中心系统网络安全应急响应研究

‘壹’ 网络安全应急响应的网络安全应急响应做什么

应急响应的活动应该主要包括两个方面：
第一、未雨绸缪，即在事件发生前事先做好准备，比如风险评估、制定安全计划、安全意识的培训、以发布安全通告的方式进行的预警、以及各种防范措施；
第二、亡羊补牢，即在事件发生后采取的措施，其目的在于把事件造成的损失降到最小。这些行动措施可能来自于人，也可能来自系统，不如发现事件发生后，系统备份、病毒检测、后门检测、清除病毒或后门、隔离、系统恢复、调查与追踪、入侵者取证等一系列操作。
以上两个方面的工作是相互补充的。首先，事前的计划和准备为事件发生后的响应动作提供了指导框架，否则，响应动作将陷入混乱，而这些毫无章法的响应动作有可能造成比事件本身更大的损失；其次，事后的响应可能发现事前计划的不足，吸取教训，从而进一步完善安全计划。因此，这两个方面应该形成一种正反馈的机制，逐步强化组织的安全防范体系。

‘贰’ 网络安全应急响应的介绍

“应急响应”对应的英文是“Incident Response”或“Emergency Response”等，通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。

‘叁’ 如何理解应急响应在信息安全中的地位和作用

前不久，美国五角大楼向国会递交了对中国军力的年度评估报告，报告称，中国政府和军方招募民间网络黑客袭击美国官方网站。随后，我外交部发言人在记者会上否认了美方的说法，并表示，网络犯罪是世界各国都共同面临的问题和挑战，中国是黑客攻击的受害者，我们希望有关国家加强合作，共同应对和解决这个问题。由此可见，信息和网络安全已成为世界各国都高度重视的问题。那么，信息安全主要包括哪些内容？军事领域的信息安全又面临着哪些威胁？世界各国在信息安全领域有哪些有针对性的保护措施？就这些问题，记者采访了信息工程大学电子技术学院教授苏锦海。

记者：《孙子兵法》中讲：“知彼知己，百战不殆。”可见，信息历来就是军事斗争中制胜的重要因素。那么，“信息安全”这个概念是从什么时候开始出现的？这个概念的出现和我们常说的信息时代和信息社会，有着怎样的联系？

苏锦海：信息历来是一种重要的资源，随着信息技术的发展和应用，社会经济的发展对信息资源、信息技术和信息产业的依赖程度越来越大，信息和材料、能源一样成为社会的三大支柱之一，信息时代人类社会的共性之一是信息社会。然而，为了己方利益而非法利用信息，如非法获得、伪造、篡改等，信息安全问题就产生了。保护信息的合法利用就是要解决信息安全问题。

“信息安全”这个概念要从其发展历史来看，早在上世纪60年代以前，信息安全措施主要是加密，被称为“通信保密（COMSEC）”阶段。其后，随着计算机的出现，人们关心的是计算机系统不被他人所非授权使用，称之为“计算机安全（INFOSEC）”阶段。上世纪90年代，随着网络的应用，人们关心的是如何防止通过网络对计算机进行攻击，称之为“网络安全（NETSEC）”阶段。进入21世纪，人们关心的是信息和信息系统的整体安全，如何建立完整的保障体系，确保信息和信息系统的安全，这时学术界称之为“信息保障（IA）”。

信息技术的迅猛发展正在改变着人们的生活，合理使用先进的信息技术使得人们更好地利用信息的价值。然而，开放的网络是信息的主要承载体，人们在享受着它带来的便利的同时，非法利用信息技术和网络带来了信息安全问题，开始感受到信息安全所带来的巨大威胁。信息安全已成为关系社会安全、文化安全、经济安全、军事安全乃至国家安全的重大战略问题。

记者：苏教授，在您看来，我们通常所讲的信息安全包括哪几个方面的内容？而如果从军事这个领域来看，军事信息安全遇到的主要威胁来自哪些方面？

苏锦海：“信息安全”逐渐被广大公众所熟知，广义信息安全是一般意义、任何形态的信息之安全；狭义信息安全主要指电子系统、计算机网络中的信息安全。

普遍认可的信息安全的定义是保护信息和信息系统不被未经授权的访问、使用、泄露、中断、修改和破坏，为信息和信息系统提供保密性、完整性、真实性、可用性、不可否认性服务。简而言之，使非法者看不了、改不了信息，系统瘫不了、信息假不了、行为赖不了。

