网络安全问题及其防范措施（应急篇）——国家计算机网络应急中心.pptVIP

主要内容 概念和基础 对安全问题的理解 安全问题的分类及其对应的技术手段 当前安全威胁的特点和趋势 关于应急响应 应急响应的概念 应急响应服务及其发展状况 应急响应组织和体系 CNCERT/CC2003年年度安全报告 关于入侵监测系统的若干问题 行业网络安全保障问题探讨 内容提要 当今网络安全威胁的特征和趋势 应急响应以及应急响应组织 什么是应急响应：正确理解应急响应 应急响应在安全保障体系中的作用 应急响应的起源 当今的国内外发展情况 应急响应技术 应急响应工作的主要阶段 应急响应小组建设 关于入侵监测系统的若干问题 序：这里所说的‘安全’ ‘安全问题’的本质具有一个必要条件：和人的利益相关 这里所说的‘安全’，是忽略了信息资产和风险评估等问题之后，简单化的纯粹技术上的概念 在这种假设下，‘安全’所涉及到的环节包括： 物理设施的安全：通信介质、通信设备、主机设备的安全 系统运行安全：基础协议实现、应用系统的安全 数据安全：信息通信系统所处理的数据本身的安全 网络安全：一个涉及到多个层面的概念 当今网络安全威胁的特征和趋势 当前网络安全事件的特点 病毒、蠕虫和其他攻击行为互相融合 传统病毒的特点：隐蔽性、传染性、破坏性 病毒的本质特点：‘寄生’，而不是独立的程序 蠕虫的特点：独立存在，自主蔓延 更广泛的名称：恶意代码（还包括木马程序等） 互联网的发展为各种恶意代码提供了更多的机会，传统的分类界限日渐模糊 网络蠕虫的特点与危害性 传统的网络蠕虫，其危害性主要表现在对网络资源的消耗，导致网络阻塞 新一代网络蠕虫的攻击能力更强，并且和黑客攻击、计算机病毒之间的界限越来越模糊，带来更为严重的多方面的危害： 网络阻塞，服务中断（信息化的发展使得这种危害带来的损失越来越大） 开放主机，失密威胁严重 设置后门，成为下一轮攻击的基础 回收机制，便于攻击者集中掌握（突破了传统的蠕虫和病毒中，攻击者不能掌握受害对象信息的情况） 利用大面积的感染节点对特定目标发动拒绝服务攻击 新一代的网络蠕虫，能够对互联网造成致命冲击。 未来蠕虫的潜在威胁 不需要用户干预，可以短时间在全球迅速蔓延，从而导致大面积网络瘫痪 多种手段综合，组合多种攻击方法，适应多种不同的系统 利用蠕虫迅速掌握巨大数量的傀儡机 利用蠕虫对互联网关键点发起拒绝服务攻击 利用蠕虫对特定网络区域实施攻击 通常会结合木马植入，严重威胁用户安全 有些情况下可能无法隔离 当前网络安全事件的特点 攻击者可以轻易通过多个不同的网络、地区、或国家发起攻击，使得追查需要大范围的协调：“全球化的问题，需要全球化解决” 攻击定位十分困难：无论是虚拟世界的定位还是现实世界的定位。使得防范和追查都十分困难 有些问题的解决需要行业标准或者政策规范的方式来解决，例如垃圾邮件和分布式拒绝服务攻击 当前网络安全事件的特点 可能在任何时间发生攻击 攻击往往通过一级或者多级跳板进行 大规模事件出现日益频繁 传播速度越来越快 组合攻击开始出现 蠕虫驱动的DDoS攻击威胁更大 有组织犯罪的威胁更大 攻击者需要的技术水平逐渐降低，但是造成的危害逐渐增大 从发现漏洞到出现攻击代码的周期越来越短 攻击变得日益容易但是破坏力大 过去主要采用“避免风险”的策略，现在已经行不通了，因为需要更深入广泛的互连 入侵的动机很多：政治、经济、军事、好奇、或者---没有动机可不可以？！ 不信就挂一个个人防火墙，自己看看吧 一个大家熟悉的图 应急响应以及应急响应组织 什么是应急响应 Emergency Response/Incident Response:安全人员在遇到突发事件后所采取的措施和行动 突发事件：影响一个系统正常工作的情况。这里的系统包括主机范畴内的问题，也包括网络范畴内的问题。这种‘情况’包括常见的黑客入侵、信息窃取等，也包括拒绝服务攻击、网络流量异常等。 正确理解应急 安全的本质在于有效的“响应时间”不长于有效的“防护时间”（或称之为抗攻击时间） 按照过程的模型：PDRR 不能孤立地看待各个环节 应急响应将各个环节贯穿起来，作为安全保障的工作 应急处理在网络安全保障中的作用 问题：怎样才算是‘安全的’ -保护金库的两个方案 安全保障的一般环节PPDRR 结论：响应时间和抗攻击时间的关系 Rt ≤ ∑Pt 推论： 安全保障的各个环节不应该是相互孤立的； 安全是相对的，具体要求各不相同 投资多、设备好不一定安全级别就高 CERT组织的诞生 1988年11月：Morris蠕虫：主体瘫痪 几周后，CERT/CC成立 其后的两年，CERT组织纷纷出现 1989年10月：Wank蠕虫：发现CERT组织之间的沟通与合作非常必要 1990：FIRST成立 关于计算机应急处理 国际应急响应及其技术发展动态 计算机应急处理的国际