中心系統網路安全應急響應研究

『壹』 網路安全應急響應的網路安全應急響應做什麼

應急響應的活動應該主要包括兩個方面：
第一、未雨綢繆，即在事件發生前事先做好准備，比如風險評估、制定安全計劃、安全意識的培訓、以發布安全通告的方式進行的預警、以及各種防範措施；
第二、亡羊補牢，即在事件發生後採取的措施，其目的在於把事件造成的損失降到最小。這些行動措施可能來自於人，也可能來自系統，不如發現事件發生後，系統備份、病毒檢測、後門檢測、清除病毒或後門、隔離、系統恢復、調查與追蹤、入侵者取證等一系列操作。
以上兩個方面的工作是相互補充的。首先，事前的計劃和准備為事件發生後的響應動作提供了指導框架，否則，響應動作將陷入混亂，而這些毫無章法的響應動作有可能造成比事件本身更大的損失；其次，事後的響應可能發現事前計劃的不足，吸取教訓，從而進一步完善安全計劃。因此，這兩個方面應該形成一種正反饋的機制，逐步強化組織的安全防範體系。

『貳』 網路安全應急響應的介紹

「應急響應」對應的英文是「Incident Response」或「Emergency Response」等，通常是指一個組織為了應對各種意外事件的發生所做的准備以及在事件發生後所採取的措施。

『叄』 如何理解應急響應在信息安全中的地位和作用

前不久，美國五角大樓向國會遞交了對中國軍力的年度評估報告，報告稱，中國政府和軍方招募民間網路黑客襲擊美國官方網站。隨後，我外交部發言人在記者會上否認了美方的說法，並表示，網路犯罪是世界各國都共同面臨的問題和挑戰，中國是黑客攻擊的受害者，我們希望有關國家加強合作，共同應對和解決這個問題。由此可見，信息和網路安全已成為世界各國都高度重視的問題。那麼，信息安全主要包括哪些內容？軍事領域的信息安全又面臨著哪些威脅？世界各國在信息安全領域有哪些有針對性的保護措施？就這些問題，記者采訪了信息工程大學電子技術學院教授蘇錦海。

記者：《孫子兵法》中講：「知彼知己，百戰不殆。」可見，信息歷來就是軍事斗爭中制勝的重要因素。那麼，「信息安全」這個概念是從什麼時候開始出現的？這個概念的出現和我們常說的信息時代和信息社會，有著怎樣的聯系？

蘇錦海：信息歷來是一種重要的資源，隨著信息技術的發展和應用，社會經濟的發展對信息資源、信息技術和信息產業的依賴程度越來越大，信息和材料、能源一樣成為社會的三大支柱之一，信息時代人類社會的共性之一是信息社會。然而，為了己方利益而非法利用信息，如非法獲得、偽造、篡改等，信息安全問題就產生了。保護信息的合法利用就是要解決信息安全問題。

「信息安全」這個概念要從其發展歷史來看，早在上世紀60年代以前，信息安全措施主要是加密，被稱為「通信保密（COMSEC）」階段。其後，隨著計算機的出現，人們關心的是計算機系統不被他人所非授權使用，稱之為「計算機安全（INFOSEC）」階段。上世紀90年代，隨著網路的應用，人們關心的是如何防止通過網路對計算機進行攻擊，稱之為「網路安全（NETSEC）」階段。進入21世紀，人們關心的是信息和信息系統的整體安全，如何建立完整的保障體系，確保信息和信息系統的安全，這時學術界稱之為「信息保障（IA）」。

信息技術的迅猛發展正在改變著人們的生活，合理使用先進的信息技術使得人們更好地利用信息的價值。然而，開放的網路是信息的主要承載體，人們在享受著它帶來的便利的同時，非法利用信息技術和網路帶來了信息安全問題，開始感受到信息安全所帶來的巨大威脅。信息安全已成為關系社會安全、文化安全、經濟安全、軍事安全乃至國家安全的重大戰略問題。

記者：蘇教授，在您看來，我們通常所講的信息安全包括哪幾個方面的內容？而如果從軍事這個領域來看，軍事信息安全遇到的主要威脅來自哪些方面？

蘇錦海：「信息安全」逐漸被廣大公眾所熟知，廣義信息安全是一般意義、任何形態的信息之安全；狹義信息安全主要指電子系統、計算機網路中的信息安全。

普遍認可的信息安全的定義是保護信息和信息系統不被未經授權的訪問、使用、泄露、中斷、修改和破壞，為信息和信息系統提供保密性、完整性、真實性、可用性、不可否認性服務。簡而言之，使非法者看不了、改不了信息，系統癱不了、信息假不了、行為賴不了。

信息時代的軍事威脅不是大軍壓境，而是直面軍事信息安全的挑戰。軍事信息安全內涵具有特殊性，如嚴格的保密性，地位的戰略性和超強的技術性，主要表現為軍事泄密、黑客攻擊和信息戰三個方面。

無形的信息已在信息化戰爭中起決定性作用，並日益成為最重要的戰鬥力和戰鬥力倍增器。軍事信息安全威脅主要發生在敵對雙方在信息領域的干擾與反干擾、破壞與反破壞、摧毀與反摧毀的斗爭中。目的都是為了奪取「制信息權」。威脅軍事信息安全的因素很多，但威脅最大、影響最深的主要有以下幾個方面：貫穿始終的電子戰威脅奪取「制電磁權，隱秘難測的網路戰威脅控制敵方信息網路，防不勝防的心理戰威脅渙散敵方軍心，高效能的實體摧毀威脅破壞對方信息系統的物理功能。

記者：有觀點認為，從軍隊的角度來講，以前我們可能更看重它的武器裝備的打擊能力，但是在現在的社會環境下，信息安全保密也必將成為關系未來打贏高技術戰爭的決定性因素。我不知道，您對這樣的判斷怎麼看？

蘇錦海：進入信息時代，使得信息由戰爭的幕後走到了台前，使戰場從「陸、海、空、天」發展到了「陸、海、空、天、電磁、網路、心理」七維空間。因此，信息領域的斗爭不可避免地成為未來信息化戰爭的主戰場。信息已成為信息化作戰的核心，信息安全也必然成為關系未來信息化戰爭勝負的戰略課題，成為奪取作戰勝利的重要保證，甚至是決定性因素，確保信息安全保密是信息化作戰的關鍵任務之一。

許多西方軍事分析家認為，工業時代軍隊的基礎是火力殺傷系統，信息時代軍隊的基礎是信息。因此，必須藉助信息這個「力量倍增器」，大力推行信息化建設，思想觀念上深化對信息的再認識，確認信息是「指揮的本錢」，是「制勝的關鍵」，把「制信息權」納入新的爭奪領域。

記者：我最近看了一些與軍隊信息安全相關的材料，其中講到了一個例子，幾年前，美軍一個年輕的空軍上尉，利用在商店裡買到的計算機和數據機，輕而易舉地進入了美軍海軍的指揮控制系統，並篡奪了美海軍大西洋艦隊的指揮權。當時，馬薩諸塞州漢斯科姆空軍基地電子系統中心控制室的計算機熒屏上顯示「控制完成」的字樣後，在場的五角大樓的要人，一時陷入極度恐慌之中。

您個人是否還知道一些這方面比較有代表性的事例？您覺得，類似事件的發生，可以給我們帶來哪些啟示和思考？

蘇錦海：不管是出於國家或軍事目的，還是團體利益或個人興趣誘惑，對軍事信息系統的攻擊和入侵時刻都存在。

伊拉克戰爭打響後，為什麼美軍打擊軍事目標時卻保留了伊軍的通信設施，答案也很清楚，如果早早摧毀伊軍的通信系統，就等於切斷了自己的重要情報來源。美軍使用的偵察衛星，全時監聽進出伊拉克的所有手機、衛星電話等通訊，從中搜索有價值的情報信息。美國情報人員，通過跟蹤監控、竊聽等手段獲取了大量伊拉克政府高官的活動情況，為美軍的「斬首」行動提供了及時可靠的情報。

