网络安全问题及其防范措施（应急篇）-国家计算机网络应急中心

网络平安问题及其防范措施(应急篇)国家计算机网络应急技术处理协调中心主要内容概念和根底对平安问题的理解平安问题的分类及其对应的技术手段当前平安威胁的特点和趋势关于应急响应应急响应的概念应急响应效劳及其开展状况应急响应组织和体系CNCERT/CC2003年年度平安报告关于入侵监测系统的假设干问题行业网络平安保障问题探讨内容提要当今网络平安威胁的特征和趋势应急响应以及应急响应组织什么是应急响应：正确理解应急响应应急响应在平安保障体系中的作用应急响应的起源当今的国内外开展情况应急响应技术应急响应工作的主要阶段应急响应小组建设关于入侵监测系统的假设干问题序：这里所说的‘平安’‘平安问题’的本质具有一个必要条件：和人的利益相关这里所说的‘平安’，是忽略了信息资产和风险评估等问题之后，简单化的纯粹技术上的概念在这种假设下，‘平安’所涉及到的环节包括：物理设施的平安：通信介质、通信设备、主机设备的平安系统运行平安：根底协议实现、应用系统的平安数据平安：信息通信系统所处理的数据本身的平安网络平安：一个涉及到多个层面的概念当今网络平安威胁的特征和趋势当前网络平安事件的特点病毒、蠕虫和其他攻击行为互相融合传统病毒的特点：隐蔽性、传染性、破坏性病毒的本质特点：‘寄生’，而不是独立的程序蠕虫的特点：独立存在，自主蔓延更广泛的名称：恶意代码〔还包括木马程序等〕互联网的开展为各种恶意代码提供了更多的时机，传统的分类界限日渐模糊网络蠕虫的特点与危害性传统的网络蠕虫，其危害性主要表现在对网络资源的消耗，导致网络阻塞新一代网络蠕虫的攻击能力更强，并且和黑客攻击、计算机病毒之间的界限越来越模糊，带来更为严重的多方面的危害：网络阻塞，效劳中断〔信息化的开展使得这种危害带来的损失越来越大〕开放主机，失密威胁严重设置后门，成为下一轮攻击的根底回收机制，便于攻击者集中掌握〔突破了传统的蠕虫和病毒中，攻击者不能掌握受害对象信息的情况〕利用大面积的感染节点对特定目标发动拒绝效劳攻击新一代的网络蠕虫，能够对互联网造成致命冲击。未来蠕虫的潜在威胁不需要用户干预，可以短时间在全球迅速蔓延，从而导致大面积网络瘫痪多种手段综合，组合多种攻击方法，适应多种不同的系统利用蠕虫迅速掌握巨大数量的傀儡机利用蠕虫对互联网关键点发起拒绝效劳攻击利用蠕虫对特定网络区域实施攻击通常会结合木马植入，严重威胁用户平安有些情况下可能无法隔离当前网络平安事件的特点攻击者可以轻易通过多个不同的网络、地区、或国家发起攻击，使得追查需要大范围的协调：“全球化的问题，需要全球化解决〞攻击定位十分困难：无论是虚拟世界的定位还是现实世界的定位。使得防范和追查都十分困难有些问题的解决需要行业标准或者政策标准的方式来解决，例如垃圾邮件和分布式拒绝效劳攻击当前网络平安事件的特点可能在任何时间发生攻击攻击往往通过一级或者多级跳板进行大规模事件出现日益频繁传播速度越来越快组合攻击开始出现蠕虫驱动的DDoS攻击威胁更大有组织犯罪的威胁更大攻击者需要的技术水平逐渐降低，但是造成的危害逐渐增大从发现漏洞到出现攻击代码的周期越来越短攻击变得日益容易但是破坏力大过去主要采用“防止风险〞的策略，现在已经行不通了，因为需要更深入广泛的互连入侵的动机很多：政治、经济、军事、好奇、或者---没有动机可不可以？！不信就挂一个个人防火墙，自己看看吧一个大家熟悉的图应急响应以及应急响应组织什么是应急响应EmergencyResponse/IncidentResponse:平安人员在遇到突发事件后所采取的措施和行动突发事件：影响一个系统正常工作的情况。这里的系统包括主机范畴内的问题，也包括网络范畴内的问题。这种‘情况’包括常见的黑客入侵、信息窃取等，也包括拒绝效劳攻击、网络流量异常等。