信息安全技術(shù)（HCIA-Security）（微課版）（第2版） 課件 第15章 網(wǎng)絡(luò)安全應(yīng)急響應(yīng)、復(fù)習(xí)

網(wǎng)絡(luò)安全應(yīng)急響應(yīng)各國(guó)應(yīng)該深化務(wù)實(shí)合作，以共進(jìn)為動(dòng)力，以共贏為目標(biāo)，走出一條互信共治之路，讓網(wǎng)絡(luò)空間命運(yùn)共同體更具生機(jī)活力。文字學(xué)習(xí)5G這張網(wǎng)改變了什么？拓展主題愛(ài)國(guó)主義、科技強(qiáng)國(guó)、技能強(qiáng)國(guó)物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)正蓬勃發(fā)展，新興技術(shù)正顛覆傳統(tǒng)，帶來(lái)源源不斷的變化。但是網(wǎng)絡(luò)安全事件層出不窮，讓人們對(duì)網(wǎng)絡(luò)安全的更加關(guān)注。2017年，以WannaCry勒索病毒為代表的全球網(wǎng)絡(luò)攻擊任處于高發(fā)態(tài)勢(shì)，突發(fā)性事件面前，各國(guó)監(jiān)控預(yù)警失效，攻防實(shí)力懸殊，應(yīng)急響應(yīng)被動(dòng)。對(duì)此，如何調(diào)整了應(yīng)急思路。通過(guò)本節(jié)的介紹給出參考。學(xué)完本課程后，您將能夠：了解網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的產(chǎn)生背景描述網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的處理流程了解網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的新趨勢(shì)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)概述網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的產(chǎn)生網(wǎng)絡(luò)安全應(yīng)急響應(yīng)概述網(wǎng)絡(luò)安全應(yīng)急響應(yīng)處理介紹信息安全應(yīng)急響應(yīng)產(chǎn)生背景1988年11月發(fā)生的莫里斯蠕蟲(chóng)病毒事件（MorrisWormIncident）致使當(dāng)時(shí)的互聯(lián)網(wǎng)絡(luò)超過(guò)10%的系統(tǒng)不能工作。該案件轟動(dòng)了全世界，并且在計(jì)算機(jī)科學(xué)界引起了強(qiáng)烈的反響。為此，1989年，美國(guó)國(guó)防部高級(jí)研究計(jì)劃署資助卡內(nèi)基·梅隆大學(xué)建立了世界上第一個(gè)計(jì)算機(jī)緊急響應(yīng)小組（ComputerEmergencyResponseTeam，簡(jiǎn)稱CERT）及協(xié)調(diào)中心（CERT/CC）。FIRST的產(chǎn)生背景由于各個(gè)國(guó)家應(yīng)急響應(yīng)組之間不僅存在語(yǔ)言、時(shí)區(qū)及性質(zhì)上的差異，而且面向不同的用戶群體，屬于不同的國(guó)家的組織，他們之間的交流與合作存在很大的困難。這種情況下，1990年11個(gè)應(yīng)急響應(yīng)安全組織成立了事件響應(yīng)與安全組論壇（ForumofIncidentResponseandSecurityTeams，F(xiàn)IRST）截止到2018年，F(xiàn)IRST已經(jīng)包括全球400多個(gè)應(yīng)急響應(yīng)安全組織。應(yīng)急響應(yīng)組織在中國(guó)的發(fā)展121999年，教育與科研計(jì)算機(jī)網(wǎng)在清華大學(xué)成立CERNET應(yīng)急響應(yīng)組（CCERT），為中國(guó)教育和科研行業(yè)用戶提供應(yīng)急響應(yīng)服務(wù)。32000年10月，國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（CNCERT/CC）成立，并于2002年8月成為國(guó)際應(yīng)急響應(yīng)權(quán)威組織（FIRST）”的正式成員。在CNCERT/CC的協(xié)調(diào)組織下，各大電信運(yùn)營(yíng)商都紛紛成立自己的應(yīng)急響應(yīng)隊(duì)伍。隨后解放軍軍隊(duì)?wèi)?yīng)急組織、公安部計(jì)算機(jī)病毒防治中心、公安部計(jì)算機(jī)應(yīng)急網(wǎng)站也先后建立。中國(guó)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（簡(jiǎn)稱“國(guó)家互聯(lián)網(wǎng)應(yīng)急中心”，英文簡(jiǎn)稱是CNCERT或CNCERT/CC），成立于2002年9月，為非政府非盈利的網(wǎng)絡(luò)安全技術(shù)中心，是我國(guó)網(wǎng)絡(luò)安全應(yīng)急體系的核心協(xié)調(diào)機(jī)構(gòu)。同時(shí)，CNCERT作為中國(guó)非政府層面開(kāi)展網(wǎng)絡(luò)安全事件跨境處置協(xié)助的重要窗口，積極開(kāi)展網(wǎng)絡(luò)安全國(guó)際合作，截至2017年，CNCERT已與72個(gè)國(guó)家和地區(qū)的211個(gè)組織建立了“CNCERT國(guó)際合作伙伴”關(guān)系。CNCERT國(guó)際合作伙伴ForumofIncidentResponseaddSecurityTeamsAsiaPacificComputerEmergencyResponseTeamAnti-PhishingWorkingGroupCymru網(wǎng)絡(luò)安全應(yīng)急響應(yīng)概述網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的產(chǎn)生網(wǎng)絡(luò)安全應(yīng)急響應(yīng)概述網(wǎng)絡(luò)安全應(yīng)急響應(yīng)處理介紹我國(guó)網(wǎng)絡(luò)安全相關(guān)法規(guī)標(biāo)準(zhǔn)2016年11月全國(guó)人大常委會(huì)表決通過(guò)了《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，于2017年6月1日起正式實(shí)施?！毒W(wǎng)絡(luò)安全法》是中國(guó)第一部有關(guān)網(wǎng)絡(luò)安全的基礎(chǔ)性，“大綱性”的法律?！毒W(wǎng)絡(luò)安全法》歷經(jīng)三年的醞釀審議并最終發(fā)布，過(guò)程如下：2014年2月中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立，兩會(huì)上“網(wǎng)絡(luò)安全法”首次被寫(xiě)入工作報(bào)告。2015年6月十二屆全國(guó)人大常委會(huì)審議《網(wǎng)絡(luò)安全法（草案）》。2015年7月面向社會(huì)公開(kāi)征求意見(jiàn)，并根據(jù)人大常委會(huì)組和各方意見(jiàn)反饋，對(duì)草案進(jìn)行修訂，形成了《網(wǎng)絡(luò)安全法（草案二次審議稿）》。2016年6月十二屆全國(guó)人大常委會(huì)對(duì)《網(wǎng)絡(luò)安全法（草案）》進(jìn)行二次審議。2016年7月《網(wǎng)絡(luò)安全法（草案）》二次審議稿正式在人大網(wǎng)公布，并向社會(huì)公開(kāi)征求意見(jiàn)。2016年11月十二屆人大常委會(huì)第24次會(huì)議上，以154票贊成、1票棄權(quán)表決通過(guò)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》。2017年6月《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，于2017年6月1日起正式生效。網(wǎng)絡(luò)安全事件分類(lèi)《國(guó)家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》中對(duì)網(wǎng)絡(luò)安全事件進(jìn)行了分類(lèi)，如下：信息破壞事件有害程序事件網(wǎng)絡(luò)攻擊事件災(zāi)害性事件設(shè)備設(shè)施故障信息內(nèi)容安全事件國(guó)家網(wǎng)絡(luò)安全事件等級(jí)分類(lèi)《國(guó)家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》明確了《網(wǎng)絡(luò)安全法》第五章“檢測(cè)預(yù)警和應(yīng)急預(yù)案”的具體實(shí)踐方案。并將網(wǎng)絡(luò)安全事件分為四級(jí)，應(yīng)對(duì)四級(jí)預(yù)警等級(jí)和四級(jí)應(yīng)急響應(yīng)。網(wǎng)絡(luò)安全事件等級(jí)預(yù)警等級(jí)應(yīng)急響應(yīng)等級(jí)特別重大網(wǎng)絡(luò)安全事件重大網(wǎng)絡(luò)安全事件較大網(wǎng)絡(luò)安全事件一般網(wǎng)絡(luò)安全事件紅色預(yù)警橙色預(yù)警黃色預(yù)警藍(lán)色預(yù)警Ⅰ級(jí)響應(yīng)Ⅱ級(jí)響應(yīng)Ⅲ級(jí)響應(yīng)Ⅳ級(jí)響應(yīng)應(yīng)急響應(yīng)概念應(yīng)急響應(yīng)（IncidentResponse/EmergencyResponse）通常是指一個(gè)組織為了應(yīng)對(duì)突發(fā)、重大信息安全事件的發(fā)生所做的準(zhǔn)備，以及在事件發(fā)生后所采取的措施

?！狦B/T24363-2009信息安全應(yīng)急響應(yīng)計(jì)劃規(guī)范信息系統(tǒng)安全事件應(yīng)急響應(yīng)的對(duì)象是指對(duì)信息系統(tǒng)所存儲(chǔ)、傳輸、處理的信息的安全事件。事件的主體可能來(lái)自自然界、系統(tǒng)自身故障、組織內(nèi)/外部的人員人為攻擊等。

——GA/T708-2007信息系統(tǒng)等保體系框架MPDRR網(wǎng)絡(luò)安全應(yīng)急響應(yīng)模型MPDRR模型是一個(gè)最常見(jiàn)的具有縱深防御體系的網(wǎng)絡(luò)安全模型。MPDRR模型包含了管理（Management）、防護(hù)（Protection）、檢測(cè)（Detection）、響應(yīng)（Reaction）和恢復(fù)（Recovery）5個(gè)環(huán)節(jié)。MPDRR模型是在PDRR模型基礎(chǔ)上發(fā)展而成，它繼承了PDRR模型的優(yōu)點(diǎn)，并加入了安全管理這一環(huán)節(jié)，從而將技術(shù)和管理融為一體。恢復(fù)管理響應(yīng)防護(hù)檢測(cè)防護(hù)檢測(cè)響應(yīng)恢復(fù)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)形式應(yīng)急響應(yīng)形式分為兩種：遠(yuǎn)程應(yīng)急響應(yīng)：客戶通過(guò)電話、Email、傳真等方式請(qǐng)求安全事件應(yīng)急響應(yīng)，應(yīng)急響應(yīng)組通過(guò)相同的方式為客戶解決問(wèn)題，應(yīng)急響應(yīng)一般先采取該方式。本地應(yīng)急響應(yīng)：應(yīng)急響應(yīng)組在第一時(shí)間趕往客戶網(wǎng)絡(luò)安全事件的事發(fā)地點(diǎn)，在現(xiàn)場(chǎng)為客戶查找原因并解決相應(yīng)問(wèn)題，最后出具詳細(xì)的應(yīng)急響應(yīng)報(bào)告。遠(yuǎn)程應(yīng)急響應(yīng)本地應(yīng)急響應(yīng)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)概述網(wǎng)絡(luò)安全應(yīng)急響應(yīng)介紹網(wǎng)絡(luò)安全應(yīng)急響應(yīng)流程網(wǎng)絡(luò)安全應(yīng)急響應(yīng)新趨勢(shì)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)是很重要的，現(xiàn)在網(wǎng)絡(luò)安全事件層出不窮，網(wǎng)絡(luò)安全應(yīng)急響應(yīng)預(yù)案能夠在網(wǎng)絡(luò)安全事件發(fā)生后，快速、高效的跟蹤、處理與防范各類(lèi)安全事件，確保網(wǎng)絡(luò)信息安全。就目前的網(wǎng)絡(luò)安全應(yīng)急監(jiān)測(cè)體系來(lái)說(shuō)，其應(yīng)急處理工作可分為以下幾個(gè)階段：網(wǎng)絡(luò)安全應(yīng)急響應(yīng)準(zhǔn)備階段檢測(cè)階段抑制階段根除階段恢復(fù)階段總結(jié)階段網(wǎng)絡(luò)安全應(yīng)急響應(yīng)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)處理流程網(wǎng)絡(luò)安全應(yīng)急響應(yīng)處理流程如下：開(kāi)始是否發(fā)生安全事件對(duì)事件定級(jí)上報(bào)結(jié)束響應(yīng)是否有應(yīng)急響應(yīng)預(yù)案否是啟動(dòng)預(yù)案抑制事件擴(kuò)散對(duì)事件進(jìn)行根除恢復(fù)系統(tǒng)評(píng)估損失編寫(xiě)總結(jié)報(bào)告否是準(zhǔn)備階段準(zhǔn)備階段：在網(wǎng)絡(luò)安全事件發(fā)生前，對(duì)可能發(fā)生的安全事件進(jìn)行評(píng)估，制定相應(yīng)策略和保障措施，來(lái)抑制安全事件的擴(kuò)散并將其根除。包括以下內(nèi)容：1.建立防御體系、控制措施2.兼顧安全管理和技術(shù)1.制定應(yīng)急處理操作步驟2.制定應(yīng)急處理報(bào)告3.制定信息系統(tǒng)恢復(fù)優(yōu)先級(jí)順序4.明確配合人員信息1.組建管理團(tuán)隊(duì)，技術(shù)團(tuán)隊(duì)2.明確人員職責(zé)3.編制應(yīng)急響應(yīng)人員組織清單1.明確信息系統(tǒng)網(wǎng)絡(luò)與架構(gòu)2.明確管理人員3.明確系統(tǒng)保護(hù)要求4.計(jì)算損失與影響1.繪制網(wǎng)絡(luò)拓?fù)?.整理系統(tǒng)、設(shè)備安裝配置文檔3.整理常見(jiàn)問(wèn)題處理手冊(cè)1.申請(qǐng)應(yīng)急響應(yīng)專項(xiàng)資金2.采購(gòu)應(yīng)急響應(yīng)軟硬件設(shè)備3.明確社會(huì)關(guān)系資源風(fēng)險(xiǎn)加固編制應(yīng)急預(yù)案組建應(yīng)急響應(yīng)團(tuán)隊(duì)保障資源儲(chǔ)備技術(shù)支持資源庫(kù)分析資產(chǎn)風(fēng)險(xiǎn)準(zhǔn)備階段檢測(cè)階段檢測(cè)階段：進(jìn)行日常監(jiān)控，收集系統(tǒng)信息。當(dāng)網(wǎng)絡(luò)安全事件發(fā)生時(shí)，判斷事件影響程度并根據(jù)信息安全事件等級(jí)進(jìn)行上報(bào)。檢測(cè)階段的主要工作如下：日常運(yùn)維監(jiān)控收集故障信息確認(rèn)系統(tǒng)運(yùn)行狀況信息安全事件探測(cè)確認(rèn)安全事件的影響范圍確認(rèn)安全事件造成的損害程度判斷是否是信息安全應(yīng)急事件安全事件判斷通知相關(guān)人員啟動(dòng)應(yīng)急響應(yīng)預(yù)案確認(rèn)安全事件類(lèi)型確認(rèn)安全事件等級(jí)安全事件上報(bào)抑制階段：限制攻擊的范圍，同時(shí)限制潛在的損失和破壞。在檢測(cè)階段階段確認(rèn)緊急事件發(fā)生的情況下，進(jìn)入應(yīng)急響應(yīng)流程。應(yīng)急響應(yīng)系統(tǒng)本身將根據(jù)預(yù)先制定的規(guī)則，采取相應(yīng)的措施，把緊急事件的影響降低到最小。這些措施主要包括：抑制階段A控制事件擴(kuò)散、蔓延1.初步分析，重點(diǎn)確定適當(dāng)?shù)亩糁品椒ǎ?.阻斷正在發(fā)起攻擊的行為，降低影響范圍。抑制響應(yīng)1.根據(jù)預(yù)案采取響應(yīng)的技術(shù)手段處理安全事件；2.設(shè)置隔離區(qū)域，匯總數(shù)據(jù)，估計(jì)損失。抑制監(jiān)控1.確認(rèn)抑制手段是否起作用；2.分析事件發(fā)生的原因，提供解決方案依據(jù)。根除階段根除階段：在安全事件被抑制后，找出事件根源并徹底根除才能真正的解決問(wèn)題。采取的措施如下：查找原因修補(bǔ)加固總結(jié)宣傳查找病毒、木馬；查找非法入侵行為；查找非法授權(quán)訪問(wèn)；查找系統(tǒng)漏洞等。升級(jí)系統(tǒng)補(bǔ)丁、軟件；修訂安全策略；啟用安全審計(jì)。分析原因，提供改善依據(jù)；加強(qiáng)公共宣傳。恢復(fù)階段把所有受侵害或被破壞的系統(tǒng)、應(yīng)用、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備等徹底地還原到它們正常的任務(wù)狀態(tài)。具體工作如下：對(duì)破壞的網(wǎng)絡(luò)設(shè)備進(jìn)行配置恢復(fù)；恢復(fù)被破壞的數(shù)據(jù)或系統(tǒng)；對(duì)所有的變更作備份；對(duì)重新上線的設(shè)備持續(xù)監(jiān)控，了解各其運(yùn)行情況。判斷隔離措施的有效性。根據(jù)具體情況適當(dāng)?shù)慕獬怄i措施，或去掉短期抑制措施中的防御措施。總結(jié)階段從已發(fā)生的安全事件出發(fā)、吸取安全事件響應(yīng)過(guò)程中的教訓(xùn)，回顧并總結(jié)發(fā)生安全事件的相關(guān)信息。主要內(nèi)容如下：應(yīng)急響應(yīng)總結(jié)應(yīng)急響應(yīng)情況報(bào)告安全事件調(diào)查由應(yīng)急響應(yīng)實(shí)施組報(bào)告安全事件處理情況；由應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組下達(dá)應(yīng)急響應(yīng)結(jié)束指令。01調(diào)查事件發(fā)生原因；評(píng)估對(duì)信息系統(tǒng)造成的損失；評(píng)估對(duì)單位、組織的影響。02對(duì)風(fēng)險(xiǎn)點(diǎn)加固整改；評(píng)價(jià)應(yīng)急預(yù)案的執(zhí)行情況，提出后續(xù)改進(jìn)計(jì)劃；對(duì)應(yīng)急響應(yīng)組織成員進(jìn)行評(píng)價(jià)。03網(wǎng)絡(luò)安全應(yīng)急響應(yīng)概述網(wǎng)絡(luò)安全應(yīng)急響應(yīng)介紹網(wǎng)絡(luò)安全應(yīng)急響應(yīng)流程網(wǎng)絡(luò)安全應(yīng)急響應(yīng)新趨勢(shì)全球重大安全事件物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)正蓬勃發(fā)展，新興技術(shù)正顛覆傳統(tǒng)，帶來(lái)源源不斷的變化。但是網(wǎng)絡(luò)安全事件層出不窮，讓人們對(duì)網(wǎng)絡(luò)安全的更加關(guān)注。2016年11月，美國(guó)大選前夕，總統(tǒng)候選人個(gè)人郵箱數(shù)千封郵件被黑客公之于眾。事后美國(guó)國(guó)會(huì)參議院情報(bào)委員會(huì)認(rèn)定，俄羅斯干預(yù)了美國(guó)總統(tǒng)選舉。2017年11月8日，美國(guó)拉斯維加斯無(wú)人駕駛巴士獲準(zhǔn)上路，駕駛過(guò)程中巴士探測(cè)到了前方有障礙，但是沒(méi)有倒車(chē)躲避。造成與卡車(chē)“剮蹭”事件。2017年5月12日，WannaCry蠕蟲(chóng)通過(guò)MS17-010漏洞在全球范圍大爆發(fā)。至少150個(gè)國(guó)家、30萬(wàn)名用戶中招，造成損失達(dá)80億美元。2018年3月，爆出劍橋分析在未經(jīng)用戶同意的情況下，利用Facebook上5000萬(wàn)個(gè)人資料數(shù)據(jù)創(chuàng)建檔案，并在2016美國(guó)大選時(shí)進(jìn)行定向宣傳。針對(duì)網(wǎng)絡(luò)安全法律法規(guī)形勢(shì)2017年，各國(guó)網(wǎng)絡(luò)安全法律法規(guī)圍繞關(guān)鍵基礎(chǔ)設(shè)施、個(gè)人數(shù)據(jù)安全、網(wǎng)絡(luò)應(yīng)急響應(yīng)等核心制度展開(kāi)試點(diǎn)，部分國(guó)家在以自動(dòng)駕駛安全保障的領(lǐng)域出臺(tái)了嘗試性規(guī)定。

英國(guó)德國(guó)《自動(dòng)化和互聯(lián)網(wǎng)車(chē)輛交通倫理準(zhǔn)則》對(duì)飽受爭(zhēng)議的自動(dòng)駕駛倫理進(jìn)行了明確。如禁止對(duì)“兩難決策”進(jìn)行事先編程；自動(dòng)化系統(tǒng)所造成的損害遵從產(chǎn)品責(zé)任原則等?！堵?lián)網(wǎng)和自動(dòng)駕駛汽車(chē)網(wǎng)絡(luò)安全核心原則》將網(wǎng)絡(luò)安全責(zé)任拓展到汽車(chē)供應(yīng)鏈的每一方利益主體，要求將網(wǎng)絡(luò)安全貫穿到汽車(chē)整個(gè)生命周期。并設(shè)定了車(chē)輛網(wǎng)絡(luò)安全底線：即使遭到攻擊，也要保證車(chē)輛基本運(yùn)行安全。網(wǎng)絡(luò)安全應(yīng)急響應(yīng)趨勢(shì)2017年，以WannaCry勒索病毒為代表的全球網(wǎng)絡(luò)攻擊任處于高發(fā)態(tài)勢(shì)，突發(fā)性事件面前，各國(guó)監(jiān)控預(yù)警失效，攻防實(shí)力懸殊，應(yīng)急響應(yīng)被動(dòng)。對(duì)此，美國(guó)、比利時(shí)等國(guó)調(diào)整了應(yīng)急思路。