络安全应急响应服务与CERNET的行动.pptVIP

网络安全应急响应服务与CERNET的行动 内容提要 网络安全应急响应服务的背景 CERNET 计算机应急响应组(CCERT)运行一年回顾 网络和系统安全配置建议 CERNET 安全应急响应服务计划 参考文献 Internet 的安全问题的产生 Internet起于研究项目,安全不是主要的考虑 少量的用户，多是研究人员,可信的用户群体 可靠性(可用性)、计费、性能 、配置、安全 “Security issues are not discussed in this memo” 网络协议的开放性与系统的通用性 目标可访问性，行为可知性 攻击工具易用性 Internet 没有集中的管理权威和统一的政策 安全政策、计费政策、路由政策 操作系统漏洞统计 操作系统漏洞增长趋势 两个实验 San Diego 超级计算中心 Redhat Linux 5.2 , no patch 8小时：sun rpc probe 21天： 20 次pop, imap, rpc, mountd使用Redhat6.X的尝试失败 40天： 利用pop 服务缺陷或的控制权 系统日志被删除 安装了rootkit、 sniffer 安全应急响应服务背景 应急响应服务的诞生—CERT/CC 1988年Morris 蠕虫事件直接导致了CERT/CC的诞生 CERT/CC服务的内容 安全事件响应 安全事件分析和软件安全缺陷研究 缺陷知识库开发 信息发布：缺陷、公告、总结、统计、补丁、工具 教育与培训：CSIRT管理、CSIRT技术培训、系统和网络管理员安全培训 指导其它CSIRT（也称IRT、CERT）组织建设 CERT/CC简介 现有工作人员30多人，12年里处理了288,600 封Email, 18,300个热线电话，其运行模式帮助了80多个CSIRT组织的建设 CERT/CC简介 安全应急响应服务背景 国外安全事件响应组（CSIRT）建设情况 DOE CIAC、FedCIRC、DFN-CERT等 FedCIRC、AFCERT, NavyCIRT 亚太地区：AusCERT、SingCERT等 FIRST（1990） FIRST为IRT组织、厂商和其他安全专家提供一个论坛，讨论安全缺陷、入侵者使用的方法和技巧、建议等，共同的寻找一个可接受的方案。 80多个正式成员组织，覆盖18个国家和地区 从FIRST中获益的比例与IRT愿意提供的贡献成比例 两个正式成员的推荐 国内安全事件响应组织建设情况 计算机网络基础设施已经严重依赖国外； 由于地理、语言、政治等多种因素，安全服务不可能依赖国外的组织 国内的应急响应服务还处在起步阶段 CCERT（1999年5月），中国第一个安全事件响应组织 NJCERT（1999年10月） 中国电信ChinaNet安全小组 解放军，公安部 安全救援服务公司 中国计算机应急响应组/协调中心CNCERT/CC 信息产业部安全管理中心 ，2000年3月，北京 安全应急响应组的分类 安全应急响应服务组织的服务内容 CSIRT的服务内容 应急响应 安全公告 咨询 风险评估 入侵检测 教育与培训 追踪与恢复 安全应急响应服务的特点 技术复杂性与专业性 各种硬件平台、操作系统、应用软件； 知识经验的依赖性 由IRT中的人提供服务，而不是一个硬件或软件产品； 突发性强 需要广泛的协调与合作 CERNET在应急响应中的优势 高速的、大规模的网络环境 10M/ 100M/ 1000M的用户接入 活跃的攻击者和安全服务提供者 BBS、各种俱乐部 CERNET、 Internet2、IPv6 实验床 CERNET在应急响应中的优势 运行网络和实验网络, 可进行各种实验 IPv6实验床、Internet2 的国际接入 可控的网络基础设施 路由系统、域名系统、网络管理系统、电子邮件系统 主干网扩大到省级节点，便于集中控制 以CERNET为依托的科研项目 九五攻关项目：网络管理、网络安全、安全路由器 高速IP网络安全运行监控系统 100M 流量分析与协同分布式入侵检测 多种角色：高校、NSP/ISP 便于国际交流、更加了解用户需求 CERNET 计算机安全应急响应组（CCERT） CERNET华东（北）地区网网络安全事件响应组(NJCERT) /njcert/index.html CCERT 事件处理 CERNET 计算机安全应急响应组（CCERT） 主要客户群是CERNET 会员，但也有受理其他网络的报告和投诉 目前主要从事以下服务和研究： 事件响应：入侵、垃圾邮件以及邮件炸弹、恶意扫描和DoS事件处理 给站点管理员提供安全建议 提供安全信息公告和安全资源 反垃圾邮件、禁止扫描的公告 操作系统补丁、工具软件 网络安全领域的研究,包括 安全管理、入侵