安全应急响应.pptx
- 文档编号:1425969
- 上传时间:2022-10-22
- 格式:PPTX
- 页数:65
- 大小:835.25KB
安全应急响应.pptx
《安全应急响应.pptx》由会员分享,可在线阅读,更多相关《安全应急响应.pptx(65页珍藏版)》请在冰豆网上搜索。
安全应急响应,计算机网络安全技术,主要内容,概述安全应急响应的提出CERT/CC和FIRST基本概念安全应急响应能力建设应急响应的目标和范畴应急响应的策略体系应急响应组织体系应急响应的流程建设应急响应运作的六个阶段应急响应预案的编制案例讨论,安全应急响应的提出,1988年11月,美国康乃尔大学一名研究生在互联网上发布“网络蠕虫”程序,该程序利用UNIX操作系统的漏洞通过网络渗透进主机系统,被感染的计算机陷入瘫痪,因为它们的处理能力被蠕虫程序的大量副本消耗殆尽。
尽管采取连续关闭Internet数天,把许多站点和网络断开等严厉措施,仍然有2100到2600台主机被感染(另一种说法是6000台主机,占当时连接Internet主机总数的10%),安全应急响应的提出,为了消除网络蠕虫,来自MIT,Berkeley,Purdue和其他大学的专家组成了一个特别应急团队。
通过这次事件,DARPA(DefenseAdvancedResearchProjectsAgency,防御高级研究项目机构)决定把Internet应急响应团队的概念制度化。
1988年11月底,CERTCoordinationCenter在卡耐基梅隆大学软件工程协会(SEI)正式成立。
安全应急响应的提出,安全应急响应的提出,CERT/CC美国计算机紧急事件响应小组协调中心(ComputerEmergencyResponseTeam/CoordinationCenter,CERT/CC)CERT/CC的主要职能是对软件中的安全漏洞提供咨询,对病毒和蠕虫的爆发提供警报,向计算机用户提供保证计算机系统安全的技巧以及在处理计算机安全事故的行动中进行协调目前,CERT/CC是美国国防部(DoD)资助下的抗毁性网络系统计划(NetworkedSystemsSurvivabilityProgram)的一部分,CERT的主要目的和作用,CERT/CC的目的:
建立一个单一的Internet社区组织,协调Internet上的安全事件响应。
CERT/CC的宗旨:
与Internet社区一起推动对涉及到Internet主机的计算机安全事件的响应,采取主动措施去提高公众对计算机安全问题的认识,同时提高对已存在的安全性的研究。
CERT/CC的组成,CERT/CC由3个小组组成运作小组为计算机安全事件提供24小时技术协助热线;通过CERT建议邮件列表,匿名FTP服务和WEB服务,提供Internet漏洞建议。
教育和培训小组帮助组织培养应急团队,培训用户,增强用户安全意识。
制作计算机系统安全相关的技术文档组织计算机安全技术研讨会和工作组研究和开发小组推动可靠系统的开发开发漏洞检测工具,CERT/CC服务的内容,安全事件响应安全事件分析和软件安全缺陷研究漏洞知识库开发信息发布:
缺陷、公告、总结、统计、补丁、工具教育与培训:
CSIRT管理、CSIRT技术培训、系统和网络管理员安全培训指导其它CSIRT(也称IRT、CERT)组织建设,应急响应和安全团队论坛,事件响应和安全团队论坛(theForumofIncidentResponseandSecurityTeams缩写为FIRST)成立于1990年。
FIRST为IRT组织、厂商和其他安全专家提供一个论坛,讨论安全缺陷、入侵者使用的方法和技巧、建议等,共同的寻找一个可接受的方案。
它把政府、商业机构、和学术组织的安全应急响应团队联合起来,组成一个有机的整体。
120多个正式成员组织,覆盖20多个国家和地区。
FIRST的大量工作都是由来自各成员组织的志愿者完成的,从FIRST中获益的比例与IRT愿意提供的贡献成比例。
FIRST的目标,是在事件预防中培养合作和协调,推动事件快速相应,同时促进在会员间的大范围信息共享。
基本概念,CERT、CSIRT、CIRC计算机紧急响应小组(CERT,ComputerEmergencyResponseTeam)计算机安全事故响应小组(CSIRT,ComputerSecurityIncidentResponseTeam)计算机事故响应中心(CIRC,ComputerIncidentResponseCenter)以上词汇都代表同一个含义,基本概念,事件(Incident)事件有正面和负面的。
违反安全策略的行为。
这里所说的安全策略可能是明确规定的,也可以是引申出来的。
计算机安全事件引起计算机系统的安全受到威胁和破坏的任何事件,这些威胁包括:
丢失数据机密性,破坏数据和系统的完整性,破坏系统的可用性使之不能提供服务等等。
基本概念,应急响应(IncidentResponse/EmergencyResponse)通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施,其目的是避免、降低危害和损失,以及从危害和损失中恢复。
计算机安全应急响应能力计算机系统的整体的应急事件的处理能力,包括针对于安全事件的技术响应手段,流程管理,人员组织等多个方面。
基本概念,应急响应小组/团队(IRT)应急响应组就是一个或更多的个人组成的团队,能快速执行和处理与安全有关的事件的任务。
计算机安全应急响应团队(CSIRT)负责日常情况下安全保障和紧急情况下应急响应任务的组织。
应急响应的目标和范畴,目标应该是简洁的、无歧义的、现实可行的。
目标决定了工作的范围和边界,同时决定了将要采用何种技术以及服务哪些客户。
建立清晰的、可信的目标有助于确定管理和必要资金的期望值。
应急响应目标包括的内容,推进事件的集中报告同等地处理相同的事件必要时提供直接的技术支持培训并提高客户和设备销售商的安全意识提供数据和其他相关的资料制定和实施计算机安全政策开发或者分发相应的软件工具鼓励设备销售商及时提供产品相关的问题为法律和犯罪调查团体提供线索,应急响应的策略体系,信息安全保障是以风险和策略为核心,因此建立完整的应急响应策略体系是建立应急响应能力的基础应急响应策略体系建设应考虑:
建议应急响应过程的策略,并使用它作为管理事故响应流程的基础。
建立事故相关的信息共享策略和流程。
向相关的事故报告机构提供相关信息。
应急响应能力的主要组成部分,环境假设人员和组织保障技术保障通信保障处理流程保障,应急响应组织体系,建设应急响应组织的必要性容易协调响应工作提高专业知识提高效率提高先期主动防御能力更加适合于满足机构的需要提高联络功能提高处理制度障碍方面的能力,应急响应组织机构,国际间的协调组织,国内的协调组织,国内的协调组织,商业CSIRT,网络服务商CSIRT,厂商CSIRT,企业/政府CSIRT,愿意付费的任何用户,网络接入用户,产品用户,企业/部门用户,CERT/CC、FIRST,CNCERT/CC,CCERT,中国银行、公安部,Cisco、IBM,国外应急响应机构,国外安全事件响应组(CSIRT)建设情况FedCIRC(联邦计算机事故反应中心)、BACIRT(美国银行计算机事故反应中心)、DFN-CERT(德国国家研究及教育网络)等DOECIAC(美国能源部)、AFCERT(美国空军)、NavyCIRT(美国海军)亚太地区:
AusCERT(澳大利亚)、SingCERT(新加坡)等FIRST,中国应急响应机构,国家计算机网络应急技术处理协调中心(NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina,CNCERT/CC)CNCERT/CC是在工信部互联网应急处理协调办公室的直接领导下的机构,负责协调我国各计算机网络安全事件应急小组(CERT),共同处理国家公共互联网上的安全紧急事件,为国家公共互联网、国家主要网络信息应用系统以及关键部门提供计算机网络安全的监测、预警、应急、防范等安全服务和技术支持,及时收集、核实、汇总、发布有关互联网安全的权威性信息,组织国内计算机网络安全应急组织进行国际合作和交流。
中国应急响应机构,中国教育和科研计算机网紧急响应组(ChinaEducationandResearchNetworkComputerEmergencyResponseTeam,CCERT)CCERT是中国教育和科研计算机网CERNET专家委员会领导之下的一个公益性的服务和研究组织,从事网络安全技术的研究和非营利性质的网络安全服务。
目前,CCERT的应急响应体系已经包括CERNET内部各级网络中心的安全事件响应组织或相关安全管理部门,是一个由30多个单位组成、覆盖全国的应急响应组织。
其他专业性的应急组织国家计算机病毒应急处理中心国家计算机网络入侵防范中心国家863计划反计算机入侵和防病毒研究中心,国家公共互联网安全事件应急处理体系,应急响应团队CSIRT建设,认识CSIRT的基本构架需要回答4个问题1.做什么?
任务声明2.为谁做?
客户3.处在什么地位?
在父组织中处于什么地位4.与其他机构的关系与其他CSIRT的相互关系,任务声明的目标,了解是否它们正在使用正确的优先权去确保对最重要的活动做出反应。
改正与它们交互的那些人的不正确的期望值。
了解它们怎样以及是否对给定形势作出正确的反应。
修改它们的政策和流程去适应形势的需要。
决定是否修改它们所提供的服务的范围和种类。
任务声明的内容,任务申明包括提供服务的种类和范围、政策和流程的定义、以及服务质量。
由于声明的重要性,它应该是无歧义的,并且用三到四句话说明CSIRT应该承担的任务。
声明有助于理解这个团队正在努力去获得什么。
CSIRT的任务声明必须得到父组织中高层管理者(如:
信息安全主管、CTO、董事会等)的支持,否则CSIRT将难以获得重视及所需的资源,CSIRT的意图声明,许多CSIRTs还提供一个意图声明,解释为什么要创立这个团队的原因。
有了这些信息,CSIRT应该比较容易地定义它的目标和适当的服务去支持它的任务。
公众可以自由地获取这些声明,这将有助于公众了解这个CSIRT的角色、意图,和它运作的架构。
CSIRT的客户,CSIRT的服务对象:
客户一个CSIRT的客户可能是没有限制的(这个CSIRT将为每个提出请求的人服务),也可能是被某些条件限制的。
大多数情况下,CSIRT的客户是受限的,通常是那些给它们提供运作资金的组织和机构常见的客户约束国家地理位置技术组织(包括政府部门、企业、厂商、网络服务商等)契约,客户定义,客户可能用申明的形式来定义,用一组域名来支持。
对于网络服务提供商团队来说,很难甚至不可能用域名来定义它的客户,因为它的客户量特别大而且是动态变化的。
多个客户,根据一个CSIRT提供服务的范围和种类,CSIRT可能有必要定义不止一个客户。
多个客户间的关系是多样的,可能是相交的,可能是子集或者超集,也可能是完全独立。
例如,一个技术CSIRT可能通过可以自由访问的站点,为所有的人提供他们关注的产品的通用的安全信息,但是只愿意为那些已经注册该产品的用户提供增强的服务。
组织中的地位,CSIRT在父组织中的地位和它的任务,它的客户是紧密相关的。
一个CSIRT可能由一个组织的整个安全团队组成,也可能与组织的安全团队完全独立。
虽然一个组织可能没有一个单独的CSIRT,这个角色实际上隐含地由组织的安全团队来承担。
父组织,应急响应团队,安全团队,与其它CSIRT的关系,合作和协调是CSIRT架构的灵魂和核心。
不考虑相互之间的协调问题,仅有任务申明、客户定义和在组织中的位置是远远不够的。
当今的CSIRT中,存在一些层次结构。
有一些团队给已被明确定义的客户提供服务,而另外一些致力于CSIRT间的合作和协调(通常是国家内的和国际间的)。
CSIRT的人员构成,典型CSIRT的人员组成一个或多个协调者协调者的职能不仅限于普通管理在应急响应过程中,协调各相关机构或组织之间的关系在CSIRT和其它的有关组织之间维持积极和正面的工作关系向客户和设备生产商推销CSIRT服务,和他们建立良好的合作关系,并提高他们的安全意识,
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 安全 应急 响应