美國(guó)新形勢(shì)比利時(shí)整體創(chuàng)新摒棄美國(guó)《國(guó)家網(wǎng)絡(luò)應(yīng)急響應(yīng)計(jì)劃》中預(yù)防保護(hù)、偵測(cè)、分析、反應(yīng)和解決五個(gè)步驟的死板做法；重新將應(yīng)急響應(yīng)劃分為資產(chǎn)響應(yīng)、威脅響應(yīng)和情報(bào)支持三條主線，多條戰(zhàn)線同時(shí)啟動(dòng)，各司其職，不分先后。抗壓能力評(píng)估在目前網(wǎng)絡(luò)環(huán)境之下，網(wǎng)絡(luò)攻擊不可避免，事故發(fā)生時(shí)盡可能地限制損害范圍，要求對(duì)可能受到損害的網(wǎng)絡(luò)基礎(chǔ)設(shè)施、互聯(lián)網(wǎng)信息服務(wù)應(yīng)用等列出盤(pán)點(diǎn)清單。下列哪個(gè)選項(xiàng)不屬于PDRR網(wǎng)絡(luò)安全模型？（）防護(hù)檢測(cè)響應(yīng)管理下列哪個(gè)選項(xiàng)不屬于網(wǎng)絡(luò)安全事件中劃分的等級(jí)？（）重大網(wǎng)絡(luò)安全事件特殊網(wǎng)絡(luò)安全事件一般網(wǎng)絡(luò)安全事件較大網(wǎng)絡(luò)安全事件網(wǎng)絡(luò)安全應(yīng)急響應(yīng)概述網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的產(chǎn)生網(wǎng)絡(luò)安全應(yīng)急響應(yīng)概述網(wǎng)絡(luò)安全應(yīng)急響應(yīng)介紹網(wǎng)絡(luò)安全應(yīng)急響應(yīng)流程網(wǎng)絡(luò)安全應(yīng)急響應(yīng)新趨勢(shì)信息安全技術(shù)總復(fù)習(xí)網(wǎng)絡(luò)參考模型常見(jiàn)網(wǎng)絡(luò)設(shè)備N(xiāo)AT地址轉(zhuǎn)換防火墻雙機(jī)熱備加解密技術(shù)應(yīng)用1.網(wǎng)絡(luò)參考模型OSI七層模型應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層1234567提供應(yīng)用程序間通信處理數(shù)據(jù)格式、數(shù)據(jù)加密等建立、維護(hù)和管理會(huì)話建立主機(jī)端到端連接尋址和路由選擇提供介質(zhì)訪問(wèn)、鏈路管理等比特流傳輸APDUPPDUSPDUSegmentPacketFrameBit上三層下四層TCP/IP參考模型提供應(yīng)用程序網(wǎng)絡(luò)接口建立端到端連接尋址和路由選擇物理介質(zhì)訪問(wèn)HTTP,Telnet,FTP,TFTP,DNS網(wǎng)絡(luò)接口層網(wǎng)絡(luò)層傳輸層應(yīng)用層Ethernet,802.3,PPP,HDLC,FRTCP/UDPIPICMP,IGMPARP,RARP2.常見(jiàn)網(wǎng)絡(luò)設(shè)備交換機(jī)交換機(jī)工作在數(shù)據(jù)鏈路層，轉(zhuǎn)發(fā)數(shù)據(jù)幀。SWA主機(jī)A主機(jī)C主機(jī)BIP:/24MAC:00-01-02-03-04-AAIP:/24MAC:00-01-02-03-04-BBIP:/24MAC:00-01-02-03-04-CCG0/0/1G0/0/2G0/0/3交換機(jī)的轉(zhuǎn)發(fā)行為泛洪（Flooding）轉(zhuǎn)發(fā)（Forwarding）丟棄（Discarding）路由器功能：在不同的網(wǎng)絡(luò)之間轉(zhuǎn)發(fā)數(shù)據(jù)包。網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層RouterARouterBRouterC應(yīng)用層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層HostAHostB應(yīng)用層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層RouterCRouterBRouterA路由選路路由器負(fù)責(zé)為數(shù)據(jù)包選擇一條最優(yōu)路徑，并進(jìn)行轉(zhuǎn)發(fā)。RTARTBRTCRTD防火墻防火墻主要用于保護(hù)一個(gè)網(wǎng)絡(luò)區(qū)域免受來(lái)自另一個(gè)網(wǎng)絡(luò)區(qū)域的網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)入侵行為。防火墻安全區(qū)域安全區(qū)域（SecurityZone），或者簡(jiǎn)稱為區(qū)域（Zone）。Zone是本地邏輯安全區(qū)域的概念。Zone是一個(gè)或多個(gè)接口所連接的網(wǎng)絡(luò)。DMZ區(qū)域Trust區(qū)域Untrust區(qū)域防火墻安全區(qū)域與接口關(guān)系安全區(qū)域與接口關(guān)系防火墻是否存在兩個(gè)具有完全相同安全級(jí)別的安全區(qū)域？防火墻是否允許同一物理接口分屬于兩個(gè)不同的安全區(qū)域？防火墻的不同接口是否可以屬于同一個(gè)安全區(qū)域？G0/0/2

DMZ區(qū)域G0/0/3

Untrust區(qū)域G0/0/0

Trust區(qū)域G0/0/1

Trust區(qū)域防火墻安全策略定義安全策略是按一定規(guī)則控制設(shè)備對(duì)流量轉(zhuǎn)發(fā)以及對(duì)流量進(jìn)行內(nèi)容安全一體化檢測(cè)的策略。規(guī)則的本質(zhì)是包過(guò)濾。主要應(yīng)用對(duì)跨防火墻的網(wǎng)絡(luò)互訪進(jìn)行控制。對(duì)設(shè)備本身的訪問(wèn)進(jìn)行控制。入數(shù)據(jù)流出數(shù)據(jù)流防火墻安全策略的原理BBAABBBAAAA

AAAAAAPolicy0：允許A后續(xù)操作Policy1：拒絕B后續(xù)操作防火墻安全策略防火墻安全策略作用：根據(jù)定義的規(guī)則對(duì)經(jīng)過(guò)防火墻的流量進(jìn)行篩選，并根據(jù)關(guān)鍵字確定篩選出的流量如何進(jìn)行下一步操作。步驟1：入數(shù)據(jù)流經(jīng)過(guò)防火墻步驟2：查找防火墻安全策略判斷是否允許下一步操作步驟３：防火墻根據(jù)安全策略定義規(guī)則對(duì)數(shù)據(jù)包進(jìn)行處理默認(rèn)策略操作3.NAT地址轉(zhuǎn)換NAT產(chǎn)生背景IPv4地址日漸枯竭；IPv6技術(shù)不能立即大面積替換；各種延長(zhǎng)IPv4壽命的技術(shù)不斷出現(xiàn)，NAT就是其中之一。NAT的優(yōu)點(diǎn)與缺點(diǎn)優(yōu)點(diǎn)：實(shí)現(xiàn)IP地址復(fù)用，節(jié)約寶貴的地址資源。地址轉(zhuǎn)換過(guò)程對(duì)用戶透明。對(duì)內(nèi)網(wǎng)用戶提供隱私保護(hù)?？蓪?shí)現(xiàn)對(duì)內(nèi)部服務(wù)器的負(fù)載均衡。缺點(diǎn)：網(wǎng)絡(luò)監(jiān)控難度加大。限制某些具體應(yīng)用。NAT技術(shù)的基本原理NAT技術(shù)通過(guò)對(duì)IP報(bào)文頭中的源地址或目的地址進(jìn)行轉(zhuǎn)換，可以使大量的私網(wǎng)IP地址通過(guò)共享少量的公網(wǎng)IP地址來(lái)訪問(wèn)公網(wǎng)。內(nèi)網(wǎng)用戶FTPServer將私網(wǎng)源地址替換為公網(wǎng)地址將公網(wǎng)目的地址替換為私網(wǎng)地址目的IP：源IP：目的IP：源IP：目的IP：源IP：目的IP：源IP：NAT分類(lèi)源NAT地址池方式出接口地址方式（EasyIP）服務(wù)器映射靜態(tài)映射（NATserver）源NAT地址池方式(1)不帶端口轉(zhuǎn)換的地址池方式。此種方式為一對(duì)一的IP地址的轉(zhuǎn)換，端口不進(jìn)行轉(zhuǎn)換。丟棄Untrust轉(zhuǎn)換Trust源

目的源1目的源NAT地址池方式(2)帶端口轉(zhuǎn)換的地址池方式。將不同的內(nèi)部地址映射到同一公有地址的不同端口號(hào)上，實(shí)現(xiàn)多對(duì)一地址轉(zhuǎn)換。：7111：7112：7113Untrust轉(zhuǎn)換Trust源1源端口X

目的源源端口Y目的4.防火墻雙機(jī)熱備雙機(jī)熱備技術(shù)產(chǎn)生的原因傳統(tǒng)的組網(wǎng)方式如圖所示，內(nèi)部用戶和外部用戶的交互報(bào)文全部通過(guò)FirewallA。如果FirewallA出現(xiàn)故障，內(nèi)部網(wǎng)絡(luò)中所有以FirewallA作為默認(rèn)網(wǎng)關(guān)的主機(jī)與外部網(wǎng)絡(luò)之間的通訊將中斷，通訊可靠性無(wú)法保證。FirewallA/24PC服務(wù)器內(nèi)部網(wǎng)絡(luò)/24VRRP在多區(qū)域防火墻組網(wǎng)中的應(yīng)用為防火墻上多個(gè)區(qū)域提供雙機(jī)備份功能時(shí)，需要在每一臺(tái)防火墻上配置多個(gè)VRRP備份組。DMZTrustUntrustUSGA/24MasterUSGBBackup/24備份組1VirtualIPAddress備份組2VirtualIPAddress備份組3VirtualIPAddressVRRP在防火墻應(yīng)用中存在的缺陷傳統(tǒng)VRRP方式無(wú)法實(shí)現(xiàn)主、備用防火墻狀態(tài)的一致性。USGAMasterUSGBBackupTrustDMZUntrustPC1PC2(1)(2)(3)(4)(7)會(huì)話表項(xiàng)Server(5)(6)(8)實(shí)際連線報(bào)文流徑(9)VRRP用于防火墻多區(qū)域備份為了保證所有VRRP備份組切換的一致性，在VRRP的基礎(chǔ)上進(jìn)行了擴(kuò)展，推出了VGMP（VRRPGroupManagementProtocol）來(lái)彌補(bǔ)此局限。DMZTrustUntrustUSGA/24vUSGB/24備份組2備份組3備份組1VGMP管理組VGMP管理組helloackVGMP組管理狀態(tài)一致性管理VGMP管理組控制所有的VRRP備份組統(tǒng)一切換。搶占管理當(dāng)原來(lái)出現(xiàn)故障的主設(shè)備故障恢復(fù)時(shí)，其優(yōu)先級(jí)也會(huì)恢復(fù)，此時(shí)可以重新將自己的狀態(tài)搶占為主。HRP基本概念HRP（HuaweiRedundancyProtocol）協(xié)議，用來(lái)實(shí)現(xiàn)防火墻雙機(jī)之間動(dòng)態(tài)狀態(tài)數(shù)據(jù)和關(guān)鍵配置命令的備份。VRRP組1VRRP組2VRRP組3①②③④⑤UntrustTrustDMZ會(huì)話表⑥FWAFWBHRP心跳接口兩臺(tái)FW之間備份的數(shù)據(jù)是通過(guò)心跳口發(fā)送和接收的，是通過(guò)心跳鏈路（備份通道）傳輸?shù)?。心跳口必須是狀態(tài)獨(dú)立且具有IP地址的接口，可以是一個(gè)物理接口（GE接口），也可以是為了增加帶寬，由多個(gè)物理接口捆綁而成的一個(gè)邏輯接口Eth-Trunk。VRRP備份組配置命令-CLI接口視圖下配置VRRP：執(zhí)行此命令時(shí)，指定active或standby參數(shù)后，即將該VRRP組加入了VGMP管理組的Active或Standby管理組。每個(gè)普通物理接口（GigabitEthernet接口）下最多配置255個(gè)VRRP組。vrrpvridvirtual-router-IDvirtual-ipvirtual-address[ip-mask|ip-mask-length]{active|standby}HRP配置命令-CLI指定心跳口啟用HRP備份功能啟用允許配置備用設(shè)備的功能啟用命令與狀態(tài)信息的自動(dòng)備份啟用會(huì)話快速備份hrpinterfaceinterface-typeinterface-number[remote{ip-address|ipv6-address}]hrpenablehrpstandbyconfigenablehrpauto-sync[config|connection-status]hrpmirrorsessionenableVRRP配置舉例-CLIUSG_A關(guān)于VRRP組1配置：USG_B關(guān)于VRRP組1的配置：[USG_A]interfaceGigabitEthernet1/0/1[USG_A-GigabitEthernet1/0/1]ipaddress24[USG_A-GigabitEthernet1/0/1]vrrpvrid1virtual-ipactive[USG_B]interfaceGigabitEthernet1/0/1[USG_B-GigabitEthernet1/0/1]ipaddress24[USG_B-GigabitEthernet1/0/1]vrrpvrid1virtual-ipstandbyHRP配置舉例-CLIUSG_A關(guān)于HRP配置：[USG_A]hrpenable[USG_A]hrpmirrorsessionenable[USG_A]hrpinterfaceGigabitEthernet1/0/6查看VRRP狀態(tài)-CLI查看處于VRRP備份組中的接口狀態(tài)信息：HRP_A<USG_A>displayvrrpinterfaceG1/0/3GigabitEthernet1/0/3|VirtualRouter2VRRPGroup: