CIS信息安全应急响应

信息安全应急响应中国信息安全测评中心CISP-19-信息安全应急响应2009年6月背景：信息安全管理技术信息安全管理风险管理基本概念信息安全管理技术风险评估业务持续性和灾难恢复定量/定性风险评估风险评估工具和方法知识类知识体知识域知识子域BCP&DRP概念和背景业务持续性计划编制和内容业务持续性计划的技术和管理应急响应背景和组织应急响应流程应急响应目录互联网网络安全面临重大挑战什么是应急响应应急响应组的组建应急响应服务的过程应急响应服务的形式和内容应急响应准备阶段关键措施推荐应急响应服务案例一、互联网网络安全面临重大挑战目录互联网网络安全面临重大挑战什么是应急响应应急响应组的组建应急响应服务的过程应急响应服务的形式和内容应急响应服务的指标应急响应服务案例补充材料：如何编制本单位的《应急预案》我国互联网环境随着互联网各种应用的不断发展，大量的基础网络成为黑客的攻击目标。我国的基础信息网络和重要信息系统面临的安全威胁和安全隐患：计算机病毒传播和网络非法入侵十分猖獗网络违法犯罪持续大幅上升安全漏洞，黑客病毒技术、网络钓鱼技术、木马间谍程序互联网安全威胁事例事例2003年：SQLSLAMMER、口令蠕虫事件、冲击波蠕虫事件2004年5月：黑客操控六万台电脑制造“僵尸网络”发起拒绝服务攻击2005年12月——荷兰19岁黑客控制150万台电脑组建僵尸网络从2006年底到2007年初，“熊猫烧香”在短短时间内通过网络传播全国，数百万电脑中毒2008年，黑龙江网民篡改红十字会地震募捐账号被捕2009年，卡巴斯基网站数据库遭黑客攻击机密信息外泄相互结合，危害无穷Bot、网络蠕虫、计算机病毒、木马程序合为一体网络安全热点网站仿冒（Phishing）建立假网站通过垃圾邮件发送服务器大量发信引诱用户访问使用中奖、系统升级等手段诱使用户输入个人信息主要针对银行和信用卡服务机构网络钓鱼的靶心网络安全热点点僵尸网络的具具体概念Bot——僵尸程序Zombie——被植入Bot程序的计算机机IRCBot——利用IRC协议进行通信信和控制的Bot基于僵尸网络络（Botnet）的网络敲诈诈大量主机被安安装了BOT黑客可以通过过IRC服务器实施控控制随时可能发动动攻击BOT可以进行升级级，扩大攻击击能力网络安全热点点手机和无线网网络（WLAN）的安全2004年，针对使用用Symbian的兰牙手机的的病毒出现针对使用PocketPC的验证性攻击击程序也被发发现手机功能和操操作系统通用用性不断增强强，会有越来来越多针对手手机的攻击WLAN安全性一直是是其应用的关关键问题2004年出现了可利利用来对IEEE1278.11b无线接入点进进行拒绝服务务攻击的漏洞洞网络安全热点点黑客地下经济济产业链系统越来越复复杂工作站中存在在信息数据员工移动介质网络中其他系系统网络中其他资资源访问Internet访问其他局域域网到Internet的其他路由电话和调制解解调器开放的网络端端口远程用户厂商和合同方方的访问访问问外部资源公共信息服务务运行维护环境境U盘、无线网络络。。。网络安全漏洞洞大量存在Windows十大安全隐患患Web服务器和服务务工作站服务Windows远程访问服务务微软SQL服务器Windows认证Web浏览器文件共享LSASExposures电子邮件客客户端即时信息Unix十大安全隐隐患BIND域名系统Web服务器认证版本控制系系统电子邮件传传输服务简单网络管管理协议开放安全连连接通讯层层企业服务NIS/NFS配置不当数据库内核来源SANS研究报告攻击复杂度度与攻击者者的技术水水平高低19801985199019952000猜口令自我复制程程序口令破解攻击已知漏漏洞破坏审计后门程序干扰通信手动探测窃听数据包欺骗骗图形化界面面自动扫描拒绝服务工具攻击者攻击者的知识水平攻击的复杂杂度隐秘且高级级的扫描工工具偷窃信息网管探测分布式攻击击工具新型的跨主主机工具攻击范围和和时间的变变化全面框架

