《应急响应处置管理.ppt》由会员分享,可在线阅读,更多相关《应急响应处置管理.ppt(94页珍藏版)》请在三一办公上搜索。
1、应急响应处置管理,15.1 应急响应概述,15.1.1 应急响应的内涵应急响应通常是指人们为了应对各种紧急事件的发生所作的准备以及在事件发生后所采取的措施。信息安全中的应急响应的内涵则需要在对“应急响应”概念理解的基础上,结合信息安全背景知识针对“安全紧急事件”内涵,以及“做什么准备?”和“采取什么措施?”等内容做进一步的定义说明。,15.1.1 应急响应的内涵,1安全紧急事件紧急事件是应急响应的对象,在信息安全应急响应领域,安全紧急事件一定属于安全事件范畴。根据信息安全三个基本属性,即机密性C(Confidentiality)、完整性I(Integrality)和可用性A(Availabil
2、ity),安全事件可被定义为破坏或企图破坏信息或信息系统CIA属性的行为事件。,15.1.1 应急响应的内涵,(1)破坏机密性的安全事件:如入侵系统并窃取信息、搭线窃听、远程探测网络拓扑结构和计算机系统配置等。(2)破坏完整性的安全事件:如入侵系统并篡改数据、劫持网络连接并篡改或插入数据、安装特洛伊木马或计算机病毒等。(3)破坏可用性的安全事件:如水火等自然灾害引起的设备损坏,拒绝服务攻击、病毒入侵引起的系统资源或网络带宽性能下降等。,15.1.1 应急响应的内涵,目前,随着人们对信息安全的认识理解不断深入,越来越多的人认为CIA界定的安全属性范围还不够全面,例如表15-1所列举的安全事件,根
3、据CIA安全三属性就很难被划归为安全事件范畴。因此,人们从不同的角度对“信息安全”含义进行解释说明,出现了“机密性”、“真实性”、“完整性”、“可用性”、“不可否认性”、“生存性”等描述方式。,表15-1 安全事件举例,15.1.1 应急响应的内涵,2“做什么准备?”和“采取什么措施?”“做什么准备?”和“采取什么措施?”意指在信息安全应急响应活动中所要做的工作。根据开展的时间阶段,应急响应工作可以划分为事先准备和事后措施两大部分。,15.1.1 应急响应的内涵,事先准备,其目的在于进行预警和制定各种防范措施,比如风险评估、安全策略制定、系统及数据备份、安全意识培训以及安全通告发布等;事后措施
4、,其目的在于把事件造成的损失降到最小,比如事件发生后进行的安全隔离、威胁清除及系统恢复、调查与追踪、入侵者取证等一系列操作。事先准备与事后措施两个方面的工作是相辅相承、相互补充的。,15.1.1 应急响应的内涵,首先,事前的计划和准备为事件发生后的响应动作提供了指导框架,否则响应动作将陷入混乱,其次,事后的响应可能会发现事先计划的不足,从而进一步完善事先的安全准备。因此,这两个方面应该形成一种正反馈的机制,逐步强化系统安全防范及应急体系。,15.1.2 应急响应的地位与作用,信息安全可以被看作一个动态的过程,它包括风险分析(Risk Analysis)、安全防护(Prevention)、安全检
5、测(Detection)以及响应(Response)4个阶段,通常被称为以安全策略(Security Policy)为中心的安全生命周期P-RPDR安全模型。在P-RPDR安全模型中,安全风险分析产生安全策略,安全策略决定防护、检测和响应措施。风险分析、防护、检测和响应间的相互关系如图15-1所示。,安全策略,风险分析,安全检测,安全防护,响应,图15-1 P-RPDR安全模型,15.1.2 应急响应的地位与作用,应急响应在P-RPDR安全模型中属于响应范畴,它不仅仅是防护和检测措施的必要补充,而且可以发现安全策略的漏洞,重新进行安全风险评估,进一步指导修订安全策略,加强防护、检测和响应措施,
6、将系统调整到“最安全”的状态。,15.1.3 应急响应的必要性,根据P-RPDR安全模型可知,为了保证信息安全,首先采取的方法就是入侵阻止(即安全防护),其次采用入侵检测,因为网络入侵防不胜防,所以要对无法防御的入侵行为及内部安全威胁进行检测。那么把所有的精力和资源都投放到安全生命周期前三个阶段,是否足以保证信息系统和信息的安全呢?答案是否定的。,15.1.3 应急响应的必要性,首先,从理论上无法保证系统的绝对安全。迄今为止软件工程技术还无法做到可信计算机安全评估准则中信息系统A2级的安全要求,即形式证明一个系统的安全性。另外,目前也没有一种切实可行的方法能够保证人们获取完善的安全策略,以及解
