1、网络安全网络安全10应急与管理应急与管理l攻击攻击l恶意代码恶意代码l管理失误管理失误l泄密泄密l传播不良信息传播不良信息l利用网络进行违法活利用网络进行违法活动的通信指挥动的通信指挥l散布谣言,制造恐慌散布谣言,制造恐慌动乱动乱l网络上实施经济犯罪网络上实施经济犯罪l网络上实施民事侵权网络上实施民事侵权针对网络的行为引发的法律问题利用网络的行为引发的法律问题l违反国家规定,侵入国家事务、国防建设、违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。三年以下有期徒刑或者拘役。l利用计算机实施金融诈骗、盗窃、
2、贪污、挪利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其它犯罪的,依用公款、窃取国家秘密或者其它犯罪的,依照本法有关规定定罪处罚。照本法有关规定定罪处罚。Computer Emergency Response Technology(计算机应急处理技术)(计算机应急处理技术)攻击复杂度与攻击者的技术水平攻击复杂度与攻击者的技术水平高高低低19801985199019952000猜口令猜口令自我复制程序自我复制程序口令破解口令破解攻击已知漏洞攻击已知漏洞破坏审计破坏审计后门程序后门程序干扰通信干扰通信手动探测手动探测窃听窃听数据包欺骗数据包欺骗图形化界面图形化界面自动扫描自动扫描拒
3、绝服务拒绝服务www攻击攻击工具工具攻击者攻击者攻击者的攻击者的知识水平知识水平攻击的复杂度攻击的复杂度隐秘且高级的扫描工具隐秘且高级的扫描工具偷窃信息偷窃信息网管探测网管探测分布式攻击工具分布式攻击工具新型的跨主机工具新型的跨主机工具Cost of CapabilityAvailability of Capability19551960197019751985InvasionPrecision GuidedMunitionsComputerStrategicNuclearWeaponsCruise Missile1945TodayMissilesICBM&SLBMlInternet起于研究项
4、目起于研究项目,安全不是主要的考虑安全不是主要的考虑l少量的用户,多是研究人员少量的用户,多是研究人员,可信的用户群体可信的用户群体l可靠性可靠性(可用性可用性)、计费、性能、计费、性能、配置、安全、配置、安全l“Security issues are not discussed in this memo”l网络协议的开放性与系统的通用性网络协议的开放性与系统的通用性l目标可访问性,行为可知性目标可访问性,行为可知性l攻击工具易用性攻击工具易用性lInternet 没有集中的管理权威和统一的政策没有集中的管理权威和统一的政策l安全政策、计费政策、路由政策安全政策、计费政策、路由政策9在信息时代
5、,我们每个组织、每个人、每天都在面对着形形色色的网络安全问题,安全事件不再是发生在别人身上的事件。网络空间无时无刻地处在有能力发现并且利用信息技术脆弱性的恶意个体和组织的攻击之下。尽管我们通过诸多技术的、管理的、操作的方法来应对安全事件,但迄今为止,我们尚未找到某种技术防护措施或实施某些安全策略来对信息系统提供绝对的保护。这就是计算机应急响应组织应运而生并且得以蓬勃发展的理由。q安全事件安全事件 是那些影响计算机系统和网络安是那些影响计算机系统和网络安全的不当行为,例如:全的不当行为,例如:盗取帐号盗取帐号黑掉网页黑掉网页非法获取其他用户的口令非法获取其他用户的口令传播计算机病毒传播计算机病毒
6、发送垃圾包发送垃圾包等等等等q是指一个组织为了应对各种意外事件的发生所是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施和行做的准备以及在事件发生后所采取的措施和行为,其目的是避免、降低危害和损失,以及从为,其目的是避免、降低危害和损失,以及从危害和损失中恢复。危害和损失中恢复。q应急响应除了技术之外还需要其他技能,如管应急响应除了技术之外还需要其他技能,如管理能力、协调能力、法律知识、事件描述技巧、理能力、协调能力、法律知识、事件描述技巧、甚至心理学知识甚至心理学知识(特别是处理来自内部的攻击特别是处理来自内部的攻击时时)“莫里斯事件莫里斯事件”又称又称“蠕虫事件蠕
7、虫事件”。19881988年年1111月,月,美国美国CornellCornell大学学生大学学生MorrisMorris编写一个编写一个“圣诞树圣诞树”蠕虫程序,该程序可以利用因特网上计算机的蠕虫程序,该程序可以利用因特网上计算机的sendmailsendmail的漏洞、的漏洞、fingerDfingerD的缓冲区溢出及的缓冲区溢出及REXEREXE的的漏洞进入系统并漏洞进入系统并自我繁殖,鲸吞因特网的带宽资自我繁殖,鲸吞因特网的带宽资源,造成全球源,造成全球10%10%的联网计算机陷入瘫痪。这起计的联网计算机陷入瘫痪。这起计算机安全事件极大地震动了美国政府、军方和学算机安全事件极大地震动了
8、美国政府、军方和学术界术界q全球第一个计算机应急处理协调中心q八八年的“莫里斯事件”q美国能源部(DoE)成立了自已的CIACq美国其他部门的情况19891989年,美国能源部(年,美国能源部(DoEDoE)成立了自已的计算机事件处理组织,称)成立了自已的计算机事件处理组织,称为为CIACCIAC(Computer Incident Advisory Capability)Computer Incident Advisory Capability),专门保证能,专门保证能源部计算机系统的安全。至此,各有关部门纷纷开始成立自己的计源部计算机系统的安全。至此,各有关部门纷纷开始成立自己的计算机安全
9、事件处理组织。算机安全事件处理组织。作为发起国,美国在国防部、能源部、空军、海军、作为发起国,美国在国防部、能源部、空军、海军、众议院、国家宇航局、国家标准与技术局、部分重众议院、国家宇航局、国家标准与技术局、部分重点大学、点大学、ITIT界知名公司先后成立了四十余个计算机界知名公司先后成立了四十余个计算机安全事件响应组织。重在响应、协调、研究安全事件响应组织。重在响应、协调、研究/分析分析与统计计算机安全事件。与统计计算机安全事件。q专有名词,CERT与CSIRT计算机应急处理的国际惯称为:计算机应急处理的国际惯称为:q CERT Computer Emergency Response Te
10、am (计算机紧急响应小组计算机紧急响应小组)q CSIRT Computer Security Incident Response Teams (计算机安全事件响应小组计算机安全事件响应小组)中文通常提法中文通常提法计算机应急处理组织计算机应急处理组织计算机应急响应小组计算机应急响应小组计算机紧急响应小组计算机紧急响应小组在莫里斯事件发生之后,美国国防部高级计划研究署(在莫里斯事件发生之后,美国国防部高级计划研究署(DARPADARPA)出出资在卡内基资在卡内基-梅隆大学(梅隆大学(CMUCMU)的软件工程研究所(的软件工程研究所(SEISEI)建立了计建立了计算机应急处理协调中心算机应急处
11、理协调中心(CERT/CC)(CERT/CC)。该中心现在仍然由美国国防部。该中心现在仍然由美国国防部支持,并且作为国际上的骨干组织积极开展相关方面的培训工作。支持,并且作为国际上的骨干组织积极开展相关方面的培训工作。l安全事件响应安全事件响应l安全事件分析和软件安全缺陷研究安全事件分析和软件安全缺陷研究l缺陷知识库开发缺陷知识库开发l信息发布:缺陷、公告、总结、统计、补丁、工具信息发布:缺陷、公告、总结、统计、补丁、工具l教育与培训:教育与培训:CSIRT管理、管理、CSIRT技术培训、系统和网络技术培训、系统和网络管理员安全培训管理员安全培训l指导其它指导其它CSIRT(也称(也称IRT、
12、CERT)组织建设)组织建设13CMUSEINetworked Systems Survivability programSurvivable Network ManagementCERT/CCSurvivable Network TechnologyIncidentHandlingVulnerabilityHandlingCSIRTDevelopmentDoD15一种服务性的组织,负责接收、检查并响应计算机安全事件报告和活动。它通常为一个确定的集合体服务,该集合体可能是一个归属实体,比如某个地区或国家、政府、某个公司或教育机构、某个网络等,或者是某个付费用户。lCIRC Computer I
13、ncident Response CapabilitylCIRT Computer Incident Response TeamlIHT Incident Handing TeamlIRC Incident Response Center/CapabilitylIRT Incident Response TeamlSERT Security Emergency Response TeamlSIRT Security Incident Response Team16恢复恢复RecoveryRecovery根除根除EradicationEradication发现发现IdentificationId
14、entification预防预防PreparationPreparation控制控制ContainmentContainment跟踪跟踪Follow up Follow up AnalysisAnalysis准备 让我们严阵以待确认 对情况综合判断 抑制 防止事态的扩大根除 彻底的补救措施恢复 备份,顶上去!跟踪 还会有下一次吗q处理安全事件,做到热线响应,如提供咨询、帮助。q发布计算机网络弱点通告或与安全有关的简报。q从事网络安全研究,开发相应的工具。q进行安全检查和风险分析,从事网络安全教育。q成立可信的网络安全信息交换中心,与执法部门、其他CERT、IT界组织等保持联系。q参加国际活动,
15、进行国际合作。q政府出资q集团出资q纯粹的商业行为q会员制主是针对政府部门或面向全社会服务,如主是针对政府部门或面向全社会服务,如DARPADARPA支持支持CMUCMU的的CERT/CCCERT/CC,日本通产省支,日本通产省支持的持的JPCERTJPCERT皆属于此类。皆属于此类。只支持自己的成员,典型地是由某公司出只支持自己的成员,典型地是由某公司出资组建资组建CERTCERT,只为自己国内外的机构和客,只为自己国内外的机构和客户服务。如户服务。如IBMIBM、AT&TAT&T均有自己的均有自己的CERTCERT。纯粹的商业服务收费纯粹的商业服务收费IRTIRT(安全事件响应(安全事件响
16、应工作组)或工作组)或ERTERT(紧急事件响应工作组)。(紧急事件响应工作组)。对其所属会员收取服务费,如澳大利亚对其所属会员收取服务费,如澳大利亚(AusCERTAusCERT)对其会员按网络规模大小收)对其会员按网络规模大小收费,如网络用户个数大于费,如网络用户个数大于200200小于小于20002000的的会员,每年收费会员,每年收费25002500澳元。澳元。l计算机网络基础设施已经严重依赖国外;计算机网络基础设施已经严重依赖国外;l由于地理、语言、政治等多种因素,安全服务不可由于地理、语言、政治等多种因素,安全服务不可能依赖国外的组织能依赖国外的组织l国内的应急响应服务已起步并不断
