我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀

1、我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀主題互聯(lián)網(wǎng)網(wǎng)絡(luò)安全面臨重大挑戰(zhàn)我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急工作現(xiàn)狀應(yīng)急組織、策略和方法互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急工作展望結(jié)論我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀互聯(lián)網(wǎng)網(wǎng)絡(luò)安全面臨重大挑戰(zhàn)我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀網(wǎng)絡(luò)安全漏洞大量存在數(shù)據(jù)來源CERT/CC網(wǎng)站我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀網(wǎng)絡(luò)安全漏洞大量存在Windows十大安全隱患Web服務(wù)器和服務(wù)服務(wù)器和服務(wù)工作站服務(wù)Windows遠(yuǎn)程訪問服務(wù)微軟微軟SQL服務(wù)器服務(wù)器Windows認(rèn)證Web瀏覽器瀏覽器文件共享LSAS Exposures電子郵件客戶端電子

2、郵件客戶端 即時(shí)信息即時(shí)信息 Unix十大安全隱患 BIND域名系統(tǒng)域名系統(tǒng) Web服務(wù)器服務(wù)器 認(rèn)證 版本控制系統(tǒng)電子郵件傳輸服務(wù)電子郵件傳輸服務(wù) 簡單網(wǎng)絡(luò)管理協(xié)議 開放安全連接通訊層 企業(yè)服務(wù)NIS/NFS 配置不當(dāng) 數(shù)據(jù)庫內(nèi)核內(nèi)核來源SANS研究報(bào)告我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀網(wǎng)絡(luò)安全漏洞發(fā)展趨勢(shì)利用漏洞發(fā)動(dòng)攻擊的速度加快：Symantec統(tǒng)計(jì)，2004年上半年，漏洞公布到攻擊代碼出現(xiàn)時(shí)間：天威脅程度不斷增加2004年1-6月，有攻擊代碼的漏洞中64%屬于高度危險(xiǎn)，36%屬于中度危險(xiǎn)漏洞利用分析人員興趣的變化Web應(yīng)用的漏洞越來越多Symantec統(tǒng)計(jì)，2004年上半年公布了4

3、79個(gè)與Web應(yīng)用有關(guān)的漏洞，占總數(shù)的39%我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀病毒、蠕蟲、木馬等在互聯(lián)網(wǎng)上大行其道事例1988年11月：Morris蠕蟲，互聯(lián)網(wǎng)主體癱瘓1989年10月：Wank蠕蟲2001年：紅色代碼、尼姆達(dá)蠕蟲事件2003年：SQL SLAMMER、口令蠕蟲事件、沖擊波蠕蟲事件2004年5月：震蕩波蠕蟲事件相互結(jié)合，危害無窮“紅色代碼”將網(wǎng)絡(luò)蠕蟲、計(jì)算機(jī)病毒、木馬程序合為一體我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀CNCERT/CC通過抽樣監(jiān)測(cè)發(fā)現(xiàn)，僅，我國遭到Mydoom蠕蟲、利用RPC漏洞和LSASS漏洞的幾類主要蠕蟲攻擊的主機(jī)數(shù)目接近200萬臺(tái)安全事件在各地區(qū)的分布

4、10.47%8.75%4.43%3.15%2.87%2.36%2.33%2.29%18.43%18.01%26.92%廣東北京浙江江蘇湖北江西遼寧陜西山東福建其他我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀網(wǎng)絡(luò)安全造成損失越來越大網(wǎng)絡(luò)堵塞SQL SLAMMER：2003年1月25日發(fā)作,造成大面積網(wǎng)絡(luò)擁塞，部分骨干網(wǎng)絡(luò)癱瘓，韓國網(wǎng)絡(luò)基本處于癱瘓狀態(tài),我國境內(nèi)感染主機(jī)22600余臺(tái)業(yè)務(wù)停頓2001年的紅色代碼蠕蟲就曾經(jīng)導(dǎo)致航空售票系統(tǒng)癱瘓，旅客滯留機(jī)場(chǎng)的事件類似事件還有網(wǎng)上招生停頓、網(wǎng)上交易中斷等，威脅生命？造成的財(cái)產(chǎn)損失難以估計(jì)，數(shù)字絕非聳人聽聞2001年，尼姆達(dá)蠕蟲造成的損失估計(jì)大大超過26億美元

5、今日美國報(bào)道：黑客每年給全世界電腦網(wǎng)絡(luò)帶來的損失估計(jì)高達(dá)100多億美元切膚之痛？我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀攻擊手段越發(fā)“高超”漏洞發(fā)布到攻擊出現(xiàn)的時(shí)間越來越短Witty蠕蟲事件花樣翻新，防不勝防尼姆達(dá)蠕蟲：通過email、共享網(wǎng)絡(luò)資源、IIS服務(wù)器傳播變種速度令人驚嘆黑客：從單打獨(dú)斗到“精誠”合作Botnet攻擊程序日益自動(dòng)化、并輟手可得我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀攻擊范圍和時(shí)間的變化全面框架全面框架區(qū)域網(wǎng)絡(luò)區(qū)域網(wǎng)絡(luò)多個(gè)局域網(wǎng)多個(gè)局域網(wǎng)單個(gè)局域網(wǎng)單個(gè)局域網(wǎng)單個(gè)單個(gè)pc目標(biāo)和破壞目標(biāo)和破壞的范圍的范圍1980s1990sTodayFuture第一代第一代 Boot viru

6、sesWeeks第二代第二代 Macro viruses Denial of serviceDays第三代第三代 Distributed denial of service Blended threatsMinutes下一代下一代 Flash threats Massive worm-driven DDoS Damaging payload wormsSeconds快速變化的威脅快速變化的威脅我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀攻擊復(fù)雜度與攻擊者的技術(shù)水平攻擊復(fù)雜度與攻擊者的技術(shù)水平高高低低19801985199019952000猜口令猜口令自我復(fù)制程序

7、自我復(fù)制程序口令破解口令破解攻擊已知漏洞攻擊已知漏洞破壞審計(jì)破壞審計(jì)后門程序后門程序干擾通信干擾通信手動(dòng)探測(cè)手動(dòng)探測(cè)竊聽竊聽數(shù)據(jù)包欺騙數(shù)據(jù)包欺騙圖形化界面圖形化界面自動(dòng)掃描自動(dòng)掃描拒絕服務(wù)拒絕服務(wù)www攻擊攻擊工具工具攻擊者攻擊者攻擊者的攻擊者的知識(shí)水平知識(shí)水平攻擊的復(fù)雜度攻擊的復(fù)雜度隱秘且高級(jí)的掃描工具隱秘且高級(jí)的掃描工具偷竊信息偷竊信息網(wǎng)管探測(cè)網(wǎng)管探測(cè)分布式攻擊工具分布式攻擊工具新型的跨主機(jī)工具新型的跨主機(jī)工具我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀2004年網(wǎng)絡(luò)安全熱點(diǎn)網(wǎng)站仿冒（Phishing）建立假網(wǎng)站通過垃圾郵件發(fā)送服務(wù)器大量發(fā)信引誘用戶訪問使用中獎(jiǎng)、系統(tǒng)升級(jí)等手段誘使用戶輸入個(gè)人信

8、息主要針對(duì)銀行和信用卡服務(wù)機(jī)構(gòu)我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀2004年網(wǎng)絡(luò)安全熱點(diǎn)基于Botnet的網(wǎng)絡(luò)敲詐大量主機(jī)被安裝了BOT黑客可以通過IRC服務(wù)器實(shí)施控制隨時(shí)可能發(fā)動(dòng)攻擊BOT可以進(jìn)行升級(jí)，擴(kuò)大攻擊能力我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀2004年網(wǎng)絡(luò)安全熱點(diǎn)手機(jī)和無線網(wǎng)絡(luò)（WLAN）的安全2004年，針對(duì)使用Symbian的蘭牙手機(jī)的病毒出現(xiàn)針對(duì)使用PocketPC的驗(yàn)證性攻擊程序也被發(fā)現(xiàn)手機(jī)功能和操作系統(tǒng)通用性不斷增強(qiáng)，會(huì)有越來越多針對(duì)手機(jī)的攻擊WLAN安全性一直是其應(yīng)用的關(guān)鍵問題2004年出現(xiàn)了可利用來對(duì)無線接入點(diǎn)進(jìn)行拒絕服務(wù)攻擊的