区域网络

多个局域网

单个局域网

单个pc目标和破坏的范围1980s1990sTodayFuture第一代BootvirusesWeeks第二代MacrovirusesDenialofserviceDays第三代DistributeddenialofserviceBlendedthreatsMinutes下一代FlashthreatsMassiveworm-drivenDDoSDamagingpayloadwormsSeconds快速变化的威胁网络安全造造成损失越越来越大信息泄密“黛蛇事件件”：2005年12月15日发现一个个利用MS05-051微软高危漏漏洞传播的的“黛蛇”蠕虫，该攻攻击下载运运行键盘记记录软件和和蠕虫文件件包，窃取取用户数据据。网络堵塞SQLSLAMMER：2003年1月25日发作,造成大面积积网络拥塞塞，部分骨骨干网络瘫瘫痪，韩国国网络基本本处于瘫痪痪状态,我国境内感感染主机22600余台业务停顿，，网上招生生停顿、网网上交易中中断等造成的财产产损失难以以估计，数数字绝非耸耸人听闻从2004年10月起，北京京一家音乐乐网站连续续3个月遭到一一个控制超超过6万台电脑的的“僵尸网网络”的““拒绝服务务（DoS）”攻击，，造成经济济损失达700余万元切肤之痛？？防止网络故故障造成巨巨大损失和和影响2003.2.3阿尔及利亚亚停电事故故2003.3.31伊朗大停电电事故2003.8.14美加大停电电事故2003.8.28伦敦大停电电2003.9.23瑞典和丹麦麦停电事故故2003.9.28意大利和瑞瑞士大停电电2003年11月约旦停电电事故2003.11.8利比亚西部部停电事故故2004年8月的约旦停停电事故2005年5月的莫斯科科停电事故故从安全事件件看网络安安全威胁及及其发展趋趋势大规模蠕虫虫事件的特特点蠕虫大规模模爆发时的的情形：“风暴”、、“飓风””、“攻势势凌厉”大规模蠕虫虫事件的特特点：引起突发性性的大量异异常网络流流量感染主机数数量多、分分布广对互联网用用户造成的的最直观影影响是网络络应用缓慢慢或停止只有从网络络上设置访访问限制才才能遏制蠕蠕虫的发展展蠕虫依然是是重大的潜潜在威胁虽然2006年没有大规规模的、造造成重大社社会影响的的案例，但但蠕虫依然然是重大威威胁传统破坏力力：关键阶段的的服务中断断：入学报报名或查询询、在线证证券交易、、政府集中中业务审批批、奥运播播报、etc.新破坏力：：网络阻塞失泄密威胁胁严重成为黑客攻攻击他人的的工具：DDoS致使全网DNS或者大型业业务系统瘫瘫痪；关键键系统或资资源被控制制蠕虫事件的的对抗爆发前的工工作：漏洞洞分析；探探测行为（（有时没有有）监测；；漏洞影响响评估；攻攻击代码监监测；补丁丁、临时工工具研制；；临时措施施研究与实实施状态监测：：代码特征征分析；监监测策略；；数据分析析网络控制：：影响评估；；可行性尝尝试；快速速部署；隔隔离后的监监测挑战：如果果使用了必必须的端口口？终端清除：：防病毒产品品问题：主动动遏制技术术及其适用用情况与范范围？（对对抗式蠕虫虫；网络自自动隔离技技术；wormpoisoning）附属破坏力力的发现与与控制：代代码分析；；控制技术术与能力形势日渐严严峻：通过过互联网进进行窃密的的威胁日益益增大最主要威胁胁：遭控制，尤尤其是关键键节点失泄密2004年，6千多个IP2005年：超过2万2千个IP代码类威胁胁之：木马马传播途径：：入侵+手工植入蠕虫携带/蠕虫进入后后下载垃圾邮件网页动机变化木马的演变变木马事件的的对抗样本收集与与分析活动监测：：通信监测测；操作监监测控制切断数据分析：：攻击源与与动机分析析；切取数数据的分析析新挑战：加加密通信与与数据保存存？协议嵌嵌套？代码类威胁胁之：间谍谍软件2005年被CNCERT/CC列为三大重重点关注对对象之一2005年发现我国国70万IP被植入间谍谍软件，与与美国、韩韩国的服务务器联络市场上已经经出现专门门的反间谍谍软件产品品主要危害：：信息泄漏漏主要特点：：经常是获获得用户许许可之后运运行的，或或者借助在在线服务等等方法“合合法”地传传送信息僵尸网络的的威胁2005年CNCERT/CC关注的三大大重点之一一当前最严重重的安全威威胁之一2005年发现我国国超过250万IP被控制，分分布在140多个僵尸网网络中（不不包括年初初17万和荷兰组组织提供的的29万）一些国家开开始作为专专项展开研研究；出现现一些公司司以反僵尸尸网络作为为专门业务务；多起专专题国际研研讨会主要危害：：瘫痪基础础网络；控控制关键系系统；信息息泄漏；瘫瘫痪或干扰扰重要应用用；金融犯犯罪；etc.僵尸网络的的主要特点点控制者获得得超强的攻攻击能力作为攻击平平台，能够够使几乎所所有其他类类型的安全全威胁的破破坏力大增增蠕虫；DDoS；网络钓鱼鱼/在线身份窃窃取；垃圾圾邮件；信信息窃取；；伪造访问问量；敲敲诈勒索；；etc.防火墙完全全无能为力力僵尸网络的的类型IRC-basedBotnet:绝大多数僵僵尸网络P2P-basedBotnet:这类Bot采用点对点点方式相互互通信Web-basedBotnet:这类Bot利用Http协议向控制制服务器传传递信息AOL-basedBotnet:登录到固定的的AOL服务器接受控控制命令。完整僵尸网络络的发现控制系统监视视控制者追踪控制行为监视视控制体系摧毁毁僵尸程序清除除代码获取与数数据分析挑战：新协议；P2P；加密僵尸网络事件件对抗恶意代码的特特点对比类型特点传播性可控性窃密性危害类型僵尸程序可控传播高度可控有完全控制木马无可控有完全控制蠕虫主动传播无／弱无／弱主机和网络资源间谍软件无无严重窃密信息泄露病毒干预传播无无破坏文件非代码类威胁胁之：网络仿仿冒国际上增长最最快的、最热热门的安全事事件之一CNCERT/CC2005重点关注的三三大威胁之一一国际上出现不不少专门组织织、专题研讨讨活动CNCERT/CC处理：2004年230；2005年456；主要危害：企业或个人经经济利益损失失大规模事件时时可能导致一一定范围金融融瘫痪（例如如数千万信用用卡信息失窃窃时，银行可可能被迫集中中更换大批信信用卡）不断变化的技技术手段：垃圾邮件+社会工程学方方法+相似链接+仿冒网站垃圾邮件+社会工程学方方法+隐藏的链接+仿冒网站利用浏览器漏漏洞做到更好好的链接隐藏藏仿冒网站本身身的技术变化化恶意代码进驻驻+修改host文件+仿冒网站恶意代码进驻驻+监视软件[恶意代码进驻驻]：垃圾邮件+邮件工具漏洞洞；垃圾邮件+浏览器漏洞+陷阱网页蠕虫+恶意代码直接从在线交交易环节中窃窃取信息！网络仿冒我国网络仿冒冒的基本情况况安全防范能力力薄弱安全防范意识识对网络仿冒的的危害没有了了解部分网络业务务非实名制度度始终没有解决决的一个严重重威胁目前敲诈勒索索的主要手段段之一蠕虫驱动的DDoS，以及大型僵僵尸网络发动动的DDoS，可能严重威威胁到基础网网络/关键应用/重要应用系统统的正常运行行非代码类威胁胁之：拒绝服服务攻击非代码类威胁胁之：拒绝服服务攻击攻击手法单对单：利用用协议或协议议实现漏洞；；利用资源差差异；利用基基础服务配置置和IP伪造多对单：利用用资源差异+IP伪造；利用巨巨大的资源差差异驱动力变化过滤干扰流量量；追溯攻击源头头；追溯攻击者；；公共策略执行行：推广相关关的基础配置置；攻击平台摧毁毁拒绝服务攻击击事件的对抗抗非代码类威胁胁之：网页篡篡改居高不下：2004年2059/1029；2005年13653/20272006年31378/3589传统危害：政治和社会影影响外交纠纷政务中断网页篡改的演演变威胁将不再仅仅仅局限于造造成影响电子政务；网网上业务；网网上应用的中中断“示威”性篡篡改到功利性性篡改利用信誉高的的网站设置陷陷阱新威胁：窃取数据入侵用户主机机（可以是有有针对性的））滥用作为攻击击活动的中转转或控制基地地发现：举报；主动搜搜索挑战：深度、、广度的增加加；新型恶意意代码定位与分析尽早通知用户户手段分析攻击者分析宏观分析恢复网页篡改事件件的对抗其他威胁病毒：概念日日渐模糊化后门与逻辑炸炸弹：难以监测发现现大量产品和技技术严重依赖赖国外+高度互联的网网络使得该隐患尤尤其严重垃圾邮件：社会影响用于拒绝服务务攻击用于传播恶意意代码（邮件件蠕虫）各种威胁的变变化趋势小结结攻击分类模糊糊化攻击手段多样样化攻击代码集成成化/专业化攻击动机趋利利化潜在的其他问问题国家利益维护护：关键资源源的拥有权、、控制权，关关键策略的话话语权联合国中的激激烈斗争：互互联网治理Rootserver/Rootzonefile/公共政策现状：正在成成为国家关键键信息基础设设施的互联网网，其公共政政策的制定、、关键资源的的所有权与运运行权，依然然不能自主基础薄弱资源欠缺合作欠缺宏观发现与分分析能力欠缺缺不够重视“软软”技术技术挑战潜在的其他问问题低高高高低潜在的破坏出现的可能性性200020022005来源:DSB研究报告黑客罪犯间谍恐怖分子国家赞助助潜在的其他问问题网络安全事件件的威胁对象象基础网络的健健康运行国家关键信息息基础设施重要应用（失失能/失控）敏感信息企业与个人的的经济等利益益干扰经济秩序序敲诈勒索需要的元素(x)需要的能力(y)各种威胁的应对(z)组织