海灣戰爭一開始，以美國為首的多國部隊就發動了代號為「白雪」行動的電子戰。在空中作戰前24小時，使伊軍失去了警戒偵察和通信能力。有時一天就有15.2萬條假消息、雜亂信息輸入伊軍信息接收站，「信息洪流」使伊軍整個信息系統癱瘓、指揮控制混亂、防空系統基本失去作用。

科索沃戰爭中，北約對南聯盟狂轟濫炸，唯獨對其手機基站網開一面，原因何在？就是利用手機網路的開發和廣播特性，從中截獲所需情報。在北約空襲期間，其信息系統連續遭到俄羅斯和南聯盟電腦「黑客」的網上攻擊，致使北約部分計算機系統的軟、硬體受到電腦病毒的重創，白宮網站曾經一整天無法工作，某航空母艦的指揮控制系統也曾被迫停止運行3小時。

以上事例告誡我們，必須重視和加強我軍信息安全防禦能力，這樣，才能在未來可能發生戰爭時處於不敗之地。

記者：從一個信息安全研究者的角度，您覺得世界各國的軍方對信息安全有著怎樣的態度？這方面有沒有一些比較具體的事例？

蘇錦海：美國率先提出信息安全關系國家戰略安全，把信息安全放到優先發展地位，認為網路攻擊是與核、生、化等武器並列的大規模破壞性武器。「9·11」恐怖襲擊發生後，美國接連頒發了多個重要信息安全法規和總統令，組建了信息安全專門機構，加強了統一領導，建成了一支以信號情報部隊為主力的信息作戰力量，研究開發出了信息攻擊手段和技術，具備了較強的信息防禦和攻擊作戰能力。美國政府把「保護美國信息網路免遭攻擊，並使對手的信息網路癱瘓」，作為軍事轉型的六個重點之一。

俄羅斯、日本、英國、法國、德國等發達國家，也都從國家發展戰略、安全戰略和軍事戰略的高度，大力加強信息安全保密建設，謀求在信息領域的有利地位。2000年總統普京批准了《俄羅斯聯邦信息安全學說》。日本的信息安全對策是從1999年開始正式啟動的，2001年發布「電子日本戰略」，宣布要確保信息通信網路的安全性及可靠性

