第17章 网络安全应急响应技术原理与应用

17.1 网络安全应急响应概述

  “居安思危,思则有备,有备无患。”网络安全应急响应是针对潜在发生的网络安全事件而采取的网络安全措施。本节主要阐述网络安全响应的概念、网络安全应急响应的发展、网络安全应急响应的相关要求。

17.1.1 网络安全应急响应概念

  网络安全应急响应是指为应对网络安全事件,相关人员或组织机构对网络安全事件进行监测、预警、分析、响应和恢复等工作。

17.1.2 网络安全应急响应发展

  1988年,美国发生了“小莫里斯网络蠕虫”安全事件,导致上千台计算机受到了影响,促使美国政府成立了世界上每一个计算机安全应急组织CERT。目前,网络安全应急响应机制已经成为网络信息系统安全保障的重要组成部分。
  目前,国内已经建立了国家计算机网络应急技术处理协调中心,简称“国家互联网应急中心”,英文简称为CNCERT或CNCERT/CC,该中心成立于2002年9月,在非政府非盈利的网络安全技术协调组织,是中国网络安全和信息化委员会办公室领导下的国家级网络安全应急机构。作为国家级应急中心,CNCERT的主要职责是:按照“积极预防、及时发现、快速响应、力保恢复”的方针,开展中国互联网上网络安全事件的预防、发现、预警和协调处置等工作,以维护中国公共互联网环境的安全,保障关键信息基础设施的安全运行。

17.1.3 网络安全应急响应相关要求

17.2 网络安全应急响应组织建立与工作机制

  本节叙述网络安全应急响应组织的建立及工作机制,并给出网络安全应急响应组织的类型。

17.2.1 网络安全应急组织建立

  一般来说,网络安全应急响应组织主要由应急领导组和应急技术支撑组构成。领导组的主要职责是领导和协调突发事件与自然灾害的应急指挥、协调等工作;技术支撑组的职责主要是解决网络安全事件的技术问题和现场操作处理安全事件。网络安全应急响应组织的工作主要包括如下几个方面:

  • 网络安全威胁情报分析研究;
  • 网络安全事件的监测与分析;
  • 网络安全预警信息发布;
  • 网络安全应急响应预案编写与修订;
  • 网络安全应急响应知识库开发与管理;
  • 网络安全应急响应演练;
  • 网络安全事件响应和处置;
  • 网络安全事件分析和总结;
  • 网络安全教育与培训。

17.2.2 网络安全应急响应组织工作机制

17.2.3 网络安全应急响应组织类型

  根据资金的来源、服务的对象等多种因素,应急响应组分成以下几类:公益性应急响应组、内部应急响应组、商业性应急响应组、厂商应急响应组。

17.3 网络安全应急响应预案内容与类型

17.3.1 网络安全事件类型与分级

  2017年中央网信办发布《国家网络安全事件应急预案》,其中把网络信息安全事件分为恶意程序事件、网络攻击事件、信息破坏事件、信息安全事件、设备设施故障、灾害性事件和其他信息安全事件等7个基本分类。
  根据网络安全事件对国家安全、社会秩序、经济建设和公众利益的影响程度,可以将网络安全事件分为四级:特别重大网络安全事件、重大网络安全事件、较大网络安全事件和一般网络安全事件

17.3.2 网络安全应急响应预案内容

  网络安全应急预案是指在突发紧急情况下,按事先设想的安全事件类型及意外情形,制定处理安全事件的工作步骤。一般来说,网络安全应急响应预案的基本内容如下:

  • 详细列出系统紧急情况的类型及处理措施。
  • 事件处理基本工作流程。
  • 应急处理所要采取的具体步骤及操作顺序。
  • 执行应急预案有关人员的姓名、住址、电话号码以及有关职能部门的联系方法。

17.3.3 网络安全应急预案类型

  按照网络安全应急响应预案的管理区域,可以分为国家级、区域级、行业级、部门级等网络安全事件应急预案。不同级别的网络安全应急响应预案规定的具体要求不同,管理层级高的预案偏向指导,而层级较低的预案侧重于网络安全事件的处置操作规程。

17.4 常见网络安全应急事件场景与处理流程

17.4.1 常见网络安全应急处理场景

  1. 恶意程序事件
      恶意程序事件通常会导致计算机系统响应缓慢、网络流量异常,主要包括计算机病毒、网络蠕虫、特洛伊木马、僵尸网络。
  2. 网络攻击事件
  • 安全扫描器攻击
  • 暴力破解攻击
  • 系统漏洞攻击
  1. 网站及Web应用安全事件
  • 网页篡改
  • 网页挂马
  • 非法页面
  • Web漏洞攻击
  • 网站域名服务劫持
  1. 拒绝服务事件
  • DDoS:攻击者利用TCP/IP协议漏洞及服务器网络带宽资源的有限性,发起分布式拒绝服务攻击。
  • DoS:服务器存在安全漏洞,导致网络和服务器无法访问,业务中断,用户无法访问。

17.4.2 网络安全应急处理流程

  应急事件处理一般包括安全事件预警、安全事件确认、启动应急预案、安全事件处理、撰写安全事件报告、应急工作总结等步骤。
  第一步,安全事件报警。
  第二步,安全事件确认。
  第三步,启动应急预案。
  第四步,安全事件处理。

  • 准备工作
  • 检测工作
  • 抑制工作
  • 根除工作
  • 恢复工作
  • 总结工作

  第五步,撰写安全事件报告。根据事件处理工作记录和所搜集到的原始数据,结合专家的安全知识,完成安全事件报告的撰写。安全事件报告包括如下内容:

