网络安全-10-应急与管理.ppt

* * * * * * * FIRST目前包括170多个成员； APCERT有15个成员； / * / * /cec/index.html * * / * * * * * * * * * / First (Forum of Incident Response Security Teams) 1990年，FIRST 成立。 FIRST是国际计算机网络安全应急组织的联盟，目前也是唯一一个全球性的应急联盟组织。该组织由众多计算机安全事件应急组织的联络网构成，联络网中的各个组织自发地进行协作，共同处理互联网上的安全事件。这些组织来自全球各个国家或地区，代表着广泛的利益群体，包括政府机构、执法部门、学术界、教育界、企业界以及由论坛指导委员会批准的其他性质的组织或个人。 * FIRST的使命 FIRST成员开发和共享技术信息、工具、方法、流程和最佳实践； FIRST鼓励并推动优质安全产品、策略与服务的开发； FIRST开发并推广最佳计算机安全实践； FIRST推动应急组织的成立和壮大，发展和吸纳来自世界各个领域的应急组织成为FIRST成员； FIRST成员共用他们各自的知识、技能和经验来联合塑造一个更安全、更可靠的全球计算机网络环境。 * * / APCERT 2002年，由AusCERT、CNCERT/CC、JPCERT/CC等CERT组织发起成立了APCERT，即亚太地区计算机应急响应组织联盟。 目前，APCERT是亚太地区最有影响力的应急响应合作组织。该组织吸引了亚太地区12个经济体的17个应急组织为成员，并在不断地扩展壮大。 * APCERT的工作目标 APCERT的宗旨是在亚太地区维护一个互信的计算机安全专家联络网，在计算机安全和事件处理相关领域通过自己的公益服务普及地区的安全意识，提高地区的安全防范能力。APCERT的工作目标是： 加强亚太地区信息安全的区域及国际合作； 合作处理大范围或区域网络安全事件； 促进其成员间关于网络安全、计算机病毒和恶意代码的信息共享和技术交流； 推动成员间针对共同兴趣或利益主题的项目进行合作研究与开发工作； 协助本区域其他计算机安全事件响应组开展有效的计算机安全应急工作； 参加或提供建议，帮助解决跨区域的与信息安全和应急响应相关的法律问题。 * 其他国家的应急处理状况 美国： 最早建立应急组织的国家 应急组织最多的国家 IT产品提供商建立应急组织最集中的国家 英国： 法国： 德国： 道高？魔高？ 攻击者： 发现漏洞 编写攻击代码 (测试) 执行攻击 防御者： 发现漏洞 发布消息 开发补丁程序 发布补丁 风险检查 监测攻击 分析恶意代码 控制传播Propagation Control 发布补丁和工具 恢复被入侵系统 升级/调整/评估 安全管理 木桶理论 按照“木桶理论”，水从最低的那块木板漏出 如果说各种安全技术是木桶上面的长短不同的木板的话，那么安全管理就是把木板粘在一起的“胶” 如果最低处“开胶”，那么任你木板多长都形同虚设 三分技术、七分管理 超过70%的信息安全事故，如果事先加强管理，都可以得到避免 由于管理往往涉及全局，管理上的漏洞比系统的漏洞更需要补救 苍蝇不叮无缝的 蛋 信息安全维护，依赖于—— 体系先行 首长挂帅 全员参与 明确目标 首长挂帅 要让全体职工知道管理层做出了信息安全管理的承诺 一把手最好亲自出面 全员参与 交流期待 保护用户 保护单位 减少错误 明确目标 宽严适度 量力而行 体系先行 组织体系 规章制度 控管措施 监督检查 控管措施 物理控管 人员控管 访问控制 审计 废弃物品控管 应急处理 隔离 设备设施防护 物理控管 防盗（尤其注意笔记本电脑防盗） 使用门禁设施 防火 人员离开时桌面净空，屏幕上锁 防电磁泄漏 防搭线窃听 人员控管 调离人员的处理 签署保密合同 人员分级与分类 权限的授予和管理 信息管理人员持证上岗 办公自动化环境下的新问题 审计 与安全有关的事件，要有记录 信息管理员应定期对审计信息进行备份 单位应定期请专业人士对审计信息进行分析，由此评估信息安全状况 审计文件应严格保护，禁止任何人私自改动 访问控制 访问单位内部信息和信息系统，要有身份认证的过程，只允许授权用户访问 设置和修改权限，所依据的政策要由专人负责制定，操作要专人负责 与单位外部的通信连接，必要的时候要进行审查和过滤 按访问控制的强度对信息系统分级 隔离 单位内部信息系统和外部公共网络，要内外有别 隔离强度有四个等级： 无任何隔离措施 物理连通，按一定条件过滤 物理不连通，数据连通 数据不连通 软驱与拨号访问的控管 废弃物品管理 承载敏感信息的耗材废弃前必须先销毁。包括： 废旧软盘、硬盘、光盘、磁带 废旧纸张 应急处理 发生紧急安全事故时，要做到： 封存现