【IT168 报道】作为一个网络管理员,在你管理维护系统时突然留意到日志文件有些奇怪的活动,等到进一步了解后,发现情况并不简单,你察觉可能是系统遭到入侵时,恐怕突如其来的问题会让你不知所措。
对于一个网络管理员最要命的就是:黑客入侵后的前五分钟内遇到的问题该如何妥善处理。
市面上教你防范黑客的方法还真不少,但教人如何处理黑客入侵后的问题的却不多。因此,我们将分阶段推出一系列专题,告诉你遭到黑客攻击后五分钟、一小时与一周内应该采取的对策。本篇文章将着重在系统遭入侵后应立即采取的保护步骤:评估、通报、断线。即五分钟!
评估状况
遭受攻击后首先必须思考你的目标为何?(当然,这最好事前想好)。 一般而言,目标应该很单纯:避免遭到二度入侵,并尽速解决此一问题。但在某些情况下,你可能会想找出入侵者身份,或者进一步探索黑客利用何种漏洞入侵。
找出入侵者身份
若你能找出入侵者的身份,并转交给监督机构侦办是最好了。但这不是让系统恢复上线,避免二度被入侵的最快方法。要辨认出入侵者身份并不容易,尤其许多高手都会掩饰自己的行踪。电影中,要追踪黑客好象很容易,但实际上,若对方将流量传经好几个系统后就很不容易追查了,最后往往只能不了了之。
找出漏洞所在
部分企业会优先找出被黑客利用的漏洞所在,这样的逻辑在于“亡羊补牢”,好让黑客不能再度作怪,但这种作法并非最理想。比较好的策略是赶快找出系统中所有可能存在的漏洞,避免黑客还有其它入侵渠道,而非仅只专注在黑客入侵过的地方而已。目前市面上有许多安全评估工具,可供快速测试并解决所有漏洞。
系统恢复运作
若你是第一次碰上黑客入侵事件,你应先放弃追踪入侵者或找出特定漏洞的念头,这是因为要产生一份完整的日志文件来追踪入侵来源并没那么容易。赶快补好漏洞并让系统恢复营运通常是最直接了当的作法,这样一来你不但可降低风险,也可强化自己的系统防卫,避免黑客有继续入侵的机会。
事前规划
一般而言,企业都会在事前便仿真遭受攻击后所要采取的应变措施,但同样地,遭受攻击后,企业也同样要马上决定如何采取应变手段,除了决定达成目标外,你应该考虑执行一套灾难恢复计划,假如贵公司有的话。依照事件严重程度,把黑客入侵的状况视为跟数据库损毁同等级并不为过。
唯一比较棘手之处是,一般企业内的灾难恢复计划都是针对已知的事件,且有已知的时间。但在黑客入侵状况中,你可能无法断定系统被入侵的确切时间点,因此复原程序可能会比较复杂,因为不确定每台系统应该回复哪些备份资料。更棘手的是,有些系统可能被入侵的时间较早,因此你必须一面探索第一次入侵究竟发生在哪一个系统上,同时还需多次重复复原过程。
局部或完全断线?
通报
一旦确定问题后,你必须马上跟上司报告状况,描述一下你知道的状况。这或许是最难以启齿的部分,也因此许多人宁愿隐匿不报,或者延迟通报。虽然这在内部可能造成一些责任归属问题,但你还是应该让高层知道这些事情,好让大家可共商弥补之道。另一方面,你也可以借此让高层确认问题解决的目标所在,看是否要追查入侵者,或者先查出漏洞,或者只要尽快解决问题就可以。
你也必须告知你的IT同事你遇到的问题,借助团队的力量来寻找任何可疑的活动,确保网络不会再度被入侵。在这方面的行动上,若有越多专业人士参与,误判的情况就会越低。
另一方面,你不应该告知一般员工你侦测到入侵事件,说不定员工就是造成入侵的主因,他有可能刻意提供帐号与密码给有心人士进行破坏,或者也可能只是无心之过。最好的方式是先别公告给员工知道,静候人事部门出面发布公司政策,并传达相关信息。
最后,若你有安全基础设施的合作伙伴,请立即通知对方。即使过去你只是请对方来作公司的安全检查,你还是应该通知对方有这样的入侵事件,这样的作法的用意不在于立即寻求救援,而是在于告知的义务,好让对方在必要时提供协助。
断线
若你没有计划追究入侵者身份或被入侵的漏洞,你应该尽快切断整个系统与内部网络的对外网络连接。这样可避免入侵者趁你还在清理善后阶段时再度趁虚而入,同时也可避免任何资料损失或影响持续扩大。
这样的缺点是,会让必须使用网络对内或对外联系的员工的工作受到影响,你可能会因为内部压力的关系而想采取快捷方式,尽快让系统恢复上线。但你应该坚持立场,不要在系统未经完整评估前就进行重新联机,因为你有可能在逐一检查服务器的途中再度遭到入侵。
