计算机网络应急响应研究

  • 格式:pdf
  • 大小:292.45 KB
  • 文档页数:3

学术.技术 

计算机网络应急响应研究 

陈锦华 

(四川石油管理局通信公司,四川成都,610051) 摘要:计算机网络应急响应在保障信息安全上起到越来越重要的作用。该文介绍了国外网络信息安全应急响应的经验、管理 和技术,重点分析了应急响应机构CERT/CC、CSR,C、CIAC网站的内容、组成和体系结构,包括有:多种操作平台的安全资源 

信息、最新技术动态和研究方向、系统运用工程学研究计算机m7络安全、评估安全威胁态势、预测未来网络可能面临的威胁、 应急响应流程和协调、培训方式等,并在此基础上,提出了国内网络系统管理员应注意和改进的建议。该文为发展国内网络应 急响应服务和维护计算机m7络安全提供了参考和借鉴。 关键词:信息安全;应急响应;CE ̄T/CC;脆弱性;CSR,C;CIAC 

The Analysis of Computer Network Emergency Response 

CHEN Jin—hua 

{ Pc Sichuan Pe:!:ro/ez/m Tdecommu/#cat/o/ ̄Company,Ctengdu 8/005/.P. . 池) Abstract:Computer network emergency response pl ̄ys a more&nd more import&nt role in protecting inform&lion system.The&rticle introduces 

the experience,administr&Oon and technology of foreign&dv&nced network emergency response by&nalyzing the website of world le&dlng computer network emergency response institutes CE ̄T/CC,CSP.C&rid C/AC,which include:security inform&tion resources for multi-oper&tion system,latest 

technology development&nd rese&rches,engineering rese&rch on computer network security,ev&lu&tion of situ&tion&l&w&reness,forec&st of possible thre&t Oil network,emergency response process&rid coordin&tion,tr&ining&rid etc. B&sed on the rese&rch,the&uthor gives her suggestions t0 domestic system&dministr&tors.The&rticle is t0 provide reference for the development of domestic network emergency response service&nd 

system security m&inten&nce. Key words:Inform&lion security;Computer network emergency response;CEgT/CC;CSgC;ClAC 

