<menu id="guoca"></menu>
<nav id="guoca"></nav><xmp id="guoca">
  • <xmp id="guoca">
  • <nav id="guoca"><code id="guoca"></code></nav>
  • <nav id="guoca"><code id="guoca"></code></nav>
    GB/T 20985.1—2017 信息技術 安全技術 信息安全事件管理 第1部分:事件管理原理
    展開或關閉
    前言
    前言
    引言
    引言
    1 范圍
    范圍
    2 規范性引用文件
    規范性引用文件
    3 術語和定義
    術語和定義
    4 概述
    4.1 基本概念和原理 4.2 事件管理目標 4.3 結構化方法的益處 4.4 適應性
    5 階段
    5.1 概述 5.2 規劃和準備 5.3 發現和報告 5.4 評估和決策 5.5 響應 5.6 經驗總結
    附錄A(資料性附錄)與調查類標準的關系
    附錄A(資料性附錄)與調查類標準的關系
    附錄B(資料性附錄)信息安全事件及其起因示例
    附錄B(資料性附錄)信息安全事件及其起因示例
    附錄C(資料性附錄)GB/T22080與GB/T20985對照表
    附錄C(資料性附錄)GB/T22080與GB/T20985對照表
    參考文獻
    參考文獻

    附錄B(資料性附錄)信息安全事件及其起因示例

    GB/T 20985.1—2017 信息技術 安全技術 信息安全事件管理 第1部分:事件管理原理 /

    附錄B(資料性附錄)信息安全事件及其起因示例

    A.1.1 拒絕服務

    拒絕服務(DoS)和分布式拒絕服務(DDoS)是事件的一個大類,具有共同點。這類事件導致系統、服務或網絡失敗,不能按其預期能力持續運行,經常導致合法用戶完全不能訪問。技術手段導致的DoS/DDoS事件類型主要有兩種:資源消除和資源耗盡。

    故意的技術型DoS/DDoS事件的典型例子包括:

    — 偵測網絡廣播地址,用響應流量占滿網絡帶寬;

    — 向系統、服務或網絡發送意外格式的數據,試圖至其崩潰或擾亂其正常運行;

    — 開啟特定系統、服務或網絡的多個授權會話,試圖耗盡其資源(即,至其慢速、鎖定或崩潰)。

    這種攻擊經常通過僵尸工具來進行,即一個運行了惡意軟件受僵尸網絡控制的計算機系統。僵尸網絡是受人集中控制的僵尸命令和控制網絡。僵尸網絡的規模可從數百臺到數百萬臺受感染的計算機。

    某些技術型DoS事件可能是意外造成的,例如,操作員的錯誤配置或應用軟件的不兼容,但多數時候是故意的。某些技術型DoS事件是被有意發起的,目的在于導致系統、服務或網絡崩潰,而其他那些僅是其他惡意活動的副產品。例如,某些較常見的隱形掃描和識別技術可能會導致舊的或錯誤配置的系統或服務在掃描時崩潰。值得注意的是,許多故意的技術型DoS事件往往是匿名執行的(即攻擊源是“偽造的”),因為它們通常不需要攻擊者從受攻擊的網絡或系統接收任何反饋信息。

    非技術手段導致的DoS事件,造成信息、服務和(或)設施損失,可能由如下示例引起:

    — 違反物理安全規定,造成設備的失竊或故意損壞和破壞;

    — 由火災或水災導致的對硬件(和(或)其位置)的意外損壞;

    — 極端的環境條件,例如,高運行溫度(如因空調故障);

    — 系統故障或過載;

    — 不受控的系統變更;

    — 軟件或硬件故障。

    A.1.2 未授權訪問

    通常,這類事件包括在實際未授權的情況下嘗試訪問或誤用系統、服務或網絡。技術型未授權訪問事件的一些例子包括:

    — 試圖找回密碼文件;

    — 緩沖區溢出攻擊,試圖獲得對目標的特權(例如,系統管理員)訪問;

    — 利用協議漏洞,劫持或誤導合法的網絡連接;

    — 試圖提升對資源或信息的訪問特權,以致超出一個用戶或管理員已經合法所擁有的。

    非技術手段導致的未授權訪問事件,造成直接或間接的信息泄露或篡改、責任違約或信息系統誤用,可能由如下示例引起:

    — 違反物理安全規定,造成對信息的未經授權訪問;

    — 由于系統變更不受控或者軟件或硬件故障,致使操作系統配置不當和(或)錯誤。

    A.1.3 惡意軟件

    惡意軟件是指一個程序或一個程序的部分被插入另外一個程序中,意在修改原來的行為,通常進行惡意活動,諸如盜用信息和身份、破壞信息和資源、拒絕服務,發送垃圾郵件等。惡意軟件攻擊可分為五類:病毒、蠕蟲、特洛伊木馬、移動代碼和混合攻擊。其中,病毒旨在植入任何易受感染的系統,而其他惡意軟件被用于針對特定目標進行攻擊。這有時通過修改現有的惡意軟件,生成不易被惡意軟件檢測技術認出的變體的方式進行。

    A.1.4 濫用

    這類事件通常是因用戶違背組織信息系統安全策略造成的。嚴格來說,這種事件并不是攻擊,但通常作為事件來報告且宜由IRT管理。不當使用可包括:

    — 下載并安裝黑客工具;

    — 利用企業電子郵件發送垃圾郵件或推廣個人業務;

    — 利用公司資源建立未經授權的網站;

    — 利用對等網絡(P2P)獲取或發布盜版文件(音樂、視頻、軟件)。

    A.2 信息收集

    通常,信息收集類事件包括識別潛在目標,了解這些目標上運行的服務等相關活動。這類事件涉及以識別如下信息為目標的偵測:

    — 存在的目標及其周邊的網絡拓撲結構和與其日常通信的對象;

    — 目標或其即時網絡環境中可能被利用的潛在脆弱性。

    通過技術手段進行信息收集攻擊的典型例子如下:

    — 鏡像目標互聯網域的域名系統(DNS)記錄(DNS區域傳輸);

    — 偵測網絡地址以發現活躍的系統;

    — 探測系統以識別(例如,采集痕跡)主操作系統;

    — 掃描系統上的可用的網絡端口來識別網絡服務(例如,電子郵件、文件傳輸協議(FTP),網頁等),以及這些服務的軟件版本;

    — 在網絡地址范圍中掃描一個或多個已知的易受攻擊的服務(水平掃描)。

    在某些情況下,技術型的信息收集可能會導致未授權訪問。例如,攻擊者在搜索脆弱性時還會試圖獲得未授權訪問。這通常發生在使用自動化工具。自動化工具不僅搜索脆弱性,還自動地試圖發現并利用系統、服務或網絡中的脆弱性。

    非技術手段導致的信息收集事件,會造成如下后果:

    — 直接或間接的信息泄露或篡改;

    — 電子化存儲的知識產權的被盜;

    — 責任違約,例如,在帳戶記錄中的責任違約;

    — 信息系統濫用(例如,違反法律或組織策略)。

    信息收集事件可能由如下原因(示例)導致:

    — 違反物理安全規定,造成對信息的非授權訪問,以及含有重要數據(例如,密鑰)的數據存儲設備失竊;

    — 由于系統變更不受控或者軟件或硬件故障,致使操作系統配置不當和(或)錯誤,進而導致內部或外部人員獲得額外的信息訪問權限;

    — 社會工程,一種操縱人們行動或泄露機密信息的行為,例如,網絡釣魚。

    本文章首發在 網安wangan.com 網站上。

    上一篇 下一篇
    地球胖頭魚
    1.3k 聲望
    暫無個人描述~
    討論數量: 0
    只看當前版本


    暫無話題~
    ? 2021 WANGAN.COM 幫助網安從業者成長;關注產業發展,做網絡安全忠誠衛士!
    亚洲 欧美 自拍 唯美 另类