网络安全应急与管理.ppt

1、 Legal and Ethical Aspects(法律与道德问题法律与道德问题)网络引发的法律问题网络引发的法律问题网络引发的法律问题网络引发的法律问题l攻击攻击l恶意代码恶意代码l管理失误管理失误l泄密泄密l传播不良信息传播不良信息l利用网络进行违法活利用网络进行违法活动的通信指挥动的通信指挥l散布谣言，制造恐慌散布谣言，制造恐慌动乱动乱l网络上实施经济犯罪网络上实施经济犯罪l网络上实施民事侵权网络上实施民事侵权针对网络的行为引发的法律问题利用网络的行为引发的法律问题罪与非罪罪与非罪罪与非罪罪与非罪刑法刑法刑法刑法285285条条条条l违反国家规定，侵入国家事务、国防建设、违反国家规定，

2、侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。三年以下有期徒刑或者拘役。罪与非罪罪与非罪罪与非罪罪与非罪刑法刑法刑法刑法287287条条条条l利用计算机实施金融诈骗、盗窃、贪污、挪利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其它犯罪的，依用公款、窃取国家秘密或者其它犯罪的，依照本法有关规定定罪处罚。照本法有关规定定罪处罚。Computer Emergency Response Technology（计算机应急处理技术）（计算机应急处理技术）攻击复杂度与攻击者的技术水平攻击复杂度与攻击者的技术水平高

3、高低低19801985199019952000猜口令猜口令自我复制程序自我复制程序口令破解口令破解攻击已知漏洞攻击已知漏洞破坏审计破坏审计后门程序后门程序干扰通信干扰通信手动探测手动探测窃听窃听数据包欺骗数据包欺骗图形化界面图形化界面自动扫描自动扫描拒绝服务拒绝服务www攻击攻击工具工具攻击者攻击者攻击者的攻击者的知识水平知识水平攻击的复杂度攻击的复杂度隐秘且高级的扫描工具隐秘且高级的扫描工具偷窃信息偷窃信息网管探测网管探测分布式攻击工具分布式攻击工具新型的跨主机工具新型的跨主机工具Cost of CapabilityAvailability of Capability195519601970

4、19751985InvasionPrecision GuidedMunitionsComputerStrategicNuclearWeaponsCruise MissileCost&Means of Attack1945TodayMissilesICBM&SLBMInternet Internet 的安全问题的产生的安全问题的产生的安全问题的产生的安全问题的产生lInternet起于研究项目起于研究项目,安全不是主要的考虑安全不是主要的考虑l少量的用户，多是研究人员少量的用户，多是研究人员,可信的用户群体可信的用户群体l可靠性可靠性(可用性可用性)、计费、性能、计费、性能、配置、安全、配置、安

5、全l“Security issues are not discussed in this memo”l网络协议的开放性与系统的通用性网络协议的开放性与系统的通用性l目标可访问性，行为可知性目标可访问性，行为可知性l攻击工具易用性攻击工具易用性lInternet 没有集中的管理权威和统一的政策没有集中的管理权威和统一的政策l安全政策、计费政策、路由政策安全政策、计费政策、路由政策计算机应急响应组织产生并得以发计算机应急响应组织产生并得以发计算机应急响应组织产生并得以发计算机应急响应组织产生并得以发展的原因展的原因展的原因展的原因9在信息时代，我们每个组织、每个人、每天都在面对着形形色色的网络安全

6、问题，安全事件不再是发生在别人身上的事件。网络空间无时无刻地处在有能力发现并且利用信息技术脆弱性的恶意个体和组织的攻击之下。尽管我们通过诸多技术的、管理的、操作的方法来应对安全事件，但迄今为止，我们尚未找到某种技术防护措施或实施某些安全策略来对信息系统提供绝对的保护。这就是计算机应急响应组织应运而生并且得以蓬勃发展的理由。什么是安全事件什么是安全事件什么是安全事件什么是安全事件q安全事件安全事件 是那些影响计算机系统和网络安是那些影响计算机系统和网络安全的不当行为，例如：全的不当行为，例如：盗取帐号盗取帐号黑掉网页黑掉网页非法获取其他用户的口令非法获取其他用户的口令传播计算机病毒传播计算机病毒

7、发送垃圾包发送垃圾包等等等等什么是应急响应什么是应急响应什么是应急响应什么是应急响应q是指一个组织为了应对各种意外事件的发生所是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施和行做的准备以及在事件发生后所采取的措施和行为，其目的是避免、降低危害和损失，以及从为，其目的是避免、降低危害和损失，以及从危害和损失中恢复。危害和损失中恢复。q应急响应除了技术之外还需要其他技能，如管应急响应除了技术之外还需要其他技能，如管理能力、协调能力、法律知识、事件描述技巧、理能力、协调能力、法律知识、事件描述技巧、甚至心理学知识甚至心理学知识(特别是处理来自内部的攻击时特别是处理来自内

8、部的攻击时)应急处理的由来应急处理的由来应急处理的由来应急处理的由来“莫里斯事件莫里斯事件”又称又称“蠕虫事件蠕虫事件”。19881988年年1111月，月，美国美国CornellCornell大学学生大学学生MorrisMorris编写一个编写一个“圣诞树圣诞树”蠕虫程序，该程序可以利用因特网上计算机的蠕虫程序，该程序可以利用因特网上计算机的sendmailsendmail的漏洞、的漏洞、fingerDfingerD的缓冲区溢出及的缓冲区溢出及REXEREXE的的漏洞进入系统并漏洞进入系统并自我繁殖，鲸吞因特网的带宽资自我繁殖，鲸吞因特网的带宽资源，造成全球源，造成全球10%10%的联网计算

