计算机应急响应与我国互联网应急处理体系 (…

　　FIRST的基本目的是使各成员能在安全漏洞、安全技术、安全管理等方面进行交流与合作，以实现国际间的信息共享、技术共享，最终达到联合防范计算机网络攻击行为的目标。
FIRST组织有两类成员，一是正式成员，二是观察员。截止到2003年8月，FIRST的正式成员达到151个。我国的国家计算机网络应急技术处理协调中心（CNCERT／CC）于2002年8月成为FIRST的正式成员。
　　FIRST组织有一个由十人构成的指导委员会，负责对重大问题进行讨论，包括接受新成员。新成员的加入必须有推荐人，并且需要得到指导委员会2／3的成员同意。
　　FIRST的技术活动除了各成员之间通过保密通信进行信息交流外， 每季度还开一次内部技术交流会，每年开一次开放型会议。通常是在美国和其他国家交替进行。
2．我国应急处理体系的发展
　　（1）应急体系的产生
　　与美国第一个应急组织诞生的原因类似，我国应急体系的建立也是由于网络蠕虫事件的发生而开始，这次蠕虫事件就是发生在2001年8月的红色代码蠕虫事件。
　　由于红色代码集蠕虫、病毒和木马等攻击手段于一身，利用Ｗｉｎｄｏｗｓ操作系统一个公开漏洞作为突破口，几乎是畅通无阻地在互联网上疯狂地扩散和传播，迅速传播到我国互联网，并很快渗透到金融、交通、公安、教育等专用网络中，造成互联网运行速度急剧下降，局部网络甚至一度瘫痪。
　　当时我国仅有几个力量薄弱的应急组织，根本不具备处理如此大规模事件的能力，而各互联网运维部门也没有专门的网络安全技术人员，更没有互相协同处理的机制，各方几乎都束手无策。
　　紧要关头，在CNCERT／CC的建议下，信息产业部组织了各个互联网单位和网络安全企业参加的应急响应会，汇总了全国当时受影响的情况，约定了协调处理的临时机制，确定了联系方式，并最终组成了一个网络安全应急处理联盟。
　　2001年10月，信息产业部提出建立国家计算机紧急响应体系，并且要求各互联网运营单位成立紧急响应组织，能够加强合作、统一协调、互相配合。自此，我国的应急体系应运而生。
　　目前，我国应急处理体系已经经历了从点状到树状的发展过程，并正在朝网状发展完善，最终要建设成一个覆盖全国全网的应急体系。
　　（2）当前的应急处理体系
　　我国当前的网络应急体系是在国家网络与信息安全协调小组办公室领导下建设的，分为国家级政府层次、国家级非政府层次和地方级非政府层次等三个层面。
　　·国家级政府层次由信息产业部互联网应急处理协调办公室为中心，向下领导国家级非政府层次的工作，横向与我国其他部委之间进行协调联系，同时负责与国外同层次的政府部门（如APEC经济体）之间进行交流和联系；
　　·国家级非政府层次以CNCERT／CC为中心，向上接受信息产业部的领导，向下领导其遍布全国各省的分中心的工作，协调各个骨干互联网单位CERT 小组的应急处理工作，协调和指导国家计算机病毒应急处理中心、国家计算机网络入侵防范中心和国家863计划反计算机入侵和防病毒研究中心等三个专业应急组织的工作，指导公共互联网应急处理国家级试点单位的应急处理工作；CNCERT／CC同时还负责与国际民间CERT组织之间的交流和联系，负责利用自身的网络安全监测平台对全国互联网的安全状况进行实时监测。在这个层次中，还有正在建设中的信息产业部网络安全、信息安全和应急处理等三个专业的重点实验室，其任务是进行专门的技术研究，为CNCERT／CC开展应急处理协调工作提供必要的技术支撑。
　　地方级非政府层次主要以CNCERT／CC各省分中心为中心，协调当地的IDC应急组织、指导公共互联网应急处理服务省级试点单位开展面向地方的应急处理工作。
　　整个体系由国家网络与信息安全协调小组、信息产业部、CNCERT／CC及其各省分中心构成核心框架，协调和指导各互联网单位应急组织、专业应急组织、安全服务试点单位和地方IDC应急组织共同开展工作，各自明确职责和工作流程，形成了一个有机的整体。
　　（3）CNCERT／CC
　　CNCERT／CC成立于2000年10月，主要职责是协调我国各计算机网络安全事件应急小组，共同处理国家公共电信基础网络上的安全紧急事件，为国家公共电信基础网络、国家主要网络信息应用系统以及关键部门提供计算机网络安全的监测、预警、应急、防范等安全服务和技术支持，及时收集、核实、汇总、发布有关互联网安全的权威性信息，组织国内计算机网络安全应急组织进行国际合作和交流。
　　其从事的工作内容包括：
　　·信息获取：通过各种信息渠道与合作体系，及时获取各种安全事件与安全技术的相关信息；
　　·事件监测：及时发现各类重大安全隐患与安全事件，向有关部门发出预警信息，提供技术支持；
　　·事件处理：协调国内各应急小组处理公共互联网上的各类重大安全事件，同时，作为国际上与中国进行安全事件协调处理的主要接口，协调处理来自国内外的安全事件投诉；
　　·数据分析：对各类安全事件的有关数据进行综合分析，形成权威的数据分析报告；
　　·资源建设：收集整理安全漏洞、补丁、攻击防御工具、最新网络安全技术等各种基础信息资源，为各方面的相关工作提供支持；
　　·安全研究：跟踪研究各种安全问题和技术，为安全防护和应急处理提供技术和理论基础；
　　·安全培训：进行网络安全应急处理技术及应急组织建设等方面的培训；
　　·技术咨询：提供安全事件处理的各类技术咨询；
　　·国际交流：组织国内计算机网络安全应急组织进行国际合作与交流。
CNCERT／CC 2003年应急处理案例

　　CNCERT／CC在2003年共计接到1．3万次以上的事件报警，其中影响较大的事件有如下四个方面：
　　·网络蠕虫事件，如ＳＱＬ Ｓｌａｍｍｅｒ蠕虫、口令蠕虫、冲击波蠕虫等；
　　·DDOS攻击事件，部分政府网站和大型商业网站遭到了攻击；
　　·网页篡改事件，全国共有435台主机上的网页遭到篡改，其中包括143个主机上的33７个政府网站在内；
　　·网络欺诈事件，处理了澳大利亚和中国香港等CERT组织报告的几起冒充金融网站的事件。
　　下面选择几个事件简要介绍一下。
1． ＳＱＬ Ｓｌａｍｍｅｒ蠕虫事件
　　2003年1月25日中午接到举报，发现网络流量异常，经过与各个互联网应急小组核实后，初步判断是一起新的网络蠕虫事件，并立即向全网进行预警通报。

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有