『肆』 求教目前世界范圍內網路安全方面的最新進展與研究熱點

【熱心相助】
國內外網路安全技術研究現狀
1．國外網路安全技術的現狀
（1）構建完善網路安全保障體系
針對未來網路信息戰和各種網路威脅、安全隱患越來越暴露的安全問題。新的安全需求、新的網路環境、新的威脅，促使美國和其他很多發達國家為具體的技術建立一個以深度防禦為特點的整體網路安全平台——網路安全保障體系。
（2）改進常用安全防護技術
美國等國家對入侵檢測、漏洞掃描、入侵防禦技術、防火牆技術、病毒防禦、訪問控制、身份認證等傳統的網路安全技術進行更為深入的研究，改進其實現技術，為國防等重要機構研發了新型的智能入侵防禦系統、檢測系統、漏洞掃描系統、防火牆等多種安全產品。
另外，美國等發達國家還結合生物識別、PKI和智能卡技術研究訪問控制技術。美國軍隊將生物測量技術作為一個新的研究重點。從美國發生了恐怖襲擊事件，進一步意識到生物識別技術在信息安全領域的潛力。除利用指紋、聲音成功鑒別身份外，還發展了遠距人臉掃描和遠距虹膜掃描的技術，避免了傳統識別方法易丟失、易欺騙等許多缺陷。
（3）強化雲安全信息關聯分析
目前，針對各種更加復雜及頻繁的網路攻擊，加強對單個入侵監測系統數據和漏洞掃描分析等層次的雲安全技術的研究，及時地將不同安全設備、不同地區的信息進行關聯性分析，快速而深入地掌握攻擊者的攻擊策略等信息。美國在捕獲攻擊信息和掃描系統弱點等傳統技術上取得了很大的進展。
（4）加強安全產品測評技術
系統安全評估技術包括安全產品評估和信息基礎設施安全性評估技校。
美國受恐怖襲擊「9.11」事件以來，進一步加強了安全產品測評技術，軍隊的網路安全產品逐步採用在網路安全技術上有競爭力的產品，需要對其進行嚴格的安全測試和安全等級的劃分，作為選擇的重要依據。
（5）提高網路生存（抗毀）技術
美軍注重研究當網路系統受到攻擊或遭遇突發事件、面臨失效的威脅時，盡快使系統關鍵部分能夠繼續提供關鍵服務，並能盡快恢復所有或部分服務。結合系統安全技術，從系統整體考慮安全問題，是網路系統更具有韌性、抗毀性，從而達到提高系統安全性的目的。
主要研究內容包括進程的基本控制技術、容錯服務、失效檢測和失效分類、服務分布式技術、服務高可靠性控制、可靠性管理、服務再協商技術。
（6）優化應急響應技術
在美國「9.11」 襲擊事件五角大樓被炸的災難性事件中，應急響應技術在網路安全體系中不可替代的作用得到了充分的體現。僅在遭受襲擊後幾小時就基本成功地恢復其網路系統的正常運作，主要是得益於事前在西海岸的數據備份和有效的遠程恢復技術。在技術上有所准備，是美軍五角大樓的信息系統得以避免致命破壞的重要原因。
（7）新密碼技術的研究
美國政府在進一步加強傳統密碼技術研究的同時，研究和應用改進新橢圓曲線和AES等對稱密碼，積極進行量子密碼新技術的研究。量子技術在密碼學上的應用分為兩類：一是利用量子計算機對傳統密碼體制進行分析；二是利用單光子的測不準原理在光纖一級實現密鑰管理和信息加密，即量子密碼學。
2. 我國網路安全技術方面的差距
雖然，我國對網路安全技術方面的研究取得一些新成果，但是，與先進的發達國家的新技術、新方法、新應用等方面相比還有差距，需要盡快趕上，否則「被動就要挨打」。
（1）安全意識差，忽視風險分析
目前，我國較多企事業機構在進行構建及實施網路信息系統前，經常忽略或簡化風險分析，導致無法全面地認識系統存在的威脅，很可能導致安全策略、防護方案脫離實際。
（2）急需自主研發的關鍵技術
現在，我國計算機軟硬體包括操作系統、資料庫系統等關鍵技術嚴重依賴國外，而且缺乏網路傳輸專用安全協議，這是最大的安全隱患、風險和缺陷，一旦發生信息戰時，非國產的晶元、操作系統都有可能成為敵方利用的工具。所以，急需進行操作系統等安全化研究，並加強專用協議的研究，增強內部信息傳輸的保密性。
對於已有的安全技術體系，包括訪問控制技術體系、認證授權技術體系、安全DNS體系、IA工具集合、公鑰基礎設施PKI技術體系等，應該制訂持續性發展研究計劃，不斷發展完善，為網路安全保障充分發揮更大的作用。
（3）安全檢測薄弱
網路安全檢測與防禦是網路信息有效保障的動態措施，通過入侵檢測與防禦、漏洞掃描等手段，定期對系統進行安全檢測和評估，及時發現安全問題，進行安全預警，對安全漏洞進行修補加固，防止發生重大網路安全事故。
我國在安全檢測與防禦方面比較薄弱，應研究將入侵檢測與防禦、漏洞掃描、路由等技術相結合，實現跨越多邊界的網路入侵攻擊事件的檢測、防禦、追蹤和取證。
（4）安全測試與評估不完善
如測試評估的標准還不完整，測試評估的自動化工具匱乏，測試評估的手段不全面，滲透性測試的技術方法貧乏，尤其在評估網路整體安全性方面幾乎空白。
（5）應急響應能力弱
應急響應就是對網路系統遭受的意外突發事件的應急處理，其應急響應能力是衡量系統生存性的重要指標。網路系統一旦發生突發事件，系統必須具備應急響應能力，使系統的損失降至最低，保證系統能夠維持最必需的服務，以便進行系統恢復。
我國應急處理的能力較弱，缺乏系統性，對系統存在的脆弱性、漏洞、入侵、安全突發事件等相關知識研究不夠深入。特別是在跟蹤定位、現場取證、攻擊隔離等方面的技術，缺乏研究和相應的產品。
（6）需要強化系統恢復技術
網路系統恢復指系統在遭受破壞後，能夠恢復為可用狀態或仍然維持最基本服務的能力。我國在網路系統恢復方面的工作，主要從系統可靠性角度進行考慮，以磁碟鏡像備份、數據備份為主，以提高系統的可靠性。然而，系統可恢復性的另一個重要指標是當系統遭受毀滅性破壞後的恢復能力，包括整個運行系統的恢復和數據信息的恢復等。在這方面的研究明顯存在差距，應注重相關遠程備份、異地備份與恢復技術的研究，包括研究遠程備份中數據一致性、完整性、訪問控制等關鍵技術。
參考資料主要網站
[ 1 ] IT專家網 http://security.ctocio.com.cn/
[ 2 ] 中國IT實驗室 http://download.chinaitlab.com/
[ 3 ] 安全中國 http://www.anqn.com/jiamijiemi/
[ 4 ] 中國計算機安全 http://www.infosec.org.cn/
[ 5 ] 51CTO技術論壇 http://www.51cto.com/html/
[ 6 ] 毒霸信息安全網 http://news.ba.net/secure/2006/06/07/84794.shtml
[ 7 ] 金山客戶服務中心 http://kefu.xoyo.com/index.php?game=ba
[ 8 ] 中國安全網 http://www.securitycn.net/
[ 9 ] IT安全世界 http://www.itcso.com/

『伍』 國家網路安全事件應急預案應急處置包括

法律分析：包括事件報告、 應急響應、應急結束幾個環節。

法律依據：《國家網路安全事件應急預案》4 應急處置

4.1 事件報告

網路安全事件發生後，事發單位應立即啟動應急預案，實施處置並及時報送信息。各有關地區、部門立即組織先期處置，控制事態，消除隱患，同時組織研判，注意保存證據，做好信息通報工作。對於初判為特別重大、重大網路安全事件的，立即報告應急辦。

4.2 應急響應

網路安全事件應急響應分為四級，分別對應特別重大、重大、較大和一般網路安全事件。I級為最高響應級別。

4.3 應急結束

4.3.1 級響應結束

應急辦提出建議，報指揮部批准後，及時通報有關省（區、市）和部門。

4.3.2 級響應結束

由事件發生省（區、市）或部門決定，報應急辦，應急辦通報相關省（區、市）和部門。

『陸』 《網路安全法》對網路安全應急預案有哪些要求

《網路安全法》第25條規定：網路運營者應當制定網路安全事件應急預案，及時處置系統漏洞、計算機病 毒、網路攻擊、網路侵入等安全風險；在發生危害網路安全的事件時，立即啟動應急預案，採取相應的補救措施，並按照規定向有關主管部門報告。
《網路安全法》第53條規定：國家網信部門協調有關部門建立健全網路安全風險評估和應急工作機制，制定網路安全事件應急預案，並定期組織演練。
負責關鍵基礎信息設施安全保護工作的部門應當制定本行業、本領域的網路安全事件應急預案，並定期組織演練。網路安全事件應急預案應當按照事件發生後的危害程度、影響范圍等因素對網路安全事件進行分級，並規定相應的應急處置措施。
網路安全應急預案應立足安全防護，加強預警，重點保護重要信息網路和關系社會穩定的重要信息系統， 在預防、監控、應急處理、應急保障等方面採取多種措施，構築網路與信息安全保障體系。加強計算機信息網 絡安全的宣傳和教育，提高工作人員的信息安全意識。 要對機房、網路設備、伺服器等設施定期開展安全檢查, 密切關注互聯網信息動態，及時獲取充分而准確的信息， 跟蹤研判，果斷決策，迅速處置，最大限度地減少危害和影響。
希望可以幫到您，謝謝！