信息时代的军事威胁不是大军压境，而是直面军事信息安全的挑战。军事信息安全内涵具有特殊性，如严格的保密性，地位的战略性和超强的技术性，主要表现为军事泄密、黑客攻击和信息战三个方面。

无形的信息已在信息化战争中起决定性作用，并日益成为最重要的战斗力和战斗力倍增器。军事信息安全威胁主要发生在敌对双方在信息领域的干扰与反干扰、破坏与反破坏、摧毁与反摧毁的斗争中。目的都是为了夺取“制信息权”。威胁军事信息安全的因素很多，但威胁最大、影响最深的主要有以下几个方面：贯穿始终的电子战威胁夺取“制电磁权，隐秘难测的网络战威胁控制敌方信息网络，防不胜防的心理战威胁涣散敌方军心，高效能的实体摧毁威胁破坏对方信息系统的物理功能。

记者：有观点认为，从军队的角度来讲，以前我们可能更看重它的武器装备的打击能力，但是在现在的社会环境下，信息安全保密也必将成为关系未来打赢高技术战争的决定性因素。我不知道，您对这样的判断怎么看？

苏锦海：进入信息时代，使得信息由战争的幕后走到了台前，使战场从“陆、海、空、天”发展到了“陆、海、空、天、电磁、网络、心理”七维空间。因此，信息领域的斗争不可避免地成为未来信息化战争的主战场。信息已成为信息化作战的核心，信息安全也必然成为关系未来信息化战争胜负的战略课题，成为夺取作战胜利的重要保证，甚至是决定性因素，确保信息安全保密是信息化作战的关键任务之一。

许多西方军事分析家认为，工业时代军队的基础是火力杀伤系统，信息时代军队的基础是信息。因此，必须借助信息这个“力量倍增器”，大力推行信息化建设，思想观念上深化对信息的再认识，确认信息是“指挥的本钱”，是“制胜的关键”，把“制信息权”纳入新的争夺领域。

记者：我最近看了一些与军队信息安全相关的材料，其中讲到了一个例子，几年前，美军一个年轻的空军上尉，利用在商店里买到的计算机和调制解调器，轻而易举地进入了美军海军的指挥控制系统，并篡夺了美海军大西洋舰队的指挥权。当时，马萨诸塞州汉斯科姆空军基地电子系统中心控制室的计算机荧屏上显示“控制完成”的字样后，在场的五角大楼的要人，一时陷入极度恐慌之中。

您个人是否还知道一些这方面比较有代表性的事例？您觉得，类似事件的发生，可以给我们带来哪些启示和思考？

苏锦海：不管是出于国家或军事目的，还是团体利益或个人兴趣诱惑，对军事信息系统的攻击和入侵时刻都存在。

伊拉克战争打响后，为什么美军打击军事目标时却保留了伊军的通信设施，答案也很清楚，如果早早摧毁伊军的通信系统，就等于切断了自己的重要情报来源。美军使用的侦察卫星，全时监听进出伊拉克的所有手机、卫星电话等通讯，从中搜索有价值的情报信息。美国情报人员，通过跟踪监控、窃听等手段获取了大量伊拉克政府高官的活动情况，为美军的“斩首”行动提供了及时可靠的情报。

海湾战争一开始，以美国为首的多国部队就发动了代号为“白雪”行动的电子战。在空中作战前24小时，使伊军失去了警戒侦察和通信能力。有时一天就有15.2万条假消息、杂乱信息输入伊军信息接收站，“信息洪流”使伊军整个信息系统瘫痪、指挥控制混乱、防空系统基本失去作用。

科索沃战争中，北约对南联盟狂轰滥炸，唯独对其手机基站网开一面，原因何在？就是利用手机网络的开发和广播特性，从中截获所需情报。在北约空袭期间，其信息系统连续遭到俄罗斯和南联盟电脑“黑客”的网上攻击，致使北约部分计算机系统的软、硬件受到电脑病毒的重创，白宫网站曾经一整天无法工作，某航空母舰的指挥控制系统也曾被迫停止运行3小时。

以上事例告诫我们，必须重视和加强我军信息安全防御能力，这样，才能在未来可能发生战争时处于不败之地。

记者：从一个信息安全研究者的角度，您觉得世界各国的军方对信息安全有着怎样的态度？这方面有没有一些比较具体的事例？

苏锦海：美国率先提出信息安全关系国家战略安全，把信息安全放到优先发展地位，认为网络攻击是与核、生、化等武器并列的大规模破坏性武器。“9·11”恐怖袭击发生后，美国接连颁发了多个重要信息安全法规和总统令，组建了信息安全专门机构，加强了统一领导，建成了一支以信号情报部队为主力的信息作战力量，研究开发出了信息攻击手段和技术，具备了较强的信息防御和攻击作战能力。美国政府把“保护美国信息网络免遭攻击，并使对手的信息网络瘫痪”，作为军事转型的六个重点之一。

俄罗斯、日本、英国、法国、德国等发达国家，也都从国家发展战略、安全战略和军事战略的高度，大力加强信息安全保密建设，谋求在信息领域的有利地位。2000年总统普京批准了《俄罗斯联邦信息安全学说》。日本的信息安全对策是从1999年开始正式启动的，2001年发布“电子日本战略”，宣布要确保信息通信网络的安全性及可靠性

‘肆’ 求教目前世界范围内网络安全方面的最新进展与研究热点

【热心相助】
国内外网络安全技术研究现状
1．国外网络安全技术的现状
（1）构建完善网络安全保障体系
针对未来网络信息战和各种网络威胁、安全隐患越来越暴露的安全问题。新的安全需求、新的网络环境、新的威胁，促使美国和其他很多发达国家为具体的技术建立一个以深度防御为特点的整体网络安全平台——网络安全保障体系。
（2）改进常用安全防护技术
美国等国家对入侵检测、漏洞扫描、入侵防御技术、防火墙技术、病毒防御、访问控制、身份认证等传统的网络安全技术进行更为深入的研究，改进其实现技术，为国防等重要机构研发了新型的智能入侵防御系统、检测系统、漏洞扫描系统、防火墙等多种安全产品。
另外，美国等发达国家还结合生物识别、PKI和智能卡技术研究访问控制技术。美国军队将生物测量技术作为一个新的研究重点。从美国发生了恐怖袭击事件，进一步意识到生物识别技术在信息安全领域的潜力。除利用指纹、声音成功鉴别身份外，还发展了远距人脸扫描和远距虹膜扫描的技术，避免了传统识别方法易丢失、易欺骗等许多缺陷。
（3）强化云安全信息关联分析
目前，针对各种更加复杂及频繁的网络攻击，加强对单个入侵监测系统数据和漏洞扫描分析等层次的云安全技术的研究，及时地将不同安全设备、不同地区的信息进行关联性分析，快速而深入地掌握攻击者的攻击策略等信息。美国在捕获攻击信息和扫描系统弱点等传统技术上取得了很大的进展。
（4）加强安全产品测评技术
系统安全评估技术包括安全产品评估和信息基础设施安全性评估技校。
美国受恐怖袭击“9.11”事件以来，进一步加强了安全产品测评技术，军队的网络安全产品逐步采用在网络安全技术上有竞争力的产品，需要对其进行严格的安全测试和安全等级的划分，作为选择的重要依据。
（5）提高网络生存（抗毁）技术
美军注重研究当网络系统受到攻击或遭遇突发事件、面临失效的威胁时，尽快使系统关键部分能够继续提供关键服务，并能尽快恢复所有或部分服务。结合系统安全技术，从系统整体考虑安全问题，是网络系统更具有韧性、抗毁性，从而达到提高系统安全性的目的。
主要研究内容包括进程的基本控制技术、容错服务、失效检测和失效分类、服务分布式技术、服务高可靠性控制、可靠性管理、服务再协商技术。
（6）优化应急响应技术
在美国“9.11” 袭击事件五角大楼被炸的灾难性事件中，应急响应技术在网络安全体系中不可替代的作用得到了充分的体现。仅在遭受袭击后几小时就基本成功地恢复其网络系统的正常运作，主要是得益于事前在西海岸的数据备份和有效的远程恢复技术。在技术上有所准备，是美军五角大楼的信息系统得以避免致命破坏的重要原因。
（7）新密码技术的研究
美国政府在进一步加强传统密码技术研究的同时，研究和应用改进新椭圆曲线和AES等对称密码，积极进行量子密码新技术的研究。量子技术在密码学上的应用分为两类：一是利用量子计算机对传统密码体制进行分析；二是利用单光子的测不准原理在光纤一级实现密钥管理和信息加密，即量子密码学。
2. 我国网络安全技术方面的差距
虽然，我国对网络安全技术方面的研究取得一些新成果，但是，与先进的发达国家的新技术、新方法、新应用等方面相比还有差距，需要尽快赶上，否则“被动就要挨打”。
