CISP-信息安全應(yīng)急響應(yīng)

1、信息安全應(yīng)急響應(yīng)中國信息安全測評中心CISP-19-信息安全應(yīng)急響應(yīng)2009年6月1背景：信息安全管理技術(shù)信息安全管理風(fēng)險管理基本概念信息安全管理技術(shù)風(fēng)險評估業(yè)務(wù)持續(xù)性和災(zāi)難恢復(fù)定量/定性風(fēng)險評估風(fēng)險評估工具和方法知識類知識體知識域知識子域BCP&DRP概念和背景業(yè)務(wù)持續(xù)性計劃編制和內(nèi)容業(yè)務(wù)持續(xù)性計劃的技術(shù)和管理應(yīng)急響應(yīng)背景和組織應(yīng)急響應(yīng)流程應(yīng)急響應(yīng)2目錄互聯(lián)網(wǎng)網(wǎng)絡(luò)安全面臨重大挑戰(zhàn)什么是應(yīng)急響應(yīng)應(yīng)急響應(yīng)組的組建應(yīng)急響應(yīng)服務(wù)的過程應(yīng)急響應(yīng)服務(wù)的形式和內(nèi)容應(yīng)急響應(yīng)準(zhǔn)備階段關(guān)鍵措施推薦應(yīng)急響應(yīng)服務(wù)案例3一、互聯(lián)網(wǎng)網(wǎng)絡(luò)安全面臨重大挑戰(zhàn)4目錄互聯(lián)網(wǎng)網(wǎng)絡(luò)安全面臨重大挑戰(zhàn)什么是應(yīng)急響應(yīng)應(yīng)急響應(yīng)組的組建應(yīng)急響

2、應(yīng)服務(wù)的過程應(yīng)急響應(yīng)服務(wù)的形式和內(nèi)容應(yīng)急響應(yīng)服務(wù)的指標(biāo)應(yīng)急響應(yīng)服務(wù)案例補(bǔ)充材料：如何編制本單位的應(yīng)急預(yù)案5我國互聯(lián)網(wǎng)環(huán)境隨著互聯(lián)網(wǎng)各種應(yīng)用的不斷發(fā)展，大量的基礎(chǔ)網(wǎng)絡(luò)成為黑客的攻擊目標(biāo)。我國的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)面臨的安全威脅和安全隱患：計算機(jī)病毒傳播和網(wǎng)絡(luò)非法入侵十分猖獗網(wǎng)絡(luò)違法犯罪持續(xù)大幅上升安全漏洞，黑客病毒技術(shù)、網(wǎng)絡(luò)釣魚技術(shù)、木馬間諜程序6互聯(lián)網(wǎng)安全威脅事例事例2003年：SQL SLAMMER、口令蠕蟲事件、沖擊波蠕蟲事件2004年5月：黑客操控六萬臺電腦制造 “僵尸網(wǎng)絡(luò)”發(fā)起拒絕服務(wù)攻擊2005年12月荷蘭19歲黑客控制150萬臺電腦組建僵尸網(wǎng)絡(luò)從2006年底到2007年初，“

3、熊貓燒香”在短短時間內(nèi)通過網(wǎng)絡(luò)傳播全國，數(shù)百萬電腦中毒2008年，黑龍江網(wǎng)民篡改紅十字會地震募捐賬號被捕2009年，卡巴斯基網(wǎng)站數(shù)據(jù)庫遭黑客攻擊機(jī)密信息外泄 相互結(jié)合，危害無窮Bot、網(wǎng)絡(luò)蠕蟲、計算機(jī)病毒、木馬程序合為一體7網(wǎng)絡(luò)安全熱點網(wǎng)站仿冒（Phishing）建立假網(wǎng)站通過垃圾郵件發(fā)送服務(wù)器大量發(fā)信引誘用戶訪問使用中獎、系統(tǒng)升級等手段誘使用戶輸入個人信息主要針對銀行和信用卡服務(wù)機(jī)構(gòu)89網(wǎng)絡(luò)釣魚的靶心仿冒網(wǎng)絡(luò)銀行 (仿冒中國銀行，中國銀行真實網(wǎng)址為：) (仿冒中國工商銀行，中國工商銀行真實網(wǎng)址為：) （仿冒招商銀行，招商銀行的真實網(wǎng)址為：）等仿冒方式假冒域名、網(wǎng)頁、郵件10網(wǎng)絡(luò)安全熱點僵尸網(wǎng)

4、絡(luò)的具體概念Bot僵尸程序Zombie被植入Bot程序的計算機(jī)IRC Bot利用IRC協(xié)議進(jìn)行通信和控制的Bot基于僵尸網(wǎng)絡(luò)（ Botnet ）的網(wǎng)絡(luò)敲詐大量主機(jī)被安裝了BOT黑客可以通過IRC服務(wù)器實施控制隨時可能發(fā)動攻擊BOT可以進(jìn)行升級，擴(kuò)大攻擊能力11網(wǎng)絡(luò)安全熱點手機(jī)和無線網(wǎng)絡(luò)（WLAN）的安全2004年，針對使用Symbian的蘭牙手機(jī)的病毒出現(xiàn)針對使用PocketPC的驗證性攻擊程序也被發(fā)現(xiàn)手機(jī)功能和操作系統(tǒng)通用性不斷增強(qiáng)，會有越來越多針對手機(jī)的攻擊WLAN安全性一直是其應(yīng)用的關(guān)鍵問題2004年出現(xiàn)了可利用來對IEEE 1278.11b無線接入點進(jìn)行拒絕服務(wù)攻擊的漏洞12網(wǎng)絡(luò)安全熱

5、點黑客地下經(jīng)濟(jì)產(chǎn)業(yè)鏈13系統(tǒng)越來越復(fù)雜工作站中存在信息數(shù)據(jù)員工移動介質(zhì)網(wǎng)絡(luò)中其他系統(tǒng)網(wǎng)絡(luò)中其他資源訪問Internet訪問其他局域網(wǎng)到Internet的其他路由電話和調(diào)制解調(diào)器開放的網(wǎng)絡(luò)端口遠(yuǎn)程用戶廠商和合同方的訪問訪問外部資源公共信息服務(wù)運行維護(hù)環(huán)境U盤、無線網(wǎng)絡(luò)。14網(wǎng)絡(luò)安全漏洞大量存在Windows十大安全隱患Web服務(wù)器和服務(wù)工作站服務(wù)Windows遠(yuǎn)程訪問服務(wù)微軟SQL服務(wù)器Windows認(rèn)證Web瀏覽器文件共享LSAS Exposures電子郵件客戶端 即時信息Unix十大安全隱患BIND域名系統(tǒng)Web服務(wù)器認(rèn)證版本控制系統(tǒng)電子郵件傳輸服務(wù)簡單網(wǎng)絡(luò)管理協(xié)議開放安全連接通訊層企業(yè)服務(wù)

6、NIS/NFS 配置不當(dāng)數(shù)據(jù)庫內(nèi)核來源SANS研究報告1516攻擊復(fù)雜度與攻擊者的技術(shù)水平高低19801985199019952000猜口令自我復(fù)制程序口令破解攻擊已知漏洞破壞審計后門程序干擾通信手動探測竊聽數(shù)據(jù)包欺騙圖形化界面自動掃描拒絕服務(wù)www攻擊工具攻擊者攻擊者的知識水平攻擊的復(fù)雜度隱秘且高級的掃描工具偷竊信息網(wǎng)管探測分布式攻擊工具新型的跨主機(jī)工具17攻擊范圍和時間的變化全面框架區(qū)域網(wǎng)絡(luò)多個局域網(wǎng)單個局域網(wǎng)單個pc目標(biāo)和破壞的范圍1980s1990sTodayFuture第一代Boot virusesWeeks第二代Macro virusesDenial of serviceDays第

7、三代Distributed denial of serviceBlended threatsMinutes下一代Flash threatsMassive worm-driven DDoSDamaging payload wormsSeconds快速變化的威脅18網(wǎng)絡(luò)安全造成損失越來越大信息泄密“黛蛇事件”：2005年12月15日發(fā)現(xiàn)一個利用MS05-051微軟高危漏洞傳播的“黛蛇”蠕蟲，該攻擊下載運行鍵盤記錄軟件和蠕蟲文件包，竊取用戶數(shù)據(jù)。網(wǎng)絡(luò)堵塞SQL SLAMMER：2003年1月25日發(fā)作,造成大面積網(wǎng)絡(luò)擁塞，部分骨干網(wǎng)絡(luò)癱瘓，韓國網(wǎng)絡(luò)基本處于癱瘓狀態(tài),我國境內(nèi)感染主機(jī)22600余臺業(yè)務(wù)