正确理解应急平安的本质在于有效的“响应时间〞不长于有效的“防护时间〞〔或称之为抗攻击时间〕按照过程的模型：PDRR不能孤立地看待各个环节应急响应将各个环节贯穿起来，作为平安保障的工作应急处理在网络平安保障中的作用问题：怎样才算是‘平安的’-保护金库的两个方案平安保障的一般环节PPDRR结论：响应时间和抗攻击时间的关系Rt≤∑Pt推论：平安保障的各个环节不应该是相互孤立的；平安是相对的，具体要求各不相同投资多、设备好不一定平安级别就高CERT组织的诞生1988年11月：Morris蠕虫：主体瘫痪几周后，CERT/CC成立其后的两年，CERT组织纷纷出现1989年10月：Wank蠕虫：发现CERT组织之间的沟通与合作非常必要1990：FIRST成立关于计算机应急处理“莫里斯事件〞又称“蠕虫事件〞。1988年11月，美国Cornell大学学生Morris编写一个“圣诞树〞蠕虫程序，该程序可以利用因特网上计算机的sendmail的漏洞、fingerD的缓冲区溢出及REXE的漏洞进入系统并自我繁殖，鲸吞因特网的带宽资源，造成全球10%的联网计算机陷入瘫痪。这起计算机平安事件极大地震动了美国政府、军方和学术界全球第一个计算机应急处理协调中心八八年的“莫里斯事件〞美国能源部成立了自已的CIAC美国其他部门的情况在莫里斯事件发生之后，美国国防部高级方案研究署〔DARPA〕出资在卡内基-梅隆大学〔CMU〕的软件工程研究所〔SEI〕建立了计算机应急处理协调中心。该中心现在仍然由美国国防部支持，并且作为国际上的骨干组织积极开展相关方面的培训工作。1989年，美国能源部〔DoE〕成立了自已的计算机事件处理组织，称为CIAC〔ComputerIncidentAdvisoryCapability)，专门保证能源部计算机系统的平安。至此，各有关部门纷纷开始成立自己的计算机平安事件处理组织。作为发起国，美国在国防部、能源部、空军、海军、众议院、国家宇航局、国家标准与技术局、局部重点大学、IT界知名公司先后成立了六十余个计算机平安事件相应组织。重在响应、协调、研究/分析与统计计算机平安事件。国际应急响应及其技术开展动态计算机应急处理的国际化FIRST—计算机应急组织的国际舞台FIRST的宗旨FIRST成员的情况1990年11月，在美国、澳大利亚的发起下，一些国家的CERT组织参与成立了“计算机事件响应与平安工作组论坛〞，简称FIRST–ForumofIncidentResponseandSecurityTeam。FIRST的根本目的是使各成员能就平安漏洞、平安技术、平安管理等方面进行交流与合作，以实现国际间的信息共享、技术共享，最终到达联合防范计算机网络上的攻击行为的目标。截止到2001年底，参加FIRST的CERT组织共有110个，涉及到的国家有24个，仅美国自身就有56个成员，因此说，FIRST组织是以美国为主体所构成。截止到2003年3月底，FIRST的正式成员到达128个。CNCERT/CC于2002年8月成为FIRST的正式成员。FIRST的工作标准FIRST组织有两类成员，一是正式成员，二是观察员。FIRST组织有一个由十人构成的指导委员会，负责对重大问题做出讨论，包括接受新的成员。新成员的参加必须有推荐人，并且需要得到指导委员会三分之二的成员同意。该委员会每月进行一次会议。FIRST的技术活动除了各成员之间通过保密通信进行信息交流外，FIRST组织每季度开一次内部技术交流会议，每年开一次开放型会议。通常是在美国与非美国国家交替进行。这是因为要照顾到美国代表的利益。全球CSIRT开展现状〔1〕事件响应小组的数量在过去的四到五年中有大的增长，这种增长主要发生在商业领域。教育和政府小组的增长也在继续。从全球角度来看，ＣＳＩＲＴ得到了更多关注，特别是国家和地区政府小组。小组数量增长的原因有〔ａ〕平安事件数量的增加和对有方案的响应的认识，〔ｂ〕新的法律要求，以及〔ｃ〕目前的观点认为，计算机平安必须事前预防才能取得成功，事后反响不再是充分有效的。事件处理和事件响应小组仍然是一个计算机平安的较新领域，并且事件响应仍然是一个不成熟的领域。