网络安全应急响应

⑴ 如何理解应急响应在信息安全中的地位和作用

前不久，美国五角大楼向国会递交了对中国军力的年度评估报告，报告称，中国政府和军方招募民间网络黑客袭击美国官方网站。随后，我外交部发言人在记者会上否认了美方的说法，并表示，网络犯罪是世界各国都共同面临的问题和挑战，中国是黑客攻击的受害者，我们希望有关国家加强合作，共同应对和解决这个问题。由此可见，信息和网络安全已成为世界各国都高度重视的问题。那么，信息安全主要包括哪些内容？军事领域的信息安全又面临着哪些威胁？世界各国在信息安全领域有哪些有针对性的保护措施？就这些问题，记者采访了信息工程大学电子技术学院教授苏锦海。

记者：《孙子兵法》中讲：“知彼知己，百战不殆。”可见，信息历来就是军事斗争中制胜的重要因素。那么，“信息安全”这个概念是从什么时候开始出现的？这个概念的出现和我们常说的信息时代和信息社会，有着怎样的联系？

苏锦海：信息历来是一种重要的资源，随着信息技术的发展和应用，社会经济的发展对信息资源、信息技术和信息产业的依赖程度越来越大，信息和材料、能源一样成为社会的三大支柱之一，信息时代人类社会的共性之一是信息社会。然而，为了己方利益而非法利用信息，如非法获得、伪造、篡改等，信息安全问题就产生了。保护信息的合法利用就是要解决信息安全问题。

“信息安全”这个概念要从其发展历史来看，早在上世纪60年代以前，信息安全措施主要是加密，被称为“通信保密（COMSEC）”阶段。其后，随着计算机的出现，人们关心的是计算机系统不被他人所非授权使用，称之为“计算机安全（INFOSEC）”阶段。上世纪90年代，随着网络的应用，人们关心的是如何防止通过网络对计算机进行攻击，称之为“网络安全（NETSEC）”阶段。进入21世纪，人们关心的是信息和信息系统的整体安全，如何建立完整的保障体系，确保信息和信息系统的安全，这时学术界称之为“信息保障（IA）”。

信息技术的迅猛发展正在改变着人们的生活，合理使用先进的信息技术使得人们更好地利用信息的价值。然而，开放的网络是信息的主要承载体，人们在享受着它带来的便利的同时，非法利用信息技术和网络带来了信息安全问题，开始感受到信息安全所带来的巨大威胁。信息安全已成为关系社会安全、文化安全、经济安全、军事安全乃至国家安全的重大战略问题。

记者：苏教授，在您看来，我们通常所讲的信息安全包括哪几个方面的内容？而如果从军事这个领域来看，军事信息安全遇到的主要威胁来自哪些方面？

苏锦海：“信息安全”逐渐被广大公众所熟知，广义信息安全是一般意义、任何形态的信息之安全；狭义信息安全主要指电子系统、计算机网络中的信息安全。

普遍认可的信息安全的定义是保护信息和信息系统不被未经授权的访问、使用、泄露、中断、修改和破坏，为信息和信息系统提供保密性、完整性、真实性、可用性、不可否认性服务。简而言之，使非法者看不了、改不了信息，系统瘫不了、信息假不了、行为赖不了。

信息时代的军事威胁不是大军压境，而是直面军事信息安全的挑战。军事信息安全内涵具有特殊性，如严格的保密性，地位的战略性和超强的技术性，主要表现为军事泄密、黑客攻击和信息战三个方面。

无形的信息已在信息化战争中起决定性作用，并日益成为最重要的战斗力和战斗力倍增器。军事信息安全威胁主要发生在敌对双方在信息领域的干扰与反干扰、破坏与反破坏、摧毁与反摧毁的斗争中。目的都是为了夺取“制信息权”。威胁军事信息安全的因素很多，但威胁最大、影响最深的主要有以下几个方面：贯穿始终的电子战威胁夺取“制电磁权，隐秘难测的网络战威胁控制敌方信息网络，防不胜防的心理战威胁涣散敌方军心，高效能的实体摧毁威胁破坏对方信息系统的物理功能。

