| 绪论 | 第1-11页 |
| 第一章 应急响应概述及其技术特点 | 第11-15页 |
| ·有关应急响应的概念 | 第11-12页 |
| ·应急响应的对象 | 第11页 |
| ·应急响应的作用和行为 | 第11-12页 |
| ·应急响应的必要性 | 第12页 |
| ·应急响应在信息安全周期中的位置 | 第12-13页 |
| ·应急响应的关键技术 | 第13-14页 |
| ·入侵检测 | 第13页 |
| ·事件隔离与快速恢复 | 第13-14页 |
| ·网络追踪和定位 | 第14页 |
| ·取证技术 | 第14页 |
| ·应急响应技术的发展方向 | 第14-15页 |
| 第二章 应急响应方法学 | 第15-21页 |
| ·准备阶段 | 第15-16页 |
| ·进行风险评估 | 第15-16页 |
| ·制订安全政策,建立安全防御/控制设施 | 第16页 |
| ·建立应急预案 | 第16页 |
| ·准备应急人员和资源 | 第16页 |
| ·建立支持应急响应的平台 | 第16页 |
| ·检测阶段 | 第16-17页 |
| ·检测软件 | 第17页 |
| ·初步响应 | 第17页 |
| ·对事件发展作出估计 | 第17页 |
| ·报告 | 第17页 |
| ·抑制阶段 | 第17-18页 |
| ·根除阶段 | 第18页 |
| ·恢复阶段 | 第18页 |
| ·跟踪阶段 | 第18-21页 |
| 第三章 应急响应组织学与网络安全事件应急响应联动系统基本模型 | 第21-29页 |
| ·应急响应组的概念 | 第21-22页 |
| ·应急响应组的发展规律 | 第22页 |
| ·现阶段应急响应组的发展 | 第22-24页 |
| ·应急响应组织的现状与发展 | 第22-23页 |
| ·联动的必要性。 | 第23-24页 |
| ·应急响应联动系统基本模型 | 第24-29页 |
| ·联动系统的体系结构 | 第25-27页 |
| ·联动系统的功能 | 第27-28页 |
| ·应急响应安全策略联合 | 第28-29页 |
| 第四章 各阶段中模型的细化 | 第29-37页 |
| ·P-准备(Preparatory Works) | 第29-35页 |
| ·事件描述分类标准 | 第29-30页 |
| ·优先级的考虑 | 第30-31页 |
| ·事件报告、交流格式 | 第31页 |
| ·信息共享模式 | 第31-32页 |
| ·漏洞分类、漏洞体系 | 第32-33页 |
| ·模拟攻击 | 第33-34页 |
| ·应急预案 | 第34-35页 |
| ·D-检测(Detection Mechanisms) | 第35页 |
| ·C-抑制(Containment Strategies) | 第35-36页 |
| ·E-根除(Eradication Procedures) | 第36页 |
| ·R-恢复(Recovery Steps) | 第36页 |
| ·F-跟踪(Follow-Up Reviews) | 第36-37页 |
| 第五章 响应过程的参考建议及个案的示意图 | 第37-39页 |
| 第六章 模型其它重要内容 | 第39-41页 |
| ·应急专线与无线通信手段的应用 | 第39页 |
| ·事件并行处理的协调问题 | 第39页 |
| ·信息共享与隐私保护以及配套法律建设 | 第39-40页 |
| ·异地数据备份与同步和自身的健壮性 | 第40-41页 |
| 附录A | 第41-43页 |
| 附录B | 第43-59页 |
| 一、 入侵事件响应策略和程序的建立 | 第43-44页 |
| 1 从管理的层次上建立事件响应的框架和规程 | 第43页 |
| 2 配置冗余策略的文档化 | 第43页 |
| 3 实施入侵响应策略的响应程序的文档化 | 第43-44页 |
| 4 对策略和程序的法律审查 | 第44页 |
| 5 根据上述策略和程序训练计划中的人员 | 第44页 |
| 二、 事件响应的准备工作 | 第44-47页 |
| 1 为所有的应用软件和操作系统创建启动盘或随机器发行的介质库 | 第45页 |
| 2 建立一个包含所有应用程序和不同版本的操作系统的安全补丁库 | 第45页 |
