《浅述网络安全应急响应系统》由会员分享,可在线阅读,更多相关《浅述网络安全应急响应系统(15页珍藏版)》请在金锄头文库上搜索。
1、浅述网络安全应急响应系统_术专题NetworkTechnologyII浅述网络安全应急响应系统文/国家广电总局无线局信息化办公室潘峰/1网络安全应急响应概述随着网络技术飞速发展,网络重要性的不断提高,隐藏其中的各种危险也越来越明显,然而,现实中的入侵检测工具离完善还有很大距离.因此,完善的网络安全体系要求在保护体系之外还必须有应急响应体系,使得网络安全事件发生时,能够得到迅速的控制,以期尽可能地减小甚至避免损失.因为网络信息系统的多样性和异构性,单一层面上的网络安全防护手段和方法已经无法解决现在错综复杂的网络安全问题.现在的网络安全解决方案需要的是一个综合多层面安全技术,多项产品的网络安全防护
2、和保障体系.实践证明,只有实施和部署可管理的网络安全组件,才有可能实现真正的网络安全同时,不是以纯人工方式,而是尽可能结合程序自动化方式对管理网络中重要网络资源等安全事件源的安全日志信息进行分析,使得在发生网络服务故障,检测到违规行为的时候,IT_T_作人员能够进行及时响应,迅速恢复,将因此而引起的风险减至最低.只有这样,才能使保证网络中信息自动化服务正常有效运行的网络安全管理平台安全可靠.综上所述,要在现代网络环境中有效地提供网络信息自动化服务,首先应该解决以下几方面的问题:(1)如何实现对网络安全策略进行集中,统一的管理,尽可能地消除或者降低网络安全策略在实施中所涉及到的一切人的因素的负面
3、影响.摘要:本文对基于网络的网络安全应急响应系统的必要性,总体目标和主要功能进行了分析和阐述,同时还介绍了网络安全应急响应系统的模型和基本处理流程.关键词:网络安全应急响应系统总体目标主要功能系统模型(2)如何实现对所有网络安全组件的集中配置和统一管理,从而可以将制定的网络安全策略规则,实施到每一个具体的网络安全组件中去.(3)如何实现对所有网络安全组件的安全事件的集中审分析和报告,以达到实时检测和迅速恢复网络故障,保障网络信息自动化服务正常运行.(4)如何实现对网络安全故障应急响应工作进行有效性的管理.(5)如何实现对安全组件的互动关系进行管理和配置,使得在检测网络违规行为后,可以迅速在管理
4、网络范围内进行一致化响应,以防止进一步的破坏或者对再次攻击进行封锁.作为网络安全问题的全面解决方案,网络安全应急响应是网络安全管理系统的重要组成部分,是保证对网络违规行为进行一致化响应的重要工具,具有重要的现实和经济意义.2网络安全与应急响应2.1网络安全一般意义上,网络安全是指信息安全和控制安全两个部分.信息安全是指信息的完整性,可用性,保密性和可靠性;控制安全是指身份认证,不可否认I生,授权和访问控制等.2.1.1网络安全目标通常网络安全要达到的目标有以下几个方面:(1)确认或排除突发事件的发生与否.(2)促进准确信息的积累.(3)对正确获取和证据管理进行控制.(4)保护计算机网络使用者的
5、隐私权.(5)使计算机网络遭受的损失最小化.(6)为司法提供可用证据.(7)提供准确的报告和有价值的建议.传统的网络信息安全有7个屙1生j即保密性,完整性,可用性,真实性,不可否认性,可追究性和可控性/可治理性.信息安全的目标是要确保全局的掌控,确保整个体系的完整性,而不仅限于局部系统的完整性;对于安全问题,事件的检测要能够汇总和综合到中央监控体系,确保可追究性是整个体系的可追究性.2.1_2信息安全模型根据我国国情,我国专家提出了”预警,保护,检测,反应,恢复,反击”的动态安全管理模型,使信息安全保障技术体系立足于更坚实的基础之上.2-2应急响应随着网络技术及相关技术的发展,以前采取的传统的
6、,静态的安全保密措施已不足以抵御计算机黑客入侵或有组织的信息手段攻击,必须建立一种全新的安全防护及管理机制,以应对日益严峻的网络安全状况.2.2_1应急响应定义所谓应急响应即”IncidentResponse”或”EmergencyResponse”,通常是指一个组织为了应付各种突发事件的发生所做的准备,以及在事件发生后所采取的措施.简单地说,应急响应就是指对突发安全事件进行向应,处理,恢复,跟踪的方法及过程.2.2_2应急响应的对象安全事件56IIf111=/RADIO&TELEVISIONINFORMATIONII2011年5月I1wwwtti.Cl1I网络技术/图1信息安全的生命
7、周期应急响应的开始是因为有”事件”发生.”事件”是指影响计算机系统和网络安全的不当行为.目前,发生在互联网上的安全事件种类越来越多,呈现出如下特点:(1)入侵者难以追踪.(2)拒绝服务攻击发生频繁.(3)攻击者需要的技术水平逐渐降低但危害增大.(4)联合攻击.2.2.3应急响应的内容事件响应“事件响应”是指安全事件发生后采取的措施和行动.网络安全事件响应作为一种安全服务,其完整的活动内容应包括:(1)未雨绸缪:即在事件发生前,事先做好准备.(2)亡羊补牢:在事件发生后,所采取的措施,其目的在于把事件造成的损失降到最小.2_2.4应急响应的必要性应急响应的必要性主要表现在如下几方面:(1)安全事
