⑴ 網路安全處理過程
網路安全應急響應是十分重要的,在網路安全事件層出不窮、事件危害損失巨大的時代,應對短時間內冒出的網路安全事件,根據應急響應組織事先對各自可能情況的准備演練,在網路安全事件發生後,盡可能快速、高效的跟蹤、處置與防範,確保網路信息安全。就目前的網路安全應急監測體系來說,其應急處理工作可分為以下幾個流程:
1、准備工作
此階段以預防為主,在事件真正發生前為應急響應做好准備。主要包括以下幾項內容:制定用於應急響應工作流程的文檔計劃,並建立一組基於威脅態勢的合理防禦措施;制定預警與報警的方式流程,建立一組盡可能高效的事件處理程序;建立備份的體系和流程,按照相關網路安全政策配置安全設備和軟體;建立一個支持事件響應活動的基礎設施,獲得處理問題必備的資源和人員,進行相關的安全培訓,可以進行應急響應事件處理的預演方案。
2、事件監測
識別和發現各種網路安全緊急事件。一旦被入侵檢測機制或另外可信的站點警告已經檢測到了入侵,需要確定系統和數據被入侵到了什麼程度。入侵響應需要管理層批准,需要決定是否關閉被破壞的系統及是否繼續業務,是否繼續收集入侵者活動數據(包括保護這些活動的相關證據)。通報信息的數據和類型,通知什麼人。主要包括以下幾種處理方法:
布局入侵檢測設備、全局預警系統,確定網路異常情況;
預估事件的范圍和影響的嚴重程度,來決定啟動相應的應急響應的方案;
事件的風險危害有多大,涉及到多少網路,影響了多少主機,情況危急程度;
確定事件責任人人選,即指定一個責任人全權處理此事件並給予必要資源;
攻擊者利用的漏洞傳播的范圍有多大,通過匯總,確定是否發生了全網的大規模入侵事件;
3、抑制處置
在入侵檢測系統檢測到有安全事件發生之後,抑制的目的在於限制攻擊范圍,限制潛在的損失與破壞,在事件被抑制以後,應該找出事件根源並徹底根除;然後就該著手系統恢復,把所有受侵害的系統、應用、資料庫等恢復到它們正常的任務狀態。
收集入侵相關的所有資料,收集並保護證據,保證安全地獲取並且保存證據;
確定使系統恢復正常的需求和時間表、從可信的備份介質中恢復用戶數據和應用服務;
通過對有關惡意代碼或行為的分析結果,找出事件根源明確相應的補救措施並徹底清除,並對攻擊源進行准確定位並採取措施將其中斷;
清理系統、恢復數據、程序、服務,把所有被攻破的系統和網路設備徹底還原到正常的任務狀態。
4、應急場景
網路攻擊事件:
安全掃描攻擊:黑客利用掃描器對目標進行漏洞探測,並在發現漏洞後進一步利用漏洞進行攻擊;
暴力破解攻擊:對目標系統賬號密碼進行暴力破解,獲取後台管理員許可權;
系統漏洞攻擊:利用操作系統、應用系統中存在漏洞進行攻擊;
WEB漏洞攻擊:通過SQL注入漏洞、上傳漏洞、XSS漏洞、授權繞過等各種WEB漏洞進行攻擊;
拒絕服務攻擊:通過大流量DDOS或者CC攻擊目標,使目標伺服器無法提供正常服務;
信息破壞事件:
系統配置遭篡改:系統中出現異常的服務、進程、啟動項、賬號等等;
資料庫內容篡改:業務數據遭到惡意篡改,引起業務異常和損失;
網站內容篡改事件:網站頁面內容被黑客惡意篡改;
信息數據泄露事件:伺服器數據、會員賬號遭到竊取並泄露.
⑵ 互聯網應急中心是什麼單位
互聯網應急中心是非政府非盈利的網路安全技術協調組織。
互聯網應急中心主要任務是:按照「積極預防、及時發現、快速響應、力保恢復」的方針,開展中國互聯網上網路安全事件的預防、發現、預警和協調處置等工作。
互聯網應急中心機構職責:
CNCERT作為國家公共互聯網網路安全應急體系的核心技術協調機構,在社會網路安全防範機構、公司、大學、科研院所的支撐和支援下,在協調骨幹網路運營單位應急組織、域名服務機構應急組織等國內網路安全應急組織共同處理網路安全事件方面發揮著重要作用。
同時,CNCERT積極開展國際合作,是中國處理網路安全事件的對外窗口。CNCERT是國際著名網路安全合作組織FIRST正式成員,也是APCERT的發起人之一,致力於構建跨境網路安全事件的快速響應和協調處置機制。截止2013年,CNCERT與59個國家和地區的127個組織建立了「CNCERT國際合作夥伴」關系。
⑶ 計算機安全應急響應組的簡介
網路應急響應與救援就是對國內外發生的有關計算機安全的事件進行實時響應與分析,提出解決方案和應急對策,來保證計算機信息系統和網路免遭破壞。在1988年11月的「Internet worm」事件之後1周,美國國防部(DoD)在Carnegie Mellon大學的軟體工程研究所成立了全球最早的計算機應急響應協調中心CERT?/CC對計算機安全方面的事件做出反應、採取行動,CERT?/CC是目前網路安全方面最權威的組織,提供最新的網路安全漏洞及方案。現在許多組織都有了CERT/CC,比如中國計算機網路應急處理協調中心、泛歐學術網路組織 TERENA 的CERT EuroCERT日本的JPCERT/CC。
目前,由於緊急情況(emergency)詞義較為狹窄,許多組織現在都用事件(Incident)來取代它,即計算機事件反應組(Computer Incident Response Team,CIRT),這些組織一般稱為IRT、CIRT或CSIRT。有時響應(response)這個詞也用處理(handling)來代替。
由於應急響應組之間不僅存在語言、時區及性質的差異,而且面向不同的用戶群體,屬於不同的國家或組織,他們之間的交流與合作存在著極大的困難,在這種情況下,1990年11個應急響應安全組織成立了事件響應與安全組論壇(Forum of Incident Response and Security Teams,FIRST,http://www.first.org),到2001年底FIRST已經包括全球100多個應急響應安全組織。
在綜合的WPDRRC(預警、保護、檢測、反應、恢復和反擊)信息安全保障體系中,應急響應與救援處於一個重要的環節,CERT/CC是實現信息安全保障的核心組織體現。目前各國的CERT/CC主要提供以下幾種基本服務:
⑷ 晉城市互聯網網路安全應急預案的組織體系
3.1 領導機構
《晉城市突發公共事件總體應急預案》明確,本市突發公共事件應急管理工作由市委、市政府統一領導;市政府是本市突發公共事件應急管理工作的行政領導機構;市應急委決定和部署本市突發公共事件應急管理工作,其日常事務由市應急辦負責。
3.2 應急聯動機構
市應急聯動中心設在市公安局,作為本市突發公共事件應急聯動先期處置的職能機構和指揮平台,履行應急聯動處置較大和一般突發公共事件、組織聯動單位對特大或重大突發公共事件進行先期處置等職能。各聯動單位在各自職責范圍內,負責突發公共事件應急聯動先期處置工作。
3.3 工作機構
3.3.1 市互聯網網路安全協調小組
市互聯網網路安全協調小組(以下簡稱市網安協調小組)作為本市市級議事協調機構之一,主要負責綜合協調本市互聯網網路安全保障工作。
3.3.2市互聯網網路安全協調小組辦公室
市互聯網網路安全協調小組辦公室(以下簡稱市網安辦)設在市人民政府信息化管理辦公室,作為市網安協調小組的辦事機構。
3.3.3 市應急處置指揮部
一旦發生重大、特別重大互聯網網路安全事件,必要時,網安協調小組轉為市互聯網網路安全事件應急處置指揮部(以下簡稱市應急處置指揮部),統一組織指揮本市互聯網網路安全事件應急處置行動。
負責本市各類互聯網網路安全應急資源的管理與調度,提供互聯網網路安全事件應急處置技術支持和服務;建設和完善本市互聯網網路安全事件監測預警網路,發布本市相應級別的互聯網網路安全事件預警信息。
其他有關單位。按照「誰主管誰負責,誰運營誰負責」原則,組織實施和指導本系統、行業的互聯網網路安全事件的應急處置。
3.3.4現場指揮部
根據互聯網網路安全事件的發展態勢和實際控制需要,事發地所在縣(市、區)政府負責成立現場指揮部,必要時,也可由市信息辦組織有關專業機構負責開設,現場指揮部在市應急處置指揮部的統一領導下,具體負責現場應急處置工作。
3.4專家機構
組建互聯網網路安全事件專家咨詢組,並與其他相關專家機構建立聯絡機制,為應急處置工作提供決策建議和技術指導,必要時,參與互聯網網路安全事件的應急處置。
⑸ 網路安全應急響應現狀如何
當發生網路入侵、病毒爆發、現有網路安全防禦體系(如防火牆、入侵檢測、入侵防禦等)被突破或當機或無異常顯示、防毒軟體或被病毒所劫殺或對病毒不作為時,如何阻擊入侵、查殺病毒、恢復系統?事前制定的應急響應預案總難以有效應對尚且未知的病毒及網路攻擊,匆忙趕赴現場,無奈斷網恢復,或簡單備機切換,大多公司網路安全應急響應現狀如此,與黑客病毒實施的遠程入侵控制相比,技術和手段完全處於非對等的劣勢地位。能否改變現狀,有何解決方案?
網路安全體系從技術手段上由兩大部分構成:安全防禦與應急救治,其兩者的關系如同醫學上疾病防疫與疾病救治的關系一樣,兩者的差別在於時間和順序上的不同。防禦在前,黑客或病毒攻擊在後,使系統免受破壞稱之為安全防禦;黑客或病毒攻擊在前,救治在後,使系統重新恢復正常稱之為應急救治。
目前網路安全產品以安全防禦為主,如防火牆、入侵檢測、入侵防禦、防毒軟體,以及網路細分、流量監視、流量控制等等,但網路安全應急救治的產品卻處於稀缺或空白的狀態。其表現為基於網路安全防禦體系的技術水平現狀,系統漏洞隨著時間推移陸續顯露,新病毒總量每年以超幾何級數增長,黑客及病毒的技術含量不斷提高和攻擊手段不斷翻新,黑客及病毒突破和破壞現有網路安全防禦體系、劫殺和禁用防毒軟體現象屢有發生,事前制定的網路安全應急響應預案總難以有效應對尚且未知的病毒及網路攻擊,網路安全應急響應尚還處於趕赴現場,斷網恢復,備機切換的簡單低級層次,究其根本原因,缺乏阻斷黑客進攻和查殺病毒的有效工具和能力即時實施網路連接對黑客病毒完成外科手術般的精確打擊、定點清除,造成網路部分或全局癱瘓,特別是爆發的大規模傳染性網路病毒對提供公共服務的機構造成社會公共安全事件也時有發生。
未雨綢繆,亡羊補牢,事前風險評估、組織機構建立,安全意識培訓,安全策略制定,各種措施防範,事後總結提高,安全訪問策略修正增補,更加嚴格措施防範,這些都是合理和必要的,但網路安全應急響應目前狀況「重防輕治,以防代治」卻是明顯的事實。各公司安全防禦產品琳琅滿目,個個價格不菲,當真正遭受網路入侵、病毒爆發,請求應急幫助時,得到的回復往往可能是,需對貴公司網路狀況進行一個安全評估,制定一套安全策略,採用本公司的產品,可以保證下次免遭此類黑客病毒侵襲。「救人於水火,須臾不可待」。可否先救人出水火,再說那事前事後防水防火之事?另一方面,沒有哪家公司產品可說是萬能的,若此次採用此公司此產品,預防此類黑客病毒侵襲,他日遇彼類黑客病毒侵襲,是否需要採用彼公司彼產品呢?這是用戶常遇到的尷尬決擇,頗有一番「上船易,下船難」的意境。喊一聲「孫大聖」,只聽「大聖來也」,孫悟空即到眼前,這是小說《西遊記》常描述的情景。若將此描述的情景視為網路安全應急響應模式,或許是再恰當不過的了,「召之即來,揮之即去,來之能戰,戰之能勝」。
「預防為主,防治結合」,這句話是如此耳濡目染,以至於很少有人考究其正確性和合理性。疾病成千上萬,各種病毒也在不斷變異進化,在目前醫學技術條件下能以接種疫苗方式進行免疫的傳染病不過十幾種。從這十幾種傳染病免疫表現出兩個特徵:1.可預防的;2.預防成本小於救治成本,這正是「預防為主,防治結合」正確性和合理性成立的前提條件。以流感為例,少有人願意花費上萬元去預防花費百把元即可治癒的流感,就是這個道理,一則流感病毒種類繁多,且自身不斷變異進化,防不勝防;二則辦同樣的事花銷更少費用是人們普遍的理性決擇。防禦系統和防毒軟體不可能防住所有的黑客病毒的入侵和攻擊。基於特徵碼識別的防毒軟體通過特徵碼比對可識別具有已知特徵碼的未知病毒,基於行為模式識別的防毒軟體通過行為模式比對可識別具有已知行為模式的未知病毒,但前者需要從已知病毒提取特徵碼,後者需要從已知病毒學習行為模式,所以,基於特徵碼識別的防毒軟體不可能識別具有未知特徵碼的未知病毒,基於行為模式識別的防毒軟體不可能識別具有未知行為模式的未知病毒。假設有朝一日遭遇網路戰,遇到的都是已知特徵碼或已知行為模式的病毒嗎?對於穿透防禦系統和防毒軟體的少量病毒,本應通過應急響應遠程或本地即時網路連接,實施精確打擊,定點清除的方式給予解決,但如缺少這種應急救治能力,或被迫提高防禦級別,或增加備機,或添加人手趕赴現場,如此造成安全防禦成本不可避免急劇增長,且效果並不如意。
綜上所述,針對網路安全應急響應目前狀況及存在的問題,開發一款網路安全應急響應工具,用於發生網路入侵、病毒爆發、現有網路安全防禦體系被突破、防毒軟體被病毒所劫殺或對病毒不作為時,即時實施遠程或本地網路連接,阻擊入侵、查殺病毒、恢復系統的工作,這將改變網路安全應急響應「重防輕治,有防無治」的現狀,填補缺失了的網路安全應急救治環節,與現有的網路安全防禦形成互補,構成防治結合完整的網路安全體系,提升了網路安全應急響應能力,特別是對企業、國防、公安、銀行、交通、政府等集團用戶具有十分重要的意義;另一方面,通過遠程響應縮短應急響應時間,可避免安全事態惡化和大幅減少運行維護成本。
⑹ 發生信息安全事件應及時響應反饋至哪個信息部門牽頭涉及到信息系統和安全管控
中央網路安全和信息化領導小組辦公室。
中央網路安全和信息化領導小組(以下簡稱「領導小組」)的領導下,中央網路安全和信息化領導小組辦公室(以下簡稱「中央網信辦」)統籌協調組織國家網路安全事件應對工作,建立健全跨部門聯動處置機制,工業和信息化部、公安部、國家保密局等相關部門按照職責分工負責相關網路安全事件應對工作。必要時成立國家網路安全事件應急指揮部(以下簡稱「指揮部」),負責特別重大網路安全事件處置的組織指揮和協調。
加強網路安全應急技術支撐隊伍建設,做好網路安全事件的監測預警、預防防護、應急處置、應急技術支援工作。支持網路安全企業提升應急處置能力,提供應急技術支援。
⑺ 國家網路安全事件應急預案應急處置包括
法律分析:包括事件報告、 應急響應、應急結束幾個環節。
法律依據:《國家網路安全事件應急預案》4 應急處置
4.1 事件報告
網路安全事件發生後,事發單位應立即啟動應急預案,實施處置並及時報送信息。各有關地區、部門立即組織先期處置,控制事態,消除隱患,同時組織研判,注意保存證據,做好信息通報工作。對於初判為特別重大、重大網路安全事件的,立即報告應急辦。
4.2 應急響應
網路安全事件應急響應分為四級,分別對應特別重大、重大、較大和一般網路安全事件。I級為最高響應級別。
4.3 應急結束
4.3.1 級響應結束
應急辦提出建議,報指揮部批准後,及時通報有關省(區、市)和部門。
4.3.2 級響應結束
由事件發生省(區、市)或部門決定,報應急辦,應急辦通報相關省(區、市)和部門。
⑻ 計算機緊急應急小組的名稱是什麼
隨著網路信息系統在政治、軍事、金融、商業、文教等方面發揮越來越大的作用,社會對網路信息系統的依賴也日益增強。
而不斷出現的軟硬體故障、病毒發作、網路入侵、天災人禍等安全事件也隨之變得非常突出,由於安全事件的突發性、復雜性與專業性,為了有備無患,需要建立計算機安全事件的快速發應機制,「計算機安全應急響應組」應運而生。 (推薦學習:web前端視頻教程)
網路應急響應與救援就是對國內外發生的有關計算機安全的事件進行實時響應與分析,提出解決方案和應急對策,來保證計算機信息系統和網路免遭破壞。
現在許多組織都有了CERT/CC,比如中國計算機網路應急處理協調中心、泛歐學術網路組織 TERENA 的CERT EuroCERT日本的JPCERT/CC。
目前,由於緊急情況(emergency)詞義較為狹窄,許多組織現在都用事件(Incident)來取代它,即計算機事件反應組(Computer Incident Response Team,CIRT),這些組織一般稱為IRT、CIRT或CSIRT。有時響應(response)這個詞也用處理(handling)來代替。
由於應急響應組之間不僅存在語言、時區及性質的差異,而且面向不同的用戶群體,屬於不同的國家或組織,他們之間的交流與合作存在著極大的困難,在這種情況下,1990年11個應急響應安全組織成立了事件響應與安全組論壇(Forum of Incident Response and Security Teams,FIRST,http://www.first.org),到2001年底FIRST已經包括全球100多個應急響應安全組織。
⑼ 網路安全應急響應的介紹
「應急響應」對應的英文是「Incident Response」或「Emergency Response」等,通常是指一個組織為了應對各種意外事件的發生所做的准備以及在事件發生後所採取的措施。
⑽ 網路安全應急響應的網路安全應急響應做什麼
應急響應的活動應該主要包括兩個方面:
第一、未雨綢繆,即在事件發生前事先做好准備,比如風險評估、制定安全計劃、安全意識的培訓、以發布安全通告的方式進行的預警、以及各種防範措施;
第二、亡羊補牢,即在事件發生後採取的措施,其目的在於把事件造成的損失降到最小。這些行動措施可能來自於人,也可能來自系統,不如發現事件發生後,系統備份、病毒檢測、後門檢測、清除病毒或後門、隔離、系統恢復、調查與追蹤、入侵者取證等一系列操作。
以上兩個方面的工作是相互補充的。首先,事前的計劃和准備為事件發生後的響應動作提供了指導框架,否則,響應動作將陷入混亂,而這些毫無章法的響應動作有可能造成比事件本身更大的損失;其次,事後的響應可能發現事前計劃的不足,吸取教訓,從而進一步完善安全計劃。因此,這兩個方面應該形成一種正反饋的機制,逐步強化組織的安全防範體系。