網(wǎng)絡(luò)應(yīng)急響應(yīng)預(yù)案

*網(wǎng)絡(luò)應(yīng)急響應(yīng)預(yù)案1單擊第此處編7輯母版標(biāo)章題樣式單擊此處編輯母版副標(biāo)題樣式網(wǎng)絡(luò)應(yīng)急響應(yīng)預(yù)案教學(xué)要求：?網(wǎng)絡(luò)應(yīng)急響應(yīng)預(yù)案網(wǎng)絡(luò)應(yīng)急響應(yīng)是保障信息網(wǎng)絡(luò)可生存性的必要手段和措施。網(wǎng)絡(luò)安全應(yīng)急響應(yīng)預(yù)案涉及的內(nèi)容有：網(wǎng)絡(luò)應(yīng)急響應(yīng)的概念、響應(yīng)策略的制定、響應(yīng)組件的設(shè)計(jì)。涉及的技術(shù)有主機(jī)保護(hù)、網(wǎng)絡(luò)入侵檢測(cè)、事件檢測(cè)、隔離與快速恢復(fù)、網(wǎng)絡(luò)追蹤、計(jì)算機(jī)取證等。本章從應(yīng)急響應(yīng)概念和基礎(chǔ)入手，分析了應(yīng)急響應(yīng)的相關(guān)知識(shí)和技術(shù)手段。目的是讀者了解建立網(wǎng)絡(luò)應(yīng)急響應(yīng)預(yù)案和安全防護(hù)體制的知識(shí)。主要內(nèi)容：?網(wǎng)絡(luò)應(yīng)急響應(yīng)預(yù)案網(wǎng)絡(luò)應(yīng)急響應(yīng)預(yù)案概述

網(wǎng)絡(luò)應(yīng)急響應(yīng)策略的制定網(wǎng)絡(luò)應(yīng)急響應(yīng)相關(guān)技術(shù)

網(wǎng)絡(luò)應(yīng)急響應(yīng)系統(tǒng)的部署習(xí)題實(shí)訓(xùn)教學(xué)重點(diǎn)：響應(yīng)策略的制定、應(yīng)急響應(yīng)相關(guān)技術(shù)等。進(jìn)入21世紀(jì)以后，網(wǎng)絡(luò)安全這一全球性問(wèn)題驟然變得突出起來(lái)。如2000年Yahoo等網(wǎng)站遭到大規(guī)模拒絕服務(wù)攻擊，2001年爆發(fā)了紅色代碼等蠕蟲(chóng)事件，2002年全球的根域名服務(wù)器遭到大規(guī)模拒絕服務(wù)攻擊，2003年又爆發(fā)了SQL

Slammer等蠕蟲(chóng)事件，在短時(shí)間內(nèi)大范圍地傳播感染上萬(wàn)臺(tái)計(jì)算機(jī)，造成很多企業(yè)和團(tuán)體網(wǎng)絡(luò)癱瘓。

對(duì)于可能在較大范圍內(nèi)發(fā)生，傳播速度快，影響范圍

廣，造成危害大，緊急發(fā)生的網(wǎng)絡(luò)違規(guī)行為應(yīng)該建立網(wǎng)絡(luò)應(yīng)急響應(yīng)預(yù)案體系，在出現(xiàn)緊急情況后及時(shí)報(bào)警和隔離排除故障，以最大限度地降低可能造成的風(fēng)險(xiǎn)和損失。?網(wǎng)絡(luò)應(yīng)急響應(yīng)預(yù)案7.1.1網(wǎng)絡(luò)應(yīng)急響應(yīng)概念?網(wǎng)絡(luò)應(yīng)急響應(yīng)預(yù)案應(yīng)急響應(yīng)（Emergency

Response）通常是

指一個(gè)組織為了應(yīng)對(duì)各種意外事件的發(fā)生所做的準(zhǔn)備以及在事件發(fā)生后所采取的措施。計(jì)算機(jī)網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)的對(duì)象是指針對(duì)計(jì)算機(jī)或網(wǎng)絡(luò)所存儲(chǔ)、傳輸、處理的信息的安全事件，事件的主體可能來(lái)自自然界、系統(tǒng)自身故障、組織內(nèi)部或外部的人、計(jì)算機(jī)病毒或蠕蟲(chóng)等。7.1.2

為什么需要建立網(wǎng)絡(luò)應(yīng)急響應(yīng)預(yù)案?網(wǎng)絡(luò)應(yīng)急響應(yīng)預(yù)案網(wǎng)絡(luò)安全的保障基礎(chǔ)是大規(guī)模的檢測(cè)、預(yù)警和響應(yīng)系統(tǒng)。應(yīng)急響應(yīng)是保障信息網(wǎng)絡(luò)可生存性的必要手段和措施。應(yīng)急響應(yīng)是積極防御和縱深防御體系中的最后一道防線。