记者：有观点认为，从军队的角度来讲，以前我们可能更看重它的武器装备的打击能力，但是在现在的社会环境下，信息安全保密也必将成为关系未来打赢高技术战争的决定性因素。我不知道，您对这样的判断怎么看？

苏锦海：进入信息时代，使得信息由战争的幕后走到了台前，使战场从“陆、海、空、天”发展到了“陆、海、空、天、电磁、网络、心理”七维空间。因此，信息领域的斗争不可避免地成为未来信息化战争的主战场。信息已成为信息化作战的核心，信息安全也必然成为关系未来信息化战争胜负的战略课题，成为夺取作战胜利的重要保证，甚至是决定性因素，确保信息安全保密是信息化作战的关键任务之一。

许多西方军事分析家认为，工业时代军队的基础是火力杀伤系统，信息时代军队的基础是信息。因此，必须借助信息这个“力量倍增器”，大力推行信息化建设，思想观念上深化对信息的再认识，确认信息是“指挥的本钱”，是“制胜的关键”，把“制信息权”纳入新的争夺领域。

记者：我最近看了一些与军队信息安全相关的材料，其中讲到了一个例子，几年前，美军一个年轻的空军上尉，利用在商店里买到的计算机和调制解调器，轻而易举地进入了美军海军的指挥控制系统，并篡夺了美海军大西洋舰队的指挥权。当时，马萨诸塞州汉斯科姆空军基地电子系统中心控制室的计算机荧屏上显示“控制完成”的字样后，在场的五角大楼的要人，一时陷入极度恐慌之中。

您个人是否还知道一些这方面比较有代表性的事例？您觉得，类似事件的发生，可以给我们带来哪些启示和思考？

苏锦海：不管是出于国家或军事目的，还是团体利益或个人兴趣诱惑，对军事信息系统的攻击和入侵时刻都存在。

伊拉克战争打响后，为什么美军打击军事目标时却保留了伊军的通信设施，答案也很清楚，如果早早摧毁伊军的通信系统，就等于切断了自己的重要情报来源。美军使用的侦察卫星，全时监听进出伊拉克的所有手机、卫星电话等通讯，从中搜索有价值的情报信息。美国情报人员，通过跟踪监控、窃听等手段获取了大量伊拉克政府高官的活动情况，为美军的“斩首”行动提供了及时可靠的情报。

海湾战争一开始，以美国为首的多国部队就发动了代号为“白雪”行动的电子战。在空中作战前24小时，使伊军失去了警戒侦察和通信能力。有时一天就有15.2万条假消息、杂乱信息输入伊军信息接收站，“信息洪流”使伊军整个信息系统瘫痪、指挥控制混乱、防空系统基本失去作用。

科索沃战争中，北约对南联盟狂轰滥炸，唯独对其手机基站网开一面，原因何在？就是利用手机网络的开发和广播特性，从中截获所需情报。在北约空袭期间，其信息系统连续遭到俄罗斯和南联盟电脑“黑客”的网上攻击，致使北约部分计算机系统的软、硬件受到电脑病毒的重创，白宫网站曾经一整天无法工作，某航空母舰的指挥控制系统也曾被迫停止运行3小时。

以上事例告诫我们，必须重视和加强我军信息安全防御能力，这样，才能在未来可能发生战争时处于不败之地。

记者：从一个信息安全研究者的角度，您觉得世界各国的军方对信息安全有着怎样的态度？这方面有没有一些比较具体的事例？

苏锦海：美国率先提出信息安全关系国家战略安全，把信息安全放到优先发展地位，认为网络攻击是与核、生、化等武器并列的大规模破坏性武器。“9·11”恐怖袭击发生后，美国接连颁发了多个重要信息安全法规和总统令，组建了信息安全专门机构，加强了统一领导，建成了一支以信号情报部队为主力的信息作战力量，研究开发出了信息攻击手段和技术，具备了较强的信息防御和攻击作战能力。美国政府把“保护美国信息网络免遭攻击，并使对手的信息网络瘫痪”，作为军事转型的六个重点之一。

俄罗斯、日本、英国、法国、德国等发达国家，也都从国家发展战略、安全战略和军事战略的高度，大力加强信息安全保密建设，谋求在信息领域的有利地位。2000年总统普京批准了《俄罗斯联邦信息安全学说》。日本的信息安全对策是从1999年开始正式启动的，2001年发布“电子日本战略”，宣布要确保信息通信网络的安全性及可靠性

⑵ 信息网络安全的信息网络安全事件与事件响应

信息网络安全事件的具体含义会随着“角度”的变化而变化，比如：从用户（个人、企业等）的角度来说，个人隐私或商业利益的信息在网络上传输时受到侵犯，其他人或竞争对手利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐私，破坏信息的机密性、完整性和真实性。
从网络运行和管理者角度说，安全事件是对本地网络信息的访问、读写等操作，出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁，或遭受网络黑客的攻击。对保密部门来说，则是国家机要信息泄露，对社会产生危害，对国家造成巨大损失。从社会教育和意识形态角度来讲，被利用在网络上传播不健康的内容，对社会的稳定和人类的发展造成阻碍等都是安全事件。对于网络运行和管理来说，网络攻击和计算机病毒传播等安全事件的响应处置包括6个阶段：
1、准备阶段，基于威胁建立一组合理的防范、控制措施，建立一组尽可能高效的事件处理程序，获得处理问题必须的资源和人员，最终建立应急响应体系。
2、检测阶段，进行技术检测，获取完整系统备份，进行系统审计，分析异常现象，评估事件范围，报告事件。
3、控制阶段，制定可能的控制策略，拟定详细的控制措施实施计划，对控制措施进行评估和选择，记录控制措施的执行，继续报告。
4、根除阶段，查找出事件根源并根除之，确认备份系统的安全，记录和报告。
5、恢复阶段，根据事件情况，从保存完好的介质上恢复系统可靠性高，一次完整的恢复应修改所有用户口令。数据恢复应十分小心，可以从最新的完整备份或从容错系统硬件中恢复数据，记录和报告。
6、追踪阶段，非常关键，其目标是回顾并整合发生事件信息，对事件进行一次事后分析，为下一步进行的民事或刑事的法律活动提高有用的信息。

⑶ 计算机安全应急响应组的简介

网络应急响应与救援就是对国内外发生的有关计算机安全的事件进行实时响应与分析，提出解决方案和应急对策，来保证计算机信息系统和网络免遭破坏。在1988年11月的“Internet worm”事件之后1周，美国国防部（DoD）在Carnegie Mellon大学的软件工程研究所成立了全球最早的计算机应急响应协调中心CERT?/CC对计算机安全方面的事件做出反应、采取行动，CERT?/CC是目前网络安全方面最权威的组织，提供最新的网络安全漏洞及方案。现在许多组织都有了CERT/CC，比如中国计算机网络应急处理协调中心、泛欧学术网络组织 TERENA 的CERT EuroCERT日本的JPCERT/CC。
目前，由于紧急情况（emergency）词义较为狭窄，许多组织现在都用事件（Incident）来取代它，即计算机事件反应组（Computer Incident Response Team，CIRT），这些组织一般称为IRT、CIRT或CSIRT。有时响应（response）这个词也用处理（handling）来代替。
由于应急响应组之间不仅存在语言、时区及性质的差异，而且面向不同的用户群体，属于不同的国家或组织，他们之间的交流与合作存在着极大的困难，在这种情况下，1990年11个应急响应安全组织成立了事件响应与安全组论坛（Forum of Incident Response and Security Teams，FIRST，http://www.first.org），到2001年底FIRST已经包括全球100多个应急响应安全组织。
在综合的WPDRRC（预警、保护、检测、反应、恢复和反击）信息安全保障体系中，应急响应与救援处于一个重要的环节，CERT/CC是实现信息安全保障的核心组织体现。目前各国的CERT/CC主要提供以下几种基本服务：

⑷ 网络安全处理过程

网络安全应急响应是十分重要的，在网络安全事件层出不穷、事件危害损失巨大的时代，应对短时间内冒出的网络安全事件，根据应急响应组织事先对各自可能情况的准备演练，在网络安全事件发生后，尽可能快速、高效的跟踪、处置与防范，确保网络信息安全。就目前的网络安全应急监测体系来说，其应急处理工作可分为以下几个流程：