你该关闭整个公司的网络连接还是只要关闭部分即可?这问题并不容易回答,尤其又是要你在事发后短短几分钟内回答的话。你根本没时间去评估有多少系统遭到入侵,只移除单一系统可能无法解决问题,但另一方面,你也会希望将冲击降至最低,让企业还能正常运作。
最终而言,你的决定还是要看公司的风险忍受程度。公司若不愿停机的话,能接受多少风险?就多数企业而言,他们可能宁愿短暂切断联机也不愿甘冒二度被入侵的风险。换言之,多数企业都同意赶快切断网络连接,好让系统可接受检查,并确保入侵者无法毁灭自己的行踪。
结论
发现系统被入侵后的头几分钟最是令人手足无措、倍感压力的时刻,因此在事发前就应该做好仿真演练。一旦发现系统真的被入侵后,赶快找出你想解决的问题、立即将案情通报给上司与部门同事知悉,同时也需决定要关闭多少系统的网络连接。决定如何响应并不容易拿捏,在决定做与不做之间都将对公司产生重大冲击,也会影响你的声望。不过,遵循既定计划行事相对来说不会手忙脚乱,也有助于你尽速让系统回复正常。
===================相关知识====================
在网络安全防范中,除了需要对服务器进行合理设定,修补知道的一切存在的漏洞的同时,还需要借助外部的设备对网络进行联合防守,其中涉及的主要设备包括:防火墙、数据安全备份设备等。
防火墙:分为软件防火墙、硬件防火墙和软硬一体防火墙,这里我们主要介绍硬件防火墙,一种确保网络安全的方法。防火墙可以被安装在一个单独的路由器中,用来过滤不想要的信息包,也可以被安装在路由器和主机中,发挥更大的网络安全保护作用。防火墙被广泛用来让用户在一个安全屏障后接入互联网,还被用来把一家企业的公共网络服务器和企业内部网络隔开。另外,防火墙还可以被用来保护企业内部网络某一个部分的安全。例如,一个研究或者会计子网可能很容易受到来自企业内部网络里面的窥探。通过辨别各种不同的网络访问,把那些不怀好意的“偷窥者”隔绝在网络之外。当然,也有一些正常的网络访问也被“误杀”。同黑客入侵带来的损失相比,一些小小的不便还可以忍受。
入侵检测 (eTrust Intrusion Detection 简称eID) 是防火墙的主要工作之一,它为网络提供了全面的网络保护功能,其内置主动防御功能可以防止破坏的发生。这种高性能且使用方便的解决方案在单一软件包中提供了最广泛的监视、入侵和攻击探测、非法 URL 探测和阻塞、警告、记录和实时响应。
因此网络中要尽量配备这样的产品,目前防火墙按照技术的不同,可以分为软件防火墙、硬件防火墙和软硬一体化防火墙;从适用对象来划分可分为企业级防火墙与个人防火墙;从产品等级划分,又可分为包过滤型、应用网关型和服务代理型防火墙。国内品牌以企业级硬件防火墙居多。在产品等级上,包过滤型防火墙最为普遍。
关于产品IT168有详细的资料提供给你以做参考,点击下面的地址查找您需要的产品吧!
http://bj.it168.com/files/0418search.asp?ctype_code=0418
推荐考虑品牌:
3COM、Cisco、NetScreen、Samsung、阿尔卡特、天融信、联想网御、清华得实、中科网威、海信
相关资讯:
---------------------------------------------------
数据备份:
数据备份及恢复在网络运用中占有很重要的作用,当数据出现毁灭性的损失或者被黑客肆意删改后,能够及时、迅速并且最大限度的挽回数据损失是非常重要的,这时一套良好的数据备份及恢复系统的作用就显得弥足珍贵了。
数据备份设备主要包括磁带机、磁带库、磁盘阵列、NAS网络存储器等,因为存储产品的技术含量较高,涉及方面较多所以这里就不详细介绍了,您可以通过:http://detail.it168.com/common/shuyuxiangjie/files/shuyuall.asp,这个地址的网络存储一栏详细了解各类产品的主要技术。
关于产品IT168有详细的资料提供给你以做参考,点击下面的地址查找您需要的产品吧!
http://bj.it168.com/files/beijing.asp
推荐考虑品牌:IBM、SONY、安百特、惠普、康柏、研华、EDIns、Maxtor、戴尔、联想、清华紫光、威达电、EMC
相关资讯:
