網(wǎng)絡(luò)安全應(yīng)急響應(yīng)
網(wǎng)絡(luò)安全應(yīng)急響應(yīng)
“應(yīng)急響應(yīng)”對(duì)應(yīng)的英文是“Incident Response”或“Emergency Response”等,通常是指一個(gè)組織為了應(yīng)對(duì)各種意外事件的發(fā)生所做的準(zhǔn)備以及在事件發(fā)生后所采取的措施。
網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的對(duì)象:
計(jì)算機(jī)網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)的對(duì)象是指針對(duì)計(jì)算機(jī)或網(wǎng)絡(luò)所存儲(chǔ)、傳輸、處理的信息的安全事件,事件的主體可能來(lái)自自然界、系統(tǒng)自身故障、組織內(nèi)部或外部的人、計(jì)算機(jī)病毒或蠕蟲(chóng)等。按照計(jì)算機(jī)信息系統(tǒng)安全的三個(gè)目標(biāo),可以把安全事件定義為破壞信息或信息處理系統(tǒng)CIA的行為。比如:
1.破壞保密性的安全事件:比如入侵系統(tǒng)并讀取信息、搭線(xiàn)竊聽(tīng)、遠(yuǎn)程探測(cè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和計(jì)算機(jī)系統(tǒng)配置等;
2.破壞完整性的安全事件:比如入侵系統(tǒng)并篡改數(shù)據(jù)、劫持網(wǎng)絡(luò)連接并篡改或插入數(shù)據(jù)、安裝特洛伊木馬(如BackOrifice2K)、計(jì)算機(jī)病毒(修改文件或引導(dǎo)區(qū))等;
3.破壞可用性(戰(zhàn)時(shí)最可能出現(xiàn)的網(wǎng)絡(luò)攻擊)的安全事件:比如系統(tǒng)故障、拒絕服務(wù)攻擊、計(jì)算機(jī)蠕蟲(chóng)(以消耗系統(tǒng)資源或網(wǎng)絡(luò)帶寬為目的)等。但是越來(lái)越多的人意識(shí)到,CIA界定的范圍太小了,比如以下事件通常也是應(yīng)急響應(yīng)的對(duì)象:
4.掃描:包括地址掃描和端口掃描等,為了侵入系統(tǒng)尋找系統(tǒng)漏洞。
5.抵賴(lài):指一個(gè)實(shí)體否認(rèn)自己曾經(jīng)執(zhí)行過(guò)的某種操作,比如在電子商務(wù)中交易方之一否認(rèn)自己曾經(jīng)定購(gòu)過(guò)某種商品,或者商家否認(rèn)自己曾經(jīng)接受過(guò)訂單。
6.垃圾郵件騷擾:垃圾郵件是指接收者沒(méi)有訂閱卻被強(qiáng)行塞入信箱的廣告、政治宣傳等郵件,不僅耗費(fèi)大量的網(wǎng)絡(luò)與存儲(chǔ)資源,也浪費(fèi)了接收者的時(shí)間。
7.傳播色情內(nèi)容:盡管不同的地區(qū)和國(guó)家政策不同,但是多數(shù)國(guó)家對(duì)于色情信息的傳播是限制的,特別是對(duì)于青少年兒童的不良影響是各國(guó)都極力反對(duì)的。
8.愚弄和欺詐:是指散發(fā)虛假信息造成的事件,比如曾經(jīng)發(fā)生過(guò)幾個(gè)組織發(fā)布應(yīng)急通告,聲稱(chēng)出現(xiàn)了一種可怕的病毒“Virtual Card for You”,導(dǎo)致大量驚惶失措的用戶(hù)刪除了硬盤(pán)中很重要的數(shù)據(jù),導(dǎo)致系統(tǒng)無(wú)法啟動(dòng)。
應(yīng)急響應(yīng)的活動(dòng)應(yīng)該主要包括兩個(gè)方面:
第一、未雨綢繆,即在事件發(fā)生前事先做好準(zhǔn)備,比如風(fēng)險(xiǎn)評(píng)估、制定安全計(jì)劃、安全意識(shí)的培訓(xùn)、以發(fā)布安全通告的方式進(jìn)行的預(yù)警、以及各種防范措施;
第二、亡羊補(bǔ)牢,即在事件發(fā)生后采取的措施,其目的在于把事件造成的損失降到最小。這些行動(dòng)措施可能來(lái)自于人,也可能來(lái)自系統(tǒng),不如發(fā)現(xiàn)事件發(fā)生后,系統(tǒng)備份、病毒檢測(cè)、后門(mén)檢測(cè)、清除病毒或后門(mén)、隔離、系統(tǒng)恢復(fù)、調(diào)查與追蹤、入侵者取證等一系列操作。
以上兩個(gè)方面的工作是相互補(bǔ)充的。首先,事前的計(jì)劃和準(zhǔn)備為事件發(fā)生后的響應(yīng)動(dòng)作提供了指導(dǎo)框架,否則,響應(yīng)動(dòng)作將陷入混亂,而這些毫無(wú)章法的響應(yīng)動(dòng)作有可能造成比事件本身更大的損失;其次,事后的響應(yīng)可能發(fā)現(xiàn)事前計(jì)劃的不足,吸取教訓(xùn),從而進(jìn)一步完善安全計(jì)劃。因此,這兩個(gè)方面應(yīng)該形成一種正反饋的機(jī)制,逐步強(qiáng)化組織的安全防范體系。