9、机陷入瘫痪。这起计的联网计算机陷入瘫痪。这起计算机安全事件极大地震动了美国政府、军方和学算机安全事件极大地震动了美国政府、军方和学术界术界q全球第一个计算机应急处理协调中心q八八年的“莫里斯事件”q美国能源部（DoE）成立了自已的CIACq美国其他部门的情况19891989年，美国能源部（年，美国能源部（DoEDoE）成立了自已的计算机事件处理组织，称）成立了自已的计算机事件处理组织，称为为CIACCIAC（Computer Incident Advisory Capability)Computer Incident Advisory Capability)，专门保证能，专门保证能源部计算机系

10、统的安全。至此，各有关部门纷纷开始成立自己的计源部计算机系统的安全。至此，各有关部门纷纷开始成立自己的计算机安全事件处理组织。算机安全事件处理组织。作为发起国，美国在国防部、能源部、空军、海军、作为发起国，美国在国防部、能源部、空军、海军、众议院、国家宇航局、国家标准与技术局、部分重众议院、国家宇航局、国家标准与技术局、部分重点大学、点大学、ITIT界知名公司先后成立了四十余个计算机界知名公司先后成立了四十余个计算机安全事件响应组织。重在响应、协调、研究安全事件响应组织。重在响应、协调、研究/分析分析与统计计算机安全事件。与统计计算机安全事件。q专有名词，CERT与CSIRT计算机应急处理的国

11、际惯称为：计算机应急处理的国际惯称为：q CERT Computer Emergency Response Team (计算机紧急响应小组计算机紧急响应小组)q CSIRT Computer Security Incident Response Teams (计算机安全事件响应小组计算机安全事件响应小组)中文通常提法中文通常提法计算机应急处理组织计算机应急处理组织计算机应急响应小组计算机应急响应小组计算机紧急响应小组计算机紧急响应小组在莫里斯事件发生之后，美国国防部高级计划研究署（在莫里斯事件发生之后，美国国防部高级计划研究署（DARPADARPA）出出资在卡内基资在卡内基-梅隆大学（梅隆大学

12、（CMUCMU）的软件工程研究所（的软件工程研究所（SEISEI）建立了计建立了计算机应急处理协调中心算机应急处理协调中心(CERT/CC)(CERT/CC)。该中心现在仍然由美国国防部。该中心现在仍然由美国国防部支持，并且作为国际上的骨干组织积极开展相关方面的培训工作。支持，并且作为国际上的骨干组织积极开展相关方面的培训工作。CERT/CCCERT/CC服务的内容服务的内容服务的内容服务的内容l安全事件响应安全事件响应l安全事件分析和软件安全缺陷研究安全事件分析和软件安全缺陷研究l缺陷知识库开发缺陷知识库开发l信息发布：缺陷、公告、总结、统计、补丁、工具信息发布：缺陷、公告、总结、统计、补丁

13、、工具l教育与培训：教育与培训：CSIRT管理、管理、CSIRT技术培训、系统和网络技术培训、系统和网络管理员安全培训管理员安全培训l指导其它指导其它CSIRT（也称（也称IRT、CERT）组织建设）组织建设CERT/CCCERT/CC简介简介简介简介CMUSEINetworked Systems Survivability programSurvivable Network ManagementCERT/CCSurvivable Network TechnologyIncidentHandlingVulnerabilityHandlingCSIRTDevelopmentDoD应急响应小组的定

14、义应急响应小组的定义应急响应小组的定义应急响应小组的定义15一种服务性的组织，负责接收、检查并响应计算机安全事件报告和活动。它通常为一个确定的集合体服务，该集合体可能是一个归属实体，比如某个地区或国家、政府、某个公司或教育机构、某个网络等，或者是某个付费用户。网络安全应急响应小组网络安全应急响应小组网络安全应急响应小组网络安全应急响应小组lCIRC Computer Incident Response CapabilitylCIRT Computer Incident Response TeamlIHT Incident Handing TeamlIRC Incident Response C

15、enter/CapabilitylIRT Incident Response TeamlSERT Security Emergency Response TeamlSIRT Security Incident Response THandling the IncidentHandling the Incident恢复恢复RecoveryRecovery根除根除EradicationEradication发现发现IdentificationIdentification预防预防PreparationPreparation控制控制ContainmentContainment跟踪跟踪Follow up

16、 Follow up AnalysisAnalysisIncident Response Life CycleIncident Response Life CycleIncident Response Life CycleIncident Response Life Cycle准备 让我们严阵以待确认 对情况综合判断 抑制 防止事态的扩大根除 彻底的补救措施恢复 备份，顶上去!跟踪 还会有下一次吗各国各国各国各国CERTCERT组织的主要任务组织的主要任务组织的主要任务组织的主要任务q处理安全事件，做到热线响应，如提供咨询、帮助。q发布计算机网络弱点通告或与安全有关的简报。q从事网络安全研究，开发相应的工具。q进行安全检查和风险分析，从事网络安全教育。q成立可信的网络安全信息交换中心，与执法部门、其他CERT、IT界组织等保持联系。q参加国际活动，进行国际合作。各国各国各国各国CERTCERT的经费支持情况的经费支持情况的经费支持情况的经费支持情况q政府出资q集团出资q纯粹的商业行为q会员制主是针对政府部门或面向全社会服务，如主是针对政府部门或面向全社会服务，如DARPADARPA支持