CIS信息安全應(yīng)急響應(yīng)

信息安全應(yīng)急響應(yīng)中國信息安全測(cè)評(píng)中心CISP-19-信息安全應(yīng)急響應(yīng)2009年6月背景：信息安全管理技術(shù)信息安全管理風(fēng)險(xiǎn)管理基本概念信息安全管理技術(shù)風(fēng)險(xiǎn)評(píng)估業(yè)務(wù)持續(xù)性和災(zāi)難恢復(fù)定量/定性風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估工具和方法知識(shí)類知識(shí)體知識(shí)域知識(shí)子域BCP&DRP概念和背景業(yè)務(wù)持續(xù)性計(jì)劃編制和內(nèi)容業(yè)務(wù)持續(xù)性計(jì)劃的技術(shù)和管理應(yīng)急響應(yīng)背景和組織應(yīng)急響應(yīng)流程應(yīng)急響應(yīng)目錄互聯(lián)網(wǎng)網(wǎng)絡(luò)安全面臨重大挑戰(zhàn)什么是應(yīng)急響應(yīng)應(yīng)急響應(yīng)組的組建應(yīng)急響應(yīng)服務(wù)的過程應(yīng)急響應(yīng)服務(wù)的形式和內(nèi)容應(yīng)急響應(yīng)準(zhǔn)備階段關(guān)鍵措施推薦應(yīng)急響應(yīng)服務(wù)案例一、互聯(lián)網(wǎng)網(wǎng)絡(luò)安全面臨重大挑戰(zhàn)目錄互聯(lián)網(wǎng)網(wǎng)絡(luò)安全面臨重大挑戰(zhàn)什么是應(yīng)急響應(yīng)應(yīng)急響應(yīng)組的組建應(yīng)急響應(yīng)服務(wù)的過程應(yīng)急響應(yīng)服務(wù)的形式和內(nèi)容應(yīng)急響應(yīng)服務(wù)的指標(biāo)應(yīng)急響應(yīng)服務(wù)案例補(bǔ)充材料：如何編制本單位的《應(yīng)急預(yù)案》我國互聯(lián)網(wǎng)環(huán)境隨著互聯(lián)網(wǎng)各種應(yīng)用的不斷發(fā)展，大量的基礎(chǔ)網(wǎng)絡(luò)成為黑客的攻擊目標(biāo)。我國的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)面臨的安全威脅和安全隱患：計(jì)算機(jī)病毒傳播和網(wǎng)絡(luò)非法入侵十分猖獗網(wǎng)絡(luò)違法犯罪持續(xù)大幅上升安全漏洞，黑客病毒技術(shù)、網(wǎng)絡(luò)釣魚技術(shù)、木馬間諜程序互聯(lián)網(wǎng)安全威脅事例事例2003年：SQLSLAMMER、口令蠕蟲事件、沖擊波蠕蟲事件2004年5月：黑客操控六萬臺(tái)電腦制造“僵尸網(wǎng)絡(luò)”發(fā)起拒絕服務(wù)攻擊2005年12月——荷蘭19歲黑客控制150萬臺(tái)電腦組建僵尸網(wǎng)絡(luò)從2006年底到2007年初，“熊貓燒香”在短短時(shí)間內(nèi)通過網(wǎng)絡(luò)傳播全國，數(shù)百萬電腦中毒2008年，黑龍江網(wǎng)民篡改紅十字會(huì)地震募捐賬號(hào)被捕2009年，卡巴斯基網(wǎng)站數(shù)據(jù)庫遭黑客攻擊機(jī)密信息外泄相互結(jié)合，危害無窮Bot、網(wǎng)絡(luò)蠕蟲、計(jì)算機(jī)病毒、木馬程序合為一體網(wǎng)絡(luò)安全熱點(diǎn)網(wǎng)站仿冒（Phishing）建立假網(wǎng)站通過垃圾郵件發(fā)送服務(wù)器大量發(fā)信引誘用戶訪問使用中獎(jiǎng)、系統(tǒng)升級(jí)等手段誘使用戶輸入個(gè)人信息主要針對(duì)銀行和信用卡服務(wù)機(jī)構(gòu)網(wǎng)絡(luò)釣魚的靶心網(wǎng)絡(luò)安全熱點(diǎn)點(diǎn)僵尸網(wǎng)絡(luò)的具具體概念Bot——僵尸程序Zombie——被植入Bot程序的計(jì)算機(jī)機(jī)IRCBot——利用IRC協(xié)議進(jìn)行通信信和控制的Bot基于僵尸網(wǎng)絡(luò)絡(luò)（Botnet）的網(wǎng)絡(luò)敲詐詐大量主機(jī)被安安裝了BOT黑客可以通過過IRC服務(wù)器實(shí)施控控制隨時(shí)可能發(fā)動(dòng)動(dòng)攻擊BOT可以進(jìn)行升級(jí)級(jí)，擴(kuò)大攻擊擊能力網(wǎng)絡(luò)安全熱點(diǎn)點(diǎn)手機(jī)和無線網(wǎng)網(wǎng)絡(luò)（WLAN）的安全2004年，針對(duì)使用用Symbian的蘭牙手機(jī)的的病毒出現(xiàn)針對(duì)使用PocketPC的驗(yàn)證性攻擊擊程序也被發(fā)發(fā)現(xiàn)手機(jī)功能和操操作系統(tǒng)通用用性不斷增強(qiáng)強(qiáng)，會(huì)有越來來越多針對(duì)手手機(jī)的攻擊WLAN安全性一直是是其應(yīng)用的關(guān)關(guān)鍵問題2004年出現(xiàn)了可利利用來對(duì)IEEE1278.11b無線接入點(diǎn)進(jìn)進(jìn)行拒絕服務(wù)務(wù)攻擊的漏洞洞網(wǎng)絡(luò)安全熱點(diǎn)點(diǎn)黑客地下經(jīng)濟(jì)濟(jì)產(chǎn)業(yè)鏈系統(tǒng)越來越復(fù)復(fù)雜工作站中存在在信息數(shù)據(jù)員工移動(dòng)介質(zhì)網(wǎng)絡(luò)中其他系系統(tǒng)網(wǎng)絡(luò)中其他資資源訪問Internet訪問其他局域域網(wǎng)到Internet的其他路由電話和調(diào)制解解調(diào)器開放的網(wǎng)絡(luò)端端口遠(yuǎn)程用戶廠商和合同方方的訪問訪問問外部資源公共信息服務(wù)務(wù)運(yùn)行維護(hù)環(huán)境境U盤、無線網(wǎng)絡(luò)絡(luò)。。。網(wǎng)絡(luò)安全漏洞洞大量存在Windows十大安全隱患患Web服務(wù)器和服務(wù)務(wù)工作站服務(wù)Windows遠(yuǎn)程訪問服務(wù)務(wù)微軟SQL服務(wù)器Windows認(rèn)證Web瀏覽器文件共享LSASExposures電子郵件客客戶端即時(shí)信息Unix十大安全隱隱患BIND域名系統(tǒng)Web服務(wù)器認(rèn)證版本控制系系統(tǒng)電子郵件傳傳輸服務(wù)簡(jiǎn)單網(wǎng)絡(luò)管管理協(xié)議開放安全連連接通訊層層企業(yè)服務(wù)NIS/NFS配置不當(dāng)數(shù)據(jù)庫內(nèi)核來源SANS研究報(bào)告攻擊復(fù)雜度度與攻擊者者的技術(shù)水水平高低19801985199019952000猜口令自我復(fù)制程程序口令破解攻擊已知漏漏洞破壞審計(jì)后門程序干擾通信手動(dòng)探測(cè)竊聽數(shù)據(jù)包欺騙騙圖形化界面面自動(dòng)掃描拒絕服務(wù)工具攻擊者攻擊者的知識(shí)水平攻擊的復(fù)雜雜度隱秘且高級(jí)級(jí)的掃描工工具偷竊信息網(wǎng)管探測(cè)分布式攻擊擊工具新型的跨主主機(jī)工具攻擊范圍和和時(shí)間的變變化全面框架

區(qū)域網(wǎng)絡(luò)

多個(gè)局域網(wǎng)

單個(gè)局域網(wǎng)