7、决合法用户在通过“身份鉴别”后滥用特权的问题。因此从设计、实现到维护阶段,信息系统都可能留下大量的安全漏洞。,15.1.3 应急响应的必要性,其次,现实中尽管人们对信息安全的关注与投资与日俱增,但是安全事件的数量和影响并没有因此而减少。从计算机应急响应协调中心(CERT/CC)对19932003十年间发生的网络攻击事件的统计(如表15-2所示)来看,攻击事件发生的数量逐年增加,近几年由于Internet上网络攻击事件太过于频繁,自2004年计算机应急响应协调中心停止了对网络攻击事件统计信息的公布。,表15-1 安全事件举例,15.1.3 应急响应的必要性,最后,目前越来越多的组织在遭受到攻击后
8、,希望通过法律手段追查肇事者,就需要出示收集到的数据作为证据,而计算机取证是应急响应的一个重要环节。由此可见,网络入侵防不胜防,因此有必要建立起一套应急响应机制,一方面提高系统自身的抗攻击能力,另一方面也为法律提供数据依据。,15.2 应急响应组织,15.2.1 应急响应组织的起源及发展1988年11月莫里斯蠕虫病毒事件之后的一个星期内,美国国防部资助宾夕法尼亚洲的卡内基梅隆大学成立了国际上第一个应急响应组织计算机应急响应协调中心(Computer Emergency Response Team/Coordination Center,CERT/CC),主要用于协调Internet网上的安全事
9、件处理。,15.2.1 应急响应组织的起源及发展,CERT/CC成立后,随着互联网对网络安全的需要迅速增强,世界各地应急响应组织如雨后春笋般的出现。例如美国联邦FedCIRC、澳大利亚的AusCERT、德国的DFN-CERT、日本的JPCERT/CC,以及亚太地区的APCERTF(Asia Pacific Computer Emergency Response Task Force)和欧洲的EuroCERT等。,15.2.1 应急响应组织的起源及发展,为了促进全球各应急响应组织之间协调与合作,1990年应急响应与安全组织论坛(Forum of Incident Response and Sec
10、urity Teams,FIRST)成立。FIRST发起时有11个成员,至今已经发展成一个由170多个成员组成的国际性组织。FIRST成员主要来自各政府、商业和学术方面的计算机安全事件响应组织,以及致力于计算机安全事件防范、快速响应和信息共享的国际组织网站。,15.2.1 应急响应组织的起源及发展,中国的应急响应工作起步较晚,但发展迅速。中国教育与科研计算机网络(China Education and Research Network,CERNET)于1999年在清华大学成立了中国教育和科研计算机网络应急响应小组(China Computer Emergency Response Team,C
11、CERT),,15.2.1 应急响应组织的起源及发展,这是中国大陆第一个计算机安全应急响应组织,目前已经在全国各地成立了NJCERT、PKCERT、GZCERT、CDCERT等多个应急响应小组。2000年在美国召开的FIRST年会上,CCERT第一次在国际舞台上介绍了中国应急响应的发展。,15.2.1 应急响应组织的起源及发展,2000年10月国家计算机网络应急处理协调中心CNCERT/CC成立,该中心的任务是在国家因特网应急小组协调办公室的直接领导下,协调全国范围内计算机安全应急响应小组的工作,以及与国际计算机安全组织的交流。2002年8月CNCERT/CC成为国际权威组织FIRST的正式成
12、员,并参与组织成立了亚太地区的专业组织APCERT,是APCERT的指导委员会委员。,15.2.2 应急响应组织的分类,应急响应组织是应急响应工作的主体,目前国内外安全事件应急响应组织大概可被划分为国内或国际间的应急响应协调组织、企业或政府组织的应急响应组织、计算机软件厂商提供的应急响应组织商业化的应急响应组织等4大类,其组织模式如图15-2所示,国际间应急响应协调组织,国内应急响应协调组织,国内应急响应协调组织,企业或政府组织的应急响应组织,企业或政府组织的应急响应组织,企业或政府组织的应急响应组织,组织内部客户群,公司内部及产品用户,愿意付费的任意用户,图15-2 应急响应组织模式,15.
