|
網絡技術是從1990年代中期發展起來的新技術,它把互聯網上分散的資源融為有機整體,實現資源的全面共享和有機協作,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機、存儲資源、數據資源、信息資源、知識資源、專家資源、大型數據庫、網絡、傳感器等。 當前的互聯網只限于信息共享,網絡則被認為是互聯網發展的第三階段。 7.檢查涉及到的或者受到威脅的遠程站點 在審查日志文件、入侵程序的輸出文件和系統被侵入以來被修改的和新建立的文件時,要注意哪些站點可能會連接到被侵入的系統。根據經驗那些連接到被侵入主機的站點,通常已經被侵入了。所以要盡快找出其它可能遭到入侵的系統,通知其管理人員。 D.通知相關的CSIRT和其它被涉及的站點 1.事故報告 入侵者通常會使用被侵入的帳戶或者主機發動對其它站點的攻擊。如果你發現針對其它站點的入侵活動,建議你馬上和這些站點聯絡。告訴他們你發現的入侵征兆,建議他們檢查自己的系統是否被侵入,以及如何防護。要盡可能告訴他們所有的細節,包括:日期/時間戳、時區,以及他們需要的信息。 你還可以向CERT(計算機緊急反應組)提交事故報告,從他們那里的到一些恢復建議。 中國大陸地區的網址是: http://www.cert.org.cn 2.與CERT調節中心聯系 你還可以填寫一份事故報告表,使用電子郵件發送http://www.cert.org,從那里可以得到更多幫助。CERT會根據事故報告表對攻擊趨勢進行分析,將分析結果總結到他們的安全建議和安全總結,從而防止攻擊的蔓延。可以從以下網址獲得事故報告表: http://www.cert.org/ftp/incident_reporting_form 3.獲得受牽連站點的聯系信息 如果你需要獲得頂級域名(.com、.edu、.net、.org等)的聯系信息,建議你使用interNIC的whois數據庫。 http://rs.internic.net/whois.html 如果你想要獲得登記者的確切信息,請使用interNIC的登記者目錄: http://rs.internic.net/origin.html 想獲得亞太地區和澳洲的聯系信息,請查詢: http://www.apnic.net/apnic-bin/whois.pl http://www.aunic.net/cgi-bin/whois.aunic 如果你需要其它事故反應組的聯系信息,請查閱FIRST(Forum of Incident Response and Security Teams)的聯系列表: http://www.first.org/team-info/ 要獲得其它的聯系信息,請參考: http://www.cert.org/tech_tips/finding_site_contacts.html 建議你和卷入入侵活動的主機聯系時,不要發信給root或者postmaster。因為一旦這些主機已經被侵入,入侵者就可能獲得了超級用戶的權限,就可能讀到或者攔截送到的e-mail。 E.恢復系統 1.安裝干凈的操作系統版本 一定要記住如果主機被侵入,系統中的任何東西都可能被攻擊者修改過了,包括:內核、二進制可執行文件、數據文件、正在運行的進程以及內存。通常,需要從發布介質上重裝操作系統,然后在重新連接到網絡上之前,安裝所有的安全補丁,只有這樣才會使系統不受后門和攻擊者的影響。只是找出并修補被攻擊者利用的安全缺陷是不夠的。 我們建議你使用干凈的備份程序備份整個系統。然后重裝系統。 2.取消不必要的服務 只配置系統要提供的服務,取消那些沒有必要的服務。檢查并確信其配置文件沒有脆弱性以及該服務是否可靠。通常,最保守的策略是取消所有的服務,只啟動你需要的服務。 3.安裝供應商提供的所有補丁 我們強烈建議你安裝了所有的安全補丁,要使你的系統能夠抵御外來攻擊,不被再次侵入,這是最重要的一步。 你應該關注所有針對自己系統的升級和補丁信息。 4.查閱CERT的安全建議、安全總結和供應商的安全提示 我們鼓勵你查閱CERT以前的安全建議和總結,以及供應商的安全提示,一定要安裝所有的安全補丁。 CERT安全建議: http://www.cert.org/advisories/ CERT安全總結: http://www.cert.org/advisories/ 供應商安全提示: ftp://ftp.cert.org/pub/cert_bulletins/ 5.謹慎使用備份數據 在從備份中恢復數據時,要確信備份主機沒有被侵入。一定要記住,恢復過程可能會重新帶來安全缺陷,被入侵者利用。如果你只是恢復用戶的home目錄以及數據文件,請記住文件中可能藏有特洛伊木馬程序。你還要注意用戶起始目錄下的.rhost文件。 6.改變密碼 在彌補了安全漏洞或者解決了配置問題以后,建議你改變系統中所有帳戶的密碼。一定要確信所有帳戶的密碼都不容易被猜到。你可能需要使用供應商提供的或者第三方的工具加強密碼的安全。 澳大利亞CERT發表了一篇choosing good passwords的文章,可以幫助你選擇良好的密碼。 F.加強系統和網絡的安全 1.根據CERT的UNIX/NT配置指南檢查系統的安全性 CERT的UNIX/NT配置指南可以幫助你檢查系統中容易被入侵者利用的配置問題。 http://www.cert.org/tech_tips/unix_configuration_guidelines.html http://www.cert.org/tech_tips/win_configuration_guidelines.html 查閱安全工具文檔可以參考以下文章,決定使用的安全工具。 http://www.cert.org/tech_tips/security_tools.html 2.安裝安全工具 在將系統連接到網絡上之前,一定要安裝所有選擇的安全工具。同時,最好使用Tripwire、aide等工具對系統文件進行MD5校驗,把校驗碼放到安全的地方,以便以后對系統進行檢查。 3.打開日志 啟動日志(logging)/檢查(auditing)/記帳(accounting)程序,將它們設置到準確的級別,例如sendmail日志應該是9級或者更高。經常備份你的日志文件,或者將日志寫到另外的機器、一個只能增加的文件系統或者一個安全的日志主機。 4.配置防火墻對網絡進行防御 現在有關防火墻的配置文章很多,在此就不一一列舉了。你也可以參考: http://www.cert.org/tech_tips/packet_filtering.html G.重新連接到Internet全 完成以上步驟以后,你就可以把系統連接回Internet了。 H.升級你的安全策略 CERT調節中心建議每個站點都要有自己的計算機安全策略。每個組織都有自己特殊的文化和安全需求,因此需要根據自己的情況指定安全策略。關于這一點請參考RFC2196站點安全手冊: ftp://ftp.isi.edu/in-notes/rfc2196.txt 1.總結教訓 從記錄中總結出對于這起事故的教訓,這有助于你檢討自己的安全策略。 2.計算事故的代價 許多組織只有在付出了很大代價以后才會改進自己的安全策略。計算事故的代價有助于讓你的組織認識到安全的重要性。而且可以讓管理者認識到安全有多么重要。 3.改進你的安全策略 最后一步是對你的安全策略進行修改。所做的修改要讓組織內的所有成員都知道,還要讓他們知道對他們的影響。 網絡的神奇作用吸引著越來越多的用戶加入其中,正因如此,網絡的承受能力也面臨著越來越嚴峻的考驗―從硬件上、軟件上、所用標準上......,各項技術都需要適時應勢,對應發展,這正是網絡迅速走向進步的催化劑。 |
溫馨提示:喜歡本站的話,請收藏一下本站!
本站發布的Win7純凈版系統、Win10純凈版和XP純凈版系統僅為個人學習測試使用,請在下載后24小時內刪除,不得用于任何商業用途,否則后果自負,請支持購買微軟正版軟件!
本站所有資源全部來自于網絡資源,如侵犯到您的權益,請及時通知我們(),我們會及時處理.
Copyright © 2018-2020 蘿卜系統 手機站 關于本站
