我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀

1、我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀主題互聯(lián)網(wǎng)網(wǎng)絡(luò)安全面臨重大挑戰(zhàn)我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急工作現(xiàn)狀應(yīng)急組織、策略和方法互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急工作展望結(jié)論我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀互聯(lián)網(wǎng)網(wǎng)絡(luò)安全面臨重大挑戰(zhàn)我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀網(wǎng)絡(luò)安全漏洞大量存在數(shù)據(jù)來源CERT/CC網(wǎng)站我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀網(wǎng)絡(luò)安全漏洞大量存在Windows十大安全隱患Web服務(wù)器和服務(wù)服務(wù)器和服務(wù)工作站服務(wù)Windows遠程訪問服務(wù)微軟微軟SQL服務(wù)器服務(wù)器Windows認證Web瀏覽器瀏覽器文件共享LSAS Exposures電子郵件客戶端電子

2、郵件客戶端 即時信息即時信息 Unix十大安全隱患 BIND域名系統(tǒng)域名系統(tǒng) Web服務(wù)器服務(wù)器 認證 版本控制系統(tǒng)電子郵件傳輸服務(wù)電子郵件傳輸服務(wù) 簡單網(wǎng)絡(luò)管理協(xié)議 開放安全連接通訊層 企業(yè)服務(wù)NIS/NFS 配置不當 數(shù)據(jù)庫內(nèi)核內(nèi)核來源SANS研究報告我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀網(wǎng)絡(luò)安全漏洞發(fā)展趨勢利用漏洞發(fā)動攻擊的速度加快：Symantec統(tǒng)計，2004年上半年，漏洞公布到攻擊代碼出現(xiàn)時間：天威脅程度不斷增加2004年1-6月，有攻擊代碼的漏洞中64%屬于高度危險，36%屬于中度危險漏洞利用分析人員興趣的變化Web應(yīng)用的漏洞越來越多Symantec統(tǒng)計，2004年上半年公布了4

3、79個與Web應(yīng)用有關(guān)的漏洞，占總數(shù)的39%我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀病毒、蠕蟲、木馬等在互聯(lián)網(wǎng)上大行其道事例1988年11月：Morris蠕蟲，互聯(lián)網(wǎng)主體癱瘓1989年10月：Wank蠕蟲2001年：紅色代碼、尼姆達蠕蟲事件2003年：SQL SLAMMER、口令蠕蟲事件、沖擊波蠕蟲事件2004年5月：震蕩波蠕蟲事件相互結(jié)合，危害無窮“紅色代碼”將網(wǎng)絡(luò)蠕蟲、計算機病毒、木馬程序合為一體我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀CNCERT/CC通過抽樣監(jiān)測發(fā)現(xiàn)，僅，我國遭到Mydoom蠕蟲、利用RPC漏洞和LSASS漏洞的幾類主要蠕蟲攻擊的主機數(shù)目接近200萬臺安全事件在各地區(qū)的分布

4、10.47%8.75%4.43%3.15%2.87%2.36%2.33%2.29%18.43%18.01%26.92%廣東北京浙江江蘇湖北江西遼寧陜西山東福建其他我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀網(wǎng)絡(luò)安全造成損失越來越大網(wǎng)絡(luò)堵塞SQL SLAMMER：2003年1月25日發(fā)作,造成大面積網(wǎng)絡(luò)擁塞，部分骨干網(wǎng)絡(luò)癱瘓，韓國網(wǎng)絡(luò)基本處于癱瘓狀態(tài),我國境內(nèi)感染主機22600余臺業(yè)務(wù)停頓2001年的紅色代碼蠕蟲就曾經(jīng)導致航空售票系統(tǒng)癱瘓，旅客滯留機場的事件類似事件還有網(wǎng)上招生停頓、網(wǎng)上交易中斷等，威脅生命？造成的財產(chǎn)損失難以估計，數(shù)字絕非聳人聽聞2001年，尼姆達蠕蟲造成的損失估計大大超過26億美元

5、今日美國報道：黑客每年給全世界電腦網(wǎng)絡(luò)帶來的損失估計高達100多億美元切膚之痛？我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀攻擊手段越發(fā)“高超”漏洞發(fā)布到攻擊出現(xiàn)的時間越來越短Witty蠕蟲事件花樣翻新，防不勝防尼姆達蠕蟲：通過email、共享網(wǎng)絡(luò)資源、IIS服務(wù)器傳播變種速度令人驚嘆黑客：從單打獨斗到“精誠”合作Botnet攻擊程序日益自動化、并輟手可得我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀攻擊范圍和時間的變化全面框架全面框架區(qū)域網(wǎng)絡(luò)區(qū)域網(wǎng)絡(luò)多個局域網(wǎng)多個局域網(wǎng)單個局域網(wǎng)單個局域網(wǎng)單個單個pc目標和破壞目標和破壞的范圍的范圍1980s1990sTodayFuture第一代第一代 Boot viru

6、sesWeeks第二代第二代 Macro viruses Denial of serviceDays第三代第三代 Distributed denial of service Blended threatsMinutes下一代下一代 Flash threats Massive worm-driven DDoS Damaging payload wormsSeconds快速變化的威脅快速變化的威脅我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀攻擊復雜度與攻擊者的技術(shù)水平攻擊復雜度與攻擊者的技術(shù)水平高高低低19801985199019952000猜口令猜口令自我復制程序

7、自我復制程序口令破解口令破解攻擊已知漏洞攻擊已知漏洞破壞審計破壞審計后門程序后門程序干擾通信干擾通信手動探測手動探測竊聽竊聽數(shù)據(jù)包欺騙數(shù)據(jù)包欺騙圖形化界面圖形化界面自動掃描自動掃描拒絕服務(wù)拒絕服務(wù)www攻擊攻擊工具工具攻擊者攻擊者攻擊者的攻擊者的知識水平知識水平攻擊的復雜度攻擊的復雜度隱秘且高級的掃描工具隱秘且高級的掃描工具偷竊信息偷竊信息網(wǎng)管探測網(wǎng)管探測分布式攻擊工具分布式攻擊工具新型的跨主機工具新型的跨主機工具我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀2004年網(wǎng)絡(luò)安全熱點網(wǎng)站仿冒（Phishing）建立假網(wǎng)站通過垃圾郵件發(fā)送服務(wù)器大量發(fā)信引誘用戶訪問使用中獎、系統(tǒng)升級等手段誘使用戶輸入個人信

8、息主要針對銀行和信用卡服務(wù)機構(gòu)我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀2004年網(wǎng)絡(luò)安全熱點基于Botnet的網(wǎng)絡(luò)敲詐大量主機被安裝了BOT黑客可以通過IRC服務(wù)器實施控制隨時可能發(fā)動攻擊BOT可以進行升級，擴大攻擊能力我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀2004年網(wǎng)絡(luò)安全熱點手機和無線網(wǎng)絡(luò)（WLAN）的安全2004年，針對使用Symbian的蘭牙手機的病毒出現(xiàn)針對使用PocketPC的驗證性攻擊程序也被發(fā)現(xiàn)手機功能和操作系統(tǒng)通用性不斷增強，會有越來越多針對手機的攻擊WLAN安全性一直是其應(yīng)用的關(guān)鍵問題2004年出現(xiàn)了可利用來對無線接入點進行拒絕服務(wù)攻擊的

9、漏洞我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急工作現(xiàn)狀我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀國家整體安全戰(zhàn)略需要國家信息化領(lǐng)導小組第三次會議上強調(diào)： “加強信息安全保障工作，重點在于堅持積極防御、綜合防范積極防御、綜合防范；全面提高信息安全防護能力；重點保障信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全；創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境；保障和促進信息化發(fā)展，保護公眾利益，維護國家安全；立足國情、以我為主、管理與技術(shù)并重、統(tǒng)籌規(guī)劃、突出重點；發(fā)揮各界積極性，共同 構(gòu) 筑。 ”我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀國家整體安全戰(zhàn)略需要關(guān)于加強信息安全保障工作的意見（中辦發(fā)2003 27號文）指出：“信息安全

10、保障工作的要點在于，實行信息安全等級保護制度，建設(shè)基于密碼技術(shù)的網(wǎng)絡(luò)信任體系，建設(shè)信息安全監(jiān)控體系，推動信息安全技術(shù)研發(fā)與產(chǎn)業(yè)發(fā)展，建設(shè)信息安全法制與標準”國家信息安全戰(zhàn)略的近期目標：通過的努力，基本建成國家信息安全保障體系。我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀網(wǎng)絡(luò)安全應(yīng)急工作的基本目標積極預防及時發(fā)現(xiàn)快速響應(yīng)確保恢復我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀網(wǎng)絡(luò)安全應(yīng)急工作的基本原則加強領(lǐng)導統(tǒng)一指揮分工負責 積極預防常備不懈 及時預警 協(xié)作配合 快速處理 確?；謴?我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急預案組織體系和職責明確責任、組織保障預警和預防機制事件分級、監(jiān)測、預警預防

11、、平臺要求應(yīng)急響應(yīng)分級響應(yīng)、及時通報/上報信息、協(xié)調(diào)配合后期處置總結(jié)、獎懲評定及表彰應(yīng)急保障準備預案、隊伍、培訓、經(jīng)費、演練、聯(lián)絡(luò)機制、監(jiān)督檢查、技術(shù)儲備我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急預案提出的要求舉例各經(jīng)營性互聯(lián)單位配合CNCERT/CC，每天12時以前采集其互聯(lián)網(wǎng)24小時內(nèi)的運行狀態(tài)數(shù)據(jù)發(fā)生二級/報警網(wǎng)絡(luò)安全事件，CNCERT/CC要在8小時內(nèi)提出建議方案；發(fā)生二級/報警網(wǎng)絡(luò)安全事件，12小時要上報事件動態(tài)如何落實？我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀我國公共互聯(lián)網(wǎng)應(yīng)急體系從無到有從小到大從弱到強從點到面我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀正面經(jīng)驗：2003.

12、SQL Slammer/口令蠕蟲組織：CNCERT/CC；CCERT；各運營商CERT；國際組織效率：兩小時判斷情況，半天控制局勢總結(jié)：應(yīng)急體系發(fā)揮了重要作用潛在的問題還有很多我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀CNCERT/CC簡介國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)協(xié)調(diào)處理中心 2000年成立，2003年7月中編辦批準現(xiàn)名 英文“National Computer network Emergency Response technical Team/Coordination Center of China”職責和定位 “在信息產(chǎn)業(yè)部互聯(lián)網(wǎng)應(yīng)急處理協(xié)調(diào)辦公室的直接領(lǐng)導下,負責協(xié)調(diào)我國各計算機網(wǎng)絡(luò)安全事件應(yīng)

13、急小組(CERT)共同處理國家公共互聯(lián)網(wǎng)上的安全緊急事件，為國家公共互聯(lián)網(wǎng)、國家主要網(wǎng)絡(luò)信息應(yīng)用系統(tǒng)以及關(guān)鍵部門提供計算機網(wǎng)絡(luò)安全的監(jiān)測、預警、應(yīng)急、防范等安全服務(wù)和技術(shù)支持,及時收集、核實、匯總、發(fā)布有關(guān)互聯(lián)網(wǎng)安全的權(quán)威性信息,組織國內(nèi)計算機網(wǎng)絡(luò)安全應(yīng)急組織進行國際合作和交流的組織。我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀目前具備的主要能力大規(guī)模異常事件的發(fā)現(xiàn)能力理論上確認大規(guī)模網(wǎng)絡(luò)安全事件所需要時間不到原來的十分之一重大網(wǎng)絡(luò)安全事件的初步監(jiān)測分析能力包括感染范圍和速度、控制效果、對網(wǎng)絡(luò)的影響情況等攻擊事件的分布式自動驗證拓撲發(fā)現(xiàn)和定位分析分布式問題網(wǎng)站發(fā)現(xiàn)系統(tǒng)我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展

14、和現(xiàn)狀2004年1-10月接到事件報告情況我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀與國際應(yīng)急組織密切合作Global Problem, Global Solution：跨國進行的計算機攻擊事件的處理推動了國際應(yīng)急組織的合作2002年8月，成為FIRST正式成員APCERT創(chuàng)始成員和指導委員會成員同韓國、日本、馬來西亞、巴西、澳大利亞多個國家CERT組織保持密切的合作開始與東盟、泛美、歐洲等地區(qū)CERT組織建立合作渠道我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀應(yīng)急組織、策略和方法一些建議我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀面臨的基本問題如何用合理的投入，使組織面臨的整體網(wǎng)絡(luò)安全風險降低到可以接受的程

15、度安全是相對的，不是絕對的不同層面：國家、企業(yè)、個人是否真正知道面臨哪些風險？如何描述風險？安全的水平不是用投入多少來衡量？我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀如何保障整體的安全有明確整體的網(wǎng)絡(luò)安全策略適合組織需要的網(wǎng)絡(luò)安全應(yīng)急小組（至少應(yīng)該有POC）詳細的規(guī)章、流程、手冊，并真正得到貫徹建立監(jiān)測技術(shù)平臺與應(yīng)急工具庫開展應(yīng)急培訓、演練網(wǎng)絡(luò)安全知識、信息、經(jīng)驗積累、共享與交換提高組織和個人網(wǎng)絡(luò)安全意識我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀網(wǎng)絡(luò)安全應(yīng)急組織基礎(chǔ)計算機安全事件相應(yīng)小組CSIRT: Computer Security Incident Response Team負責在確定的組織范圍內(nèi)

16、，執(zhí)行、協(xié)調(diào)、支持對計算機實踐做出響應(yīng)的小組CNCERT/CC、CCERT我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀理解組織自身的需要為什么需要CSIRT?組織的現(xiàn)狀?部門之間如何聯(lián)系？負責人？需要說服那些關(guān)鍵人物?現(xiàn)有的基礎(chǔ)：內(nèi)部的和外部的?事件處理小組？安全流程?安全策略?法規(guī)?標準?帶來哪些好處，存在哪些障礙?CSIRT對整體整體目標帶來哪些好處？商業(yè)優(yōu)勢、投資回報?我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀看看國外的情況全球應(yīng)急組織論壇亞太應(yīng)急組織歐洲安全事件交換計劃我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀事件處理的一般階段第一階段：準備讓我們嚴陣以待第二階

17、段：確認對情況綜合判斷第三階段：封鎖制止事態(tài)的擴大第四階段：根除徹底的補救措施第五階段：恢復備份，頂上去！第六階段：跟蹤還會有第二次嗎我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀Handling the Incident恢復恢復RecoveryRecovery根除根除EradicationEradication發(fā)現(xiàn)發(fā)現(xiàn)IdentificationIdentification預防預防PreparationPreparation控制控制ContainmentContainment跟蹤跟蹤Follow up Follow up AnalysisAnalysis我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀我國互聯(lián)

18、網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀第一階段準備預防為主幫助服務(wù)對象建立安全政策幫助服務(wù)對象按照安全政策配置安全設(shè)備和軟件掃描，風險分析，打補丁如有條件且得到許可，建立監(jiān)控設(shè)施應(yīng)急聯(lián)絡(luò)機制我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀建立事件報告的機制和要求建立事件報告流程和規(guī)范IntranetPhoneEmail我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀第二階段確認確定事件的責任人指定一個責任人全權(quán)處理此事件給予必要的資源確定事件的性質(zhì)誤會？玩笑？還是惡意的攻擊/入侵？影響的嚴重程度預計采用什么樣的專用資源來修復？我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀第三階段封鎖即時采取的行動防止進一步的損失，確定后果確定適

19、當?shù)姆怄i方法咨詢安全政策確定進一步操作的風險損失最小化可列出若干選項，講明各自的風險，由服務(wù)對象選擇我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀第四階段根除長期的補救措施確定原因，定義征兆分析漏洞加強防范消除原因修改安全政策我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀第五階段恢復被攻擊的系統(tǒng)由備份來恢復作一個新的備份把所有安全上的變更作備份服務(wù)重新上線持續(xù)監(jiān)控我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀第六階段跟蹤關(guān)注系統(tǒng)恢復以后的安全狀況，特別是曾經(jīng)出問題的地方建立跟蹤文檔，規(guī)范記錄跟蹤結(jié)果對響應(yīng)效果給出評估我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀網(wǎng)絡(luò)安全應(yīng)急技術(shù)基礎(chǔ)入侵檢測系統(tǒng)調(diào)查分析系統(tǒng)事件描述與交換系統(tǒng)事