『柒』 什麼是數據中心安全應急響應服務

數據中心安全應急響應服務指的是數據中心提供的專門針對數據中心安全意外事件所做的一應准備工作以及事後的一應處理措施的一種安全服務。

『捌』 計算機安全應急響應組的簡介

網路應急響應與救援就是對國內外發生的有關計算機安全的事件進行實時響應與分析，提出解決方案和應急對策，來保證計算機信息系統和網路免遭破壞。在1988年11月的「Internet worm」事件之後1周，美國國防部（DoD）在Carnegie Mellon大學的軟體工程研究所成立了全球最早的計算機應急響應協調中心CERT?/CC對計算機安全方面的事件做出反應、採取行動，CERT?/CC是目前網路安全方面最權威的組織，提供最新的網路安全漏洞及方案。現在許多組織都有了CERT/CC，比如中國計算機網路應急處理協調中心、泛歐學術網路組織 TERENA 的CERT EuroCERT日本的JPCERT/CC。
目前，由於緊急情況（emergency）詞義較為狹窄，許多組織現在都用事件（Incident）來取代它，即計算機事件反應組（Computer Incident Response Team，CIRT），這些組織一般稱為IRT、CIRT或CSIRT。有時響應（response）這個詞也用處理（handling）來代替。
由於應急響應組之間不僅存在語言、時區及性質的差異，而且面向不同的用戶群體，屬於不同的國家或組織，他們之間的交流與合作存在著極大的困難，在這種情況下，1990年11個應急響應安全組織成立了事件響應與安全組論壇（Forum of Incident Response and Security Teams，FIRST，http://www.first.org），到2001年底FIRST已經包括全球100多個應急響應安全組織。
在綜合的WPDRRC（預警、保護、檢測、反應、恢復和反擊）信息安全保障體系中，應急響應與救援處於一個重要的環節，CERT/CC是實現信息安全保障的核心組織體現。目前各國的CERT/CC主要提供以下幾種基本服務：

『玖』 信息網路安全的信息網路安全事件與事件響應

信息網路安全事件的具體含義會隨著「角度」的變化而變化，比如：從用戶（個人、企業等）的角度來說，個人隱私或商業利益的信息在網路上傳輸時受到侵犯，其他人或競爭對手利用竊聽、冒充、篡改、抵賴等手段侵犯用戶的利益和隱私，破壞信息的機密性、完整性和真實性。
從網路運行和管理者角度說，安全事件是對本地網路信息的訪問、讀寫等操作，出現「陷門」、病毒、非法存取、拒絕服務和網路資源非法佔用和非法控制等威脅，或遭受網路黑客的攻擊。對保密部門來說，則是國家機要信息泄露，對社會產生危害，對國家造成巨大損失。從社會教育和意識形態角度來講，被利用在網路上傳播不健康的內容，對社會的穩定和人類的發展造成阻礙等都是安全事件。對於網路運行和管理來說，網路攻擊和計算機病毒傳播等安全事件的響應處置包括6個階段：
1、准備階段，基於威脅建立一組合理的防範、控制措施，建立一組盡可能高效的事件處理程序，獲得處理問題必須的資源和人員，最終建立應急響應體系。
2、檢測階段，進行技術檢測，獲取完整系統備份，進行系統審計，分析異常現象，評估事件范圍，報告事件。
3、控制階段，制定可能的控制策略，擬定詳細的控制措施實施計劃，對控制措施進行評估和選擇，記錄控制措施的執行，繼續報告。
4、根除階段，查找出事件根源並根除之，確認備份系統的安全，記錄和報告。
5、恢復階段，根據事件情況，從保存完好的介質上恢復系統可靠性高，一次完整的恢復應修改所有用戶口令。數據恢復應十分小心，可以從最新的完整備份或從容錯系統硬體中恢復數據，記錄和報告。
6、追蹤階段，非常關鍵，其目標是回顧並整合發生事件信息，對事件進行一次事後分析，為下一步進行的民事或刑事的法律活動提高有用的信息。