1国内应急响应概况 

目前,计算机网络普及化让人们更方便地取得全球资 

讯,人们越来越依赖于网络及存储的信息。因此,如何保 

证网络的安全以及如何保证网络数据的完整性等问题,El 

益受到人们的高度重视。不幸的是,网络威胁的传播速度 

日益加快,造成的伤害愈发严重,而且也越来越难以控制, 

所以建立网络安全应急响应体系,为各自地区和所属行业 

计算机网络安全事故提供应急响应服务成为必然。 

我国已初步形成了计算机网络应急处理体系框架,主 

要应急响应机构有:国家计算机网络应急技术处理协调中 

心CNCERT/C C,和中国教育和科研计算机网紧急响应 

组CCERT。 鉴于信息化发达国家在这方面有着较丰富的经验,国 

内的安全问题得到了国外应急响应机构的支持和协调。本 

文介绍国外应急响应机构CERT/CC、CSRC、CIAC的 

网站,它们因其对安全性覆盖的范围深度而引人注目。这 

些网站提供了丰富的最新技术动态,为网络系统管理员提 供切实有用的态势信息,进而能评估分析安全威胁态势, 

对系统的安全威胁状况有宏观的了解;它们亦为网络管理 

人员决策自己系统的安全状况提供帮助,以便调整系统安 

全策略,更好地提高系统安全性能。 

2国外应急响应机构 

2。1应急响应协调中心CERT/CC 

l988年l1月,M0rris蠕虫事件直接导致了 

CERT的诞生,由美国国防部资助在Carnegie Mellon 

University(卡内基.梅隆大学)组建了这个全世界第一 

个完全意义上的应急响应组织,后来发展为应急响应协 

调中心CERT/CC(Computer Emergency Response Tearn/Coordination Center)。卡内基。梅隆大学的 

Software Engineering Institute(软件工程学会)负责其 

工作。CERT主要从事研究Intemet安全脆弱性,网络系 

统的信息发展以及长期变化,并提供培切I课程帮助改善信 

息系统安全;在长期从事脆弱性研究的基础上,CERT现 维普资讯 http://www.cqvip.com 在从事脆弱性纠正研究,为CERT会员和在美国CERT 

(US-CERT)脆弱性公告中发布最新发现。 

C职T/CC网站内容的主体结构由五部分构成,如图1所示。 

l!:竺:!!竺:: :竺::兰:竺!:竺:兰 !兰竺! !三 E三三三 

叵三三 叵 叵三三三三圃 区三三三三 叵互盈 叵三 I墨l l GE T/CC网站内容的王体结构 2.1.1软件保证 

软件脆弱性日益被发现,不断增加,软件在运用前需 

要进行纠错。为解决这方面的问题,CERT进行了相关的 

研究。例如,利用安全编码方案查找软件程序的错误。这 

些错误非常容易导致安全方面的问题,所以要制定出方法 

避免错误。CERT通过对数以干计的脆弱性报告分析,发 

现这些脆弱性大部分由有限的少数根部引起。如果能够确 

定产生的原因,然后开发安全编码就可以防止这些脆弱性。 

另外,由于恶意代码在网上日益增加,快速和可靠地 

破译这些代码和及时制定对策是非常重要的。CERT在功 

能抽取FX的工作(FX是一个具有较强理论基础的,可 

以自动计算软件功能行为的新技术),能更好地了解程序 

行为,发现错误和脆弱性,有助于提高软件的规范、体系 

结构、设计、应用和开发过程。 

软件脆弱性纠正工作主要集中在减少软件脆弱性引起 的安全威胁的数量和影响上。通过分析脆弱性,并和供货 

商配合,CERT可以提供纠正和减小脆弱性的精确、中性 

和客观的信息。 

2.1.2安全系统 CERT对生存系统工程方面的研究包括分析容易受到 

攻击的系统是如何被攻击的,然后为这样的系统提出更好 

的设计方案,开发一些技术预测未来网络可能面临的威胁。 ;学术。技术口 

网络态势感知系统(NetSA)小组开发了分析广阔的 

网络活动的工程解决方案和研究方法,目标就是定量地 

确定威胁和目标的攻击者的行为,包括开放性的工具,如 

SiLK(包括由NetSA小组开发的一系列的网络流程工具, 

来促进对大型系统的安全分析)和AirCERT(自动事故 

报告系统AirCERT是一个可伸缩分布式系统,可以在管 

理的范围内分享安全方面的事件的数据)。 

生存系统工程学(SSE)方面主要是研究当前系统,使 

其能确定所发生的问题并提出工程解决方案。 

1 1 0+n 厶 

拥有实用的、强大的计算机安全系统是现在企业从事 

经营活动所必须的条件,但是在企业中建立安全系统是一 

项复杂的事情。CERT在管理、内部人员威胁、安全管理 

和系统工程学方面的工作提供了一个总的原则,为企业领 

导提供一套最佳的解决思路,在企业里建立一套安全系统 

或使已有的安全系统能很好地工作。 

2.1.4协调响应 当计算机安全事故发生了,机构需要对此做出迅速和 

有效地响应。CERT提供如何建立计算机安全应急响应小 

组(CSIRT)的指导意见,帮助保护网络,防止入侵和脆 

弱性。CERT支持国际性计算机安全应急响应小组,发展 

一个能普遍采用的基本政策、实践和技术,帮助其建立事 

故处理能力,从而促进快速地确定和解决危险。CERT意 

识到国家级的CSIRTs重要性,建立一套可以互助和解决 

共同问题的机制变得特别重要,必须培养相互协调的关系, 

建立国际计算机安全信息交换和合作分析的能力,提高政 

府机构组织和工业企业安全保护能力,防止攻击和减少攻 

击的范围和损害。CERT发展计算机犯罪取证领域的工具, 

研究先进的网络犯罪取证和培养网络系统管理人员成为第 

一反应人。 2.1.5培训 

CERT为公司的执行层、管理层、教育者、软件工程 

师、网络管理员和第一线系统操作人员,提供信息安全 

和安全事故响应的课程,帮助培养具备有信息安全和生 

存系统知识的国际高级技术人才。然而并不是所有的人 

都可以亲自参加,CERT开发了VTE(Virtual Training 

Environment,网上培训环境),学生可以在任何时间, 

任何地点进入到有超过400个小时的指导、示范和实践练 

习的课程。CERT还有一套关于计算机安全事故处理的证 

书培训课程。 

2.

2计算机安全资源中心CSRC 维普资讯 http://www.cqvip.com 一 单泰.技术 毒鼍_ 

NIST(National Institute of Standard and 

Technology,美国国家标准和技术协会) 是隶属美国 

商务部的技术管理机构。CSRC(Computer Security 

Resource Center,计算机安全资源中心)是NIST的信 

息技术实验室的八个部门之一。 

CSRC的目标是提高信息系统的安全,提高对抗IT风 

险、脆弱性和保护的意识,特别是新兴技术;调查和研究, 

为政府有关机构提供关于IT脆弱性的建议,并为美国政府 

开发有效的保护安全和隐私的技术;发展标准,机制,检 

测和评估方式,包括促进、测试和评估系统安全和服务, 

教育消费者,为美国政府系统建立必需的最低安全要求; 

发展工作指导准则以提高IT安全的计划、执行、管理和运营。 

CSRC网站主要内容为:(1)CSRC关注的领域主要集 

中在密码的标准和应用、安全测试、安全研究和新兴技术、 

安全管理和帮助4个方面。(2)公布内容:包括NIST在 

信息技术安全方面的调查研究结果。公布形式包括:特别 

公告,NISTIR内部报告和ITL(Information Technology 

Laboratory,信息技术实验室)公告。(3)综合报告、新 

闻和事件:如,年度报告等。(4)建议栏日:公布最新的 

CvE(Common Vulnerabilities and Exposures,公共的脆 

弱性和暴露性,这是美国信息技术标准部门公布的对脆弱