17、发展国内的应急响应服务已起步并不断发展lCCERT(1999年年5月),中国第一个安全事件响应组织月),中国第一个安全事件响应组织lNJCERT(1999年年10月)月)l中国电信中国电信ChinaNet安全小组安全小组l解放军,公安部解放军,公安部l安全救援服务公司安全救援服务公司l中国计算机应急响应组中国计算机应急响应组/协调中心协调中心CNCERT/CCl2000年年3月,北京月,北京21lGlobal Problem,Global Solution:跨国进:跨国进行的计算机攻击事件的处理推动了国际应急行的计算机攻击事件的处理推动了国际应急组织的合作组织的合作l2002年年8月,成为月,
18、成为FIRST正式成员正式成员lAPCERT创始成员和指导委员会成员创始成员和指导委员会成员l同韩国、日本、马来西亚、巴西、澳大利亚同韩国、日本、马来西亚、巴西、澳大利亚多个国家多个国家CERT组织保持密切的合作组织保持密切的合作l开始与东盟、泛美、欧洲等地区开始与东盟、泛美、欧洲等地区CERT组织组织建立合作渠道建立合作渠道全球应急组织论坛亚太应急组织欧洲安全事件交换计划24http:/www.cert.org/http:/www.csirt.org/26http:/ 成立。成立。lFIRST是国际计算机网络安全应急组织的联是国际计算机网络安全应急组织的联盟,目前也是唯一一个全球性的应急联盟
19、组盟,目前也是唯一一个全球性的应急联盟组织。该组织由众多计算机安全事件应急组织织。该组织由众多计算机安全事件应急组织的联络网构成,联络网中的各个组织自发地的联络网构成,联络网中的各个组织自发地进行协作,共同处理互联网上的安全事件。进行协作,共同处理互联网上的安全事件。这些组织来自全球各个国家或地区,代表着这些组织来自全球各个国家或地区,代表着广泛的利益群体,包括政府机构、执法部门广泛的利益群体,包括政府机构、执法部门、学术界、教育界、企业界以及由论坛指导、学术界、教育界、企业界以及由论坛指导委员会批准的其他性质的组织或个人。委员会批准的其他性质的组织或个人。29lFIRST成员开发和共享技术信
20、息、工具、方法、成员开发和共享技术信息、工具、方法、流程和最佳实践;流程和最佳实践;lFIRST鼓励并推动优质安全产品、策略与服务的鼓励并推动优质安全产品、策略与服务的开发;开发;lFIRST开发并推广最佳计算机安全实践;开发并推广最佳计算机安全实践;lFIRST推动应急组织的成立和壮大,发展和吸纳推动应急组织的成立和壮大,发展和吸纳来自世界各个领域的应急组织成为来自世界各个领域的应急组织成为FIRST成员;成员;lFIRST成员共用他们各自的知识、技能和经验来成员共用他们各自的知识、技能和经验来联合塑造一个更安全、更可靠的全球计算机网络联合塑造一个更安全、更可靠的全球计算机网络环境。环境。3
21、031http:/www.apcert.org/l2002年,由年,由AusCERT、CNCERT/CC、JPCERT/CC等等CERT组织发起成立了组织发起成立了APCERT,即亚太地区计算机应急响应组织,即亚太地区计算机应急响应组织联盟。联盟。l目前,目前,APCERT是亚太地区最有影响力的应是亚太地区最有影响力的应急响应合作组织。该组织吸引了亚太地区急响应合作组织。该组织吸引了亚太地区12个经济体的个经济体的17个应急组织为成员,并在不断个应急组织为成员,并在不断地扩展壮大。地扩展壮大。32lAPCERT的宗旨是在亚太地区维护一个互信的计算机安的宗旨是在亚太地区维护一个互信的计算机安全专
22、家联络网,在计算机安全和事件处理相关领域通过全专家联络网,在计算机安全和事件处理相关领域通过自己的公益服务普及地区的安全意识,提高地区的安全自己的公益服务普及地区的安全意识,提高地区的安全防范能力。防范能力。APCERT的工作目标是:的工作目标是:l加强亚太地区信息安全的区域及国际合作;加强亚太地区信息安全的区域及国际合作;l合作处理大范围或区域网络安全事件;合作处理大范围或区域网络安全事件;l促进其成员间关于网络安全、计算机病毒和恶意代码的信息共享促进其成员间关于网络安全、计算机病毒和恶意代码的信息共享和技术交流;和技术交流;l推动成员间针对共同兴趣或利益主题的项目进行合作研究与开发推动成员
23、间针对共同兴趣或利益主题的项目进行合作研究与开发工作;工作;l协助本区域其他计算机安全事件响应组开展有效的计算机安全应协助本区域其他计算机安全事件响应组开展有效的计算机安全应急工作;急工作;l参加或提供建议,帮助解决跨区域的与信息安全和应急响应相关参加或提供建议,帮助解决跨区域的与信息安全和应急响应相关的法律问题。的法律问题。33l美国:美国:l最早建立应急组织的国家最早建立应急组织的国家l应急组织最多的国家应急组织最多的国家lIT产品提供商建立应急组织最集中的国家产品提供商建立应急组织最集中的国家l英国:英国:l法国:法国:l德国:德国:l攻击者:攻击者:l发现漏洞发现漏洞l编写攻击代码编写
24、攻击代码l(测试测试)l执行攻击执行攻击l防御者:防御者:l发现漏洞发现漏洞l发布消息发布消息l开发补丁程序开发补丁程序l发布补丁发布补丁l风险检查风险检查l监测攻击监测攻击l分析恶意代码分析恶意代码l控制传播控制传播Propagation Controll发布补丁和工具发布补丁和工具l恢复被入侵系统恢复被入侵系统l升级升级/调整调整/评估评估安全管理安全管理木桶理论木桶理论按照“木桶理论”,水从最低的那块木板漏出如果说各种安全技术是木桶上面的长短不同的木板的话,那么安全管理就是把木板粘在一起的“胶”如果最低处“开胶”,那么任你木板多长都形同虚设三分技术、七分管理三分技术、七分管理超过70%的
25、信息安全事故,如果事先加强管理,都可以得到避免 由于管理往往涉及全局,管理上的漏洞比系统的漏洞更需要补救苍蝇不叮无缝的蛋蛋体系先行首长挂帅全员参与明确目标首长挂帅首长挂帅要让全体职工知道管理层做出了信息安全管理的承诺一把手最好亲自出面全员参与全员参与交流期待保护用户保护单位减少错误明确目标明确目标宽严适度量力而行体系先行体系先行组织体系规章制度控管措施监督检查物理控管物理控管人员控管人员控管访问控制访问控制 审计审计废弃物品控管废弃物品控管应急处理应急处理 隔离隔离设备设施防护设备设施防护防盗(尤其注意笔记本电脑防盗)使用门禁设施防火人员离开时桌面净空,屏幕上锁防电磁泄漏防搭线窃听调离人员的处
26、理签署保密合同人员分级与分类权限的授予和管理信息管理人员持证上岗办公自动化环境下的新问题与安全有关的事件,要有记录信息管理员应定期对审计信息进行备份单位应定期请专业人士对审计信息进行分析,由此评估信息安全状况审计文件应严格保护,禁止任何人私自改动访问单位内部信息和信息系统,要有身份认证的过程,只允许授权用户访问设置和修改权限,所依据的政策要由专人负责制定,操作要专人负责与单位外部的通信连接,必要的时候要进行审查和过滤按访问控制的强度对信息系统分级单位内部信息系统和外部公共网络,要内外有别隔离强度有四个等级:无任何隔离措施 物理连通,按一定条件过滤 物理不连通,数据连通 数据不连通软驱与拨号访问
27、的控管承载敏感信息的耗材废弃前必须先销毁。包括:废旧软盘、硬盘、光盘、磁带废旧纸张发生紧急安全事故时,要做到:封存现场(尤其是审计数据),及时取证,紧急报案和求援 排除故障、启用备份系统和备份数据,恢复原数据及系统正常功能配置管理入侵检测与入侵阻断服务器防护抗毁系统和自毁系统笔记本电脑问题网络防洪不要点击和下载来历不明的文件和链接不要点击和下载来历不明的文件和链接 起个什么口令好起个什么口令好不要使用来历不明的软盘不要使用来历不明的软盘/光盘光盘浏览器设置要当心浏览器设置要当心对异常现象保持高度警惕对异常现象保持高度警惕实行安全内审员制度安全记录、安全状况要有人定期检查查出安全问题要能明确追究责任
