网络安全应急管理与技术实践

第1 篇 网络安全应急管理
第1 章 概论  2
11 网络安全应急响应的概念  2
12 网络安全应急响应的历史背景  3
13 网络安全应急响应的政策依据  3
131 《网络安全法》关于应急处置和监测预警的规定  4
132 《突发事件应对法》关于应急响应的规定  6
133 《数据安全法》关于应急响应的要求  6
134 《个人信息保护法》关于应急响应的要求  7
第2 章 网络安全等级保护20 中的应急响应  9
21 网络安全等级保护概述  9
22 网络安全等级保护中事件处置及应急响应的要求与合规指引  10
第3 章 网络安全应急响应组织与相关标准  16
31 国际网络安全应急响应组织介绍  16
32 网络安全应急响应标准  19
33 《国家网络安全事件应急预案》概述  20
第4 章 网络安全事件分级分类  21
41 信息安全事件分级分类  21
42 网络安全事件分级  22
43 网络和信息系统损失程度划分  23
第2 篇 网络安全应急技术与实践
第5 章 黑客入侵技术  26
51 入侵前奏分析  26
511 whois 查询  26
512 DNS 解析查询  26
513 默认404 页面信息泄漏  27
514 HTTP 状态码  28
515 端口扫描  30
516 社会工程学  32
517 知识链条扩展  32
52 Web 入侵事件  33
521 自动化漏洞挖掘  33
522 旁站入侵  33
523 ARP 欺骗 34
524 钓鱼邮件  34
525 DNS 劫持  35
53 主机入侵事件  35
54 数据库入侵事件  36
55 拒绝服务攻击事件  37
第6 章 网络安全应急响应自查技术  38
61 网络安全应急响应关键流程自查  38
62 网络安全应急响应关键技术点自查  39
621 账号管理自查  39
622 口令管理自查  40
623 病毒木马自查  40
624 日志审计自查  41
625 远程接入、接入认证自查  42
626 网络互联、安全域管理自查  42
627 信息资产清理自查  43
628 安全验收自查  43
63 物理安全自查  44
631 物理位置选择  44
632 物理访问控制  45
633 防盗窃和防破坏  45
634 防雷击  46
635 防火  46
636 防水和防潮  47
637 防静电  47
638 温湿度控制  47
639 电力供应  48
6310 电磁防护  48
第7 章 网络层安全防御与应急响应演练  50
71 网络架构安全防御措施检查  50
711 网络架构安全  50
712 访问控制  51
713 安全审计  52
714 安全区域边界  53
715 入侵防范  53
716 恶意代码防范  54
72 网络设备安全防御检查  54
721 访问控制  54
722 安全审计  55
723 网络设备防护  56
73 网络层攻击分析与应急响应演练  57
731 网络层DDoS 攻击的防御方法  57
732 网络抓包重现与分析  59
733 分析数据包寻找发起网络扫描的IP  61
734 通过TCP 三次握手判断端口开放情况  62
735 无线ARP 欺骗与消息监听重现分析  65
736 使用Wireshark 进行无线监听重现分析  69
第8 章 Web 层攻击分析与应急响应演练  75
81 SQL 注入攻击分析与应急演练  75
811 SQL 注入漏洞挖掘与利用过程分析  76
812 利用注入漏洞植入木马过程分析 81
813 后门账号添加过程分析  85
814 反弹后门添加过程分析  87
815 入侵排查与应急处置  88
816 SQL 注入漏洞应急处置  91
82 XSS 高级钓鱼手段分析与应急处置  92
821 利用XSS 漏洞的钓鱼攻击  92
822 高级钓鱼攻防  94
823 高级钓鱼手法分析  96
824 XSS 漏洞应急处置  96
83 CSRF 攻击分析与应急处置  97
831 攻击脚本准备  98
832 添加恶意留言  98
833 一句话木马自动添加成功  100
834 CSRF 漏洞检测与应急处置  101
84 文件上传漏洞的利用与应急处置  103
841 文件上传漏洞原理  103
842 利用文件上传漏洞进行木马上传 103
843 文件上传漏洞的应急处置  107
85 Web 安全事件应急响应技术总结  108
851 Web 应用入侵检测  108
852 Web 日志分析  112
853 Apache 日志分析  119
854 IIS 日志分析  121
855 其他服务器日志  123
第9 章 主机层安全应急响应演练  124
91 Windows 木马后门植入  124
92 Linux 系统木马后门植入  129
921 新增超级用户账户  130
922 破解用户密码  131
923 SUID Shell  131
924 文件系统后门  133
925 Crond 定时任务  133
93 后门植入监测与防范  134
931 后门监测  134
932 后门防范  134
94 主机日志分析  135
941 Windows 日志分析  135
942 Linux 日志分析  147
95 Windows 检查演练  151
951 身份鉴别  151
952 访问控制  152
953 安全审计  153
954 剩余信息保护  154
955 入侵防范  155
956 恶意代码防范  155
957 资源控制  156
958 软件安装限制  157
96 Linux 检查演练  157
961 身份鉴别  157
962 访问控制  158
963 安全审计  159
964 入侵防范  160
965 资源控制  160
97 Tomcat 检查演练  161
971 访问控制  161
972 安全审计  162
973 资源控制  162
974 入侵防范  162
98 WebLogic 检查演练  163
981 安全审计  164
982 访问控制  164
983 资源控制  164
984 入侵防范  165
第10 章 数据库层安全应急响应演练  166
101 MySQL 数据库程序漏洞利用  166
1011 信息收集  166
1012 后台登录爆破  168
1013 寻找程序漏洞  174
1014 SQL 注入攻击拖库  175
102 MySQL 数据库安全配置  177
1021 修改root 口令并修改默认配置  177
1022 使用其他独立用户运行MySQL  178
1023 禁止远程连接数据库并限制连接用户  179
1024 MySQL 服务器权限控制  180
1025 数据库备份策略  183
103 Oracle 攻击重现与分析  184
1031 探测Oracle 端口  184
1032 EM 控制台口令爆破  185
1033 Oracle 数据窃取  187
104 Oracle 主机检查演练  188
1041 身份鉴别  188
1042 访问控制  189
1043 安全审计  189
1044 剩余信息保护  190
1045 入侵防范  190
第3 篇 网络安全应急响应体系建设
第11 章 应急响应体系建立  192
111 体系设计原则  193
112 体系建设实施  193
1121 责任体系构建  194
1122 业务风险评估与影响分析  195
1123 监测与预警体系建设  196
1124 应急预案的制定与维护  198
1125 应急处理流程的建立  199
1126 应急工具的准备 199
第12 章 应急预案的编写与演练  201
121 应急响应预案的编制  201
1211 总则  202
1212 角色及职责  203
1213 预防和预警机制  204
1214 应急响应流程  204
1215 应急响应保障措施  208
1216 附件  209
122 应急预案演练  211
1221 应急演练形式  211
1222 应急演练规划  212
1223 应急演练计划阶段  212
1224 网络安全事件应急演练准备阶段  214
1225 网络安全事件应急演练实施阶段  218
1226 网络安全事件应急演练评估与总结阶段  219
第13 章 PDCERF 应急响应方法  221
131 准备阶段  222
1311 组建应急小组  222
1312 制定应急响应制度规范  224
1313 编制应急预案  225
1314 培训演练  225
132 检测阶段  225
1321 信息通报  225
1322 确定事件类别与事件等级  226
1323 应急启动  227
133 抑制阶段  227
1331 抑制方法确定  227
1332 抑制方法认可  227
1333 抑制实施  228
134 根除阶段  228
1341 根除方法确定  228
1342 根除实施  229
135 恢复阶段  229
1351 恢复方法确定  229
1352 实施恢复操作  230
136 跟踪阶段  230
参考文献  231