因为这个原因，很少有得到广泛认可的事件处理方法学标准。CERT/CC调研的结论：全球CSIRT开展现状〔2〕目前〔２００３年九月〕的工程：协调与协作 各ＣＳＩＲＴ之间建立交流和协调机制的讨论。信息共享和信息收集标准 所有小组在信息共享、事件数据收集、或制订ＣＳＩＴ发行物方面没有公认的标准，很多讨论认为建立这样的标准将简化共享和分析的过程。事件数据收集 各种机构已经在开发用于收集、关联、以及合成事件数据的工具或机制。工具 专门为事件响应和事件处理提供的工具很少。各个机构已经制作了一些工具档案，提供对平安和事件响应工具的访问或评论。研究 致力于获得更多有关于平安网络和系统以及有效的事件处理的知识。全球CSIRT开展现状〔3〕响应式服务预防式服务安全质量管理服务警报和警告事件处理事件分析现场事件响应事件响应支持事件响应协调安全漏洞处理安全漏洞分析安全漏洞响应安全漏洞响应协调Artifact处理Artifact分析Artifact响应Artifact响应协调公告技术监视安全审计评估安全工具、应用程序和基础设施的配置和维护安全工具的开发入侵检测服务与安全有关的信息的传播风险分析服务持续性和灾难恢复规划安全性咨询建立安全意识教育/培训产品评估或认证全球CSIRT开展现状〔4〕一般CSIRT所提供的效劳：亚太地区的情况澳大利亚韩国日本APCERT的情况简介应急处理在我国面临的问题用户理解和认识的问题用户没有意识到应急处理这个环节的必要性平安方面的资金投入的困难用户对效劳单位及其方案不放心行业标准的问题缺乏行业标准和标准用户利益得不到保证解决问题的思路通过示范企业建立和推广行业标准和标准2001年7月，原国信安办面向全国发起了“公开选择计算机网络平安效劳试点单位〞的活动，有13家平安效劳企业纳入到首批的试点单位通过加强对用户的宣传和培训提高用户认识我国的情况2000年CNCERT/CC成立Yahoo!遭拒绝效劳攻击事件，导致很多国家纷纷研究出台国家级的网络平安保障方案当时的主要工作：学习国际经验我国的计算机应急处理中国教育和科研计算机互联网(CERNET)于1998年成立了我国第一个计算机应急组织，该组织建立在清华大学，称为CCERT，主要受理教育网内部的计算机平安事件。关于因特网应急小组协调办公室CCERT—我国最早成立的计算机应急组织军队的计算机应急组织1999年9月8日，作为计算机网络主管部门，信息产业部在国家计算机网络与信息平安管理中心正式成立了“因特网应急处理小组协调办公室〞。主要职能为：承担国内各相关组织的联络工作承担与其他国家和地区相关组织的联络工作从事因特网及其相关紧急事故处理工作向使用具有平安漏洞的计算机系统和重要部门发出警报参与国际上FIRST2003年2月，信息产业部将之更名为“信息产业部互联网应急处理协调办公室〞，并且指定该协调办公室作为APEC要求的网络反恐的高技术协作点单位。1999年军队成立了计算机平安事件处理分队，主要针对军队内部出现的紧急事件进行响应，目前正在运行中。CNCERT/CC——我国的应急中心2000年10月，国家计算机网络与信息平安管理中心在信息产业部的领导下正式组建了我国应急处理体系的一个重要环节——中国计算机网络应急处理协调中心(CNCERT——ChiNaComputerEmergencyResponseTeam/CoordinationCenter，也可简称为CNCERT/CC)。2002年8月，CNCERT/CC成为FIRST的正式会员关于CNCERTCNCERT—我国计算机应急体系的重要局部CNCERT的根本情况CNCERT是一个非盈利组织CNCERT于2000年11月正式对全社会提供信息效劳CNCERT的宗旨是保障国家网络空间的平安，构建完善的应急处理体系。CNCERT在2003年初的几起大规模网络平安事件的处理中，和各运营商密切合作，取得良好成绩合作伙伴与外围支撑单位近20家，包括国家防病毒响应中心、国家反入侵中心、平安效劳试点单位等独立的工作场所，具有良好的电磁屏蔽效果的机房。