13、2.2 应急响应组织的分类,(1)国内或国际间的应急响应协调组织国内或国际间的应急响应协调组织通常属于公益性应急响应组织,一般由政府或社会公益性组织资助,对社会所有用户提供公益性的应急响应协调服务。例如,CERT/CC由美国国防部资助,中国的CCERT和CNCERT/CC也属于该种类型的应急响应组织。,15.2.2 应急响应组织的分类,(2)企业或政府组织的应急响应组织企业或政府组织的应急响应组织的服务对象仅限于本组织内部的客户群,可以提供现场的事件处理,分发安全软件和漏洞补丁,培训和技术支持等,另外还可以参与组织安全政策的制定和审查等。例如美国联邦的FedCIRC、美国银行的BACIRT,及
14、CERNET的CCERT等。,15.2.2 应急响应组织的分类,(3)计算机软件厂商提供的应急响应组织计算机软件厂商提供的应急响应组织主要为本公司产品的安全问题提供应急响应服务,同时也为公司内部的雇员提供安全事件处理和技术支持。例如SUN、Cisco等公司的应急响应组织。,15.2.2 应急响应组织的分类,(4)商业化的应急响应组织商业化的应急响应组织面向全社会提供商业化的安全救援服务,其特点在于一般具有高质量的服务保障,在突发安全事件时能够及时响应,有的应急响应组织甚至提供724的服务(全天候的服务)和现场事件处理等。,15.2.3 国内外典型应急响应组织简介,1美国计算机应急响应协调中心(
15、CERT/CC)目前,CERT/CC是美国国防部资助下的抗毁性网络系统计划(Networked Systems Survivability Program)的一部分,下设3个部门:事件处理组、缺陷处理组和计算机应急响应组(CSIRT),如图15-3所示。,卡耐基梅隆大学(CMU),软件工程研究所(SEI),抗毁性网络管理(Survivable Network Management),CERT/CC,抗毁性网络技术(Survivable Network Technology),缺陷处理(Vulnerability Handing),事件处理(Incident Handing),美国国防部,计算机
16、应急响应组(CSIRT development),图15-3 CERT/CC组织结构,15.2.3 国内外典型应急响应组织简介,CERT/CC提供的服务内容如下。(1)安全事件响应;(2)安全事件分析和软件安全缺陷研究;(3)漏洞知识库开发;(4)信息发布,包括缺陷、公告、总结、统计、补丁和工具;(5)教育与培训,包括CSIRT管理、CSIRT技术培训、系统和网络管理员安全培训;(6)指导其他CSIRT(或CERT)组合资建设。,15.2.3 国内外典型应急响应组织简介,2中国教育和科研计算机网应急响应组(CCERT)CCERT是中国教育和科研计算机网CERNET专家委员会领导之下的一个公益性
17、的服务和研究组织,目前,CCERT的应急响应体系已经包括CERNET内部各级网络中心的安全事件响应小组或安全管理相关部门,已经发展成一个由30多个单位组成,覆盖全国的应急响应组织。,15.2.3 国内外典型应急响应组织简介,CCERT首要的服务对象是中国教育和科研计算机网络本身,确保CERNET网络的安全可靠运行,为教育和科研提供一个安全的网络环境。服务范围包括:(1)网络安全政策制定和实施监督;(2)网络运行状态的日常安全监测;(3)及时地安全通告;(4)网络安全事件应急响应;(5)网络安全突发事件的应急解决方案的制定和实施;,15.2.3 国内外典型应急响应组织简介,(6)CERNET各级
18、网络管理人员的安全管理知识的教育与培训。,15.2.3 国内外典型应急响应组织简介,3国家计算机网络应急处理协调中心(CNCERT/CC)国家计算机网络应急处理协调中心(CNCERT/CC)是在信息产业部互联网应急处理协调办公室的直接领导下,负责协调我国各计算机网络安全事件应急小组共同处理国家公共互联网上的安全紧急事件,为国家公共互联网、国家主要网络信息应用系统以及关键部门提供计算机网络安全的监测、预警、应急、防范等安全服务和技术支持。,15.2.3 国内外典型应急响应组织简介,CNCERT/CC组织体系结构如下图所示。,国家网络与信息安全协调小组办公室,领导,信息产业部互联网应急处理协调办公
