《应急响应精选PPT演示文稿》由会员分享,可在线阅读,更多相关《应急响应精选PPT演示文稿(61页珍藏版)》请在金锄头文库上搜索。
1、1,第11章 信息系统应急响应,李 剑 北京邮电大学信息安全中心 E-mail: 01086212346,2,目 录,应急响应概述 应急响应方法,3,概 述,进入21世纪的信息时代以来,计算机技术特别是网络技术的进步,给人们的生活带来很大的便利。然而在人们越来越依赖网络的同时,网络安全形势日趋严峻,大规模互联网攻击事件频繁发生。如2000年雅等网站遭到大规模拒绝服务攻击,2001年爆发了红色代码等蠕虫事件,2002年全球的根虎域名服务器遭到大规模拒绝服务攻击,2003年又爆发了SQL Slammer等蠕虫事件,其间还频繁发生着网页篡改和黑客竞赛等安全事件。,4,概 述,与此同时,我国的广大互联
2、网使用者还只是刚刚充分享受到互联网的乐趣,网民的整体安全意识薄弱,技术水平很低,加上国家在网络安全方面的法律法规不健全,与互联网攻击相应的法律法规的制定明显滞后。另外,在组织体系以及协调机制方面都存在很多不和谐不规范的地方,为此加强国内的网络安全建设,特别是加强信息安全应急响应的建设是一件紧急迫切的任务。为此国家还专门建立了中国计算机网络应急技术协调处理中心(CNCERT/CC,China Computer Emergency Response Team/Coordination Center)。,5,14.1 应急响应概述,在现实生活中应急响应这个环节往往没有得到用户真正的重视。用户总是觉得
3、已经投入了很多购置了全套的设备,不能理解为什么还要不断地支出一笔似乎看不到回报的费用。可是实际上现实经验越来越证明,缺少了高质量的应急响应,整个安全保障环节就好比一个上了大锁的监视系统但是却没有配备保卫人员的住所,攻击者总是可以想办法进入住所的。这里先介绍应急响应在P2DR2安全模型中的作用,再介绍什么是应急响应。,6,14.1.1 P2DR2安全模型,基于闭环控制的动态网络安全理论模型在1995年开始逐渐形成并得到了迅速发展,学术界先后提出了PDR、P2DR等多种动态风险模型,随着互联网技术的飞速发展,企业网的应用环境千变万化,现有模型存在诸多待发展之处。 P2DR2动态安全模型研究的是基于
4、企业网对象、依时间及策略特征的(Policy, Protection, Detection,Response,Restore)动态安全模型结构,由策略、防护、检测、响应和恢复等要素构成,是一种基于闭环控制、主动防御的动态安全模型,通过区域网络的路由及安全策略分析与制定,在网络内部及边界建立实时检测、监测和审计机制,采取实时、快速动态响应安全手段,应用多样性系统灾难备份恢复、关键系统冗余设计等方法,构造多层次、全方位和立体的区域网络安全环境,如图14.1所示。,7,14.1.1 P2DR2安全模型,一个良好的网络安全模型应在充分了解网络系统安全需求的基础上,通过安全模型表达安全体系架构,通常具备
5、以下性质:精确、无歧义,简单和抽象,具有一般性,充分体现安全策略。,8,14.1.1 P2DR2安全模型,在此安全模型中应急响应是安全保障工作中一个非常重要的环节。由于在防护和检测环节,通常比较成熟的应用都是针对已知特征来识别的,因此应急响应可以弥补前面各环节的不足的必要部分。在攻击和防御的对抗中,攻击方通常掌握着主动性和主观能动性,而防御方只有应急响应这个环节具备能够和攻击方相抗衡的能力。,9,14.1.2 应急响应的概念,英文中,紧急响应有两种表示法,即Emergency Response和Incident Response,其含义是指安全技术人员在遇到突发事件后所采取的措施和行动。而突发
