这篇报告聚焦于网络安全应急处理,强调了及时响应在保障安全中的关键作用。介绍了应对网络安全事件的PPDRR模型,并指出面对复杂巨系统,需要建立人机结合的响应体系。报告还讨论了应急处理面临的技术平台、数据交换、处理流程等问题,并提出安全是一个动态过程,需要应对网络、应用、用户和威胁的不断变化。
国家计算机网络应急技术处理协调中心计算机网络安全应急处理.ppt
计算机网络安全应急处理 国家计算机网络应急技术处理协调中(CNCERT/CC) 运行部 主任 杜跃进 博士 2004年7月3日 报告内容 引言:应急处理和网络安全保障的关系 应急处理领域面临的主要问题 国内外现状和趋势 如何才算 安全 假设: 攻击(达到攻击者的目的)所需要的时间Ta= tae - tas ; 防护(确保预先定义的防护指标)所需要的时间Td= tde - tds ; 安全: tde <= tae TIP:在有限成本的前提下,Td不可能无限缩短,因此,尽量减小tds是解决问题的关键 问题: tds从何时算起 tds有可能小于tas吗 如何才算 安全(cont.) 按照过程划分的安全保障的一般环节:PPDRR 结论:安全取决于响应时间和抗攻击时间的关系 Rt ≤ ∑Pt (及时响应是安全保障的关键) 推论: 安全保障的各个环节不应该是相互孤立的; 投资多少和设备好坏,不是决定安全的充分条件 问题: 怎样将这些环节有机地联系起来? 安全是一个动态的过程 “动态”的问题: 网络和系统的组成和变化(结构、地址、甚至操作系统) 应用的变化(内部应用的增加或者减少) 用户的变化(用户的群体和个体行为属性的变化) 外界威胁的变化(新的漏洞、新的攻击方法、etc.) 安全不是一个静止的“状态”,而是一个动态的过程。 什么是应急响应 调查:我们有多少人知道应急响应?多少人知道CERT/CSIRT? 应急处理实际上是网络安全保障“工作”的具体体现。各种防护方案、安全设施、策略规定等,广义上都可以理解为应急处理工作的一部分。而完整的应急处理工作的各个阶段,则体现了网络安全保障的不间断的“过程”。 实践:及时发现是安全保障的第一要求 根本性的问题在于当事件发生的时候,有关人员能否及时发现,以及能否做出准确判断 问题1:局部网络安全策略的维护、日志分析、报警数据处理; 问题2:局部数据只能反映片面的情况,如何作出全局的判断; 问题3:网络世界和现实世界的一个不同之处是,受到事件影响的用户自己经常并不明白发生了什么事情,因此,完全依赖用户投诉作为发现手段是不现实的。 对红色代码、SQL SLAMMER等事件的处理过程,证明了网管人员及其工作在应急工作中的重要性;也证明了数据情报及时汇总分析的重要性。 应急处理领域面临的问题 应急处理成为专业化的方向 应急处理领域面临的问题 方法论的问题 具体方法的问题 技术平台的问题(及其关键技术) 数据交换的问题 处理流程的问题(包括有效的预案) 组织和体系建设的问题(包括和产业界的合作、CERT和LEA的合作) 基础技术问题(漏洞处理、犯罪取证) etc. 方法论的问题:复杂巨系统的控制 已有的论证: 互联网+用户 构成一个复杂巨系统 复杂巨系统的控制,需要“人机结合、以人为主”,建设开放的综合集成的研讨厅体系 突发的危机事件处理,关键在于要在“黄金时间”内作出恰当的响应 面临的重大挑战: 信息网络空间中的危机事件,留给我们的“黄金时间”越来越少,原有的方法如何能够在这个领域进行有效的实践? 问题的重要性:宏观战略的问题! 具体方法的问题:面对各种安全事件的处理技术 已有的工作: 针对各种层出不穷的事件,需要提供相应的解决方法、工具和背景知识:各种后门、病毒、蠕虫;人工的入侵;各种系统、设备、和应用;DoS;Web-deface;Phishing;等(组合) 面临的挑战: 一个CSIRT不可能精通一切; 在解决具体问题的时候,是否能够得到及时的支持 问题的重要性:实际工作中最迫切的问题 技术平台的问题:综合的应急处理支撑平台 在刚刚结束的FIRST大会上,FIRST的主席指出,全球安全事件处理的四个关键因素:事件处理的基础设施、国际论坛、信息技术交流和组织专业化。 我们需要一个什么样的平台? DNIDS?IPS?IHS?PNDS? SOC?What is it indeed? At least: 首先需要一个能够持续、准确、全面、及时反映整体网络安全状况的系统! 面临的重大挑战: 大规模网络、超大规模网络、多网互联、国家网络等情况下,存在很多的关键技术 问题的重要性:没有它,就是无米之炊! 数据交换的问题:系统和组织之间进行数据交互 趋势(而且将成为必然): 应急组织之间展开频繁的数据交换 不同系统之间进行持续的数据交换 高效率的综合数据汇总与分析 面临的问题:IODEF? IDMEF?推广问题 问题的重要性:综合技术平台和CSIRT合作体系的一个必要条件 处理流程的问题:科学规范的方法 理论基础:“人”在安全保障方面的作用不可替代 理论上的问题:如何保证人机结合的过程中,人的动作的规范性和科学性? 实践需求: 不断出现的新的安全事件、不断出现
扫一扫
4395
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
