广州医科大学校园网络信息安全保障的主要操作环节分为防护、检测、响应和恢复几个主要部分。其中应急响应是安全保障工作中非常重要的环节。本制度由值班网管员及信息和系统安全员具体执行。
一、应急响应的目标
1、首先是要确认或排除突发事件的发生,对于用户的报警要第一时间进行检测判断,识别是否属于网络安全紧急事件;排除由于其他原因导致的异常情况。
2、应急响应的第一项任务是尽快恢复系统或网络的正常运转。使得校园网用户能够正常连通网络,进行访问。
3、应急响应的第二项任务是使系统和网络操作所遭受的破坏最小化。通过收集积累准确的数据资料,获取和管理有关证据。在应急的过程中注意记录和保留有关的原始数据资料,为下一阶段的分析和处理提供准确可信的资料。
4、最后应急响应要提供准确的分析统计报告和有价值的建议。在响应工作结束时提交分析。
二、应急响应的对象
计算机网络安全事件应急响应的对象是指针对计算机或网络所存储、传输、处理的信息的安全事件,事件的主体可能来自自然界、系统自身故障、组织内部或外部的人、计算机病毒或蠕虫等。例如:
1、破坏保密性的安全事件:比如入侵系统并读取信息、搭线窃听、远程探测网络拓扑结构和计算机系统配置等;
2、破坏完整性的安全事件:比如入侵系统并篡改数据、劫持网络连接并篡改或插入数据、安装特洛伊木马(如BackOrifice2K)、计算机病毒(修改文件或引导区)等;
3、破坏可用性的安全事件:比如系统故障、拒绝服务攻击、计算机蠕虫(以消耗系统资源或网络带宽为目的)等。
4、扫描:包括地址扫描和端口扫描等,为了侵入系统寻找系统漏洞。
5、垃圾邮件骚扰
6、传播色情内容
三、应急响应流程
根据工作内容,应急响应分为准备、事件检测、抑制、根除、恢复、报告等6阶段。
1、准备阶段
在事件真正发生之前应该为事件响应作好准备,这一阶段十分重要。准备阶段的主要工作包括建立合理的防御/控制措施、建立适当的策略和程序、获得必要的资源和组建响应队伍等。
2、检测阶段
检测阶段要做出初步的动作和响应,要由信息及系统安全员根据获得的初步材料和分析结果,估计事件的范围,制订进一步的响应战略,并且保留可能用于司法程序的证据。
3、抑制阶段
抑制的目的是限制攻击的范围。
抑制措施十分重要,因为太多的安全事件可能迅速失控。典型的例子就是具有蠕虫特征的恶意代码的感染。
可采取的抑制策略包括:关闭所有的系统;从网络上断开相关系统;修改防火墙和路由器的过滤规则;封锁或删除被攻破的登录账号;提高系统或网络行为的监控级别;设置陷阱;关闭服务;反击攻击者的系统。
4、根除阶段
在事件被抑制之后,通过对有关恶意代码或行为的分析结果,找出事件根源并彻底清除。
对于单机上的事件,主要可以根据各种操作系统平台的具体的检查和根除程序进行操作即可;
对于大规模爆发的带有蠕虫性质的恶意程序,提醒用户真正关注他们的主机是否已经遭受入侵,防止感染蠕虫的主机在网络中不断地搜索和攻击别的目标。加强各部门网络之间有效的协调通报机制,网络管理员对接入到网络中的子网和用户需要具有足够的管理权限。
5、恢复阶段
恢复阶段的目标是把所有被攻破的系统和网络设备彻底还原到它们正常的任务状态。
恢复工作应该十分小心,避免出现误操作导致数据的丢失。另外,恢复工作中如果涉及到机密数据,需要额外遵照机密系统的恢复要求。对不同任务的恢复工作的承担单位,要有不同的担保。如果攻击者获得了超级用户的访问权,一次完整的恢复应该强制性地修改所有的口令。
6、报告和总结阶段
这个阶段是绝对不能够忽略的重要阶段。本阶段的目标是回顾并整理发生事件的各种相关信息,尽可能地把所有情况记录到文档中。值班网管员需立即向主管领导报告,并向公安机关报告。
信息与现代教育技术中心
二00六年十二月