19、室,国外政府部门,联系,其他管理部门,联系,领导,领导,国外CERT组织,国家计算机网络应急响应处理协调中心(CNSERT/CC),863-917网络安全监测平台,联系,运行,信息产业部网络安全重点实验室,信息产业部网络应急重点实验室,中国互联网协会应急处理联盟(网络与信息安全工作委员会,协调/指导,支撑,国家计算机病毒应急处理中心(天津市公安局),国家计算机网络入侵防范中心(中科院研究生院),协调/指导,支撑,公共互联网应急处理服务国家级试点单位,国家计算机网络应急响应处理协调中心各省份中心(共31个),骨干网的CERT,领导,指导,协调,协调,指导,15.2.3 国内外典型应急响应组织简介
20、,CNCERT/CC提供的业务功能如下。(1)信息获取:通过各种信息渠道与合作体系,及时获取各种安全事件与安全技术的相关信息;(2)事件监测:及时发现各类重大安全隐患与安全事件,向有关部门发出预警信息,提供技术支持;(3)事件处理:协调国内各应急小组处理公共互联网上的各类重大安全事件,同时,作为国际上与中国进行安全事件协调处理的主要接口,协调处理来自国内外的安全事件投诉;,15.2.3 国内外典型应急响应组织简介,(4)数据分析:对各类安全事件的有关数据进行综合分析,形成权威的数据分析报告;(5)资源建设:收集整理安全漏洞、布丁、攻击防御工具和最新网络安全技术等各种基础信息资源,为各方面的相关
21、工作提供支持;(6)安全研究:跟踪研究各种安全问题和技术,为安全防护和应急处理提供基础;(7)安全培训:网络安全应急处理技术以及应急组织建设等方面的培训;,15.2.3 国内外典型应急响应组织简介 3,(8)技术咨询:提供安全事件处理的各类技术咨询;(9)国际交流:组织国内计算机网络安全应急组织进行国际合作交流。,15.3 应急响应体系,15.3.1 应急响应指标应急响应远不止是简单的诊断技巧,它通常需要组织内部的管理人员和技术人员共同参与,有时可能会借助外部的资源,甚至诉诸法律。以下是应急响应应保证的各项指标。(1)响应能力:确保安全事件和安全问题能被及时地发现,并向相应的负责人报告;(2)
22、决断能力:判断是否是本地安全问题或构成一个安全事件;,15.3.1 应急响应指标,(3)行动能力:在发生安全事件时根据一个提示就能采取必要的措施;(4)减少损失:能够立即通知组织内其他可能受影响的部门;(5)效率:实践和监控处理安全事件的能力。为了实现以上目标,就必须建立一个应急响应管理体系来处理安全事件,其中管理层必须参与进来并最终让管理体系发挥作用,以提高对安全问题的认识,合理分配决定权,更好地支持安全目标。,15.3.2 应急响应体系的建立,1确定应急响应角色的责任(1)用户任务:一旦觉察与安全相关的异常事件,就必须遵守相应的过程规则并报告异常事件。职责:必须决定采取何种合适的报告渠道。
23、义务/指导:每一个用户都有义务按照本单位的安全指南来报告任何与安全相关的异常事件。,15.3.2 应急响应体系的建立,(2)安全管理员任务:接收与其负责的系统有关的异常事件报告,并根据报告决定是立即采取行动,还是按照提交策略向上一级报告。职责:必须能够确定是否真的发生了安全问题,是否可以独立解决,是否需要根据提交计划立即咨询其他人,以及应该通知谁等。义务/指导:应该在职位描述及安全事件处理策略中指定。,15.3.2 应急响应体系的建立,(3)安全员/安全管理层任务:接收安全事件报告,负责调查和评估安全事件,并在其职责范围内选用适当措施进行处理。如果有必要,负责组建安全事件处理小组或将问题提交给
24、上级管理层。职责:被授权对安全事件进行评估,并可将事件提交给高级管理层。除此之外,可以在授权范围内利用财务和人力资源独立处理安全事件。义务/指导:根据安全管理层制定的“安全事件处理策略”,所有安全员都要承担其处理安全事件的任务和职责。,15.3.2 应急响应体系的建立,(4)安全审计员任务:必须定期检查安全事件管理系统的有效性,并参与评估安全事件。职责:在管理层同意下启动和实施预定义的检查。义务/指导:在工作职责描述和“安全事件处理策略”中规定。,15.3.2 应急响应体系的建立,(5)公共关系/信息发布部门任务:在发生严重安全事件的地方,除了信息发布部门之外,其他任何部门和个人都必须不能对公
25、众泄漏任何信息,其目的并不是为了掩盖事件或者降低事件的严重程度,而是要以目标化的方式解决问题,避免相互矛盾的信息给组织带来的形象损害。职责:信息发布部门必须和专家一起准备与安全事件相关的信息,在发布之前必须得到高级管理层的同意。义务/指导:在工作职责描述和“安全事件处理策略”中规定。,15.3.2 应急响应体系的建立 7,(6)代理/公司管理层任务:严重安全事件发生时,应该通知管理层,如果有必要,管理层要做出决定。职责:承担总体责任,并对上述各工作小组负责。除此之外,当怀疑有犯罪活动时可以报警,起诉罪犯。义务/指导:管理层必须批准“安全事件处理策略”和基于策略的安全应急计划,作为计划的部分,各
26、管理层应明确其在安全事件处理中的角色。,15.3.2 应急响应体系的建立,2制定紧急事件提交策略在明确了应急响应角色的责任,并且所有相关人员都知晓时间处理规则和报告渠道后,下一步应确定收到报告后如何提交。可以按以下3个步骤制定提交策略。(1)提交渠道的规定在规定由何人负责处理安全事件后,提交渠道的规定中应该明确报送人及其相应的报送对象。(2)提交的策略对象在这个步骤中应当确定在进一步调查或评估之前需要进行什么样的提交。,15.3.2 应急响应体系的建立,(3)提交方式报送过程中向上一层提交方式的选择如下:个人口头报告;书面报告;电子邮件报告;电话报告;密封函件报告。,15.3.2 应急响应体系
27、的建立,还应该规定在什么时间段里完成报告。可采取如下规定:立即提交:一个小时内;立即采取措施:一个小时内;事件还在控制中,但要求通知中上层:下一工作日。3规定应急响应优先级应急响应优先级的确定与组织内的环境紧密相连。在制定应急响应优先级时,必须考虑下面的问题。,15.3.2 应急响应体系的建立,哪类损失和组织相关;在每个类别中,按什么顺序修补损失。要回答这些问题,首先应根据信息系统最低保护要求确定保护程度,而确定保护程度的过程就定义了与组织相关的损害类别,这些类别有:与法律、规章或合同冲突;对信息自决权的损害;对人员身体的损害;对组织职能的损害;对外部关系的负面影响;财务后果。,15.3.2
28、应急响应体系的建立,4安全应急的调查与评估为了调查和评估与安全相关的异常事件,必须进行一些初级评估,包括以下内容:弄清楚信息系统结构和网络情况;弄清楚信息系统的联系人和用户;弄清楚信息系统上的应用;定义信息系统的保护要求。,15.3.2 应急响应体系的建立,调查和评估安全事件的第一步要弄清楚下列因素:安全事件可能影响什么信息系统和应用;通过信息系统和网络是否还会产生后续的损害;哪些信息系统和应用不会受到损害和后续的损害;安全事件导致直接损害后,后续损害的程度如何,应特别留意各种信息系统和应用之间的相关性;能够触发安全事件的可能因素;,15.3.2 应急响应体系的建立 9,安全事件发生在什么时候
29、,在哪个地方,由于在探测到安全事件时很可能已经发生一段时间了,因此应维护好日志文件,要保证这些文件没有被入侵;是否只有内部用户受到安全事件的影响,或者外部第三方也受到影响;有多少关于安全事件的信息已经被泄漏给公众。,15.3.2 应急响应体系的建立,5选择应急响应相关补救措施首先要控制事件继续发展并解决问题,然后恢复事务状态。(1)必要的专业知识为查明和处理安全方面的弱点,必须拥有相关的技术知识,因此要么培训组织人员,要么求助专家。为此,要准备一份联系地址表,包含各领域的内外部专家,这样就可以直接寻求他们的意见,以免耽误时间。,15.3.2 应急响应体系的建立,外部专家包括:计算机应急响应组;
30、相关的信息系统厂商和销售商;应用安全系统的厂商和销售商,比如防病毒、防火墙和访问控制等;专业安全专家组成的外部顾问组。,15.3.2 应急响应体系的建立,(2)安全恢复的运作要去除安全弱点,首先应将这些弱点所涉及的系统与网络断开,然后再将那些能提供已发生事件的性质和原因的信息文件(尤其是相关的日志文件)进行备份。,15.3.2 应急响应体系的建立,(3)事件归档在应急处理安全问题时,所有动作都应该被尽可能详细地记录归档,以便实现以下目标:保留发生事件的细节;能够追溯发生的问题;能够修正匆忙行动可能带来的问题或错误;在已知的问题再次发生时能够迅速解决;能够消除安全弱点,准备预防措施;如果要提起诉
31、讼,便于收集证据。,15.3.2 应急响应体系的建立,(4)对攻击行为的反应当入侵者发起攻击时,首先要决定是静观攻击还是尽快采取措施。当然也可以试图去抓住入侵者的“黑手”,但是这可能会冒很大的风险,因为在试图抓住对方的同时,对方可能会破坏、入侵或读取数据。,15.3.2 应急响应体系的建立,6确定应急紧急通知机制当发生安全事件时,必须通知所有受影响的外部和内部各方,为那些受到安全事件直接影响的部门和机构采取对策提供方便。通知机制对处理安全事件相关信息各方的协助预防或解决问题尤为重要。,15.3.3 应急响应处置流程,应急响应处置流程通常被划分为准备、检测、抑制、根除、恢复、报告与总结6个阶段。