（专门门人员）资源

（包括括制度）预X监测控制恢复…蠕虫DDoSBotnetSpyware平台

（技术术设备）资源

（包括括制度）网络安全保障障能力的组成成网络安全保障障能力Y-应对能力未雨绸缪：：“预”能能力预防/预测/早期评估和和警报等心明眼亮：：“知”能能力事件发现/监测运筹帷幄：：“控”能能力事件响应与与控制/危机管理起死回生：：“生”能能力恢复/核心生存网络安全保保障能力X-实现要素公欲善其事事，必先利利其器：技术产品&基础设施巧妇难为无无米之炊：：基础资源&方法规范（（漏洞信息息、恶意代代码信息、、重要应用用资源信息息以及流程程、制度和和预案））“人”是关关键专业队伍&合作体系网络安全保保障能力Z-威胁研究知己知彼，，百战不殆殆：蠕虫僵尸网络间谍软件PhishingDDoS……核心资源知识库信息库：国国家网络安安全数据资资源平台（（基础网络络拓扑、IP定位、事件件库、攻击击特征库、、病毒库、、应用分布布信息、漏漏洞库、攻攻击方法库库）模拟计算平平台Etc.技术挑战：：大规模突突发事件的的

及时响响应？攻方：漏洞/脆弱性发现现恶意代码编编写(测试,可能)释放恶意代代码守方：漏洞/脆弱性发现现信息分发补丁开发补丁分发以以及升级工工作风险评估攻击行为监监测恶意代码获获取和分析析扩散控制补丁和工具具分发和升升级感染主机恢恢复全面升级、、损失评估估等我们的对手手有多快?漏洞发现：：随时&4000个/年出现新的攻攻击代码：：漏洞公布布后的几星期甚至至更短---0天10~30分钟足够一个新新的蠕虫导导致大范围围的网络瘫瘫痪僵尸网络带带来的新挑挑战那么，我们有多快？技术挑战：：宏观分析析->海量数据数据的有效效性100万事件信信息1万事件信信息1百事件信信息理想化响应应工作模式式非技术挑战战:现实世世界和虚拟拟世界的矛矛盾有边界的网网络建设与与管理，如如何面对无无边界的网网络攻击攻击者可以以轻易通过过多个不同同的网络、、地区、或或国家发起起攻击，使使得无论是是采取有效效措施对抗抗攻击减少少损失，还还是追查攻攻击来源打打击犯罪，，都需要大大范围的协协调问题：现有有秩序下的的效率保持持追踪？？隔离？？各人自扫门门前雪？综合挑战：：动态适应应能力网络安全是是一个动态态的过程如何实现各各个环节的的动态调整整能力？综合挑战：：其他能力建设：：打造超人人？分散、分工工、和无配配合的防护护力量，如如何对抗有有组织有计计划的攻击击行为？面对众多的的应用可能能面临的众众多威胁，，如何要求求自己的安安全管理人人员能够熟熟悉这一切切？攻击定位十十分困难：：无论是虚虚拟世界的的定位还是是现实世界界的定位。。使得防范范和追查都都十分困难难技术以外的的问题怎么么办：做好好自己的事事情，不足足以保证自自己的安全全，那么如如何确保““公共卫卫生”？……是否真正知知道我国的的网络中正正在发生什什么？是否掌握国国家网络空空间安全的的真实状态态？是否掌握国国家可能面面临什么样样的网络危危机？国家信息化化发展的相相关决策缺缺乏依据信息化及其其安全保障障的计划可可能陷入盲盲目缺乏准备，，将来可能能导致灾难难性损失仅仅知道了了一些事件件，但是这这些事件带带来的危害害和损失还还不知道；；模拟、分分析、预测测、评估能能力还比较较弱虽然有一个个良好的起起点，但是是目前的水水平还没有有达到基本本要求小结很多问题还还需要积极极探索各方面合作作的形成十十分重要国际交流的的重要性技术交流标准的话语语权国际影响力力二、什么是是应急响应应目录互联网网络络安全面临临重大挑战战什么是应急急响应应急响应组组的组建应急响应服服务的过程程应急响应服服务的形式式和内容应急响应准准备阶段关关键措施推推荐应急响应服服务案例什么是应急急响应EmergencyResponse/IncidentResponse:安全人员在在遇到突发发事件后所所采取的措措施和行动动突发事件：：影响一个个系统正常常工作的情情况。这里里的系统包包括主机范范畴内的问问题，也包包括网络范范畴内的问问题。这种种‘情况’’包括常见见的黑客入入侵、信息息窃取等，，也包括拒拒绝服务攻攻击、网络络流量异常常等。事件响应事件响应：：对发生在在计算机系系统或网络络上的威胁胁安全的事事件进行响响应。事件响应是是信息安全全生命周期期的必要组组成部分。。这个生命命周期包括括：对策、、检测和响响应。应急响应描描述当安全事件件发生需要要尽快解决决，而一般般技术人员员又无法迅迅速处理的的时候，就就需要安全全服务商提提供一种发发现问题、、解决问题题的有效服服务手段来来解决问题题。这种服务手段段可以描述为为：客户的主主机或网络正正遭到攻击或或发现入侵成成功的痕迹，，而又无法当当时解决和追追查来源时，，安全服务商商根据客户的的要求以最快快的速度赶到到现场，协助助客户解决问问题，查找后后门，保存证证据和追查来来源。应急响应的目目的应急响应服务务的目的是尽尽可能地减小小和控制住网网络安全事件件的损失，提提供有效的响响应和恢复指指导，并努力力防止安全事事件的发生。。网络安全的发发展日新月异异，谁也无法法实现一劳永永逸的安全服服务。