互联网网络安全应急工作回顾与展望.ppt

与国际应急组织密切合作 Global Problem, Global Solution：跨国进行的计算机攻击事件的处理推动了国际应急组织的合作 2002年8月，成为FIRST正式成员 APCERT创始成员和指导委员会成员 同韩国、日本、马来西亚、巴西、澳大利亚多个国家CERT组织保持密切的合作 开始与东盟、泛美、欧洲等地区CERT组织建立合作渠道 第三十页，共六十一页。 应急组织、策略和方法 一些建议 第三十一页，共六十一页。 面临的基本问题 如何用合理的投入，使组织面临的整体网络安全风险降低到可以接受的程度 安全是相对的，不是绝对的 不同层面：国家、企业、个人 是否真正知道面临哪些风险？ 如何描述风险？ 安全的水平不是用投入多少来衡量？ …… 第三十二页，共六十一页。 如何保障整体的安全 有明确整体的网络安全策略 适合组织需要的网络安全应急小组（至少应该有POC） 详细的规章、流程、手册，并真正得到贯彻 建立监测技术平台与应急工具库 开展应急培训、演练 网络安全知识、信息、经验积累、共享与交换 提高组织和个人网络安全意识 一切都要真正得到贯彻和执行！ 第三十三页，共六十一页。 网络安全应急组织基础 计算机安全事件相应小组 CSIRT: Computer Security Incident Response Team 负责在确定的组织范围内，执行、协调、支持对计算机实践做出响应的小组 CNCERT/CC、CCERT… 第三十四页，共六十一页。 理解组织自身的需要 为什么需要CSIRT? 组织的现状? 部门之间如何联系？负责人？ 需要说服那些关键人物? 现有的基础：内部的和外部的? 事件处理小组？安全流程?安全策略?法规?标准? 带来哪些好处，存在哪些障碍? CSIRT对整体整体目标带来哪些好处？ 商业优势、投资回报? 第三十五页，共六十一页。 看看国外的情况 全球应急组织论坛 亚太应急组织 欧洲安全事件交换计划 第三十六页，共六十一页。 第三十七页，共六十一页。 事件处理的一般阶段 第一阶段：准备——让我们严阵以待 第二阶段：确认——对情况综合判断 第三阶段：封锁——制止事态的扩大 第四阶段：根除——彻底的补救措施 第五阶段：恢复——备份，顶上去！ 第六阶段：跟踪——还会有第二次吗 第三十八页，共六十一页。 Handling the Incident 恢复 Recovery 根除 Eradication 发现 Identification 预防 Preparation 控制 Containment 跟踪 Follow up Analysis Incident Response Life Cycle 第三十九页，共六十一页。 第四十页，共六十一页。 第一阶段——准备 预防为主 帮助服务对象建立安全政策 帮助服务对象按照安全政策配置安全设备和软件 扫描，风险分析，打补丁 如有条件且得到许可，建立监控设施 应急联络机制 第四十一页，共六十一页。 建立事件报告的机制和要求 建立事件报告流程和规范 Intranet Phone Email Who? What? When? Where? How? Reporting Mechanisms 第四十二页，共六十一页。 第二阶段——确认 确定事件的责任人 指定一个责任人全权处理此事件 给予必要的资源 确定事件的性质 误会？玩笑？还是恶意的攻击/入侵？ 影响的严重程度 预计采用什么样的专用资源来修复？ 第四十三页，共六十一页。 第三阶段——封锁 即时采取的行动 防止进一步的损失，确定后果 确定适当的封锁方法 咨询安全政策 确定进一步操作的风险 损失最小化 可列出若干选项，讲明各自的风险，由服务对象选择 第四十四页，共六十一页。 第四阶段——根除 长期的补救措施 确定原因，定义征兆 分析漏洞 加强防范 消除原因 修改安全政策 第四十五页，共六十一页。 第五阶段——恢复 被攻击的系统由备份来恢复 作一个新的备份 把所有安全上的变更作备份 服务重新上线 持续监控 第四十六页，共六十一页。 第六阶段——跟踪 关注系统恢复以后的安全状况，特别是曾经出问题的地方 建立跟踪文档，规范记录跟踪结果 对响应效果给出评估 第四十七页，共六十一页。 网络安全应急技术基础 入侵检测系统 调查分析系统 事件描述与交换系统 事件管理系统 备份恢复系统 应急专用工具(扫描器、补丁管理…) 网络安全管理平台(SOC) 更多…… 第四十八页，共六十一页。 响应式服务 预防式服务 安全质量管理服务 警报和警告 事件处理 事件分析 现场事件响应 事件响应支持 事件响应协调 安全漏洞处理 安全漏洞分析 安全漏洞响应 安全漏洞响应协调 Artifact处理 Artifact分析 Artifact响应 Artifact响应协调