《網路安全應急管理與技術實踐》是2023年3月1日清華大學出版社出版的圖書,作者:曹雅斌 尤其 張勝生 杜漸 田磊 呂岩 秦峰。
基本介紹
- 中文名:網路安全應急管理與技術實踐
- 作者:曹雅斌 尤其 張勝生 杜漸 田磊 呂岩 秦峰
- 出版時間:2023年3月1日
- 出版社:清華大學出版社
- ISBN:9787302629160
- 定價:69.8 元
- 印次:1-1
- 印刷日期:2023.03.15
內容簡介,圖書目錄,
內容簡介
本書共分為 3 篇。第 1 篇從網路安全應急回響的基本理論出發,結合多年從事安全管理、應急服務等工作的理論與實踐經驗,針對新時代應急服務人員所應掌握的相關法律法規、規章制度與規範基線,進行了歸納總結。第 2 篇以網路安全應急技術與實踐為主,沿著黑客的入侵路線,詳細講解了黑客主要的入侵方法與攻擊手段,同時,我們也從安全管理員角度出發,詳細講解了如何分析入侵痕跡、檢查系統薄弱點、預防黑客入侵,重點突出如何開展應急自查與應急回響演練。第 3 篇從網路安全應急回響體系建設出發,闡述應急回響體系建立、應急預案的編寫與演練以及 PDCERF 應急回響方法。
本書突出應急回響的實用性、技術實踐性、案例分析和場景過程重現,書中融入了大量應急回響事件案例、分析、技術重現、文檔模板,是一本從工作中來到工作中去的實操、實用類圖書。本書適合作為大中型企業網路安全專業人員工作用書;同時也是信息安全保障人員認證(CISAW)應急管理與服務方向認證考試培訓的指定教材;也適合作為中職、高職和套用型本科的信息安全教材;同樣也可作為有志從事網路與信息安全工作的廣大從業者和愛好者的參考用書。
圖書目錄
第1 篇 網路安全應急管理
第1 章 概論 ................................................................................................. 2
1.1 網路安全應急回響的概念 ......................................................................... 2
1.2 網路安全應急回響的歷史背景 ................................................................. 3
1.3 網路安全應急回響的政策依據 ................................................................. 3
1.3.1 《網路安全法》關於應急處置和監測預警的規定 ..................... 4
1.3.2 《突發事件應對法》關於應急回響的規定 ................................. 6
1.3.3 《數據安全法》關於應急回響的要求 ......................................... 6
1.3.4 《個人信息保護法》關於應急回響的要求 ................................. 7
第2 章 網路安全等級保護2.0 中的應急回響 ............................................... 9
2.1 網路安全等級保護概述 ............................................................................. 9
2.2 網路安全等級保護中事件處置及應急回響的要求與合規指引 ........... 10
第3 章 網路安全應急回響組織與相關標準 ................................................ 16
3.1 國際網路安全應急回響組織介紹 ........................................................... 16
3.2 網路安全應急回響標準 ........................................................................... 19
3.3 《國家網路安全事件應急預案》概述 ................................................... 20
第4 章 網路安全事件分級分類 .................................................................. 21
4.1 信息安全事件分級分類 ........................................................................... 21
4.2 網路安全事件分級 ................................................................................... 22
4.3 網路和信息系統損失程度劃分 ............................................................... 23
第2 篇 網路安全應急技術與實踐
第5 章 黑客入侵技術 ................................................................................. 26
5.1 入侵前奏分析 ........................................................................................... 26
5.1.1 whois 查詢 .................................................................................... 26
5.1.2 DNS 解析查詢 ............................................................................. 26
5.1.3 默認404 頁面信息泄漏 .............................................................. 27
5.1.4 HTTP 狀態碼 ............................................................................... 28
5.1.5 連線埠掃描 ...................................................................................... 30
5.1.6 社會工程學 .................................................................................. 32
5.1.7 知識鏈條擴展 .............................................................................. 32
5.2 Web 入侵事件 .......................................................................................... 33
5.2.1 自動化漏洞挖掘 .......................................................................... 33
5.2.2 旁站入侵 ...................................................................................... 33
5.2.3 ARP 欺騙...................................................................................... 34
5.2.4 釣魚郵件 ...................................................................................... 34
5.2.5 DNS 劫持 ..................................................................................... 35
5.3 主機入侵事件 ........................................................................................... 35
5.4 資料庫入侵事件 ....................................................................................... 36
5.5 拒絕服務攻擊事件 ................................................................................... 37
第6 章 網路安全應急回響自查技術 ........................................................... 38
6.1 網路安全應急回響關鍵流程自查 ........................................................... 38
6.2 網路安全應急回響關鍵技術點自查 ....................................................... 39
6.2.1 賬號管理自查 .............................................................................. 39
6.2.2 口令管理自查 .............................................................................. 40
6.2.3 病毒木馬自查 .............................................................................. 40
6.2.4 日誌審計自查 .............................................................................. 41
6.2.5 遠程接入、接入認證自查 .......................................................... 42
6.2.6 網路互聯、安全域管理自查 ...................................................... 42
6.2.7 信息資產清理自查 ...................................................................... 43
6.2.8 安全驗收自查 .............................................................................. 43
6.3 物理安全自查 ........................................................................................... 44
