CISP信息安全应急响应.pptx

信息安全应急响应;;目录;一、互联网网络安全面临重大挑战;目录;我国互联网环境;互联网安全威胁事例;网络安全热点;;网络钓鱼的靶心;网络安全热点;网络安全热点;网络安全热点;系统越来越复杂;网络安全漏洞大量存在;;攻击复杂度与攻击者的技术水平;攻击范围和时间的变化;网络安全造成损失越来越大;防止网络故障造成巨大损失和影响;从安全事件看网络安全威胁及其发展趋势;大规模蠕虫事件的特点;蠕虫依然是重大的潜在威胁;蠕虫事件的对抗;形势日渐严峻：通过互联网进行窃密的威胁日益增大

最主要威胁：

遭控制，尤其是关键节点

失泄密

2004年，6千多个IP

2005年：超过2万2千个IP;传播途径：

入侵+手工植入

蠕虫携带/蠕虫进入后下载

垃圾邮件

网页

动机变化;木马事件的对抗;代码类威胁之：间谍软件;僵尸网络的威胁;僵尸网络的主要特点;僵尸网络的类型;完整僵尸网络的发现

控制系统监视

控制者追踪

控制行为监视

控制体系摧毁

僵尸程序清除

代码获取与数据分析;恶意代码的特点对比;非代码类威胁之：网络仿冒;不断变化的技术手段：

垃圾邮件+社会工程学方法+相似链接+仿冒网站

垃圾邮件+社会工程学方法+隐藏的链接+仿冒网站

利用浏览器漏洞做到更好的链接隐藏

仿冒网站本身的技术变化

恶意代码进驻+修改host文件+仿冒网站

恶意代码进驻+监视软件

[恶意代码进驻]：

垃圾邮件+邮件工具漏洞；

垃圾邮件+浏览器漏洞+陷阱网页

蠕虫+恶意代码

直接从在线交易环节中窃取信息！;我国网络仿冒的基本情况;始终没有解决的一个严重威胁

目前敲诈勒索的主要手段之一

蠕虫驱动的DDoS，以及大型僵尸网络发动的DDoS，可能严重威胁到基础网络/关键应用/重要应用系统的正常运行;非代码类威胁之：拒绝服务攻击;过滤干扰流量；

追溯攻击源头；

追溯攻击者；

公共策略执行：推广相关的基础配置；

攻击平台摧毁;非代码类威胁之：网页篡改;网页篡改的演变;发现：

举报；主动搜索

挑战：深度、广度的增加；新型恶意代码

定位与分析

尽早通知用户

手段分析

攻击者分析

宏观分析

恢复;其他威胁;各种威胁的变化趋势小结;潜在的其他问题;基础薄弱

资源欠缺

合作???缺

宏观发现与分析能力欠缺

不够重视“软”技术

技术挑战;低高;网络安全事件的威胁对象;需要的元素(x);网络安全保障能力Y-应对能力;网络安全保障能力X-实现要素;网络安全保障能力Z-威胁研究;核心资源;技术挑战：大规模突发事件的

及时响应？;我们的对手有多快?;技术挑战：宏观分析-海量数据;数据的有效性;100万事件信息;理想化响应工作模式;非技术挑战:现实世界和虚拟世界的矛盾;追踪？？;综合挑战：动态适应能力;综合挑战：其他;是否真正知道我国的网络中正在发生什么？;小结;二、什么是应急响应;目录;什么是应急响应;事件响应;应急响应描述;应急响应的目的;积极预防——风险评估;积极预防;及时发现：安全保障的第一要求;快速响应;确保恢复：安全保障的第一目标;从应急组织到应急体系：网络安全保障的必要条件;“莫里斯事件”又称“蠕虫事件”。1988年11月，美国Cornell大学学生Morris编写一个“圣诞树”蠕虫程序，该程序可以利用因特网上计算机的sendmail的漏洞、fingerD的缓冲区溢出及REXE的漏洞进入系统并自我繁殖，鲸吞因特网的带宽资源，造成全球10%的联网计算机陷入瘫痪。这起计算机安全事件极大地震动了美国政府、军方和学术界;应急处理的国际化;我国的应急处理体系;CNCERT/CC发展历程（1）;CNCERT/CC发展历程（2）;应急响应服务背景;;三、应急响应组的组建;目录;什么是应急响应组（IRT）

应急响应组就是机构可以借助的网络安全专业组织。

为什么需要成立应急响应组

容易协调响应工作

提高专业知识

提高效率

提高先期主动防御能力

更加适合于满足机构的需要

提高联络功能

提高处理制度障碍方面的能力;应急小组的分类和工作范围;应急响应组的分类;《关于加强信息安全保障工作的意见》（中办发【2003】27号）第五部分重视信息安全应急处理工作。国家和社会都有充分重视信息安全应急处理工作。要进一步完善国家信息安全应急处理协调机制，…加强信息安全事件的应急处置工作。…要加强信息安全应急支援服务队伍建设，鼓励社会力量参与灾难备份设施建设和提供技术服务，提供信息安全应急响应能力。;国内的应急响应政策;国际应急响应组网址;四、应急响应服务的过程;目录;应急响应的一般阶段;第一阶段——