应急响应技术报告
1应急响应的背景
网络安全事件从宏观上看是持续的、不间断的,但是具体到每一个事件却是突发的、随机的。面对突如其来的大规模病毒肆虐或蠕虫入侵,即便是专业人士也往往束手无策。这就像“9.11”之后的美国和“SARS”之后的中国,为了应对突发事件,我们必须成立专门的应急小组,其职责是第一时间对突发事件做出有效的响应,将损失降到最低。
世界上最早的应急响应组织是美国于1988年成立的CERT/CC,这得益于当时著名的蠕虫“莫里斯”。之后,很多部门也纷纷成立了自己的应急响应组织。可是1989年的Wank蠕虫,却暴露出这些组织之间沟通不畅的问题,于是,1990年,国际事件响应小组论坛FIRST成立。目前该组织拥有来自世界各地的一百多个应急组织作为会员,交流信息和技术,也协作进行一些事件的处理。
国家计算机网络应急技术处理协调中心CNCERT/CC成立于2001年,于2002年成为FIRST的正式成员,负责骨干网络的监控,并与运营商和其他应急组织建立工作联系,形成了一个互联网应急处理体系。国内的众多安全公司也成立了自己的应急响应中心,对外提供安全咨询和安全事件处理的服务。我国政府对此也给予了高度重视,中发办[2003]27号文件明确提出:要重视信息安全应急处理工作。
2应急响应的概念
应急响应,观其名知其意,即响应紧急事件。但是仔细分析,应急响应还包含两层含义,一是针对紧急事件的响应必须是迅速的,第一时间的,这样才会在事态严重之前阻止事件的继续发展或者降低事件的影响;二是针对