由于技術(shù)的因素，信息技術(shù)不對(duì)稱(chēng)，網(wǎng)絡(luò)漏洞必然存在。對(duì)網(wǎng)絡(luò)安全事件進(jìn)行應(yīng)急響應(yīng)是必不可少的重要環(huán)節(jié)。應(yīng)急響應(yīng)是入侵管理過(guò)程中的關(guān)鍵環(huán)節(jié)。應(yīng)急響應(yīng)是降低風(fēng)險(xiǎn)的主動(dòng)有效措施，是增強(qiáng)積極防御 能力的手段。7.1.3

網(wǎng)絡(luò)應(yīng)急響應(yīng)預(yù)案體系的現(xiàn)狀與發(fā)展?網(wǎng)絡(luò)應(yīng)急響應(yīng)預(yù)案1．網(wǎng)絡(luò)應(yīng)急響應(yīng)預(yù)案體系的現(xiàn)狀隨著互聯(lián)網(wǎng)的高速發(fā)展，網(wǎng)絡(luò)安全威脅越來(lái)越多。為了增強(qiáng)積極防御能力，降低風(fēng)險(xiǎn)和減少損失，目前很多國(guó)家、組織和單位已經(jīng)認(rèn)識(shí)到建設(shè)應(yīng)急響應(yīng)體系的重要性和迫切性，分別建立了網(wǎng)絡(luò)應(yīng)急處理組織和應(yīng)急響應(yīng)體系。中國(guó)1999年在清華大學(xué)成立了中國(guó)教育和科研網(wǎng)緊急響應(yīng)組(CCERT)，是中國(guó)第一個(gè)計(jì)算機(jī)安全應(yīng)急響應(yīng)組。國(guó)家因特網(wǎng)應(yīng)急小組也于2000年10月成立了“國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急處理協(xié)調(diào)中心”，簡(jiǎn)稱(chēng)CNCERT,協(xié)調(diào)全國(guó)范圍內(nèi)計(jì)算機(jī)安全應(yīng)急響應(yīng)小組的工作，以及與國(guó)際計(jì)算機(jī)安全組織的交流。2．網(wǎng)絡(luò)應(yīng)急響應(yīng)的發(fā)展方向（1）技術(shù)的發(fā)展?網(wǎng)絡(luò)應(yīng)急響應(yīng)預(yù)案入侵檢測(cè)自動(dòng)響應(yīng)入侵的追蹤方法取證工具(2)社會(huì)的發(fā)展制度法律協(xié)同響應(yīng)網(wǎng)絡(luò)應(yīng)急響應(yīng)體系的建立不僅僅是技術(shù)故障處理與應(yīng)急響應(yīng)，需要多方面共同參與，采用技術(shù)手段并制定嚴(yán)格的應(yīng)急響應(yīng)策略，形成事件處理的工作流程，及時(shí)快速地反應(yīng)和處理網(wǎng)絡(luò)安全突發(fā)事件。完善的網(wǎng)絡(luò)應(yīng)急響應(yīng)策略根據(jù)突發(fā)事件的特點(diǎn)可分為6個(gè)步驟和階段，從技術(shù)和管理方面進(jìn)行制定。?網(wǎng)絡(luò)應(yīng)急響應(yīng)預(yù)案計(jì)劃與準(zhǔn)備階段此階段以預(yù)防為主。主要進(jìn)行實(shí)施預(yù)防措施，制定事件響應(yīng)計(jì)劃、指南和程序，組建應(yīng)急響應(yīng)小組，準(zhǔn)備必要的資源。確認(rèn)階段主要確定事件性質(zhì)和處理人選。此階段進(jìn)行初步調(diào)查，確定是否真有事件發(fā)生，保留關(guān)鍵證據(jù)。按照預(yù)先設(shè)定的程序，向相關(guān)人員報(bào)告。事件調(diào)查與分析階段及時(shí)采取行動(dòng)遏制事件發(fā)展，展開(kāi)調(diào)查，根據(jù)突發(fā)事件的性質(zhì)和嚴(yán)重程度決定采用何種響應(yīng)策略。?網(wǎng)絡(luò)應(yīng)急響應(yīng)預(yù)案7.2.4