單個(gè)pc目標(biāo)和破壞的范圍1980s1990sTodayFuture第一代BootvirusesWeeks第二代MacrovirusesDenialofserviceDays第三代DistributeddenialofserviceBlendedthreatsMinutes下一代FlashthreatsMassiveworm-drivenDDoSDamagingpayloadwormsSeconds快速變化的威脅網(wǎng)絡(luò)安全造造成損失越越來越大信息泄密“黛蛇事件件”：2005年12月15日發(fā)現(xiàn)一個(gè)個(gè)利用MS05-051微軟高危漏漏洞傳播的的“黛蛇”蠕蟲，該攻攻擊下載運(yùn)運(yùn)行鍵盤記記錄軟件和和蠕蟲文件件包，竊取取用戶數(shù)據(jù)據(jù)。網(wǎng)絡(luò)堵塞SQLSLAMMER：2003年1月25日發(fā)作,造成大面積積網(wǎng)絡(luò)擁塞塞，部分骨骨干網(wǎng)絡(luò)癱癱瘓，韓國國網(wǎng)絡(luò)基本本處于癱瘓瘓狀態(tài),我國境內(nèi)感感染主機(jī)22600余臺(tái)業(yè)務(wù)停頓，，網(wǎng)上招生生停頓、網(wǎng)網(wǎng)上交易中中斷等造成的財(cái)產(chǎn)產(chǎn)損失難以以估計(jì)，數(shù)數(shù)字絕非聳聳人聽聞從2004年10月起，北京京一家音樂樂網(wǎng)站連續(xù)續(xù)3個(gè)月遭到一一個(gè)控制超超過6萬臺(tái)電腦的的“僵尸網(wǎng)網(wǎng)絡(luò)”的““拒絕服務(wù)務(wù)（DoS）”攻擊，，造成經(jīng)濟(jì)濟(jì)損失達(dá)700余萬元切膚之痛？？防止網(wǎng)絡(luò)故故障造成巨巨大損失和和影響2003.2.3阿爾及利亞亞停電事故故2003.3.31伊朗大停電電事故2003.8.14美加大停電電事故2003.8.28倫敦大停電電2003.9.23瑞典和丹麥麥停電事故故2003.9.28意大利和瑞瑞士大停電電2003年11月約旦停電電事故2003.11.8利比亞西部部停電事故故2004年8月的約旦停停電事故2005年5月的莫斯科科停電事故故從安全事件件看網(wǎng)絡(luò)安安全威脅及及其發(fā)展趨趨勢(shì)大規(guī)模蠕蟲蟲事件的特特點(diǎn)蠕蟲大規(guī)模模爆發(fā)時(shí)的的情形：“風(fēng)暴”、、“颶風(fēng)””、“攻勢(shì)勢(shì)凌厲”大規(guī)模蠕蟲蟲事件的特特點(diǎn)：引起突發(fā)性性的大量異異常網(wǎng)絡(luò)流流量感染主機(jī)數(shù)數(shù)量多、分分布廣對(duì)互聯(lián)網(wǎng)用用戶造成的的最直觀影影響是網(wǎng)絡(luò)絡(luò)應(yīng)用緩慢慢或停止只有從網(wǎng)絡(luò)絡(luò)上設(shè)置訪訪問限制才才能遏制蠕蠕蟲的發(fā)展展蠕蟲依然是是重大的潛潛在威脅雖然2006年沒有大規(guī)規(guī)模的、造造成重大社社會(huì)影響的的案例，但但蠕蟲依然然是重大威威脅傳統(tǒng)破壞力力：關(guān)鍵階段的的服務(wù)中斷斷：入學(xué)報(bào)報(bào)名或查詢?cè)?、在線證證券交易、、政府集中中業(yè)務(wù)審批批、奧運(yùn)播播報(bào)、etc.新破壞力：：網(wǎng)絡(luò)阻塞失泄密威脅脅嚴(yán)重成為黑客攻攻擊他人的的工具：DDoS致使全網(wǎng)DNS或者大型業(yè)業(yè)務(wù)系統(tǒng)癱癱瘓；關(guān)鍵鍵系統(tǒng)或資資源被控制制蠕蟲事件的的對(duì)抗爆發(fā)前的工工作：漏洞洞分析；探探測(cè)行為（（有時(shí)沒有有）監(jiān)測(cè)；；漏洞影響響評(píng)估；攻攻擊代碼監(jiān)監(jiān)測(cè)；補(bǔ)丁丁、臨時(shí)工工具研制；；臨時(shí)措施施研究與實(shí)實(shí)施狀態(tài)監(jiān)測(cè)：：代碼特征征分析；監(jiān)監(jiān)測(cè)策略；；數(shù)據(jù)分析析網(wǎng)絡(luò)控制：：影響評(píng)估；；可行性嘗嘗試；快速速部署；隔隔離后的監(jiān)監(jiān)測(cè)挑戰(zhàn)：如果果使用了必必須的端口口？終端清除：：防病毒產(chǎn)品品問題：主動(dòng)動(dòng)遏制技術(shù)術(shù)及其適用用情況與范范圍？（對(duì)對(duì)抗式蠕蟲蟲；網(wǎng)絡(luò)自自動(dòng)隔離技技術(shù)；wormpoisoning）附屬破壞力力的發(fā)現(xiàn)與與控制：代代碼分析；；控制技術(shù)術(shù)與能力形勢(shì)日漸嚴(yán)嚴(yán)峻：通過過互聯(lián)網(wǎng)進(jìn)進(jìn)行竊密的的威脅日益益增大最主要威脅脅：遭控制，尤尤其是關(guān)鍵鍵節(jié)點(diǎn)失泄密2004年，6千多個(gè)IP2005年：超過2萬2千個(gè)IP代碼類威脅脅之：木馬馬傳播途徑：：入侵+手工植入蠕蟲攜帶/蠕蟲進(jìn)入后后下載垃圾郵件網(wǎng)頁動(dòng)機(jī)變化木馬的演變變木馬事件的的對(duì)抗樣本收集與與分析活動(dòng)監(jiān)測(cè)：：通信監(jiān)測(cè)測(cè)；操作監(jiān)監(jiān)測(cè)控制切斷數(shù)據(jù)分析：：攻擊源與與動(dòng)機(jī)分析析；切取數(shù)數(shù)據(jù)的分析析新挑戰(zhàn)：加加密通信與與數(shù)據(jù)保存存？協(xié)議嵌嵌套？代碼類威脅脅之：間諜諜軟件2005年被CNCERT/CC列為三大重重點(diǎn)關(guān)注對(duì)對(duì)象之一2005年發(fā)現(xiàn)我國國70萬IP被植入間諜諜軟件，與與美國、韓韓國的服務(wù)務(wù)器聯(lián)絡(luò)市場(chǎng)上已經(jīng)經(jīng)出現(xiàn)專門門的反間諜諜軟件產(chǎn)品品主要危害：：信息泄漏漏主要特點(diǎn)：：經(jīng)常是獲獲得用戶許許可之后運(yùn)運(yùn)行的，或或者借助在在線服務(wù)等等方法“合合法”地傳傳送信息僵尸網(wǎng)絡(luò)的的威脅2005年CNCERT/CC關(guān)注的三大大重點(diǎn)之一一當(dāng)前最嚴(yán)重重的安全威威脅之一2005年發(fā)現(xiàn)我國國超過250萬IP被控制，分分布在140多個(gè)僵尸網(wǎng)網(wǎng)絡(luò)中（不不包括年初初17萬和荷蘭組組織提供的的29萬）一些國家開開始作為專專項(xiàng)展開研研究；出現(xiàn)現(xiàn)一些公司司以反僵尸尸網(wǎng)絡(luò)作為為專門業(yè)務(wù)務(wù)；多起專專題國際研研討會(huì)主要危害：：癱瘓基礎(chǔ)礎(chǔ)網(wǎng)絡(luò)；控控制關(guān)鍵系系統(tǒng)；信息息泄漏；癱癱瘓或干擾擾重要應(yīng)用用；金融犯犯罪；etc.僵尸網(wǎng)絡(luò)的的主要特點(diǎn)點(diǎn)控制者獲得得超強(qiáng)的攻攻擊能力作為攻擊平平臺(tái)，能夠夠使幾乎所所有其他類類型的安全全威脅的破破壞力大增增蠕蟲；DDoS；網(wǎng)絡(luò)釣魚魚/在線身份竊竊?。焕]件；信信息竊取；；偽造訪問問量；敲敲詐勒索；；etc.防火墻完全全無能為力力僵尸網(wǎng)絡(luò)的的類型IRC-basedBotnet:絕大多數(shù)僵僵尸網(wǎng)絡(luò)P2P-basedBotnet:這類Bot采用點(diǎn)對(duì)點(diǎn)點(diǎn)方式相互互通信Web-basedBotnet:這類Bot利用Http協(xié)議向控制制服務(wù)器傳傳遞信息AOL-basedBotnet:登錄到固定的的AOL服務(wù)器接受控控制命令。完整僵尸網(wǎng)絡(luò)絡(luò)的發(fā)現(xiàn)控制系統(tǒng)監(jiān)視視控制者追蹤控制行為監(jiān)視視控制體系摧毀毀僵尸程序清除除代碼獲取與數(shù)數(shù)據(jù)分析挑戰(zhàn)：新協(xié)議；P2P；加密僵尸網(wǎng)絡(luò)事件件對(duì)抗惡意代碼的特特點(diǎn)對(duì)比類型特點(diǎn)傳播性可控性竊密性危害類型僵尸程序可控傳播高度可控有完全控制木馬無可控有完全控制蠕蟲主動(dòng)傳播無／弱無／弱主機(jī)和網(wǎng)絡(luò)資源間諜軟件無無嚴(yán)重竊密信息泄露病毒干預(yù)傳播無無破壞文件非代碼類威脅脅之：網(wǎng)絡(luò)仿仿冒國際上增長(zhǎng)最最快的、最熱熱門的安全事事件之一CNCERT/CC2005重點(diǎn)關(guān)注的三三大威脅之一一國際上出現(xiàn)不不少專門組織織、專題研討討活動(dòng)CNCERT/CC處理：2004年230；2005年456；主要危害：企業(yè)或個(gè)人經(jīng)經(jīng)濟(jì)利益損失失大規(guī)模事件時(shí)時(shí)可能導(dǎo)致一一定范圍金融融癱瘓（例如如數(shù)千萬信用用卡信息失竊竊時(shí)，銀行可可能被迫集中中更換大批信信用卡）不斷變化的技技術(shù)手段：垃圾郵件+社會(huì)工程學(xué)方方法+相似鏈接+仿冒網(wǎng)站垃圾郵件+社會(huì)工程學(xué)方方法+隱藏的鏈接+仿冒網(wǎng)站利用瀏覽器漏漏洞做到更好好的鏈接隱藏藏仿冒網(wǎng)站本身身的技術(shù)變化化惡意代碼進(jìn)駐駐+修改host文件+仿冒網(wǎng)站惡意代碼進(jìn)駐駐+監(jiān)視軟件[惡意代碼進(jìn)駐駐]：垃圾郵件+郵件工具漏洞洞；垃圾郵件+瀏覽器漏洞+陷阱網(wǎng)頁蠕蟲+惡意代碼直接從在線交交易環(huán)節(jié)中竊竊取信息！網(wǎng)絡(luò)仿冒我國網(wǎng)絡(luò)仿冒冒的基本情況況安全防范能力力薄弱安全防范意識(shí)識(shí)對(duì)網(wǎng)絡(luò)仿冒的的危害沒有了了解部分網(wǎng)絡(luò)業(yè)務(wù)務(wù)非實(shí)名制度度始終沒有解決決的一個(gè)嚴(yán)重重威脅目前敲詐勒索索的主要手段段之一蠕蟲驅(qū)動(dòng)的DDoS，以及大型僵僵尸網(wǎng)絡(luò)發(fā)動(dòng)動(dòng)的DDoS，可能嚴(yán)重威威脅到基礎(chǔ)網(wǎng)網(wǎng)絡(luò)/關(guān)鍵應(yīng)用/重要應(yīng)用系統(tǒng)統(tǒng)的正常運(yùn)行行非代碼類威脅脅之：拒絕服服務(wù)攻擊非代碼類威脅脅之：拒絕服服務(wù)攻擊攻擊手法單對(duì)單：利用用協(xié)議或協(xié)議議實(shí)現(xiàn)漏洞；；利用資源差差異；利用基基礎(chǔ)服務(wù)配置置和IP偽造多對(duì)單：利用用資源差異+IP偽造；利用巨巨大的資源差差異驅(qū)動(dòng)力變化過濾干擾流量量；追溯攻擊源頭頭；追溯攻擊者；；公共策略執(zhí)行行：推廣相關(guān)關(guān)的基礎(chǔ)配置置；攻擊平臺(tái)摧毀毀拒絕服務(wù)攻擊擊事件的對(duì)抗抗非代碼類威脅脅之：網(wǎng)頁篡篡改居高不下：2004年2059/1029；2005年13653/20272006年31378/3589傳統(tǒng)危害：政治和社會(huì)影影響外交糾紛政務(wù)中斷網(wǎng)頁篡改的演演變威脅將不再僅僅僅局限于造造成影響電子政務(wù)；網(wǎng)網(wǎng)上業(yè)務(wù)；網(wǎng)網(wǎng)上應(yīng)用的中中斷“示威”性篡篡改到功利性性篡改利用信譽(yù)高的的網(wǎng)站設(shè)置陷陷阱新威脅：竊取數(shù)據(jù)入侵用戶主機(jī)機(jī)（可以是有有針對(duì)性的））濫用作為攻擊擊活動(dòng)的中轉(zhuǎn)轉(zhuǎn)或控制基地地發(fā)現(xiàn)：舉報(bào)；主動(dòng)搜搜索挑戰(zhàn)：深度、、廣度的增加加；新型惡意意代碼定位與分析盡早通知用戶戶手段分析攻擊者分析宏觀分析恢復(fù)網(wǎng)頁篡改事件件的對(duì)抗其他威脅病毒：概念日日漸模糊化后門與邏輯炸炸彈：難以監(jiān)測(cè)發(fā)現(xiàn)現(xiàn)大量產(chǎn)品和技技術(shù)嚴(yán)重依賴賴國外+高度互聯(lián)的網(wǎng)網(wǎng)絡(luò)使得該隱患尤尤其嚴(yán)重垃圾郵件：社會(huì)影響用于拒絕服務(wù)務(wù)攻擊用于傳播惡意意代碼（郵件件蠕蟲）各種威脅的變變化趨勢(shì)小結(jié)結(jié)攻擊分類模糊糊化攻擊手段多樣樣化攻擊代碼集成成化/專業(yè)化攻擊動(dòng)機(jī)趨利利化潛在的其他問問題國家利益維護(hù)護(hù)：關(guān)鍵資源源的擁有權(quán)、、控制權(quán)，關(guān)關(guān)鍵策略的話話語權(quán)聯(lián)合國中的激激烈斗爭(zhēng)：互互聯(lián)網(wǎng)治理Rootserver/Rootzonefile/公共政策現(xiàn)狀：正在成成為國家關(guān)鍵鍵信息基礎(chǔ)設(shè)設(shè)施的互聯(lián)網(wǎng)網(wǎng)，其公共政政策的制定、、關(guān)鍵資源的的所有權(quán)與運(yùn)運(yùn)行權(quán)，依然然不能自主基礎(chǔ)薄弱資源欠缺合作欠缺宏觀發(fā)現(xiàn)與分分析能力欠缺缺不夠重視“軟軟”技術(shù)技術(shù)挑戰(zhàn)潛在的其他問問題低高高高低潛在的破壞出現(xiàn)的可能性性200020022005來源:DSB研究報(bào)告黑客罪犯間諜恐怖分子國家贊助助潛在的其他問問題網(wǎng)絡(luò)安全事件件的威脅對(duì)象象基礎(chǔ)網(wǎng)絡(luò)的健健康運(yùn)行國家關(guān)鍵信息息基礎(chǔ)設(shè)施重要應(yīng)用（失失能/失控）敏感信息企業(yè)與個(gè)人的的經(jīng)濟(jì)等利益益干擾經(jīng)濟(jì)秩序序敲詐勒索需要的元素(x)需要的能力(y)各種威脅的應(yīng)對(duì)(z)組織