32、(1)准备阶段准备阶段的主要工作包括建立合理的防御和控制措施、建立适当的策略和程序、获得必要的资源和组建响应队伍等。,15.3.3 应急响应处置流程,(2)检测阶段检测阶段要做出初步的动作和响应,根据获得的初步材料和分析结果,估计事件的范围,制订进一步的响应战略,并且保留可能用于司法程序的证据。(3)抑制阶段抑制的目的是限制攻击的范围。抑制措施十分重要,因为太多的安全事件可能迅速失控,,15.3.3 应急响应处置流程,抑制策略一般包括关闭所有系统,从网络上断开相关系统,修改防火墙和路由器的过滤规则,封锁或删除被攻破的登录帐号,提高系统或网络行为的监控级别,设置陷阱,关闭服务以及反攻击者的系统等
33、。,15.3.3 应急响应处置流程,(4)根除阶段在事件被抑制之后,通过对有关恶意代码或行为的分析结果,找出事件根源并彻底清除。对于单机上的事件,主要可以根据各种操作系统平台的具体检查和根除程序进行操作;但是对于大规模爆发的带有蠕虫性质的恶意程序,要根除各个主机上的恶意代码是十分艰巨的任务。,15.3.3 应急响应处置流程,很多案例数据表明,众多的用户并没有真正关注他们的主机是否已经遭受入侵,有的甚至持续一年多,任由感染蠕虫的主机在网络中不断地搜索和攻击别的目标。造成这种现象的重要原因是各网络之间缺乏有效的协调,或者是在一些商业网络中,网络管理员对接入到网络中的子网和用户没有足够的管理权限。,
34、15.3.3 应急响应处置流程,(5)恢复阶段恢复阶段的目标是把所有被攻击的系统和网络设备彻底还原到它们正常的任务状态。恢复工作应该十分小心,应避免出现误操作导致数据的丢失。另外,恢复工作中如果涉及机密数据,需要额外遵照机密系统的恢复要求。对不同任务的恢复工作的承担单位,要有不同的担保。如果攻击者获得了超级用户的访问权,一次完整的恢复应该强制性地修改所有的口令。,15.3.3 应急响应处置流程,(6)报告与总结阶段报告与总结是最后一个阶段,但却是绝对不能够忽略的重要阶段。这个阶段的目标是回顾并整理发生事件的各种相关信息,尽可能地把所有情况记录到文档中。这些记录的内容,不仅对有关部门的其他处理工
35、作具有重要意义,而且对将来应急工作的开展也是非常重要的参考资料。,15.4 应急响应关键技术,15.4.1 入侵检测技术入侵检测是实施应急响应的基础,因为只有发现对网络和系统的攻击或入侵才能触发应急响应的动作。入侵检测可以由系统自动完成,即入侵检测系统(Intrusion Detect System,IDS)。入侵检测是继“数据加密”、“防火墙”等安全防护技术之后人们提出的又一种安全技术,它通过对信息系统中各种状态和行为的归纳分析,一方面检测来自外部的入侵行为,另一方面还能够监督内部用户的未授权活动。,15.4.1 入侵检测技术,目前入侵检测技术大体上可以被分为两大类:误用检测(Misuse
36、Detection)和异常检测(Anomaly Detection)。1误用检测误用检测也称为基于知识的入侵检测或基于签名的入侵检测。该技术首先建立各种已知攻击的特征模式库,然后将用户的当前行为依次与库中的各种攻击特征模式进行比较,如果匹配则确定为攻击行为,否则就不是攻击行为。,15.4.1 入侵检测技术,例如Internet蠕虫攻击就是使用了finger和sendmail的错误。对于攻击行为可以通过按照预先定义好的入侵特征模式以及观察到的入侵发生情况进行模式匹配来检测。入侵模式说明了那些导致安全突破或其他误用事件的特征、条件、排列和关系。目前已提出的误用检测方法有很多,如基于状态迁移分析的误
37、用检测方法STAT和USTAT、基于专家系统和模型误用推理的误用检测方法等。,15.4.1 入侵检测技术,2异常检测异常检测也称基于行为的入侵检测。该技术通过为用户、进程或网络流量等处于正常状态时的行为特征建立参考模式,然后将系统当前行为特征与已建立的正常行为模式进行比较,若存在较大偏差就确定为发生异常,否则就确定为没有。然而异常检测的一个重要前提条件是将入侵行为作为异常行为的子集,理想状况是异常行为集合与入侵行为集合等同,这样若能够检测所有的异常行为,则就可检测到所有的入侵行为。,15.4.1 入侵检测技术,然而入侵行为并不总是与异常行为相符合,它们之间存在以下4种关系:入侵而非异常、非入侵
