信息安全概论 教学课件 ppt 作者 李剑 张然 第18章 信息系统应急响应

版权所有，盗版必纠,第18章 信息系统应急响应,李 剑 北京邮电大学信息安全中心 E-mail: lijianbupt.edu.cn 电话：13001936882,版权所有，盗版必纠,概论,随着网络信息系统在政治、军事、金融、商业、文教等方面发挥越来越大的作用，社会对网络信息系统的依赖也日益增强。而不断出现的软硬件故障、病毒发作、网络入侵、网络蠕虫、黑客攻击、天灾人祸等安全事件也随之变得非常突出，由于安全事件的突发性、复杂性与专业性，为了有备无患，需要建立信息系统安全事件的快速响应机制，信息系统安全应急响应应运而生。为此国家还专门建立了中国计算机网络应急技术协调处理中心(CNCERT/CC，China Computer Emergency Response Team/Coordination Center)。,版权所有，盗版必纠,目录,第18章 信息系统应急响应 18.1 应急响应概述 18.1.1 应急响应的概述 18.1.2 国际应急响应组织 18.1.3 我国应急响应组织 18.2 应急响应的阶段 18.3 应急响应的方法 18.3.1 Windows 系统应急响应方法 18.3.2 个人软件防火墙的使用 18.3.3 蜜罐技术 18.4 计算机犯罪取证 思考题,版权所有，盗版必纠,18.1 应急响应概述,18.1.1 应急响应的概述 近年来，Internet网上直接或者是间接危害到IP网络资源安全的攻击事件越来越多。一方面，网络业务节点自身的安全性下降，路由器、交换机等专用网络节点设备上越来越多的安全漏洞被发掘出来，设备厂家为了修补安全漏洞而发布的补丁程序越来越频繁；另一方面，黑客攻击技术有了很大的发展，从最初主要是基于单机安全漏洞以渗透入侵为主，到近年来发展到基于Internet网上的主机集群进行以拒绝服务为目的的分布式拒绝服务攻击，同时，以网络蠕虫病毒为代表的，融合传统黑客技术与病毒技术于一身的“新一代主动式恶意代码”攻击技术的出现，标志着黑客技术发生了质的变化，无论是分布式拒绝服务攻击还是网络蠕虫病毒，都会在攻击过程中形成突发的攻击流量，严重时会阻塞网络，造成网络瘫痪。总体来看，由于系统漏洞和攻击技术的变化，不安全的网络环境已经越来越多地暴露在网络黑客不断增强的攻击火力之下。,版权所有，盗版必纠,18.1.1 应急响应的概述,从根本上讲，在现实环境中是不存在绝对的安全的，任何一个系统总是存在被攻陷的可能性，很多时候恰恰是在被攻陷后，人们才得以发现并改善系统中存在的薄弱环节，从而把系统的安全保护提高到一个更高的水平。事实上整个Internet网的安全水平始终就是在“道高一尺，魔高一丈”的实战过程中螺旋式上升的。正是认识到这一客观事实，在所有的网络安全模型中都不可或缺的包含了事件响应这样一个重要的环节。,版权所有，盗版必纠,18.1.1 应急响应的概述,安全应急响应的重要性不仅体现在它是整个安全防御体系中一个不可缺少的环节。事实上，一个有效的应急机制对于事件发生后稳定局势往往起到至关重要的作用。事故发生后现场环境通常是非常混乱的，除非作了非常充分的准备工作，否则人们往往会因为不清楚问题所在和应当做什么而陷入茫然失措的状态，甚至当事者还可能在混乱中执行不正确的操作并导致更大的灾害和混乱的发生。因此，在缺少安全应急响应机制的环境中，发生事件后整个局面存在着随时陷入失控状态的危险。 网络安全应急响应主要是提供一种机制，保证资产在遭受攻击时能够及时地取得专业人员、安全技术等资源的支持，并且保证在紧急的情况下能够按照既定的程序高效有序地开展工作，使网络业务免遭进一步的侵害，或者是在网络资产已经被破坏后能够在尽可能短的时间内迅速恢复业务系统，减小业务的损失。,版权所有，盗版必纠,18.1.2 国际应急响应组织,在安全应急响应发展方面，信息化发达国家有着较为悠久的历史。