第14章应急响应..ppt

第11章 信息系统应急响应 李 剑 北京邮电大学信息安全中心 E-mail: lijian@ 010目 录 应急响应概述 应急响应方法 概 述 进入21世纪的信息时代以来，计算机技术特别是网络技术的进步，给人们的生活带来很大的便利。然而在人们越来越依赖网络的同时，网络安全形势日趋严峻，大规模互联网攻击事件频繁发生。如2000年雅等网站遭到大规模拒绝服务攻击，2001年爆发了红色代码等蠕虫事件，2002年全球的根虎域名服务器遭到大规模拒绝服务攻击，2003年又爆发了SQL Slammer等蠕虫事件，其间还频繁发生着网页篡改和黑客竞赛等安全事件。 概 述 与此同时，我国的广大互联网使用者还只是刚刚充分享受到互联网的乐趣，网民的整体安全意识薄弱，技术水平很低，加上国家在网络安全方面的法律法规不健全，与互联网攻击相应的法律法规的制定明显滞后。另外，在组织体系以及协调机制方面都存在很多不和谐不规范的地方，为此加强国内的网络安全建设，特别是加强信息安全应急响应的建设是一件紧急迫切的任务。为此国家还专门建立了中国计算机网络应急技术协调处理中心(CNCERT/CC，China Computer Emergency Response Team/Coordination Center)。 14.1 应急响应概述 在现实生活中应急响应这个环节往往没有得到用户真正的重视。用户总是觉得已经投入了很多购置了全套的设备，不能理解为什么还要不断地支出一笔似乎看不到回报的费用。可是实际上现实经验越来越证明，缺少了高质量的应急响应，整个安全保障环节就好比一个上了大锁的监视系统但是却没有配备保卫人员的住所，攻击者总是可以想办法进入住所的。这里先介绍应急响应在P2DR2安全模型中的作用，再介绍什么是应急响应。 14.1.1 P2DR2安全模型 基于闭环控制的动态网络安全理论模型在1995年开始逐渐形成并得到了迅速发展，学术界先后提出了PDR、P2DR等多种动态风险模型，随着互联网技术的飞速发展，企业网的应用环境千变万化，现有模型存在诸多待发展之处。 P2DR2动态安全模型研究的是基于企业网对象、依时间及策略特征的（Policy， Protection， Detection，Response，Restore）动态安全模型结构，由策略、防护、检测、响应和恢复等要素构成，是一种基于闭环控制、主动防御的动态安全模型，通过区域网络的路由及安全策略分析与制定，在网络内部及边界建立实时检测、监测和审计机制，采取实时、快速动态响应安全手段，应用多样性系统灾难备份恢复、关键系统冗余设计等方法，构造多层次、全方位和立体的区域网络安全环境，如图14.1所示。 14.1.1 P2DR2安全模型 一个良好的网络安全模型应在充分了解网络系统安全需求的基础上，通过安全模型表达安全体系架构，通常具备以下性质：精确、无歧义，简单和抽象，具有一般性，充分体现安全策略。 14.1.1 P2DR2安全模型 在此安全模型中应急响应是安全保障工作中一个非常重要的环节。由于在防护和检测环节，通常比较成熟的应用都是针对已知特征来识别的，因此应急响应可以弥补前面各环节的不足的必要部分。在攻击和防御的对抗中，攻击方通常掌握着主动性和主观能动性，而防御方只有应急响应这个环节具备能够和攻击方相抗衡的能力。 14.1.2 应急响应的概念 英文中，紧急响应有两种表示法，即Emergency Response和Incident Response，其含义是指安全技术人员在遇到突发事件后所采取的措施和行动。而突发事件则是指影响一个系统正常工作的情况。这里的系统包括主机范畴内的问题，也包括网络范畴内的问题，例如黑客入侵、信息窃取、拒绝服务攻击、网络流量异常等。一般来讲，在攻击开始以后，如果能够做到在系统被攻克之前发现攻击并进行有效的应对处理，使得攻击不能奏效或被化解，则可以说实现了安全。可见，是否能够做到及时发现和快速响应是实现安全的关键。 14.1.3 应急响应的目标和任务 应急响应通常需要达到的目标首先是要确认或排除突发事件的发生。在实际的工作中，用户大量的报警被发现是“虚惊一场”，特别是在现有的许多入侵检测系统中，其误报率是很大的。这时用户可能把各种由于其他原因导致的异常现象都归咎于受到某种攻击所带来的结果。在一个案例中，有一个用户甚至用绝对肯定的口气说，他能够感觉到有人在他的计算机没有任何接口连入网络的情况下，被别人通过电源线实施了监控。从网管的角度来看，经常会面临各种流量异常的情况，其中有时候只是网络中用户应用情况的反映，而有时候却是网络中