網(wǎng)絡(luò)應(yīng)急響應(yīng)預(yù)案

*網(wǎng)絡(luò)應(yīng)急響應(yīng)預(yù)案1單擊第此處編7輯母版標(biāo)章題樣式單擊此處編輯母版副標(biāo)題樣式網(wǎng)絡(luò)應(yīng)急響應(yīng)預(yù)案教學(xué)要求：?網(wǎng)絡(luò)應(yīng)急響應(yīng)預(yù)案網(wǎng)絡(luò)應(yīng)急響應(yīng)是保障信息網(wǎng)絡(luò)可生存性的必要手段和措施。網(wǎng)絡(luò)安全應(yīng)急響應(yīng)預(yù)案涉及的內(nèi)容有：網(wǎng)絡(luò)應(yīng)急響應(yīng)的概念、響應(yīng)策略的制定、響應(yīng)組件的設(shè)計。涉及的技術(shù)有主機保護、網(wǎng)絡(luò)入侵檢測、事件檢測、隔離與快速恢復(fù)、網(wǎng)絡(luò)追蹤、計算機取證等。本章從應(yīng)急響應(yīng)概念和基礎(chǔ)入手，分析了應(yīng)急響應(yīng)的相關(guān)知識和技術(shù)手段。目的是讀者了解建立網(wǎng)絡(luò)應(yīng)急響應(yīng)預(yù)案和安全防護體制的知識。主要內(nèi)容：?網(wǎng)絡(luò)應(yīng)急響應(yīng)預(yù)案網(wǎng)絡(luò)應(yīng)急響應(yīng)預(yù)案概述

網(wǎng)絡(luò)應(yīng)急響應(yīng)策略的制定網(wǎng)絡(luò)應(yīng)急響應(yīng)相關(guān)技術(shù)

網(wǎng)絡(luò)應(yīng)急響應(yīng)系統(tǒng)的部署習(xí)題實訓(xùn)教學(xué)重點：響應(yīng)策略的制定、應(yīng)急響應(yīng)相關(guān)技術(shù)等。進入21世紀(jì)以后，網(wǎng)絡(luò)安全這一全球性問題驟然變得突出起來。如2000年Yahoo等網(wǎng)站遭到大規(guī)模拒絕服務(wù)攻擊，2001年爆發(fā)了紅色代碼等蠕蟲事件，2002年全球的根域名服務(wù)器遭到大規(guī)模拒絕服務(wù)攻擊，2003年又爆發(fā)了SQL

Slammer等蠕蟲事件，在短時間內(nèi)大范圍地傳播感染上萬臺計算機，造成很多企業(yè)和團體網(wǎng)絡(luò)癱瘓。

對于可能在較大范圍內(nèi)發(fā)生，傳播速度快，影響范圍

廣，造成危害大，緊急發(fā)生的網(wǎng)絡(luò)違規(guī)行為應(yīng)該建立網(wǎng)絡(luò)應(yīng)急響應(yīng)預(yù)案體系，在出現(xiàn)緊急情況后及時報警和隔離排除故障，以最大限度地降低可能造成的風(fēng)險和損失。?網(wǎng)絡(luò)應(yīng)急響應(yīng)預(yù)案7.1.1網(wǎng)絡(luò)應(yīng)急響應(yīng)概念?網(wǎng)絡(luò)應(yīng)急響應(yīng)預(yù)案應(yīng)急響應(yīng)（Emergency

Response）通常是

指一個組織為了應(yīng)對各種意外事件的發(fā)生所做的準(zhǔn)備以及在事件發(fā)生后所采取的措施。計算機網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)的對象是指針對計算機或網(wǎng)絡(luò)所存儲、傳輸、處理的信息的安全事件，事件的主體可能來自自然界、系統(tǒng)自身故障、組織內(nèi)部或外部的人、計算機病毒或蠕蟲等。7.1.2

為什么需要建立網(wǎng)絡(luò)應(yīng)急響應(yīng)預(yù)案?網(wǎng)絡(luò)應(yīng)急響應(yīng)預(yù)案網(wǎng)絡(luò)安全的保障基礎(chǔ)是大規(guī)模的檢測、預(yù)警和響應(yīng)系統(tǒng)。應(yīng)急響應(yīng)是保障信息網(wǎng)絡(luò)可生存性的必要手段和措施。應(yīng)急響應(yīng)是積極防御和縱深防御體系中的最后一道防線。

由于技術(shù)的因素，信息技術(shù)不對稱，網(wǎng)絡(luò)漏洞必然存在。對網(wǎng)絡(luò)安全事件進行應(yīng)急響應(yīng)是必不可少的重要環(huán)節(jié)。應(yīng)急響應(yīng)是入侵管理過程中的關(guān)鍵環(huán)節(jié)。應(yīng)急響應(yīng)是降低風(fēng)險的主動有效措施，是增強積極防御 能力的手段。7.1.3

網(wǎng)絡(luò)應(yīng)急響應(yīng)預(yù)案體系的現(xiàn)狀與發(fā)展?網(wǎng)絡(luò)應(yīng)急響應(yīng)預(yù)案1．網(wǎng)絡(luò)應(yīng)急響應(yīng)預(yù)案體系的現(xiàn)狀隨著互聯(lián)網(wǎng)的高速發(fā)展，網(wǎng)絡(luò)安全威脅越來越多。為了增強積極防御能力，降低風(fēng)險和減少損失，目前很多國家、組織和單位已經(jīng)認(rèn)識到建設(shè)應(yīng)急響應(yīng)體系的重要性和迫切性，分別建立了網(wǎng)絡(luò)應(yīng)急處理組織和應(yīng)急響應(yīng)體系。中國1999年在清華大學(xué)成立了中國教育和科研網(wǎng)緊急響應(yīng)組(CCERT)，是中國第一個計算機安全應(yīng)急響應(yīng)組。國家因特網(wǎng)應(yīng)急小組也于2000年10月成立了“國家計算機網(wǎng)絡(luò)應(yīng)急處理協(xié)調(diào)中心”，簡稱CNCERT,協(xié)調(diào)全國范圍內(nèi)計算機安全應(yīng)急響應(yīng)小組的工作，以及與國際計算機安全組織的交流。2．網(wǎng)絡(luò)應(yīng)急響應(yīng)的發(fā)展方向（1）技術(shù)的發(fā)展?網(wǎng)絡(luò)應(yīng)急響應(yīng)預(yù)案入侵檢測自動響應(yīng)入侵的追蹤方法取證工具(2)社會的發(fā)展制度法律協(xié)同響應(yīng)網(wǎng)絡(luò)應(yīng)急響應(yīng)體系的建立不僅僅是技術(shù)故障處理與應(yīng)急響應(yīng)，需要多方面共同參與，采用技術(shù)手段并制定嚴(yán)格的應(yīng)急響應(yīng)策略，形成事件處理的工作流程，及時快速地反應(yīng)和處理網(wǎng)絡(luò)安全突發(fā)事件。完善的網(wǎng)絡(luò)應(yīng)急響應(yīng)策略根據(jù)突發(fā)事件的特點可分為6個步驟和階段，從技術(shù)和管理方面進行制定。?網(wǎng)絡(luò)應(yīng)急響應(yīng)預(yù)案計劃與準(zhǔn)備階段此階段以預(yù)防為主。主要進行實施預(yù)防措施，制定事件響應(yīng)計劃、指南和程序，組建應(yīng)急響應(yīng)小組，準(zhǔn)備必要的資源。確認(rèn)階段主要確定事件性質(zhì)和處理人選。此階段進行初步調(diào)查，確定是否真有事件發(fā)生，保留關(guān)鍵證據(jù)。按照預(yù)先設(shè)定的程序，向相關(guān)人員報告。事件調(diào)查與分析階段及時采取行動遏制事件發(fā)展，展開調(diào)查，根據(jù)突發(fā)事件的性質(zhì)和嚴(yán)重程度決定采用何種響應(yīng)策略。?網(wǎng)絡(luò)應(yīng)急響應(yīng)預(yù)案7.2.4