6、事件则是指影响一个系统正常工作的情况。这里的系统包括主机范畴内的问题,也包括网络范畴内的问题,例如黑客入侵、信息窃取、拒绝服务攻击、网络流量异常等。一般来讲,在攻击开始以后,如果能够做到在系统被攻克之前发现攻击并进行有效的应对处理,使得攻击不能奏效或被化解,则可以说实现了安全。可见,是否能够做到及时发现和快速响应是实现安全的关键。,10,14.1.3 应急响应的目标和任务,应急响应通常需要达到的目标首先是要确认或排除突发事件的发生。在实际的工作中,用户大量的报警被发现是“虚惊一场”,特别是在现有的许多入侵检测系统中,其误报率是很大的。这时用户可能把各种由于其他原因导致的异常现象都归咎于受到某种
7、攻击所带来的结果。在一个案例中,有一个用户甚至用绝对肯定的口气说,他能够感觉到有人在他的计算机没有任何接口连入网络的情况下,被别人通过电源线实施了监控。从网管的角度来看,经常会面临各种流量异常的情况,其中有时候只是网络中用户应用情况的反映,而有时候却是网络中正在发生某种大量的攻击行为造成的。,11,14.1.3 应急响应的目标和任务,应急响应的第一项任务就是要尽快恢复系统或网络的正常运转。在有些情况下,用户最关心的是多长时间能恢复正常,因为系统或网络的中断是带来损失的主要方面。这时候应急工作的一个首要任务就是尽快使一切能够相对正常地运行。 应急响应的第二项任务就是要使系统和网络操作所遭受的破坏
8、最小化。通过收集积累准确的数据资料,获取和管理有关证据。在应急的过程中注意记录和保留有关的原始数据资料,为下一阶段的分析和处理提供准确可信的资料。 最后应急响应要提供准确的分析统计报告和有价值的建议,在响应工作结束时提交的分析。,12,14.1.4 计算机应急响应组织,随着网络信息系统在政治、军事、金融、商业、文教等方面发挥越来越大的作用,社会对网络信息系统的依赖也日益增强。而不断出现的软硬件故障、病毒发作、网络入侵、天灾人祸等安全事件也随之变得非常突出,由于安全事件的突发性、复杂性与专业性,为了有备无患,需要建立计算机安全事件的快速发应机制,“计算机安全应急响应组”应运而生。,13,14.1
9、.4 计算机应急响应组织,网络应急响应与救援就是对国内外发生的有关计算机安全的事件进行实时响应与分析,提出解决方案和应急对策,来保证计算机信息系统和网络免遭破坏。在1988年11月的“Internet worm”事件之后1周,美国国防部(DoD)在Carnegie Mellon大学的软件工程研究所成立了全球最早的计算机应急响应协调中心(CERT/CC,Computer Emergency Response Team/Coordination Center),对计算机安全方面的事件做出反应、采取行动,CERT?/CC是目前网络安全方面最权威的组织,提供最新的网络安全漏洞及方案。现在许多组织都有了
10、CERT/CC,比如中国计算机网络应急处理协调中心CNCERT/CC( TERENA 的CERT EuroCERT(,14,14.1.4 计算机应急响应组织,由于应急响应组之间不仅存在语言、时区及性质的差异,而且面向不同的用户群体,属于不同的国家或组织,他们之间的交流与合作存在着极大的困难,在这种情况下,1990年11个应急响应安全组织成立了事件响应与安全组论坛(FIRST,Forum of Incident Response and Security Teams),到2001年底FIRST已经包括全球100多个应急响应安全组织。,15,14.1.4 计算机应急响应组织,在综合的WPDRRC(
11、预警、保护、检测、反应、恢复和反击)信息安全保障体系中,应急响应与救援处于一个重要的环节,CERT/CC是实现信息安全保障的核心组织体现。目前各国的CERT/CC主要提供以下几种基本服务。,16,14.1.4 计算机应急响应组织,(1) 安全事件的热线响应。如果网络受到攻击者入侵、病毒感染,或者发生了其他安全相关的事件,可以通过电子邮件、在线呼叫、热线电话向CERT报告,CERT根据事件的紧急程度提供相应的帮助、建议与救援。 (2) 检查入侵来源。完成入侵的取证工作,用于将来的法律诉讼。 (3) 恢复系统正常工作。 (4) 事故分析。以便将来避免类似安全事件的发生。 (5) 发布安全警报、安全
