计算机应急响应与我国互联网应急处理体系 (…
2008-04-02 10:57:44来源:互联网 阅读 ()
2.怎样才算安全
信息安全技术领域中最著名的一个安全模型叫PPDRR模型,是指实现安全所需的五个环节,即设定安全策略、采取防护措施、检测安全事件、响应处理和恢复。这个模型表面上没有给出“安全”的定义,但却含有如下两点内容:
(1)“天下太平”不等于“安全”
实际上也不会有“天下太平”。因此要具备安全防护能力,即抗攻击能力。
(2)被动防守不能做到安全
应该发现攻击并采取积极措施进行处理。
那么该怎样定义安全呢?一般来讲,在攻击开始以后,如果能够做到在系统被攻克之前发现攻击并进行有效的应对处理,使得攻击不能奏效或被化解,则可以说实现了安全。可见,是否能够做到及时发现和快速响应是实现安全的关键。
3.什么是应急处理
应急处理实际上是网络安全保障工作的具体体现。各种防护方案、安全设施、策略规定等,广义上都可以理解为应急处理工作的一部分。而完整的应急处理工作的各个阶段,则体现了网络安全保障的不间断过程。
(1)及时发现是安全保障的第一要求
这是应急处理的基本前提。做到及时发现和准确判断,应该尽可能的了解全局的情况,但是局部的数据往往会反映出事件的一角。例如网管人员发现网络的异常流量可能是由于新蠕虫的传播造成的,不同网管的报告汇总在一起就能够判断事件的性质和规模。
(2)确保恢复是安全保障的第一目标
应急处理的两个根本性目标是确保恢复、追究责任。除非是″事后″处理的事件,否则应急处理人员首先要解决的问题是如何确保受影响的系统恢复正常的功能。追究责任涉及到法律问题,一般用户单位或第三方支援的应急处理人员主要起到配合分析的作用,因为展开这样的调查通常需要得到司法许可。
(3)建立应急组织和应急 体系
这是国家网络安全保障的必要条件。当前网络安全事件的特点决定了单一的应急组织已经不能应对当今的网络安全威胁,我国的应急体系正是在实际工作的经验总结中逐渐形成的,并仍在在不断补充和完善中。
在缺乏体系保障的情况下,单个组织无法处理管理范围之外的攻击来源,而不得不把自己层层保护起来,最终造成自己的网络被“隔离”。
在一个应急体系下,多个组织协同配合,分别处理各自范围内的攻击源,整个网络仍然有效的运转。
4.应急处理的一般阶段
(1) 第一阶段:准备
此阶段以预防为主。
微观上的工作包括:
·帮助服务对象建立安全政策;
·帮助服务对象按照安全政策配置安全设备和软件;
·扫描、风险分析、打补丁;
·如有条件且得到许可,建立监控设施。
宏观上的工作包括:
·建立协作体系和应急制度;
·建立信息沟通渠道和通报机制;
·如有条件,建立数据汇总分析的体系和能力;
·有关法律法规的制定。
(2)第二阶段:确认
确定事件性质和处理人选。
微观上的工作包括:
·确定事件责任人人选,即指定一个责任人全权处理此事件并给予必要资源;
·确定事件性质和影响的严重程度,预计采用什么样的专用资源来修复。
宏观上的工作包括:
·通过汇总,确定是否发生了全网的大规模事件;
·确定应急等级,决定启动哪一级应急方案。
(3)第三阶段:遏制
及时采取行动遏制事件发展。
微观上的工作包括:
·初步分析,重点确定适当的遏制方法,如隔离;
·咨询安全政策;
·确定进一步操作的风险,控制损失保持最小;
·列出若干选项,讲明各自的风险,应该由服务对象来做决定。
宏观上的工作包括:
·确保封锁方法对各网业务影响最小;
·通过协调争取各网一致行动,实施隔离;
·汇总数据,估算损失和隔离效果。
(4)第四阶段:根除
彻底解决问题隐患。
微观上的工作包括:
·分析原因和漏洞;
·进行安全加固;
·改进安全策略。
宏观上的工作包括:
·加强宣传,公布危害性和解决办法,呼吁用户解决终端问题;
·加强检测工作,发现和清理行业与重点部门的问题。
(5)第五阶段:恢复
微观上的工作包括:
·被攻击的系统由备份来恢复;
·做一个新的备份;
·对所有安全上的变更作备份;
·服务重新上线并持续监控。
宏观上的工作包括:
·持续汇总分析,了解各网的运行情况;
·根据各网的运行情况判断隔离措施的有效性;
·通过汇总分析的结果判断仍然受影响的终端的规模;
·发现重要用户及时通报解决;
·适当的时候解除封锁措施。
(6)第六阶段:跟踪
·关注系统恢复以后的安全状况,特别是曾经出问题的地方;
·建立跟踪文档,规范记录跟踪结果;
·对响应效果给出评估;
·对进入司法程序的事件,进行进一步的调查,打击违法犯罪活动。
[page]
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
应急响应组织和体系的建设
1.国际应急组织的发展
(1)全球第一个计算机应急处理协调中心的诞生
1988年11月,美国康乃尔大学学生莫里斯编写一个“圣诞树”蠕虫程序,该程序可以利用因特网上计算机的sendmail的漏洞、fingerD的缓冲区溢出及REXE的漏洞进入系统并自我繁殖,鲸吞因特网的带宽资源,造成全球10%的联网计算机陷入瘫痪。这起计算机安全事件极大地震动了美国政府、军方和学术界,被称作“莫里斯事件”。
事件发生之后,美国国防部高级计划研究署(DARPA)出资在卡内基-梅隆大学(CMU)的软件工程研究所(SEI)建立了计算机应急处理协调中心。该中心现在仍然由美国国防部支持,并且作为国际上的骨干组织积极开展相关方面的培训工作。
自此,美国各有关部门纷纷开始成立自己的计算机安全事件处理组织,世界上其他国家和地区也逐步成立了应急组织。
(2)国际应急处理的国际化
1990年11月,由美国等国家应急组织发起,一些国家的CERT组织参与成立了计算机事件响应与安全工作组论坛 (FIRST:Forum of Incident Response and Security Team)。
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
上一篇:防范间谍软件入侵的三个防护措施
下一篇:“安全渗透”折射 企业网发展
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash
