網络安全应急响应服务与CERNET的行动.pptVIP

网络安全应急响应服务与CERNET的行动 网络安全应急响应服务的背景 CERNET 计算机应急响应组(CCERT)运行一年回顾 网络和系统安全配置建议 CERNET 安全应急响应服务计划 参考文献 内容提要 Internet 的安全问题的产生 Internet起于研究项目,安全不是主要的考虑 少量的用户，多是研究人员,可信的用户群体 可靠性(可用性)、计费、性能 、配置、安全 “Security issues are not discussed in this memo” 网络协议的开放性与系统的通用性 目标可访问性，行为可知性 攻击工具易用性 Internet 没有集中的管理权威和统一的政策 安全政策、计费政策、路由政策 操作系统漏洞统计 操作系统漏洞增长趋势 两个实验 San Diego 超级计算中心 Redhat Linux 5.2 , no patch 8小时：sun rpc probe 21天： 20 次pop, imap, rpc, mountd使用Redhat6.X的尝试失败 40天： 利用pop 服务缺陷或的控制权 系统日志被删除 安装了rootkit、 sniffer 清华大学校园网 Redhat Linux 6.2 , 只开设telnet, www服务； 所有用户申请均可获得账号 7天后358个用户 两个用户利用dump获得root 控制权 安全应急响应服务背景 应急响应服务的诞生—CERT/CC 1988年Morris 蠕虫事件直接导致了CERT/CC的诞生 CERT/CC服务的内容 安全事件响应 安全事件分析和软件安全缺陷研究 缺陷知识库开发 信息发布：缺陷、公告、总结、统计、补丁、工具 教育与培训：CSIRT管理、CSIRT技术培训、系统和网络管理员安全培训 指导其它CSIRT（也称IRT、CERT）组织建设 CERT/CC简介 现有工作人员30多人，12年里处理了288,600 封Email, 18,300个热线电话，其运行模式帮助了80多个CSIRT组织的建设 CERT/CC简介 CMU SEI Networked Systems Survivability program Survivable Network Management CERT/CC Survivable Network Technology Incident Handling Vulnerability Handling CSIRT Development DoD 安全应急响应服务背景 国外安全事件响应组（CSIRT）建设情况 DOE CIAC、FedCIRC、DFN-CERT等 FedCIRC、AFCERT, NavyCIRT 亚太地区：AusCERT、SingCERT等 FIRST（1990） FIRST为IRT组织、厂商和其他安全专家提供一个论坛，讨论安全缺陷、入侵者使用的方法和技巧、建议等，共同的寻找一个可接受的方案。 80多个正式成员组织，覆盖18个国家和地区 从FIRST中获益的比例与IRT愿意提供的贡献成比例 两个正式成员的推荐 国内安全事件响应组织建设情况 计算机网络基础设施已经严重依赖国外； 由于地理、语言、政治等多种因素，安全服务不可能依赖国外的组织 国内的应急响应服务还处在起步阶段 CCERT（1999年5月），中国第一个安全事件响应组织 NJCERT（1999年10月） 中国电信ChinaNet安全小组 解放军，公安部 安全救援服务公司 中国计算机应急响应组/协调中心CNCERT/CC 信息产业部安全管理中心 ，2000年3月，北京 安全应急响应组的分类 国际间的协调组织 国内的协调组织 国内的协调组织 愿意付费的 任何用户 产品用户 网络接入用户 企业部门、用户 商业IRT 网络服务提供商 IRT 厂商 IRT 企业 /政府 IRT 如：安全服务公司 如：CCERT 如：cisco, IBM 如：中国银行、 公安部 如CERT/CC, FIRST 如CNCERT/CC 安全应急响应服务组织的服务内容 CSIRT的服务内容 应急响应 安全公告 咨询 风险评估 入侵检测 教育与培训 追踪与恢复 安全应急响应服务的特点 技术复杂性与专业性 各种硬件平台、操作系统、应用软件； 知识经验的依赖性 由IRT中的人提供服务，而不是一个硬件或软件产品； 突发性强 需要广泛的协调与合作 网络安全应急响应服务的背景 CCERT运行一年回顾 网络和系统安全配置建议 CERNET 安全应急响应服务计划 参考文献 内容提要 CERNET在应急响应中的优势 高速的、大规模的网络环境 10M/ 100M/ 1000M的用户接入 活跃的攻击者和安全服务提供者 BBS、各种俱乐部 CER