《网络应急响应预案.ppt》由会员分享,可在线阅读,更多相关《网络应急响应预案.ppt(20页珍藏版)》请在三一办公上搜索。
1、,第 7 章,网络应急响应预案,教学要求:,网络应急响应是保障信息网络可生存性的必要手段和措施。网络安全应急响应预案涉及的内容有:网络应急响应的概念、响应策略的制定、响应组件的设计。涉及的技术有主机保护、网络入侵检测、事件检测、隔离与快速恢复、网络追踪、计算机取证等。本章从应急响应概念和基础入手,分析了应急响应的相关知识和技术手段。目的是读者了解建立网络应急响应预案和安全防护体制的知识。,主要内容:,网络应急响应预案概述网络应急响应策略的制定网络应急响应相关技术网络应急响应系统的部署习题实训教学重点:响应策略的制定、应急响应相关技术等。,7.1网络应急响应预案概述,进入21世纪以后,网络安全这
2、一全球性问题骤然变得突出起来。如2000年Yahoo等网站遭到大规模拒绝服务攻击,2001年爆发了红色代码等蠕虫事件,2002年全球的根域名服务器遭到大规模拒绝服务攻击,2003年又爆发了SQL Slammer等蠕虫事件,在短时间内大范围地传播感染上万台计算机,造成很多企业和团体网络瘫痪。对于可能在较大范围内发生,传播速度快,影响范围广,造成危害大,紧急发生的网络违规行为应该建立网络应急响应预案体系,在出现紧急情况后及时报警和隔离排除故障,以最大限度地降低可能造成的风险和损失。,7.1.1 网络应急响应概念,应急响应(Emergency Response)通常是指一个组织为了应对各种意外事件的
3、发生所做的准备以及在事件发生后所采取的措施。计算机网络安全事件应急响应的对象是指针对计算机或网络所存储、传输、处理的信息的安全事件,事件的主体可能来自自然界、系统自身故障、组织内部或外部的人、计算机病毒或蠕虫等。,为什么需要建立网络应急响应预案,1 网络安全的保障基础是大规模的检测、预警和响应系统。2 应急响应是保障信息网络可生存性的必要手段和措施。3 应急响应是积极防御和纵深防御体系中的最后一道防线。4 由于技术的因素,信息技术不对称,网络漏洞必然存在。对网络安全事件进行应急响应是必不可少的重要环节。5 应急响应是入侵管理过程中的关键环节。6 应急响应是降低风险的主动有效措施,是增强积极防御
4、 能力的手段。,7.1.3网络应急响应预案体系的现状与发展,1网络应急响应预案体系的现状随着互联网的高速发展,网络安全威胁越来越多。为了增强积极防御能力,降低风险和减少损失,目前很多国家、组织和单位已经认识到建设应急响应体系的重要性和迫切性,分别建立了网络应急处理组织和应急响应体系。中国1999年在清华大学成立了中国教育和科研网紧急响应组(CCERT),是中国第一个计算机安全应急响应组。国家因特网应急小组也于2000年10月成立了“国家计算机网络应急处理协调中心”,简称CNCERT,协调全国范围内计算机安全应急响应小组的工作,以及与国际计算机安全组织的交流。,2网络应急响应的发展方向(1)技术
5、的发展 入侵检测自动响应入侵的追踪方法取证工具(2)社会的发展制度法律协同响应,7.2网络应急响应策略的制定,网络应急响应体系的建立不仅仅是技术故障处理与应急响应,需要多方面共同参与,采用技术手段并制定严格的应急响应策略,形成事件处理的工作流程,及时快速地反应和处理网络安全突发事件。完善的网络应急响应策略根据突发事件的特点可分为6个步骤和阶段,从技术和管理方面进行制定。,计划与准备阶段此阶段以预防为主。主要进行实施预防措施,制定事件响应计划、指南和程序,组建应急响应小组,准备必要的资源。7.2.2 确认阶段主要确定事件性质和处理人选。此阶段进行初步调查,确定是否真有事件发生,保留关键证据。按照
6、预先设定的程序,向相关人员报告。7.2.3 事件调查与分析阶段及时采取行动遏制事件发展,展开调查,根据突发事件的性质和严重程度决定采用何种响应策略。,7.2.4 事件处理阶段彻底解决问题隐患,根据优先级的考虑,限制或根除事件,将事件影响降低到最低程度。7.2.5 恢复阶段使受影响的系统或业务恢复到正常的运转状态,详细记录事件响应过程、调查步骤和补救方法。7.2.6 跟踪阶段继续监视系统或网络的运行情况,分析和回顾事件经过,总结经验教训,解决其他问题(比如法律问题)。,7.3网络应急响应相关技术,7.3.1 主机保护面对网络安全威胁,日常应该做好主机系统的保护和准备,最大限度地减少系统漏洞。1数
7、据备份2启用安全审核记录3及时更新补丁4安装杀毒软件5关闭不必要的服务,7.3.2 入侵检测入侵检测是部署应急响应支撑系统的基础,入侵检测与应急响应是紧密相关的,发现对网络和系统的攻击或入侵才能触发响应的动作。入侵检测可以由系统自动完成,包括网络入侵检测系统和主机入侵检测系统,分别对网络和重要服务器进行防护。,7.3.3 事件的诊断分析,1现场响应步骤在出现网络入侵或紧急情况时,应启动应急预案策略,采取现场响应。2Windows主机系统的调查3Linux主机系统的调查4其它工具,7.3.4 攻击源的隔离与快速恢复,1攻击源隔离在确定了事件类型、攻击来源以后,及时地隔离攻击源是防止事件影响扩大化
8、的有效措施,比如对于影响严重的计算机病毒或蠕虫。2数据恢复一旦检测出WEB服务器被入侵、主页被篡改的事件,响应政策可能首先是尽快恢复服务器的正常运行,把事件的负面影响降到最小。快速恢复可能涉及完整性检测、域名切换等技术。,7.3.5 网络追踪,1IP 追踪IP 追踪主要处理在攻击者采用虚假IP 地址的情况下,如何识别发送此IP 数据报的主机。2基于网络的连接链追踪可采用连接内容分析方法、时间分析方法和TCP 序号分析方法等。3基于协议的连接链追踪方法对协议和回话进行鉴别。,7.3.6 计算机取证,计算机取证涉及到对计算机数据的保存、识别、记录以及解释。1计算机取证的基本原则2计算机取证的主要技术步骤,7.4网络应急响应系统的部署,网络应急响应系统的建立网络应急响应支撑系统必须具有如下七大技术功能:1预警功能2分布式部署3集中管理4异常分析5综合分析6入侵管理7及时响应,网络应急响应系统的相关产品,1.CA eTrust系列2.Symantec系列应急预警系统3.启明星辰系列安全服务与产品,7.5 小结,本章主要介绍了网络应急响应的相关知识和相关技术,网络安全涉及到多方面的问题需要逐步解决,建设应急响应体系就如同建设现实社会中的医疗卫生体系,应该放在与基础设施建设同等重要的地位。加强制度和流程的建设,制定和完善应急处理预案,保证整个应急体系的高效运行,确保网络系统的安全稳定运行。,