8、停頓，網(wǎng)上招生停頓、網(wǎng)上交易中斷等造成的財產(chǎn)損失難以估計，數(shù)字絕非聳人聽聞從2004年10月起，北京一家音樂網(wǎng)站連續(xù)3個月遭到一個控制超過6萬臺電腦的“僵尸網(wǎng)絡(luò)”的“拒絕服務(wù)（DoS）”攻擊，造成經(jīng)濟(jì)損失達(dá)700余萬元 切膚之痛？19防止網(wǎng)絡(luò)故障造成巨大損失和影響2003.2.3阿爾及利亞停電事故2003.3.31伊朗大停電事故 2003.8.14美加大停電事故2003.8.28倫敦大停電2003.9.23瑞典和丹麥停電事故2003.9.28意大利和瑞士大停電2003年11月約旦停電事故2003.11.8利比亞西部停電事故2004年8月的約旦停電事故2005年5月的莫斯科停電事故20從安全事件

9、看網(wǎng)絡(luò)安全威脅及其發(fā)展趨勢21大規(guī)模蠕蟲事件的特點蠕蟲大規(guī)模爆發(fā)時的情形：“風(fēng)暴”、“颶風(fēng)”、“攻勢凌厲”大規(guī)模蠕蟲事件的特點：引起突發(fā)性的大量異常網(wǎng)絡(luò)流量感染主機(jī)數(shù)量多、分布廣對互聯(lián)網(wǎng)用戶造成的最直觀影響是網(wǎng)絡(luò)應(yīng)用緩慢或停止只有從網(wǎng)絡(luò)上設(shè)置訪問限制才能遏制蠕蟲的發(fā)展22蠕蟲依然是重大的潛在威脅雖然2006年沒有大規(guī)模的、造成重大社會影響的案例，但蠕蟲依然是重大威脅傳統(tǒng)破壞力：關(guān)鍵階段的服務(wù)中斷：入學(xué)報名或查詢、在線證券交易、政府集中業(yè)務(wù)審批、奧運播報、etc.新破壞力：網(wǎng)絡(luò)阻塞失泄密威脅嚴(yán)重成為黑客攻擊他人的工具：DDoS致使全網(wǎng)DNS或者大型業(yè)務(wù)系統(tǒng)癱瘓；關(guān)鍵系統(tǒng)或資源被控制23蠕蟲事件的

10、對抗爆發(fā)前的工作：漏洞分析；探測行為（有時沒有）監(jiān)測；漏洞影響評估；攻擊代碼監(jiān)測；補(bǔ)丁、臨時工具研制；臨時措施研究與實施狀態(tài)監(jiān)測：代碼特征分析；監(jiān)測策略；數(shù)據(jù)分析網(wǎng)絡(luò)控制：影響評估；可行性嘗試；快速部署；隔離后的監(jiān)測挑戰(zhàn)：如果使用了必須的端口？終端清除：防病毒產(chǎn)品問題：主動遏制技術(shù)及其適用情況與范圍？（對抗式蠕蟲；網(wǎng)絡(luò)自動隔離技術(shù)；worm poisoning）附屬破壞力的發(fā)現(xiàn)與控制：代碼分析；控制技術(shù)與能力24形勢日漸嚴(yán)峻：通過互聯(lián)網(wǎng)進(jìn)行竊密的威脅日益增大最主要威脅：遭控制，尤其是關(guān)鍵節(jié)點失泄密2004年，6千多個IP2005年：超過2萬2千個IP代碼類威脅之：木馬25傳播途徑：入侵+手工植

11、入蠕蟲攜帶/蠕蟲進(jìn)入后下載垃圾郵件網(wǎng)頁動機(jī)變化木馬的演變26木馬事件的對抗樣本收集與分析活動監(jiān)測：通信監(jiān)測；操作監(jiān)測控制切斷數(shù)據(jù)分析：攻擊源與動機(jī)分析；切取數(shù)據(jù)的分析新挑戰(zhàn)：加密通信與數(shù)據(jù)保存？協(xié)議嵌套？27代碼類威脅之：間諜軟件2005年被CNCERT/CC列為三大重點關(guān)注對象之一2005年發(fā)現(xiàn)我國70萬IP被植入間諜軟件，與美國、韓國的服務(wù)器聯(lián)絡(luò)市場上已經(jīng)出現(xiàn)專門的反間諜軟件產(chǎn)品主要危害：信息泄漏主要特點：經(jīng)常是獲得用戶許可之后運行的，或者借助在線服務(wù)等方法“合法”地傳送信息28僵尸網(wǎng)絡(luò)的威脅2005年CNCERT/CC關(guān)注的三大重點之一當(dāng)前最嚴(yán)重的安全威脅之一2005年發(fā)現(xiàn)我國超過250

12、萬IP被控制，分布在140多個僵尸網(wǎng)絡(luò)中（不包括年初17萬和荷蘭組織提供的29萬）一些國家開始作為專項展開研究；出現(xiàn)一些公司以反僵尸網(wǎng)絡(luò)作為專門業(yè)務(wù)；多起專題國際研討會主要危害：癱瘓基礎(chǔ)網(wǎng)絡(luò)；控制關(guān)鍵系統(tǒng)；信息泄漏；癱瘓或干擾重要應(yīng)用；金融犯罪；etc.29僵尸網(wǎng)絡(luò)的主要特點控制者獲得超強(qiáng)的攻擊能力作為攻擊平臺，能夠使幾乎所有其他類型的安全威脅的破壞力大增蠕蟲；DDoS；網(wǎng)絡(luò)釣魚/在線身份竊??；垃圾郵件；信息竊取；偽造訪問量； 敲詐勒索；etc.防火墻完全無能為力30僵尸網(wǎng)絡(luò)的類型IRC-based Botnet: 絕大多數(shù)僵尸網(wǎng)絡(luò)P2P-based Botnet:這類Bot采用點對點方式相互

13、通信Web-based Botnet:這類Bot利用Http協(xié)議向控制服務(wù)器傳遞信息AOL-based Botnet:登錄到固定的AOL服務(wù)器接受控制命令。31完整僵尸網(wǎng)絡(luò)的發(fā)現(xiàn)控制系統(tǒng)監(jiān)視控制者追蹤控制行為監(jiān)視控制體系摧毀僵尸程序清除代碼獲取與數(shù)據(jù)分析挑戰(zhàn)：新協(xié)議；P2P；加密僵尸網(wǎng)絡(luò)事件對抗32惡意代碼的特點對比類型特點傳播性可控性竊密性危害類型僵尸程序可控傳播高度可控有完全控制木馬無可控有完全控制蠕蟲主動傳播無弱無弱主機(jī)和網(wǎng)絡(luò)資源間諜軟件無無嚴(yán)重竊密信息泄露病毒干預(yù)傳播無無破壞文件33非代碼類威脅之：網(wǎng)絡(luò)仿冒國際上增長最快的、最熱門的安全事件之一CNCERT/CC2005重點關(guān)注的三大威

14、脅之一國際上出現(xiàn)不少專門組織、專題研討活動CNCERT/CC處理：2004年230；2005年456；主要危害：企業(yè)或個人經(jīng)濟(jì)利益損失大規(guī)模事件時可能導(dǎo)致一定范圍金融癱瘓（例如數(shù)千萬信用卡信息失竊時，銀行可能被迫集中更換大批信用卡）34不斷變化的技術(shù)手段：垃圾郵件+社會工程學(xué)方法+相似鏈接+仿冒網(wǎng)站垃圾郵件+社會工程學(xué)方法+隱藏的鏈接+仿冒網(wǎng)站利用瀏覽器漏洞做到更好的鏈接隱藏仿冒網(wǎng)站本身的技術(shù)變化惡意代碼進(jìn)駐+修改host文件+仿冒網(wǎng)站惡意代碼進(jìn)駐+監(jiān)視軟件惡意代碼進(jìn)駐：垃圾郵件+郵件工具漏洞；垃圾郵件+瀏覽器漏洞+陷阱網(wǎng)頁蠕蟲+惡意代碼直接從在線交易環(huán)節(jié)中竊取信息！網(wǎng)絡(luò)仿冒35我國網(wǎng)絡(luò)仿冒的

15、基本情況安全防范能力薄弱安全防范意識對網(wǎng)絡(luò)仿冒的危害沒有了解部分網(wǎng)絡(luò)業(yè)務(wù)非實名制度36始終沒有解決的一個嚴(yán)重威脅目前敲詐勒索的主要手段之一蠕蟲驅(qū)動的DDoS，以及大型僵尸網(wǎng)絡(luò)發(fā)動的DDoS，可能嚴(yán)重威脅到基礎(chǔ)網(wǎng)絡(luò)/關(guān)鍵應(yīng)用/重要應(yīng)用系統(tǒng)的正常運行非代碼類威脅之：拒絕服務(wù)攻擊37非代碼類威脅之：拒絕服務(wù)攻擊攻擊手法單對單：利用協(xié)議或協(xié)議實現(xiàn)漏洞；利用資源差異；利用基礎(chǔ)服務(wù)配置和IP偽造多對單：利用資源差異+IP偽造；利用巨大的資源差異驅(qū)動力變化38過濾干擾流量；追溯攻擊源頭；追溯攻擊者；公共策略執(zhí)行：推廣相關(guān)的基礎(chǔ)配置；攻擊平臺摧毀拒絕服務(wù)攻擊事件的對抗39非代碼類威脅之：網(wǎng)頁篡改居高不下：20

