.3 引用标准 7
1.4 缩略语 7
1.5 安全事件及分类 8
1.6 安全事件应急响应 8
2 WINDOWS系统安全应急操作规范 8
2.1 WINDOWS系统检测技术规范 8
2.1.1 WINDOWS系统检测规范 8
2.1.2 WINDOWS检测典型案例 10
2.2 WINDOWS应急处理操作规范 10
2.2.1 补丁 10
2.2.2 帐号管理及认证授权 11
2.2.3 日志配置 12
2.2.4 系统设置安全 13
2.2.5 文件系统安全 15
2.2.6 防病毒软件 15
2.2.7 卸载无关软件 15
2.2.8 从登录对话框中删除关机按钮 15
3 LINUX系统安全应急操作规范 15
3.1 LINUX服务器检测技术规范 15
3.1.1 敏感目录查询 15
3.1.2 查看进程命令 16
3.1.3 系统信息 16
3.1.4 后门排查 16
3.1.5 WEBSHELL查找 16
3.1.6 日志分析 16
3.2 LINUX应急处理操作规范 17
3.2.1 口令锁定策略 17
3.2.2 查找未授权的SUID-SGID文件 17
3.2.3 登陆超时时间设置 18
3.2.4 限制ROOT用户SSH远程登录 18
3.2.5 使用SSH协议进行远程维护 19
3.2.6 删除潜在危险文件 19
3.2.7 文件与目录缺省权限控制 20
3.2.8 账号文件权限设置 20
3.2.9 口令生存期 21
3.2.10 禁止UID为0的用户存在多个 21
3.2.11 口令复杂度 21
3.2.12 开启SYNCOOKIES 22
3.2.13 禁止存在空密码的帐户 22
3.2.14 认证失败后锁定 22
3.2.15 补丁安装 23
3.2.16 记录帐户登录日志 23
3.2.17 关闭不必要的服务和端口 24
3.2.18 禁止存在BASH安全漏洞 24
4 IIS服务安全应急操作规范 24
4.1 IIS服务检测技术规范 24
4.2 IIS服务应急处理操作规范 25
4.2.1 账号管理 25
4.2.2 口令 26
4.2.3 授权 27
4.2.4 日志 27
4.2.5 其他事项 28
5 HP-UX主机安全应急操作规范 34
5.1 HP-UX主机检测技术规范 34
5.1.1 运行记录 34
5.1.2 系统日志 34
5.1.3 软件安装日志 34
5.1.4 用户登录日志 34
5.1.5 用户登录失败日志 35
5.1.6 SAM日志 35
5.1.7 关机信息 35
5.2 HP-UX主机安全应急操作规范 35
5.2.1 系统备份及健康检查 35
5.2.2 安全补丁加载 36
5.2.3 安全工具叠加 36
5.2.4 安全加固-自动加固项 36
5.2.5 安全加固-手动加固项 37
6 AIX系统安全应急操作规范 39
6.1 AIX系统检测技术规范 39
6.1.1 文件系统是否满 39
6.1.2 检查系统出错日志 39
6.1.3 检查系统合法/非法登陆情况 39
6.1.4 检查系统是否有巨大的CORE文件生成 39
6.1.5 系统性能检查 39
6.2 AIX系统应急处理操作规范 39
6.2.1 系统维护升级加固 39
6.2.2 安装系统安全补丁加固 41
6.2.3 系统配置加固 42
6.2.4 SETUID AND SETGID (可选) 49
7 UNIX系统安全应急操作规范 49
7.1 UNIX系统检测技术规范 49
7.1.1 日志检查 49
7.1.2 帐号检查 50
7.1.3 进程检查 50
7.1.4 服务检查 50
7.1.5 文件和目录检查 50
7.1.6 网络连接检查 50
7.1.7 定时作业检查 51
7.2 UNIX系统应急处理操作规范 51
7.2.1 拒绝FTP匿名登录 51
7.2.2 修改SNMP配置文件 51
7.2.3 配置SNMP启动项 51
7.2.4 启动SNMP服务 53
7.2.5 UNIX系统漏洞拒绝服务攻击应急处理规范 53
8 SQLSERVER服务安全应急操作规范 54
8.1 SQLSERVER注入攻击检测方法 54