事件處理階段?網(wǎng)絡(luò)應(yīng)急響應(yīng)預(yù)案徹底解決問題隱患，根據(jù)優(yōu)先級的考慮，限制或根除事件，將事件影響降低到最低程度?；謴?fù)階段使受影響的系統(tǒng)或業(yè)務(wù)恢復(fù)到正常的運轉(zhuǎn)狀態(tài)，詳細(xì)記錄事件響應(yīng)過程、調(diào)查步驟和補救方法。跟蹤階段繼續(xù)監(jiān)視系統(tǒng)或網(wǎng)絡(luò)的運行情況，分析和回顧事件經(jīng)過，總結(jié)經(jīng)驗教訓(xùn)，解決其他問題（比如法律問題）。7.3.1主機保護?網(wǎng)絡(luò)應(yīng)急響應(yīng)預(yù)案面對網(wǎng)絡(luò)安全威脅，日常應(yīng)該做好主機系統(tǒng)的保護和準(zhǔn)備，最大限度地減少系統(tǒng)漏洞。數(shù)據(jù)備份啟用安全審核記錄及時更新補丁安裝殺毒軟件關(guān)閉不必要的服務(wù)7.3.2入侵檢測入侵檢測是部署應(yīng)急響應(yīng)支撐系統(tǒng)的基礎(chǔ)，入侵檢測與應(yīng)急響應(yīng)是緊密相關(guān)的,發(fā)現(xiàn)對網(wǎng)絡(luò)和系統(tǒng)的攻擊或入侵才能觸發(fā)響應(yīng)的動作。入侵檢測可以由系統(tǒng)自動完成，包括網(wǎng)絡(luò)入侵檢測系統(tǒng)和主機入侵檢測系統(tǒng)，分別對網(wǎng)絡(luò)和重要服務(wù)器進行防護。?網(wǎng)絡(luò)應(yīng)急響應(yīng)預(yù)案7.3.3

事件的診斷分析?網(wǎng)絡(luò)應(yīng)急響應(yīng)預(yù)案現(xiàn)場響應(yīng)步驟在出現(xiàn)網(wǎng)絡(luò)入侵或緊急情況時，應(yīng)啟動應(yīng)急預(yù)案策略，采取現(xiàn)場響應(yīng)。Windows主機系統(tǒng)的調(diào)查Linux主機系統(tǒng)的調(diào)查其它工具7.3.4攻擊源的隔離與快速恢復(fù)?網(wǎng)絡(luò)應(yīng)急響應(yīng)預(yù)案攻擊源隔離在確定了事件類型、攻擊來源以后，及時地隔離攻擊源是防止事件影響擴大化的有效措施，比如對于影響嚴(yán)重的計算機病毒或蠕蟲。數(shù)據(jù)恢復(fù)一旦檢測出WEB服務(wù)器被入侵、主頁被篡改的事件，響應(yīng)政策可能首先是盡快恢復(fù)服務(wù)器的正常運行，把事件的負(fù)面影響降到最小?？焖倩謴?fù)可能涉及完整性檢測、域名切換等技術(shù)。7.3.5網(wǎng)絡(luò)追蹤?網(wǎng)絡(luò)應(yīng)急響應(yīng)預(yù)案IP追蹤IP追蹤主要處理在攻擊者采用虛假IP地址的情況下，如何識別發(fā)送此IP數(shù)據(jù)報的主機?；诰W(wǎng)絡(luò)的連接鏈追蹤可采用連接內(nèi)容分析方法、時間分析方法和TCP序號分析方法等?；趨f(xié)議的連接鏈追蹤方法對協(xié)議和回話進行鑒別。7.3.6計算機取證?網(wǎng)絡(luò)應(yīng)急響應(yīng)預(yù)案計算機取證涉及到對計算機數(shù)據(jù)的保存、識別、記錄以及解釋。計算機取證的基本原則計算機取證的主要技術(shù)步驟7.4網(wǎng)絡(luò)應(yīng)急響應(yīng)系統(tǒng)的部署?網(wǎng)絡(luò)應(yīng)急響應(yīng)預(yù)案網(wǎng)絡(luò)