（1）安全意识差，忽视风险分析
目前，我国较多企事业机构在进行构建及实施网络信息系统前，经常忽略或简化风险分析，导致无法全面地认识系统存在的威胁，很可能导致安全策略、防护方案脱离实际。
（2）急需自主研发的关键技术
现在，我国计算机软硬件包括操作系统、数据库系统等关键技术严重依赖国外，而且缺乏网络传输专用安全协议，这是最大的安全隐患、风险和缺陷，一旦发生信息战时，非国产的芯片、操作系统都有可能成为敌方利用的工具。所以，急需进行操作系统等安全化研究，并加强专用协议的研究，增强内部信息传输的保密性。
对于已有的安全技术体系，包括访问控制技术体系、认证授权技术体系、安全DNS体系、IA工具集合、公钥基础设施PKI技术体系等，应该制订持续性发展研究计划，不断发展完善，为网络安全保障充分发挥更大的作用。
（3）安全检测薄弱
网络安全检测与防御是网络信息有效保障的动态措施，通过入侵检测与防御、漏洞扫描等手段，定期对系统进行安全检测和评估，及时发现安全问题，进行安全预警，对安全漏洞进行修补加固，防止发生重大网络安全事故。
我国在安全检测与防御方面比较薄弱，应研究将入侵检测与防御、漏洞扫描、路由等技术相结合，实现跨越多边界的网络入侵攻击事件的检测、防御、追踪和取证。
（4）安全测试与评估不完善
如测试评估的标准还不完整，测试评估的自动化工具匮乏，测试评估的手段不全面，渗透性测试的技术方法贫乏，尤其在评估网络整体安全性方面几乎空白。
（5）应急响应能力弱
应急响应就是对网络系统遭受的意外突发事件的应急处理，其应急响应能力是衡量系统生存性的重要指标。网络系统一旦发生突发事件，系统必须具备应急响应能力，使系统的损失降至最低，保证系统能够维持最必需的服务，以便进行系统恢复。
我国应急处理的能力较弱，缺乏系统性，对系统存在的脆弱性、漏洞、入侵、安全突发事件等相关知识研究不够深入。特别是在跟踪定位、现场取证、攻击隔离等方面的技术，缺乏研究和相应的产品。
（6）需要强化系统恢复技术
网络系统恢复指系统在遭受破坏后，能够恢复为可用状态或仍然维持最基本服务的能力。我国在网络系统恢复方面的工作，主要从系统可靠性角度进行考虑，以磁盘镜像备份、数据备份为主，以提高系统的可靠性。然而，系统可恢复性的另一个重要指标是当系统遭受毁灭性破坏后的恢复能力，包括整个运行系统的恢复和数据信息的恢复等。在这方面的研究明显存在差距，应注重相关远程备份、异地备份与恢复技术的研究，包括研究远程备份中数据一致性、完整性、访问控制等关键技术。
参考资料主要网站
[ 1 ] IT专家网 http://security.ctocio.com.cn/
[ 2 ] 中国IT实验室 http://download.chinaitlab.com/
[ 3 ] 安全中国 http://www.anqn.com/jiamijiemi/
[ 4 ] 中国计算机安全 http://www.infosec.org.cn/
[ 5 ] 51CTO技术论坛 http://www.51cto.com/html/
[ 6 ] 毒霸信息安全网 http://news.ba.net/secure/2006/06/07/84794.shtml
[ 7 ] 金山客户服务中心 http://kefu.xoyo.com/index.php?game=ba
[ 8 ] 中国安全网 http://www.securitycn.net/
[ 9 ] IT安全世界 http://www.itcso.com/

‘伍’ 国家网络安全事件应急预案应急处置包括

法律分析：包括事件报告、 应急响应、应急结束几个环节。

法律依据：《国家网络安全事件应急预案》4 应急处置

4.1 事件报告

网络安全事件发生后，事发单位应立即启动应急预案，实施处置并及时报送信息。各有关地区、部门立即组织先期处置，控制事态，消除隐患，同时组织研判，注意保存证据，做好信息通报工作。对于初判为特别重大、重大网络安全事件的，立即报告应急办。

4.2 应急响应

网络安全事件应急响应分为四级，分别对应特别重大、重大、较大和一般网络安全事件。I级为最高响应级别。

4.3 应急结束

4.3.1 级响应结束

应急办提出建议，报指挥部批准后，及时通报有关省（区、市）和部门。

4.3.2 级响应结束

由事件发生省（区、市）或部门决定，报应急办，应急办通报相关省（区、市）和部门。

‘陆’ 《网络安全法》对网络安全应急预案有哪些要求

《网络安全法》第25条规定：网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病 毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。
《网络安全法》第53条规定：国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制，制定网络安全事件应急预案，并定期组织演练。
负责关键基础信息设施安全保护工作的部门应当制定本行业、本领域的网络安全事件应急预案，并定期组织演练。网络安全事件应急预案应当按照事件发生后的危害程度、影响范围等因素对网络安全事件进行分级，并规定相应的应急处置措施。
网络安全应急预案应立足安全防护，加强预警，重点保护重要信息网络和关系社会稳定的重要信息系统， 在预防、监控、应急处理、应急保障等方面采取多种措施，构筑网络与信息安全保障体系。加强计算机信息网 络安全的宣传和教育，提高工作人员的信息安全意识。 要对机房、网络设备、服务器等设施定期开展安全检查, 密切关注互联网信息动态，及时获取充分而准确的信息， 跟踪研判，果断决策，迅速处置，最大限度地减少危害和影响。
希望可以帮到您，谢谢！

‘柒’ 什么是数据中心安全应急响应服务

数据中心安全应急响应服务指的是数据中心提供的专门针对数据中心安全意外事件所做的一应准备工作以及事后的一应处理措施的一种安全服务。

‘捌’ 计算机安全应急响应组的简介

网络应急响应与救援就是对国内外发生的有关计算机安全的事件进行实时响应与分析，提出解决方案和应急对策，来保证计算机信息系统和网络免遭破坏。在1988年11月的“Internet worm”事件之后1周，美国国防部（DoD）在Carnegie Mellon大学的软件工程研究所成立了全球最早的计算机应急响应协调中心CERT?/CC对计算机安全方面的事件做出反应、采取行动，CERT?/CC是目前网络安全方面最权威的组织，提供最新的网络安全漏洞及方案。现在许多组织都有了CERT/CC，比如中国计算机网络应急处理协调中心、泛欧学术网络组织 TERENA 的CERT EuroCERT日本的JPCERT/CC。
目前，由于紧急情况（emergency）词义较为狭窄，许多组织现在都用事件（Incident）来取代它，即计算机事件反应组（Computer Incident Response Team，CIRT），这些组织一般称为IRT、CIRT或CSIRT。有时响应（response）这个词也用处理（handling）来代替。
由于应急响应组之间不仅存在语言、时区及性质的差异，而且面向不同的用户群体，属于不同的国家或组织，他们之间的交流与合作存在着极大的困难，在这种情况下，1990年11个应急响应安全组织成立了事件响应与安全组论坛（Forum of Incident Response and Security Teams，FIRST，http://www.first.org），到2001年底FIRST已经包括全球100多个应急响应安全组织。
在综合的WPDRRC（预警、保护、检测、反应、恢复和反击）信息安全保障体系中，应急响应与救援处于一个重要的环节，CERT/CC是实现信息安全保障的核心组织体现。目前各国的CERT/CC主要提供以下几种基本服务：

‘玖’ 信息网络安全的信息网络安全事件与事件响应

信息网络安全事件的具体含义会随着“角度”的变化而变化，比如：从用户（个人、企业等）的角度来说，个人隐私或商业利益的信息在网络上传输时受到侵犯，其他人或竞争对手利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐私，破坏信息的机密性、完整性和真实性。
从网络运行和管理者角度说，安全事件是对本地网络信息的访问、读写等操作，出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁，或遭受网络黑客的攻击。对保密部门来说，则是国家机要信息泄露，对社会产生危害，对国家造成巨大损失。从社会教育和意识形态角度来讲，被利用在网络上传播不健康的内容，对社会的稳定和人类的发展造成阻碍等都是安全事件。对于网络运行和管理来说，网络攻击和计算机病毒传播等安全事件的响应处置包括6个阶段：
1、准备阶段，基于威胁建立一组合理的防范、控制措施，建立一组尽可能高效的事件处理程序，获得处理问题必须的资源和人员，最终建立应急响应体系。
2、检测阶段，进行技术检测，获取完整系统备份，进行系统审计，分析异常现象，评估事件范围，报告事件。
3、控制阶段，制定可能的控制策略，拟定详细的控制措施实施计划，对控制措施进行评估和选择，记录控制措施的执行，继续报告。
4、根除阶段，查找出事件根源并根除之，确认备份系统的安全，记录和报告。
5、恢复阶段，根据事件情况，从保存完好的介质上恢复系统可靠性高，一次完整的恢复应修改所有用户口令。数据恢复应十分小心，可以从最新的完整备份或从容错系统硬件中恢复数据，记录和报告。
6、追踪阶段，非常关键，其目标是回顾并整合发生事件信息，对事件进行一次事后分析，为下一步进行的民事或刑事的法律活动提高有用的信息。