1、准备工作

此阶段以预防为主，在事件真正发生前为应急响应做好准备。主要包括以下几项内容：制定用于应急响应工作流程的文档计划，并建立一组基于威胁态势的合理防御措施；制定预警与报警的方式流程，建立一组尽可能高效的事件处理程序；建立备份的体系和流程，按照相关网络安全政策配置安全设备和软件；建立一个支持事件响应活动的基础设施，获得处理问题必备的资源和人员，进行相关的安全培训，可以进行应急响应事件处理的预演方案。

2、事件监测

识别和发现各种网络安全紧急事件。一旦被入侵检测机制或另外可信的站点警告已经检测到了入侵，需要确定系统和数据被入侵到了什么程度。入侵响应需要管理层批准，需要决定是否关闭被破坏的系统及是否继续业务，是否继续收集入侵者活动数据（包括保护这些活动的相关证据）。通报信息的数据和类型，通知什么人。主要包括以下几种处理方法：

布局入侵检测设备、全局预警系统，确定网络异常情况；

预估事件的范围和影响的严重程度，来决定启动相应的应急响应的方案；

事件的风险危害有多大，涉及到多少网络，影响了多少主机，情况危急程度；

确定事件责任人人选，即指定一个责任人全权处理此事件并给予必要资源；

攻击者利用的漏洞传播的范围有多大，通过汇总，确定是否发生了全网的大规模入侵事件；

3、抑制处置

在入侵检测系统检测到有安全事件发生之后，抑制的目的在于限制攻击范围，限制潜在的损失与破坏，在事件被抑制以后，应该找出事件根源并彻底根除；然后就该着手系统恢复，把所有受侵害的系统、应用、数据库等恢复到它们正常的任务状态。

收集入侵相关的所有资料，收集并保护证据，保证安全地获取并且保存证据；

确定使系统恢复正常的需求和时间表、从可信的备份介质中恢复用户数据和应用服务；

通过对有关恶意代码或行为的分析结果，找出事件根源明确相应的补救措施并彻底清除，并对攻击源进行准确定位并采取措施将其中断；

清理系统、恢复数据、程序、服务，把所有被攻破的系统和网络设备彻底还原到正常的任务状态。

4、应急场景

网络攻击事件：

安全扫描攻击：黑客利用扫描器对目标进行漏洞探测，并在发现漏洞后进一步利用漏洞进行攻击；

暴力破解攻击：对目标系统账号密码进行暴力破解，获取后台管理员权限；

系统漏洞攻击：利用操作系统、应用系统中存在漏洞进行攻击；

WEB漏洞攻击：通过SQL注入漏洞、上传漏洞、XSS漏洞、授权绕过等各种WEB漏洞进行攻击；

拒绝服务攻击：通过大流量DDOS或者CC攻击目标，使目标服务器无法提供正常服务；

信息破坏事件：

系统配置遭篡改：系统中出现异常的服务、进程、启动项、账号等等；

数据库内容篡改：业务数据遭到恶意篡改，引起业务异常和损失；

网站内容篡改事件：网站页面内容被黑客恶意篡改；

信息数据泄露事件：服务器数据、会员账号遭到窃取并泄露.

⑸ 网络安全应急响应的介绍

“应急响应”对应的英文是“Incident Response”或“Emergency Response”等，通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。