16、04年2059/1029；2005年13653/2027 2006年 31378/3589傳統(tǒng)危害：政治和社會影響外交糾紛政務(wù)中斷40網(wǎng)頁篡改的演變威脅將不再僅僅局限于造成影響電子政務(wù)；網(wǎng)上業(yè)務(wù)；網(wǎng)上應(yīng)用的中斷“示威”性篡改到功利性篡改利用信譽(yù)高的網(wǎng)站設(shè)置陷阱新威脅：竊取數(shù)據(jù)入侵用戶主機(jī)（可以是有針對性的）濫用作為攻擊活動的中轉(zhuǎn)或控制基地41發(fā)現(xiàn)：舉報；主動搜索挑戰(zhàn)：深度、廣度的增加；新型惡意代碼定位與分析盡早通知用戶手段分析攻擊者分析宏觀分析恢復(fù)網(wǎng)頁篡改事件的對抗42其他威脅病毒：概念日漸模糊化后門與邏輯炸彈：難以監(jiān)測發(fā)現(xiàn)大量產(chǎn)品和技術(shù)嚴(yán)重依賴國外+高度互聯(lián)的網(wǎng)絡(luò)使得該隱患尤其嚴(yán)重垃圾郵件：

17、社會影響用于拒絕服務(wù)攻擊用于傳播惡意代碼（郵件蠕蟲）43各種威脅的變化趨勢小結(jié)攻擊分類模糊化攻擊手段多樣化攻擊代碼集成化/專業(yè)化攻擊動機(jī)趨利化44潛在的其他問題國家利益維護(hù)：關(guān)鍵資源的擁有權(quán)、控制權(quán)，關(guān)鍵策略的話語權(quán)聯(lián)合國中的激烈斗爭：互聯(lián)網(wǎng)治理Root server / Root zone file / 公共政策現(xiàn)狀：正在成為國家關(guān)鍵信息基礎(chǔ)設(shè)施的互聯(lián)網(wǎng)，其公共政策的制定、關(guān)鍵資源的所有權(quán)與運行權(quán)，依然不能自主45基礎(chǔ)薄弱資源欠缺合作欠缺宏觀發(fā)現(xiàn)與分析能力欠缺不夠重視“軟”技術(shù)技術(shù)挑戰(zhàn)潛在的其他問題46低 高高低潛在的破壞出現(xiàn)的可能性200020022005來源: DSB研究報告黑客罪犯間諜

18、恐怖分子國家 贊助潛在的其他問題47網(wǎng)絡(luò)安全事件的威脅對象基礎(chǔ)網(wǎng)絡(luò)的健康運行國家關(guān)鍵信息基礎(chǔ)設(shè)施重要應(yīng)用（失能/失控）敏感信息企業(yè)與個人的經(jīng)濟(jì)等利益干擾經(jīng)濟(jì)秩序敲詐勒索48需要的元素 (x)需要的能力(y)各種威脅的應(yīng)對(z)組織（專門人員）資源（包括制度）預(yù) X監(jiān)測控制恢復(fù)蠕蟲DDoSBotnetSpyware平臺（技術(shù)設(shè)備）資源（包括制度）網(wǎng)絡(luò)安全保障能力的組成49網(wǎng)絡(luò)安全保障能力Y-應(yīng)對能力未雨綢繆：“預(yù)” 能力預(yù)防/預(yù)測/早期評估和警報等心明眼亮：“知”能力事件發(fā)現(xiàn)/監(jiān)測運籌帷幄：“控”能力事件響應(yīng)與控制/危機(jī)管理起死回生：“生”能力恢復(fù)/核心生存50網(wǎng)絡(luò)安全保障能力X-實現(xiàn)要素公欲善

19、其事，必先利其器：技術(shù)產(chǎn)品&基礎(chǔ)設(shè)施巧婦難為無米之炊：基礎(chǔ)資源&方法規(guī)范（漏洞信息、惡意代碼信息、重要應(yīng)用資源信息以及流程、制度和預(yù)案 ）“人”是關(guān)鍵專業(yè)隊伍&合作體系51網(wǎng)絡(luò)安全保障能力Z-威脅研究知己知彼，百戰(zhàn)不殆：蠕蟲僵尸網(wǎng)絡(luò)間諜軟件PhishingDDoS52核心資源知識庫信息庫：國家網(wǎng)絡(luò)安全數(shù)據(jù)資源平臺（基礎(chǔ)網(wǎng)絡(luò)拓?fù)?、IP定位、事件庫、攻擊特征庫、病毒庫、應(yīng)用分布信息、漏洞庫、攻擊方法庫）模擬計算平臺Etc.53技術(shù)挑戰(zhàn)：大規(guī)模突發(fā)事件的及時響應(yīng)？攻方：漏洞/脆弱性發(fā)現(xiàn)惡意代碼編寫(測試, 可能)釋放惡意代碼守方：漏洞/脆弱性發(fā)現(xiàn)信息分發(fā)補(bǔ)丁開發(fā)補(bǔ)丁分發(fā)以及升級工作風(fēng)險評估攻擊行為監(jiān)

20、測惡意代碼獲取和分析擴(kuò)散控制補(bǔ)丁和工具分發(fā)和升級感染主機(jī)恢復(fù)全面升級、損失評估等54我們的對手有多快?漏洞發(fā)現(xiàn)：隨時 & 4000個/年出現(xiàn)新的攻擊代碼：漏洞公布后的幾星期甚至更短-0天1030 分鐘 足夠一個新的蠕蟲導(dǎo)致大范圍的網(wǎng)絡(luò)癱瘓僵尸網(wǎng)絡(luò)帶來的新挑戰(zhàn)那么，我們有多快？55技術(shù)挑戰(zhàn)：宏觀分析-海量數(shù)據(jù)56數(shù)據(jù)的有效性57100萬 事件信息 1 萬 事件信息 1百 事件信息 58理想化響應(yīng)工作模式59非技術(shù)挑戰(zhàn):現(xiàn)實世界和虛擬世界的矛盾有邊界的網(wǎng)絡(luò)建設(shè)與管理，如何面對無邊界的網(wǎng)絡(luò)攻擊攻擊者可以輕易通過多個不同的網(wǎng)絡(luò)、地區(qū)、或國家發(fā)起攻擊，使得無論是采取有效措施對抗攻擊減少損失，還是追查攻擊

21、來源打擊犯罪，都需要大范圍的協(xié)調(diào)問題：現(xiàn)有秩序下的效率保持60追蹤？隔離？各人自掃門前雪？61綜合挑戰(zhàn)：動態(tài)適應(yīng)能力網(wǎng)絡(luò)安全是一個動態(tài)的過程如何實現(xiàn)各個環(huán)節(jié)的動態(tài)調(diào)整能力？62綜合挑戰(zhàn)：其他能力建設(shè)：打造超人？分散、分工、和無配合的防護(hù)力量，如何對抗有組織有計劃的攻擊行為？面對眾多的應(yīng)用可能面臨的眾多威脅，如何要求自己的安全管理人員能夠熟悉這一切？攻擊定位十分困難：無論是虛擬世界的定位還是現(xiàn)實世界的定位。使得防范和追查都十分困難技術(shù)以外的問題怎么辦：做好自己的事情，不足以保證自己的安全，那么如何確保 “公共衛(wèi)生”？63是否真正知道我國的網(wǎng)絡(luò)中正在發(fā)生什么？是否掌握國家網(wǎng)絡(luò)空間安全的真實狀態(tài)？是

22、否掌握國家可能面臨什么樣的網(wǎng)絡(luò)危機(jī)？國家信息化發(fā)展的相關(guān)決策缺乏依據(jù)信息化及其安全保障的計劃可能陷入盲目缺乏準(zhǔn)備，將來可能導(dǎo)致災(zāi)難性損失僅僅知道了一些事件，但是這些事件帶來的危害和損失還不知道；模擬、分析、預(yù)測、評估能力還比較弱雖然有一個良好的起點，但是目前的水平還沒有達(dá)到基本要求64小結(jié)很多問題還需要積極探索各方面合作的形成十分重要國際交流的重要性技術(shù)交流標(biāo)準(zhǔn)的話語權(quán)國際影響力65二、什么是應(yīng)急響應(yīng)66目錄互聯(lián)網(wǎng)網(wǎng)絡(luò)安全面臨重大挑戰(zhàn)什么是應(yīng)急響應(yīng)應(yīng)急響應(yīng)組的組建應(yīng)急響應(yīng)服務(wù)的過程應(yīng)急響應(yīng)服務(wù)的形式和內(nèi)容應(yīng)急響應(yīng)準(zhǔn)備階段關(guān)鍵措施推薦應(yīng)急響應(yīng)服務(wù)案例67什么是應(yīng)急響應(yīng)Emergency Resp

23、onse/Incident Response:安全人員在遇到突發(fā)事件后所采取的措施和行動突發(fā)事件：影響一個系統(tǒng)正常工作的情況。這里的系統(tǒng)包括主機(jī)范疇內(nèi)的問題，也包括網(wǎng)絡(luò)范疇內(nèi)的問題。這種情況包括常見的黑客入侵、信息竊取等，也包括拒絕服務(wù)攻擊、網(wǎng)絡(luò)流量異常等。68事件響應(yīng)事件響應(yīng)：對發(fā)生在計算機(jī)系統(tǒng)或網(wǎng)絡(luò)上的威脅安全的事件進(jìn)行響應(yīng)。事件響應(yīng)是信息安全生命周期的必要組成部分。這個生命周期包括：對策、檢測和響應(yīng)。69應(yīng)急響應(yīng)描述當(dāng)安全事件發(fā)生需要盡快解決，而一般技術(shù)人員又無法迅速處理的時候，就需要安全服務(wù)商提供一種發(fā)現(xiàn)問題、解決問題的有效服務(wù)手段來解決問題。這種服務(wù)手段可以描述為：客戶的主機(jī)或網(wǎng)絡(luò)正

24、遭到攻擊或發(fā)現(xiàn)入侵成功的痕跡，而又無法當(dāng)時解決和追查來源時，安全服務(wù)商根據(jù)客戶的要求以最快的速度趕到現(xiàn)場，協(xié)助客戶解決問題，查找后門，保存證據(jù)和追查來源。 70應(yīng)急響應(yīng)的目的應(yīng)急響應(yīng)服務(wù)的目的是盡可能地減小和控制住網(wǎng)絡(luò)安全事件的損失，提供有效的響應(yīng)和恢復(fù)指導(dǎo)，并努力防止安全事件的發(fā)生。網(wǎng)絡(luò)安全的發(fā)展日新月異，誰也無法實現(xiàn)一勞永逸的安全服務(wù)。71積極預(yù)防風(fēng)險評估及時發(fā)現(xiàn)檢測通報積極預(yù)防風(fēng)險評估快速反應(yīng)迅即救助積極預(yù)防風(fēng)險評估及時發(fā)現(xiàn)檢測通報確保恢復(fù)起死回生積極預(yù)防風(fēng)險評估及時發(fā)現(xiàn)檢測通報快速反應(yīng)及時救助業(yè)務(wù)應(yīng)急響應(yīng)目標(biāo)72積極預(yù)防凡是預(yù)則立，不預(yù)則廢事件預(yù)防是事件應(yīng)急響應(yīng)能力的重要前提組織現(xiàn)有的

25、信息安全保障能力識別公司風(fēng)險準(zhǔn)備主機(jī)、采取網(wǎng)絡(luò)安全措施制訂應(yīng)急響應(yīng)目標(biāo)的策略和規(guī)程73及時發(fā)現(xiàn)：安全保障的第一要求根本性的問題在于當(dāng)事件發(fā)生的時候，有關(guān)人員能否及時發(fā)現(xiàn)，以及能否做出準(zhǔn)確判斷事后：部分用戶投訴事件；事中：大規(guī)模網(wǎng)絡(luò)攻擊事件、 部分用戶投訴事件事前：異常檢測的分析結(jié)果、 關(guān)聯(lián)事件、 根據(jù)其他情報獲悉74快速響應(yīng)不但對已知事件快速響應(yīng)，對未知事件也可及時處理并采取相應(yīng)措施75確?；謴?fù)：安全保障的第一目標(biāo)應(yīng)急處理的兩個根本性目標(biāo)：確保恢復(fù)、追究責(zé)任除非是“事后”處理的事件，否則應(yīng)急處理人員首先要解決的問題是如何確保受影響的系統(tǒng)恢復(fù)正常的功能追究責(zé)任涉及到法律問題，一般用戶單位或第三方

26、支援的應(yīng)急處理人員主要起到配合分析的作用，因為展開這樣的調(diào)查通常需要得到司法許可。76從應(yīng)急組織到應(yīng)急體系：網(wǎng)絡(luò)安全保障的必要條件現(xiàn)實表明，單一的應(yīng)急組織已經(jīng)不能應(yīng)對當(dāng)今的網(wǎng)絡(luò)安全威脅，我國的應(yīng)急體系正是在實際工作的經(jīng)驗總結(jié)中逐漸形成的：平臺從點到環(huán)到面；應(yīng)急體系從點到樹到網(wǎng)“現(xiàn)實世界中發(fā)生的任何事情，在網(wǎng)絡(luò)世界中都可以找到與之對應(yīng)的事件”SARS事件反映出社會防疫應(yīng)急體系的重要紅色代碼、尼姆達(dá)、SQL殺手、口令蠕蟲等具有和現(xiàn)實世界中的疫病相同的特點處理方式也具有同樣的特點：隔離-分析-治療不同之處：“病人”不自知；隔離缺乏法律依據(jù)或技術(shù)手段；應(yīng)急缺乏成熟體系和工作制度.77“莫里斯事件”又稱

27、“蠕蟲事件”。1988年11月，美國Cornell大學(xué)學(xué)生Morris編寫一個“圣誕樹”蠕蟲程序，該程序可以利用因特網(wǎng)上計算機(jī)的sendmail的漏洞、fingerD的緩沖區(qū)溢出及REXE的漏洞進(jìn)入系統(tǒng)并自我繁殖，鯨吞因特網(wǎng)的帶寬資源，造成全球10%的聯(lián)網(wǎng)計算機(jī)陷入癱瘓。這起計算機(jī)安全事件極大地震動了美國政府、軍方和學(xué)術(shù)界全球第一個計算機(jī)應(yīng)急處理協(xié)調(diào)中心八八年的“莫里斯事件”美國能源部成立了自已的CIAC美國其他部門的情況在莫里斯事件發(fā)生之后，美國國防部高級計劃研究署（DARPA）出資在卡內(nèi)基-梅隆大學(xué)（CMU）的軟件工程研究所（SEI）建立了計算機(jī)應(yīng)急處理協(xié)調(diào)中心。該中心現(xiàn)在仍然由美國國防部

28、支持，并且作為國際上的骨干組織積極開展相關(guān)方面的培訓(xùn)工作。1989年，美國能源部（DoE）成立了自已的計算機(jī)事件處理組織，稱為CIAC（Computer Incident Advisory Capability)，專門保證能源部計算機(jī)系統(tǒng)的安全。至此，各有關(guān)部門紛紛開始成立自己的計算機(jī)安全事件處理組織。作為發(fā)起國，美國在國防部、能源部、空軍、海軍、眾議院、國家宇航局、國家標(biāo)準(zhǔn)與技術(shù)局、部分重點大學(xué)、IT界知名公司先后成立了六十余個計算機(jī)安全事件相應(yīng)組織。重在響應(yīng)、協(xié)調(diào)、研究/分析與統(tǒng)計計算機(jī)安全事件。網(wǎng)絡(luò)蠕蟲事件導(dǎo)致應(yīng)急處理組織的誕生78應(yīng)急處理的國際化FIRST計算機(jī)應(yīng)急組織的國際舞臺FIR

29、ST的宗旨FIRST成員的情況 1990年11月，在美國等的發(fā)起下，一些國家的CERT組織參與成立了“計算機(jī)事件響應(yīng)與安全工作組論壇”，簡稱 FIRST Forum of Incident Response and Security Team。 FIRST的基本目的是使各成員能就安全漏洞、安全技術(shù)、安全管理等方面進(jìn)行交流與合作，以實現(xiàn)國際間的信息共享、技術(shù)共享，最終達(dá)到聯(lián)合防范計算機(jī)網(wǎng)絡(luò)上的攻擊行為的目標(biāo)。 截止到2001年底，加入FIRST的CERT組織共有110個，涉及到的國家有24個，僅美國自身就有56個成員，因此說，F(xiàn)IRST組織是以美國為主體所構(gòu)成。 截止到2006年4月底，F(xiàn)IRS

30、T的正式成員達(dá)到191個。CNCERT/CC于2002年8月成為FIRST的正式成員，處理.CN的安全事件。FIRST的工作規(guī)范FIRST組織有兩類成員，一是正式成員，二是觀察員。FIRST組織有一個由十人構(gòu)成的指導(dǎo)委員會，負(fù)責(zé)對重大問題做出討論，包括接受新的成員。新成員的加入必須有推薦人，并且需要得到指導(dǎo)委員會三分之二的成員同意。該委員會每月進(jìn)行一次電話會議。FIRST的技術(shù)活動除了各成員之間通過保密通信進(jìn)行信息交流外， FIRST組織每季度開一次內(nèi)部技術(shù)交流會議，每年開一次開放型會議。通常是在美國與非美國國家交替進(jìn)行。這是因為要照顧到美國代表的利益。79我國的應(yīng)急處理體系信息產(chǎn)業(yè)部互聯(lián)網(wǎng)應(yīng)

