网络应急响应体系架构及其建设的实施方案研究精选.pptVIP

国家计算机网络入侵防范中心/ 第二届全国网络与信息安全技术研讨会 网络应急响应体系架构及其建设的实施方案研究 报告人：董庆宽 国家计算机网络入侵防范中心 国家计算机网络入侵防范中心/ */21 国家计算机网络入侵防范中心/ * 内容摘要 第一 概述 第二 网络安全事件现状与特点分析 第三 应急响应体系的关键属性 第四 应急响应体系的先进理论 第五 应急响应体系的组织架构 第六 应急响应的流程 第七 应急响应体系建设的实施方案 */21 国家计算机网络入侵防范中心/ * 一、概述 定义:应急响应具体是指一个组织为了应对各种安全事件的发生而在事发前所做的准备工作和在事件发时及发生后所采取的措施 处理的对象：网络安全事件，特别是突发安全事件 目的：实现“保护关键网络基础设施免遭攻击、降低网络的脆弱性、缩短网络攻击发生后的破坏和恢复时间” 重要性：国家安全保障体系的第一优先级事务 在美国《保护网络空间的国家战略》中，强调了应急响应的重要作用 中办发【27】号文件中明确指出： 要重视信息安全应急处理工作 */21 国家计算机网络入侵防范中心/ * 二、网络安全事件现状 1）安全事件影响严重。 2003年美国联邦调查局（FBI）和计算机安全研究所（CSI）联合进行的计算机犯罪调查结果显示，85%的组织机构遭遇过安全破坏事件，64%的组织回答这些事件引起了不同程度的经济损失，加起来有3.78亿美元之多 2）法轮功，黄色站点等传播大量的反动的和淫秽信息，而且这些网站不断发送大量垃圾邮件。 3）某些发达国家在世界范围内施行信息霸权与威慑。在不远的将来，将可能严重影响国家政权的稳固 4）网络设备潜在一定的危险。 许多网络关键基础设施如操作系统，CPU等也存在诸多漏洞和后门 */21 国家计算机网络入侵防范中心/ * 网络安全事件现状（续） 5）安全漏洞普遍存在 计算机网络和系统变得越来越复杂。计算机软件（包括操作系统）的安全缺陷往往与软件的规模和复杂性成正比，从设计、实现到维护阶段，都留下大量的安全漏洞。 6）攻击和恶意代码的大范围流行 利用系统的安全漏洞入侵是一种普遍手段， “黑客”攻击计算机网络的程序随处可见。 7）网络和系统管理配置复杂 目前很少有组织能够制定完备的安全政策，甚至根本没有，或即使有安全政策其更新也可能不及时。 */21 国家计算机网络入侵防范中心/ * 网络安全事件的特点分析 I．安全事件的发生直线上升 尽管人们对网络安全的关注与投资与日俱增，但是安全事件的数量和影响并没有因此而减少，攻击手段从专业高手向智能化发展，黑客群不断扩张。 II. 安全事件打击面广，破坏力强，所造成的损失严重 具体表现在从间接损失发展到直接的破坏，由少量损失扩大到巨额代价；从黑客的个人行为，发展到有组织、有预谋的网络恐怖主义；从互联网渗透到国家网络关键基础设施；从网络安全问题，上升到国家政治、经济、社会、国防问题。 III. 安全事件的影响不可避免，具有持续性。 */21 国家计算机网络入侵防范中心/ * 三、应急响应体系的关键属性 策略制定方面： 1）整体性：必须是全网范围内的综合防范，整体联动，任何一环的疏忽，都可能导致整个应急响应体系的脆弱性，这一属性同时也体现了信息安全的“木桶原理”。 2）信息共享：必须使网内的信息交流畅通，才能做到一方有难，八方资源，同时也可将发现的安全事件信息及时传递给全网的各个实体共享，以防止事件蔓延。 3）措施均衡：管理与技术兼备，而尤以管理问题突出，特别是对人的管理。所谓三分技术，七分管理。制定策略时必须兼顾到技术所能达到的响应能力，并在管理上投入足够的精力。 4）持续性：应急响应策略具体制定时，不可能达到尽善尽美，必须不断的完善，体系的建设必须贯彻安全生命周期思想 */21 国家计算机网络入侵防范中心/ * 关键属性（二） 实现目标方面： 1）应具有一定的危险判断能力； 2）较强的病毒及入侵抵抗能力； 3）强大的恢复能力； 4）较好的自适应能力。系统有能力适应威胁并且继续向用户提供关键服务。 */21 国家计算机网络入侵防范中心/ * 四、应急响应体系的先进理论 应急响应体系需要先理论 网络安全事件不可能完全杜绝，应急响应最根本的工作应该是保障大规模网络的关键运行系统即使在遭到恶意攻击时也应该有效的生存和运转，即保障大规模网络的生存能力。 实体间需要进行没有相互协调的合作，即能够实现局部的紧急响应 仅依靠常规安全技术难以解决 ! */21 国家计算机网络入侵防范中心/ * 先进理论（续