| 3 确定和安装支持重新安装系统、应用软件和打补丁的工具 | 第45页 |
| 4 确保你的备份程序足够从任何损害中恢复 | 第45页 |
| 5 建立一个描述系统希望状态的检测结果库 | 第45页 |
| 6 确保有进行和恢复系统备份介质以及支持设备 | 第45-46页 |
| 7 建立并维护联系信息数据库 | 第46页 |
| 8 建立安全的通信机制 | 第46页 |
| 9 确认和安装提供联系信息资源的工具 | 第46页 |
| 10 建立资源工具包并准备相关硬件设备 | 第46-47页 |
| 11 确保测试系统正确配置且可用 | 第47页 |
| 三、 分析所有可能得到的信息来确定入侵行为的特征 | 第47-50页 |
| 1 追踪和记录在执行备份过程中可能遗失或无法继续追踪的系统信息 | 第48页 |
| 2 备份被入侵的系统 | 第48页 |
| 3 “隔离”被入侵的系统 | 第48页 |
| 4 查找其他系统上的入侵痕迹 | 第48页 |
| 5 检查防火墙、网络监视软件以及路由器的日志 | 第48-49页 |
| 6 确定攻击者的入侵路径和方法 | 第49页 |
| 7 确定入侵者进入系统后都做了什么 | 第49-50页 |
| 四、 向所有需要知道入侵和入侵进展情况的组织通报 | 第50-51页 |
| 1 执行信息传播程序并记录入侵的具体情况 | 第50页 |
| 2 使用安全的通讯机制 | 第50页 |
| 3 通知攻击的上游和下游站点 | 第50-51页 |
| 4 维护详细的联系记录文件日志 | 第51页 |
| 5 维护系统和站点当前的联系信息 | 第51页 |
| 五、 收集和保护与入侵相关的资料 | 第51-52页 |
| 1 收集入侵相关的所有资料 | 第51页 |
| 2 收集并保护证据 | 第51-52页 |
| 3 保证安全地获取并且保存证据 | 第52页 |
| 4 如果你决定追究并且起诉一个入侵者,请立即联系执法机构 | 第52页 |
| 六、 隔离入侵的暂时解决方案 | 第52-54页 |
| 1 暂时关掉被入侵系统 | 第53页 |
| 2 将被入侵系统从网络断开 | 第53页 |
| 3 停止访问被入侵系统与其他计算机共享的文件 | 第53-54页 |
| 4 如果可能停用系统提供的服务 | 第54页 |
| 5 改变口令或停用帐号 | 第54页 |
| 6 监视系统和网络活动 | 第54页 |
| 7 确信冗余系统和数据没有被入侵 | 第54页 |
| 七、 消除入侵所有路径 | 第54-57页 |
| 1 改变全部可能受到攻击的系统的口令 | 第55页 |
| 2 重新设置被入侵系统 | 第55页 |
| 3 消除所有的入侵路径包括入侵者已经改变的方法 | 第55页 |
| 4 从最初的配置中恢复可执行程序(包括应用服务)和二进制文 | 第55页 |
| 5 检查系统配置 | 第55-56页 |
| 6 确定是否有未修正的系统和网络漏洞并改正 | 第56页 |
| 7 限制网络和系统的暴露程度以改善保护机制 | 第56页 |
| 8 改善探测机制使它在受到攻击时得到较好的报告 | 第56-57页 |
| 八、 恢复系统正常操作 | 第57-58页 |
| 1 确定使系统恢复正常的需求和时间表 | 第57页 |
| 2 从可信的备份介质中恢复用户数据 | 第57页 |
| 3 打开系统和应用服务 | 第57页 |
| 4 恢复系统网络连接 | 第57-58页 |
| 5 验证恢复系统 | 第58页 |
| 6 观察其他的扫描、探测等可能表示入侵者又回来的信号 | 第58页 |
| 九、 跟踪总结 | 第58-59页 |
| 1 和所有涉及的各方进行事后分析总结 | 第58页 |
| 2 修订安全计划、政策、程序并进行训练以防止再次入侵 | 第58页 |
| 3 基于入侵的严重性和影响,确定是否进行新的风险分析 | 第58页 |
| 4 给你的系统和网络资产制定一个新的目录清单 | 第58页 |
| 5 如果需要,参与调查和起诉 | 第58-59页 |
| 结论 | 第59-61页 |
| 致谢 | 第61-63页 |
| 参考文献 | 第63-65页 |
| 研究生在读期间的研究成果 | 第65页 |
