cernet安全.pptVIP

CERNET 网络安全应急响应服务 内容提要 网络安全应急响应服务的背景 CERNET 计算机应急响应组(CCERT)运行一年回顾 网络和系统安全配置建议 CERNET 安全应急响应服务计划 参考文献 安全应急响应服务背景 应急响应服务的诞生—CERT/CC 1988年Morris 蠕虫事件直接导致了CERT/CC的诞生 CERT/CC服务的内容 安全事件响应 指导其它CSIRT（也称IRT、CERT）组织建设 安全事件分析和软件安全缺陷研究 缺陷知识库开发 教育与培训：CSIRT管理、CSIRT技术培训、系统和网络管理员安全培训 信息发布：缺陷、公告、总结、统计、补丁、工具 现有专、兼职工作人员50多人，12年里处理了288,600 封email, 18,300个电话，其运行模式被80多个类似的组织采纳 安全应急响应服务背景 国外安全事件响应组（CSIRT）建设情况 DOE CIAC、FedCIRC、AusCERT、SingCERT等 FIRST（1990） 84个正式成员组织，覆盖18个国家和地区 FIRST为IRT组织、厂商和其他安全专家提供一个论坛，讨论安全缺陷、入侵者使用的方法和技巧、建议等，共同的寻找一个可接受的方案。 从FIRST中获益的比例与IRT愿意提供的贡献成比例。 计算机网络基础设施已经严重依赖国外 由于地理、语言、政治等多种因素，安全服务不可能依赖国外的组织 国内安全事件响应组织建设情况 国内的应急响应服务还处在起步阶段 CCERT（1999年5月） NJCERT（1999年10月） 中国电信ChinaNet安全小组 解放军，公安部 安全救援服务公司 中国计算机应急响应组/协调中心CNCERT/CC 信息产业部安全管理中心 ，2000年4月，北京 安全应急响应组的分类 安全应急响应服务组织的服务内容 CSIRT的服务内容 应急响应 安全公告 咨询 风险评估 入侵检测 教育与培训 追踪与恢复 应急响应服务的特点 技术复杂性 各种硬件平台、操作系统、应用软件； 知识经验的依赖性 由IRT中的人提供服务，而不是一个硬件或软件系统； 突发性强 需要广泛的协调与合作 CERNET 计算机安全应急响应组（CCERT） CERNET华东（北）地区网网络安全事件响应组(NJCERT) /njcert/index.html CERNET 计算机安全应急响应组（CCERT） 1999年5月，在清华大学网络工程研究中心成立了中国第一个安全事件应急响应组织—CCERT 主要客户群是CERNET 会员，但也有受理其他网络的报告和投诉 目前主要从事以下服务和研究： 事件响应：入侵、垃圾邮件以及邮件炸弹、恶意扫描和DoS事件处理 给站点管理员提供安全建议 提供安全信息公告和安全资源 网络安全领域的研究,包括 安全管理、入侵检测、安全体系结构、PKI CCERT一年来回顾 所处理的事件可分为四类： 垃圾邮件和邮件炸弹 扫描 入侵 DOS 攻击 1999年5月以来，处理了超过 2000 份报告，其中包括 1844 起垃圾邮件和邮件炸弹报告; 110 起扫描与 DOS 攻击报告; 50 起入侵报告 常见安全事件报告与处理 垃圾邮件转发 邮件服务器配置不当，为第三方中转邮件 危害： 流量盗用 〉费用增加 可能导致邮件服务器的所有通信被受害者封锁； 90％左右的报告与垃圾邮件有关 国外的投诉 国内的报告 解决方法： 重新配置、升级邮件系统 垃圾邮件的报告已逐渐减少 常见安全事件报告与处理 扫描，入侵的前兆 服务发现扫描，如 proxy hunter（ 80, 8080,1080） 缺陷扫描，如SATAN 等工具 入侵 大多数站点是被众所周知的缺陷攻入的，如： Solaris statd, ttdbserver, Linux imapd, freeBSD popd Win2k Terminal Server 很多案例由外部的报告发现，管理员并不知道 DoS 攻击 land , teardrop, SYN flood 依赖防火墙的入侵检测功能 分布式拒绝服务（DDOS） 以破坏系统或网络的可用性为目标 常用的工具： Trin00, TFN/TFN2K, Stacheldraht 很难防范 伪造源地址，流量加密，因此很难跟踪 DDOS攻击方法及防范 攻击的两阶段： 第一阶段—控制大量主机 利用系统的漏洞获得大量主机系统的控制权，并安装DDoS 工具；Linux imapd, Solaris rpc 、rstatd, Windows； 第二个阶段，发起攻击： 向目标发送大量的TCP/UDP/ICMP包，导致系统资源耗尽或网络拥塞，从而使目标系统或网络不能响应正常的请求。 DDOS防范： 网络中所有的系统都要安全的配置，不使之