独立的带宽为100M的宽带网络接入专线，CNCERT的根本任务收集、汇总、核实、发布权威性的网络平安信息为国家关键部门提供给急处理效劳协调和指导国内其它应急处理单位的工作与国际上的应急处理组织进行合作和交流大规模网络平安事件的教训2001年红色代码和尼姆达事件处理的教训掌握信息的准确性和完整性与时间上的要求之间的矛盾处置遇到的困难大规模平安事件的危害严重的网络阻塞甚至瘫痪应用中断危及经济和生活的很多方面大量主机面临严重的信息泄漏威胁合作体系的初步形成2002年初，在总结红色代码事件的根底上，推动各互联网骨干运营商成立了各自的应急组织，并形成了以CNCERT/CC为核心的合作机制2002年8月，CNCERT/CC成为FIRST正式成员合作体系的重要性国际上已经强烈认识到计算机应急组织合作的重要性：信息共享：提前预警技术共享：能力支持数据共享：综合分析处置配合：有效遏制在受攻击的网络中采取隔离措施依靠合作在攻击源附近实施隔离合作体系的进一步完善2003年的事件，对2002年建立的合作体系是一个考验在取得成功经验的同时，也发现了新的问题和缺乏2003年下半年至2004年初，在中编办、国信办、信产部等的支持下，我国形成了一个更加完整的公共互联网应急处理体系仅靠体系依然缺乏以解决问题复杂巨系统的控制人机结合中“机〞的重要性不可无视“开放的研讨厅体系〞完整、准确、与快速之间的矛盾各方面资源的高效整合危机应对美加大停电SARS黄金时间CNCERT/CC年度平安报告CNCERT/CC目前提供的效劳响应式服务预防式服务安全质量管理服务警报和警告事件处理事件分析现场事件响应事件响应支持事件响应协调安全漏洞处理安全漏洞分析安全漏洞响应安全漏洞响应协调Artifact处理Artifact分析Artifact响应Artifact响应协调公告技术监视安全审计评估安全工具、应用程序和基础设施的配置和维护安全工具的开发入侵检测服务与安全有关的信息的传播风险分析服务持续性和灾难恢复规划安全性咨询建立安全意识教育/培训产品评估或认证CNCERT/CC的根本工作原那么效劳保密快速标准2003年工作报告：大规模蠕虫事件处理SQLSLAMMER蠕虫：1月25日爆发，造成大面积网络拥塞或瘫痪中午接到举报，立即和各运营商应急组织联系，了解到全面情况分析找到在网络上隔离蠕虫传播的有效方式并迅速推广到各互联网单位当晚，蠕虫的传播得到控制；发现我国境内感染主机两万两千多台；数据提供给运营商处理；SQLSLAMMER处理过程接到举报核实全网情况向全网通报情况，样本分析实施数据监测了解境外情况隔离方法分析和确认通报隔离方法，实施隔离恢复故障网络媒体工作跟踪监测与分析报告口令蠕虫事件3月8日出现，主要在教育网中蔓延，局部大学校园网络瘫痪后蔓延到电信、联通、移动、铁通、网通等多个网络，感染效劳器4万多台并不利用系统漏洞，而是采用猜口令的方式攻击管理不善的主机〔而口令问题由于涉及到每一个用户，始终是最难以解决的问题之一〕植入后门以后和境外13个IRC效劳器建立联系口令蠕虫处理过程接到举报核实全网情况向全网通报情况，样本分析实施数据监测，切断与IRC效劳器的联系了解境外情况隔离方法分析和确认通报隔离方法媒体工作跟踪监测与分析报告口令蠕虫数据分析红色代码F变种3月11日发作，在欧洲一些国家造成影响3月11日至13日，检测到此蠕虫在我国网络中扩散次数超过12万次现实：完全利用原来的〔一年多以前的〕漏洞，依然可以形成一定规模教训：期待依靠用户都打及时补丁来改善网络平安现状是不现实的。“冲击波〞蠕虫8月11日启动响应，向各运营商与合作单位发送警报和应对措施、交换信息和国外应急组织保持密切联系，及时交换数据8月15日启动针对DDoS的数据分析8月18日发现MSBlast.Remove，并且发现蠕虫传播数据的明显反弹至12月31日，中国境内感染的效劳器超过150万台

MSBlast/MSBlast.REMOVE数据分析MSBLAST数据明显降低04年1月1日起，数据明显降低

2003年工作报告：DDOS事件处理3月底，某亚洲地区业务量排名第二的商业网站受到有组织持续性拒绝效劳攻击。5月中旬，某市政府信息网络遭拒绝效劳攻击，瘫痪8小时以上，严重地影响了政府依托电子政务外网平台的相关业务和86个政府网站的正常运行。5月中旬，某省信息港网站受到拒绝效劳攻击。5月下旬，某省播送电视网遭有组织拒绝效劳攻击。7月初，博客中国遭拒绝效劳攻击。7月底，某为政府提供效劳的大型综合网站遭拒绝效劳攻击。8月下旬，中国互联网协会网站在公布垃圾邮件效劳器黑名单后遭拒绝效劳攻击。拒绝效劳攻击日益频繁，十分猖獗阻止DDoS攻击，关键在于合作DDoS攻击之所以难以高效地防范，原因在于攻击者可以轻易地使用伪造地址发出攻击，使得被攻击者很难高效地在自己的网络内实施防范RFC2827规定了源地址过滤的标准，并且得到广泛的产品支持，但是只有大家都启用源地址验证的功能，才可能真正发挥作用合作的价值更加表达在攻击隔离上2003年度工作报告：篡改网页事件广西某市政府网站被篡改5月19日，广西某市的一个政府网站效劳器所发布的三十个政府网页均被黑客篡改；立即通知有关部门进行处理。7月6日黑客竞赛7月4日得悉；通报各运营商；密切跟踪规模、动态：全球约有2600多个网页被篡改，但都是小型网站。2003年中国有435台主机上的网页遭到篡改，其中包括143个主机上的337个政府网站在内。2003年度工作报告：网站欺诈“香港赛马俱乐部投诉有网站假冒其名义从事非法活动〞等三个案例：我们只是调查核实，向上反映。AUSCERT投诉两网站欺诈活动事件 12月8日接到投诉；调查核实；分析认为相关主机很可能是遭受到黑客攻击后被人利用；协调运营商、分中心处理；位于江苏和云南两不法网站分别于9、10号被关闭；12日得到局部关于被泄漏银行账号的信息。HKCERT投诉一网站冒充eBay〔经营网上购物〕网站进行欺骗 12月17日接到投诉；调查核实；协调运营商处理；12月22日网通应急组织将被投诉IP地址进行处置。

2003年度工作报告：漏洞处理对CiscoIOS漏洞的处理 7月17日公布；通告运营商；启动监测。及时通报运营商微软发布的MS03-032、MS03-033、MS03-039、MS03-43、MS03-46、MS03-49等漏洞。对IE浏览器存在显示伪造地址漏洞的处理 12月10日收到AUSCERT提醒关注该漏洞的信；漏洞还没有补丁，但攻击方法已经公布；高度重视；目前还在密切关注中。

