计算机网络信息安全理论与实践教程第20章

第 20章 应急响应技术的原理与灾害恢复 第 20章 应急响应技术的原理与灾害恢复 20.1 应急响应概念20.2 应急小组组成与工作机制20.3 应 急 方 案20.4 应急事件处理流程20.5 应急响应技术与常见实用软件20.6 应急响应案例分析20.7 本 章 小 结本章思考与习题第 20章 应急响应技术的原理与灾害恢复 1988年的 “ Internet蠕虫 ” 攻击事件，促使美国政府成立了计算机安全应急组织 CERT。 尽管现在已有许多安全预防措施，但随着攻击方法的不断变化和进步，加上安全漏洞不断出现、安全管理疏漏等多方面因素，对网络系统构成的威胁只增未减。为保障网络的安全运行及信息安全，必须建立相应的应急组织，制定应急计划和应急措施，以便及时响应和处理网络中随时可能出现的安全事件。 20.1 应急响应概念 第 20章 应急响应技术的原理与灾害恢复 20.2 应急小组组成与工作机制 20.2.1 应急小组组成一般来说，应急组织由应急保障领导小组和应急技术保障工作小组构成。领导小组的主要职责是领导和协调突发事件与自然灾害应急保障工作；应急技术保障工作小组的职责主要是解决安全事件的技术问题，包括物理实体及环境安全技术、网络通信技术、系统平台技术、应用系统技术等。应急组织的工作主要有： 第 20章 应急响应技术的原理与灾害恢复 * 安全事件响应；* 安全事件与软件安全缺陷分析研究；* 安全知识库开发与管理，包括漏洞知识、入侵检测；* 发布安全信息，如系统缺陷公告；* 教育与培训，包括安全管理及应急培训。 第 20章 应急响应技术的原理与灾害恢复 20.2.2 应急小组工作机制应急小组是对组织的安全事件进行处理、协调或提供支持的团队，负责协调组织的安全紧急事件，为组织提供计算机网络安全的监测、预警、应急、防范等安全服务和技术支持，及时收集、核实、汇总、发布有关互联网安全的权威性信息，并与国内外计算机网络安全应急组织进行合作和交流。目前，我国已经基本建立了一个在国家网络与信息安全协调小组及其办公室领导下的 “ 国家公共互联网安全事件应急处理体系 ” 。该体系分为国家级政府层次、国家级非政府层次和地方级非政府层次三个层面，如图 20-1所示。 第 20章 应急响应技术的原理与灾害恢复 图 20-1 国家公共互联网安全事件应急处理体系 第 20章 应急响应技术的原理与灾害恢复 20.2.3 应急小组组成模式 1公益性应急响应组这类响应组由政府和公益性组织资助，对社会所有用户提供公益性的服务。比如， CERT/CC由美国国防部资助，把自己的客户群定义成 “ 互联网共同体 (Internet Community)” ， 中国的 CCERT、 CNCERT也属于这一类。公益性的应急响应组一般提供如下服务：(1) 对计算机系统和网络安全事件的处理提供技术支持和指导，一般通过电子邮件和电话方式进行。 第 20章 应急响应技术的原理与灾害恢复 (2) 安全漏洞或隐患信息的通告、分析。(3) 事件统计分析报告。(4) 安全事件处理相关的培训。使用公益性应急响应组资源的好处有两点：(1) 它是免费的，或者费用很低。(2) 由于公益性应急响应组面向的客户群很广，因此它们往往掌握非常丰富的信息，并具有丰富的事件处理经验。 第 20章 应急响应技术的原理与灾害恢复 2内部应急响应组内部应急响应组由一个组织创建和资助，服务对象仅限于本组织内部的客户群。内部的响应组可以提供现场的事件处理，分发安全软件和漏洞补丁，提供培训和技术支持等，另外还可以参与组织安全政策的制定、审查等。内部应急响应组能提供较好的服务质量保证，但是需要专门的人力、物力投入。在外人看来，这些成员大部分时间无所事事。