9、漏洞我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急工作現(xiàn)狀我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀國家整體安全戰(zhàn)略需要國家信息化領(lǐng)導(dǎo)小組第三次會(huì)議上強(qiáng)調(diào)： “加強(qiáng)信息安全保障工作，重點(diǎn)在于堅(jiān)持積極防御、綜合防范積極防御、綜合防范；全面提高信息安全防護(hù)能力；重點(diǎn)保障信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全；創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境；保障和促進(jìn)信息化發(fā)展，保護(hù)公眾利益，維護(hù)國家安全；立足國情、以我為主、管理與技術(shù)并重、統(tǒng)籌規(guī)劃、突出重點(diǎn)；發(fā)揮各界積極性，共同 構(gòu) 筑。 ”我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀國家整體安全戰(zhàn)略需要關(guān)于加強(qiáng)信息安全保障工作的意見（中辦發(fā)2003 27號(hào)文）指出：“信息安全

10、保障工作的要點(diǎn)在于，實(shí)行信息安全等級(jí)保護(hù)制度，建設(shè)基于密碼技術(shù)的網(wǎng)絡(luò)信任體系，建設(shè)信息安全監(jiān)控體系，推動(dòng)信息安全技術(shù)研發(fā)與產(chǎn)業(yè)發(fā)展，建設(shè)信息安全法制與標(biāo)準(zhǔn)”國家信息安全戰(zhàn)略的近期目標(biāo)：通過的努力，基本建成國家信息安全保障體系。我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀網(wǎng)絡(luò)安全應(yīng)急工作的基本目標(biāo)積極預(yù)防及時(shí)發(fā)現(xiàn)快速響應(yīng)確?；謴?fù)我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀網(wǎng)絡(luò)安全應(yīng)急工作的基本原則加強(qiáng)領(lǐng)導(dǎo)統(tǒng)一指揮分工負(fù)責(zé) 積極預(yù)防常備不懈 及時(shí)預(yù)警 協(xié)作配合 快速處理 確保恢復(fù) 我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急預(yù)案組織體系和職責(zé)明確責(zé)任、組織保障預(yù)警和預(yù)防機(jī)制事件分級(jí)、監(jiān)測(cè)、預(yù)警預(yù)防

11、、平臺(tái)要求應(yīng)急響應(yīng)分級(jí)響應(yīng)、及時(shí)通報(bào)/上報(bào)信息、協(xié)調(diào)配合后期處置總結(jié)、獎(jiǎng)懲評(píng)定及表彰應(yīng)急保障準(zhǔn)備預(yù)案、隊(duì)伍、培訓(xùn)、經(jīng)費(fèi)、演練、聯(lián)絡(luò)機(jī)制、監(jiān)督檢查、技術(shù)儲(chǔ)備我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急預(yù)案提出的要求舉例各經(jīng)營性互聯(lián)單位配合CNCERT/CC，每天12時(shí)以前采集其互聯(lián)網(wǎng)24小時(shí)內(nèi)的運(yùn)行狀態(tài)數(shù)據(jù)發(fā)生二級(jí)/報(bào)警網(wǎng)絡(luò)安全事件，CNCERT/CC要在8小時(shí)內(nèi)提出建議方案；發(fā)生二級(jí)/報(bào)警網(wǎng)絡(luò)安全事件，12小時(shí)要上報(bào)事件動(dòng)態(tài)如何落實(shí)？我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀我國公共互聯(lián)網(wǎng)應(yīng)急體系從無到有從小到大從弱到強(qiáng)從點(diǎn)到面我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀正面經(jīng)驗(yàn)：2003.

