第1章 概述 1
1.1 为什么需要应急响应 2
1.2 如何理解应急响应 8
1.3 国内外主要组织机构 10
1.4 本书的内容安排 13
第2章 了解您的对手——黑客攻击技术 15
2.1 信息获取攻击 15
2.1.1 窃听 15
2.1.2 扫描 16
2.1.3 社交工程 18
2.2 特权提升攻击 19
2.2.1 口令攻击 19
2.2.2 缓冲区溢出攻击 22
2.2.3 后门攻击 24
2.2.5 特权提升攻击举例 25
2.2.4 特洛伊木马 25
2.3 拒绝服务攻击 32
2.3.1 剧毒包型DoS攻击 34
2.3.2 风暴型DoS攻击 38
2.3.3 DoS工具介绍 45
2.4 病毒和蠕虫攻击 46
2.4.1 病毒 47
2.4.2 蠕虫 48
3.1 安全管理的一般内容 49
第3章 日常安全管理制度 49
3.2 安全管理的实施 50
3.2.1 当前网络系统存在的问题 51
3.2.2 网络安全的基本原则 51
3.2.3 安全威胁、脆弱性与风险分析 52
3.2.4 启动安全策略 53
3.3 安全标准与安全政策 54
3.3.1 国外网络安全标准与政策现状 54
3.3.2 国内安全标准、政策制定和实施情况 56
3.3.3 安全标准应用实例分析 57
3.3.4 遵照国标建设安全的网络 59
3.4 日常安全管理制度参考 61
3.4.1 采用门禁系统 61
3.4.2 网络安全管理制度 61
3.4.3 口令管理策略 62
3.4.4 建立安全小组 63
3.4.5 安全教育培训制度 64
第4章 检测入侵 65
4.1 检测技术 65
4.1.1 检查系统的完整性 66
4.1.2 检查网络状况 67
4.1.3 检查系统状况 71
4.1.4 检查文件系统状况 74
4.2 入侵检测系统 76
4.2.1 系统体系结构 77
4.2.2 入侵检测系统选择 82
4.2.3 入侵检测系统的应用 86
4.2.4 入侵检测系统的局限性和发展趋势 90
第5章 应急响应小组的组建 92
5.1 概述 92
5.1.1 什么是应急响应小组 92
5.1.2 为什么需要应急响应小组 94
5.2 组建应急响应小组 95
5.2.1 应急响应小组的类型与组织结构形式 95
5.2.2 组建应急响应小组的步骤 97
5.2.3 关于小组成员的招募 103
5.2.4 编写事件报告指南 105
5.3 应急响应小组的管理 107
5.3.1 小组的培训 108
5.3.2 应急响应小组的保障 110
6.1.1 系统进程管理工具 112
第6章 应急响应的相关技术与工具 112
6.1 系统方面 112
6.1.2 端口管理工具 117
6.1.3 性能管理工具 119
6.1.4 系统修复工具 121
6.2 网络方面 122
6.2.1 网络监听工具 123
6.2.2 网络配置管理工具 132
6.2.3 网络测试与检查工具 136
6.3 日志工具 143
6.3.1 日志分析 144
6.3.2 日志管理与备份工具 151
6.3.3 日志分析工具 154
6.4 数据备份与恢复 156
6.4.1 系统数据备份 156
6.4.2 用户数据备份 157
6.4.3 备份策略 158
第7章 前期响应 160
7.1 制定应急响应计划 160
7.1.1 为什么要制定应急响应计划 160
7.1.2 如何制定应急响应计划 162
7.2 资源准备 164
7.2.1 应急经费筹备 164
7.2.2 人力资源准备 164
7.2.3 硬件设备准备 166
7.2.4 软件工具准备 169
7.2.5 其他工具的准备 175
7.3 现场备份 177
7.3.1 备份的目的 177
7.3.2 备份的策略 178
7.4 业务连续性保障 179
7.4.1 系统容灾 179
7.3.3 数据备份 179
7.4.2 搭建临时业务系统 181
第8章 中期响应 183
8.1 事件分析与处理 183
8.1.1 确定有哪些进程在活动 183
8.1.2 进程是否在监听某个端口 186
8.1.3 有哪些用户登录到了系统中 190
8.1.4 日志分析 190
8.1.5 确定系统当前受到的破坏 193
8.2 对入侵的追踪 199
8.2.1 在局域网中进行追踪 199
8.2.2 通信日志 200
8.2.3 地理位置的追踪 202
8.2.4 利用IP地址来追查 203
8.2.5 伪造源IP地址的追踪 208
8.3 取证 210
8.3.1 电子证据的特点 211
8.3.2 电子证据收集时需要考虑的法律问题 211
8.3.3 计算机取证的主要原则 212
8.3.4 计算机取证的基本步骤 212
8.3.5 计算机取证的相关技术 213
第9章 后期响应 214
9.1 提高系统安全性及进行系统安全性评估 214
9.1.1 进一步提高系统安全性 214
9.1.2 重新进行安全性评估,审视、更新安全策略 216
9.2 总结 217
9.2.1 总结报告会 217
9.2.2 撰写事件响应的行政报告和技术报告 218
9.3 事件文档与证据的处理 218
附录A 应急响应报告表模板 219
附录B 一些相关参考资源和站点 222
主要参考文献 223