第1章 事件響應(yīng)簡介 1
1.1 什么是事件響應(yīng) 2
1.1.1 事件的定義 2
1.1.2 安全事件的種類 2
1.1.3 其他類型的事件 3
1.1.4 事件響應(yīng)做些什么 5
1.1.5 事件響應(yīng)和信息與計算機(jī)安全目標(biāo)的關(guān)系 5
1.1.6 事件響應(yīng)與計算機(jī)/信息安全生命周期 6
1.2 事件響應(yīng)的基本原理 6
1.2.1 保護(hù)網(wǎng)絡(luò)安全的困難 7
1.2.2 大量的安全漏洞 7
1.2.3 攻擊系統(tǒng)和網(wǎng)絡(luò)的程序的存在 8
1.2.4 實(shí)際的和潛在的財務(wù)損失 8
1.2.5 不利的媒體曝光的威脅 8
1.2.6 對效率的需求 8
1.2.7 當(dāng)前入侵檢測能力的局限性 9
1.2.8 法律方面的注意事項(xiàng) 9
1.3 事件響應(yīng)概述 10
1.3.1 基本的考慮 10
1.3.2 計劃和組織 11
1.4 小結(jié) 13
第2章 風(fēng)險分析 14
2.1 關(guān)于風(fēng)險分析 14
2.2 與安全相關(guān)的風(fēng)險類型 15
2.3 安全事件的數(shù)據(jù)獲取 25
2.3.1 在本機(jī)構(gòu)內(nèi)部發(fā)生的事件的相關(guān)數(shù)據(jù) 25
2.3.2 其他機(jī)構(gòu)收集到的事故數(shù)據(jù) 25
2.3.3 脆弱性分析 26
2.4
緊急響應(yīng)中風(fēng)險分析的重要性 26
2.5 小結(jié) 27
第3章 事件響應(yīng)方法學(xué) 29
3.1 使用事件響應(yīng)方法學(xué)的原理 29
3.1.1 結(jié)構(gòu)和組織 29
3.1.2 效率 29
3.1.3 促進(jìn)事件響應(yīng)的處理過程 29
3.1.4 意外的收益：處理意外 30
3.1.5 法律考慮 30
3.2 事件響應(yīng)的6階段方法學(xué) 30
3.2.1 準(zhǔn)備 31
3.2.2 檢測 33
3.2.3 抑制 40
3.2.4 根除 41
3.2.5 恢復(fù) 45
3.2.6 跟蹤 45
3.3 建議 46
3.4 小結(jié) 47
第4章 事件響應(yīng)組的組建和管理 48
4.1 什么是事件響應(yīng)組 48
4.2 為什么要組建事件響應(yīng)組 49
4.2.1 協(xié)調(diào)能力 49
4.2.2 專業(yè)知識 49
4.2.3 效率 49
4.2.4 先期主動防御的能力 49
4.2.5 滿足機(jī)構(gòu)或社團(tuán)需要的能力 50
4.2.6 聯(lián)絡(luò)功能 50
4.2.7 處理制度障礙方面的能力 50
4.3 組建響應(yīng)組的問題 50
4.3.1 政策 50
4.3.2 響應(yīng)組是必需的嗎 51
4.3.3 功能需求和角色是什么 52
4.3.4 客戶群是誰 53
4.3.5 保持與客戶的聯(lián)系 54
4.3.6 建立應(yīng)急的通信（Developing Out－of－Band Communications） 58
4.3.7 人員問題 58
4.3.8 建立操作流程 60
4.4 關(guān)于事件響應(yīng)工作的管理 61
4.4.1 管理風(fēng)格 61
4.4.2 與他人合作 62
4.4.3 成功的評估標(biāo)準(zhǔn) 62
4.4.4 維護(hù)響應(yīng)組的技能 63
4.4.5 準(zhǔn)備報告和給管理層的匯報 63
4.4.6 事件響應(yīng)組的發(fā)展生命周期 64
4.4.7 模型的價值 65
4.5 小結(jié) 65
第5章 事件響應(yīng)的組織 66
5.1 有效的團(tuán)隊確保可用性 66
5.2 訓(xùn)練團(tuán)隊 67
5.3 測試團(tuán)隊 68
5.4 成功的障礙 70
5.4.1 預(yù)算 70
5.4.2 管理的抵制 70
5.4.3 組織的抵制 71
5.4.4 政策 71
5.4.5 用戶常識 72
5.5 外部協(xié)作 72
5.5.1 執(zhí)法機(jī)構(gòu) 72
5.5.2 媒體 73
5.5.3 其他事件響應(yīng)組 73
5.6 管理安全事件 74
5.6.1 持久響應(yīng)問題 75
5.6.2 分配安全事件的職責(zé) 75
5.6.3 流程圖 76
5.6.4 優(yōu)先權(quán) 77
5.7 小結(jié) 78
第6章 網(wǎng)絡(luò)攻擊的追蹤 79
6.1 什么是追蹤網(wǎng)絡(luò)攻擊 79
6.2 不同環(huán)境下的攻擊追蹤 80
6.2.1 攻擊追蹤和入侵追蹤 80
6.2.2 和PDCERF方法學(xué)的關(guān)系 80
6.2.3 代價與收獲 81
6.2.4 追蹤攻擊的動力 81
6.3 追蹤方法 82
6.3.1 搜索引擎 82
6.3.2 netstat命令 83
6.3.3 日志數(shù)據(jù) 83
6.3.4 入侵檢測系統(tǒng)的警報和數(shù)據(jù) 86
6.3.5 原始的包數(shù)據(jù) 86
6.4 下一步 88
6.4.1 發(fā)個電子郵件到abuse@ 88
6.4.2 找到可疑的源地址 89
6.5 構(gòu)建“攻擊路徑” 91
6.5.1 什么是攻擊路徑 91
6.5.2 構(gòu)建攻擊路徑 91
6.5.3 查明源 91
6.5.4 其他的線索 92
6.6 最后的忠告 92
6.7 小結(jié) 93
第7章 法律問題 94
7.1 美國有關(guān)計算機(jī)犯罪的法律 95
7.1.1 計算機(jī)欺詐和濫用法 95
7.1.2 最新立法 96
7.2 國際立法 97
7.2.1 COE條約 97
7.2.2 歐盟隱私權(quán)保護(hù)法案 99
7.3 搜查、沒收和監(jiān)控 100
7.4 制定管理政策 101
7.4.1 用戶準(zhǔn)則(AUP) 101
7.4.2 電子郵件的使用 102
7.4.3 加密 102
7.4.4 搜查與監(jiān)控 103
7.4.5 未經(jīng)授權(quán)的行為 103
7.4.6 登錄警示 103
7.5 責(zé)任 104
7.6 起訴還是不起訴 105
7.7 小結(jié) 106
第8章 取證（I） 107
8.1 指導(dǎo)性的原則 109
8.1.1 道德 109
8.1.2 執(zhí)行檢查 109
8.2 取證硬件 110
8.3 取證軟件 111
8.3.1 進(jìn)行拷貝的工具 112
8.3.2 搜索工具 112
8.3.3 完整系列軟件 113
8.4 獲取證據(jù) 113
8.5 對證據(jù)的檢查 115
8.5.1 做好搜查計劃 115
8.5.2 文件恢復(fù) 116
8.5.3 操作系統(tǒng)文件 116
8.6 小結(jié) 116
第9章 取證（II） 118
9.1 秘密搜查 118
9.2 高級搜查 119
9.2.1 硬件問題 119
9.2.2 筆記本電腦 120
9.2.3 老型號系統(tǒng) 121
9.2.4 個人數(shù)字助理 121
9.3 加密 122
9.4 家用系統(tǒng) 123
9.5 UNIX系統(tǒng)和服務(wù)器取證 124
9.5.1 與眾不同的UNIX 124
9.5.2 映像UNIX工作站 124
9.5.3 UNIX分析 125
9.5.4 服務(wù)器和服務(wù)器farm 127
9.6 小結(jié) 128
第10章 內(nèi)部攻擊的處理 129
10.1 內(nèi)部攻擊者的類型 129
10.2 攻擊類型 131
10.3 對內(nèi)部攻擊的預(yù)防 133
10.4 檢測內(nèi)部攻擊 134
10.5 內(nèi)部攻擊的響應(yīng) 135
10.6 特殊考慮 137
10.7 特殊情況 137
10.8 法律問題 138
10.9 小結(jié) 140
第11章 事件響應(yīng)中人性的因素 141
11.1 社會科學(xué)與事件響應(yīng)的結(jié)合 141
11.2 第一節(jié)：計算機(jī)犯罪特征描述 143
11.2.1 什么是計算機(jī)犯罪特征描述(CCP) 143
11.2.2 為什么CCP會成為事件響應(yīng)中的一部分 144
11.2.3 什么時候使用CCP 144
11.2.4 CCP的方法論 147
11.3 第二節(jié)：內(nèi)部攻擊 157
11.3.1 為什么內(nèi)部人員要發(fā)起攻擊 160
11.3.2 可行的解決方案 161
11.3.3 調(diào)查內(nèi)部人員 162
11.4 第三節(jié)：事件的受害者 163
11.5 第四節(jié)：事件響應(yīng)中人性的因素 166
11.6 小結(jié) 167
第12章 陷阱及偽裝手段 168
12.1 關(guān)于陷阱和偽裝手段 168
12.1.1 “蜜罐”(Honeypots) 168
12.1.2 自動提示信息 169
12.1.3 圈套命令 170
12.1.4 虛擬環(huán)境 170
12.2 陷阱與偽裝手段的利與弊 172
12.2.1 優(yōu)點(diǎn) 172
12.2.2 缺陷 173
12.3 焦點(diǎn)：“蜜罐” 174
12.3.1 偽裝服務(wù)器和偽裝主機(jī) 174
12.3.2 初始考慮因素 175
12.3.3 部署上應(yīng)考慮的問題 176
12.3.4 案例學(xué)習(xí)：欺騙工具包(DTK) 181
12.3.5 蜜罐的未來 182
12.4 事件響應(yīng)中陷阱和欺騙手段的整合 183
12.4.1 檢測 183
12.4.2 準(zhǔn)備 183
12.4.3 抑制 183
12.4.4 跟蹤 184
12.5 小結(jié) 184
第13章 事件響應(yīng)的未來發(fā)展方向 186
13.1 技術(shù)進(jìn)展 186
13.1.1 入侵監(jiān)測 186
13.1.2 自動響應(yīng) 188
13.1.3 實(shí)驗(yàn)中的追蹤方法 188
13.1.4 取證工具 189
13.1.5 加密 189
13.2 社會進(jìn)展 190
13.2.1 法律條文 190
13.2.2 協(xié)同響應(yīng) 190
13.2.3 教育 191
13.3 職業(yè)發(fā)展 191
13.4 事件的種類 195
13.4.1 病毒和蠕蟲 195
13.4.2 內(nèi)部攻擊 196
13.4.3 外部攻擊 196
13.5 小結(jié) 198
附錄A RFC-2196 200
站點(diǎn)安全手冊 200
A.1 簡介 200
A.1.1 這項(xiàng)工作的目的 201
A.1.2 讀者 201
A.1.3 定義 201
A.1.4 相關(guān)工作 201
A.1.5 基本方法 202
A.1.6 風(fēng)險評估 202
A.2 安全政策 203
A.2.1 安全政策是什么，我們?yōu)槭裁葱枰?203
A.2.2 怎樣產(chǎn)生一個好的安全政策 205
A.2.3 保持政策的靈活性 206
A.3 體系結(jié)構(gòu) 206
A.3.1 目標(biāo) 206
A.3.2 網(wǎng)絡(luò)和服務(wù)的配置 208
A.3.3 防火墻 211
A.4 安全服務(wù)和程序 213
A.4.1 認(rèn)證 214
A.4.2 保密性 216
A.4.3 完整性 216
A.4.4 授權(quán) 216
A.4.5 訪問 217
A.4.6 審核 219
A.4.7 安全備份 221
A.5 安全事件處理 221
A.5.1 事件處理的準(zhǔn)備和計劃 223
A.5.2 通知和聯(lián)系人 224
A.5.3 識別一個事件 228
A.5.4 事件處理 230
A.5.5 事故的后果 233
A.5.6 責(zé)任 233
A.6 正在進(jìn)行的活動 234
A.7 工具和存放地點(diǎn) 235
A.8 郵件列表和其他資源 235
A.9 參考資料 237
附錄B 事件響應(yīng)與報告項(xiàng)目檢查表 246