網路安全應急響應

網路安全應急響應

應急響應”對應的英文是“Incident Response”或“Emergency Response”等,通常是指一個組織為了應對各種意外事件的發生所做的準備以及在事件發生后所採取的措施。

對象


計算機網路安全事件應急響應的對象是指針對計算機或網路所存儲、傳輸、處理的信息的安全事件,事件的主體可能來自自然界、系統自身故障、組織內部或外部的人、計算機病毒或蠕蟲等。按照計算機信息系統安全的三個目標,可以把安全事件定義為破壞信息或信息處理系統CIA的行為。比如:
1.破壞保密性的安全事件:比如入侵系統並讀取信息、搭線竊聽、遠程探測網路拓撲結構和計算機系統配置等;
2.破壞完整性的安全事件:比如入侵系統並篡改數據、劫持網路連接並篡改或插入數據、安裝特洛伊木馬(如BackOrifice2K)、計算機病毒(修改文件或引導區)等;
3.破壞可用性(戰時最可能出現的網路攻擊)的安全事件:比如系統故障、拒絕服務攻擊、計算機蠕蟲(以消耗系統資源或網路帶寬為目的)等。但是越來越多的人意識到,CIA界定的範圍太小了,比如以下事件通常也是應急響應的對象:
4.掃描:包括地址掃描和埠掃描等,為了侵入系統尋找系統漏洞。
5.抵賴:指一個實體否認自己曾經執行過的某種操作,比如在電子商務中交易方之一否認自己曾經定購過某種商品,或者商家否認自己曾經接受過訂單。
6.垃圾郵件騷擾:垃圾郵件是指接收者沒有訂閱卻被強行塞入信箱的廣告、政治宣傳等郵件,不僅耗費大量的網路與存儲資源,也浪費了接收者的時間。
7.傳播色情內容:儘管不同的地區和國家政策不同,但是多數國家對於色情信息的傳播是限制的,特別是對於青少年兒童的不良影響是各國都極力反對的。
8.愚弄和欺詐:是指散發虛假信息造成的事件,比如曾經發生過幾個組織發布應急通告,聲稱出現了一種可怕的病毒“Virtual Card for You”,導致大量驚惶失措的用戶刪除了硬碟中很重要的數據,導致系統無法啟動。

主要意義


應急響應的活動應該主要包括兩個方面:
第一、未雨綢繆,即在事件發生前事先做好準備,比如風險評估、制定安全計劃、安全意識的培訓、以發布安全通告的方式進行的預警、以及各種防範措施;
第二、亡羊補牢,即在事件發生后採取的措施,其目的在於把事件造成的損失降到最小。這些行動措施可能來自於人,也可能來自系統,不如發現事件發生后,系統備份、病毒檢測、後門檢測、清除病毒或後門、隔離、系統恢復、調查與追蹤、入侵者取證等一系列操作。
以上兩個方面的工作是相互補充的。首先,事前的計劃和準備為事件發生后的響應動作提供了指導框架,否則,響應動作將陷入混亂,而這些毫無章法的響應動作有可能造成比事件本身更大的損失;其次,事後的響應可能發現事前計劃的不足,吸取教訓,從而進一步完善安全計劃。因此,這兩個方面應該形成一種正反饋的機制,逐步強化組織的安全防範體系。