网络安全设计第 1章 安全设计简介第 2章 创建网络安全计划第 3章 确定网络安全威胁第 4章 分析安全风险第 5章 创建物理资源安全设计第 6章 创建计算机安全设计第 7章 创建账户安全设计第 8章 创建身份验证安全设计第 9章 创建数据安全设计第 10章 创建数据传输安全设计第 11章 创建网络周边安全设计第 12章 设计安全事件应对措施附录 A 可接受使用策略的设计附录 B 网络管理策略的设计附录 C 安全管理的运营框架设计附录 D CHAP,MS-CHAP 和 MS-
CHAP v2 中的身份验证第 12章 设计 安全事件应对措施审核和事件应对措施介绍设计审核策略设计事件应对措施审核和事件应对措施介绍审核流程审核的重要性事件应对措施事件应对措施的重要性
12.1 审核和事件应对措施介绍审核流程
IIS 服务器客户端
Internet ISA Server
A
B
域控制器当用户登录到安全的 Web 站点检查订单状态时,用户的操作将被记录在:
A,ISA Server 数据包筛选器日志和防火墙日志
B,IIS 日志和事件查看器
C,域控制器事件日志
C
12.1.1 审核流程审核的重要性攻击者 威胁 示例外部 暴力攻击在经过多次尝试后,攻击者获得了网络的访问权限,创建了一个合法的用户账户,并使用该账户访问网络中的信息内部 滥用管理权力
IT 客户端支持管理员使用管理权更改了其主管的密码,并使用该密码阅读了主管的电子邮件和人事档案内部攻击者外部攻击者
12.1.2 审核的重要性事件应对措施事件应对措施中包含安全事件的应对步骤事件应对措施指定了如下组成元素:
需要联系的人员限制攻击损失的措施事件调查方面的规定事件应对措施措施人员调查
12.1.3 事件应对措施事件应对措施的重要性攻击者 威胁 示例外部 混乱的应对措施病毒利用 某个已知安全漏洞,通过 Internet 侵入企业网络。尽管遭受了数次攻击,该企业仍然无法迅速识别该病毒和及时应对,最后所有的计算机都感染上了该种病毒内部 没有很好的保留证据公司怀疑某员工向竞争对手出卖了商业机密信息 。在调查过程中,网络的定期更新服务更改了嫌疑人计算机上的某些文件内部攻击者外部攻击者网络 竞争对手
12.1.4 事件应对措施的重要性第 12章 设计安全事件应对措施审核和事件应对措施介绍设计审核策略设计事件应对措施设计审核策略设计审核策略的步骤创建审核框架的指导方针常见的审核工具和参考资源设计审核复查流程的指导方针课堂练习 风险和应对措施安全策略检查清单
12.2 设计审核策略设计审核策略的步骤确定要审核哪些类型的事件1
创建事件日志及可疑事件的复查和调查流程3
确定审核工具2
创建审核日志的保管策略4
12.2.1 设计审核策略的步骤创建审核框架的指导方针审核声明的组成元素 示例事件类型 跟踪用户的网络登录尝试 …
事件细节 …成功的登录尝试和失败的登录尝试、登录时间、登录类型以及登录位置 …
审核点 …针对所有的用户和域控制器创建包含以下内容的审核声明:
需要跟踪的安全事件类型能够准确记录安全事件的审核事件细节要审核的计算机和资源
12.2.2 创建审核框架的指导方针常见的审核工具和参考资源要审核的对象 工具和参考资源操作系统?事件查看器
EventComb
Microsoft Operations Manager
自定义脚本
Web 站点? IIS 日志
URLScan
网络周边?路由器日志
防火墙日志
数据包筛选器日志
代理日志应用程序?应用程序日志
入侵检测软件
反病毒软件
Microsoft Operations Manager
12.2.3 常见的审核工具和参考资源设计审核复查流程的指导方针需确定:
由谁负责管理和分析事件事件分析的频率如何报告可能的安全事件如何保护证据
12.2.4 设计审核复查流程的指导方针课堂练习 风险和应对措施场景阅读场景选择最佳风险处理策略确定合适的安全应对措施全班一起讨论答案
1
2
3
4
12.2.5 课堂练习 风险和应对措施为以下内容创建策略和过程:
确定要审核的事件
收集并管理审核事件
复查并分析审核事件安全策略检查清单 12.2.6 安全策略检查清单第 12章 设计安全事件应对措施审核和事件应对措施介绍设计审核策略设计事件应对措施设计事件应对措施事件应对措施的设计步骤组建事件应对团队的指导方针沟通计划应包含的内容安全事件的常见标志分析安全事件的指导方针限制攻击损失的方法对安全事件进行归档的指导方针课堂练习 风险和应对措施安全策略检查清单
12.3 设计事件应对措施事件应对措施的设计步骤组建事件应对团队并对其进行培训1
制订限制攻击的策略4
制订攻击识别计划3
制订沟通计划2
制订事后复查事件的流程5
12.3.1 事件应对措施的设计步骤事件应对团队中应该包含以下角色:
对团队的要求:
组建事件应对团队的指导方针安全专家网络管理员管理人员团队应该能够每天 24 小时应对安全事件团队应接受过安全事件应对方面的培训团队成员能够胜任他们的职责团队成员能够在有压力的情况下对实际情况做出客观分析团队成员应具有较强的沟通能力法律顾问法律实施人员(如果必要的话)
12.3.2 组建事件应对团队的指导方针沟通计划应包含的内容定义了如何 通知事件应对团队成员的触发机制所有团队成员的联系方式团队替补成员及其联系方式团队成员之间的安全沟通过程每个团队成员所应该了解的哪些事件细节团队成员如何与团队之外的人员交流事件细节信息沟通计划应包含以下内容:
12.3.3 沟通计划应包含的内容安全事件的常见标志标志 示例网络异常?网络性能下降
账户在非常规时间内使用系统异常?审核事件大量增加
系统性能下降
操作系统崩溃或不明原因地重启直接报告事件?用户报告安全事件
发现新病毒
入侵检测软件检测到一个安全事件物理标志?硬件丢失
可以看见的物理损坏业务标志?机密信息被发布在 Internet 或其他媒体上
竞争对手好像掌握了本企业的商业机密
12.3.4 安全事件的常见标志分析安全事件的指导方针分析目标 需确定以下内容症状?安全事件是如何发生的?攻击的症状是什么发起点?攻击从何处发起?攻击者是否连接到了攻击发起点入侵点?攻击如何进入网络?攻击者是否利用了某个已知漏洞意图?攻击者表面上是要达到什么目的?攻击是否按照某个模式严重性?哪些资源会面临风险?风险的严重性暴露程度?哪些系统遭受过攻击?系统是如何遭受攻击
12.3.5 分析安全事件的指导方针限制攻击损失的方法资源 示例网络
隔离受影响的网络与企业网络的连接
断开企业网络与 Internet 的连接
封锁 TCP/IP 端口计算机
把已受攻击的计算机从网络中移除
把保存机密信息的计算机从网络中移除
在计算机上部署必要的安全修补程序和 Service Pack
应用程序
更改受攻击的账户和机密账户的密码
更新病毒扫描引擎和病毒特征文件
更新入侵检测系统并检查日志文件物理安全性?更换锁和钥匙码?改进物理安全性
12.3.6 限制攻击损失的方法事件的起因事件的发现方式和报告方式事件的应对措施和解决办法对安全策略和过程的修改建议对事件应对措施的改进对风险管理计划的更新安全事件在财务方面的影响对安全事件进行归档的指导方针归档内容:
12.3.7 对安全事件进行归档的指导方针课堂练习 风险和应对措施场景阅读场景选择最佳风险处理策略确定合适的安全应对措施全班一起讨论答案
1
2
3
4
12.3.8 课堂练习 风险和应对措施为以下内容创建策略和过程:
组建事件应对团队
制订沟通计划
识别攻击
限制攻击所造成的损失
对事件进行归档安全策略检查清单 12.3.9 安全策略检查清单实验 A 事件应对措施的设计实验 A 事件应对措施的设计回顾学习完本章后,将能够:
理解审核和事件应对措施的重要性设计审核策略设计事件应对措施
CHAP v2 中的身份验证第 12章 设计 安全事件应对措施审核和事件应对措施介绍设计审核策略设计事件应对措施审核和事件应对措施介绍审核流程审核的重要性事件应对措施事件应对措施的重要性
12.1 审核和事件应对措施介绍审核流程
IIS 服务器客户端
Internet ISA Server
A
B
域控制器当用户登录到安全的 Web 站点检查订单状态时,用户的操作将被记录在:
A,ISA Server 数据包筛选器日志和防火墙日志
B,IIS 日志和事件查看器
C,域控制器事件日志
C
12.1.1 审核流程审核的重要性攻击者 威胁 示例外部 暴力攻击在经过多次尝试后,攻击者获得了网络的访问权限,创建了一个合法的用户账户,并使用该账户访问网络中的信息内部 滥用管理权力
IT 客户端支持管理员使用管理权更改了其主管的密码,并使用该密码阅读了主管的电子邮件和人事档案内部攻击者外部攻击者
12.1.2 审核的重要性事件应对措施事件应对措施中包含安全事件的应对步骤事件应对措施指定了如下组成元素:
需要联系的人员限制攻击损失的措施事件调查方面的规定事件应对措施措施人员调查
12.1.3 事件应对措施事件应对措施的重要性攻击者 威胁 示例外部 混乱的应对措施病毒利用 某个已知安全漏洞,通过 Internet 侵入企业网络。尽管遭受了数次攻击,该企业仍然无法迅速识别该病毒和及时应对,最后所有的计算机都感染上了该种病毒内部 没有很好的保留证据公司怀疑某员工向竞争对手出卖了商业机密信息 。在调查过程中,网络的定期更新服务更改了嫌疑人计算机上的某些文件内部攻击者外部攻击者网络 竞争对手
12.1.4 事件应对措施的重要性第 12章 设计安全事件应对措施审核和事件应对措施介绍设计审核策略设计事件应对措施设计审核策略设计审核策略的步骤创建审核框架的指导方针常见的审核工具和参考资源设计审核复查流程的指导方针课堂练习 风险和应对措施安全策略检查清单
12.2 设计审核策略设计审核策略的步骤确定要审核哪些类型的事件1
创建事件日志及可疑事件的复查和调查流程3
确定审核工具2
创建审核日志的保管策略4
12.2.1 设计审核策略的步骤创建审核框架的指导方针审核声明的组成元素 示例事件类型 跟踪用户的网络登录尝试 …
事件细节 …成功的登录尝试和失败的登录尝试、登录时间、登录类型以及登录位置 …
审核点 …针对所有的用户和域控制器创建包含以下内容的审核声明:
需要跟踪的安全事件类型能够准确记录安全事件的审核事件细节要审核的计算机和资源
12.2.2 创建审核框架的指导方针常见的审核工具和参考资源要审核的对象 工具和参考资源操作系统?事件查看器
EventComb
Microsoft Operations Manager
自定义脚本
Web 站点? IIS 日志
URLScan
网络周边?路由器日志
防火墙日志
数据包筛选器日志
代理日志应用程序?应用程序日志
入侵检测软件
反病毒软件
Microsoft Operations Manager
12.2.3 常见的审核工具和参考资源设计审核复查流程的指导方针需确定:
由谁负责管理和分析事件事件分析的频率如何报告可能的安全事件如何保护证据
12.2.4 设计审核复查流程的指导方针课堂练习 风险和应对措施场景阅读场景选择最佳风险处理策略确定合适的安全应对措施全班一起讨论答案
1
2
3
4
12.2.5 课堂练习 风险和应对措施为以下内容创建策略和过程:
确定要审核的事件
收集并管理审核事件
复查并分析审核事件安全策略检查清单 12.2.6 安全策略检查清单第 12章 设计安全事件应对措施审核和事件应对措施介绍设计审核策略设计事件应对措施设计事件应对措施事件应对措施的设计步骤组建事件应对团队的指导方针沟通计划应包含的内容安全事件的常见标志分析安全事件的指导方针限制攻击损失的方法对安全事件进行归档的指导方针课堂练习 风险和应对措施安全策略检查清单
12.3 设计事件应对措施事件应对措施的设计步骤组建事件应对团队并对其进行培训1
制订限制攻击的策略4
制订攻击识别计划3
制订沟通计划2
制订事后复查事件的流程5
12.3.1 事件应对措施的设计步骤事件应对团队中应该包含以下角色:
对团队的要求:
组建事件应对团队的指导方针安全专家网络管理员管理人员团队应该能够每天 24 小时应对安全事件团队应接受过安全事件应对方面的培训团队成员能够胜任他们的职责团队成员能够在有压力的情况下对实际情况做出客观分析团队成员应具有较强的沟通能力法律顾问法律实施人员(如果必要的话)
12.3.2 组建事件应对团队的指导方针沟通计划应包含的内容定义了如何 通知事件应对团队成员的触发机制所有团队成员的联系方式团队替补成员及其联系方式团队成员之间的安全沟通过程每个团队成员所应该了解的哪些事件细节团队成员如何与团队之外的人员交流事件细节信息沟通计划应包含以下内容:
12.3.3 沟通计划应包含的内容安全事件的常见标志标志 示例网络异常?网络性能下降
账户在非常规时间内使用系统异常?审核事件大量增加
系统性能下降
操作系统崩溃或不明原因地重启直接报告事件?用户报告安全事件
发现新病毒
入侵检测软件检测到一个安全事件物理标志?硬件丢失
可以看见的物理损坏业务标志?机密信息被发布在 Internet 或其他媒体上
竞争对手好像掌握了本企业的商业机密
12.3.4 安全事件的常见标志分析安全事件的指导方针分析目标 需确定以下内容症状?安全事件是如何发生的?攻击的症状是什么发起点?攻击从何处发起?攻击者是否连接到了攻击发起点入侵点?攻击如何进入网络?攻击者是否利用了某个已知漏洞意图?攻击者表面上是要达到什么目的?攻击是否按照某个模式严重性?哪些资源会面临风险?风险的严重性暴露程度?哪些系统遭受过攻击?系统是如何遭受攻击
12.3.5 分析安全事件的指导方针限制攻击损失的方法资源 示例网络
隔离受影响的网络与企业网络的连接
断开企业网络与 Internet 的连接
封锁 TCP/IP 端口计算机
把已受攻击的计算机从网络中移除
把保存机密信息的计算机从网络中移除
在计算机上部署必要的安全修补程序和 Service Pack
应用程序
更改受攻击的账户和机密账户的密码
更新病毒扫描引擎和病毒特征文件
更新入侵检测系统并检查日志文件物理安全性?更换锁和钥匙码?改进物理安全性
12.3.6 限制攻击损失的方法事件的起因事件的发现方式和报告方式事件的应对措施和解决办法对安全策略和过程的修改建议对事件应对措施的改进对风险管理计划的更新安全事件在财务方面的影响对安全事件进行归档的指导方针归档内容:
12.3.7 对安全事件进行归档的指导方针课堂练习 风险和应对措施场景阅读场景选择最佳风险处理策略确定合适的安全应对措施全班一起讨论答案
1
2
3
4
12.3.8 课堂练习 风险和应对措施为以下内容创建策略和过程:
组建事件应对团队
制订沟通计划
识别攻击
限制攻击所造成的损失
对事件进行归档安全策略检查清单 12.3.9 安全策略检查清单实验 A 事件应对措施的设计实验 A 事件应对措施的设计回顾学习完本章后,将能够:
理解审核和事件应对措施的重要性设计审核策略设计事件应对措施