6.3.1 物理位置選擇 .............................................................................. 44
6.3.2 物理訪問控制 .............................................................................. 45
6.3.3 防盜竊和防破壞 .......................................................................... 45
6.3.4 防雷擊 .......................................................................................... 46
6.3.5 防火 .............................................................................................. 46
6.3.6 防水和防潮 .................................................................................. 47
6.3.7 防靜電 .......................................................................................... 47
6.3.8 溫濕度控制 .................................................................................. 47
6.3.9 電力供應 ...................................................................................... 48
6.3.10 電磁防護 .................................................................................... 48
第7 章 網路層安全防禦與應急回響演練 .................................................... 50
7.1 網路架構安全防禦措施檢查 ................................................................... 50
7.1.1 網路架構安全 .............................................................................. 50
7.1.2 訪問控制 ...................................................................................... 51
7.1.3 安全審計 ...................................................................................... 52
7.1.4 安全區域邊界 .............................................................................. 53
7.1.5 入侵防範 ...................................................................................... 53
7.1.6 惡意代碼防範 .............................................................................. 54
7.2 網路設備安全防禦檢查 ........................................................................... 54
7.2.1 訪問控制 ...................................................................................... 54
7.2.2 安全審計 ...................................................................................... 55
7.2.3 網路設備防護 .............................................................................. 56
7.3 網路層攻擊分析與應急回響演練 ........................................................... 57
7.3.1 網路層DDoS 攻擊的防禦方法 .................................................. 57
7.3.2 網路抓包重現與分析 .................................................................. 59
7.3.3 分析數據包尋找發起網路掃描的IP .......................................... 61
7.3.4 通過TCP 三次握手判斷連線埠開放情況 ..................................... 62
7.3.5 無線ARP 欺騙與訊息監聽重現分析 ......................................... 65
7.3.6 使用Wireshark 進行無線監聽重現分析 .................................... 69
第8 章 Web 層攻擊分析與應急回響演練 ................................................... 75
8.1 SQL 注入攻擊分析與應急演練 .............................................................. 75
8.1.1 SQL 注入漏洞挖掘與利用過程分析 .......................................... 76
8.1.2 利用注入漏洞植入木馬過程分析............................................... 81
8.1.3 後門賬號添加過程分析 .............................................................. 85
8.1.4 反彈後門添加過程分析 .............................................................. 87
8.1.5 入侵排查與應急處置 .................................................................. 88
8.1.6 SQL 注入漏洞應急處置 .............................................................. 91
8.2 XSS 高級釣魚手段分析與應急處置 ....................................................... 92
8.2.1 利用XSS 漏洞的釣魚攻擊 ......................................................... 92
8.2.2 高級釣魚攻防 .............................................................................. 94
8.2.3 高級釣魚手法分析 ...................................................................... 96
8.2.4 XSS 漏洞應急處置 ...................................................................... 96
8.3 CSRF 攻擊分析與應急處置 .................................................................... 97
8.3.1 攻擊腳本準備 .............................................................................. 98
8.3.2 添加惡意留言 .............................................................................. 98
8.3.3 一句話木馬自動添加成功 ........................................................ 100
8.3.4 CSRF 漏洞檢測與應急處置 ...................................................... 101
8.4 檔案上傳漏洞的利用與應急處置 ......................................................... 103
8.4.1 檔案上傳漏洞原理 .................................................................... 103
8.4.2 利用檔案上傳漏洞進行木馬上傳............................................. 103
8.4.3 檔案上傳漏洞的應急處置 ........................................................ 107
8.5 Web 安全事件應急回響技術總結 ......................................................... 108
8.5.1 Web 套用入侵檢測 .................................................................... 108
8.5.2 Web 日誌分析 ............................................................................ 112
8.5.3 Apache 日誌分析 ....................................................................... 119
8.5.4 IIS 日誌分析 .............................................................................. 121
8.5.5 其他伺服器日誌 ........................................................................ 123