12、公告、安全建议。只有当出现最严重的安全问题时CERT才发布安全警报,一般的安全问题则以安全公告的形式发布。 (6) 咨询。解决用户安全方面的求助。 (7) 风险评估。CERT定期对特定的网络和系统进行风险评估,以便及时的发现网络和系统安全存在的安全隐患。 (8) 安全教育培训。为其他组织培训安全技术人员。 (9) 协助其他组织成立自己的CERT,建立网络应急与救援队伍。,17,14.2 应急响应的阶段,我国在应急响应方面的起步较晚,按照国外有关材料的总结,通常把应急响应分成几个阶段的工作,即准备、事件检测、抑制、根除、恢复、报告等阶段。 1. 准备阶段 在事件真正发生之前应该为事件响应作好准备
13、,这一阶段十分重要。准备阶段的主要工作包括建立合理的防御/控制措施,建立适当的策略和程序,获得必要的资源和组建响应队伍等。 2. 检测阶段 检测阶段要做出初步的动作和响应,根据获得的初步材料和分析结果,估计事件的范围,制订进一步的响应战略,并且保留可能用于司法程序的证据。,18,14.2 应急响应的阶段,3. 抑制阶段 抑制的目的是限制攻击的范围。抑制措施十分重要,因为太多的安全事件可能迅速失控。典型的例子就是具有蠕虫特征的恶意代码的感染。可能的抑制策略一般包括:关闭所有的系统;从网络上断开相关系统;修改防火墙和路由器的过滤规则;封锁或删除被攻破的登录账号;提高系统或网络行为的监控级别;设置陷
14、阱;关闭服务;反击攻击者的系统等。 4. 根除阶段 在事件被抑制之后,通过对有关恶意代码或行为的分析结果,找出事件根源并彻底清除。对于单机上的事件,主要可以根据各种操作系统平台的具体的检查和根除程序进行操作就可以了;但是大规模爆发的带有蠕虫性质的恶意程序,要根除各个主机上的恶意代码,是十分艰巨的一个任务。很多案例的数据表明,众多的用户并没有真正关注他们的主机是否已经遭受入侵,有的甚至持续一年多,任由他感染蠕虫的主机在网络中不断地搜索和攻击别的目标。造成这种现象的重要原因是各网络之间缺乏有效的协调,或者是在一些商业网络中,网络管理员对接入到网络中的子网和用户没有足够的管理权限。,19,14.2
15、应急响应的阶段,5. 恢复阶段 恢复阶段的目标是把所有被攻破的系统和网络设备彻底还原到它们正常的任务状态。恢复工作应该十分小心,避免出现误操作导致数据的丢失。另外,恢复工作中如果涉及到机密数据,需要额外遵照机密系统的恢复要求。对不同任务的恢复工作的承担单位,要有不同的担保。如果攻击者获得了超级用户的访问权,一次完整的恢复应该强制性地修改所有的口令。 6. 报告和总结阶段 这是最后一个阶段,但却是绝对不能够忽略的重要阶段。这个阶段的目标是回顾并整理发生事件的各种相关信息,尽可能地把所有情况记录到文档中。这些记录的内容,不仅对有关部门的其他处理工作具有重要意义,而且对将来应急工作的开展也是非常重要
16、的积累。,20,14.2 应急响应的阶段,5. 恢复阶段 恢复阶段的目标是把所有被攻破的系统和网络设备彻底还原到它们正常的任务状态。恢复工作应该十分小心,避免出现误操作导致数据的丢失。另外,恢复工作中如果涉及到机密数据,需要额外遵照机密系统的恢复要求。对不同任务的恢复工作的承担单位,要有不同的担保。如果攻击者获得了超级用户的访问权,一次完整的恢复应该强制性地修改所有的口令。 6. 报告和总结阶段 这是最后一个阶段,但却是绝对不能够忽略的重要阶段。这个阶段的目标是回顾并整理发生事件的各种相关信息,尽可能地把所有情况记录到文档中。这些记录的内容,不仅对有关部门的其他处理工作具有重要意义,而且对将来应急工作的开展也是非常重要的积累。,21,14.3 应急响应的方法,这一节介绍一些Windows、Unix、Linux下的一些常用的应急响应方法。这些方法都是在实际当中使用比较有效的方法。,22,14.3.1 Windows系统应急响应方法,在Windows操作系统下,如果某一天,当使用计算机的时候,发现计算机出现诸如硬盘灯不断闪烁、鼠标乱动、使用起来非常慢、内存使用率非常高、CPU使用率非常
