第18章 信息系统应急响应.pptVIP

版权所有，盗版必纠 第18章 信息系统应急响应 李 剑 北京邮电大学信息安全中心 E-mail: lijian@ 电话：130概论 随着网络信息系统在政治、军事、金融、商业、文教等方面发挥越来越大的作用，社会对网络信息系统的依赖也日益增强。而不断出现的软硬件故障、病毒发作、网络入侵、网络蠕虫、黑客攻击、天灾人祸等安全事件也随之变得非常突出，由于安全事件的突发性、复杂性与专业性，为了有备无患，需要建立信息系统安全事件的快速响应机制，信息系统安全应急响应应运而生。为此国家还专门建立了中国计算机网络应急技术协调处理中心(CNCERT/CC，China Computer Emergency Response Team/Coordination Center)。 目录 第18章 信息系统应急响应 18.1 应急响应概述 18.1.1 应急响应的概述 18.1.2 国际应急响应组织 18.1.3 我国应急响应组织 18.2 应急响应的阶段 18.3 应急响应的方法 18.3.1 Windows 系统应急响应方法 18.3.2 个人软件防火墙的使用 18.3.3 蜜罐技术 18.4 计算机犯罪取证 思考题 18.1 应急响应概述 18.1.1 应急响应的概述 近年来，Internet网上直接或者是间接危害到IP网络资源安全的攻击事件越来越多。一方面，网络业务节点自身的安全性下降，路由器、交换机等专用网络节点设备上越来越多的安全漏洞被发掘出来，设备厂家为了修补安全漏洞而发布的补丁程序越来越频繁；另一方面，黑客攻击技术有了很大的发展，从最初主要是基于单机安全漏洞以渗透入侵为主，到近年来发展到基于Internet网上的主机集群进行以拒绝服务为目的的分布式拒绝服务攻击，同时，以网络蠕虫病毒为代表的，融合传统黑客技术与病毒技术于一身的“新一代主动式恶意代码”攻击技术的出现，标志着黑客技术发生了质的变化，无论是分布式拒绝服务攻击还是网络蠕虫病毒，都会在攻击过程中形成突发的攻击流量，严重时会阻塞网络，造成网络瘫痪。总体来看，由于系统漏洞和攻击技术的变化，不安全的网络环境已经越来越多地暴露在网络黑客不断增强的攻击火力之下。 18.1.1 应急响应的概述 从根本上讲，在现实环境中是不存在绝对的安全的，任何一个系统总是存在被攻陷的可能性，很多时候恰恰是在被攻陷后，人们才得以发现并改善系统中存在的薄弱环节，从而把系统的安全保护提高到一个更高的水平。事实上整个Internet网的安全水平始终就是在“道高一尺，魔高一丈”的实战过程中螺旋式上升的。正是认识到这一客观事实，在所有的网络安全模型中都不可或缺的包含了事件响应这样一个重要的环节。 18.1.1 应急响应的概述 安全应急响应的重要性不仅体现在它是整个安全防御体系中一个不可缺少的环节。事实上，一个有效的应急机制对于事件发生后稳定局势往往起到至关重要的作用。事故发生后现场环境通常是非常混乱的，除非作了非常充分的准备工作，否则人们往往会因为不清楚问题所在和应当做什么而陷入茫然失措的状态，甚至当事者还可能在混乱中执行不正确的操作并导致更大的灾害和混乱的发生。因此，在缺少安全应急响应机制的环境中，发生事件后整个局面存在着随时陷入失控状态的危险。 　　网络安全应急响应主要是提供一种机制，保证资产在遭受攻击时能够及时地取得专业人员、安全技术等资源的支持，并且保证在紧急的情况下能够按照既定的程序高效有序地开展工作，使网络业务免遭进一步的侵害，或者是在网络资产已经被破坏后能够在尽可能短的时间内迅速恢复业务系统，减小业务的损失。 18.1.2 国际应急响应组织 在安全应急响应发展方面，信息化发达国家有着较为悠久的历史。美国早在1988年就成立了全球最早的计算机应急响应组织(CERT：Computer Emergency Response Team)，到2003年8月为止，全球正式注册的CERT已达188个。这些应急组织不仅为各自地区和所属行业提供计算机和互联网安全事件的紧急响应处理服务，还经常互相沟通和交流，形成了一个专业领域。我国自1999年成立第一个应急组织以来，也逐步得到了发展壮大，初步形成了互联网应急处理体系框架，虽然总的来看还处于边学习边实践的起步阶段，但是，从这两年几次大规模网络安全事件的处理中，我国的应急响应组织也已经发挥出明显作用。 18.1.2 国际应急响应组织 1988年11月，美国康乃尔大学学生莫里斯编写一个“圣诞树”蠕虫程序，该程序可以利用Internet网上计算机的sendmail的漏洞、finger的缓冲区溢出及REXE的漏洞进入系统并自我繁殖，鲸吞Internet网的带宽资源，造成全球10%的联网计算机陷入瘫痪。这起计算机安全事件极大地震动了美国政府、军方和学术