互联网网络安全应急工作回顾与展望ppt课件

1、我国互联网网络平安与应急呼应开展与现状国家计算机网络应急技术处置协调中心运转部 张冰2004.12.24 CERNET2004年会主题互联网网络平安面临艰苦挑战我国互联网网络平安应急任务现状应急组织、战略和方法互联网网络平安应急任务展望结论互联网网络平安面临艰苦挑战网络平安破绽大量存在数据来源CERT/CC网站网络平安破绽大量存在Windows十大平安隐患Web效力器和效力任务站效力Windows远程访问效力微软SQL效力器Windows认证Web阅读器文件共享LSAS Exposures电子邮件客户端 即时信息Unix十大平安隐患BIND域名系统Web效力器认证版本控制系统电子邮件传输效力简

2、单网络管理协议开放平安衔接通讯层企业效力NIS/NFS 配置不当数据库内核来源SANS研讨报告网络平安破绽放展趋势利用破绽发动攻击的速度加快：Symantec统计，2004年上半年，破绽公布到攻击代码出现时间：5.8天要挟程度不断添加2004年1-6月，有攻击代码的破绽中64%属于高度危险，36%属于中度危险破绽利用分析人员兴趣的变化Web运用的破绽越来越多Symantec统计，2004年上半年公布了479个与Web运用有关的破绽，占总数的39%病毒、蠕虫、木马等在互联网上大行其道事例1988年11月：Morris蠕虫，互联网主体瘫痪1989年10月：Wank蠕虫2001年：红色代码、尼姆达蠕

3、虫事件2003年：SQL SLAMMER、口令蠕虫事件、冲击波蠕虫事件2004年5月：震荡波蠕虫事件相互结合，危害无穷“红色代码将网络蠕虫、计算机病毒、木马程序合为一体CNCERT/CC经过抽样监测发现，仅2004年上半年，我国遭到Mydoom蠕虫、利用RPC破绽和LSASS破绽的几类主要蠕虫攻击的主机数目接近200万台网络平安呵斥损失越来越大网络堵塞SQL SLAMMER：2003年1月25日发作,呵斥大面积网络拥塞，部分骨干网络瘫痪，韩国网络根本处于瘫痪形状,我国境内感染主机22600余台业务停顿2001年的红色代码蠕虫就曾经导致航空售票系统瘫痪，旅客滞留机场的事件类似事件还有网上招生停顿

4、、网上买卖中断等，要挟生命？呵斥的财富损失难以估计，数字绝非耸人听闻2001年，尼姆达蠕虫呵斥的损失估计大大超越26亿美圆报道：黑客每年给全世界电脑网络带来的损失估计高达100多亿美圆切肤之痛？攻击手段越发“高超破绽发布到攻击出现的时间越来越短Witty蠕虫事件花样翻新，防不胜防尼姆达蠕虫：经过email、共享网络资源、IIS效力器传播变种速度令人惊叹黑客：从单打独斗到“精诚协作Botnet攻击程序日益自动化、并辍手可得攻击范围和时间的变化全面框架区域网络多个局域网单个局域网单个pc目的和破坏的范围1980s1990sTodayFuture第一代Boot virusesWeeks第二代Macr

5、o virusesDenial of serviceDays第三代Distributed denial of serviceBlended threatsMinutes下一代Flash threatsMassive worm-driven DDoSDamaging payload wormsSeconds快速变化的要挟攻击复杂度与攻击者的技术程度高低19801985199019952000猜口令自我复制程序口令破解攻击知破绽破坏审计后门程序干扰通讯手动探测窃听数据包欺骗图形化界面自动扫描回绝效力www攻击工具攻击者攻击者的知识程度攻击的复杂度隐秘且高级的扫描工具偷窃信息网管探测分布式攻击工具新

6、型的跨主机工具2004年网络平安热点网站仿冒Phishing建立假网站经过渣滓邮件发送效力器大量发信诱惑用户访问运用中奖、系统晋级等手段诱运用户输入个人信息主要针对银行和信誉卡效力机构2004年网络平安热点基于Botnet的网络敲诈大量主机被安装了BOT黑客可以经过IRC效力器实施控制随时能够发动攻击BOT可以进展晋级，扩展攻击才干2004年网络平安热点手机和无线网络WLAN的平安2004年，针对运用Symbian的兰牙手机的病毒出现针对运用PocketPC的验证性攻击程序也被发现手机功能和操作系统通用性不断加强，会有越来越多针对手机的攻击WLAN平安性不断是其运用的关键问题2004年出现了可

7、利用来对IEEE 1278.11b无线接入点进展回绝效力攻击的破绽我国互联网网络平安应急任务现状国家整体平安战略需求国家信息化指点小组第三次会议上强调： “加强信息平安保证任务，重点在于坚持积极防御、综合防备；全面提高信息平安防护才干；重点保证信息网络和重要信息系统平安；创建平安安康的网络环境；保证和促进信息化开展，维护公众利益，维护国家平安；立足国情、以我为主、管理与技术并重、统筹规划、突出重点；发扬各界积极性，共同构筑国家信息平安保证体系。国家整体平安战略需求中办发2003 27号文指出：“信息平安保证任务的要点在于，实行信息平安等级维护制度，建立基于密码技术的网络信任体系，建立信息平安监

8、控体系，注重信息平安应急处置任务，推进信息平安技术研发与产业开展，建立信息平安法制与规范国家信息平安战略的近期目的：经过五年的努力，根本建成国家信息平安保证体系。网络平安应急任务的根本目的积极预防及时发现快速呼应确保恢复网络平安应急任务的根本原那么加强指点一致指挥分工担任 积极预防常备不懈及时预警 协作配合 快速处置确保恢复 互联网网络平安应急预案组织体系和职责明确责任、组织保证预警和预防机制事件分级、监测、预警预防、平台要求应急呼应分级呼应、及时通报/上报信息、协调配合后期处置总结、奖惩评定及表扬应急保证预备预案、队伍、培训、经费、演练、联络机制、监视检查、技术贮藏互联网网络平安应急预案提出

9、的要求举例各运营性互联单位配合CNCERT/CC，每天12时以前采集其互联网24小时内的运转形状数据发生二级/报警网络平安事件，CNCERT/CC要在8小时内提出建议方案；发生二级/报警网络平安事件，12小时要上报事件动态如何落实？我国公共互联网应急体系从无到有从小到大从弱到强从点到面正面阅历：2003.SQL Slammer/口令蠕虫组织：CNCERT/CC；CCERT；各运营商CERT；国际组织效率：两小时判别情况，半天控制局势总结：应急体系发扬了重要作用潜在的问题还有很多CNCERT/CC简介国家计算机网络应急技术协调处置中心2000年成立，2003年7月中编办同意现名英文“Nation

10、al Computer network Emergency Response technical Team/Coordination Center of China职责和定位“在信息产业部互联网应急处置协调办公室的直接指点下,担任协调我国各计算机网络平安事件应急小组(CERT)共同处置国家公共互联网上的平安紧急事件，为国家公共互联网、国家主要网络信息运用系统以及关键部门提供计算机网络平安的监测、预警、应急、防备等平安效力和技术支持,及时搜集、核实、汇总、发布有关互联网平安的权威性信息,组织国内计算机网络平安应急组织进展国际协作和交流的组织。目前具备的主要才干大规模异常事件的发现才干实际上确认大

11、规模网络平安事件所需求时间不到原来的非常之一艰苦网络平安事件的初步监测分析才干包括感染范围和速度、控制效果、对网络的影响情况等攻击事件的分布式自动验证拓扑发现和定位分析分布式问题网站发现系统2004年1-10月接到事件报告情况与国际应急组织亲密协作Global Problem, Global Solution：跨国进展的计算机攻击事件的处置推进了国际应急组织的协作2002年8月，成为FIRST正式成员APCERT开创成员和指点委员会成员同韩国、日本、马来西亚、巴西、澳大利亚多个国家CERT组织坚持亲密的协作开场与东盟、泛美、欧洲等地域CERT组织建立协作渠道应急组织、战略和方法一些建议面临的根

12、本问题如何用合理的投入，使组织面临的整体网络平安风险降低到可以接受的程度平安是相对的，不是绝对的不同层面：国家、企业、个人能否真正知道面临哪些风险？如何描画风险？平安的程度不是用投入多少来衡量？如何保证整体的平安有明确整体的网络平安战略适宜组织需求的网络平安应急小组至少应该有POC详细的规章、流程、手册，并真正得到贯彻建立监测技术平台与应急工具库开展应急培训、演练网络平安知识、信息、阅历积累、共享与交换提高组织和个人网络平安认识一切都要真正得到贯彻和执行！网络平安应急组织根底计算机平安事件相应小组CSIRT: Computer Security Incident Response Team担任

13、在确定的组织范围内，执行、协调、支持对计算机实际做出呼应的小组CNCERT/CC、CCERT了解组织本身的需求为什么需求CSIRT?组织的现状?部门之间如何联络？担任人？需求压服那些关键人物?现有的根底：内部的和外部的?事件处置小组？平安流程?平安战略?法规?规范?带来哪些益处，存在哪些妨碍?CSIRT对整体整体目的带来哪些益处？商业优势、投资报答?看看国外的情况全球应急组织论坛亚太应急组织欧洲平安事件交换方案事件处置的普通阶段第一阶段：预备让我们严阵以待第二阶段：确认对情况综合判别第三阶段：封锁制止事态的扩展第四阶段：根除彻底的补救措施第五阶段：恢复备份，顶上去！第六阶段：跟踪还会有第二次吗

14、Handling the Incident恢复Recovery根除Eradication发现Identification预防Preparation控制Containment跟踪Follow up AnalysisIncident Response Life Cycle第一阶段预备预防为主协助效力对象建立平安政策协助效力对象按照平安政策配置平安设备和软件扫描，风险分析，打补丁如有条件且得到答应，建立监控设备应急联络机制建立事件报告的机制和要求建立事件报告流程和规范IntranetPhoneWho?What?When?Where?How?Reporting Mechanisms第二阶段确认确定事件

15、的责任人指定一个责任人全权处置此事件给予必要的资源确定事件的性质误解？玩笑？还是恶意的攻击/入侵？影响的严重程度估计采用什么样的公用资源来修复？第三阶段封锁即时采取的行动防止进一步的损失，确定后果确定适当的封锁方法咨询平安政策确定进一步操作的风险损失最小化可列出假设干选项，讲明各自的风险，由效力对象选择第四阶段根除长期的补救措施确定缘由，定义征兆分析破绽加强防备消除缘由修正平安政策第五阶段恢复被攻击的系统由备份来恢复作一个新的备份把一切平安上的变卦作备份效力重新上线继续监控第六阶段跟踪关注系统恢复以后的平安情况，特别是曾经出问题的地方建立跟踪文档，规范记录跟踪结果对呼应效果给出评价网络平安应急

16、技术根底入侵检测系统调查分析系统事件描画与交换系统事件管理系统备份恢复系统应急公用工具(扫描器、补丁管理)网络平安管理平台(SOC)更多响应式服务预防式服务安全质量管理服务警报和警告事件处理事件分析现场事件响应事件响应支持事件响应协调安全漏洞处理安全漏洞分析安全漏洞响应安全漏洞响应协调Artifact处理Artifact分析Artifact响应Artifact响应协调公告技术监测与安全审计评估安全工具、应用程序和基础设施的配置和维护安全工具的开发入侵检测服务安全有关的信息的传播风险分析服务持续性和灾难恢复规划安全性咨询建立安全意识教育/培训产品评估或认证应急是一种效力应急人员的根本素质根本的专

17、业知识，最好拥有专门的认证超强的学习才干，跟上网络平安事件开展良好的沟通交流才干丰富的事件处置、分析、调查阅历撰写规范的事件处置报告的才干互联网网络平安应急任务展望道高？魔高？攻击者：发现破绽编写攻击代码(测试)执行攻击防御者：发现破绽发布音讯开发补丁程序发布补丁风险检查监测攻击分析恶意代码控制传播Propagation Control发布补丁和工具恢复被入侵系统晋级/调整/评价对手有多快？破绽随时被发现攻击代码出现加快:6天甚至更快零日攻击开场出现10到30分钟使整个互联网瘫痪曾经成为能够Well, how fast can we be, then ?很长的路要走典型破绽引发的平安事件数量变

18、化曲线Time事件数量发现破绽公布破绽公布补丁程序实施补丁安装CSIRT厂商/协调机构职责划分CSIRT开场行动CSIRT开场行动CSIRT开场行动CSIRT开场行动CSIRT开场行动应对大规模的自动攻击如何对付DDoS、BotNet等大范围跨域的大规模网络攻击？快速控制、清查源头、彻底去除、调查取证被利用来进展犯罪活动，DDoS攻击呵斥损失越来越大经济影响和社会影响如何真正处理这些问题？实时跨网防御概念Real-time Inter-network Defense (RID)Trace Security Incidents to the SourceStop or Mitigate the Effects of an Attack or Security IncidentFacilitate Communications between Network ProvidersIntegrate with existing and future network componentsSystems to trace traffic a