第9 章 主機層安全應急回響演練 ............................................................. 124
9.1 Windows 木馬後門植入 ......................................................................... 124
9.2 Linux 系統木馬後門植入 ...................................................................... 129
9.2.1 新增超級用戶賬戶 .................................................................... 130
9.2.2 破解用戶密碼 ............................................................................ 131
9.2.3 SUID Shell .................................................................................. 131
9.2.4 檔案系統後門 ............................................................................ 133
9.2.5 Crond 定時任務 ......................................................................... 133
9.3 後門植入監測與防範 ............................................................................. 134
9.3.1 後門監測 .................................................................................... 134
9.3.2 後門防範 .................................................................................... 134
9.4 主機日誌分析 ......................................................................................... 135
9.4.1 Windows 日誌分析 .................................................................... 135
9.4.2 Linux 日誌分析 .......................................................................... 147
9.5 Windows 檢查演練 ................................................................................. 151
9.5.1 身份鑑別 .................................................................................... 151
9.5.2 訪問控制 .................................................................................... 152
9.5.3 安全審計 .................................................................................... 153
9.5.4 剩餘信息保護 ............................................................................ 154
9.5.5 入侵防範 .................................................................................... 155
9.5.6 惡意代碼防範 ............................................................................ 155
9.5.7 資源控制 .................................................................................... 156
9.5.8 軟體安裝限制 ............................................................................ 157
9.6 Linux 檢查演練 ...................................................................................... 157
9.6.1 身份鑑別 .................................................................................... 157
9.6.2 訪問控制 .................................................................................... 158
9.6.3 安全審計 .................................................................................... 159
9.6.4 入侵防範 .................................................................................... 160
9.6.5 資源控制 .................................................................................... 160
9.7 Tomcat 檢查演練 .................................................................................... 161
9.7.1 訪問控制 .................................................................................... 161
9.7.2 安全審計 .................................................................................... 162
9.7.3 資源控制 .................................................................................... 162
9.7.4 入侵防範 .................................................................................... 162
9.8 WebLogic 檢查演練 ............................................................................... 163
9.8.1 安全審計 .................................................................................... 164
9.8.2 訪問控制 .................................................................................... 164
9.8.3 資源控制 .................................................................................... 164
9.8.4 入侵防範 .................................................................................... 165
第10 章 資料庫層安全應急回響演練 ....................................................... 166
10.1 MySQL 資料庫程式漏洞利用 ............................................................. 166
10.1.1 信息收集 .................................................................................. 166
10.1.2 後台登錄爆破 .......................................................................... 168
10.1.3 尋找程式漏洞 .......................................................................... 174
10.1.4 SQL 注入攻擊拖庫 .................................................................. 175
10.2 MySQL 資料庫安全配置 ..................................................................... 177
10.2.1 修改root 口令並修改默認配置 .............................................. 177
10.2.2 使用其他獨立用戶運行MySQL ............................................ 178
10.2.3 禁止遠程連線資料庫並限制連線用戶 ................................... 179
10.2.4 MySQL 伺服器許可權控制 ........................................................ 180
10.2.5 資料庫備份策略 ...................................................................... 183
10.3 Oracle 攻擊重現與分析 ....................................................................... 184
10.3.1 探測Oracle 連線埠 ...................................................................... 184
