作为一个网络管理员,
一步了解后,发现情况并不
不知所措。
在你管理维护系统时突然留意到
简单,你察觉可能是系统遭到入
日志文件有些奇怪的活动,等到进
侵时,恐怕突如其来的问题会让你
对于一个网络管理
处理。
员最要命的就是:黑客入侵后的
前五分钟内遇到的问题该如何妥善
市面上教你防范黑
因此,我们将分阶段推出一
取的对策。本篇文章将着重
分钟!
客的方法还真不少,但教人如何
系列专题,告诉你遭到黑客攻击
在系统遭入侵后应立即采取的保
处理黑客入侵后的问题的却不多。
后五分钟、一小时与一周内应该采
护步骤:评估、通报、断线。即五
评估状况
遭受攻击后首先必须思考你的目
标应该很单纯:避免遭到二度入侵,并尽
入侵者身份,或者进一步探索黑客利用何
标为何?(当然,这最好事前想好)。 一般而言,目
速解决此一问题。但在某些情况下,你可能会想找出
种漏洞入侵。
找出入侵者身份
若你能找出入侵者的身份,并转
线,避免二度被入侵的最快方法。要辨认
的行踪。电影中,要追踪黑客好象很容易
容易追查了,最后往往只能不了了之。
交给监督机构侦办是最好了。但这不是让系统恢复上
出入侵者身份并不容易,尤其许多高手都会掩饰自己
,但实际上,若对方将流量传经好几个系统后就很不
找出漏洞所在
部分企业会优先找
客不能再度作怪,但这种作
洞,避免黑客还有其它入侵
安全评估工具,可供快速测
出被黑客利用的漏洞所在,这样
法并非最理想。比较好的策略是
渠道,而非仅只专注在黑客入侵
试并解决所有漏洞。
的逻辑在于“亡羊补牢”,好让黑
赶快找出系统中所有可能存在的漏
过的地方而已。目前市面上有许多
系统恢复运作
若你是第一次碰上黑客入侵事件
是因为要产生一份完整的日志文件来追踪
营运通常是最直接了当的作法,这样一来
黑客有继续入侵的机会。
,你应先放弃追踪入侵者或找出特定漏洞的念头,这
入侵来源并没那么容易。赶快补好漏洞并让系统恢复
你不但可降低风险,也可强化自己的系统防卫,避免
事前规划
一般而言,企业都
攻击后,企业也同样要马上
套灾难恢复计划,假如贵公
毁同等级并不为过。
会在事前便仿真遭受攻击后所要
决定如何采取应变手段,除了决
司有的话。依照事件严重程度,
采取的应变措施,但同样地,遭受
定达成目标外,你应该考虑执行一
把黑客入侵的状况视为跟数据库损
唯一比较棘手之处
时间。但在黑客入侵状况中
比较复杂,因为不确定每台
时间较早,因此你必须一面
过程。
是,一般企业内的灾难恢复计划
,你可能无法断定系统被入侵的
系统应该回复哪些备份资料。更
探索第一次入侵究竟发生在哪一
都是针对已知的事件,且有已知的
确切时间点,因此复原程序可能会
棘手的是,有些系统可能被入侵的
个系统上,同时还需多次重复复原
局部或完全断线?