积极预防——风险评估及时发现——检测通报积极预防——风险评估快速反应——迅即救助积极预防——风险评估及时发现——检测通报确保恢复——起死回生积极预防——风险评估及时发现——检测通报快速反应——及时救助业务应急响应目标标积极预防凡是预则立，，不预则废事件预防是事事件应急响应应能力的重要要前提组织现有的信信息安全保障障能力识别公司风险险准备主机、采采取网络安全全措施制订应急响应应目标的策略略和规程…及时发现：安安全保障的第第一要求根本性的问题题在于当事件件发生的时候候，有关人员员能否及时发发现，以及能能否做出准确确判断事后：部分用用户投诉事件件；事中：大规模模网络攻击事事件、部部分用户投投诉事件事前：异常检检测的分析结结果、关关联事件、、根根据据其他情报获获悉快速响应不但对已知事事件快速响应应，对未知事事件也可及时时处理并采取取相应措施确保恢复：安安全保障的第第一目标应急处理的两两个根本性目目标：确保恢恢复、追究责责任除非是“事后后”处理的事事件，否则应应急处理人员员首先要解决决的问题是如如何确保受影影响的系统恢恢复正常的功功能追究责任涉及及到法律问题题，一般用户户单位或第三三方支援的应应急处理人员员主要起到配配合分析的作作用，因为展展开这样的调调查通常需要要得到司法许许可。从应急组织到到应急体系：：网络安全保保障的必要条条件现实表明，单单一的应急组组织已经不能能应对当今的的网络安全威威胁，我国的的应急体系正正是在实际工工作的经验总总结中逐渐形形成的：平台台从点到环到到面；应急体体系从点到树树到网“现实世界中中发生的任何何事情，在网网络世界中都都可以找到与与之对应的事事件”SARS事件反映出社社会防疫应急急体系的重要要红色代码、尼尼姆达、SQL杀手、口令蠕蠕虫等具有和和现实世界中中的疫病相同同的特点处理方式也具具有同样的特特点：隔离---分析---治疗不同之处：““病人”不自自知；隔离缺缺乏法律依据据或技术手段段；应急缺乏乏成熟体系和和工作制度…..“莫里斯事件””又称“蠕虫虫事件”。1988年11月，美国Cornell大学学生Morris编写一个“圣圣诞树”蠕虫虫程序，该程程序可以利用用因特网上计计算机的sendmail的漏洞、fingerD的缓冲区溢出出及REXE的漏洞进入系系统并自我繁殖，鲸鲸吞因特网的的带宽资源，，造成全球10%的联网网计算机陷入入瘫痪。这起起计算机安全全事件极大地地震动了美国国政府、军方方和学术界全球第一个计计算机应急处处理协调中心心八八年的“莫莫里斯事件””美国能源部成成立了自已的的CIAC美国其他部门门的情况在莫里斯事件件发生之后，，美国国防部部高级计划研研究署（DARPA）出资在卡内基基-梅隆大学学（CMU）的软件工程研研究所（SEI）建立了计算机机应急处理协协调中心。该该中心现在仍仍然由美国国国防部支持，，并且作为国国际上的骨干干组织积极开开展相关方面面的培训工作作。1989年，美国能源源部（DoE）成立了自已已的计算机事事件处理组织织，称为CIAC（ComputerIncidentAdvisoryCapability)，专门保证能能源部计算机机系统的安全全。至此，各各有关部门纷纷纷开始成立立自己的计算算机安全事件件处理组织。。作为发起国，，美国在国防防部、能源部部、空军、海海军、众议院院、国家宇航航局、国家标标准与技术局局、部分重点点大学、IT界知名公司先先后成立了六六十余个计算算机安全事件件相应组织。。重在响应、、协调、研究究/分析与统计计计算机安全事事件。网络蠕虫事件件导致应急处处理组织的诞诞生应急处理的国国际化FIRST——计算机应急组组织的国际舞舞台FIRST的宗旨FIRST成员的情况1990年11月，在美国等等的发起下，，一些国家的的CERT组织参与成立立了“计算机机事件响应与与安全工作组组论坛”，简简称FIRST–ForumofIncidentResponseandSecurityTeam。FIRST的基本目的是是使各成员能能就安全漏洞洞、安全技术术、安全管理理等方面进行行交流与合作作，以实现国际间的信息息共享、技术共享，最终达到联合防范计算算机网络上的的攻击行为的目标。截止到2001年底，加入FIRST的CERT组织共有110个，涉及到的的国家有24个，仅美国自自身就有56个成员，因此此说，FIRST组织是以美国国为主体所构构成。截止到2006年4月底，FIRST的正式成员达达到191个。CNCERT/CC于2002年8月成为FIRST的正式成员，，处理.CN的安全事件。。FIRST的工作规范FIRST组织有两类成成员，一是正正式成员，二二是观察员。。FIRST组织有一个由由十人构成的的指导委员会会，负责对重重大问题做出出讨论，包括括接受新的成成员。新成员员的加入必须须有推荐人，，并且需要得得到指导委员员会三分之二二的成员同意意。该委员会会每月进行一一次电话会议议。FIRST的技术活动除除了各成员之之间通过保密密通信进行信信息交流外，，FIRST组织每季度开开一次内部技技术交流会议议，每年开一一次开放型会会议。通常是是在美国与非非美国国家交交替进行。这这是因为要照照顾到美国代代表的利益。。我国的应急处处理体系信息产业部互联网应急处理协调办公室国家计算机病毒应急处理

