网络安全应急响应基础理论及关键技术电子书

内容简介

编委会

编委

前言

第1章 网络安全应急响应业务的发展简史

1.1 网络安全应急响应业务的由来

1.2 国际网络安全应急响应组织的发展

1.2.1 FIRST介绍

1.2.2 APCERT介绍

1.2.3 国家级CERT情况

1.3 我国网络安全应急响应组织体系的发展简介

第2章 网络安全应急响应概述

2.1 网络安全应急响应相关概念

2.2 网络安全与信息安全

2.3 产生网络安全问题的原因分析

2.3.1 技术方面的原因

2.3.2 管理方面的原因

第3章 网络安全应急响应法律法规

3.1 我国网络安全应急响应相关法律法规、政策

3.2 《网络安全法》的指导意义

3.2.1 建立网络安全监测预警和信息通报制度

3.2.2 建立网络安全风险评估和应急工作机制

3.2.3 制定网络安全事件应急预案并定期演练

3.3 《信息安全技术 信息安全应急响应计划规范》（GB/T 24363—2009）

3.3.1 应急响应需求分析和应急响应策略的确定

3.3.2 编制应急响应计划文档

3.3.3 应急响应计划的测试、培训、演练

3.3.4 应急响应计划的管理和维护

3.4 信息安全事件分类分级

3.4.1 分类分级规范的重要意义

3.4.2 信息安全事件分类原则

3.4.3 信息安全事件分级原则

第4章 网络安全应急响应的常用模型

4.1 网络杀伤链与反杀伤链模型

4.2 钻石模型

4.3 自适应安全框架

4.4 网络安全滑动标尺模型

第5章 应急响应处置流程

5.1 准备阶段

5.1.1 准备的目的

5.1.2 准备的实施

5.2 检测阶段

5.2.1 检测的目的

5.2.2 检测的实施

5.3 遏制阶段

5.3.1 遏制的目的

5.3.2 遏制的实施

5.4 根除阶段

5.4.1 根除的目的

5.4.2 根除的实施

5.5 恢复阶段

5.5.1 恢复的目的

5.5.2 恢复的实施

5.6 总结阶段

5.6.1 总结的目的

5.6.2 总结的实施

第6章 网络安全应急响应的实施体系

6.1 应急响应实施体系的研究背景与重要性

6.1.1 应急响应实施体系的研究背景

6.1.2 应急响应实施体系的重要性

6.2 应急响应人员体系

6.2.1 应急响应小组的主要工作及目标

6.2.2 人员组成

6.2.3 职能划分

6.3 应急响应技术体系

6.3.1 事前技术

6.3.2 事中技术

6.3.3 事后技术

6.4 应急响应实施原则

6.4.1 可行性原则

6.4.2 信息共享原则

6.4.3 动态性原则

6.4.4 可审核性原则

6.5 应急响应实施制度

6.5.1 实施制度总则

6.5.2 日常风险防范制度

6.5.3 定期演训制度

6.5.4 定期会议交流制度

第7章 重大活动网络安全保障

7.1 重大活动网络安全保障的研究背景与其独特性

7.1.1 研究背景

7.1.2 重保的独特性

7.2 重保体系建设的基础

7.2.1 明确重保对象

7.2.2 确立重保目标

7.2.3 梳理重保资产清单

7.3 重保体系设计

7.3.1 管理体系

7.3.2 组织体系

7.3.3 技术体系

7.3.4 运维体系

7.4 重保核心工作

7.4.1 风险识别

7.4.2 风险评估

7.4.3 风险应对计划

7.4.4 风险的监控与调整

7.5 重保实现过程

7.5.1 备战阶段

7.5.2 临战阶段

7.5.3 实战阶段

7.5.4 决战阶段

第8章 数据驱动的应急响应处理机制

8.1 概念分析

8.1.1 数据驱动的产业革命

8.1.2 数据驱动的应急响应处理机制

8.2 需求分析

8.2.1 大数据场景中的应急响应处理的特殊要求

8.2.2 无人化战场中的应急响应处理机制的必要选择

8.2.3 精细化管理中的应急响应处理机制的有效方法

8.3 解决方案

8.3.1 数据驱动的事故预防机制

8.3.2 数据驱动的事故处置机制

8.3.3 数据驱动的事故寻因机制

第9章 操作系统加固优化技术

9.1 简介

9.2 操作系统加固技术原理

9.2.1 身份鉴别

9.2.2 访问控制

9.2.3 安全审计

9.2.4 安全管理

9.2.5 资源控制

9.3 操作系统加固实际操作

9.3.1 系统口令加固

9.3.2 系统账户优化

9.3.3 系统服务优化

9.3.4 系统日志设置

9.3.5 远程登录设置

9.3.6 系统漏洞修补

9.4 经典案例分析与工具介绍

9.4.1 “一密管天下”