8.2 SQLSERVER注入类攻击应急处理操作规范 54
8.2.1 对于动态构造SQL查询的场合,可以使用下面的技术: 54
8.2.2 用存储过程来执行所有的查询。 55
8.2.3 限制表单或查询字符串输入的长度。 55
8.2.4 检查用户输入的合法性,确信输入的内容只包含合法的数据。 55
8.2.5 将用户登录名称、密码等数据加密保存。 55
8.2.6 检查提取数据的查询所返回的记录数量 55
9 DB2数据库安全应急操作规范 56
9.1 DB2数据库注入攻击检测方法 56
9.2 DB2数据库注入类攻击应急处理操作规范 56
9.2.1 对于动态构造SQL查询的场合,可以使用下面的技术: 56
9.2.2 用存储过程来执行所有的查询。 57
9.2.3 限制表单或查询字符串输入的长度。 57
9.2.4 检查用户输入的合法性,确信输入的内容只包含合法的数据。 57
9.2.5 将用户登录名称、密码等数据加密保存。 57
9.2.6 检查提取数据的查询所返回的记录数量 57
10 ORACLE数据库安全应急操作规范 58
10.1 ORACLE数据库常见攻击方法检测 58
10.2 ORACLE数据库注入类攻击应急处理操作规范 58
10.2.1 对于动态构造SQL查询的场合,可以使用下面的技术: 58
10.2.2 用存储过程来执行所有的查询。 59
10.2.3 限制表单或查询字符串输入的长度。 59
10.2.4 检查用户输入的合法性,确信输入的内容只包含合法的数据。 59
10.2.5 将用户登录名称、密码等数据加密保存。 59
10.2.6 检查提取数据的查询所返回的记录数量 59
11 网站暗链安全事件应急操作规范 60
11.1 网站暗链事件检测方法 60
11.2 网站暗链事件应急处理操作规范 61
11.2.1 删除网站暗链 61
11.2.2 删除暗链到网页的代码 61
12 网站挂马事件应急操作规范 62
12.1 网站挂马事件检测技术规范 62
12.1.1 确定挂马文件 62
12.2 网站挂马事件安全应急操作规范 62
12.2.1 网站挂马攻击安全应急处理 62
13 网站篡改事件应急操作规范 63
13.1 网站篡改事件检测技术规范 63
13.2 网站篡改事件应急操作规范 63
14 流量异常事件应急操作规范 64
14.1 网络异常流量分析方法 64
14.2 流量异常类攻击安全应急处理 65
15 网站钓鱼事件应急操作规范 65
15.1 网络钓鱼安全事件检测方法 65
15.1.1 网络窃听安全事件检测方法 65
15.1.2 DNS欺骗检测规范及案例 67
15.1.3 WEB欺骗检测规范及案例 67
15.1.4 电子邮件欺骗检测规范及案例 67
15.2 网站钓鱼安全事件应急操作规范 69
15.2.1 网络窃听类攻击应急处理 69
15.2.2 DNS欺骗攻击应急处理 70
15.2.3 WEB欺骗攻击应急处理 70
15.2.4 电子邮件欺骗攻击应急处理 71
16 病毒蠕虫安全应急操作规范 72
16.1 病毒蠕虫安全检测方法 72
16.2 病毒蠕虫类攻击应急操作规范 73
17 网站数据泄露安全事件应急操作规范 74
17.1 网站数据泄露检测技术 74
17.1.1 日志分析 74
17.1.2 口令猜测安全事件检测方法 74
17.2 网站数据泄露类攻击安全应急处理 75
18 DDOS安全事件应急操作规范 76
18.1 拒绝服务事件检测方法 76
18.1.1 利用系统漏洞的拒绝服务攻击检测方法 76
18.1.2 利用网络协议的拒绝服务攻击检测方法 76
18.2 拒绝服务类攻击应急响应处理操作规范 77
18.2.1 SYN和ICMP拒绝服务攻击应急处理 77
18.2.2 系统漏洞拒绝服务应急处理 78
19 防火墙安全事件应急操作规范 79
19.1 防火墙安全检测方法 79
19.2 防火墙安全事件应急处理操作规范 79
20 路由器安全事件应急操作规范 80
20.1 路由器安全事件检测技术 80
20.2 路由器安全事件应急处理规范 80