2003年度工作报告：投诉事件处理应急事件非应急事件

事件分类

咨询

病毒网络攻击垃圾邮件总计

月份国内国外国内国外国内国外

1月

2

3422129475132月102

482

17266653月1521724

13586274月41

383

15654025月31159802168116996月1503753

137944137月635388131731101218月

1611415091153169439月

20

1542

2771839210月10

11067524813311511月9321032216012082312月

3611178227614663合计9712320108731721841329511603年一般投诉事件处理统计第二局部：应急处理技术应急响应一般需要到达的目标确认或排除突发事件发生与否事件类型按紧急程度分：直接报告、立即引起注意的间接报告的有潜在问题，但是还没有造成影响的按技术环节分：探测：对网络的侦察攻击：对网络效劳的抑制入侵：取得一定的控制权病毒感染：驻留、复制、发作骚扰：虚警、谣言、垃圾信息等事件处理的一般阶段第一阶段：准备——让我们严阵以待第二阶段：确认——对情况综合判断第三阶段：封锁——制止事态的扩大第四阶段：铲除——彻底的补救措施第五阶段：恢复——备份，顶上去！第六阶段：跟踪——还会有第二次吗第一阶段——准备预防为主帮助效劳对象建立平安政策帮助效劳对象按照平安政策配置平安设备和软件扫描，风险分析，打补丁如有条件且得到许可，建立监控设施第二阶段——确认确定事件的责任人指定一个责任人全权处理此事件给予必要的资源确定事件的性质误会？玩笑？还是恶意的攻击/入侵？影响的严重程度预计采用什么样的专用资源来修复？第三阶段——封锁即时采取的行动防止进一步的损失，确定后果确定适当的封锁方法咨询平安政策确定进一步操作的风险损失最小化可列出假设干选项，讲明各自的风险，由效劳对象选择第四阶段——铲除长期的补救措施 确定原因，定义征兆 分析漏洞 加强防范 消除原因 修改平安政策第五阶段——恢复被攻击的系统由备份来恢复作一个新的备份把所有平安上的变更作备份效劳重新上线持续监控第六阶段——跟踪关注系统恢复以后的平安状况，特别是曾经出问题的地方建立跟踪文档，标准记录跟踪结果对响应效果给出评估事件归档与统计(便于业绩考核)处理人时间和时段地点工作量事件的类型对事件的处置情况代价细节应急小组的宗旨:处理平安事件何谓“处理〞？积极预防〔Prevention〕及时发现〔Discovery〕快速响应〔Response〕确保恢复〔Recovery〕何谓“平安事件〞?对信息及信息系统的机密性、完整性、可用性造成威胁的活动应急小组的效劳范围效劳对象：假设干个“网〞及其业主核心业务：确保在该“网〞的范围内对事件的根本响应能力扩展业务：与其他“网〞及对其平安保障负责的机构进行必要的沟通，以便协防应急处理工作的共性：各为其“主〞，但业务上共性多于个性应急小组应具备的条件组织体系核心岗位〔必有〕负责人//响应队伍扩展岗位〔可选〕信息与信息系统管理//信息发布//效劳对象关系管理对人员的要求〔参考〕不要求太高的学历，但要有很强的动手能力、与人打交道的应变能力和从经验教训中学习的能力熟悉各种平台、相应的系统资源、配置管理、日志熟悉各种攻击、病毒机理及其表现征兆应急小组应具备的条件制度与流程岗位职责与守那么、平安保密规定事件响应流程事件报告及其记录〔网站、邮件、、〕相关数据〔如日志等〕提取事件记录格式标准事件状态启动〔待处理〕、已处理[咨询、现场、外包]、挂起、不处理应急小组应具备的条件技术平台运行库：记录所受理的所有平安事件，与该事件相关联的信息项〔发生地、发生单位、事发平台/版本/现象描述、联系人信息等〕，以及该事件的当前处理状况监控设施：应效劳对象的要求接入被保护的网内，捕获并分析网络数据流，对可能造成平安事件的网络流量片断进行分析识别知识管理设施：各种漏洞库、补丁库、工具库、效劳对象关系库等等应急小组应具备的条件通信手段网络、〔含移动〕、、视频会议等通信设备对网络通信的加密措施〔如PGP等〕交通手段对于需要进行现场响应的应急小组，要具备必要的交通手段，比方应急车辆场地要有充足的场地，特别是应急值守人员的休息场地如何保护自己负有平安保障责任的应急小组必须学会保护自己效劳网站一定要加固业务往来数据〔如效劳对象的日志文件和某些系统文件〕的传输一定要加密运行库要采取一定的屏蔽获隔离措施如何取证按照符合法律要求的方式，识别、保存、分析和提交数字化的入侵证据的过程，叫做取证。取证的目的是为了据此找出入侵者〔或入侵的机器〕，并解释入侵的过程。计算机证据的特点容易被改变或删除不可见并且改变后不容易被觉察传输中通常和其他无关信息共享信道存储格式各异外行人很难以理解如何取证来自系统系统日志文件备份介质入侵者残留物：如程序，脚本，进程，内存映象交换区文件、临时文件硬盘未分配的空间〔一些刚刚被删除的文件可以在这里找到〕系统缓冲区打印机及其它设备的内存 来自网络防火墙日志IDS日志其它网络工具所产生的记录和日志等。如何找到联系人WhoisAPNIC〔日〕//CNNIC〔中〕//RIPE〔欧〕效劳对象自身提供的信息〔如中国电信的IP地址段分配表〕采用其他手段综合得到信息〔如使用“追捕〞〕如何与时俱进不断补充新知识与软硬件系统提供厂商保持密切联系，注意补救措施和升级措施的动态与其他应急处理组织、平安效劳企业、反病毒厂商保持密切联系监测系统也要不断升级学习其他应急小组的先进经验对紧急响应的具体要求效劳本地化技术咨询解决不了所有问题现场效劳必不可少一个锋利的问题：网都不好使了，怎么通过网络下载补丁和工具？效劳标准化7x24小时效劳根据不同等级，对响应时间的要求不同作为特殊行业，需要保护用户利益资质与效劳质量的监督检查效劳单位资质和效劳质量的监督管理对整个平安保障体系至关重要第三局部：关于入侵监测系统的一些讨论什么是入侵？入侵〔intrusion〕：从受害者的角度看到的成功的攻击从攻击者的角度看，如果他们的攻击目的一个也没有到达，就不算成功的攻击；从受害者的角度看，攻击者的行为给自己带来了不良后果，就算受到了成功攻击；攻击者认为失败的攻击，从受害者的角度看却可能是成功的被入侵者可能需要关心什么？发生了什么事情？哪些局部受到了影响？后果如何？入侵者是谁？入侵者的原始位置在哪里?什么时候发生的入侵行为？入侵是如何进行的？为什么入侵？等等入侵监测系统：如同银行的报警器；监视、记录、分析网络中发生的各种攻击行为，并且向用户发出警报；帮助您答复左边这些问题；这些事情好似别的系统也能做？防火墙也可以告诉我这些防火墙主要工作在网关的位置，一般用来对付来自外界的攻击，目标以隔离为主，采用串联的方式接入网络中；入侵监测系统经常在网络中布置多个，一般用来针对网络中的多个局部进行保护，目标已发现为主，通常采用并连的方式接入；系统的日志也可以告诉我这些没错，入侵监测系统就是帮助您自动收集和分析网络中所发生事件的情况，省掉您不停分析来自很多机器的日志的麻烦！--想想看如果没有IDS，要你做同样的工作量，是什么情形？入侵监测系统的地位？ProtectionDetectionResponseRecover是防火墙和其他系统的有益补充是全面了解网络平安实际情况的重要工具是根据需要设置的重要的辅助系统判断方案是否合理需要考虑哪些问题？是不是覆盖了所有需要实时监测的关键局部？引擎的能力是否能够适应其策略要求和安放的位置？产生的日志量有多大，带来的网络负担是否影响正常业务的进行？报警的策略是否合理，平安管理人员是否能够承受？etc.这些问题，引出一系列的问题基于主机还是基于网络？基于网络的入侵监测系统在网段中安装的专用设备；放在防火墙内还是防火墙外存在争议；依靠捕获在网络中的数据报文进行分析；基于主机的入侵监测系统运行在被保护的主机中；监测分析被保护主机的一系列关键变量参数；基于网络的入侵监测系统NIDS基于主机的入侵监测系统HIDS优点缺点优点缺点覆盖面宽，一个引擎可以覆盖一个网段误报率相对较高能够建立事件和用户之间的联系当对主机的攻击获得成功时，HIDS所提供的信息的可靠性立即受到影响隐蔽性好不能分析加密流量能够发现NIDS发现不了的攻击被保护主机被攻击瘫痪时，HIDS随着系统也瘫痪安装和升级工作对网络的影响小只能对已知的部分攻击特征进行监测，不是别新的攻击模