（專門門人員）資源

（包括括制度）預(yù)X監(jiān)測(cè)控制恢復(fù)…蠕蟲DDoSBotnetSpyware平臺(tái)

（技術(shù)術(shù)設(shè)備）資源

（包括括制度）網(wǎng)絡(luò)安全保障障能力的組成成網(wǎng)絡(luò)安全保障障能力Y-應(yīng)對(duì)能力未雨綢繆：：“預(yù)”能能力預(yù)防/預(yù)測(cè)/早期評(píng)估和和警報(bào)等心明眼亮：：“知”能能力事件發(fā)現(xiàn)/監(jiān)測(cè)運(yùn)籌帷幄：：“控”能能力事件響應(yīng)與與控制/危機(jī)管理起死回生：：“生”能能力恢復(fù)/核心生存網(wǎng)絡(luò)安全保保障能力X-實(shí)現(xiàn)要素公欲善其事事，必先利利其器：技術(shù)產(chǎn)品&基礎(chǔ)設(shè)施巧婦難為無無米之炊：：基礎(chǔ)資源&方法規(guī)范（（漏洞信息息、惡意代代碼信息、、重要應(yīng)用用資源信息息以及流程程、制度和和預(yù)案））“人”是關(guān)關(guān)鍵專業(yè)隊(duì)伍&合作體系網(wǎng)絡(luò)安全保保障能力Z-威脅研究知己知彼，，百戰(zhàn)不殆殆：蠕蟲僵尸網(wǎng)絡(luò)間諜軟件PhishingDDoS……核心資源知識(shí)庫信息庫：國國家網(wǎng)絡(luò)安安全數(shù)據(jù)資資源平臺(tái)（（基礎(chǔ)網(wǎng)絡(luò)絡(luò)拓?fù)洹P定位、事件件庫、攻擊擊特征庫、、病毒庫、、應(yīng)用分布布信息、漏漏洞庫、攻攻擊方法庫庫）模擬計(jì)算平平臺(tái)Etc.技術(shù)挑戰(zhàn)：：大規(guī)模突突發(fā)事件的的

及時(shí)響響應(yīng)？攻方：漏洞/脆弱性發(fā)現(xiàn)現(xiàn)惡意代碼編編寫(測(cè)試,可能)釋放惡意代代碼守方：漏洞/脆弱性發(fā)現(xiàn)現(xiàn)信息分發(fā)補(bǔ)丁開發(fā)補(bǔ)丁分發(fā)以以及升級(jí)工工作風(fēng)險(xiǎn)評(píng)估攻擊行為監(jiān)監(jiān)測(cè)惡意代碼獲獲取和分析析擴(kuò)散控制補(bǔ)丁和工具具分發(fā)和升升級(jí)感染主機(jī)恢恢復(fù)全面升級(jí)、、損失評(píng)估估等我們的對(duì)手手有多快?漏洞發(fā)現(xiàn)：：隨時(shí)&4000個(gè)/年出現(xiàn)新的攻攻擊代碼：：漏洞公布布后的幾星期甚至至更短---0天10~30分鐘足夠一個(gè)新新的蠕蟲導(dǎo)導(dǎo)致大范圍圍的網(wǎng)絡(luò)癱癱瘓僵尸網(wǎng)絡(luò)帶帶來的新挑挑戰(zhàn)那么，我們有多快？技術(shù)挑戰(zhàn)：：宏觀分析析->海量數(shù)據(jù)數(shù)據(jù)的有效效性100萬事件信信息1萬事件信信息1百事件信信息理想化響應(yīng)應(yīng)工作模式式非技術(shù)挑戰(zhàn)戰(zhàn):現(xiàn)實(shí)世世界和虛擬擬世界的矛矛盾有邊界的網(wǎng)網(wǎng)絡(luò)建設(shè)與與管理，如如何面對(duì)無無邊界的網(wǎng)網(wǎng)絡(luò)攻擊攻擊者可以以輕易通過過多個(gè)不同同的網(wǎng)絡(luò)、、地區(qū)、或或國家發(fā)起起攻擊，使使得無論是是采取有效效措施對(duì)抗抗攻擊減少少損失，還還是追查攻攻擊來源打打擊犯罪，，都需要大大范圍的協(xié)協(xié)調(diào)問題：現(xiàn)有有秩序下的的效率保持持追蹤？？隔離？？各人自掃門門前雪？綜合挑戰(zhàn)：：動(dòng)態(tài)適應(yīng)應(yīng)能力網(wǎng)絡(luò)安全是是一個(gè)動(dòng)態(tài)態(tài)的過程如何實(shí)現(xiàn)各各個(gè)環(huán)節(jié)的的動(dòng)態(tài)調(diào)整整能力？綜合挑戰(zhàn)：：其他能力建設(shè)：：打造超人人？分散、分工工、和無配配合的防護(hù)護(hù)力量，如如何對(duì)抗有有組織有計(jì)計(jì)劃的攻擊擊行為？面對(duì)眾多的的應(yīng)用可能能面臨的眾眾多威脅，，如何要求求自己的安安全管理人人員能夠熟熟悉這一切切？攻擊定位十十分困難：：無論是虛虛擬世界的的定位還是是現(xiàn)實(shí)世界界的定位。。使得防范范和追查都都十分困難難技術(shù)以外的的問題怎么么辦：做好好自己的事事情，不足足以保證自自己的安全全，那么如如何確保““公共衛(wèi)衛(wèi)生”？……是否真正知知道我國的的網(wǎng)絡(luò)中正正在發(fā)生什什么？是否掌握國國家網(wǎng)絡(luò)空空間安全的的真實(shí)狀態(tài)態(tài)？是否掌握國國家可能面面臨什么樣樣的網(wǎng)絡(luò)危危機(jī)？國家信息化化發(fā)展的相相關(guān)決策缺缺乏依據(jù)信息化及其其安全保障障的計(jì)劃可可能陷入盲盲目缺乏準(zhǔn)備，，將來可能能導(dǎo)致災(zāi)難難性損失僅僅知道了了一些事件件，但是這這些事件帶帶來的危害害和損失還還不知道；；模擬、分分析、預(yù)測(cè)測(cè)、評(píng)估能能力還比較較弱雖然有一個(gè)個(gè)良好的起起點(diǎn)，但是是目前的水水平還沒有有達(dá)到基本本要求小結(jié)很多問題還還需要積極極探索各方面合作作的形成十十分重要國際交流的的重要性技術(shù)交流標(biāo)準(zhǔn)的話語語權(quán)國際影響力力二、什么是是應(yīng)急響應(yīng)應(yīng)目錄互聯(lián)網(wǎng)網(wǎng)絡(luò)絡(luò)安全面臨臨重大挑戰(zhàn)戰(zhàn)什么是應(yīng)急急響應(yīng)應(yīng)急響應(yīng)組組的組建應(yīng)急響應(yīng)服服務(wù)的過程程應(yīng)急響應(yīng)服服務(wù)的形式式和內(nèi)容應(yīng)急響應(yīng)準(zhǔn)準(zhǔn)備階段關(guān)關(guān)鍵措施推推薦應(yīng)急響應(yīng)服服務(wù)案例什么是應(yīng)急急響應(yīng)EmergencyResponse/IncidentResponse:安全人員在在遇到突發(fā)發(fā)事件后所所采取的措措施和行動(dòng)動(dòng)突發(fā)事件：：影響一個(gè)個(gè)系統(tǒng)正常常工作的情情況。這里里的系統(tǒng)包包括主機(jī)范范疇內(nèi)的問問題，也包包括網(wǎng)絡(luò)范范疇內(nèi)的問問題。這種種‘情況’’包括常見見的黑客入入侵、信息息竊取等，，也包括拒拒絕服務(wù)攻攻擊、網(wǎng)絡(luò)絡(luò)流量異常常等。事件響應(yīng)事件響應(yīng)：：對(duì)發(fā)生在在計(jì)算機(jī)系系統(tǒng)或網(wǎng)絡(luò)絡(luò)上的威脅脅安全的事事件進(jìn)行響響應(yīng)。事件響應(yīng)是是信息安全全生命周期期的必要組組成部分。。這個(gè)生命命周期包括括：對(duì)策、、檢測(cè)和響響應(yīng)。應(yīng)急響應(yīng)描描述當(dāng)安全事件件發(fā)生需要要盡快解決決，而一般般技術(shù)人員員又無法迅迅速處理的的時(shí)候，就就需要安全全服務(wù)商提提供一種發(fā)發(fā)現(xiàn)問題、、解決問題題的有效服服務(wù)手段來來解決問題題。這種服務(wù)手段段可以描述為為：客戶的主主機(jī)或網(wǎng)絡(luò)正正遭到攻擊或或發(fā)現(xiàn)入侵成成功的痕跡，，而又無法當(dāng)當(dāng)時(shí)解決和追追查來源時(shí)，，安全服務(wù)商商根據(jù)客戶的的要求以最快快的速度趕到到現(xiàn)場(chǎng)，協(xié)助助客戶解決問問題，查找后后門，保存證證據(jù)和追查來來源。應(yīng)急響應(yīng)的目目的應(yīng)急響應(yīng)服務(wù)務(wù)的目的是盡盡可能地減小小和控制住網(wǎng)網(wǎng)絡(luò)安全事件件的損失，提提供有效的響響應(yīng)和恢復(fù)指指導(dǎo)，并努力力防止安全事事件的發(fā)生。。網(wǎng)絡(luò)安全的發(fā)發(fā)展日新月異異，誰也無法法實(shí)現(xiàn)一勞永永逸的安全服服務(wù)。積極預(yù)防——風(fēng)險(xiǎn)評(píng)估及時(shí)發(fā)現(xiàn)——檢測(cè)通報(bào)積極預(yù)防——風(fēng)險(xiǎn)評(píng)估快速反應(yīng)——迅即救助積極預(yù)防——風(fēng)險(xiǎn)評(píng)估及時(shí)發(fā)現(xiàn)——檢測(cè)通報(bào)確?；謴?fù)——起死回生積極預(yù)防——風(fēng)險(xiǎn)評(píng)估及時(shí)發(fā)現(xiàn)——檢測(cè)通報(bào)快速反應(yīng)——及時(shí)救助業(yè)務(wù)應(yīng)急響應(yīng)目標(biāo)標(biāo)積極預(yù)防凡是預(yù)則立，，不預(yù)則廢事件預(yù)防是事事件應(yīng)急響應(yīng)應(yīng)能力的重要要前提組織現(xiàn)有的信信息安全保障障能力識(shí)別公司風(fēng)險(xiǎn)險(xiǎn)準(zhǔn)備主機(jī)、采采取網(wǎng)絡(luò)安全全措施制訂應(yīng)急響應(yīng)應(yīng)目標(biāo)的策略略和規(guī)程…及時(shí)發(fā)現(xiàn)：安安全保障的第第一要求根本性的問題題在于當(dāng)事件件發(fā)生的時(shí)候候，有關(guān)人員員能否及時(shí)發(fā)發(fā)現(xiàn)，以及能能否做出準(zhǔn)確確判斷事后：部分用用戶投訴事件件；事中：大規(guī)模模網(wǎng)絡(luò)攻擊事事件、部部分用戶投投訴事件事前：異常檢檢測(cè)的分析結(jié)結(jié)果、關(guān)關(guān)聯(lián)事件、、根根據(jù)據(jù)其他情報(bào)獲獲悉快速響應(yīng)不但對(duì)已知事事件快速響應(yīng)應(yīng)，對(duì)未知事事件也可及時(shí)時(shí)處理并采取取相應(yīng)措施確?；謴?fù)：安安全保障的第第一目標(biāo)應(yīng)急處理的兩兩個(gè)根本性目目標(biāo)：確?；只謴?fù)、追究責(zé)責(zé)任除非是“事后后”處理的事事件，否則應(yīng)應(yīng)急處理人員員首先要解決決的問題是如如何確保受影影響的系統(tǒng)恢恢復(fù)正常的功功能追究責(zé)任涉及及到法律問題題，一般用戶戶單位或第三三方支援的應(yīng)應(yīng)急處理人員員主要起到配配合分析的作作用，因?yàn)檎拐归_這樣的調(diào)調(diào)查通常需要要得到司法許許可。從應(yīng)急組織到到應(yīng)急體系：：網(wǎng)絡(luò)安全保保障的必要條條件現(xiàn)實(shí)表明，單單一的應(yīng)急組組織已經(jīng)不能能應(yīng)對(duì)當(dāng)今的的網(wǎng)絡(luò)安全威威脅，我國的的應(yīng)急體系正正是在實(shí)際工工作的經(jīng)驗(yàn)總總結(jié)中逐漸形形成的：平臺(tái)臺(tái)從點(diǎn)到環(huán)到到面；應(yīng)急體體系從點(diǎn)到樹樹到網(wǎng)“現(xiàn)實(shí)世界中中發(fā)生的任何何事情，在網(wǎng)網(wǎng)絡(luò)世界中都都可以找到與與之對(duì)應(yīng)的事事件”SARS事件反映出社社會(huì)防疫應(yīng)急急體系的重要要紅色代碼、尼尼姆達(dá)、SQL殺手、口令蠕蠕蟲等具有和和現(xiàn)實(shí)世界中中的疫病相同同的特點(diǎn)處理方式也具具有同樣的特特點(diǎn)：隔離---分析---治療不同之處：““病人”不自自知；隔離缺缺乏法律依據(jù)據(jù)或技術(shù)手段段；應(yīng)急缺乏乏成熟體系和和工作制度…..“莫里斯事件””又稱“蠕蟲蟲事件”。1988年11月，美國Cornell大學(xué)學(xué)生Morris編寫一個(gè)“圣圣誕樹”蠕蟲蟲程序，該程程序可以利用用因特網(wǎng)上計(jì)計(jì)算機(jī)的sendmail的漏洞、fingerD的緩沖區(qū)溢出出及REXE的漏洞進(jìn)入系系統(tǒng)并自我繁殖，鯨鯨吞因特網(wǎng)的的帶寬資源，，造成全球10%的聯(lián)網(wǎng)網(wǎng)計(jì)算機(jī)陷入入癱瘓。這起起計(jì)算機(jī)安全全事件極大地地震動(dòng)了美國國政府、軍方方和學(xué)術(shù)界全球第一個(gè)計(jì)計(jì)算機(jī)應(yīng)急處處理協(xié)調(diào)中心心八八年的“莫莫里斯事件””美國能源部成成立了自已的的CIAC美國其他部門門的情況在莫里斯事件件發(fā)生之后，，美國國防部部高級(jí)計(jì)劃研研究署（DARPA）出資在卡內(nèi)基基-梅隆大學(xué)學(xué)（CMU）的軟件工程研研究所（SEI）建立了計(jì)算機(jī)機(jī)應(yīng)急處理協(xié)協(xié)調(diào)中心。該該中心現(xiàn)在仍仍然由美國國國防部支持，，并且作為國國際上的骨干干組織積極開開展相關(guān)方面面的培訓(xùn)工作作。1989年，美國能源源部（DoE）成立了自已已的計(jì)算機(jī)事事件處理組織織，稱為CIAC（ComputerIncidentAdvisoryCapability)，專門保證能能源部計(jì)算機(jī)機(jī)系統(tǒng)的安全全。至此，各各有關(guān)部門紛紛紛開始成立立自己的計(jì)算算機(jī)安全事件件處理組織。。作為發(fā)起國，，美國在國防防部、能源部部、空軍、海海軍、眾議院院、國家宇航航局、國家標(biāo)標(biāo)準(zhǔn)與技術(shù)局局、部分重點(diǎn)點(diǎn)大學(xué)、IT界知名公司先先后成立了六六十余個(gè)計(jì)算算機(jī)安全事件件相應(yīng)組織。。重在響應(yīng)、、協(xié)調(diào)、研究究/分析與統(tǒng)計(jì)計(jì)計(jì)算機(jī)安全事事件。網(wǎng)絡(luò)蠕蟲事件件導(dǎo)致應(yīng)急處處理組織的誕誕生應(yīng)急處理的國國際化FIRST——計(jì)算機(jī)應(yīng)急組組織的國際舞舞臺(tái)FIRST的宗旨FIRST成員的情況1990年11月，在美國等等的發(fā)起下，，一些國家的的CERT組織參與成立立了“計(jì)算機(jī)機(jī)事件響應(yīng)與與安全工作組組論壇”，簡(jiǎn)簡(jiǎn)稱FIRST–ForumofIncidentResponseandSecurityTeam。FIRST的基本目的是是使各成員能能就安全漏洞洞、安全技術(shù)術(shù)、安全管理理等方面進(jìn)行行交流與合作作，以實(shí)現(xiàn)國際間的信息息共享、技術(shù)共享，最終達(dá)到聯(lián)合防范計(jì)算算機(jī)網(wǎng)絡(luò)上的的攻擊行為的目標(biāo)。截止到2001年底，加入FIRST的CERT組織共有110個(gè)，涉及到的的國家有24個(gè)，僅美國自自身就有56個(gè)成員，因此此說，F(xiàn)IRST組織是以美國國為主體所構(gòu)構(gòu)成。截止到2006年4月底，F(xiàn)IRST的正式成員達(dá)達(dá)到191個(gè)。CNCERT/CC于2002年8月成為FIRST的正式成員，，處理.CN的安全事件。。FIRST的工作規(guī)范FIRST組織有兩類成成員，一是正正式成員，二二是觀察員。。FIRST組織有一個(gè)由由十人構(gòu)成的的指導(dǎo)委員會(huì)會(huì)，負(fù)責(zé)對(duì)重重大問題做出出討論，包括括接受新的成成員。新成員員的加入必須須有推薦人，，并且需要得得到指導(dǎo)委員員會(huì)三分之二二的成員同意意。該委員會(huì)會(huì)每月進(jìn)行一一次電話會(huì)議議。FIRST的技術(shù)活動(dòng)除除了各成員之之間通過保密密通信進(jìn)行信信息交流外，，F(xiàn)IRST組織每季度開開一次內(nèi)部技技術(shù)交流會(huì)議議，每年開一一次開放型會(huì)會(huì)議。通常是是在美國與非非美國國家交交替進(jìn)行。這這是因?yàn)橐照疹櫟矫绹淼睦?。。我國的?yīng)急處處理體系信息產(chǎn)業(yè)部互聯(lián)網(wǎng)應(yīng)急處理協(xié)調(diào)辦公室國家計(jì)算機(jī)病毒應(yīng)急處理

中心（天津市公安局）國家計(jì)算機(jī)網(wǎng)絡(luò)入侵防范中心（中科院研究生院）骨干網(wǎng)的CERT商業(yè)的安全服務(wù)提供商IDC的CERT國外CERT互聯(lián)網(wǎng)安全服務(wù)試點(diǎn)單位國外政府部門（APEC經(jīng)濟(jì)體）國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（CNCERT/CC）信息產(chǎn)業(yè)部(MII)其他管理部門CNCERT/CC地方分中心從點(diǎn)狀到樹狀狀到網(wǎng)狀，提提供更快速的的