9.4.2 臭名昭著的勒索病毒—WannaCry

9.4.3 主机安全加固软件

第10章 网络欺骗技术

10.1 综述

10.2 网络欺骗技术

10.2.1 蜜罐

10.2.2 影子服务技术

10.2.3 虚拟网络拓扑技术

10.2.4 蜜标技术

10.3 欺骗技术发展趋势

10.4 欺骗技术的工具介绍

10.5 欺骗技术运用原则与案例

10.5.1 运用原则

10.5.2 运用案例

第11章 追踪与溯源

11.1 追踪与溯源概述

11.1.1 追踪与溯源的含义及作用

11.1.2 追踪与溯源的分类

11.2 追踪溯源技术

11.2.1 网络流量追踪溯源技术

11.2.2 恶意代码样本分析溯源技术

11.3 追踪溯源工具及系统

11.3.1 Traceroute小程序

11.3.2 科来网络回溯分析系统

11.4 攻击溯源的常见思路

11.4.1 组织内部异常操作者

11.4.2 组织内部攻击者

11.4.3 组织外部攻击者

11.5 溯源分析案例

第12章 防火墙技术

12.1 防火墙的定义及功能

12.1.1 防火墙的定义

12.1.2 防火墙的功能

12.2 防火墙的分类

12.2.1 包过滤防火墙

12.2.2 状态检测防火墙

12.2.3 应用代理防火墙

12.3 防火墙的体系结构

12.3.1 双重宿主主机体系结构

12.3.2 主机屏蔽型体系结构

12.3.3 子网屏蔽型体系结构

12.4 防火墙的发展

12.4.1 防火墙的应用

12.4.2 防火墙的发展趋势

第13章 恶意代码分析技术

13.1 恶意代码概述

13.1.1 恶意代码的概念

13.1.2 恶意代码的分类

13.1.3 恶意代码的传播途径

13.1.4 恶意代码存在的原因分析

13.1.5 恶意代码的攻击机制

13.1.6 恶意代码的危害

13.2 恶意代码分析技术

13.2.1 恶意代码分析技术概述

13.2.2 静态分析技术

13.2.3 动态分析技术

13.3 面对恶意代码攻击的应急响应

13.3.1 应急响应原则

13.3.2 应急响应流程

13.4 实际案例分析

13.4.1 查看恶意代码基本信息

13.4.2 查看恶意代码的主要行为

13.4.3 工具分析恶意代码

13.4.4 应急响应措施

第14章 安全取证技术

14.1 安全取证技术基本介绍

14.1.1 目标

14.1.2 特性

14.1.3 原则

14.1.4 现状

14.1.5 发展趋势

14.1.6 注意事项

14.2 安全取证基本步骤

14.2.1 保护现场

14.2.2 获取证据

14.2.3 保全证据

14.2.4 鉴定证据

14.2.5 分析证据

14.2.6 进行追踪

14.2.7 出示证据

14.3 安全取证技术介绍

14.3.1 安全扫描

14.3.2 流量采集与分析

14.3.3 日志采集与分析

14.3.4 源码分析

14.3.5 数据收集与挖掘

14.4 安全取证工具介绍

14.4.1 工具概况

14.4.2 工具介绍

14.4.3 厂商研制工具

14.5 安全取证案例剖析

14.5.1 勒索病毒爆发

14.5.2 网络攻击

第15章 计算机病毒事件应急响应

15.1 计算机病毒事件处置

15.1.1 计算机病毒分类

15.1.2 计算机病毒检测与清除

15.1.3 计算机病毒事件应急响应

15.2 计算机病毒事件处置工具示例

15.2.1 常用系统工具

15.2.2 计算机病毒分析工具

15.2.3 计算机病毒查杀工具

15.2.4 系统恢复及加固工具

15.3 计算机病毒事件应急响应处置思路及案例

15.3.1 计算机病毒事件应急响应思路

15.3.2 勒索病毒处置案例

15.3.3 某未知文件夹病毒处置案例

第16章 分布式拒绝服务攻击事件应急响应

16.1 DDoS攻击介绍

16.1.1 DoS攻击

16.1.2 DDoS攻击

16.1.3 DDoS攻击分类

16.1.4 DDoS攻击步骤

16.2 DDoS攻击应急响应策略

16.2.1 预防和防范（攻击前）

16.2.2 检测和过滤（攻击时）

16.2.3 追踪和溯源（攻击后）

16.3 DDoS常见检测防御工具

16.3.1 DDoS攻击测试工具

16.3.2 DDoS监测防御工具

16.4 DDoS攻击事件处置相关案例

16.4.1 GitHub攻击（2018年）

16.4.2 Dyn攻击（2016年）

16.4.3 Spamhaus攻击（2013年）

第17章 信息泄露事件处置策略

17.1 信息泄露事件基本概念和理论

17.2 信息防泄露技术介绍

17.2.1 信息存储防泄露技术介绍

17.2.2 信息传输防泄露技术介绍

17.2.3 信息使用防泄露技术介绍

17.2.4 信息防泄露技术趋势分析

17.3 信息防泄露策略分析

17.3.1 立法

17.3.2 管控

17.3.3 技术

第18章 高级持续性威胁

18.1 APT攻击活动

18.1.1 活跃的APT组织

18.1.2 典型的APT攻击案例

18.2 APT概述

18.2.1 APT含义与特征

18.2.2 APT攻击流程

18.2.3 APT技术手段

18.3 APT攻击的检测与响应

18.4 APT行业产品和技术方案

18.4.1 绿盟威胁分析系统

18.4.2 天融信高级威胁检测系统

参考文献

反侵权盗版声明