信息系統(tǒng)安全事件響應(yīng)

第1章 概述
1.1 為什么需要應(yīng)急響應(yīng)
1.2 如何理解應(yīng)急響應(yīng)
1.3 國(guó)內(nèi)外主要組織機(jī)構(gòu)
1.4 本書(shū)的內(nèi)容安排
第2章 了解您的對(duì)手——黑客攻擊技術(shù)
2.1 信息獲取攻擊
2.1.1 竊聽(tīng)
2.1.2 掃描
2.1.3 社交工程
2.2 特權(quán)提升攻擊
2.2.1 口令攻擊
2.2.2 緩沖區(qū)溢出攻擊
2.2.3 后門(mén)攻擊
2.2.4 持洛伊木馬
2.2.5 特權(quán)提升攻擊舉例
2.3 拒絕服務(wù)攻擊
2.3.1 劇毒包型DoS攻擊
2.3.2 風(fēng)暴型DoS攻擊
2.3.3 DoS工具介紹
2.4 病毒和蠕蟲(chóng)攻擊
2.4.1 病毒
2.4.2 蠕蟲(chóng)
第3章 日常安全管理制度
3.1 安全管理的一般內(nèi)容
3.2 安全管理的實(shí)施
3.2.1 當(dāng)前網(wǎng)絡(luò)系統(tǒng)存在的問(wèn)題
3.2.2 網(wǎng)絡(luò)安全的基本原則
3.2.3 安全威脅、脆弱性與風(fēng)險(xiǎn)分析
3.2.4 啟動(dòng)安全策略
3.3 安全標(biāo)準(zhǔn)與安全政策
3.3.1 國(guó)外網(wǎng)絡(luò)安全標(biāo)準(zhǔn)與政策現(xiàn)狀
3.3.2 國(guó)內(nèi)安全標(biāo)準(zhǔn)、政策制定和實(shí)施情況
3.3.3 安全標(biāo)準(zhǔn)應(yīng)用實(shí)例分析
3.3.4 遵照國(guó)標(biāo)建設(shè)安全的網(wǎng)絡(luò)
3.4 日常安全管理制度參考
3.4.1 采用門(mén)禁系統(tǒng)
3.4.2 網(wǎng)絡(luò)安全管理制度
3.4.3 口令管理策略
3.4.4 建立安全小組
3.4.5 安全教育培訓(xùn)制度
第4章 檢測(cè)人侵
4.1 檢測(cè)技術(shù)
4.1.1 檢查系統(tǒng)的完整性
4.1.2 檢查網(wǎng)絡(luò)狀況
4.1.3 檢查系統(tǒng)狀況
4.1.4 檢查文件系統(tǒng)狀況
4.2 入侵檢測(cè)系統(tǒng)
4.2.1 系統(tǒng)體系結(jié)構(gòu)
4.2.2 入侵檢測(cè)系統(tǒng)選擇
4.2.3 入侵檢測(cè)系統(tǒng)的應(yīng)用
4.2.4 入侵檢測(cè)系統(tǒng)的局限性和發(fā)展趨勢(shì)
第5章 應(yīng)急響應(yīng)小組的組建
5.1 概述
5.1.1 什么是應(yīng)急響應(yīng)小組
5.1.2 為什么需要應(yīng)急響應(yīng)小組
5.2 組建應(yīng)急響應(yīng)小組
5.2.1 應(yīng)急響應(yīng)小組的類(lèi)型與組織結(jié)構(gòu)形式
5.2.2 組建應(yīng)急響應(yīng)小組的步驟
5.2.3 關(guān)于小組成員的招募
5.2.4 編寫(xiě)事件報(bào)告指南
5.3 應(yīng)急響應(yīng)小組的管理
5.3.1 小組的培訓(xùn)
5.3.2 應(yīng)急響應(yīng)小組的保障
第6章 應(yīng)急響應(yīng)的相關(guān)技術(shù)與工具
6.1 系統(tǒng)方面
6.1.1 系統(tǒng)進(jìn)程管理工具
6.1.2 端口管理工具
6.1.3 性能管理工具
6.1.4 系統(tǒng)修復(fù)工具
6.2 網(wǎng)絡(luò)方面
6.2.1 網(wǎng)絡(luò)監(jiān)聽(tīng)工具
6.2.2 網(wǎng)絡(luò)配置管理工具
6.2.3 網(wǎng)絡(luò)測(cè)試與檢查工具
6.3 日志工具
6.3.1 日志分析
6.3.2 日志管理與備份工具
6.3.3 日志分析工具
6.4 數(shù)據(jù)備份與恢復(fù)
6.4.1 系統(tǒng)數(shù)據(jù)備份
6.4.2 用戶(hù)數(shù)據(jù)備份
6.4.3 備份策略
第7章 前期響應(yīng)
7.1 制定應(yīng)急響應(yīng)計(jì)劃
7.1.1 為什么要制定應(yīng)急響應(yīng)計(jì)劃
7.1.2 如何制定應(yīng)急響應(yīng)計(jì)劃
7.2 資源準(zhǔn)備
7.2.1 應(yīng)急經(jīng)費(fèi)籌備
7.2.2 人力資源準(zhǔn)備
7.2.3 硬件設(shè)備準(zhǔn)備
7.2.4 軟件工具準(zhǔn)備
7.2.5 其他工具的準(zhǔn)備
7.3 現(xiàn)場(chǎng)備份
7.3.1 備份的目的
7.3.2 備份的策略
7.3.3 數(shù)據(jù)備份
7.4 業(yè)務(wù)連續(xù)性保障
7.4.1 系統(tǒng)容災(zāi)
7.4.2 搭建臨時(shí)業(yè)務(wù)系統(tǒng)
第8章 中期響應(yīng)
8.1 事件分析與處理
8.1.1 確定有哪些進(jìn)程在活動(dòng)
8.1.2 進(jìn)程是否在監(jiān)聽(tīng)某個(gè)端口
8.1.3 有哪些用戶(hù)登錄到了系統(tǒng)中
8.1.4 日志分析
8.1.5 確定系統(tǒng)當(dāng)前受到的破壞
8.2 對(duì)入侵的追蹤
8.2.1 在局域網(wǎng)中進(jìn)行追蹤
8.2.2 通信日志
8.2.3 地理位置的追蹤
8.2.4 利用IP地址來(lái)追查
8.2.5 偽造源IP地址的追蹤
8.3 取證
8.3.1 電子證據(jù)的特點(diǎn)
8.3.2 電子證據(jù)收集時(shí)需要考慮的法律問(wèn)題
8.3.3 計(jì)算機(jī)取證的主要原則
8.3.4 計(jì)算機(jī)取證的基本步驟
8.3.5 計(jì)算機(jī)取證的相關(guān)技術(shù)
第9章 后期響應(yīng)
9.1 提高系統(tǒng)安全性及進(jìn)行系統(tǒng)安全性評(píng)估
9.1.1 進(jìn)一步提高系統(tǒng)安全性
9.1.2 重新進(jìn)行安全性評(píng)估，審視、更新安全策略
9.2 總結(jié)
9.2.1 總結(jié)報(bào)告會(huì)
9.2.2 撰寫(xiě)事件響應(yīng)的行政報(bào)告和技術(shù)報(bào)告
9.3 事件文檔與證據(jù)的處理
附錄A 應(yīng)急響應(yīng)報(bào)告表模板
附錄B 一些相關(guān)參考資源和站點(diǎn)
主要參考文獻(xiàn)