覆蓋全國國的應(yīng)急支撐撐體系CNCERT/CC發(fā)展歷程（1）2000年10月，信息產(chǎn)業(yè)部組建成立了“計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)應(yīng)急處理協(xié)調(diào)調(diào)中心”，目的主要是是與其他國家的的計(jì)算機(jī)應(yīng)急急響應(yīng)組織(CERT)進(jìn)行交流加入專業(yè)化的的國際組織“國際計(jì)算機(jī)事事件響應(yīng)與安安全工作組論論壇（簡(jiǎn)稱FIRST）協(xié)調(diào)全國的CERT組織共同處理理大規(guī)模網(wǎng)絡(luò)絡(luò)安全事件提高我國在計(jì)計(jì)算機(jī)事件響響應(yīng)方面的技技術(shù)水平和能能力等。CNCERT/CC發(fā)展歷程（2）2001年8月，，原原國國信信安安辦辦下下發(fā)發(fā)了了《關(guān)于于成成立立“國家家計(jì)計(jì)算算機(jī)機(jī)網(wǎng)網(wǎng)絡(luò)絡(luò)應(yīng)應(yīng)急急處處理理協(xié)協(xié)調(diào)調(diào)中中心心”的決決定定》（國國信信安安辦辦[2001]23號(hào)）），，明明確確組組建建“國家家計(jì)計(jì)算算機(jī)機(jī)網(wǎng)網(wǎng)絡(luò)絡(luò)應(yīng)應(yīng)急急處處理理協(xié)協(xié)調(diào)調(diào)中中心心”，作作為為全全國國計(jì)計(jì)算算機(jī)機(jī)網(wǎng)網(wǎng)絡(luò)絡(luò)應(yīng)應(yīng)急急處處理理體體系系中中的的牽牽頭頭單單位位。。根根據(jù)據(jù)國國際際慣慣例例，，該該協(xié)協(xié)調(diào)調(diào)中中心心英英文文名名稱稱為為“ChinaNationalComputerEmergencyResponseTeamCoordinationCenter”，簡(jiǎn)簡(jiǎn)稱稱CNCERT/CC。同時(shí)時(shí)明明確確了了CNCERT/CC的具具體體業(yè)業(yè)務(wù)務(wù)范范圍圍：：收集集、、核核實(shí)實(shí)、、匯匯總總、、發(fā)發(fā)布布有有關(guān)關(guān)網(wǎng)網(wǎng)絡(luò)絡(luò)安安全全的的權(quán)權(quán)威威性性信信息息；；為國國家家關(guān)關(guān)鍵鍵部部門門提提供供應(yīng)應(yīng)急急處處理理服服務(wù)務(wù)；；協(xié)調(diào)調(diào)和和指指導(dǎo)導(dǎo)國國內(nèi)內(nèi)其其它它應(yīng)應(yīng)急急處處理理單單位位的的工工作作；；與國國際際上上的的應(yīng)應(yīng)急急處處理理組組織織進(jìn)進(jìn)行行合合作作和和交交流流。。應(yīng)急急響響應(yīng)應(yīng)服服務(wù)務(wù)背背景景CERT/CC服務(wù)務(wù)的的內(nèi)內(nèi)容容安全全事事件件響響應(yīng)應(yīng)安全全事事件件分分析析和和軟軟件件安安全全缺缺陷陷研研究究缺陷陷知知識(shí)識(shí)庫庫開開發(fā)發(fā)信息息發(fā)發(fā)布布：：缺缺陷陷、、公公告告、、總總結(jié)結(jié)、、統(tǒng)統(tǒng)計(jì)計(jì)、、補(bǔ)補(bǔ)丁丁、、工工具具教育育與與培培訓(xùn)訓(xùn)：：CSIRT管理理、、CSIRT技術(shù)術(shù)培培訓(xùn)訓(xùn)、、系系統(tǒng)統(tǒng)和和網(wǎng)網(wǎng)絡(luò)絡(luò)管管理理員員安安全全培培訓(xùn)訓(xùn)指導(dǎo)導(dǎo)其其它它CSIRT（也也稱稱IRT、CERT）組組織織建建設(shè)設(shè)三、、應(yīng)應(yīng)急急響響應(yīng)應(yīng)組組的的組組建建目錄錄互聯(lián)聯(lián)網(wǎng)網(wǎng)網(wǎng)網(wǎng)絡(luò)絡(luò)安安全全面面臨臨重重大大挑挑戰(zhàn)戰(zhàn)什么么是是應(yīng)應(yīng)急急響響應(yīng)應(yīng)應(yīng)急急響響應(yīng)應(yīng)組組的的組組建建應(yīng)急急響響應(yīng)應(yīng)服服務(wù)務(wù)的的過過程程應(yīng)急急響響應(yīng)應(yīng)服服務(wù)務(wù)的的形形式式和和內(nèi)內(nèi)容容應(yīng)急急響響應(yīng)應(yīng)準(zhǔn)準(zhǔn)備備階階段段關(guān)關(guān)鍵鍵措措施施推推薦薦應(yīng)急急響響應(yīng)應(yīng)服服務(wù)務(wù)案案例例什么么是是應(yīng)應(yīng)急急響響應(yīng)應(yīng)組組（IRT）應(yīng)急急響響應(yīng)應(yīng)組組就就是是機(jī)機(jī)構(gòu)構(gòu)可可以以借借助助的的網(wǎng)網(wǎng)絡(luò)絡(luò)安安全全專專業(yè)業(yè)組組織織。。為什什么么需需要要成成立立應(yīng)應(yīng)急急響響應(yīng)應(yīng)組組容易易協(xié)協(xié)調(diào)調(diào)響響應(yīng)應(yīng)工工作作提高高專專業(yè)業(yè)知知識(shí)識(shí)提高高效效率率提高高先先期期主主動(dòng)動(dòng)防防御御能能力力更加加適適合合于于滿滿足足機(jī)機(jī)構(gòu)構(gòu)的的需需要要提高高聯(lián)聯(lián)絡(luò)絡(luò)功功能能提高高處處理理制制度度障障礙礙方方面面的的能能力力應(yīng)急急響響應(yīng)應(yīng)組組的的組組建建應(yīng)急小小組的的分類類和工工作范范圍形式多多樣、、規(guī)模模大小小不一一服務(wù)的的對(duì)象象和范范圍不不同我國的的國家家互聯(lián)聯(lián)網(wǎng)中中心（（CNCERT/CC）日本計(jì)計(jì)算機(jī)機(jī)應(yīng)急急響應(yīng)應(yīng)協(xié)調(diào)調(diào)中心心（JPCERT/CC）IBM安全管管理服服務(wù)（（IBM-MSS）工作范范圍按按其工工作方方式來來確定定應(yīng)急響響應(yīng)組組的分分類國際間間的協(xié)協(xié)調(diào)組組織國內(nèi)的的協(xié)調(diào)調(diào)組織織國內(nèi)的的協(xié)調(diào)調(diào)組織織愿意付付費(fèi)的的任何用用戶產(chǎn)品用用戶網(wǎng)絡(luò)接接入用用戶企業(yè)部部門、、用戶戶商業(yè)IRT網(wǎng)絡(luò)服服務(wù)提提供商商IRT廠商IRT企業(yè)/政府IRT如：綠綠盟科科技如：CCERT如：Cisco、IBM如：中中國銀銀行、、公安部部如CERT/CC,FIRST如CNCERT/CC《關(guān)于加加強(qiáng)信信息安安全保保障工工作的的意見見》（中辦辦發(fā)【2003】27號(hào)）第第五部部分重重視視信息息安全全應(yīng)急急處理理工作作。國國家和和社會(huì)會(huì)都有有充分分重視視信息息安全全應(yīng)急急處理理工作作。要要進(jìn)一一步完完善國國家信信息安安全應(yīng)應(yīng)急處處理協(xié)協(xié)調(diào)機(jī)機(jī)制，，…加強(qiáng)信信息安安全事事件的的應(yīng)急急處置置工作作。…要加強(qiáng)強(qiáng)信息息安全全應(yīng)急急支援援服務(wù)務(wù)隊(duì)伍伍建設(shè)設(shè)，鼓鼓勵(lì)社社會(huì)力力量參參與災(zāi)災(zāi)難備備份設(shè)設(shè)施建建設(shè)和和提供供技術(shù)術(shù)服務(wù)務(wù)，提提供信信息安安全應(yīng)應(yīng)急響響應(yīng)能能力。。國內(nèi)的的應(yīng)急急響應(yīng)應(yīng)政策策國內(nèi)的的應(yīng)急急響應(yīng)應(yīng)政策策為了落落實(shí)27號(hào)文精精神國國家網(wǎng)網(wǎng)絡(luò)與與信息息安全全協(xié)調(diào)調(diào)小組組辦公公室于于2003年10月發(fā)布布了《網(wǎng)絡(luò)與與信息息安全全信息息通報(bào)報(bào)暫行行辦法法》、2004年9月發(fā)布布了《關(guān)于做做好重重要信信息系系統(tǒng)災(zāi)災(zāi)難備備份工工作的的通知知》，2004年8月發(fā)布布了《關(guān)于建建立健健全基基礎(chǔ)信信息網(wǎng)網(wǎng)絡(luò)和和重要要信息息系統(tǒng)統(tǒng)應(yīng)急急協(xié)調(diào)調(diào)機(jī)制制的意意見》等文件件。這這些文文件對(duì)對(duì)推動(dòng)動(dòng)災(zāi)難難備份份和應(yīng)應(yīng)急響響應(yīng)的的發(fā)展展起到到了重重要作作用。。國際應(yīng)應(yīng)急響響應(yīng)組組網(wǎng)址址四、應(yīng)應(yīng)急響響應(yīng)服服務(wù)的的過程程目錄互聯(lián)網(wǎng)網(wǎng)網(wǎng)絡(luò)絡(luò)安全全面臨臨重大大挑戰(zhàn)戰(zhàn)什么是是應(yīng)急急響應(yīng)應(yīng)應(yīng)急響響應(yīng)組組的組組建應(yīng)急響響應(yīng)服服務(wù)的的過程程應(yīng)急響響應(yīng)服服務(wù)的的形式式和內(nèi)內(nèi)容應(yīng)急響響應(yīng)準(zhǔn)準(zhǔn)備階階段關(guān)關(guān)鍵措措施推推薦應(yīng)急響響應(yīng)服服務(wù)案案例應(yīng)急響響應(yīng)的的一般般階段段第一階階段：：準(zhǔn)備備——讓我們們嚴(yán)陣陣以待待第二階階段：：確認(rèn)認(rèn)——對(duì)情況況綜合合判斷斷第三階階段：：封鎖鎖——制止事事態(tài)的的擴(kuò)大大第四階階段：：根除除——徹底的的補(bǔ)救救措施施第五階階段：：恢復(fù)復(fù)——備份，，頂上上去！！第六階階段：：跟蹤蹤——還會(huì)有有第二二次嗎嗎第一階階段——準(zhǔn)備預(yù)防為為主微觀（（一般般觀點(diǎn)點(diǎn)）：：幫助服服務(wù)對(duì)對(duì)象建建立安安全政政策幫助服服務(wù)對(duì)對(duì)象按按照安安全政政策配配置安安全設(shè)設(shè)備和和軟件件掃描，，風(fēng)險(xiǎn)險(xiǎn)分析析，打打補(bǔ)丁丁如有條條件且且得到到許可可，建建立監(jiān)監(jiān)控設(shè)設(shè)施宏觀建立協(xié)協(xié)作體體系和和應(yīng)急急制度度建立信信息溝溝通渠渠道和和通報(bào)報(bào)機(jī)制制如有條條件，，建立立數(shù)據(jù)據(jù)匯總總分析析的體體系和和能力力有關(guān)法法律法法規(guī)的的制定定準(zhǔn)備階階段制定應(yīng)應(yīng)急響響應(yīng)計(jì)計(jì)劃資源準(zhǔn)準(zhǔn)備應(yīng)急經(jīng)經(jīng)費(fèi)籌籌集人力資資源軟硬件件設(shè)備備現(xiàn)場(chǎng)備備份業(yè)務(wù)連連續(xù)性性保障障系統(tǒng)容容災(zāi)搭建臨臨時(shí)業(yè)業(yè)務(wù)系系統(tǒng)人力資資源準(zhǔn)準(zhǔn)備指揮調(diào)調(diào)度人人員協(xié)作人人員技術(shù)人人員專家設(shè)備、、系統(tǒng)統(tǒng)和服服務(wù)提提供商商軟硬件件設(shè)備備準(zhǔn)備備硬件設(shè)備準(zhǔn)備備數(shù)據(jù)保護(hù)設(shè)備備磁盤、磁帶、、光盤SAN冗余設(shè)備網(wǎng)絡(luò)鏈路、網(wǎng)網(wǎng)絡(luò)設(shè)備關(guān)鍵計(jì)算機(jī)設(shè)設(shè)備Anyelse?軟硬件設(shè)備準(zhǔn)準(zhǔn)備軟件工具準(zhǔn)備備備份軟件日志處理軟件件系統(tǒng)軟件網(wǎng)絡(luò)軟件應(yīng)急啟動(dòng)盤Anyelse?