中心（天津市公安局）国家计算机网络入侵防范中心（中科院研究生院）骨干网的CERT商业的安全服务提供商IDC的CERT国外CERT互联网安全服务试点单位国外政府部门（APEC经济体）国家计算机网络应急技术处理协调中心（CNCERT/CC）信息产业部(MII)其他管理部门CNCERT/CC地方分中心从点状到树状状到网状，提提供更快速的的

覆盖全国国的应急支撑撑体系CNCERT/CC发展历程（1）2000年10月，信息产业部组建成立了“计算机网络应应急处理协调调中心”，目的主要是是与其他国家的的计算机应急急响应组织(CERT)进行交流加入专业化的的国际组织“国际计算机事事件响应与安安全工作组论论坛（简称FIRST）协调全国的CERT组织共同处理理大规模网络络安全事件提高我国在计计算机事件响响应方面的技技术水平和能能力等。CNCERT/CC发展历程（2）2001年8月，，原原国国信信安安办办下下发发了了《关于于成成立立“国家家计计算算机机网网络络应应急急处处理理协协调调中中心心”的决决定定》（国国信信安安办办[2001]23号）），，明明确确组组建建“国家家计计算算机机网网络络应应急急处处理理协协调调中中心心”，作作为为全全国国计计算算机机网网络络应应急急处处理理体体系系中中的的牵牵头头单单位位。。根根据据国国际际惯惯例例，，该该协协调调中中心心英英文文名名称称为为“ChinaNationalComputerEmergencyResponseTeamCoordinationCenter”，简简称称CNCERT/CC。同时时明明确确了了CNCERT/CC的具具体体业业务务范范围围：：收集集、、核核实实、、汇汇总总、、发发布布有有关关网网络络安安全全的的权权威威性性信信息息；；为国国家家关关键键部部门门提提供供应应急急处处理理服服务务；；协调调和和指指导导国国内内其其它它应应急急处处理理单单位位的的工工作作；；与国国际际上上的的应应急急处处理理组组织织进进行行合合作作和和交交流流。。应急急响响应应服服务务背背景景CERT/CC服务务的的内内容容安全全事事件件响响应应安全全事事件件分分析析和和软软件件安安全全缺缺陷陷研研究究缺陷陷知知识识库库开开发发信息息发发布布：：缺缺陷陷、、公公告告、、总总结结、、统统计计、、补补丁丁、、工工具具教育育与与培培训训：：CSIRT管理理、、CSIRT技术术培培训训、、系系统统和和网网络络管管理理员员安安全全培培训训指导导其其它它CSIRT（也也称称IRT、CERT）组组织织建建设设三、、应应急急响响应应组组的的组组建建目录录互联联网网网网络络安安全全面面临临重重大大挑挑战战什么么是是应应急急响响应应应急急响响应应组组的的组组建建应急急响响应应服服务务的的过过程程应急急响响应应服服务务的的形形式式和和内内容容应急急响响应应准准备备阶阶段段关关键键措措施施推推荐荐应急急响响应应服服务务案案例例什么么是是应应急急响响应应组组（IRT）应急急响响应应组组就就是是机机构构可可以以借借助助的的网网络络安安全全专专业业组组织织。。为什什么么需需要要成成立立应应急急响响应应组组容易易协协调调响响应应工工作作提高高专专业业知知识识提高高效效率率提高高先先期期主主动动防防御御能能力力更加加适适合合于于满满足足机机构构的的需需要要提高高联联络络功功能能提高高处处理理制制度度障障碍碍方方面面的的能能力力应急急响响应应组组的的组组建建应急小小组的的分类类和工工作范范围形式多多样、、规模模大小小不一一服务的的对象象和范范围不不同我国的的国家家互联联网中中心（（CNCERT/CC）日本计计算机机应急急响应应协调调中心心（JPCERT/CC）IBM安全管管理服服务（（IBM-MSS）工作范范围按按其工工作方方式来来确定定应急响响应组组的分分类国际间间的协协调组组织国内的的协调调组织织国内的的协调调组织织愿意付付费的的任何用用户产品用用户网络接接入用用户企业部部门、、用户户商业IRT网络服服务提提供商商IRT厂商IRT企业/政府IRT如：绿绿盟科科技如：CCERT如：Cisco、IBM如：中中国银银行、、公安部部如CERT/CC,FIRST如CNCERT/CC《关于加加强信信息安安全保保障工工作的的意见见》（中办办发【2003】27号）第第五部部分重重视视信息息安全全应急急处理理工作作。国国家和和社会会都有有充分分重视视信息息安全全应急急处理理工作作。要要进一一步完完善国国家信信息安安全应应急处处理协协调机机制，，…加强信信息安安全事事件的的应急急处置置工作作。…要加强强信息息安全全应急急支援援服务务队伍伍建设设，鼓鼓励社社会力力量参参与灾灾难备备份设设施建建设和和提供供技术术服务务，提提供信信息安安全应应急响响应能能力。。国内的的应急急响应应政策策国内的的应急急响应应政策策为了落落实27号文精精神国国家网网络与与信息息安全全协调调小组组办公公室于于2003年10月发布布了《网络与与信息息安全全信息息通报报暂行行办法法》、2004年9月发布布了《关于做做好重重要信信息系系统灾灾难备备份工工作的的通知知》，2004年8月发布布了《关于建建立健健全基基础信信息网网络和和重要要信息息系统统应急急协调调机制制的意意见》等文件件。这这些文文件对对推动动灾难难备份份和应应急响响应的的发展展起到到了重重要作作用。。国际应应急响响应组组网址址四、应应急响响应服服务的的过程程目录互联网网网络络安全全面临临重大大挑战战什么是是应急急响应应应急响响应组组的组组建应急响响应服服务的的过程程应急响响应服服务的的形式式和内内容应急响响应准准备阶阶段关关键措措施推推荐应急响响应服服务案案例应急响响应的的一般般阶段段第一阶阶段：：准备备——让我们们严阵阵以待待第二阶阶段：：确认认——对情况况综合合判断断第三阶阶段：：封锁锁——制止事事态的的扩大大第四阶阶段：：根除除——彻底的的补救救措施施第五阶阶段：：恢复复——备份，，顶上上去！！第六阶阶段：：跟踪踪——还会有有第二二次吗吗第一阶阶段——准备预防为为主微观（（一般般观点点）：：帮助服服务对对象建建立安安全政政策帮助服服务对对象按按照安安全政政策配配置安安全设设备和和软件件扫描，，风险险分析析，打打补丁丁如有条条件且且得到到许可可，建建立监监控设设施宏观建立协协作体体系和和应急急制度度建立信信息沟沟通渠渠道和和通报报机制制如有条条件，，建立立数据据汇总总分析析的体体系和和能力力有关法法律法法规的的制定定准备阶阶段制定应应急响响应计计划资源准准备应急经经费筹筹集人力资资源软硬件件设备备现场备备份业务连连续性性保障障系统容容灾搭建临临时业业务系系统人力资资源准准备指挥调调度人人员协作人人员技术人人员专家设备、、系统统和服服务提提供商商软硬件件设备备准备备硬件设备准备备数据保护设备备磁盘、磁带、、光盘SAN冗余设备网络链路、网网络设备关键计算机设设备Anyelse?软硬件设备准准备软件工具准备备备份软件日志处理软件件系统软件网络软件应急启动盘Anyelse?病毒/恶意软件查杀杀软件建立事件报告告的机制和要要求建立事件报告告流程和规范范IntranetPhoneEmailWho?What?When?Where?How?ReportingMechanisms第二阶段——确认（检测和和分析）确定事件性质质和处理人微观（负责具具体网络的CERT）：确定事件的责责任人指定一个责任任人全权处理理此事件给予必要的资资源确定事件的性性质误会？玩笑？？还是恶意的的攻击/入侵？影响的严重程程度预计采用什么么样的专用资资源来修复？？宏观（除了微微观的工作外外）：通过汇总，确确定是否发生生了全网的大大规模事件确定应急等级级，以决定启启动哪一级应应急方案快速分析———事故的标志志事故的标志分分为两类：征兆和预兆Web服务器崩溃用户抱怨主机机连接网络速速度过慢子邮件管理员员可以看到大大批的反弹电电子邮件与可可疑内容网络管理员通通告了一个不不寻常的偏离离典型的网络络流量流向来源网络和主机IDS、防病毒软件件、文件完完整性检查软软件系统、网络、、蜜罐日志公开可利用的的信息第三方监视服服务确认事故（1）确认网络和系系统轮廓：分析事故的最最好技术方法法之一理解正常的行行为基于处理事故故的良好准备备使用集中的日日志管理并创创建日志保留留策略：执行事件关联联：保持所有主机机时钟同步：：确认事故（2）维护和使用信信息知识库分析事故时的的快速参考使用互联网搜搜索引擎进行行研究运行包嗅探器器以搜集更多多的数据过滤数据经验是不可替替代的建立诊断矩阵阵寻求帮助矩阵实例征兆拒绝服务恶意代码非授权访问不正确使用文件，关键，访问尝试低中高低文件，不适当的内容低中低高主机崩溃中中中低端口扫描，输入的，不正常的高低中低端口扫描，输出的，不正常的低高中低利用，带宽，高高中低中利用，电子邮件，高中高中中事故优先级———服务水平平协议服务水平协议议（SLA）定义服务目标标及双方的预预期及责任服务水平协议议指标类别质量指标作用对象业务无关可用性业务接入点、应用、设备、传输设备平均业务恢复时间业务接入点、应用、设备、传输设备平均故障间隔时间（MTBF）业务接入点、应用、设备、传输设备平均修复时间（MTTR）业务接入点、应用、设备、传输设备应急响应服务务的指标远程应急响应应服务在确认客户的的应急响应请请求后?小时内，交与与相关应急响响应人员进行行处理。无论论是否解决，，进行处理的的当天必须返返回响应情况况的简报，直直到此次响应应服务结束。。本地应急响应应服务对本地范围内内的客户，？小时内到达现现场；对异地地的客户，？小时加路途时时间内到达现现场。应急响应SLA矩阵事故当前或将来可能影响的资源的重要性事故当前或将来可能的影响高（例如：互联网连接，公共Web服务器，防火墙，客户数据）中（例如：系统管理员工作站，文件和打印服务器，XYZ应用数据）低（例如：用户工作站）Root级访问15分钟30分钟1小时非授权的数据修改15分钟30分钟2小时对敏感信息的非授权访问15分钟1小时1小时非授权的用户级访问30分钟2小时4小时服务不可用30分钟2小时4小时骚扰[1]30分钟本地IT职员本地IT职员[]这个影响类别别指那些除了了让用户厌烦烦没有其它负负面影响的事事故。例如，某个恶恶意代码的影影响只是每小小时在用户的的显示屏上显显示一条信息息。第三阶段——遏制即时采取的行行动微观：防止进一步的的损失，确定定后果初步分析，重重点是确定适适当的封锁方方法咨询安全政策策确定进一步操操作的风险损失最小化可列出若干选选项，讲明各各自的风险，，由服务对象象选择宏观：确保封锁方法法对各网业务务影响最小通过协调争取取各网一致行行动，实施隔隔离汇总数据，估估算损失和隔隔离效果建立遏制策略略建议组织机构构为几类主要要的事故建立立单独的遏制制策略，其标标准包括：潜在的破坏和和资源的窃取取证据保留的需需要服务可用性（（例如：网络络连接，提供供给外部当事事方的服务））实施战略需要要的时间和资资源战略的有效性性（例如：部部分遏制事故故，完全遏制制事故）解决方案的期期限（例如：：紧急事故工工作区需在4小时内清除，，临时工作区区需在两周内内清除，永久久的解决方案案）。例：基于DDOS攻击的的遏制策略1.基于攻击特征征实施过滤。2.纠正正在被攻攻击的漏洞或或弱点3.让ISP实施过滤4.重定位目标5.攻击攻击者6.设定证据保留留时间第四阶段——根除长期的补救措措施微观：详细分析，确确定原因，定定义征兆分析漏洞加强防范消除原因修改安全策略略宏观：加强宣传，公公布危害性和和解决办法，，呼吁用户解解决终端的问问题；加强检测工作作，发现和清清理行业与重重点部门的问问题；第五阶段——恢复微观：被攻击的系统统由备份来恢恢复作一个新的备备份把所有安全上上的变更作备备份服务重新上线线持续监控宏观：持续汇总分析析，了解各网网的运行情况况根据各网的运运行情况判断断隔离措施的的有效性通过汇总分析析的结果判断断仍然受影响响的终端的规规模发现重要用户户及时通报解解决适当的时候解解除封锁措施施第六阶段——跟踪关注系统恢复复以后的安全全状况，特别别是曾经出问问题的地方建立跟踪文档档，规范记录录跟踪结果对响应效果给给出评估对进入司法程程序的事件，，进行进一步步的调查，打打击违法犯罪罪活动事件归档与统统计处理人时间和时段地点工作量事件的类型对事件的处置置情况代价细节五、应急响应应服务的形式式和内容目录互联网网络安安全面临重大大挑战什么是应急响响应应急响应组的的组建应急响应服务务的过程应急响应服务务的形式和内内容应急响应准备备阶段关键措措施推荐应急响应服务务案例应急响应服务务的形式远程应急响应应服务本地应急响应应服务远程应急响应应服务客户通过电话话、Email、传真等方式式请求安全事事件响应，应应急响应组通通过相同的方方式为客户解解决问题。经与客户网络络相关人员确确认后，客户户方提供主机机或设备的临临时支持账号号，由应急响响应组远程登登陆主机进行行检测和服务务，问题解决决后出具详细细的应急响应应服务报告。。远程系统无法法登陆，或无无法通过远程程访问的方式式替客户解决决问题，客户户确认后，转转到本地应急急相应流程，，同时此次远远程响应无效效，归于本地地应急响应类类型。本地应急响应应服务应急响应组在在第一时间赶赶往客户网络络系统安全事事件的事发地地点，在现场场为客户查找找事发原因并并解决相应问问题，最后出出具详细的应应急响应服务务报告。应急响应服务务的内容病毒事件响应应系统入侵事件件响应网络故障事件件响应拒绝服务攻击击事件响应响应式服务预防式服务安全质量管理服务警报和警告事件处理事件分析现场事件响应事件响应支持事件响应协调安全漏洞处理安全漏洞分析安全漏洞响应安全漏洞响应协调Artifact处理Artifact分析Artifact响应Artifact响应协调公告技术监测与安全审计评估安全工具、应用程序和基础设施的配置和维护安全工具的开发入侵检测服务安全有关的信息的传播风险分析服务持续性和灾难恢复规划安全性咨询建立安全意识教育/培训产品评估或认证应急响应服务务的内容应急响应服务务的特点技术复杂性与与专业性各种硬件平台台、操作系统统、应用软件件知识经验的依依赖性由IRT中的人提提供服务务，而不不是一个个硬件或或软件产产品突发性强强需要广泛泛的协调调与合作作六、应急急响应准准备阶段段关键措措施推荐荐目录互联网网网络安全全面临重重大挑战战什么是应应急响应应应急响应应组的组组建应急响应应服务的的过程应急响应应服务的的形式和和内容应急响应应准备阶阶段关键键措施推推荐应急响应应服务案案例应急响应应处理实实践——所处理的的事故类类型拒绝服务务事故拒绝服务务（DoS）：通过耗尽尽资源来来阻止或或伤害网网络、系系统或应应用的攻攻击。