38、而异常、入侵且异常以及非入侵且非异常。异常检测依赖于异常检测模型的建立,不同异常模型构成不同的异常检测技术,目前提出的异常检测技术有基于模式预测的异常检测方法和基于统计的异常检测方法等。,15.4.1 入侵检测技术,目前有关这两种入侵检测技术的评价各有利弊,异常检测的优点是其能够检测出未知攻击,然而存在误检测率较高的不足;误用检测虽然检测准确率较高,但其只能对已知攻击行为进行检测。,15.4.2 系统备份与灾难恢复技术,1系统备份系统备份是灾难恢复的基础,其目的是确保既定的关键业务数据、关键数据处理系统和关键业务在灾难发生后可以恢复。目前采用的系统备份方法主要有以下3种。(1)全备份全备份就是
39、对整个系统进行完全备份,包括系统和数据。这种备份方式的好处就是很直观,容易被人理解,而且当数据丢失时,只要用一份备份(如灾难发生前一天的备份磁带或其他备份介质),就可以恢复丢失的数据。,15.4.2 系统备份与灾难恢复技术,全备份也有不足之处,首先,由于每天都对系统进行完全备份,因此在备份数据中有大量的重复信息,这些重复的数据占用了大量的存储空间,这对用户来说就意味着成本的增加;其次,由于需要备份的数据量相当大,因此备份所需的时间较长,对于那些业务繁忙、备份时间相对有限的单位来说,这种备份策略无疑是不明智的。,15.4.2 系统备份与灾难恢复技术,(2)增量备份增量备份就是每次备份的数据只是相
40、当于上一次备份后增加和修改过的数据。这种备份的优点是没有重复的备份数据,既节省存储空间,又缩短了备份时间。其缺点在于当发生灾难时,恢复数据比较麻烦。(3)差分备份差分备份就是每次备份的数据是相对于上一次全备份之后新增加和修改过的数据。例如管理员先在星期一进行一次系统完全备份,然后在接下来的几天里,再将当天所有与星期一不同的数据(新的或经改动的)备份到存储介质上。,15.4.2 系统备份与灾难恢复技术,2灾难恢复灾难恢复,也称为业务持续性,是指在灾难发生后指定的时间内恢复既定的关键数据、关键数据处理系统和关键业务的过程。灾难恢复技术是目前十分流行的IT技术,它能够为重要的信息系统提供在断电、火灾
41、和受到攻击等各种意外事故发生,乃至再如洪水、地震等严重自然灾害发生的情况下保持持续运转的能力,因而对组织和社会关系重大的信息系统都应当采用灾难恢复技术予以保护。,15.4.2 系统备份与灾难恢复技术,(1)灾难恢复的基本技术要求 备份软件 保证备份数据的完整性,并且有对备份介质(如磁带)的管理能力;支持多种备份方式,可以定时自动备份;具有相应的功能或工具进行设备管理和介质管理;支持多种校验手段,以确保备份的正确性;提供联机数据备份功能。,15.4.2 系统备份与灾难恢复技术,恢复的选择和实施数据备份只是系统成功恢复的前提之一。恢复数据还需要备份软件提供各种灵活的恢复选择,如按介质、目录树、磁带
42、作业或查询子集等不同方式做数据恢复。此外,还要认真完成一些管理工作,如定期检查,确保备份的正确性;将备份媒介保存在异地一个安全的地方(如专门的媒介库或银行保险箱);按照数据的增加和更新速度选择恰当的备份周期等。,15.4.2 系统备份与灾难恢复技术,自启动恢复系统灾难通常会造成数据丢失或者无法使用数据。利用备份软件可以恢复丢失的数据,但是重新使用数据并非易事。很显然,要想重新使用数据并恢复整个系统,首先必须将服务器恢复到正常运行状态。为了提高恢复效率,减少服务停止时间,应当使用“自启动恢复”软件工具。,15.4.2 系统备份与灾难恢复技术,通过执行一些必要的恢复功能,使系统可以自动确定服务器所
43、需要的配置和驱动,无需人工重新安装和配置操作系统,也不需要重新安装和配置恢复软件及应用程序。此外,自启动恢复软件还可以生成备用服务器的数据集合配置信息,以简化备用服务器的维护。安全防护如果系统中潜伏安全隐患,例如病毒,那么即使数据和系统配置没有丢失,服务器中的数据也可能随时丢失或被破坏。,15.4.2 系统备份与灾难恢复技术,因此,安全防护也是灾难恢复的重要内容。在数据和程序进入网络之前,要进行安全检测。更为重要的是,要加强对整个网络的自动监控,防止安全事件的出现和传播。安全防护应该与其他防灾方案密切配合,同时互相透明。总而言之,一个完整的灾难恢复方案必须包括很强的安全防护策略和手段。,15.