而且，由于成员只关注企业内部的事件，一般事件处理的经验很有限。 第 20章 应急响应技术的原理与灾害恢复 3商业性的应急响应组商业性的应急响应组根据用户的需要，为用户提供技术、程序、调查、法律支持。一个组织可以不必雇佣专门的应急响应人员，而是和商业性应急响应组签约购买它们的服务。商业服务的特点在于服务质量有保障：在突发的安全事件发生时能及时响应，有的应急响应组甚至提供 724 的服务及现场的事件处理等。购买商业性的应急响应组所提供的服务也有缺点，它们需要为大量的客户提供服务才能维持特定的用户工作时间。 第 20章 应急响应技术的原理与灾害恢复 4厂商的应急响应组厂商的应急响应组一般只为自己的产品提供应急响应服务，同时也为公司内部的雇员提供安全事件处理和技术支持。许多软件厂商都有自己的应急响应组，例如 Sun Microsystems、Microsoft、 Hewlett Packard、 Cisco等。不同类型应急响应组织的相互关系图如图 20-2所示。 第 20章 应急响应技术的原理与灾害恢复 图 20-2 不同类型应急响应组织的相互关系示意图 第 20章 应急响应技术的原理与灾害恢复 20.3 应 急 方 案 20.3.1 应急方案内容 应急方案是指在突发紧急情况下，按事先设想的安全事件类型及意外情形，制定处理安全事件的工作步骤。应急方案的基本内容应包括：* 执行应急方案有关人员的姓名、住址、电话号码以及有关职能部门的联系方法。* 详细列出系统紧急情况的类型及处理措施。* 应急处理所要采取的具体步骤及操作顺序。 第 20章 应急响应技术的原理与灾害恢复 20.3.2 应急方案类型针对不同类型的安全事件，应当制定相应的应急方案。常见的安全事件类型有：* 物理实体及环境类安全事件，例如意外停电、物理设备丢失、火灾、水灾等自然灾害。* 网络通信类安全事件，例如网络蠕虫攻击等。* 主机系统类安全事件，例如计算机病毒、口令失效或丢失等。* 应用系统类安全事件，例如客户信息泄露等。 第 20章 应急响应技术的原理与灾害恢复 20.4 应急事件处理流程 应急事件处理一般包括安全事件报警、安全事件确认、启动应急预案、安全事故处理、撰写安全事件报告、应急工作总结等步骤，下面分别给出详细的说明。第一步，安全事件报警。发生紧急情况时，由值班工作人员及时报告。报警人员要准确描述安全事件，并作书面记录。根据安全事件的类型，各安全事件按呈报条例依次报告值班人员、应急工作组长、应急领导小组。 第 20章 应急响应技术的原理与灾害恢复 第二步，安全事件确认。应急工作组长和应急领导小组接到安全报警之后，首先应当判断安全事件的类型，然后确定是否启动应急预案。第三步，启动应急预案。应急预案是充分考虑各种安全事件后，制定的应急处理措施，以便在紧急情况下及时、有效地应付各类安全事件。必须避免在紧急情况下找不到应急预案或无法启动应急预案的情况。 第 20章 应急响应技术的原理与灾害恢复 第四步，安全事件处理。安全事件处理是一件复杂的工作，要求至少两人参加，所处理的工作主要包括：* 通知相关人员，交换必要的信息。* 对现场作快照，保护一切可能作为证据的记录 (包括系统事件、事故处理者所采取的行动、与外界沟通的情况等 )。* 采取围堵措施，尽量限制攻击涉及的范围。 第 20章 应急响应技术的原理与灾害恢复 * 解决问题，根除隐患，分析导致事故发生的系统脆弱点，并采取补救措施。需要注意的是，在清理现场时，一定要采集保存所有必要的原始信息，对事故进行存档。* 恢复系统，使系统正常运行。* 提交事故处理报告。 第 20章 应急响应技术的原理与灾害恢复 第五步，撰写安全事件报告。根据事件处理工作记录和所搜集到的原始数据，结合专家的安全知识，完成安全事件报告的撰写。