病毒/惡意軟件查殺殺軟件建立事件報(bào)告告的機(jī)制和要要求建立事件報(bào)告告流程和規(guī)范范IntranetPhoneEmailWho?What?When?Where?How?ReportingMechanisms第二階段——確認(rèn)（檢測(cè)和和分析）確定事件性質(zhì)質(zhì)和處理人微觀（負(fù)責(zé)具具體網(wǎng)絡(luò)的CERT）：確定事件的責(zé)責(zé)任人指定一個(gè)責(zé)任任人全權(quán)處理理此事件給予必要的資資源確定事件的性性質(zhì)誤會(huì)？玩笑？？還是惡意的的攻擊/入侵？影響的嚴(yán)重程程度預(yù)計(jì)采用什么么樣的專用資資源來修復(fù)？？宏觀（除了微微觀的工作外外）：通過匯總，確確定是否發(fā)生生了全網(wǎng)的大大規(guī)模事件確定應(yīng)急等級(jí)級(jí)，以決定啟啟動(dòng)哪一級(jí)應(yīng)應(yīng)急方案快速分析———事故的標(biāo)志志事故的標(biāo)志分分為兩類：征兆和預(yù)兆Web服務(wù)器崩潰用戶抱怨主機(jī)機(jī)連接網(wǎng)絡(luò)速速度過慢子郵件管理員員可以看到大大批的反彈電電子郵件與可可疑內(nèi)容網(wǎng)絡(luò)管理員通通告了一個(gè)不不尋常的偏離離典型的網(wǎng)絡(luò)絡(luò)流量流向來源網(wǎng)絡(luò)和主機(jī)IDS、防病毒軟件件、文件完完整性檢查軟軟件系統(tǒng)、網(wǎng)絡(luò)、、蜜罐日志公開可利用的的信息第三方監(jiān)視服服務(wù)確認(rèn)事故（1）確認(rèn)網(wǎng)絡(luò)和系系統(tǒng)輪廓：分析事故的最最好技術(shù)方法法之一理解正常的行行為基于處理事故故的良好準(zhǔn)備備使用集中的日日志管理并創(chuàng)創(chuàng)建日志保留留策略：執(zhí)行事件關(guān)聯(lián)聯(lián)：保持所有主機(jī)機(jī)時(shí)鐘同步：：確認(rèn)事故（2）維護(hù)和使用信信息知識(shí)庫分析事故時(shí)的的快速參考使用互聯(lián)網(wǎng)搜搜索引擎進(jìn)行行研究運(yùn)行包嗅探器器以搜集更多多的數(shù)據(jù)過濾數(shù)據(jù)經(jīng)驗(yàn)是不可替替代的建立診斷矩陣陣尋求幫助矩陣實(shí)例征兆拒絕服務(wù)惡意代碼非授權(quán)訪問不正確使用文件，關(guān)鍵，訪問嘗試低中高低文件，不適當(dāng)?shù)膬?nèi)容低中低高主機(jī)崩潰中中中低端口掃描，輸入的，不正常的高低中低端口掃描，輸出的，不正常的低高中低利用，帶寬，高高中低中利用，電子郵件，高中高中中事故優(yōu)先級(jí)———服務(wù)水平平協(xié)議服務(wù)水平協(xié)議議（SLA）定義服務(wù)目標(biāo)標(biāo)及雙方的預(yù)預(yù)期及責(zé)任服務(wù)水平協(xié)議議指標(biāo)類別質(zhì)量指標(biāo)作用對(duì)象業(yè)務(wù)無關(guān)可用性業(yè)務(wù)接入點(diǎn)、應(yīng)用、設(shè)備、傳輸設(shè)備平均業(yè)務(wù)恢復(fù)時(shí)間業(yè)務(wù)接入點(diǎn)、應(yīng)用、設(shè)備、傳輸設(shè)備平均故障間隔時(shí)間（MTBF）業(yè)務(wù)接入點(diǎn)、應(yīng)用、設(shè)備、傳輸設(shè)備平均修復(fù)時(shí)間（MTTR）業(yè)務(wù)接入點(diǎn)、應(yīng)用、設(shè)備、傳輸設(shè)備應(yīng)急響應(yīng)服務(wù)務(wù)的指標(biāo)遠(yuǎn)程應(yīng)急響應(yīng)應(yīng)服務(wù)在確認(rèn)客戶的的應(yīng)急響應(yīng)請(qǐng)請(qǐng)求后?小時(shí)內(nèi)，交與與相關(guān)應(yīng)急響響應(yīng)人員進(jìn)行行處理。無論論是否解決，，進(jìn)行處理的的當(dāng)天必須返返回響應(yīng)情況況的簡(jiǎn)報(bào)，直直到此次響應(yīng)應(yīng)服務(wù)結(jié)束。。本地應(yīng)急響應(yīng)應(yīng)服務(wù)對(duì)本地范圍內(nèi)內(nèi)的客戶，？小時(shí)內(nèi)到達(dá)現(xiàn)現(xiàn)場(chǎng)；對(duì)異地地的客戶，？小時(shí)加路途時(shí)時(shí)間內(nèi)到達(dá)現(xiàn)現(xiàn)場(chǎng)。應(yīng)急響應(yīng)SLA矩陣事故當(dāng)前或?qū)砜赡苡绊懙馁Y源的重要性事故當(dāng)前或?qū)砜赡艿挠绊懜撸ɡ纾夯ヂ?lián)網(wǎng)連接，公共Web服務(wù)器，防火墻，客戶數(shù)據(jù)）中（例如：系統(tǒng)管理員工作站，文件和打印服務(wù)器，XYZ應(yīng)用數(shù)據(jù)）低（例如：用戶工作站）Root級(jí)訪問15分鐘30分鐘1小時(shí)非授權(quán)的數(shù)據(jù)修改15分鐘30分鐘2小時(shí)對(duì)敏感信息的非授權(quán)訪問15分鐘1小時(shí)1小時(shí)非授權(quán)的用戶級(jí)訪問30分鐘2小時(shí)4小時(shí)服務(wù)不可用30分鐘2小時(shí)4小時(shí)騷擾[1]30分鐘本地IT職員本地IT職員[]這個(gè)影響類別別指那些除了了讓用戶厭煩煩沒有其它負(fù)負(fù)面影響的事事故。例如，某個(gè)惡惡意代碼的影影響只是每小小時(shí)在用戶的的顯示屏上顯顯示一條信息息。第三階段——遏制即時(shí)采取的行行動(dòng)微觀：防止進(jìn)一步的的損失，確定定后果初步分析，重重點(diǎn)是確定適適當(dāng)?shù)姆怄i方方法咨詢安全政策策確定進(jìn)一步操操作的風(fēng)險(xiǎn)損失最小化可列出若干選選項(xiàng)，講明各各自的風(fēng)險(xiǎn)，，由服務(wù)對(duì)象象選擇宏觀：確保封鎖方法法對(duì)各網(wǎng)業(yè)務(wù)務(wù)影響最小通過協(xié)調(diào)爭(zhēng)取取各網(wǎng)一致行行動(dòng)，實(shí)施隔隔離匯總數(shù)據(jù)，估估算損失和隔隔離效果建立遏制策略略建議組織機(jī)構(gòu)構(gòu)為幾類主要要的事故建立立單獨(dú)的遏制制策略，其標(biāo)標(biāo)準(zhǔn)包括：潛在的破壞和和資源的竊取取證據(jù)保留的需需要服務(wù)可用性（（例如：網(wǎng)絡(luò)絡(luò)連接，提供供給外部當(dāng)事事方的服務(wù)））實(shí)施戰(zhàn)略需要要的時(shí)間和資資源戰(zhàn)略的有效性性（例如：部部分遏制事故故，完全遏制制事故）解決方案的期期限（例如：：緊急事故工工作區(qū)需在4小時(shí)內(nèi)清除，，臨時(shí)工作區(qū)區(qū)需在兩周內(nèi)內(nèi)清除，永久久的解決方案案）。例：基于DDOS攻擊的的遏制策略1.基于攻擊特征征實(shí)施過濾。2.糾正正在被攻攻擊的漏洞或或弱點(diǎn)3.讓ISP實(shí)施過濾4.重定位目標(biāo)5.攻擊攻擊者6.設(shè)定證據(jù)保留留時(shí)間第四階段——根除長(zhǎng)期的補(bǔ)救措措施微觀：詳細(xì)分析，確確定原因，定定義征兆分析漏洞加強(qiáng)防范消除原因修改安全策略略宏觀：加強(qiáng)宣傳，公公布危害性和和解決辦法，，呼吁用戶解解決終端的問問題；加強(qiáng)檢測(cè)工作作，發(fā)現(xiàn)和清清理行業(yè)與重重點(diǎn)部門的問問題；第五階段——恢復(fù)微觀：被攻擊的系統(tǒng)統(tǒng)由備份來恢恢復(fù)作一個(gè)新的備備份把所有安全上上的變更作備備份服務(wù)重新上線線持續(xù)監(jiān)控宏觀：持續(xù)匯總分析析，了解各網(wǎng)網(wǎng)的運(yùn)行情況況根據(jù)各網(wǎng)的運(yùn)運(yùn)行情況判斷斷隔離措施的的有效性通過匯總分析析的結(jié)果判斷斷仍然受影響響的終端的規(guī)規(guī)模發(fā)現(xiàn)重要用戶戶及時(shí)通報(bào)解解決適當(dāng)?shù)臅r(shí)候解解除封鎖措施施第六階段——跟蹤關(guān)注系統(tǒng)恢復(fù)復(fù)以后的安全全狀況，特別別是曾經(jīng)出問問題的地方建立跟蹤文檔檔，規(guī)范記錄錄跟蹤結(jié)果對(duì)響應(yīng)效果給給出評(píng)估對(duì)進(jìn)入司法程程序的事件，，進(jìn)行進(jìn)一步步的調(diào)查，打打擊違法犯罪罪活動(dòng)事件歸檔與統(tǒng)統(tǒng)計(jì)處理人時(shí)間和時(shí)段地點(diǎn)工作量事件的類型對(duì)事件的處置置情況代價(jià)細(xì)節(jié)五、應(yīng)急響應(yīng)應(yīng)服務(wù)的形式式和內(nèi)容目錄互聯(lián)網(wǎng)網(wǎng)絡(luò)安安全面臨重大大挑戰(zhàn)什么是應(yīng)急響響應(yīng)應(yīng)急響應(yīng)組的的組建應(yīng)急響應(yīng)服務(wù)務(wù)的過程應(yīng)急響應(yīng)服務(wù)務(wù)的形式和內(nèi)內(nèi)容應(yīng)急響應(yīng)準(zhǔn)備備階段關(guān)鍵措措施推薦應(yīng)急響應(yīng)服務(wù)務(wù)案例應(yīng)急響應(yīng)服務(wù)務(wù)的形式遠(yuǎn)程應(yīng)急響應(yīng)應(yīng)服務(wù)本地應(yīng)急響應(yīng)應(yīng)服務(wù)遠(yuǎn)程應(yīng)急響應(yīng)應(yīng)服務(wù)客戶通過電話話、Email、傳真等方式式請(qǐng)求安全事事件響應(yīng)，應(yīng)應(yīng)急響應(yīng)組通通過相同的方方式為客戶解解決問題。經(jīng)與客戶網(wǎng)絡(luò)絡(luò)相關(guān)人員確確認(rèn)后，客戶戶方提供主機(jī)機(jī)或設(shè)備的臨臨時(shí)支持賬號(hào)號(hào)，由應(yīng)急響響應(yīng)組遠(yuǎn)程登登陸主機(jī)進(jìn)行行檢測(cè)和服務(wù)務(wù)，問題解決決后出具詳細(xì)細(xì)的應(yīng)急響應(yīng)應(yīng)服務(wù)報(bào)告。。遠(yuǎn)程系統(tǒng)無法法登陸，或無無法通過遠(yuǎn)程程訪問的方式式替客戶解決決問題，客戶戶確認(rèn)后，轉(zhuǎn)轉(zhuǎn)到本地應(yīng)急急相應(yīng)流程，，同時(shí)此次遠(yuǎn)遠(yuǎn)程響應(yīng)無效效，歸于本地地應(yīng)急響應(yīng)類類型。本地應(yīng)急響應(yīng)應(yīng)服務(wù)應(yīng)急響應(yīng)組在在第一時(shí)間趕趕往客戶網(wǎng)絡(luò)絡(luò)系統(tǒng)安全事事件的事發(fā)地地點(diǎn)，在現(xiàn)場(chǎng)場(chǎng)為客戶查找找事發(fā)原因并并解決相應(yīng)問問題，最后出出具詳細(xì)的應(yīng)應(yīng)急響應(yīng)服務(wù)務(wù)報(bào)告。