  • 安全事件发生的日期;
  • 参加人员;
  • 事件发现的途径;
  • 事件类型;
  • 事件涉及的范围;
  • 现场记录;
  • 事件导致的损失和影响;
  • 事件处理的过程;
  • 从本次事故中应该吸取的经验与教训。

  第六步,应急工作总结。

17.4.3 网络安全事件应急演练

  网络安全事件应急演练是对假定的网络安全事件出现情况进行模拟响应,以确认应急响应工作机制及网络安全事件预案的有效性。
  网络安全事件应急演练的类型按组织形式划分,可分为桌面应急演练和实战应急演练;按内容划分,可分为单项应急演练和综合应急演练;按目的与作用划分,可分为检验性应急演练、示范性应急演练和研究性应急演练。
  网络安全事件应急演练的一般流程是制定应急演练工作计划,编写应急演练具体方案,组织实施应急演练方案,最后评估和总结应急演练工作,优化改进应急响应机制及应急预案。

17.5 网络安全应急响应技术与常见工具

  网络安全应急响应是各种技术的综合应用及网络安全管理活动的协作。本节主要阐述常见的网络安全应急响应技术,包括访问控制、网络安全评估、网络安全监测、系统恢复、入侵取证等。

17.5.1 网络安全应急响应技术概况

  网络安全应急响应是一个复杂的过程,需要综合应用多种技术和安全机制。在网络安全应急响应过程中,常用到的技术如表17-4所示。
  表17-4 应急响应常用技术分类表

应急技术类型

用途描述

参考实例

访问控制

攻击阻断,用于网络安全事件处置

防火墙

网络安全评估

掌握攻击途径及系统状态,用于网络安全事件处置

漏洞扫描 木马检测

系统恢复

恢复受害系统,用于网络安全事件事后处置

系统启动盘 灾备系统启用

网络安全监测

实时分析系统、网络活动,用于网络安全事件事前监测预警

网络协议分析器、入侵检测系统

入侵取证

追究入侵者的法律责任,用于网络安全事件处置

网络追踪及硬盘克隆

17.5.2 访问控制

  访问控制是网络安全应急响应的重要技术手段,其主要用途是控制网络资源不被非法访问,限制安全的影响范围。

17.5.3 网络安全评估

  网络安全评估是指对受害系统进行分析,获取受害系统的危害状况。目前,网络安全评估的方法主要有以下几种。

  1. 恶意代码检测
  2. 漏洞扫描
  3. 文件完整性检查
  4. 系统配置文件检查
  5. 网卡混杂模式检查
  6. 文件系统检查
  7. 日志文件审查

17.5.4 网络安全监测

  网络安全监测的目的是对受害系统的网络活动或内部活动进行分析,获取受害系统的当前状态信息。目前,网络安全监测的方法主要有以下几种。

  1. 网络流量监测
  2. 系统自身监测
      系统自身监测的目的的主要在于掌握受害系统的当前活动状态,以确认入侵者在受害系统的操作。系统自身监测的方法包括如下几个方面。
      1)受害系统的网络通信状态监测
      2)受害系统的操作系统进程活动状态监测
      3)受害系统的用户活动状况监测
      4)受害系统的地址解析状况监测
      5)受害系统的进程资源使用状况监测

17.5.5 系统恢复

  系统恢复技术用于将受害系统进行安全处理后,使其重新正常运行,尽量降低攻击造成的损失。系统恢复技术的主要有下面几种。

  1. 系统紧急启动
  2. 恶意代码清除
  3. 文件删除恢复
  4. 系统备份容灾
      针对网络信息系统的容灾恢复问题,国家制定和颁布了《信息安全技术 信息系统灾难恢复规范(GB/T 20988-2007)》,该规范定义了六个灾难恢复等级和技术要求,各级规范要求如下:
  • 第1级-基本支持。
  • 第2级-备用场地支持。
  • 第3级-电子传输和部分设备支持。
  • 第4级-电子传输支持和完整设备支持。
  • 第5级-实时数据传输及完整设备支持。
  • 第6级-数据零丢失和远程集群支持。

17.5.6 入侵取证

  入侵取证是指通过特定的软件和工具,从计算机及网络系统中提取攻击证据。依据证据信息变化的特点,可以将证据信息分成两大类:第一类是实时信息或易失信息,例如内存和网络连接;第二类是非易失信息,不会随设备断电而丢失。通常,可以作为证据或证据关联的信息有以下几种:

  • 日志,
  • 文件,
  • 系统进程
  • 用户
  • 系统状态
  • 网络通信连接记录
  • 磁盘介质

  网络安全取证一般包含如下6个步骤:
  第一步,取证现场保护。
  第二步,识别证据。
  第三步,传输证据。
  第四步,保存证据。
  第五步,分析证据。
  第六步,提交证据。
  在取证过程中,每一步的执行都涉及相关的技术与工具。

  1. 证据获取
      此类技术用于从受害系统获取原始证据数据,常见证据有系统时间、系统配置信息、关键系统文件、系统用户信息、系统日志、垃圾箱文件、网络访问记录、恢复已删除的文件、防火墙日志、IDS日志等。典型工具有ipconfig、ifconfig、netstat、fport、lfof、date、time、who、ps、TCPDump等。
  2. 证据安全保护
      此类技术用于保护受害系统的证据的完整性及保密性,防止证据受到破坏或非法访问,如用md5sum、Tripwire保护相关证据数据的完整性,使用PGP加密电子邮件。
  3. 证据分析
      此类技术用于分析受害系统的证据数据,常见的技术方法有关键词搜索、可疑文件分析、数据挖掘等。利用grep、find可搜索日志文件中与攻击相关的信息;使用OllDbg、GDB、string分析可疑文件;对tracert、IDS报警数据和IP地址地理数据进行关联分析,可以定位攻击源。