44、4.2 系统备份与灾难恢复技术,(2)灾难恢复等级根据国际标准SHARE78的定义,灾难恢复解决方案可分为7级,即从低到高有7种不同层次。层次0本地数据的备份与恢复;层次1批量存取访问方式;层次2批量存取访问方式+热备份地点;层次3电子链接;层次4工作状态的备份地点;,15.4.2 系统备份与灾难恢复技术,层次5双重在线存储;层次6零数据丢失。用户可根据数据的重要性以及需要恢复的速度和程度,来选择并实现灾难恢复计划。灾难恢复计划的主要内容包括:备份/恢复的范围;灾难恢复计划的状态;应用地点与备份地点之间的距离;应用地点与备份地点之间如何相互连接;,15.4.2 系统备份与灾难恢复技术,数据如何
45、在两个地点之间传送;允许有多少数据被丢失;怎样保证备份地点的数据的更新;备份地点可以开始备份工作的能力。,15.4.3 其他相关技术,1事件诊断技术事件的诊断与入侵检测有类似之处,但又不完全相同。入侵检测通常是在正常的运行过程中,检测是否存在未授权的访问和误用等违反安全策略的行为;而事件的诊断则偏重于事件发生后,弄清楚受害对象究竟发生了什么,比如是否感染病毒和是否被黑客攻破等,如果是的话,问题出在哪里,影响范围有多大等。,15.4.3 其他相关技术,2攻击源定位与隔离技术攻击源定位是一个十分复杂的问题,涉及多个层面的技术理论和研究方向,目前还处于研究阶段。攻击源定位其实就是网络攻击路径重构,目
46、前比较有影响的网络攻击重构方法有Ferguson和Senie等提出的“输入调试方法”和美国NAI实验室采用的查询路由设备方法。,15.4.3 其他相关技术,“输入调试方法”主要根据输出端口判断输入端口和流量以确定上游路由器;查询路由设备方法由需要知道数据包真正源地址的目的主机发送一个查询包给它的路由设备,该路由设备转发此查询到它所连接的任意路由设备上,根据反馈响应构造攻击路径。在确定了攻击源后,基于安全事件类型特点,及时地隔离攻击源是防止事件影响扩大的有效措施。,15.4.3 其他相关技术,3计算机取证技术计算机取证涉及对计算机数据的保存、识别、记录以及解释。与许多其他领域一样,计算机取证专家
47、通常采用明确的、严格定义的方法和步骤,然而对于那些不同寻常的事件则需要灵活应变处理,而不是墨守成规。在计算机网络环境下,由于涉及海量数据的采集、存储和分析,计算机取证将变得更加复杂,目前该类技术还处于发展的初级阶段。,小结,本章首先介绍了应急响应的内涵、地位和作用及其必要性;然后介绍了应急响应组织以及应急响应体系;最后介绍了应急响应的处置流程以及应急响应关键技术。应急影响通常是指人们为了应对各种紧急事件的发生所做的准备以及在事件发生后所采取的措施。应急响应在P-RPDR安全模型中属于响应范畴,它不仅仅是防护和检测措施的必要补充,而且可以发现安全策略的漏洞,重新进行安全风险评估,进一步指导修订安
48、全策略,加强防护、检测和响应措施,将系统调整到“最安全”的状态。,小结,应急响应组织是应急响应工作的主体,目前国内外安全事件应急响应组织大概可被划分为国内或国际间的应急响应协调组织、企业或政府组织的应急响应组织、计算机软件厂商提供的应急响应组织和商业化的应急响应组织等4大类。应急响应需要保证的指标包括响应能力、决断能力、行动能力、减少损失和效率。应急响应体系的建立过程包括确定应急响应角色的责任、确定紧急事件提交策略。规定应急响应优先级、安全应急的调查与评估、采取应急响应相关补救措施以及确定应急紧急通知机制等。,小结,应急响应处置流程通常被划分为准备、检测、抑制、根除、恢复、报告与总结6个阶段。应急响应涉及入侵检测、系统备份与灾难恢复、事件诊断、攻击源定位与隔离及计算机取证等技术。,