10.3.2 EM 控制台口令爆破 ............................................................... 185
10.3.3 Oracle 數據竊取 ....................................................................... 187
10.4 Oracle 主機檢查演練 ........................................................................... 188
10.4.1 身份鑑別 .................................................................................. 188
10.4.2 訪問控制 .................................................................................. 189
10.4.3 安全審計 .................................................................................. 189
10.4.4 剩餘信息保護 .......................................................................... 190
10.4.5 入侵防範 .................................................................................. 190
第3 篇 網路安全應急回響體系建設
第11 章 應急回響體系建立 ...................................................................... 192
11.1 體系設計原則 ....................................................................................... 193
11.2 體系建設實施 ....................................................................................... 193
11.2.1 責任體系構建 .......................................................................... 194
11.2.2 業務風險評估與影響分析 ....................................................... 195
11.2.3 監測與預警體系建設 ............................................................... 196
11.2.4 應急預案的制定與維護 ........................................................... 198
11.2.5 應急處理流程的建立 ............................................................... 199
11.2.6 應急工具的準備....................................................................... 199
第12 章 應急預案的編寫與演練 .............................................................. 201
12.1 應急回響預案的編制 ........................................................................... 201
12.1.1 總則 .......................................................................................... 202
12.1.2 角色及職責 .............................................................................. 203
12.1.3 預防和預警機制 ...................................................................... 204
12.1.4 應急回響流程 .......................................................................... 204
12.1.5 應急回響保障措施 .................................................................. 208
12.1.6 附屬檔案 .......................................................................................... 209
12.2 應急預案演練 ....................................................................................... 211
12.2.1 應急演練形式 .......................................................................... 211
12.2.2 應急演練規劃 .......................................................................... 212
12.2.3 應急演練計畫階段 .................................................................. 212
12.2.4 網路安全事件應急演練準備階段 ........................................... 214
12.2.5 網路安全事件應急演練實施階段 ........................................... 218
12.2.6 網路安全事件應急演練評估與總結階段 ............................... 219
第13 章 PDCERF 應急回響方法 ............................................................. 221
13.1 準備階段 ............................................................................................... 222
13.1.1 組建應急小組 .......................................................................... 222
13.1.2 制定應急回響制度規範 .......................................................... 224
13.1.3 編制應急預案 .......................................................................... 225
13.1.4 培訓演練 .................................................................................. 225
13.2 檢測階段 ............................................................................................... 225
13.2.1 信息通報 .................................................................................. 225
13.2.2 確定事件類別與事件等級 ...................................................... 226
13.2.3 應急啟動 .................................................................................. 227
13.3 抑制階段 ............................................................................................... 227
13.3.1 抑制方法確定 .......................................................................... 227
13.3.2 抑制方法認可 .......................................................................... 227
13.3.3 抑制實施 .................................................................................. 228
13.4 根除階段 ............................................................................................... 228
13.4.1 根除方法確定 .......................................................................... 228
13.4.2 根除實施 .................................................................................. 229
13.5 恢復階段 ............................................................................................... 229
13.5.1 恢複方法確定 .......................................................................... 229
13.5.2 實施恢復操作 .......................................................................... 230
13.6 跟蹤階段 ............................................................................................... 230
參考文獻 .................................................................................................... 231