8、件影响的严重性.(2)安全漏洞的普遍性.(3)攻击和恶意代码的流行.(4)入侵检测能力的局限性.(5)网络和系统管理的复杂性.(6)法律方面.2_2_5应急响应与安全生命周期我们把计算机信息系统的安全系统看作一个动态的过程,它包括制定风险评估,实施事前的预防措施,实施事中的检测措施以及实施事后的应急响应等四个阶图2应急响应方法学PDCERF模型段,这四个阶段形成了一个生命周期,如图1所示.上述生命周期全面,实际地概括了网络安全体系.可以看出,应急响应必须放在这个网络安全体系中进行研究,并作为其中重要的一环.3应急响应方法学与网络安全应急响应系统模型为了更好,更迅速有效地对网络安全事件进行应急响
9、应,本节将介绍在应急响应领域得到广泛应用的应急响应方法学.由于该方法学更多是面向应急响应组的,本节将首先介绍应急响应组的基本概念,在此基础上再提出网络安全应急响应系统模型和系统工作流程.3_1应急响应方法学应急响应方法学是研究事件响应过程的科学,它通过定义响应的各个阶段,明确响应的任务,顺序和过程,有助于在一个组织混乱的状态下迅速恢复控制:能够提高事件响应的效率:形成提高事件响应处理过程的机制;有助于对意外情况的处理.应急响应方法学(PDCERF)六阶段包括准备(PreparatoryWorks),检测(Detec-tionMechanisms),0带0(ContainmentStrat-eg
10、ies),根除(EradicationProcedures),恢复(RecoverySteps),跟踪(FollowUpReviews)等,应急响应方法学PDCERF模型如图2所不03_2应急响应组应急响应中最重要的主体是应急响应组.应急响应组(CSIRT)作为应急响应过程中决定性的力量,是应急响应的主要决策和执行者,也是应急响应各阶段的指导者.但是,应急响应组只是应急响应的组织形式中最基本,也是最普遍的一种.3.2.1CSIRT简介应急响应组(CSIRT)是专门处理安全事件的组织,CSlRT中的每个成员都应有明确定义的职责,以确保能对每一个方面做准备卜叫检测卜叫抑制_.1根除卜_.I恢复r_
11、.1跟踪NetworkTechnologyII出响应.其职责包括:(1)监视系统中的安全违规操作.(2)作为信息沟通中心,既负责接收安全事件报告,又负责将关于安全事件的重要信息通知有关各方c(3)记录整理安全事件.(4)提高公司员工的安全意识,以防安全事件从该组织内部发生.(5)通过诸如漏洞评估和渗透测试等过程,支持系统和网络审核.(6)掌握攻击者所攻击的漏洞和攻击策略的最新动态.(7)保证使用最新的软件修补程序.(8)分析并开发新技术,以使安全漏洞和风险减至最少.(9)提供安全咨询服务.(1O)不断强化和更新当前的安全系统和安全步骤.3-2.2CSIRT小组成员(1)CSIRT小组领导人.C
12、SIRT小组领导人通常负责CSIRT的活动,并对J组活动进行协调和检查.(2)CSIRT事件负责人.CSIRT事件负责人在发生事件时,负责协调整个响应行动.(3)CSIRT助理成员.除了核心CSIRT小组外,还应让一些特定的人员参与特定事件的处理和响应行动.他们专门负责受到安全事件影向,但不应由核心CSIetworkTechnology/应系统将作为一个管理安全事件应急响应的协调中心,它起到连接网络与响应工程师之间的桥梁作用,主要完成以下功能:(1)制定安全策略,建立应急预案,为响应做准备.(2)检测并分析在网络中发生的安全事件,并根据相关安全策略作初步响应.(3)基于WEB方式的工单管理系统
13、,通过各种方式通知响应工程师处理安全事件.(4)根据权威组织的规范,定义安全事件应急响应过程.(5)进行安全事故归档管理,并建立相关知识库.网络安全应急响应系统的具体工作流程如图4所示.4网络安全应急响应系统的目标及功能4.1系统的总体目标构建基于网络的半自动化应急向应平台,将应急响应时间缩短到最小,并确保严格依从应急响应策略.应急响应系统将集中管理事件的响应工作,所有的应急响应相关人员均可以从该平台获得必要的信息和权限去执行应急响应任务.4_2半自动化应急响应半自动化应急响应是指对应急响应网络化支持的主动实现.其应用表现在:(1)自动通知应急响应人员:自动通知功能保证以尽可能快速和可达的方式
14、将事故发生的情况通知给相应的应急响应人员.(2)事故通知的自动生成:事故通知的自动生成功能,可将事故信息处理成适合应急响应工作的通知信息,代替人工的整理.(3)主动的知识库帮助:主动的知识库帮助可根据事故的信息主动对应急响应人员进行帮助,如给予解决方案,工具等的支持.(4)应急响应跟踪:应急响应跟踪是一个智能化逻辑程序的实现,用于代替人工对事故应急响应过程的监督和审核.半自动化的概念还表现在使用本系统进行应急响应时,自动过程的可配置性.在本系统中的自动过程,既可配置为人工参与,也可以配置成无须人工参与.同时,对应一些需要人工参与的过程,提供71:1:较灵活的处理方式,如事故通知确认,事故通知确认要求接受事故通知的应急响应人员使用标准的方式确认收到或者可以处理事故;当接受通知的人员没有确认(无法处理)或者设置了将通知转移到其他人员的时候,系统会根据一种策略找到当前最合适的人员或者指定的人员去处理安全事故.4.3网络安全应急响应系统的功能网络安全应急响应系统是网络安全应急响应的综合管理系统,它具有如下六个部分功能:第一部分是应急响应梯队管理.它主要是为应急响应建立人员梯队的准备.第二部分是事故管