31、急處理協(xié)調(diào)辦公室國家計算機(jī)病毒應(yīng)急處理中心（天津市公安局）國家計算機(jī)網(wǎng)絡(luò)入侵防范中心（中科院研究生院）骨干網(wǎng)的CERT商業(yè)的安全服務(wù)提供商IDC的CERT國外CERT互聯(lián)網(wǎng)安全服務(wù)試點單位國外政府部門（APEC經(jīng)濟(jì)體）國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（CNCERT/CC）信息產(chǎn)業(yè)部(MII)其他管理部門CNCERT/CC地方分中心從點狀到樹狀到網(wǎng)狀，提供更快速的覆蓋全國的應(yīng)急支撐體系80CNCERT/CC發(fā)展歷程（1）2000年10月，信息產(chǎn)業(yè)部組建成立了“計算機(jī)網(wǎng)絡(luò)應(yīng)急處理協(xié)調(diào)中心”，目的主要是與其他國家的計算機(jī)應(yīng)急響應(yīng)組織(CERT)進(jìn)行交流加入專業(yè)化的國際組織“國際計算機(jī)事件響應(yīng)與安全

32、工作組論壇（簡稱FIRST）協(xié)調(diào)全國的CERT組織共同處理大規(guī)模網(wǎng)絡(luò)安全事件提高我國在計算機(jī)事件響應(yīng)方面的技術(shù)水平和能力等。 81CNCERT/CC發(fā)展歷程（2）2001年8月，原國信安辦下發(fā)了關(guān)于成立“國家計算機(jī)網(wǎng)絡(luò)應(yīng)急處理協(xié)調(diào)中心”的決定（國信安辦200123號），明確組建“國家計算機(jī)網(wǎng)絡(luò)應(yīng)急處理協(xié)調(diào)中心”，作為全國計算機(jī)網(wǎng)絡(luò)應(yīng)急處理體系中的牽頭單位。根據(jù)國際慣例，該協(xié)調(diào)中心英文名稱為“China National Computer Emergency Response Team Coordination Center”，簡稱CNCERT/CC。同時明確了CNCERT/CC的具體業(yè)務(wù)范圍：

33、收集、核實、匯總、發(fā)布有關(guān)網(wǎng)絡(luò)安全的權(quán)威性信息；為國家關(guān)鍵部門提供應(yīng)急處理服務(wù)；協(xié)調(diào)和指導(dǎo)國內(nèi)其它應(yīng)急處理單位的工作；與國際上的應(yīng)急處理組織進(jìn)行合作和交流。 82應(yīng)急響應(yīng)服務(wù)背景CERT/CC服務(wù)的內(nèi)容安全事件響應(yīng)安全事件分析和軟件安全缺陷研究缺陷知識庫開發(fā)信息發(fā)布：缺陷、公告、總結(jié)、統(tǒng)計、補(bǔ)丁、工具教育與培訓(xùn)：CSIRT管理、CSIRT技術(shù)培訓(xùn)、系統(tǒng)和網(wǎng)絡(luò)管理員安全培訓(xùn)指導(dǎo)其它CSIRT（也稱IRT、CERT）組織建設(shè)8384三、應(yīng)急響應(yīng)組的組建85目錄互聯(lián)網(wǎng)網(wǎng)絡(luò)安全面臨重大挑戰(zhàn)什么是應(yīng)急響應(yīng)應(yīng)急響應(yīng)組的組建應(yīng)急響應(yīng)服務(wù)的過程應(yīng)急響應(yīng)服務(wù)的形式和內(nèi)容應(yīng)急響應(yīng)準(zhǔn)備階段關(guān)鍵措施推薦應(yīng)急響應(yīng)服務(wù)案

34、例86什么是應(yīng)急響應(yīng)組（IRT） 應(yīng)急響應(yīng)組就是機(jī)構(gòu)可以借助的網(wǎng)絡(luò)安全專業(yè)組織。為什么需要成立應(yīng)急響應(yīng)組容易協(xié)調(diào)響應(yīng)工作提高專業(yè)知識提高效率提高先期主動防御能力更加適合于滿足機(jī)構(gòu)的需要提高聯(lián)絡(luò)功能提高處理制度障礙方面的能力應(yīng)急響應(yīng)組的組建87應(yīng)急小組的分類和工作范圍形式多樣、規(guī)模大小不一服務(wù)的對象和范圍不同我國的國家互聯(lián)網(wǎng)中心（ CNCERT/CC ）日本計算機(jī)應(yīng)急響應(yīng)協(xié)調(diào)中心（JPCERT/CC）IBM安全管理服務(wù)（IBM-MSS）工作范圍按其工作方式來確定88應(yīng)急響應(yīng)組的分類國際間的協(xié)調(diào)組織國內(nèi)的協(xié)調(diào)組織國內(nèi)的協(xié)調(diào)組織愿意付費的任何用戶產(chǎn)品用戶網(wǎng)絡(luò)接入用戶企業(yè)部門、用戶商業(yè)IRT網(wǎng)絡(luò)服務(wù)提

35、供商 IRT廠商 IRT企業(yè) /政府 IRT如：綠盟科技如：CCERT如：Cisco、IBM如：中國銀行、 公安部如CERT/CC, FIRST如CNCERT/CC89關(guān)于加強(qiáng)信息安全保障工作的意見（中辦發(fā)【2003】27號）第五部分 重視信息安全應(yīng)急處理工作。國家和社會都有充分重視信息安全應(yīng)急處理工作。要進(jìn)一步完善國家信息安全應(yīng)急處理協(xié)調(diào)機(jī)制，加強(qiáng)信息安全事件的應(yīng)急處置工作。要加強(qiáng)信息安全應(yīng)急支援服務(wù)隊伍建設(shè)，鼓勵社會力量參與災(zāi)難備份設(shè)施建設(shè)和提供技術(shù)服務(wù)，提供信息安全應(yīng)急響應(yīng)能力。國內(nèi)的應(yīng)急響應(yīng)政策90國內(nèi)的應(yīng)急響應(yīng)政策為了落實27號文精神國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組辦公室于2003年10月

36、發(fā)布了網(wǎng)絡(luò)與信息安全信息通報暫行辦法、2004年9月發(fā)布了關(guān)于做好重要信息系統(tǒng)災(zāi)難備份工作的通知，2004年8月發(fā)布了關(guān)于建立健全基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)應(yīng)急協(xié)調(diào)機(jī)制的意見等文件。這些文件對推動災(zāi)難備份和應(yīng)急響應(yīng)的發(fā)展起到了重要作用。91國際應(yīng)急響應(yīng)組網(wǎng)址美國 清華 歐洲 新加坡 臺灣省 印尼 瑞士 澳大利亞 德國 日本 馬來西亞 韓國 墨西哥 菲律賓 92四、應(yīng)急響應(yīng)服務(wù)的過程93目錄互聯(lián)網(wǎng)網(wǎng)絡(luò)安全面臨重大挑戰(zhàn)什么是應(yīng)急響應(yīng)應(yīng)急響應(yīng)組的組建應(yīng)急響應(yīng)服務(wù)的過程應(yīng)急響應(yīng)服務(wù)的形式和內(nèi)容應(yīng)急響應(yīng)準(zhǔn)備階段關(guān)鍵措施推薦應(yīng)急響應(yīng)服務(wù)案例94應(yīng)急響應(yīng)的一般階段第一階段：準(zhǔn)備讓我們嚴(yán)陣以待第二階段：確認(rèn)對

37、情況綜合判斷第三階段：封鎖制止事態(tài)的擴(kuò)大第四階段：根除徹底的補(bǔ)救措施第五階段：恢復(fù)備份，頂上去！第六階段：跟蹤還會有第二次嗎95第一階段準(zhǔn)備預(yù)防為主微觀（一般觀點）：幫助服務(wù)對象建立安全政策幫助服務(wù)對象按照安全政策配置安全設(shè)備和軟件掃描，風(fēng)險分析，打補(bǔ)丁如有條件且得到許可，建立監(jiān)控設(shè)施宏觀建立協(xié)作體系和應(yīng)急制度建立信息溝通渠道和通報機(jī)制如有條件，建立數(shù)據(jù)匯總分析的體系和能力有關(guān)法律法規(guī)的制定96準(zhǔn)備階段制定應(yīng)急響應(yīng)計劃資源準(zhǔn)備應(yīng)急經(jīng)費籌集人力資源軟硬件設(shè)備現(xiàn)場備份業(yè)務(wù)連續(xù)性保障系統(tǒng)容災(zāi)搭建臨時業(yè)務(wù)系統(tǒng)97人力資源準(zhǔn)備指揮調(diào)度人員協(xié)作人員技術(shù)人員專家設(shè)備、系統(tǒng)和服務(wù)提供商98軟硬件設(shè)備準(zhǔn)備硬件設(shè)

38、備準(zhǔn)備數(shù)據(jù)保護(hù)設(shè)備磁盤、磁帶、光盤SAN冗余設(shè)備網(wǎng)絡(luò)鏈路、網(wǎng)絡(luò)設(shè)備關(guān)鍵計算機(jī)設(shè)備Any else?99 100軟硬件設(shè)備準(zhǔn)備軟件工具準(zhǔn)備備份軟件日志處理軟件系統(tǒng)軟件網(wǎng)絡(luò)軟件應(yīng)急啟動盤Any else?病毒/惡意軟件查殺軟件101建立事件報告的機(jī)制和要求建立事件報告流程和規(guī)范IntranetPhoneEmailWho?What?When?Where?How?Reporting Mechanisms102第二階段確認(rèn)（檢測和分析）確定事件性質(zhì)和處理人微觀（負(fù)責(zé)具體網(wǎng)絡(luò)的CERT）：確定事件的責(zé)任人指定一個責(zé)任人全權(quán)處理此事件給予必要的資源確定事件的性質(zhì)誤會？玩笑？還是惡意的攻擊/入侵？影響的嚴(yán)重程

39、度預(yù)計采用什么樣的專用資源來修復(fù)？宏觀（除了微觀的工作外）：通過匯總，確定是否發(fā)生了全網(wǎng)的大規(guī)模事件確定應(yīng)急等級，以決定啟動哪一級應(yīng)急方案103快速分析事故的標(biāo)志事故的標(biāo)志分為兩類：征兆和預(yù)兆Web服務(wù)器崩潰 用戶抱怨主機(jī)連接網(wǎng)絡(luò)速度過慢 子郵件管理員可以看到大批的反彈電子郵件與可疑內(nèi)容 網(wǎng)絡(luò)管理員通告了一個不尋常的偏離典型的網(wǎng)絡(luò)流量流向 來源網(wǎng)絡(luò)和主機(jī)IDS 、防病毒軟件 、文件完整性檢查軟件系統(tǒng)、網(wǎng)絡(luò)、蜜罐日志公開可利用的信息第三方監(jiān)視服務(wù)104確認(rèn)事故（1）確認(rèn)網(wǎng)絡(luò)和系統(tǒng)輪廓： 分析事故的最好技術(shù)方法之一理解正常的行為基于處理事故的良好準(zhǔn)備使用集中的日志管理并創(chuàng)建日志保留策略： 執(zhí)行事件

40、關(guān)聯(lián)： 保持所有主機(jī)時鐘同步： 105確認(rèn)事故（2）維護(hù)和使用信息知識庫 分析事故時的快速參考使用互聯(lián)網(wǎng)搜索引擎進(jìn)行研究運行包嗅探器以搜集更多的數(shù)據(jù) 過濾數(shù)據(jù) 經(jīng)驗是不可替代的 建立診斷矩陣尋求幫助106矩陣實例征兆拒絕服務(wù)惡意代碼非授權(quán)訪問不正確使用文件，關(guān)鍵，訪問嘗試低中高低文件，不適當(dāng)?shù)膬?nèi)容低中低高主機(jī)崩潰中中中低端口掃描，輸入的，不正常的 高低中低端口掃描，輸出的，不正常的 低高中低利用，帶寬，高高中低中利用，電子郵件，高中高中中107事故優(yōu)先級服務(wù)水平協(xié)議服務(wù)水平協(xié)議（SLA）定義服務(wù)目標(biāo)及雙方的預(yù)期及責(zé)任服務(wù)水平協(xié)議指標(biāo)類別質(zhì)量指標(biāo)作用對象業(yè)務(wù)無關(guān)可用性業(yè)務(wù)接入點、應(yīng)用、設(shè)備、傳輸

41、設(shè)備平均業(yè)務(wù)恢復(fù)時間業(yè)務(wù)接入點、應(yīng)用、設(shè)備、傳輸設(shè)備平均故障間隔時間（MTBF）業(yè)務(wù)接入點、應(yīng)用、設(shè)備、傳輸設(shè)備平均修復(fù)時間（MTTR）業(yè)務(wù)接入點、應(yīng)用、設(shè)備、傳輸設(shè)備108應(yīng)急響應(yīng)服務(wù)的指標(biāo)遠(yuǎn)程應(yīng)急響應(yīng)服務(wù) 在確認(rèn)客戶的應(yīng)急響應(yīng)請求后?小時內(nèi)，交與相關(guān)應(yīng)急響應(yīng)人員進(jìn)行處理。無論是否解決，進(jìn)行處理的當(dāng)天必須返回響應(yīng)情況的簡報，直到此次響應(yīng)服務(wù)結(jié)束。 本地應(yīng)急響應(yīng)服務(wù) 對本地范圍內(nèi)的客戶，？小時內(nèi)到達(dá)現(xiàn)場；對異地的客戶，？小時加路途時間內(nèi)到達(dá)現(xiàn)場。 109應(yīng)急響應(yīng)SLA矩陣事故當(dāng)前或?qū)砜赡苡绊懙馁Y源的重要性事故當(dāng)前或?qū)砜赡艿挠绊懜撸ɡ纾夯ヂ?lián)網(wǎng)連接，公共Web服務(wù)器，防火墻，客戶數(shù)據(jù)）中（例

42、如：系統(tǒng)管理員工作站，文件和打印服務(wù)器，XYZ 應(yīng)用數(shù)據(jù)）低（例如：用戶工作站）Root級訪問15分鐘30分鐘1小時非授權(quán)的數(shù)據(jù)修改15分鐘30分鐘2小時對敏感信息的非授權(quán)訪問15分鐘1小時1小時非授權(quán)的用戶級訪問30分鐘2小時4小時服務(wù)不可用30分鐘2小時4小時騷擾130分鐘本地IT職員本地IT職員這個影響類別指那些除了讓用戶厭煩沒有其它負(fù)面影響的事故。例如，某個惡意代碼的影響只是每小時在用戶的顯示屏上顯示一條信息。110第三階段遏制即時采取的行動微觀：防止進(jìn)一步的損失，確定后果初步分析，重點是確定適當(dāng)?shù)姆怄i方法咨詢安全政策確定進(jìn)一步操作的風(fēng)險損失最小化可列出若干選項，講明各自的風(fēng)險，由服務(wù)

43、對象選擇宏觀：確保封鎖方法對各網(wǎng)業(yè)務(wù)影響最小通過協(xié)調(diào)爭取各網(wǎng)一致行動，實施隔離匯總數(shù)據(jù)，估算損失和隔離效果111建立遏制策略建議組織機(jī)構(gòu)為幾類主要的事故建立單獨的遏制策略，其標(biāo)準(zhǔn)包括： 潛在的破壞和資源的竊取證據(jù)保留的需要服務(wù)可用性（例如：網(wǎng)絡(luò)連接，提供給外部當(dāng)事方的服務(wù)）實施戰(zhàn)略需要的時間和資源戰(zhàn)略的有效性（例如：部分遏制事故，完全遏制事故）解決方案的期限（例如：緊急事故工作區(qū)需在4小時內(nèi)清除，臨時工作區(qū)需在兩周內(nèi)清除，永久的解決方案）。112例：基于DDOS攻擊的遏制策略1.基于攻擊特征實施過濾。 2.糾正正在被攻擊的漏洞或弱點 3.讓ISP實施過濾 4.重定位目標(biāo) 5.攻擊攻擊者 6.設(shè)

44、定證據(jù)保留時間 113第四階段根除長期的補(bǔ)救措施微觀：詳細(xì)分析，確定原因，定義征兆分析漏洞加強(qiáng)防范消除原因修改安全策略宏觀：加強(qiáng)宣傳，公布危害性和解決辦法，呼吁用戶解決終端的問題；加強(qiáng)檢測工作，發(fā)現(xiàn)和清理行業(yè)與重點部門的問題；114第五階段恢復(fù)微觀：被攻擊的系統(tǒng)由備份來恢復(fù)作一個新的備份把所有安全上的變更作備份服務(wù)重新上線持續(xù)監(jiān)控宏觀：持續(xù)匯總分析，了解各網(wǎng)的運行情況根據(jù)各網(wǎng)的運行情況判斷隔離措施的有效性通過匯總分析的結(jié)果判斷仍然受影響的終端的規(guī)模發(fā)現(xiàn)重要用戶及時通報解決適當(dāng)?shù)臅r候解除封鎖措施115第六階段跟蹤關(guān)注系統(tǒng)恢復(fù)以后的安全狀況，特別是曾經(jīng)出問題的地方建立跟蹤文檔，規(guī)范記錄跟蹤結(jié)果對響

45、應(yīng)效果給出評估對進(jìn)入司法程序的事件，進(jìn)行進(jìn)一步的調(diào)查，打擊違法犯罪活動116事件歸檔與統(tǒng)計處理人時間和時段地點工作量事件的類型對事件的處置情況代價細(xì)節(jié)117五、應(yīng)急響應(yīng)服務(wù)的形式和內(nèi)容118目錄互聯(lián)網(wǎng)網(wǎng)絡(luò)安全面臨重大挑戰(zhàn)什么是應(yīng)急響應(yīng)應(yīng)急響應(yīng)組的組建應(yīng)急響應(yīng)服務(wù)的過程應(yīng)急響應(yīng)服務(wù)的形式和內(nèi)容應(yīng)急響應(yīng)準(zhǔn)備階段關(guān)鍵措施推薦應(yīng)急響應(yīng)服務(wù)案例119應(yīng)急響應(yīng)服務(wù)的形式遠(yuǎn)程應(yīng)急響應(yīng)服務(wù)本地應(yīng)急響應(yīng)服務(wù)120遠(yuǎn)程應(yīng)急響應(yīng)服務(wù)客戶通過電話、Email、傳真等方式請求安全事件響應(yīng)，應(yīng)急響應(yīng)組通過相同的方式為客戶解決問題。經(jīng)與客戶網(wǎng)絡(luò)相關(guān)人員確認(rèn)后，客戶方提供主機(jī)或設(shè)備的臨時支持賬號，由應(yīng)急響應(yīng)組遠(yuǎn)程登陸主機(jī)進(jìn)行

46、檢測和服務(wù)，問題解決后出具詳細(xì)的應(yīng)急響應(yīng)服務(wù)報告。遠(yuǎn)程系統(tǒng)無法登陸，或無法通過遠(yuǎn)程訪問的方式替客戶解決問題，客戶確認(rèn)后，轉(zhuǎn)到本地應(yīng)急相應(yīng)流程，同時此次遠(yuǎn)程響應(yīng)無效，歸于本地應(yīng)急響應(yīng)類型。121本地應(yīng)急響應(yīng)服務(wù)應(yīng)急響應(yīng)組在第一時間趕往客戶網(wǎng)絡(luò)系統(tǒng)安全事件的事發(fā)地點，在現(xiàn)場為客戶查找事發(fā)原因并解決相應(yīng)問題，最后出具詳細(xì)的應(yīng)急響應(yīng)服務(wù)報告。 122應(yīng)急響應(yīng)服務(wù)的內(nèi)容病毒事件響應(yīng)系統(tǒng)入侵事件響應(yīng)網(wǎng)絡(luò)故障事件響應(yīng)拒絕服務(wù)攻擊事件響應(yīng)123響應(yīng)式服務(wù)預(yù)防式服務(wù)安全質(zhì)量管理服務(wù)警報和警告事件處理事件分析現(xiàn)場事件響應(yīng)事件響應(yīng)支持事件響應(yīng)協(xié)調(diào)安全漏洞處理安全漏洞分析安全漏洞響應(yīng)安全漏洞響應(yīng)協(xié)調(diào)Artifact處

47、理Artifact分析Artifact響應(yīng)Artifact響應(yīng)協(xié)調(diào)公告技術(shù)監(jiān)測與安全審計評估安全工具、應(yīng)用程序和基礎(chǔ)設(shè)施的配置和維護(hù)安全工具的開發(fā)入侵檢測服務(wù)安全有關(guān)的信息的傳播風(fēng)險分析服務(wù)持續(xù)性和災(zāi)難恢復(fù)規(guī)劃安全性咨詢建立安全意識教育/培訓(xùn)產(chǎn)品評估或認(rèn)證應(yīng)急響應(yīng)服務(wù)的內(nèi)容124應(yīng)急響應(yīng)服務(wù)的特點技術(shù)復(fù)雜性與專業(yè)性各種硬件平臺、操作系統(tǒng)、應(yīng)用軟件知識經(jīng)驗的依賴性由IRT中的人提供服務(wù)，而不是一個硬件或軟件產(chǎn)品 突發(fā)性強(qiáng)需要廣泛的協(xié)調(diào)與合作125六、應(yīng)急響應(yīng)準(zhǔn)備階段關(guān)鍵措施推薦126目錄互聯(lián)網(wǎng)網(wǎng)絡(luò)安全面臨重大挑戰(zhàn)什么是應(yīng)急響應(yīng)應(yīng)急響應(yīng)組的組建應(yīng)急響應(yīng)服務(wù)的過程應(yīng)急響應(yīng)服務(wù)的形式和內(nèi)容應(yīng)急響應(yīng)準(zhǔn)備

48、階段關(guān)鍵措施推薦應(yīng)急響應(yīng)服務(wù)案例127應(yīng)急響應(yīng)處理實踐所處理的事故類型拒絕服務(wù)事故拒絕服務(wù)（DoS）：通過耗盡資源來阻止或傷害網(wǎng)絡(luò)、系統(tǒng)或應(yīng)用的攻擊。分布拒絕服務(wù)（DDoS）：一種使用大量主機(jī)執(zhí)行攻擊的 DoS技術(shù)。惡意代碼事故惡意代碼：感染主機(jī)的病毒、蠕蟲、特洛伊木馬或其它代碼實體。非授權(quán)訪問事故非授權(quán)訪問： 人員沒有沒有得到許可，獲得對網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)或其它資源的邏輯或物理訪問。 不正確使用事故不正確使用： 人員違反可接受的信息系統(tǒng)使用策略。 多組件事故多組件事故：單個事故包含兩個或多個事故。128準(zhǔn)備階段拒絕服務(wù)事故主要工作推薦主機(jī)上的設(shè)置配置防火墻規(guī)則集以預(yù)防反射器攻擊配置邊界路由器以

49、預(yù)防放大器攻擊充足的網(wǎng)絡(luò)帶寬保證把網(wǎng)站做成靜態(tài)頁面確定組織機(jī)構(gòu)的互聯(lián)網(wǎng)服務(wù)提供商（ISP）和第二層提供商能幫助處理網(wǎng)絡(luò)DoS攻擊。配置安全軟件以檢測DoS攻擊配置網(wǎng)絡(luò)邊界以拒絕所有沒有明確允許的出局流量129準(zhǔn)備階段惡意代碼事故主要工作推薦讓用戶意識到惡意代碼問題。閱讀防病毒公告。為關(guān)鍵主機(jī)部署主機(jī)入侵檢測系統(tǒng)，包括文件完整性檢查器。使用防病毒軟件，并且保持更新為最新的病毒特征碼。配置軟件以阻止可疑的文件。減少開放的Windows共享。 130準(zhǔn)備階段非授權(quán)訪問事件主要工作推薦配置入侵檢測軟件以對獲得非授權(quán)訪問的企圖進(jìn)行告警。配置所有主機(jī)使用集中日志。建立流程，以使所有用戶修改其口令。配置網(wǎng)絡(luò)

50、邊界以拒絕所有沒有明確允許的入局流量。安全保護(hù)所有的遠(yuǎn)程訪問方式，包括調(diào)制解調(diào)器和虛擬專用網(wǎng)（VPN）。將所有公共訪問的服務(wù)放在安全保護(hù)的非軍事區(qū)（DMZ）網(wǎng)段。在主機(jī)上禁止所有不需要的服務(wù)并隔離關(guān)鍵的服務(wù)。在個人主機(jī)上使用主機(jī)防火墻軟件以限制主機(jī)對攻擊的暴露。創(chuàng)建和實施口令策略。 131準(zhǔn)備階段不當(dāng)操作事故主要工作推薦同組織機(jī)構(gòu)的人力資源和法務(wù)部門一起討論不當(dāng)操作事故的處理。同組織機(jī)構(gòu)的法務(wù)部門討論責(zé)任義務(wù)問題。配置網(wǎng)絡(luò)入侵檢測系統(tǒng)以檢測某些類型的不正確使用。日志記錄用戶活動的基本信息。配置所有電子郵件服務(wù)器以使其不再用于非授權(quán)的郵件轉(zhuǎn)發(fā)。在所有電子郵件服務(wù)器上實施垃圾郵件過濾軟件。實施UR

51、L過濾軟件。 132準(zhǔn)備階段多組件事故多組件事故使用集中的日志和事件關(guān)聯(lián)軟件。133七、應(yīng)急響應(yīng)服務(wù)案例134目錄互聯(lián)網(wǎng)網(wǎng)絡(luò)安全面臨重大挑戰(zhàn)什么是應(yīng)急響應(yīng)應(yīng)急響應(yīng)組的組建應(yīng)急響應(yīng)服務(wù)的過程應(yīng)急響應(yīng)服務(wù)的形式和內(nèi)容應(yīng)急響應(yīng)準(zhǔn)備階段關(guān)鍵措施推薦應(yīng)急響應(yīng)服務(wù)案例135應(yīng)急響應(yīng)服務(wù)案例僵尸網(wǎng)絡(luò)應(yīng)急響應(yīng)國家XX局的主機(jī)入侵應(yīng)急響應(yīng)XX證券公司“紅色代碼”病毒事件應(yīng)急響應(yīng)136僵尸網(wǎng)絡(luò)應(yīng)急響應(yīng)根據(jù)國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（CNCERT/CC）2008年上半年網(wǎng)絡(luò)安全工作報告，僵尸網(wǎng)絡(luò)發(fā)展迅速，逐漸成為攻擊行為的基本渠道，成為網(wǎng)絡(luò)安全的最大隱患之一。相關(guān)事件：2000年YAHOO、Ebay、CNN

52、、Amazon等網(wǎng)站受到不同程度的分布式拒絕服務(wù)攻擊2001年中國主機(jī)提供商虎翼網(wǎng)遭受分布式拒絕服務(wù)（DDOS）攻擊，造成無法估計的損失2002年10月全球13個負(fù)責(zé)管理因特網(wǎng)尋址系統(tǒng)的根服務(wù)商遭到“分布式拒絕服務(wù)（DDOS）”攻擊2003年1月新網(wǎng)信?？萍家慌_主域名服務(wù)商（DNS服務(wù)器）遭到分布式拒絕服務(wù)（DDOS）攻擊，造成數(shù)以千計的網(wǎng)站無法登陸2005年1月10日，轟動全國的唐山“黑客”落網(wǎng)。其造成北京一家音樂網(wǎng)站遭到一個超過6萬臺電腦的“僵尸網(wǎng)絡(luò)”的“拒絕服務(wù)（DOS）”攻擊。137僵尸網(wǎng)絡(luò)應(yīng)急響應(yīng)事件描述自2004年10月6日某音樂下載網(wǎng)站受到持續(xù)大流量拒絕服務(wù)攻擊 ，10月21日攻

53、擊峰值流量達(dá)到1000Mb/s,直接導(dǎo)致該網(wǎng)站用戶完全無法登錄。 事件確認(rèn)該網(wǎng)站在為期一個月的時間內(nèi)，每天處于間歇性攻擊中，受到攻擊的所有服務(wù)器均為Windows服務(wù)器，受到影響最大的服務(wù)器為Web服務(wù)器，初步判斷，這是一次典型的DDoS攻擊。138僵尸網(wǎng)絡(luò)應(yīng)急響應(yīng)遏制、根除和恢復(fù)該僵尸網(wǎng)絡(luò)通過動態(tài)域名解析，受數(shù)個IRC服務(wù)器控制，定位IRC服務(wù)器切斷控制渠道，安裝查殺工具植入偽Bot加入僵尸網(wǎng)絡(luò)，過濾惡意攻擊指令，記錄攻擊行為139僵尸網(wǎng)絡(luò)的工作原理目前絕大多數(shù)的僵尸網(wǎng)絡(luò)是基于IRC協(xié)議的。IRC（RFC 1459）是應(yīng)用層協(xié)議，它的基本功能是使人們利用一個IRC頻道相互之間實時對話，極大地

54、方便了人們之間的信息交流。IRC協(xié)議采用客戶端/服務(wù)器模式，客戶端連接到IRC服務(wù)器，多個IRC服務(wù)器組成服務(wù)器網(wǎng)絡(luò)，從一個用戶到另一個用戶的信息可以通過服務(wù)器網(wǎng)絡(luò)傳遞，即使這些用戶連接到不同的服務(wù)器。IRC服務(wù)器默認(rèn)的端口是TCP 6667，通常也可以在60007000端口范圍內(nèi)選擇，許多IRC Bot為了逃避常規(guī)的檢查，選擇443、8000、500等自定義端口。140IRC BotIRC Bot的特點只需支持部分IRC 命令將收到的消息作為命令解釋執(zhí)行需要配置的信息遠(yuǎn)程IRC Server的地址、端口號（默認(rèn)TCP 6667）頻道名認(rèn)證碼Bots Quality高帶寬資源高可用性Alway

55、s on低用戶警覺和監(jiān)視能力未打補(bǔ)丁、無防火墻等防護(hù)機(jī)制位置遠(yuǎn)離攻擊者本土，法律不健全及執(zhí)行能力弱141IRC Botnet網(wǎng)絡(luò)結(jié)構(gòu)142IRC Botnet的全過程1. Bot感染2. 連接IRC Server3. 動態(tài)域名映射4. 加入私密頻道5. Bot監(jiān)聽頻道，等待指令6. 攻擊者進(jìn)入頻道并發(fā)出控制指令7. 所有Bot根據(jù)指令對目標(biāo)發(fā)起攻擊143攻擊預(yù)兆和征兆惡意活動可能的征兆針對特定主機(jī)的網(wǎng)絡(luò)DoS 系統(tǒng)不可用的用戶報告無法解釋的連接丟失網(wǎng)絡(luò)入侵檢測警報 主機(jī)入侵檢測警報（直到主機(jī)過載）增加的網(wǎng)絡(luò)帶寬使用大量至單個主機(jī)的連接非對稱的網(wǎng)絡(luò)流量模式（大量流量進(jìn)入主機(jī)，幾乎沒有流量從主機(jī)流

56、出）防火墻和路由器日志記錄項 有不正常源地址的包針對網(wǎng)絡(luò)的網(wǎng)絡(luò)DoS系統(tǒng)和網(wǎng)絡(luò)不可用的用戶報告無法解釋的連接丟失網(wǎng)絡(luò)入侵檢測警報 增加的網(wǎng)絡(luò)帶寬使用非對稱的網(wǎng)絡(luò)流量模式（流量大量進(jìn)入網(wǎng)絡(luò)，幾乎沒有流量離開網(wǎng)絡(luò)）防火墻和路由器日志記錄項 有不正常源地址的包有不存在目的地址的包針對特定主機(jī)的操作系統(tǒng)的DoS系統(tǒng)和應(yīng)用不可用的用戶報告網(wǎng)絡(luò)和主機(jī)入侵檢測警報 操作系統(tǒng) 日志記錄項 有不正常源地址的包針對特定主機(jī)的應(yīng)用的DoS應(yīng)用不可用的用戶報告網(wǎng)絡(luò)和主機(jī)入侵檢測警報 應(yīng)用日志記錄項 有不正常源地址的包預(yù)兆響應(yīng)偵查活動通常在DoS攻擊之前，通常一個用于實際攻擊的低流量來確定何種攻擊有效。如果處理者檢測到

57、了不尋常的DoS攻擊前的準(zhǔn)備活動，組織機(jī)構(gòu)能夠迅速地轉(zhuǎn)換安全狀態(tài)來組織攻擊，例如改變防火墻規(guī)則集來阻止一個特定的協(xié)議或者保護(hù)一個脆弱的主機(jī)。一個新近公布的DoS工具能對組織機(jī)構(gòu)構(gòu)成重大威脅。研究這個新工具，如果可能，更改安全控制使該工具不能對組織機(jī)構(gòu)產(chǎn)生有效攻擊。144手工檢測和清除Bot實例打開cmd.exe運行netstat an,查看當(dāng)前網(wǎng)絡(luò)鏈接開放端口145用Fport.exe查看端口與進(jìn)程的關(guān)聯(lián)信息，定位可疑進(jìn)程146分析系統(tǒng)啟動項，發(fā)現(xiàn)該Bot添加注冊表鍵值，實現(xiàn)開機(jī)自啟動147應(yīng)急響應(yīng)檢測分析階段148現(xiàn)場調(diào)查定制場景，實時關(guān)聯(lián)分析找出這種情況下所需狀態(tài)信息的最小集合，選出提取信

58、息所需的工具。1.查看網(wǎng)絡(luò)連接（netstat -an）2.查看進(jìn)程（proc.exe）2.根據(jù)PID查看開放端口(fport.exe ) 3.掃描啟動項，定位可疑程序(autoruns.exe)4.通過反匯編逆向工程分析方法，尋找病毒體生成testcase文件夾：包含數(shù)據(jù)信息列表和每個數(shù)據(jù)文件的MD5 和SHA-1哈希值149事件關(guān)聯(lián)分析150事件關(guān)聯(lián)文件151收集獲取信息Msnmsgr之所以會掃描135端口，是因為它在連接6667時接收到了控制者的指令，指令正是通過頻道主題的方式傳送的。 Msnmsgr與IRC服務(wù)器之間的主要通信過程為：-NICK CHN|9148119rnUSER autdeoxsnv 0 0:CHN|9148119rn(設(shè)置昵稱)-JOIN #xdcc dropitrn(加入xdcc頻道，密碼為dropit)PRIVMSG #xdcc: