网络应急响应预案.pptVIP

网络应急响应预案 网络应急响应预案 网络应急响应预案 第 7 章 网络应急响应预案 教学要求： 网络应急响应是保障信息网络可生存性的必要手段和措施。网络安全应急响应预案涉及的内容有：网络应急响应的概念、响应策略的制定、响应组件的设计。涉及的技术有主机保护、网络入侵检测、事件检测、隔离与快速恢复、网络追踪、计算机取证等。本章从应急响应概念和基础入手，分析了应急响应的相关知识和技术手段。目的是读者了解建立网络应急响应预案和安全防护体制的知识。 主要内容： 网络应急响应预案概述 网络应急响应策略的制定 网络应急响应相关技术 网络应急响应系统的部署 习题 实训 教学重点：响应策略的制定、应急响应相关技术等。 进入21世纪以后，网络安全这一全球性问题骤然变得突 出起来。如2000年Yahoo等网站遭到大规模拒绝服务攻 击，2001年爆发了红色代码等蠕虫事件，2002年全球的 根域名服务器遭到大规模拒绝服务攻击，2003年又爆发 了SQL Slammer等蠕虫事件，在短时间内大范围地传播 感染上万台计算机，造成很多企业和团体网络瘫痪。 对于可能在较大范围内发生，传播速度快，影响范围 广，造成危害大，紧急发生的网络违规行为应该建立网 络应急响应预案体系，在出现紧急情况后及时报警和隔 离排除故障，以最大限度地降低可能造成的风险和损失。 7.1.1 网络应急响应概念 应急响应（Emergency Response）通常是 指一个组织为了应对各种意外事件的发生所 做的准备以及在事件发生后所采取的措施。 计算机网络安全事件应急响应的对象是指针 对计算机或网络所存储、传输、处理的信息 的安全事件，事件的主体可能来自自然界、 系统自身故障、组织内部或外部的人、计算 机病毒或蠕虫等。 7.1.2　为什么需要建立网络应急响应预案 1． 网络安全的保障基础是大规模的检测、预警和响应系统。 2． 应急响应是保障信息网络可生存性的必要手段和措施。 3． 应急响应是积极防御和纵深防御体系中的最后一道防线。 4． 由于技术的因素，信息技术不对称，网络漏洞必然存在。 对网络安全事件进行应急响应是必不可少的重要环节。 5． 应急响应是入侵管理过程中的关键环节。 6． 应急响应是降低风险的主动有效措施，是增强积极防御 能力的手段。 7.1.3　网络应急响应预案体系的现状与发展 1．网络应急响应预案体系的现状 随着互联网的高速发展，网络安全威胁越来越多。为了增强 积极防御能力，降低风险和减少损失，目前很多国家、组织 和单位已经认识到建设应急响应体系的重要性和迫切性，分 别建立了网络应急处理组织和应急响应体系。 中国1999年在清华大学成立了中国教育和科研网紧急响应组 (CCERT)，是中国第一个计算机安全应急响应组。国家因特 网应急小组也于2000年10月成立了 “国家计算机网络应急处 理协调中心”，简称CNCERT, 协调全国范围内计算机安全应 急响应小组的工作，以及与国际计算机安全组织的交流。 2．网络应急响应的发展方向 （1）技术的发展 入侵检测 自动响应 入侵的追踪方法 取证工具 (2) 社会的发展 制度 法律 协同响应 网络应急响应体系的建立不仅仅是技术故障处理与应急响应，需要多方面共同参与，采用技术手段并制定严格的应急响应策略，形成事件处理的工作流程，及时快速地反应和处理网络安全突发事件。 完善的网络应急响应策略根据突发事件的特点可分为6个步骤和阶段，从技术和管理方面进行制定。 7.2.1　计划与准备阶段 此阶段以预防为主。主要进行实施预防措施，制定 事件响应计划、指南和程序，组建应急响应小组， 准备必要的资源。 7.2.2 确认阶段 主要确定事件性质和处理人选。此阶段进行初步调 查，确定是否真有事件发生，保留关键证据。按照 预先设定的程序，向相关人员报告。 7.2.3 事件调查与分析阶段 及时采取行动遏制事件发展，展开调查，根据突发事件的性质和严重程度决定采用何种响应策略。 7.2.4 事件处理阶段 彻底解决问题隐患，根据优先级的考虑，限制或根 除事件，将事件影响降低到最低程度。 7.2.5 恢复阶段 使受影响的系统或业务恢复到正常的运转状态，详 细记录事件响应过程、调查步骤和补救方法。 7.2.6 跟踪阶段 继续监视系统或网络的运行情况，分析和回顾事件 经过，总结经验教训，解决其他问题（比如法律问 题）。 7.3.1 主机保护 面对网络安全威胁，日常应该做好主机系统的保护和 准备，最大限度地减少系统漏洞。 1．数据备份 2．启用安全审核记录 3．及时更新补丁 4．安装杀毒软件 5．关闭不必要的服务 7.3.2 入侵检测 入侵检测是部署应急响应支撑系统的基础