12、SQL Slammer/口令蠕蟲組織：CNCERT/CC；CCERT；各運(yùn)營商CERT；國際組織效率：兩小時(shí)判斷情況，半天控制局勢(shì)總結(jié)：應(yīng)急體系發(fā)揮了重要作用潛在的問題還有很多我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀CNCERT/CC簡介國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)協(xié)調(diào)處理中心 2000年成立，2003年7月中編辦批準(zhǔn)現(xiàn)名 英文“National Computer network Emergency Response technical Team/Coordination Center of China”職責(zé)和定位 “在信息產(chǎn)業(yè)部互聯(lián)網(wǎng)應(yīng)急處理協(xié)調(diào)辦公室的直接領(lǐng)導(dǎo)下,負(fù)責(zé)協(xié)調(diào)我國各計(jì)算機(jī)網(wǎng)絡(luò)安全事件應(yīng)

13、急小組(CERT)共同處理國家公共互聯(lián)網(wǎng)上的安全緊急事件，為國家公共互聯(lián)網(wǎng)、國家主要網(wǎng)絡(luò)信息應(yīng)用系統(tǒng)以及關(guān)鍵部門提供計(jì)算機(jī)網(wǎng)絡(luò)安全的監(jiān)測(cè)、預(yù)警、應(yīng)急、防范等安全服務(wù)和技術(shù)支持,及時(shí)收集、核實(shí)、匯總、發(fā)布有關(guān)互聯(lián)網(wǎng)安全的權(quán)威性信息,組織國內(nèi)計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)急組織進(jìn)行國際合作和交流的組織。我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀目前具備的主要能力大規(guī)模異常事件的發(fā)現(xiàn)能力理論上確認(rèn)大規(guī)模網(wǎng)絡(luò)安全事件所需要時(shí)間不到原來的十分之一重大網(wǎng)絡(luò)安全事件的初步監(jiān)測(cè)分析能力包括感染范圍和速度、控制效果、對(duì)網(wǎng)絡(luò)的影響情況等攻擊事件的分布式自動(dòng)驗(yàn)證拓?fù)浒l(fā)現(xiàn)和定位分析分布式問題網(wǎng)站發(fā)現(xiàn)系統(tǒng)我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展

14、和現(xiàn)狀2004年1-10月接到事件報(bào)告情況我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀與國際應(yīng)急組織密切合作Global Problem, Global Solution：跨國進(jìn)行的計(jì)算機(jī)攻擊事件的處理推動(dòng)了國際應(yīng)急組織的合作2002年8月，成為FIRST正式成員APCERT創(chuàng)始成員和指導(dǎo)委員會(huì)成員同韓國、日本、馬來西亞、巴西、澳大利亞多個(gè)國家CERT組織保持密切的合作開始與東盟、泛美、歐洲等地區(qū)CERT組織建立合作渠道我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀應(yīng)急組織、策略和方法一些建議我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀面臨的基本問題如何用合理的投入，使組織面臨的整體網(wǎng)絡(luò)安全風(fēng)險(xiǎn)降低到可以接受的程

15、度安全是相對(duì)的，不是絕對(duì)的不同層面：國家、企業(yè)、個(gè)人是否真正知道面臨哪些風(fēng)險(xiǎn)？如何描述風(fēng)險(xiǎn)？安全的水平不是用投入多少來衡量？我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀如何保障整體的安全有明確整體的網(wǎng)絡(luò)安全策略適合組織需要的網(wǎng)絡(luò)安全應(yīng)急小組（至少應(yīng)該有POC）詳細(xì)的規(guī)章、流程、手冊(cè)，并真正得到貫徹建立監(jiān)測(cè)技術(shù)平臺(tái)與應(yīng)急工具庫開展應(yīng)急培訓(xùn)、演練網(wǎng)絡(luò)安全知識(shí)、信息、經(jīng)驗(yàn)積累、共享與交換提高組織和個(gè)人網(wǎng)絡(luò)安全意識(shí)我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀網(wǎng)絡(luò)安全應(yīng)急組織基礎(chǔ)計(jì)算機(jī)安全事件相應(yīng)小組CSIRT: Computer Security Incident Response Team負(fù)責(zé)在確定的組織范圍內(nèi)

16、，執(zhí)行、協(xié)調(diào)、支持對(duì)計(jì)算機(jī)實(shí)踐做出響應(yīng)的小組CNCERT/CC、CCERT我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀理解組織自身的需要為什么需要CSIRT?組織的現(xiàn)狀?部門之間如何聯(lián)系？負(fù)責(zé)人？需要說服那些關(guān)鍵人物?現(xiàn)有的基礎(chǔ)：內(nèi)部的和外部的?事件處理小組？安全流程?安全策略?法規(guī)?標(biāo)準(zhǔn)?帶來哪些好處，存在哪些障礙?CSIRT對(duì)整體整體目標(biāo)帶來哪些好處？商業(yè)優(yōu)勢(shì)、投資回報(bào)?我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀看看國外的情況全球應(yīng)急組織論壇亞太應(yīng)急組織歐洲安全事件交換計(jì)劃我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀事件處理的一般階段第一階段：準(zhǔn)備讓我們嚴(yán)陣以待第二階

17、段：確認(rèn)對(duì)情況綜合判斷第三階段：封鎖制止事態(tài)的擴(kuò)大第四階段：根除徹底的補(bǔ)救措施第五階段：恢復(fù)備份，頂上去！第六階段：跟蹤還會(huì)有第二次嗎我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀Handling the Incident恢復(fù)恢復(fù)RecoveryRecovery根除根除EradicationEradication發(fā)現(xiàn)發(fā)現(xiàn)IdentificationIdentification預(yù)防預(yù)防PreparationPreparation控制控制ContainmentContainment跟蹤跟蹤Follow up Follow up AnalysisAnalysis我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀我國互聯(lián)

18、網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀第一階段準(zhǔn)備預(yù)防為主幫助服務(wù)對(duì)象建立安全政策幫助服務(wù)對(duì)象按照安全政策配置安全設(shè)備和軟件掃描，風(fēng)險(xiǎn)分析，打補(bǔ)丁如有條件且得到許可，建立監(jiān)控設(shè)施應(yīng)急聯(lián)絡(luò)機(jī)制我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀建立事件報(bào)告的機(jī)制和要求建立事件報(bào)告流程和規(guī)范IntranetPhoneEmail我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀第二階段確認(rèn)確定事件的責(zé)任人指定一個(gè)責(zé)任人全權(quán)處理此事件給予必要的資源確定事件的性質(zhì)誤會(huì)？玩笑？還是惡意的攻擊/入侵？影響的嚴(yán)重程度預(yù)計(jì)采用什么樣的專用資源來修復(fù)？我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀第三階段封鎖即時(shí)采取的行動(dòng)防止進(jìn)一步的損失，確定后果確定適

19、當(dāng)?shù)姆怄i方法咨詢安全政策確定進(jìn)一步操作的風(fēng)險(xiǎn)損失最小化可列出若干選項(xiàng)，講明各自的風(fēng)險(xiǎn)，由服務(wù)對(duì)象選擇我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀第四階段根除長期的補(bǔ)救措施確定原因，定義征兆分析漏洞加強(qiáng)防范消除原因修改安全政策我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀第五階段恢復(fù)被攻擊的系統(tǒng)由備份來恢復(fù)作一個(gè)新的備份把所有安全上的變更作備份服務(wù)重新上線持續(xù)監(jiān)控我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀第六階段跟蹤關(guān)注系統(tǒng)恢復(fù)以后的安全狀況，特別是曾經(jīng)出問題的地方建立跟蹤文檔，規(guī)范記錄跟蹤結(jié)果對(duì)響應(yīng)效果給出評(píng)估我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀網(wǎng)絡(luò)安全應(yīng)急技術(shù)基礎(chǔ)入侵檢測(cè)系統(tǒng)調(diào)查分析系統(tǒng)事件描述與交換系統(tǒng)事

20、件管理系統(tǒng)備份恢復(fù)系統(tǒng)應(yīng)急專用工具(掃描器、補(bǔ)丁管理)網(wǎng)絡(luò)安全管理平臺(tái)(SOC)更多我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀響應(yīng)式服務(wù)響應(yīng)式服務(wù)預(yù)防式服務(wù)預(yù)防式服務(wù)安全質(zhì)量管理服務(wù)安全質(zhì)量管理服務(wù) 警報(bào)和警告警報(bào)和警告 事件處理事件處理-事件分析事件分析-現(xiàn)場(chǎng)事件響應(yīng)現(xiàn)場(chǎng)事件響應(yīng)-事件響應(yīng)支持事件響應(yīng)支持-事件響應(yīng)協(xié)調(diào)事件響應(yīng)協(xié)調(diào) 安全漏洞處理安全漏洞處理-安全漏洞分析安全漏洞分析-安全漏洞響應(yīng)安全漏洞響應(yīng)-安全漏洞響應(yīng)協(xié)調(diào)安全漏洞響應(yīng)協(xié)調(diào) Artifact處理處理-Artifact分析分析-Artifact響應(yīng)響應(yīng)-Artifact響應(yīng)協(xié)調(diào)響應(yīng)協(xié)調(diào)o 公告公告o 技術(shù)監(jiān)測(cè)技術(shù)監(jiān)測(cè)o 與與安全審

21、計(jì)評(píng)估o 安全工具、應(yīng)用程序和基礎(chǔ)設(shè)施的配置和維護(hù)o 安全工具的開發(fā)o 入侵檢測(cè)服務(wù)o 安全有關(guān)的信息安全有關(guān)的信息的傳播的傳播 風(fēng)險(xiǎn)分析 服務(wù)持續(xù)性和災(zāi)難恢復(fù)規(guī)劃 安全性咨詢 建立安全意識(shí) 教育/培訓(xùn) 產(chǎn)品評(píng)估或認(rèn)證應(yīng)急是一種服務(wù)我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀應(yīng)急人員的基本素質(zhì)基本的專業(yè)知識(shí)，最好擁有專門的認(rèn)證超強(qiáng)的學(xué)習(xí)能力，跟上網(wǎng)絡(luò)安全事件發(fā)展良好的溝通交流能力豐富的事件處理、分析、調(diào)查經(jīng)驗(yàn)撰寫規(guī)范的事件處理報(bào)告的能力我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急工作展望我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀道高？魔高？ 攻擊者： 發(fā)現(xiàn)漏洞 編寫攻擊代碼 (測(cè)試) 執(zhí)行攻

22、擊 防御者： 發(fā)現(xiàn)漏洞 發(fā)布消息 開發(fā)補(bǔ)丁程序 發(fā)布補(bǔ)丁 風(fēng)險(xiǎn)檢查 監(jiān)測(cè)攻擊 分析惡意代碼 控制傳播Propagation Control 發(fā)布補(bǔ)丁和工具 恢復(fù)被入侵系統(tǒng) 升級(jí)/調(diào)整/評(píng)估我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀對(duì)手有多快？漏洞隨時(shí)被發(fā)現(xiàn)攻擊代碼出現(xiàn)加快:6天甚至更快零日攻擊開始出現(xiàn)10到30分鐘使整個(gè)互聯(lián)網(wǎng)癱瘓已經(jīng)成為可能Well, how fast can we be, then ?我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀很長的路要走我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀典型漏洞引發(fā)的安全事件數(shù)量變化曲線Time事件數(shù)量發(fā)現(xiàn)漏洞公布漏洞公布補(bǔ)丁程序?qū)嵤┭a(bǔ)丁安裝CSIRT廠商/協(xié)調(diào)機(jī)構(gòu)職責(zé)劃分CSIRT開始行動(dòng)CSIRT開始行動(dòng)CSIRT開始行動(dòng)CSIRT開始行動(dòng)CSIRT開始行動(dòng)我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和應(yīng)急響應(yīng)發(fā)展和現(xiàn)狀應(yīng)對(duì)大規(guī)模的主動(dòng)攻擊如何對(duì)付DDoS、BotNet等大范圍跨域的大規(guī)模網(wǎng)絡(luò)攻擊？快速控制、追查源頭、徹底清除、調(diào)查取證被利用來進(jìn)行犯罪活動(dòng)，DDoS攻擊造成損失越來越大經(jīng)濟(jì)影響和社會(huì)影