20、件管理系統(tǒng)備份恢復系統(tǒng)應(yīng)急專用工具(掃描器、補丁管理)網(wǎng)絡(luò)安全管理平臺(SOC)更多我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀響應(yīng)式服務(wù)響應(yīng)式服務(wù)預防式服務(wù)預防式服務(wù)安全質(zhì)量管理服務(wù)安全質(zhì)量管理服務(wù) 警報和警告警報和警告 事件處理事件處理-事件分析事件分析-現(xiàn)場事件響應(yīng)現(xiàn)場事件響應(yīng)-事件響應(yīng)支持事件響應(yīng)支持-事件響應(yīng)協(xié)調(diào)事件響應(yīng)協(xié)調(diào) 安全漏洞處理安全漏洞處理-安全漏洞分析安全漏洞分析-安全漏洞響應(yīng)安全漏洞響應(yīng)-安全漏洞響應(yīng)協(xié)調(diào)安全漏洞響應(yīng)協(xié)調(diào) Artifact處理處理-Artifact分析分析-Artifact響應(yīng)響應(yīng)-Artifact響應(yīng)協(xié)調(diào)響應(yīng)協(xié)調(diào)o 公告公告o 技術(shù)監(jiān)測技術(shù)監(jiān)測o 與與安全審

21、計評估o 安全工具、應(yīng)用程序和基礎(chǔ)設(shè)施的配置和維護o 安全工具的開發(fā)o 入侵檢測服務(wù)o 安全有關(guān)的信息安全有關(guān)的信息的傳播的傳播 風險分析 服務(wù)持續(xù)性和災(zāi)難恢復規(guī)劃 安全性咨詢 建立安全意識 教育/培訓 產(chǎn)品評估或認證應(yīng)急是一種服務(wù)我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀應(yīng)急人員的基本素質(zhì)基本的專業(yè)知識，最好擁有專門的認證超強的學習能力，跟上網(wǎng)絡(luò)安全事件發(fā)展良好的溝通交流能力豐富的事件處理、分析、調(diào)查經(jīng)驗撰寫規(guī)范的事件處理報告的能力我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急工作展望我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀道高？魔高？ 攻擊者： 發(fā)現(xiàn)漏洞 編寫攻擊代碼 (測試) 執(zhí)行攻

22、擊 防御者： 發(fā)現(xiàn)漏洞 發(fā)布消息 開發(fā)補丁程序 發(fā)布補丁 風險檢查 監(jiān)測攻擊 分析惡意代碼 控制傳播Propagation Control 發(fā)布補丁和工具 恢復被入侵系統(tǒng) 升級/調(diào)整/評估我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀對手有多快？漏洞隨時被發(fā)現(xiàn)攻擊代碼出現(xiàn)加快:6天甚至更快零日攻擊開始出現(xiàn)10到30分鐘使整個互聯(lián)網(wǎng)癱瘓已經(jīng)成為可能Well, how fast can we be, then ?我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀很長的路要走我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀典型漏洞引發(fā)的安全事件數(shù)量變化曲線Time事件數(shù)量發(fā)現(xiàn)漏洞公布漏洞公布補丁程序?qū)嵤┭a丁安裝CSIRT廠商/協(xié)調(diào)機構(gòu)職責劃分CSIRT開始行動CSIRT開始行動CSIRT開始行動CSIRT開始行動CSIRT開始行動我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀應(yīng)對大規(guī)模的主動攻擊如何對付DDoS、BotNet等大范圍跨域的大規(guī)模網(wǎng)絡(luò)攻擊？快速控制、追查源頭、徹底清除、調(diào)查取證被利用來進行犯罪活動，DDoS攻擊造成損失越來越大經(jīng)濟影響和社會影