計算機安全應急響應組
計算機安全應急響應組
隨著網路信息系統在政治、軍事、金融、商業、文教等方面發揮越來越大的作用,社會對網路信息系統的依賴也日益增強。而不斷出現的軟硬體故障、病毒發作、網路入侵、天災人禍等安全事件也隨之變得非常突出,由於安全事件的突發性、複雜性與專業性,為了有備無患
,需要建立計算機安全事件的快速發應機制,“計算機安全應急響應組”應運而生。
網路應急響應與救援就是對國內外發生的有關計算機安全的事件進行實時響應與分析,提出解決方案和應急對策,來保證計算機信息系統和網路免遭破壞。在1988年11月的“Internet worm”事件之後1周,美國國防部(DoD)在Carnegie Mellon大學的軟體工程研究所成立了全球最早的計算機應急響應協調中心CERT?/CC對計算機安全方面的事件做出反應、採取行動,CERT?/CC是目前網路安全方面最權威的組織,提供最新的網路安全漏洞及方案。現在許多組織都有了CERT/CC,比如中國計算機網路應急處理協調中心、泛歐學術網路組織 TERENA 的CERT EuroCERT日本的JPCERT/CC。
目前,由於緊急情況(emergency)詞義較為狹窄,許多組織現在都用事件(Incident)來取代它,即計算機事件反應組(Computer Incident Response Team,CIRT),這些組織一般稱為IRT、CIRT或CSIRT。有時響應(response)這個詞也用處理(handling)來代替。
由於應急響應組之間不僅存在語言、時區及性質的差異,而且面向不同的用戶群體,屬於不同的國家或組織,他們之間的交流與合作存在著極大的困難,在這種情況下,1990年11個應急響應安全組織成立了事件響應與安全組論壇(Forum of Incident Response and Security Teams,FIRST,http://www.first.org),到2001年底FIRST已經包括全球100多個應急響應安全組織。
在綜合的WPDRRC(預警、保護、檢測、反應、恢復和反擊)信息安全保障體系中,應急響應與救援處於一個重要的環節,CERT/CC是實現信息安全保障的核心組織體現。目前各國的CERT/CC主要提供以下幾種基本服務:
如果網路受到攻擊者入侵、病毒感染、或者發生了其他安全相關的事件,可以通過電子郵件、在線呼叫、熱線電話向CERT報告,CERT根據事件的緊急程度提供相應的幫助、建議與救援。
檢查入侵來源。完成入侵的取證工作,用於將來的法律訴訟。
恢復系統正常工作。
事故分析。以便將來避免類似安全事件的發生。
發布安全警報、安全公告、安全建議。只有當出現最嚴重的安全問題時CERT才發布安全警報,一般的安全問題則以安全公告的形式發布。
諮詢。解決用戶安全方面的求助。
風險評估。CERT定期對特定的網路和系統進行風險評估,以便及時的發現網路和系統安全存在的安全隱患。
安全教育培訓。為其他組織培訓安全技術人員。
協助其他組織成立自己的CERT,建立網路應急與救援隊伍。