安全事件报告的内容包括：* 安全事件发生的日期。* 参加人员。* 事件发现的途径。* 事件类型。* 事件涉及的范围。第 20章 应急响应技术的原理与灾害恢复 * 现场记录。* 事件导致的损失和影响。* 事件处理的过程。* 从本次事故中应该吸取的经验与教训。 第 20章 应急响应技术的原理与灾害恢复 第六步，应急工作总结。召开应急工作总结会议，回顾应急工作过程中所遇到的问题，分析问题引起的原因，并找出相应的解决方法。 第 20章 应急响应技术的原理与灾害恢复 20.5 应急响应技术与常见实用软件 20.5.1 应急响应技术类型应急响应是一个复杂的过程，需要综合应用多种技术。在应急响应过程中，常用到的技术如表 20-1所示。 第 20章 应急响应技术的原理与灾害恢复 表 20-1 应急响应技术分类表 第 20章 应急响应技术的原理与灾害恢复 20.5.2 访问控制访问控制是网络安全应急响应的重要技术手段，其主要用途是控制网络资源不被非法访问，限制安全事件的影响范围。根据访问控制对象的不同，可将访问控制技术手段分为网络访问控制、主机访问控制、数据库访问控制、应用服务访问控制等。这些访问控制手段的实现可以通过防火墙、代理服务器、路由器、 VLAN、 用户身份认证授权等来实现。 第 20章 应急响应技术的原理与灾害恢复 20.5.3 安全状态评估1恶意代码检测利用恶意代码检测工具分析受害系统是否安装了病毒、木马、蠕虫或间谍软件。2漏洞扫描通过漏洞扫描工具检查受害系统所存在的漏洞，然后分析漏洞的危害性。 第 20章 应急响应技术的原理与灾害恢复 3文件完整性检查文件完整性检查的目的是发现受害系统中被篡改的文件或操作系统的内核是否被替换。例如，在 UNIX系统上，被特洛伊木马代替的二进制文件通常有： telnet、 in.telnetd、 login、 su、 ftp、 ls、 ps、 netstat、 ifconfig、 find、 du、 df、 libc、 sync、inetd和 syslogd。 除此之外，工作人员还需要检查所有被/etc/inetd.conf文件引用的文件，重要的网络和系统程序以及共享库文件。因此，对于 UNIX系统，网络管理员可使用 cmp命令直接把系统中的二进制文件和原始发布介质上对应的文件进行比较。或者利用 MD5工具进行 Hash值校验，其方法是向供应商获取其发布的二进制文件的 Hash值，然后使用 MD5工具对可疑的二进制文件进行检查。 第 20章 应急响应技术的原理与灾害恢复 4系统配置文件检查攻击者进入到受害系统后，一般会对系统文件进行修改，以利于后续攻击或控制。网络管理员通过系统配置文件检查分析，可以发现攻击者对受害系统的操作。例如，在 UNIX系统中，网络管理员需要进行下列检查：(1) 检查 /etc/passwd文件中是否有可疑的用户。(2) 检查 /etc/inet.conf文件是否被修改过。(3) 检查 /etc/services文件是否被修改过。 第 20章 应急响应技术的原理与灾害恢复 (4) 检查 r命令配置及 /etc/hosts.equiv或者 .rhosts文件。(5) 检查新的 SUID和 SGID文件， find命令会打印出系统中的所有 SUID和 SGID文件：#find / ( -perm -004000 -o -perm -002000 ) -type f -print 第 20章 应急响应技术的原理与灾害恢复 5网卡混杂模式检查网卡混杂模式检查的目的是确认受害系统中是否安装了网络嗅探器。网络嗅探器可以监视和记录网络信息，入侵者通常会使用网络嗅探器获得网络上传输的用户名和密码。目前，已有软件工具可以检测系统内的网络嗅探器，例如 U