信息安全技术（HCIA-Security）（微课版）（第2版） 课件 第15章 网络安全应急响应、复习

网络安全应急响应各国应该深化务实合作，以共进为动力，以共赢为目标，走出一条互信共治之路，让网络空间命运共同体更具生机活力。文字学习5G这张网改变了什么？拓展主题爱国主义、科技强国、技能强国物联网、移动互联网、云计算、大数据正蓬勃发展，新兴技术正颠覆传统，带来源源不断的变化。但是网络安全事件层出不穷，让人们对网络安全的更加关注。2017年，以WannaCry勒索病毒为代表的全球网络攻击任处于高发态势，突发性事件面前，各国监控预警失效，攻防实力悬殊，应急响应被动。对此，如何调整了应急思路。通过本节的介绍给出参考。学完本课程后，您将能够：了解网络安全应急响应的产生背景描述网络安全应急响应的处理流程了解网络安全应急响应的新趋势网络安全应急响应概述网络安全应急响应的产生网络安全应急响应概述网络安全应急响应处理介绍信息安全应急响应产生背景1988年11月发生的莫里斯蠕虫病毒事件（MorrisWormIncident）致使当时的互联网络超过10%的系统不能工作。该案件轰动了全世界，并且在计算机科学界引起了强烈的反响。为此，1989年，美国国防部高级研究计划署资助卡内基·梅隆大学建立了世界上第一个计算机紧急响应小组（ComputerEmergencyResponseTeam，简称CERT）及协调中心（CERT/CC）。FIRST的产生背景由于各个国家应急响应组之间不仅存在语言、时区及性质上的差异，而且面向不同的用户群体，属于不同的国家的组织，他们之间的交流与合作存在很大的困难。这种情况下，1990年11个应急响应安全组织成立了事件响应与安全组论坛（ForumofIncidentResponseandSecurityTeams，FIRST）截止到2018年，FIRST已经包括全球400多个应急响应安全组织。应急响应组织在中国的发展121999年，教育与科研计算机网在清华大学成立CERNET应急响应组（CCERT），为中国教育和科研行业用户提供应急响应服务。32000年10月，国家计算机网络应急技术处理协调中心（CNCERT/CC）成立，并于2002年8月成为国际应急响应权威组织（FIRST）”的正式成员。在CNCERT/CC的协调组织下，各大电信运营商都纷纷成立自己的应急响应队伍。随后解放军军队应急组织、公安部计算机病毒防治中心、公安部计算机应急网站也先后建立。中国国家互联网应急中心国家计算机网络应急技术处理协调中心（简称“国家互联网应急中心”，英文简称是CNCERT或CNCERT/CC），成立于2002年9月，为非政府非盈利的网络安全技术中心，是我国网络安全应急体系的核心协调机构。同时，CNCERT作为中国非政府层面开展网络安全事件跨境处置协助的重要窗口，积极开展网络安全国际合作，截至2017年，CNCERT已与72个国家和地区的211个组织建立了“CNCERT国际合作伙伴”关系。CNCERT国际合作伙伴ForumofIncidentResponseaddSecurityTeamsAsiaPacificComputerEmergencyResponseTeamAnti-PhishingWorkingGroupCymru网络安全应急响应概述网络安全应急响应的产生网络安全应急响应概述网络安全应急响应处理介绍我国网络安全相关法规标准2016年11月全国人大常委会表决通过了《中华人民共和国网络安全法》，于2017年6月1日起正式实施。《网络安全法》是中国第一部有关网络安全的基础性，“大纲性”的法律。《网络安全法》历经三年的酝酿审议并最终发布，过程如下：2014年2月中央网络安全和信息化领导小组成立，两会上“网络安全法”首次被写入工作报告。2015年6月十二届全国人大常委会审议《网络安全法（草案）》。2015年7月面向社会公开征求意见，并根据人大常委会组和各方意见反馈，对草案进行修订，形成了《网络安全法（草案二次审议稿）》。2016年6月十二届全国人大常委会对《网络安全法（草案）》进行二次审议。2016年7月《网络安全法（草案）》二次审议稿正式在人大网公布，并向社会公开征求意见。2016年11月十二届人大常委会第24次会议上，以154票赞成、1票弃权表决通过《中华人民共和国网络安全法》。2017年6月《中华人民共和国网络安全法》，于2017年6月1日起正式生效。网络安全事件分类《国家网络安全事件应急预案》中对网络安全事件进行了分类，如下：信息破坏事件有害程序事件网络攻击事件灾害性事件设备设施故障信息内容安全事件国家网络安全事件等级分类《国家网络安全事件应急预案》明确了《网络安全法》第五章“检测预警和应急预案”的具体实践方案。并将网络安全事件分为四级，应对四级预警等级和四级应急响应。网络安全事件等级预警等级应急响应等级特别重大网络安全事件重大网络安全事件较大网络安全事件一般网络安全事件红色预警橙色预警黄色预警蓝色预警Ⅰ级响应Ⅱ级响应Ⅲ级响应Ⅳ级响应应急响应概念应急响应（IncidentResponse/EmergencyResponse）通常是指一个组织为了应对突发、重大信息安全事件的发生所做的准备，以及在事件发生后所采取的措施

。——GB/T24363-2009信息安全应急响应计划规范信息系统安全事件应急响应的对象是指对信息系统所存储、传输、处理的信息的安全事件。事件的主体可能来自自然界、系统自身故障、组织内/外部的人员人为攻击等。

——GA/T708-2007信息系统等保体系框架MPDRR网络安全应急响应模型MPDRR模型是一个最常见的具有纵深防御体系的网络安全模型。MPDRR模型包含了管理（Management）、防护（Protection）、检测（Detection）、响应（Reaction）和恢复（Recovery）5个环节。MPDRR模型是在PDRR模型基础上发展而成，它继承了PDRR模型的优点，并加入了安全管理这一环节，从而将技术和管理融为一体。恢复管理响应防护检测防护检测响应恢复网络安全应急响应形式应急响应形式分为两种：远程应急响应：客户通过电话、Email、传真等方式请求安全事件应急响应，应急响应组通过相同的方式为客户解决问题，应急响应一般先采取该方式。本地应急响应：应急响应组在第一时间赶往客户网络安全事件的事发地点，在现场为客户查找原因并解决相应问题，最后出具详细的应急响应报告。远程应急响应本地应急响应网络安全应急响应概述网络安全应急响应介绍网络安全应急响应流程网络安全应急响应新趋势网络安全应急响应是很重要的，现在网络安全事件层出不穷，网络安全应急响应预案能够在网络安全事件发生后，快速、高效的跟踪、处理与防范各类安全事件，确保网络信息安全。就目前的网络安全应急监测体系来说，其应急处理工作可分为以下几个阶段：网络安全应急响应准备阶段检测阶段抑制阶段根除阶段恢复阶段总结阶段网络安全应急响应网络安全应急响应处理流程网络安全应急响应处理流程如下：开始是否发生安全事件对事件定级上报结束响应是否有应急响应预案否是启动预案抑制事件扩散对事件进行根除恢复系统评估损失编写总结报告否是准备阶段准备阶段：在网络安全事件发生前，对可能发生的安全事件进行评估，制定相应策略和保障措施，来抑制安全事件的扩散并将其根除。包括以下内容：1.建立防御体系、控制措施2.兼顾安全管理和技术1.制定应急处理操作步骤2.制定应急处理报告3.制定信息系统恢复优先级顺序4.明确配合人员信息1.组建管理团队，技术团队2.明确人员职责3.编制应急响应人员组织清单1.明确信息系统网络与架构2.明确管理人员3.明确系统保护要求4.计算损失与影响1.绘制网络拓扑2.整理系统、设备安装配置文档3.整理常见问题处理手册1.申请应急响应专项资金2.采购应急响应软硬件设备3.明确社会关系资源风险加固编制应急预案组建应急响应团队保障资源储备技术支持资源库分析资产风险准备阶段检测阶段检测阶段：进行日常监控，收集系统信息。当网络安全事件发生时，判断事件影响程度并根据信息安全事件等级进行上报。检测阶段的主要工作如下：日常运维监控收集故障信息确认系统运行状况信息安全事件探测确认安全事件的影响范围确认安全事件造成的损害程度判断是否是信息安全应急事件安全事件判断通知相关人员启动应急响应预案确认安全事件类型确认安全事件等级安全事件上报抑制阶段：限制攻击的范围，同时限制潜在的损失和破坏。在检测阶段阶段确认紧急事件发生的情况下，进入应急响应流程。应急响应系统本身将根据预先制定的规则，采取相应的措施，把紧急事件的影响降低到最小。这些措施主要包括：抑制阶段A控制事件扩散、蔓延1.初步分析，重点确定适当的遏制方法；2.阻断正在发起攻击的行为，降低影响范围。抑制响应1.根据预案采取响应的技术手段处理安全事件；2.设置隔离区域，汇总数据，估计损失。抑制监控1.确认抑制手段是否起作用；2.分析事件发生的原因，提供解决方案依据。根除阶段根除阶段：在安全事件被抑制后，找出事件根源并彻底根除才能真正的解决问题。采取的措施如下：查找原因修补加固总结宣传查找病毒、木马；查找非法入侵行为；查找非法授权访问；查找系统漏洞等。升级系统补丁、软件；修订安全策略；启用安全审计。分析原因，提供改善依据；加强公共宣传。恢复阶段把所有受侵害或被破坏的系统、应用、数据库、网络设备等彻底地还原到它们正常的任务状态。具体工作如下：对破坏的网络设备进行配置恢复；恢复被破坏的数据或系统；对所有的变更作备份；对重新上线的设备持续监控，了解各其运行情况。判断隔离措施的有效性。根据具体情况适当的解除封锁措施，或去掉短期抑制措施中的防御措施。总结阶段从已发生的安全事件出发、吸取安全事件响应过程中的教训，回顾并总结发生安全事件的相关信息。主要内容如下：应急响应总结应急响应情况报告安全事件调查由应急响应实施组报告安全事件处理情况；由应急响应领导小组下达应急响应结束指令。01调查事件发生原因；评估对信息系统造成的损失；评估对单位、组织的影响。02对风险点加固整改；评价应急预案的执行情况，提出后续改进计划；对应急响应组织成员进行评价。03网络安全应急响应概述网络安全应急响应介绍网络安全应急响应流程网络安全应急响应新趋势全球重大安全事件物联网、移动互联网、云计算、大数据正蓬勃发展，新兴技术正颠覆传统，带来源源不断的变化。但是网络安全事件层出不穷，让人们对网络安全的更加关注。2016年11月，美国大选前夕，总统候选人个人邮箱数千封邮件被黑客公之于众。事后美国国会参议院情报委员会认定，俄罗斯干预了美国总统选举。2017年11月8日，美国拉斯维加斯无人驾驶巴士获准上路，驾驶过程中巴士探测到了前方有障碍，但是没有倒车躲避。造成与卡车“剐蹭”事件。2017年5月12日，WannaCry蠕虫通过MS17-010漏洞在全球范围大爆发。至少150个国家、30万名用户中招，造成损失达80亿美元。2018年3月，爆出剑桥分析在未经用户同意的情况下，利用Facebook上5000万个人资料数据创建档案，并在2016美国大选时进行定向宣传。针对网络安全法律法规形势2017年，各国网络安全法律法规围绕关键基础设施、个人数据安全、网络应急响应等核心制度展开试点，部分国家在以自动驾驶安全保障的领域出台了尝试性规定。

英国德国《自动化和互联网车辆交通伦理准则》对饱受争议的自动驾驶伦理进行了明确。如禁止对“两难决策”进行事先编程；自动化系统所造成的损害遵从产品责任原则等。《联网和自动驾驶汽车网络安全核心原则》将网络安全责任拓展到汽车供应链的每一方利益主体，要求将网络安全贯穿到汽车整个生命周期。并设定了车辆网络安全底线：即使遭到攻击，也要保证车辆基本运行安全。网络安全应急响应趋势2017年，以WannaCry勒索病毒为代表的全球网络攻击任处于高发态势，突发性事件面前，各国监控预警失效，攻防实力悬殊，应急响应被动。对此，美国、比利时等国调整了应急思路。美国新形势比利时整体创新摒弃美国《国家网络应急响应计划》中预防保护、侦测、分析、反应和解决五个步骤的死板做法；重新将应急响应划分为资产响应、威胁响应和情报支持三条主线，多条战线同时启动，各司其职，不分先后。抗压能力评估在目前网络环境之下，网络攻击不可避免，事故发生时尽可能地限制损害范围，要求对可能受到损害的网络基础设施、互联网信息服务应用等列出盘点清单。下列哪个选项不属于PDRR网络安全模型？（）防护检测响应管理下列哪个选项不属于网络安全事件中划分的等级？（）重大网络安全事件特殊网络安全事件一般网络安全事件较大网络安全事件网络安全应急响应概述网络安全应急响应的产生网络安全应急响应概述网络安全应急响应介绍网络安全应急响应流程网络安全应急响应新趋势信息安全技术总复习网络参考模型常见网络设备NAT地址转换防火墙双机热备加解密技术应用1.网络参考模型OSI七层模型应用层表示层会话层传输层网络层数据链路层物理层1234567提供应用程序间通信处理数据格式、数据加密等建立、维护和管理会话建立主机端到端连接寻址和路由选择提供介质访问、链路管理等比特流传输APDUPPDUSPDUSegmentPacketFrameBit上三层下四层TCP/IP参考模型提供应用程序网络接口建立端到端连接寻址和路由选择物理介质访问HTTP,Telnet,FTP,TFTP,DNS网络接口层网络层传输层应用层Ethernet,802.3,PPP,HDLC,FRTCP/UDPIPICMP,IGMPARP,RARP2.常见网络设备交换机交换机工作在数据链路层，转发数据帧。SWA主机A主机C主机BIP:/24MAC:00-01-02-03-04-AAIP:/24MAC:00-01-02-03-04-BBIP:/24MAC:00-01-02-03-04-CCG0/0/1G0/0/2G0/0/3交换机的转发行为泛洪（Flooding）转发（Forwarding）丢弃（Discarding）路由器功能：在不同的网络之间转发数据包。网络层数据链路层物理层网络层数据链路层物理层网络层数据链路层物理层RouterARouterBRouterC应用层传输层网络层数据链路层物理层HostAHostB应用层传输层网络层数据链路层物理层RouterCRouterBRouterA路由选路路由器负责为数据包选择一条最优路径，并进行转发。RTARTBRTCRTD防火墙防火墙主要用于保护一个网络区域免受来自另一个网络区域的网络攻击和网络入侵行为。防火墙安全区域安全区域（SecurityZone），或者简称为区域（Zone）。Zone是本地逻辑安全区域的概念。Zone是一个或多个接口所连接的网络。DMZ区域Trust区域Untrust区域防火墙安全区域与接口关系安全区域与接口关系防火墙是否存在两个具有完全相同安全级别的安全区域？防火墙是否允许同一物理接口分属于两个不同的安全区域？防火墙的不同接口是否可以属于同一个安全区域？G0/0/2

DMZ区域G0/0/3

Untrust区域G0/0/0

Trust区域G0/0/1

Trust区域防火墙安全策略定义安全策略是按一定规则控制设备对流量转发以及对流量进行内容安全一体化检测的策略。规则的本质是包过滤。主要应用对跨防火墙的网络互访进行控制。对设备本身的访问进行控制。入数据流出数据流防火墙安全策略的原理BBAABBBAAAA

AAAAAAPolicy0：允许A后续操作Policy1：拒绝B后续操作防火墙安全策略防火墙安全策略作用：根据定义的规则对经过防火墙的流量进行筛选，并根据关键字确定筛选出的流量如何进行下一步操作。步骤1：入数据流经过防火墙步骤2：查找防火墙安全策略判断是否允许下一步操作步骤３：防火墙根据安全策略定义规则对数据包进行处理默认策略操作3.NAT地址转换NAT产生背景IPv4地址日渐枯竭；IPv6技术不能立即大面积替换；各种延长IPv4寿命的技术不断出现，NAT就是其中之一。NAT的优点与缺点优点：实现IP地址复用，节约宝贵的地址资源。地址转换过程对用户透明。对内网用户提供隐私保护。可实现对内部服务器的负载均衡。缺点：网络监控难度加大。限制某些具体应用。NAT技术的基本原理NAT技术通过对IP报文头中的源地址或目的地址进行转换，可以使大量的私网IP地址通过共享少量的公网IP地址来访问公网。内网用户FTPServer将私网源地址替换为公网地址将公网目的地址替换为私网地址目的IP：源IP：目的IP：源IP：目的IP：源IP：目的IP：源IP：NAT分类源NAT地址池方式出接口地址方式（EasyIP）服务器映射静态映射（NATserver）源NAT地址池方式(1)不带端口转换的地址池方式。此种方式为一对一的IP地址的转换，端口不进行转换。丢弃Untrust转换Trust源

目的源1目的源NAT地址池方式(2)带端口转换的地址池方式。将不同的内部地址映射到同一公有地址的不同端口号上，实现多对一地址转换。：7111：7112：7113Untrust转换Trust源1源端口X

目的源源端口Y目的4.防火墙双机热备双机热备技术产生的原因传统的组网方式如图所示，内部用户和外部用户的交互报文全部通过FirewallA。如果FirewallA出现故障，内部网络中所有以FirewallA作为默认网关的主机与外部网络之间的通讯将中断，通讯可靠性无法保证。FirewallA/24PC服务器内部网络/24VRRP在多区域防火墙组网中的应用为防火墙上多个区域提供双机备份功能时，需要在每一台防火墙上配置多个VRRP备份组。DMZTrustUntrustUSGA/24MasterUSGBBackup/24备份组1VirtualIPAddress备份组2VirtualIPAddress备份组3VirtualIPAddressVRRP在防火墙应用中存在的缺陷传统VRRP方式无法实现主、备用防火墙状态的一致性。USGAMasterUSGBBackupTrustDMZUntrustPC1PC2(1)(2)(3)(4)(7)会话表项Server(5)(6)(8)实际连线报文流径(9)VRRP用于防火墙多区域备份为了保证所有VRRP备份组切换的一致性，在VRRP的基础上进行了扩展，推出了VGMP（VRRPGroupManagementProtocol）来弥补此局限。DMZTrustUntrustUSGA/24vUSGB/24备份组2备份组3备份组1VGMP管理组VGMP管理组helloackVGMP组管理状态一致性管理VGMP管理组控制所有的VRRP备份组统一切换。抢占管理当原来出现故障的主设备故障恢复时，其优先级也会恢复，此时可以重新将自己的状态抢占为主。HRP基本概念HRP（HuaweiRedundancyProtocol）协议，用来实现防火墙双机之间动态状态数据和关键配置命令的备份。VRRP组1VRRP组2VRRP组3①②③④⑤UntrustTrustDMZ会话表⑥FWAFWBHRP心跳接口两台FW之间备份的数据是通过心跳口发送和接收的，是通过心跳链路（备份通道）传输的。心跳口必须是状态独立且具有IP地址的接口，可以是一个物理接口（GE接口），也可以是为了增加带宽，由多个物理接口捆绑而成的一个逻辑接口Eth-Trunk。VRRP备份组配置命令-CLI接口视图下配置VRRP：执行此命令时，指定active或standby参数后，即将该VRRP组加入了VGMP管理组的Active或Standby管理组。每个普通物理接口（GigabitEthernet接口）下最多配置255个VRRP组。vrrpvridvirtual-router-IDvirtual-ipvirtual-address[ip-mask|ip-mask-length]{active|standby}HRP配置命令-CLI指定心跳口启用HRP备份功能启用允许配置备用设备的功能启用命令与状态信息的自动备份启用会话快速备份hrpinterfaceinterface-typeinterface-number[remote{ip-address|ipv6-address}]hrpenablehrpstandbyconfigenablehrpauto-sync[config|connection-status]hrpmirrorsessionenableVRRP配置举例-CLIUSG_A关于VRRP组1配置：USG_B关于VRRP组1的配置：[USG_A]interfaceGigabitEthernet1/0/1[USG_A-GigabitEthernet1/0/1]ipaddress24[USG_A-GigabitEthernet1/0/1]vrrpvrid1virtual-ipactive[USG_B]interfaceGigabitEthernet1/0/1[USG_B-GigabitEthernet1/0/1]ipaddress24[USG_B-GigabitEthernet1/0/1]vrrpvrid1virtual-ipstandbyHRP配置举例-CLIUSG_A关于HRP配置：[USG_A]hrpenable[USG_A]hrpmirrorsessionenable[USG_A]hrpinterfaceGigabitEthernet1/0/6查看VRRP状态-CLI查看处于VRRP备份组中的接口状态信息：HRP_A<USG_A>displayvrrpinterfaceG1/0/3GigabitEthernet1/0/3|VirtualRouter2VRRPGroup: