网络应急响应预案

1、网络应急响应预案,教学要求,网络应急响应是保障信息网络可生存性的必要手段和措施。网络安全应急响应预案涉及的内容有：网络应急响应的概念、响应策略的制定、响应组件的设计。涉及的技术有主机保护、网络入侵检测、事件检测、隔离与快速恢复、网络追踪、计算机取证等。本章从应急响应概念和基础入手，分析了应急响应的相关知识和技术手段。目的是读者了解建立网络应急响应预案和安全防护体制的知识,主要内容,网络应急响应预案概述 网络应急响应策略的制定 网络应急响应相关技术 网络应急响应系统的部署 习题 实训 教学重点：响应策略的制定、应急响应相关技术等,7.1网络应急响应预案概述,进入21世纪以后，网络安全这一全球性问

2、题骤然变得突 出起来。如2000年Yahoo等网站遭到大规模拒绝服务攻 击，2001年爆发了红色代码等蠕虫事件，2002年全球的 根域名服务器遭到大规模拒绝服务攻击，2003年又爆发 了SQL Slammer等蠕虫事件，在短时间内大范围地传播 感染上万台计算机，造成很多企业和团体网络瘫痪。 对于可能在较大范围内发生，传播速度快，影响范围 广，造成危害大，紧急发生的网络违规行为应该建立网 络应急响应预案体系，在出现紧急情况后及时报警和隔 离排除故障，以最大限度地降低可能造成的风险和损失,7.1.1 网络应急响应概念,应急响应（Emergency Response）通常是 指一个组织为了应对各种意

3、外事件的发生所 做的准备以及在事件发生后所采取的措施。 计算机网络安全事件应急响应的对象是指针 对计算机或网络所存储、传输、处理的信息 的安全事件，事件的主体可能来自自然界、 系统自身故障、组织内部或外部的人、计算 机病毒或蠕虫等,7.1.2为什么需要建立网络应急响应预案,1 网络安全的保障基础是大规模的检测、预警和响应系统。 2 应急响应是保障信息网络可生存性的必要手段和措施。 3 应急响应是积极防御和纵深防御体系中的最后一道防线。 4 由于技术的因素，信息技术不对称，网络漏洞必然存在。 对网络安全事件进行应急响应是必不可少的重要环节。 5 应急响应是入侵管理过程中的关键环节。 6 应急响应

4、是降低风险的主动有效措施，是增强积极防御 能力的手段,7.1.3网络应急响应预案体系的现状与发展,1网络应急响应预案体系的现状 随着互联网的高速发展，网络安全威胁越来越多。为了增强 积极防御能力，降低风险和减少损失，目前很多国家、组织 和单位已经认识到建设应急响应体系的重要性和迫切性，分 别建立了网络应急处理组织和应急响应体系。 中国1999年在清华大学成立了中国教育和科研网紧急响应组 (CCERT)，是中国第一个计算机安全应急响应组。国家因特 网应急小组也于2000年10月成立了 “国家计算机网络应急处 理协调中心”，简称CNCERT, 协调全国范围内计算机安全应 急响应小组的工作，以及与国

5、际计算机安全组织的交流,2网络应急响应的发展方向 （1）技术的发展 入侵检测 自动响应 入侵的追踪方法 取证工具 (2) 社会的发展 制度 法律 协同响应,7.2网络应急响应策略的制定,网络应急响应体系的建立不仅仅是技术故障处理与应急响应，需要多方面共同参与，采用技术手段并制定严格的应急响应策略，形成事件处理的工作流程，及时快速地反应和处理网络安全突发事件。 完善的网络应急响应策略根据突发事件的特点可分为6个步骤和阶段，从技术和管理方面进行制定,7.2.1计划与准备阶段 此阶段以预防为主。主要进行实施预防措施，制定 事件响应计划、指南和程序，组建应急响应小组， 准备必要的资源。 7.2.2 确

6、认阶段 主要确定事件性质和处理人选。此阶段进行初步调 查，确定是否真有事件发生，保留关键证据。按照 预先设定的程序，向相关人员报告。 7.2.3 事件调查与分析阶段 及时采取行动遏制事件发展，展开调查，根据突发事件的性质和严重程度决定采用何种响应策略,7.2.4 事件处理阶段 彻底解决问题隐患，根据优先级的考虑，限制或根 除事件，将事件影响降低到最低程度。 7.2.5 恢复阶段 使受影响的系统或业务恢复到正常的运转状态，详 细记录事件响应过程、调查步骤和补救方法。 7.2.6 跟踪阶段 继续监视系统或网络的运行情况，分析和回顾事件 经过，总结经验教训，解决其他问题（比如法律问 题,7.3网络应

7、急响应相关技术,7.3.1 主机保护 面对网络安全威胁，日常应该做好主机系统的保护和 准备，最大限度地减少系统漏洞。 1数据备份 2启用安全审核记录 3及时更新补丁 4安装杀毒软件 5关闭不必要的服务,7.3.2 入侵检测 入侵检测是部署应急响应支撑系统的基础，入侵检 测与应急响应是紧密相关的, 发现对网络和系统的攻 击或入侵才能触发响应的动作。入侵检测可以由系 统自动完成，包括网络入侵检测系统和主机入侵检 测系统，分别对网络和重要服务器进行防护,7.3.3 事件的诊断分析,1现场响应步骤 在出现网络入侵或紧急情况时，应启动应急预案策略，采取现场响应。 2Windows主机系统的调查 3Lin

8、ux主机系统的调查 4其它工具,7.3.4 攻击源的隔离与快速恢复,1攻击源隔离 在确定了事件类型、攻击来源以后，及时地隔离攻 击源是防止事件影响扩大化的有效措施， 比如对于 影响严重的计算机病毒或蠕虫。 2数据恢复 一旦检测出WEB服务器被入侵、主页被篡改的事件， 响应政策可能首先是尽快恢复服务器的正常运行， 把事件的负面影响降到最小。 快速恢复可能涉及完整 性检测、域名切换等技术,7.3.5 网络追踪,1IP 追踪 IP 追踪主要处理在攻击者采用虚假IP 地址的情况 下，如何识别发送此IP 数据报的主机。 2基于网络的连接链追踪 可采用连接内容分析方法、时间分析方法和TCP 序 号分析方法等。 3基于协议的连接链追踪方法 对协议和回话进行鉴别,7.3.6 计算机取证,计算机取证涉及到对计算机数据的保存、识别、记录以及解释。 1计算机取证的基本原则 2计算机取证的主要技术步骤,7.4网络应急响应系统的部署,7.4.1网络应急响应系统的建立 网络应急响应支撑系统必须具有如下七大技术功能： 1预警功能 2分布式部署 3集中管理 4异常分析 5综合分析 6入侵管理 7及时响应,7.4.2网络应急响应系统的相关产品,1. CA eTrust系列 2. Symantec系列应急预警系统 3. 启明星辰系列安全服务与产品,7.5 小结,本章主要介绍