24.安全应急响应PPT课件
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2020/3/22
12
应急响应(Incident Response/Emergency Response)
▪ 通常是指一个组织为了应对各种意外事件的发 生所做的准备以及在事件发生后所采取的措施, 其目的是避免、降低危害和损失,以及从危害 和损失中恢复。
计算机安全应急响应能力
▪ 计算机系统的整体的应急事件的处理能力,包 括针对于安全事件的技术响应手段,流程管理, 人员组织等多个方面。
2
1988年11月,美国康乃尔大学一名研究生 在互联网上发布“网络蠕虫”程序,该程序 利用UNIX操作系统的漏洞通过网络渗透进
主机系统,被感染的计算机陷入瘫痪,因 为它们的处理能力被蠕虫程序的大量副本 消耗殆尽。尽管采取连续关闭Internet数天,
把许多站点和网络断开等严厉措施,仍然 有2100到2600台主机被感染(另一种说法 是6000台主机,占当时连接Internet主机总 数的10%)
120多个正式成员组织,覆盖20多个国家和地区。 FIRST的大量工作都是由来自各成员组织的志愿者完成
的,从FIRST 中获益的比例与IRT愿意提供的贡献成比例。 FIRST的目标,是在事件预防中培养合作和协调,推动
事件快速相应, 同时促进在会员间的大范围信息共享。
2020/3/22
10
CERT、CSIRT、CIRC
2020/3/22
Leabharlann Baidu
7
CERT/CC由3个小组组成
▪ 运作小组
▪ 为计算机安全事件提供24小时技术协助热线;
▪ 通过CERT建议邮件列表,匿名FTP服务和WEB服务,提供 Internet漏洞建议。
▪ 教育和培训小组
▪ 帮助组织培养应急团队,培训用户,增强用户安全意识。 ▪ 制作计算机系统安全相关的技术文档 ▪ 组织计算机安全技术研讨会和工作组
2020/3/22
4
蠕虫攻击
CERT/CC 创建
Morris Worm
2020/3/22
5
CERT/CC
▪ 美国计算机紧急事件响应小组协调中心(Computer Emergency Response Team/Coordination Center, CERT/CC)
▪ CERT/CC的主要职能是对软件中的安全漏洞提供咨 询,对病毒和蠕虫的爆发提供警报,向计算机用户 提供保证计算机系统安全的技巧以及在处理计算机 安全事故的行动中进行协调
▪ 计算机紧急响应小组(CERT,Computer Emergency Response Team)
▪ 计算机安全事故响应小组(CSIRT,Computer Security Incident Response Team)
▪ 计算机事故响应中心(CIRC,Computer Incident Response Center)
2020/3/22
13
应急响应小组/团队(IRT)
▪ 应急响应组就是一个或更多的个人组成的团队, 能快速执行和处理与安全有关的事件的任务。
计算机安全应急响应团队(CSIRT)
▪ 负责日常情况下安全保障和紧急情况下应急响 应任务的组织。
2020/3/22
14
目标应该是简洁的、无歧义的、现实可行 的。
▪ 研究和开发小组
▪ 推动可靠系统的开发 ▪ 开发漏洞检测工具
2020/3/22
8
安全事件响应 安全事件分析和软件安全缺陷研究 漏洞知识库开发 信息发布:缺陷、公告、总结、统计、补
丁、工具 教育与培训:CSIRT管理、CSIRT技术培训、
系统和网络管理员安全培训 指导其它CSIRT(也称IRT、CERT)组织建设
▪ 目前,CERT/CC是美国国防部(DoD)资助下的抗 毁性网络系统计划(Networked Systems Survivability Program)的一部分
2020/3/22
6
CERT/CC的目的:建立一个单一的Internet 社区组织,协调Internet上的安全事件响应。
CERT/CC的宗旨:与Internet社区一起推动 对涉及到Internet主机的计算机安全事件的 响应,采取主动措施去提高公众对计算机 安全问题的认识,同时提高对已存在的安 全性的研究。
目标决定了工作的范围和边界,同时决定 了将要采用何种技术以及服务哪些客户。
建立清晰的、可信的目标有助于确定管理 和必要资金的期望值。
2020/3/22
计算机网络安全技术
2020/3/22
1
概述
▪ 安全应急响应的提出 ▪ CERT/CC和FIRST ▪ 基本概念
安全应急响应能力建设
▪ 应急响应的目标和范畴 ▪ 应急响应的策略体系 ▪ 应急响应组织体系 ▪ 应急响应的流程建设
应急响应运作的六个阶段 应急响应预案的编制 案例讨论
2020/3/22
2020/3/22
3
为了消除网络蠕虫,来自MIT,Berkeley, Purdue和其他大学的专家组成了一个特别 应急团队。
通过这次事件,DARPA(Defense Advanced Research Projects Agency,防御高级研究项 目机构)决定把Internet应急响应团队的概 念制度化。1988年11月底,CERT Coordination Center 在卡耐基梅隆大学软件 工程协会(SEI)正式成立。
▪ 以上词汇都代表同一个含义
2020/3/22
11
事件(Incident)
▪ 事件有正面和负面的。
▪ 违反安全策略的行为。这里所说的安全策略可 能是明确规定的,也可以是引申出来的。
计算机安全事件
▪ 引起计算机系统的安全受到威胁和破坏的任何 事件,这些威胁包括:丢失数据机密性,破坏 数据和系统的完整性,破坏系统的可用性使之 不能提供服务等等。
2020/3/22
9
事件响应和安全团队论坛( the Forum of Incident Response and Security Teams 缩写为FIRST)成立于1990 年。
FIRST为IRT组织、厂商和其他安全专家提供一个论坛, 讨论安全缺陷、入侵者使用的方法和技巧、建议等,共 同的寻找一个可接受的方案。它把政府、商业机构、和 学术组织的安全应急响应团队联合起来,组成一个有机 的整体。