分布拒绝绝服务（（DDoS）：一种使用用大量主主机执行行攻击的的DoS技术。恶意代码码事故恶意代码码：感染主机机的病毒毒、蠕虫虫、特洛洛伊木马马或其它它代码实实体。非授权访访问事故故非授权访访问：人员没有有没有得得到许可可，获得得对网络络、应用用、数据据或其它它资源的的逻辑或或物理访访问。不正确使使用事故故不正确使使用：人员违反反可接受受的信息息系统使使用策略略。多组件事事故多组件事事故：单单个事故故包含两两个或多多个事故故。准备阶段段—拒绝服务务事故主要工作作推荐主机上的的设置配置防火火墙规则则集以预预防反射射器攻击击配置边界界路由器器以预防防放大器器攻击充足的网网络带宽宽保证把网站做做成静态态页面确定组织织机构的的互联网网服务提提供商（（ISP）和第二二层提供供商能帮帮助处理理网络DoS攻击。配置安全全软件以以检测DoS攻击配置网络络边界以以拒绝所所有没有有明确允允许的出出局流量量准备阶段段—恶意代码码事故主要工作作推荐让用户意意识到恶恶意代码码问题。。阅读防病病毒公告告。为关键主主机部署署主机入入侵检测测系统，，包括文文件完整整性检查查器。使用防病病毒软件件，并且且保持更更新为最最新的病病毒特征征码。。配置软件件以阻止止可疑的的文件。。减少开放放的Windows共享。准备阶段段—非授权访访问事件件主要工作作推荐配置入侵侵检测软软件以对对获得非非授权访访问的企企图进行行告警。。配置所有有主机使使用集中中日志。。建立流程程，以使使所有用用户修改改其口令令。配置网络络边界以以拒绝所所有没有有明确允允许的入入局流量量。安全保护护所有的的远程访访问方式式，包括括调制解解调器和和虚拟专专用网（（VPN）。将所有公公共访问问的服务务放在安安全保护护的非军军事区（（DMZ）网段。。在主机上上禁止所所有不需需要的服服务并隔隔离关键键的服务务。在个人主主机上使使用主机机防火墙墙软件以以限制主主机对攻攻击的暴暴露。创建和实实施口令令策略。。准备阶段段—不当操作作事故主要工作作推荐同组织机机构的人人力资源源和法务务部门一一起讨论论不当操操作事故故的处理理。同组织机机构的法法务部门门讨论责责任义务务问题。。配置网络络入侵检检测系统统以检测测某些类类型的不不正确使使用。日志记录录用户活活动的基基本信息息。配置所有有电子邮邮件服务务器以使使其不再再用于非非授权的的邮件转转发。在所有电电子邮件件服务器器上实施施垃圾邮邮件过滤滤软件。。实施URL过滤软件件。准备阶段段—多组件事事故多组件事事故使用集中中的日志志和事件件关联软软件。七、应急急响应服服务案例例目录互联网网网络安全全面临重重大挑战战什么是应应急响应应应急响应应组的组组建应急响应应服务的的过程应急响应应服务的的形式和和内容应急响应应准备阶阶段关键键措施推推荐应急响应应服务案案例应急响应应服务案案例僵尸网络络应急响响应国家XX局的主机机入侵应应急响应应XX证券公司司“红色色代码””病毒事事件应急急响应僵尸网络络应急响响应根据国家家计算机机网络应应急技术术处理协协调中心心（CNCERT/CC）2008年上半年年网络安安全工作作报告，，僵尸网络络发展迅迅速，逐渐成成为攻击击行为的的基本渠渠道，成成为网络络安全的的最大隐隐患之一一。相关事件件：2000年YAHOO、Ebay、CNN、Amazon等网站受受到不同同程度的的分布式式拒绝服服务攻击击2001年中国主主机提供供商虎翼翼网遭受受分布式式拒绝服服务（DDOS）攻击，，造成无无法估计计的损失失2002年10月——全球13个负责管管理因特特网寻址址系统的的根服务务商遭到到“分布布式拒绝绝服务（（DDOS）”攻击击2003年1月新网信信海科技技一台主主域名服服务商（（DNS服务器））遭到分分布式拒拒绝服务务（DDOS）攻击，，造成数数以千计计的网站站无法登登陆2005年1月10日，轰动动全国的的唐山““黑客””落网。。其造成成北京一一家音乐乐网站遭遭到一个个超过6万台电脑脑的“僵僵尸网络络”的““拒绝服服务（DOS）”攻击击。僵尸网络络应急响响应事件描述述自2004年10月6日某音乐乐下载网网站受到到持续大大流量拒拒绝服务务攻击，，10月21日攻击击峰值值流量量达到到1000Mb/s,直接导导致该该网站站用户户完全全无法法登录录。事件确确认该网站站在为为期一一个月月的时时间内内，每每天处处于间间歇性性攻击击中，，受到到攻击击的所所有服服务器器均为为Windows服务器器，受受到影影响最最大的的服务务器为为Web服务器器，初初步判判断，，这是是一次次典型型的DDoS攻击。。僵尸网网络应应急响响应遏制、、根除除和恢恢复该僵尸尸网络络通过过动态态域名名解析析，受受数个个IRC服务器器控制制，定定位IRC服务器器切断控控制渠渠道，，安装装查杀杀工具具植入伪伪Bot加入僵僵尸网网络，，过滤滤恶意意攻击击指令令，记记录攻攻击行行为僵尸网网络的的工作作原理理目前绝绝大多多数的的僵尸尸网络络是基基于IRC协议的的。IRC（RFC1459）是应应用层层协议议，它它的基基本功功能是是使人人们利利用一一个IRC频道相相互之之间实实时对对话，，极大大地方方便了了人们们之间间的信信息交交流。。IRC协议采采用客客户端端/服务器器模式式，客客户端端连接接到IRC服务器器，多多个IRC服务器器组成成服务务器网网络，，从一一个用用户到到另一一个用用户的的信息息可以以通过过服务务器网网络传传递，，即使使这些些用户户连接接到不不同的的服务务器。。IRC服务器器默认认的端端口是是TCP6667，通常常也可可以在在6000~7000端口范范围内内选择择，许许多IRCBot为了逃逃避常常规的的检查查，选选择443、8000、500等自定定义端端口。。IRCBotIRCBot的特点点只需支支持部部分IRC命令将收到到的消消息作作为命命令解解释执执行需要配配置的的信息息远程IRCServer的地址址、端端口号号（默默认TCP6667）频道名名认证码码Bot’sQuality高带宽宽资源源高可用用性－Alwayson低用户户警觉觉和监监视能能力－－未打打补丁丁、无无防火火墙等等防护护机制制位置－－远离离攻击击者本本土，，法律律不健健全及及执行行能力力弱IRCBotnet网网络结结构IRCBotnet的的全过过程1.Bot感染2.连接IRCServer3.动态域域名映映射4.加入私私密频频道5.Bot监听频频道，，等待待指令令6.攻击者者进入入频道道并发发出控控制指指令7.所有Bot根据指指令对对目标标发起起攻击击攻击预预兆兆和征征兆恶意活动可能的征兆针对特定主机的网络DoS系统不可用的用户报告无法解释的连接丢失网络入侵检测警报

主机入侵检测警报（直到主机过载）增加的网络带宽使用大量至单个主机的连接非对称的网络流量模式（大量流量进入主机，几乎没有流量从主机流出）防火墙和路由器日志记录项

有不正常源地址的包针对网络的网络DoS系统和网络不可用的用户报告无法解释的连接丢失网络入侵检测警报

增加的网络带宽使用非对称的网络流量模式（流量大量进入网络，几乎没有流量离开网络）防火墙和路由器日志记录项

有不正常源地址的包有不存在目的地址的包针对特定主机的操作系统的DoS系统和应用不可用的用户报告网络和主机入侵检测警报

操作系统

日志记录项

有不正常源地址的包针对特定主机的应用的DoS应用不可用的用户报告网络和主机入侵检测警报

应用日志记录项

有不正常源地址的包预兆响应侦查活动通常在DoS攻击之前，通常一个用于实际攻击的低流量来确定何种攻击有效。如果处理者检测到了不寻常的DoS攻击前的准备活动，组织机构能够迅速地转换安全状态来组织攻击，例如改变防火墙规则集来阻止一个特定的协议或者保护一个脆弱的主机。一个新近公布的DoS工具能对组织机构构成重大威胁。研究这个新工具，如果可能，更改安全控制使该工具不能对组织机构产生有效攻击。手工检检测和和清除除Bot实实例打开c