事件處理階段?網(wǎng)絡(luò)應(yīng)急響應(yīng)預(yù)案徹底解決問(wèn)題隱患，根據(jù)優(yōu)先級(jí)的考慮，限制或根除事件，將事件影響降低到最低程度?；謴?fù)階段使受影響的系統(tǒng)或業(yè)務(wù)恢復(fù)到正常的運(yùn)轉(zhuǎn)狀態(tài)，詳細(xì)記錄事件響應(yīng)過(guò)程、調(diào)查步驟和補(bǔ)救方法。跟蹤階段繼續(xù)監(jiān)視系統(tǒng)或網(wǎng)絡(luò)的運(yùn)行情況，分析和回顧事件經(jīng)過(guò)，總結(jié)經(jīng)驗(yàn)教訓(xùn)，解決其他問(wèn)題（比如法律問(wèn)題）。7.3.1主機(jī)保護(hù)?網(wǎng)絡(luò)應(yīng)急響應(yīng)預(yù)案面對(duì)網(wǎng)絡(luò)安全威脅，日常應(yīng)該做好主機(jī)系統(tǒng)的保護(hù)和準(zhǔn)備，最大限度地減少系統(tǒng)漏洞。數(shù)據(jù)備份啟用安全審核記錄及時(shí)更新補(bǔ)丁安裝殺毒軟件關(guān)閉不必要的服務(wù)7.3.2入侵檢測(cè)入侵檢測(cè)是部署應(yīng)急響應(yīng)支撐系統(tǒng)的基礎(chǔ)，入侵檢測(cè)與應(yīng)急響應(yīng)是緊密相關(guān)的,發(fā)現(xiàn)對(duì)網(wǎng)絡(luò)和系統(tǒng)的攻擊或入侵才能觸發(fā)響應(yīng)的動(dòng)作。入侵檢測(cè)可以由系統(tǒng)自動(dòng)完成，包括網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)和主機(jī)入侵檢測(cè)系統(tǒng)，分別對(duì)網(wǎng)絡(luò)和重要服務(wù)器進(jìn)行防護(hù)。?網(wǎng)絡(luò)應(yīng)急響應(yīng)預(yù)案7.3.3

事件的診斷分析?網(wǎng)絡(luò)應(yīng)急響應(yīng)預(yù)案現(xiàn)場(chǎng)響應(yīng)步驟在出現(xiàn)網(wǎng)絡(luò)入侵或緊急情況時(shí)，應(yīng)啟動(dòng)應(yīng)急預(yù)案策略，采取現(xiàn)場(chǎng)響應(yīng)。Windows主機(jī)系統(tǒng)的調(diào)查L(zhǎng)inux主機(jī)系統(tǒng)的調(diào)查其它工具7.3.4攻擊源的隔離與快速恢復(fù)?網(wǎng)絡(luò)應(yīng)急響應(yīng)預(yù)案攻擊源隔離在確定了事件類(lèi)型、攻擊來(lái)源以后，及時(shí)地隔離攻擊源是防止事件影響擴(kuò)大化的有效措施，比如對(duì)于影響嚴(yán)重的計(jì)算機(jī)病毒或蠕蟲(chóng)。數(shù)據(jù)恢復(fù)一旦檢測(cè)出WEB服務(wù)器被入侵、主頁(yè)被篡改的事件，響應(yīng)政策可能首先是盡快恢復(fù)服務(wù)器的正常運(yùn)行，把事件的負(fù)面影響降到最小?？焖倩謴?fù)可能涉及完整性檢測(cè)、域名切換等技術(shù)。7.3.5網(wǎng)絡(luò)追蹤?網(wǎng)絡(luò)應(yīng)急響應(yīng)預(yù)案IP追蹤IP追蹤主要處理在攻擊者采用虛假I(mǎi)P地址的情況下，如何識(shí)別發(fā)送此IP數(shù)據(jù)報(bào)的主機(jī)?；诰W(wǎng)絡(luò)的連接鏈追蹤可采用連接內(nèi)容分析方法、時(shí)間分析方法和TCP序號(hào)分析方法等?；趨f(xié)議的連接鏈追蹤方法對(duì)協(xié)議和回話進(jìn)行鑒別。7.3.6計(jì)算機(jī)取證?網(wǎng)絡(luò)應(yīng)急響應(yīng)預(yù)案計(jì)算機(jī)取證涉及到對(duì)計(jì)算機(jī)數(shù)據(jù)的保存、識(shí)別、記錄以及解釋。計(jì)算機(jī)取證的基本原則計(jì)算機(jī)取證的主要技術(shù)步驟7.4網(wǎng)絡(luò)應(yīng)急響應(yīng)系統(tǒng)的部署?網(wǎng)絡(luò)應(yīng)急響應(yīng)預(yù)案網(wǎng)絡(luò)