應(yīng)急響應(yīng)服務(wù)務(wù)的內(nèi)容病毒事件響應(yīng)應(yīng)系統(tǒng)入侵事件件響應(yīng)網(wǎng)絡(luò)故障事件件響應(yīng)拒絕服務(wù)攻擊擊事件響應(yīng)響應(yīng)式服務(wù)預(yù)防式服務(wù)安全質(zhì)量管理服務(wù)警報(bào)和警告事件處理事件分析現(xiàn)場(chǎng)事件響應(yīng)事件響應(yīng)支持事件響應(yīng)協(xié)調(diào)安全漏洞處理安全漏洞分析安全漏洞響應(yīng)安全漏洞響應(yīng)協(xié)調(diào)Artifact處理Artifact分析Artifact響應(yīng)Artifact響應(yīng)協(xié)調(diào)公告技術(shù)監(jiān)測(cè)與安全審計(jì)評(píng)估安全工具、應(yīng)用程序和基礎(chǔ)設(shè)施的配置和維護(hù)安全工具的開發(fā)入侵檢測(cè)服務(wù)安全有關(guān)的信息的傳播風(fēng)險(xiǎn)分析服務(wù)持續(xù)性和災(zāi)難恢復(fù)規(guī)劃安全性咨詢建立安全意識(shí)教育/培訓(xùn)產(chǎn)品評(píng)估或認(rèn)證應(yīng)急響應(yīng)服務(wù)務(wù)的內(nèi)容應(yīng)急響應(yīng)服務(wù)務(wù)的特點(diǎn)技術(shù)復(fù)雜性與與專業(yè)性各種硬件平臺(tái)臺(tái)、操作系統(tǒng)統(tǒng)、應(yīng)用軟件件知識(shí)經(jīng)驗(yàn)的依依賴性由IRT中的人提提供服務(wù)務(wù)，而不不是一個(gè)個(gè)硬件或或軟件產(chǎn)產(chǎn)品突發(fā)性強(qiáng)強(qiáng)需要廣泛泛的協(xié)調(diào)調(diào)與合作作六、應(yīng)急急響應(yīng)準(zhǔn)準(zhǔn)備階段段關(guān)鍵措措施推薦薦目錄互聯(lián)網(wǎng)網(wǎng)網(wǎng)絡(luò)安全全面臨重重大挑戰(zhàn)戰(zhàn)什么是應(yīng)應(yīng)急響應(yīng)應(yīng)應(yīng)急響應(yīng)應(yīng)組的組組建應(yīng)急響應(yīng)應(yīng)服務(wù)的的過程應(yīng)急響應(yīng)應(yīng)服務(wù)的的形式和和內(nèi)容應(yīng)急響應(yīng)應(yīng)準(zhǔn)備階階段關(guān)鍵鍵措施推推薦應(yīng)急響應(yīng)應(yīng)服務(wù)案案例應(yīng)急響應(yīng)應(yīng)處理實(shí)實(shí)踐——所處理的的事故類類型拒絕服務(wù)務(wù)事故拒絕服務(wù)務(wù)（DoS）：通過耗盡盡資源來來阻止或或傷害網(wǎng)網(wǎng)絡(luò)、系系統(tǒng)或應(yīng)應(yīng)用的攻攻擊。分布拒絕絕服務(wù)（（DDoS）：一種使用用大量主主機(jī)執(zhí)行行攻擊的的DoS技術(shù)。惡意代碼碼事故惡意代碼碼：感染主機(jī)機(jī)的病毒毒、蠕蟲蟲、特洛洛伊木馬馬或其它它代碼實(shí)實(shí)體。非授權(quán)訪訪問事故故非授權(quán)訪訪問：人員沒有有沒有得得到許可可，獲得得對(duì)網(wǎng)絡(luò)絡(luò)、應(yīng)用用、數(shù)據(jù)據(jù)或其它它資源的的邏輯或或物理訪訪問。不正確使使用事故故不正確使使用：人員違反反可接受受的信息息系統(tǒng)使使用策略略。多組件事事故多組件事事故：?jiǎn)螁蝹€(gè)事故故包含兩兩個(gè)或多多個(gè)事故故。準(zhǔn)備階段段—拒絕服務(wù)務(wù)事故主要工作作推薦主機(jī)上的的設(shè)置配置防火火墻規(guī)則則集以預(yù)預(yù)防反射射器攻擊擊配置邊界界路由器器以預(yù)防防放大器器攻擊充足的網(wǎng)網(wǎng)絡(luò)帶寬寬保證把網(wǎng)站做做成靜態(tài)態(tài)頁面確定組織織機(jī)構(gòu)的的互聯(lián)網(wǎng)網(wǎng)服務(wù)提提供商（（ISP）和第二二層提供供商能幫幫助處理理網(wǎng)絡(luò)DoS攻擊。配置安全全軟件以以檢測(cè)DoS攻擊配置網(wǎng)絡(luò)絡(luò)邊界以以拒絕所所有沒有有明確允允許的出出局流量量準(zhǔn)備階段段—惡意代碼碼事故主要工作作推薦讓用戶意意識(shí)到惡惡意代碼碼問題。。閱讀防病病毒公告告。為關(guān)鍵主主機(jī)部署署主機(jī)入入侵檢測(cè)測(cè)系統(tǒng)，，包括文文件完整整性檢查查器。使用防病病毒軟件件，并且且保持更更新為最最新的病病毒特征征碼。。配置軟件件以阻止止可疑的的文件。。減少開放放的Windows共享。準(zhǔn)備階段段—非授權(quán)訪訪問事件件主要工作作推薦配置入侵侵檢測(cè)軟軟件以對(duì)對(duì)獲得非非授權(quán)訪訪問的企企圖進(jìn)行行告警。。配置所有有主機(jī)使使用集中中日志。。建立流程程，以使使所有用用戶修改改其口令令。配置網(wǎng)絡(luò)絡(luò)邊界以以拒絕所所有沒有有明確允允許的入入局流量量。安全保護(hù)護(hù)所有的的遠(yuǎn)程訪訪問方式式，包括括調(diào)制解解調(diào)器和和虛擬專專用網(wǎng)（（VPN）。將所有公公共訪問問的服務(wù)務(wù)放在安安全保護(hù)護(hù)的非軍軍事區(qū)（（DMZ）網(wǎng)段。。在主機(jī)上上禁止所所有不需需要的服服務(wù)并隔隔離關(guān)鍵鍵的服務(wù)務(wù)。在個(gè)人主主機(jī)上使使用主機(jī)機(jī)防火墻墻軟件以以限制主主機(jī)對(duì)攻攻擊的暴暴露。創(chuàng)建和實(shí)實(shí)施口令令策略。。準(zhǔn)備階段段—不當(dāng)操作作事故主要工作作推薦同組織機(jī)機(jī)構(gòu)的人人力資源源和法務(wù)務(wù)部門一一起討論論不當(dāng)操操作事故故的處理理。同組織機(jī)機(jī)構(gòu)的法法務(wù)部門門討論責(zé)責(zé)任義務(wù)務(wù)問題。。配置網(wǎng)絡(luò)絡(luò)入侵檢檢測(cè)系統(tǒng)統(tǒng)以檢測(cè)測(cè)某些類類型的不不正確使使用。日志記錄錄用戶活活動(dòng)的基基本信息息。配置所有有電子郵郵件服務(wù)務(wù)器以使使其不再再用于非非授權(quán)的的郵件轉(zhuǎn)轉(zhuǎn)發(fā)。在所有電電子郵件件服務(wù)器器上實(shí)施施垃圾郵郵件過濾濾軟件。。實(shí)施URL過濾軟件件。準(zhǔn)備階段段—多組件事事故多組件事事故使用集中中的日志志和事件件關(guān)聯(lián)軟軟件。七、應(yīng)急急響應(yīng)服服務(wù)案例例目錄互聯(lián)網(wǎng)網(wǎng)網(wǎng)絡(luò)安全全面臨重重大挑戰(zhàn)戰(zhàn)什么是應(yīng)應(yīng)急響應(yīng)應(yīng)應(yīng)急響應(yīng)應(yīng)組的組組建應(yīng)急響應(yīng)應(yīng)服務(wù)的的過程應(yīng)急響應(yīng)應(yīng)服務(wù)的的形式和和內(nèi)容應(yīng)急響應(yīng)應(yīng)準(zhǔn)備階階段關(guān)鍵鍵措施推推薦應(yīng)急響應(yīng)應(yīng)服務(wù)案案例應(yīng)急響應(yīng)應(yīng)服務(wù)案案例僵尸網(wǎng)絡(luò)絡(luò)應(yīng)急響響應(yīng)國家XX局的主機(jī)機(jī)入侵應(yīng)應(yīng)急響應(yīng)應(yīng)XX證券公司司“紅色色代碼””病毒事事件應(yīng)急急響應(yīng)僵尸網(wǎng)絡(luò)絡(luò)應(yīng)急響響應(yīng)根據(jù)國家家計(jì)算機(jī)機(jī)網(wǎng)絡(luò)應(yīng)應(yīng)急技術(shù)術(shù)處理協(xié)協(xié)調(diào)中心心（CNCERT/CC）2008年上半年年網(wǎng)絡(luò)安安全工作作報(bào)告，，僵尸網(wǎng)絡(luò)絡(luò)發(fā)展迅迅速，逐漸成成為攻擊擊行為的的基本渠渠道，成成為網(wǎng)絡(luò)絡(luò)安全的的最大隱隱患之一一。相關(guān)事件件：2000年YAHOO、Ebay、CNN、Amazon等網(wǎng)站受受到不同同程度的的分布式式拒絕服服務(wù)攻擊擊2001年中國主主機(jī)提供供商虎翼翼網(wǎng)遭受受分布式式拒絕服服務(wù)（DDOS）攻擊，，造成無無法估計(jì)計(jì)的損失失2002年10月——全球13個(gè)負(fù)責(zé)管管理因特特網(wǎng)尋址址系統(tǒng)的的根服務(wù)務(wù)商遭到到“分布布式拒絕絕服務(wù)（（DDOS）”攻擊擊2003年1月新網(wǎng)信信海科技技一臺(tái)主主域名服服務(wù)商（（DNS服務(wù)器））遭到分分布式拒拒絕服務(wù)務(wù)（DDOS）攻擊，，造成數(shù)數(shù)以千計(jì)計(jì)的網(wǎng)站站無法登登陸2005年1月10日，轟動(dòng)動(dòng)全國的的唐山““黑客””落網(wǎng)。。其造成成北京一一家音樂樂網(wǎng)站遭遭到一個(gè)個(gè)超過6萬臺(tái)電腦腦的“僵僵尸網(wǎng)絡(luò)絡(luò)”的““拒絕服服務(wù)（DOS）”攻擊擊。僵尸網(wǎng)絡(luò)絡(luò)應(yīng)急響響應(yīng)事件描述述自2004年10月6日某音樂樂下載網(wǎng)網(wǎng)站受到到持續(xù)大大流量拒拒絕服務(wù)務(wù)攻擊，，10月21日攻擊擊峰值值流量量達(dá)到到1000Mb/s,直接導(dǎo)導(dǎo)致該該網(wǎng)站站用戶戶完全全無法法登錄錄。事件確確認(rèn)該網(wǎng)站站在為為期一一個(gè)月月的時(shí)時(shí)間內(nèi)內(nèi)，每每天處處于間間歇性性攻擊擊中，，受到到攻擊擊的所所有服服務(wù)器器均為為Windows服務(wù)器器，受受到影影響最最大的的服務(wù)務(wù)器為為Web服務(wù)器器，初初步判判斷，，這是是一次次典型型的DDoS攻擊。。僵尸網(wǎng)網(wǎng)絡(luò)應(yīng)應(yīng)急響響應(yīng)遏制、、根除除和恢恢復(fù)該僵尸尸網(wǎng)絡(luò)絡(luò)通過過動(dòng)態(tài)態(tài)域名名解析析，受受數(shù)個(gè)個(gè)IRC服務(wù)器器控制制，定定位IRC服務(wù)器器切斷控控制渠渠道，，安裝裝查殺殺工具具植入偽偽Bot加入僵僵尸網(wǎng)網(wǎng)絡(luò)，，過濾濾惡意意攻擊擊指令令，記記錄攻攻擊行行為僵尸網(wǎng)網(wǎng)絡(luò)的的工作作原理理目前絕絕大多多數(shù)的的僵尸尸網(wǎng)絡(luò)絡(luò)是基基于IRC協(xié)議的的。IRC（RFC1459）是應(yīng)應(yīng)用層層協(xié)議議，它它的基基本功功能是是使人人們利利用一一個(gè)IRC頻道相相互之之間實(shí)實(shí)時(shí)對(duì)對(duì)話，，極大大地方方便了了人們們之間間的信信息交交流。。IRC協(xié)議采采用客客戶端端/服務(wù)器器模式式，客客戶端端連接接到IRC服務(wù)器器，多多個(gè)IRC服務(wù)器器組成成服務(wù)務(wù)器網(wǎng)網(wǎng)絡(luò)，，從一一個(gè)用用戶到到另一一個(gè)用用戶的的信息息可以以通過過服務(wù)務(wù)器網(wǎng)網(wǎng)絡(luò)傳傳遞，，即使使這些些用戶戶連接接到不不同的的服務(wù)務(wù)器。。IRC服務(wù)器器默認(rèn)認(rèn)的端端口是是TCP6667，通常常也可可以在在6000~7000端口范范圍內(nèi)內(nèi)選擇擇，許許多IRCBot為了逃逃避常常規(guī)的的檢查查，選選擇443、8000、500等自定定義端端口。。IRCBotIRCBot的特點(diǎn)點(diǎn)只需支支持部部分IRC命令將收到到的消消息作作為命命令解解釋執(zhí)執(zhí)行需要配配置的的信息息遠(yuǎn)程IRCServer的地址址、端端口號(hào)號(hào)（默默認(rèn)TCP6667）頻道名名認(rèn)證碼碼Bot’sQuality高帶寬寬資源源高可用用性－Alwayson低用戶戶警覺覺和監(jiān)監(jiān)視能能力－－未打打補(bǔ)丁丁、無無防火火墻等等防護(hù)護(hù)機(jī)制制位置－－遠(yuǎn)離離攻擊擊者本本土，，法律律不健健全及及執(zhí)行行能力力弱IRCBotnet網(wǎng)網(wǎng)絡(luò)結(jié)結(jié)構(gòu)IRCBotnet的的全過過程1.Bot感染2.連接IRCServer3.動(dòng)態(tài)域域名映映射4.加入私私密頻頻道5.Bot監(jiān)聽頻頻道，，等待待指令令6.攻擊者者進(jìn)入入頻道道并發(fā)發(fā)出控控制指指令7.所有Bot根據(jù)指指令對(duì)對(duì)目標(biāo)標(biāo)發(fā)起起攻擊擊攻擊預(yù)預(yù)兆兆和征征兆惡意活動(dòng)可能的征兆針對(duì)特定主機(jī)的網(wǎng)絡(luò)DoS系統(tǒng)不可用的用戶報(bào)告無法解釋的連接丟失網(wǎng)絡(luò)入侵檢測(cè)警報(bào)

主機(jī)入侵檢測(cè)警報(bào)（直到主機(jī)過載）增加的網(wǎng)絡(luò)帶寬使用大量至單個(gè)主機(jī)的連接非對(duì)稱的網(wǎng)絡(luò)流量模式（大量流量進(jìn)入主機(jī)，幾乎沒有流量從主機(jī)流出）防火墻和路由器日志記錄項(xiàng)

有不正常源地址的包針對(duì)網(wǎng)絡(luò)的網(wǎng)絡(luò)DoS系統(tǒng)和網(wǎng)絡(luò)不可用的用戶報(bào)告無法解釋的連接丟失網(wǎng)絡(luò)入侵檢測(cè)警報(bào)

增加的網(wǎng)絡(luò)帶寬使用非對(duì)稱的網(wǎng)絡(luò)流量模式（流量大量進(jìn)入網(wǎng)絡(luò)，幾乎沒有流量離開網(wǎng)絡(luò)）防火墻和路由器日志記錄項(xiàng)

有不正常源地址的包有不存在目的地址的包針對(duì)特定主機(jī)的操作系統(tǒng)的DoS系統(tǒng)和應(yīng)用不可用的用戶報(bào)告網(wǎng)絡(luò)和主機(jī)入侵檢測(cè)警報(bào)

操作系統(tǒng)

日志記錄項(xiàng)

有不正常源地址的包針對(duì)特定主機(jī)的應(yīng)用的DoS應(yīng)用不可用的用戶報(bào)告網(wǎng)絡(luò)和主機(jī)入侵檢測(cè)警報(bào)

應(yīng)用日志記錄項(xiàng)

有不正常源地址的包預(yù)兆響應(yīng)偵查活動(dòng)通常在DoS攻擊之前，通常一個(gè)用于實(shí)際攻擊的低流量來確定何種攻擊有效。如果處理者檢測(cè)到了不尋常的DoS攻擊前的準(zhǔn)備活動(dòng)，組織機(jī)構(gòu)能夠迅速地轉(zhuǎn)換安全狀態(tài)來組織攻擊，例如改變防火墻規(guī)則集來阻止一個(gè)特定的協(xié)議或者保護(hù)一個(gè)脆弱的主機(jī)。一個(gè)新近公布的DoS工具能對(duì)組織機(jī)構(gòu)構(gòu)成重大威脅。研究這個(gè)新工具，如果可能，更改安全控制使該工具不能對(duì)組織機(jī)構(gòu)產(chǎn)生有效攻擊。手工檢檢測(cè)和和清除除Bot實(shí)實(shí)例打開c