0423应急响应.ppt
《0423应急响应.ppt》由会员分享,可在线阅读,更多相关《0423应急响应.ppt(47页珍藏版)》请在三一文库上搜索。
1、信息安全管理 应急响应,内容提要,应急响应服务背景 什么是应急响应 应急响应组的组建 应急响应服务的过程 应急响应服务的形式和内容 应急响应服务的指标 应急响应服务案例,应急响应服务背景,应急响应服务的诞生CERT/CC 1988年Morris蠕虫事件直接导致了CERT/CC的诞生。 美国国防部(DoD)在卡内基梅隆大学的软件工程研究所成立了计算机应急响应组协调中心(CERT/CC)以协调Internet上的安全事件处理。目前,CERT/CC是DoD资助下的抗毁性网络系统计划(Networked Systems Survivability Program)的一部分,下设三个部门:事件处理、脆弱
2、性处理、计算机安全应急响应组(CSIRT)。 在CERT/CC 成立之后的14年里,共处理了28万多封Email,2万多个热线电话,其运行模式帮助了80多个CSIRT组织的建设。,应急响应服务背景,CERT/CC服务的内容 安全事件响应 安全事件分析和软件安全缺陷研究 缺陷知识库开发 信息发布:缺陷、公告、总结、统计、补丁、工具 教育与培训:CSIRT管理、CSIRT技术培训、系统和网络管理员安全培训 指导其它CSIRT(也称IRT、CERT)组织建设,内容提要,应急响应服务背景 什么是应急响应 应急响应组的组建 应急响应服务的过程 应急响应服务的形式和内容 应急响应服务的指标 应急响应服务案
3、例,事件响应,事件响应:对发生在计算机系统或网络上的威胁安全的事件进行响应。 事件响应是信息安全生命周期的必要组成部分。这个生命周期包括:对策、检测和响应。 网络安全的发展日新月异,谁也无法实现一劳永逸的安全服务。,应急响应描述,当安全事件发生需要尽快解决,而一般技术人员又无法迅速处理的时候,就需要安全服务商提供一种发现问题、解决问题的有效服务手段来解决问题。 这种服务手段可以描述为:客户的主机或网络正遭到攻击或发现入侵成功的痕迹,而又无法当时解决和追查来源时,安全服务商根据客户的要求以最快的速度赶到现场,协助客户解决问题,查找后门,保存证据和追查来源。,什么是应急响应,应急响应也叫紧急响应,
4、是安全事件发生后迅速采取的措施和行动,它是安全事件响应的一种快速实现方式 。 应急响应服务是解决网络系统安全问题的有效安全服务手段之一。,应急响应的目的,应急响应服务的目的是最快速度恢复系统的保密性、完整性和可用性,阻止和减小安全事件带来的影响。,应急响应服务的特点,技术复杂性与专业性 各种硬件平台、操作系统、应用软件 知识经验的依赖性 由IRT中的人提供服务,而不是一个硬件或软件产品 突发性强 需要广泛的协调与合作,内容提要,应急响应服务背景 什么是应急响应 应急响应组的组建 应急响应服务的过程 应急响应服务的形式和内容 应急响应服务的指标 应急响应服务案例,应急响应组的组建,什么是应急响应
5、组(IRT) 应急响应组就是一个或更多的个人组成的团队,能快速执行和处理与安全有关的事件的任务。 为什么需要成立应急响应组 容易协调响应工作 提高专业知识 提高效率 提高先期主动防御能力 更加适合于满足机构的需要 提高联络功能 提高处理制度障碍方面的能力,应急响应组的分类,国际间的协调组织,国内的协调组织,国内的协调组织,愿意付费的 任何用户,产品用户,网络接入用户,企业部门、用户,商业IRT,网络服务提供商 IRT,厂商 IRT,企业 /政府 IRT,如:绿盟科技,如:CCERT,如:Cisco、IBM,如:中国银行、 公安部,如CERT/CC, FIRST,如CNCERT/CC,国外应急响
6、应组建设情况,国外安全事件响应组(CSIRT)建设情况 FedCIRC、BACIRT、DFN-CERT等 DOE CIAC、 AFCERT、NavyCIRT 亚太地区:AusCERT、SingCERT等 FIRST(1990) FIRST为IRT组织、厂商和其他安全专家提供一个论坛,讨论安全缺陷、入侵者使用的方法和技巧、建议等,共同的寻找一个可接受的方案。 120多个正式成员组织,覆盖20多个国家和地区。 FIRST的大量工作都是由来自各成员组织的志愿者完成的,从FIRST 中获益的比例与IRT愿意提供的贡献成比例。,国内应急响应组建设情况,计算机网络基础设施已经严重依赖国外 由于地理、语言、
7、政治等多种因素,安全服务不可能依赖国外的组织 国内的应急响应服务组织还处在建设阶段 CCERT(1999年5月),中国教育科研网紧急响应组 NJCERT(1999年10月),中国教育网华东(北)地区网络安全事件响应组 中国电信ChinaNet安全小组 解放军,公安部 商业网络安全服务公司 中国计算机应急响应组/协调中心CNCERT/CC 信息产业部安全管理中心 ,2000年3月,北京,国际应急响应组网址,美国 http:/www.cert.org/ 清华 http:/ 欧洲 http:/ 新加坡 http:/www.singcert.org.sg/ 台湾省 http:/www.cert.org
8、.tw/ 印尼 http:/www.paume.itb.ac.id/rahard/id-cert/ 瑞士 http:/www.switch.ch/cert/ 澳大利亚 http:/www.auscert.org.au/ 德国 http:/www.cert.dfn.de/eng/ 日本 http:/www.jpcert.or.jp/ 马来西亚 http:/www.mycert.mimos.my/ 韩国 http:/www.certcc.or.kr/ 墨西哥 http:/www.mxcert.org.mx/ 菲律宾 http:/ 什么是应急响应 应急响应组的组建 应急响应服务的过程 应急响应服务的
9、形式和内容 应急响应服务的指标 应急响应服务案例,应急响应服务的过程,准备 检测 抑制 根除 恢复 跟踪,应急响应服务的过程准备,基于威胁建立一组合理的防御/控制措施 建立一组尽可能高效的事件处理程序 获得处理问题必须的资源和人员 建立一个支持事件响应活动的基础设施,应急响应服务的过程检测,确定事件是已经发生了还是在进行当中 初步动作和响应 选择检测工具,分析异常现象 激活审计功能 迅速备份完整系统 记录所发生事件 估计安全事件的范围,应急响应服务的过程抑制,限制攻击的范围,同时限制了潜在的损失和破坏。 抑制策略 完全关闭所有系统; 将网络断开; 修改所有防火墙和路由器的过滤规则,拒绝来自看起
10、来是 发起攻击的主机的所有的流量; 封锁或删除被攻击的登录账号; 提高系统或网络行为的监控级别; 设置诱饵服务器作为陷阱; 关闭被利用的服务; 反击攻击者的系统等。,应急响应服务的过程根除,安全事件被抑制后,找出事件根源并彻底根除,即根除事件的原因。,应急响应服务的过程恢复,把所有受侵害或被破坏的系统、应用、数据库等彻底地还原到它们正常的任务状态。,应急响应服务的过程跟踪,回顾事件处理过程 总结经验教训 为管理或法律目的收集损失统计信息 建立或补充自己的应急计划,内容提要,应急响应服务背景 什么是应急响应 应急响应组的组建 应急响应服务的过程 应急响应服务的形式和内容 应急响应服务的指标 应急
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 0423 应急 响应
链接地址:https://www.31doc.com/p-2928271.html