美国早在1988年就成立了全球最早的计算机应急响应组织(CERT：Computer Emergency Response Team)，到2003年8月为止，全球正式注册的CERT已达188个。这些应急组织不仅为各自地区和所属行业提供计算机和互联网安全事件的紧急响应处理服务，还经常互相沟通和交流，形成了一个专业领域。我国自1999年成立第一个应急组织以来，也逐步得到了发展壮大，初步形成了互联网应急处理体系框架，虽然总的来看还处于边学习边实践的起步阶段，但是，从这两年几次大规模网络安全事件的处理中，我国的应急响应组织也已经发挥出明显作用。,版权所有，盗版必纠,18.1.2 国际应急响应组织,1988年11月，美国康乃尔大学学生莫里斯编写一个“圣诞树”蠕虫程序，该程序可以利用Internet网上计算机的sendmail的漏洞、finger的缓冲区溢出及REXE的漏洞进入系统并自我繁殖，鲸吞Internet网的带宽资源，造成全球10%的联网计算机陷入瘫痪。这起计算机安全事件极大地震动了美国政府、军方和学术界，被称作“莫里斯事件”。 事件发生之后，美国国防部高级计划研究署（DARPA）出资在卡内基梅隆大学（CMU）的软件工程研究所（SEI）建立了计算机应急处理协调中心。该中心现在仍然由美国国防部支持，并且作为国际上的骨干组织积极开展相关方面的培训工作。自此，美国各有关部门纷纷开始成立自己的计算机安全事件处理组织，世界上其他国家和地区也逐步成立了应急组织。,版权所有，盗版必纠,18.1.2 国际应急响应组织,1990年11月，由美国等国家应急响应组织发起，一些国家的CERT组织参与成立了计算机事件响应与安全工作组论坛 (FIRST：Forum of Incident Response and Security Team)。 FIRST的基本目的是使各成员能在安全漏洞、安全技术、安全管理等方面进行交流与合作，以实现国际间的信息共享、技术共享，最终达到联合防范计算机网络攻击行为的目标。 FIRST组织有两类成员，一是正式成员，二是观察员。截止到2003年8月，FIRST的正式成员达到151个。我国的国家计算机网络应急技术处理协调中心（CNCERTCC）于2002年8月成为FIRST的正式成员。FIRST组织有一个由十人构成的指导委员会，负责对重大问题进行讨论，包括接受新成员。新成员的加入必须有推荐人，并且需要得到指导委员会23的成员同意。FIRST的技术活动除了各成员之间通过保密通信进行信息交流外， 每季度还开一次内部技术交流会，每年开一次开放型会议。通常是在美国和其他国家交替进行。,版权所有，盗版必纠,18.1.3 我国应急响应组织,与美国第一个应急组织诞生的原因类似，我国应急体系的建立也是由于网络蠕虫事件的发生而开始，这次蠕虫事件就是发生在2001年8月的红色代码蠕虫事件。由于红色代码集蠕虫、病毒和木马等攻击手段于一身，利用Windows操作系统一个公开漏洞作为突破口，几乎是畅通无阻地在互联网上疯狂地扩散和传播，迅速传播到我国互联网，并很快渗透到金融、交通、公安、教育等专用网络中，造成互联网运行速度急剧下降，局部网络甚至一度瘫痪。 当时我国仅有几个力量薄弱的应急组织，根本不具备处理如此大规模事件的能力，而各互联网运维部门也没有专门的网络安全技术人员，更没有互相协同处理的机制，各方几乎都束手无策。紧要关头，在CNCERTCC的建议下，信息产业部组织了各个互联网单位和网络安全企业参加的应急响应会，汇总了全国当时受影响的情况，约定了协调处理的临时机制，确定了联系方式，并最终组成了一个网络安全应急处理联盟。,版权所有，盗版必纠,18.1.3 我国应急响应组织,2001年10月，工信部提出建立国家计算机紧急响应体系，并且要求各互联网运营单位成立紧急响应组织，能够加强合作、统一协调、互相配合。自此，我国的应急体系应运而生。目前，我国应急处理体系已经经历了从点状到树状的发展过程，并正在朝网状发展完善，最终要建设成一个覆盖全国全网的应急体系。 我国当前的网络应急组织体系是在国家网络与信息安全协调小组办公室领导下建设的，分为国家级政府层次、国家级非政府层次和地方级非政府层次等三个层面。 国家级政府层次由信息产业部互联网应急处理协调办公室为中心，向下领导国家级非政府层次的工作，横向与我国其他部委之间进行协调联系，同时负责与国外同层次的政府部门（如APEC经济体）之间进行交流和联系；,版权所有，盗版必纠,18.1.3 我国应急响应组织,国家级非政府层次以CNCERTCC为中心，向上接受信息产业部的领导，向下领导其遍布全国各省的分中心的工作，协调各个骨干互联网单位CERT 小组的应急处理工作，协调和指导国家计算机病毒应急处理中心、国家计算机网络入侵防范中心和国家863计划反计算机入侵和防病毒研究中心等三个专业应急组织的工作，指导公共互联网应急处理国家级试点单位的应急处理工作；CNCERTCC同时还负责与国际民间CERT组织之间的交流和联系，负责利用自身的网络安全监测平台对全国互联网的安全状况进行实时监测。在这个层次中，还有正在建设中的信息产业部网络安全、信息安全和应急处理等三个专业的重点实验室，其任务是进行专门的技术研究，为CNCERTCC开展应急处理协调工作提供必要的技术支撑。,版权所有，盗版必纠,18.1.3 我国应急响应组织,地方级非政府层次主要以CNCERTCC各省分中心为中心，协调当地的IDC应急组织、指导公共互联网应急处理服务省级试点单位开展面向地方的应急处理工作。 整个体系由国家网络与信息安全协调小组、信息产业部、CNCERTCC及其各省分中心构成核心框架，协调和指导各互联网单位应急组织、专业应急组织、安全服务试点单位和地方IDC应急组织共同开展工作，各自明确职责和工作流程，形成了一个有机的整体。 CNCERTCC成立于2000年10月，主页为http:/www.cert.org.cn/，如图18.1所示。,版权所有，盗版必纠,18.1.3 我国应急响应组织,版权所有，盗版必纠,18.1.3 我国应急响应组织,它的主要职责是协调我国各计算机网络安全事件应急小组，共同处理国家公共电信基础网络上的安全紧急事件，为国家公共电信基础网络、国家主要网络信息应用系统以及关键部门提供计算机网络安全的监测、预警、应急、防范等安全服务和技术支持，及时收集、核实、汇总、发布有关互联网安全的权威性信息，组织国内计算机网络安全应急组织进行国际合作和交流。其从事的工作内容包括：,版权所有，盗版必纠,18.1.3 我国应急响应组织,1. 信息获取：通过各种信息渠道与合作体系，及时获取各种安全事件与安全技术的相关信息； 2. 事件监测：及时发现各类重大安全隐患与安全事件，向有关部门发出预警信息，提供技术支持； 3. 事件处理：协调国内各应急小组处理公共互联网上的各类重大安全事件，同时，作为国际上与中国进行安全事件协调处理的主要接口，协调处理来自国内外的安全事件投诉； 4. 数据分析：对各类安全事件的有关数据进行综合分析，形成权威的数据分析报告； 5. 资源建设：收集整理安全漏洞、补丁、攻击防御工具、最新网络安全技术等各种基础信息资源，为各方面的相关工作提供支持； 6. 安全研究：跟踪研究各种安全问题和技术，为安全防护和应急处理提供技术和理论基础； 7. 安全培训：进行网络安全应急处理技术及应急组织建设等方面的培训； 8. 技术咨询：提供安全事件处理的各类技术咨询； 9. 国际交流：组织国内计算机网络安全应急组织进行国际合作与交流。,版权所有，盗版必纠,18.1.3 我国应急响应组织,CNCERTCC 应急处理案例包括： 1. 网络蠕虫事件：如SQL Slammer蠕虫、口令蠕虫、冲击波蠕虫等。 2. DDOS攻击事件：如部分政府网站和大型商业网站遭到了攻击。 3. 网页篡改事件：如全国共有435台主机上的网页遭到篡改，其中包括143个主机上的337个政府网站在内。 4. 网络欺诈事件：如处理了澳大利亚和中国香港等CERT组织报告的几起冒充金融网站的事件。,版权所有，