通报
一旦确定问题后,
难以启齿的部分,也因此许
任归属问题,但你还是应该
可以借此让高层确认问题解
尽快解决问题就可以。
你必须马上跟上司报告状况,描
多人宁愿隐匿不报,或者延迟通
让高层知道这些事情,好让大家
决的目标所在,看是否要追查入
述一下你知道的状况。这或许是最
报。虽然这在内部可能造成一些责
可共商弥补之道。另一方面,你也
侵者,或者先查出漏洞,或者只要
你也必须告知你的IT同事你遇到
保网络不会再度被入侵。在这方面的行动
的问题,借助团队的力量来寻找任何可疑的活动,确
上,若有越多专业人士参与,误判的情况就会越低。
另一方面,你不应该告知一般员
因,他有可能刻意提供帐号与密码给有心
式是先别公告给员工知道,静候人事部门
工你侦测到入侵事件,说不定员工就是造成入侵的主
人士进行破坏,或者也可能只是无心之过。最好的方
出面发布公司政策,并传达相关信息。
最后,若你有安全
作公司的安全检查,你还是
求救援,而是在于告知的义
基础设施的合作伙伴,请立即通
应该通知对方有这样的入侵事件
务,好让对方在必要时提供协助
知对方。即使过去你只是请对方来
,这样的作法的用意不在于立即寻
。
断线
若你没有计划追究
的对外网络连接。这样可避
何资料损失或影响持续扩大
入侵者身份或被入侵的漏洞,你
免入侵者趁你还在清理善后阶段
。
应该尽快切断整个系统与内部网络
时再度趁虚而入,同时也可避免任
这样的缺点是,会让必须使用网
因为内部压力的关系而想采取快捷方式,
统未经完整评估前就进行重新联机,因为
络对内或对外联系的员工的工作受到影响,你可能会
尽快让系统恢复上线。但你应该坚持立场,不要在系
你有可能在逐一检查服务器的途中再度遭到入侵。
你该关闭整个公司
是要你在事发后短短几分钟
一系统可能无法解决问题,
的网络连接还是只要关闭部分即
内回答的话。你根本没时间去评
但另一方面,你也会希望将冲击
可?这问题并不容易回答,尤其又
估有多少系统遭到入侵,只移除单
降至最低,让企业还能正常运作。
最终而言,你的决
少风险?就多数企业而言,
,多数企业都同意赶快切断
踪。
定还是要看公司的风险忍受程度
他们可能宁愿短暂切断联机也不
网络连接,好让系统可接受检查
。公司若不愿停机的话,能接受多
愿甘冒二度被入侵的风险。换言之
,并确保入侵者无法毁灭自己的行
结论
发现系统被入侵后的头几分钟最
应该做好仿真演练。一旦发现系统真的被
给上司与部门同事知悉,同时也需决定要
捏,在决定做与不做之间都将对公司产生
行事相对来说不会手忙脚乱,也有助于你
是令人手足无措、倍感压力的时刻,因此在事发前就
入侵后,赶快找出你想解决的问题、立即将案情通报
关闭多少系统的网络连接。决定如何响应并不容易拿
重大冲击,也会影响你的声望。不过,遵循既定计划
尽速让系统回复正常。
=============相关知识===========
在网络安全防范中
同时,还需要借助外部的设
安全备份设备等。
,除了需要对服务器进行合理设
备对网络进行联合防守,其中涉
定,修补知道的一切存在的漏洞的
及的主要设备包括:防火墙、数据
防火墙:分为软件防火墙、硬件防火
,一种确保网络安全的方法。防火墙可以
息包,也可以被安装在路由器和主机中,
用户在一个安全屏障后接入互联网,还被
开。另外,防火墙还可以被用来保护企业
计子网可能很容易受到来自企业内部网络
不怀好意的“偷窥者”隔绝在网络之外。
客入侵带来的损失相比,一些小小的不便
墙和软硬一体防火墙,这里我们主要介绍硬件防火墙
被安装在一个单独的路由器中,用来过滤不想要的信
发挥更大的网络安全保护作用。防火墙被广泛用来让
用来把一家企业的公共网络服务器和企业内部网络隔
内部网络某一个部分的安全。例如,一个研究或者会
里面的窥探。通过辨别各种不同的网络访问,把那些
当然,也有一些正常的网络访问也被“误杀”。同黑
还可以忍受。
入侵检测 (eTrust Int
提供了全面的网络保护功能
便的解决方案在单一软件包
、警告、记录和实时响应。
rusion Detection 简称eID) 是
,其内置主动防御功能可以防止
中提供了最广泛的监视、入侵和
防火墙的主要工作之一,它为网络
破坏的发生。这种高性能且使用方
攻击探测、非法 URL 探测和阻塞
因此网络中要尽量配备
硬件防火墙和软硬一体化防
品等级划分,又可分为包过
火墙居多。在产品等级上,
这样的产品,目前防火墙按照技
火墙;从适用对象来划分可分为
滤型、应用网关型和服务代理型
包过滤型防火墙最为普遍。
|