⑹ 应急响应的概念是什么

应急响应对应的英文是Incident Response或Emergency
Response等，通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。
应急响应的对象：
计算机网络安全事件应急响应的对象是指针对计算机或网络所存储、传输、处理的信息的安全事件，事件的主体可能来自自然界、系统自身故障、组织内部或外部的人、计算机病毒或蠕虫等。按照计算机信息系统安全的三个目标，可以把安全事件定义为破坏信息或信息处理系统CIA的行为。比如：
1、破坏保密性的安全事件：比如入侵系统并读取信息、搭线窃听、远程探测网络拓扑结构和计算机系统配置等;
2、破坏完整性的安全事件：比如入侵系统并篡改数据、劫持网络连接并篡改或插入数据、安装特洛伊木马、计算机病毒等;
3、破坏可用性的安全事件：比如系统故障、拒绝服务攻击、计算机蠕虫等;
4、扫描：包括地址扫描或端口扫描等，为了侵入系统寻找系统漏洞;
5、抵赖：指一个实体否认自己曾经执行过的某种操作，比如在电子商务中交易方之一否认自己曾经定购过某种商品，或者商家否认自己曾经接受过订单;
6、垃圾邮件骚扰：垃圾邮件是指接收者没有订阅却被强行塞入信箱的广告、政治宣传等邮件，不仅耗费大量的网络与存储资源，也浪费接收者的时间;
7、传播色情内容：尽管不同的地区和国家政策不同，但是多数国家对于色情信息的传播是限制的，特别是对于青少年儿童的不良影响是各国都极力反对的;
8、愚弄和欺诈：是指散发虚假信息造成的事件，比如曾经发生过几个组织发布应急通告，声称出现了一种可怕的病毒Virtual Card for
You，导致大量惊惶失措的用户删除了硬盘中很重要的数据，导致系统无法启动。

⑺ 网络安全应急响应的网络安全应急响应做什么

应急响应的活动应该主要包括两个方面：
第一、未雨绸缪，即在事件发生前事先做好准备，比如风险评估、制定安全计划、安全意识的培训、以发布安全通告的方式进行的预警、以及各种防范措施；
第二、亡羊补牢，即在事件发生后采取的措施，其目的在于把事件造成的损失降到最小。这些行动措施可能来自于人，也可能来自系统，不如发现事件发生后，系统备份、病毒检测、后门检测、清除病毒或后门、隔离、系统恢复、调查与追踪、入侵者取证等一系列操作。
以上两个方面的工作是相互补充的。首先，事前的计划和准备为事件发生后的响应动作提供了指导框架，否则，响应动作将陷入混乱，而这些毫无章法的响应动作有可能造成比事件本身更大的损失；其次，事后的响应可能发现事前计划的不足，吸取教训，从而进一步完善安全计划。因此，这两个方面应该形成一种正反馈的机制，逐步强化组织的安全防范体系。

⑻ 国家网络信息安全应急协调机制

热心相助
您好！您提出问题是国家安全机密不允许公开流传，请参考：
1.网络信息安全应急机制的理论基础及法律保障
http://wenku..com/view/184ab68002d276a200292e7e.html
2.网络与信息安全应急预案
http://wenku..com/view/dfa3bdfff705cc1755270977.html?from=rec&pos=1&weight=9

⑼ 网络安全应急响应现状如何

当发生网络入侵、病毒爆发、现有网络安全防御体系（如防火墙、入侵检测、入侵防御等）被突破或当机或无异常显示、防毒软件或被病毒所劫杀或对病毒不作为时，如何阻击入侵、查杀病毒、恢复系统？事前制定的应急响应预案总难以有效应对尚且未知的病毒及网络攻击，匆忙赶赴现场，无奈断网恢复，或简单备机切换，大多公司网络安全应急响应现状如此，与黑客病毒实施的远程入侵控制相比，技术和手段完全处于非对等的劣势地位。能否改变现状，有何解决方案？
网络安全体系从技术手段上由两大部分构成：安全防御与应急救治，其两者的关系如同医学上疾病防疫与疾病救治的关系一样，两者的差别在于时间和顺序上的不同。防御在前，黑客或病毒攻击在后，使系统免受破坏称之为安全防御；黑客或病毒攻击在前，救治在后，使系统重新恢复正常称之为应急救治。
目前网络安全产品以安全防御为主，如防火墙、入侵检测、入侵防御、防毒软件，以及网络细分、流量监视、流量控制等等，但网络安全应急救治的产品却处于稀缺或空白的状态。其表现为基于网络安全防御体系的技术水平现状，系统漏洞随着时间推移陆续显露，新病毒总量每年以超几何级数增长，黑客及病毒的技术含量不断提高和攻击手段不断翻新，黑客及病毒突破和破坏现有网络安全防御体系、劫杀和禁用防毒软件现象屡有发生，事前制定的网络安全应急响应预案总难以有效应对尚且未知的病毒及网络攻击，网络安全应急响应尚还处于赶赴现场，断网恢复，备机切换的简单低级层次，究其根本原因，缺乏阻断黑客进攻和查杀病毒的有效工具和能力即时实施网络连接对黑客病毒完成外科手术般的精确打击、定点清除，造成网络部分或全局瘫痪，特别是爆发的大规模传染性网络病毒对提供公共服务的机构造成社会公共安全事件也时有发生。
未雨绸缪，亡羊补牢，事前风险评估、组织机构建立，安全意识培训，安全策略制定，各种措施防范，事后总结提高，安全访问策略修正增补，更加严格措施防范，这些都是合理和必要的，但网络安全应急响应目前状况“重防轻治，以防代治”却是明显的事实。各公司安全防御产品琳琅满目，个个价格不菲，当真正遭受网络入侵、病毒爆发，请求应急帮助时，得到的回复往往可能是，需对贵公司网络状况进行一个安全评估，制定一套安全策略，采用本公司的产品，可以保证下次免遭此类黑客病毒侵袭。“救人于水火，须臾不可待”。可否先救人出水火，再说那事前事后防水防火之事？另一方面，没有哪家公司产品可说是万能的，若此次采用此公司此产品，预防此类黑客病毒侵袭，他日遇彼类黑客病毒侵袭，是否需要采用彼公司彼产品呢？这是用户常遇到的尴尬决择，颇有一番“上船易，下船难”的意境。喊一声“孙大圣”，只听“大圣来也”，孙悟空即到眼前，这是小说《西游记》常描述的情景。若将此描述的情景视为网络安全应急响应模式，或许是再恰当不过的了，“召之即来，挥之即去，来之能战，战之能胜”。
“预防为主，防治结合”，这句话是如此耳濡目染，以至于很少有人考究其正确性和合理性。疾病成千上万，各种病毒也在不断变异进化，在目前医学技术条件下能以接种疫苗方式进行免疫的传染病不过十几种。从这十几种传染病免疫表现出两个特征：1.可预防的；2.预防成本小于救治成本，这正是“预防为主，防治结合”正确性和合理性成立的前提条件。以流感为例，少有人愿意花费上万元去预防花费百把元即可治愈的流感，就是这个道理，一则流感病毒种类繁多，且自身不断变异进化，防不胜防；二则办同样的事花销更少费用是人们普遍的理性决择。防御系统和防毒软件不可能防住所有的黑客病毒的入侵和攻击。基于特征码识别的防毒软件通过特征码比对可识别具有已知特征码的未知病毒，基于行为模式识别的防毒软件通过行为模式比对可识别具有已知行为模式的未知病毒，但前者需要从已知病毒提取特征码，后者需要从已知病毒学习行为模式，所以，基于特征码识别的防毒软件不可能识别具有未知特征码的未知病毒，基于行为模式识别的防毒软件不可能识别具有未知行为模式的未知病毒。假设有朝一日遭遇网络战，遇到的都是已知特征码或已知行为模式的病毒吗？对于穿透防御系统和防毒软件的少量病毒，本应通过应急响应远程或本地即时网络连接，实施精确打击，定点清除的方式给予解决，但如缺少这种应急救治能力，或被迫提高防御级别，或增加备机，或添加人手赶赴现场，如此造成安全防御成本不可避免急剧增长，且效果并不如意。
综上所述，针对网络安全应急响应目前状况及存在的问题，开发一款网络安全应急响应工具，用于发生网络入侵、病毒爆发、现有网络安全防御体系被突破、防毒软件被病毒所劫杀或对病毒不作为时，即时实施远程或本地网络连接，阻击入侵、查杀病毒、恢复系统的工作，这将改变网络安全应急响应“重防轻治，有防无治”的现状，填补缺失了的网络安全应急救治环节，与现有的网络安全防御形成互补，构成防治结合完整的网络安全体系，提升了网络安全应急响应能力，特别是对企业、国防、公安、银行、交通、政府等集团用户具有十分重要的意义；另一方面，通过远程响应缩短应急响应时间，可避免安全事态恶化和大幅减少运行维护成本。