(2005-12-08 10:37:34)

1．什么是应急响应？    

    英文中应急响应有两种表示法，即Emergency Response和Incident Response，其含义是指安全技术人员在遇到突发事件后所采取的措施和行动，而突发事件则是指影响一个系统正常工作的情况。这里的系统包括主机范畴内的问题，也包括网络范畴内的问题，例如黑客入侵、信息窃取、拒绝服务攻击、网络流量异常等。

2．什么是CSIRT或CERT?     

    CSIRT（Computer Security Incident Response Team）或CERT（Computer Emergency Response Team）是计算机网络安全应急小组的英文简称，是专门从事计算机系统及网络安全技术研究，并接收、检查、处理相关安全事件的服务性组织的通称，是国际上公认的专业网络安全保障机构。

3．国际上著名的应急响应组织有那些？      

    (1)美国计算机紧急事件响应小组协调中心（Computer Emergency Response Team/Coordination Center, CERT/CC）      CERT/CC是一个由联邦政府提供资金的机构，成立于1998年，位于匹兹堡的卡内基梅隆大学内。它的主要职能是对软件中的安全漏洞提供咨询，对病毒和蠕虫的爆发提供警报，向计算机用户提供保证计算机系统安全的技巧以及在处理计算机安全事故的行动中进行协调。

    CERT/CC服务的内容：

    ■ 安全事件响应

    ■ 安全事件分析和软件安全缺陷研究

    ■ 漏洞知识库开发

    ■ 信息发布：缺陷、公告、总结、统计、补丁、工具

    ■ 教育与培训：CSIRT管理、CSIRT技术培训、系统和网络管理员安全培训

    ■ 指导其它CSIRT（也称IRT、CERT）组织建设

    (2) 事件响应与安全组织论坛（Forum of Incident Response and Security Teams, FIRST）    

    FIRST是一个国际性的计算机事件响应组织联盟，成立于1990年，办事处设在美国加利福尼亚。论坛由计算机安全事件响应组织的网络构成，各个组织自发地协作，处理计算机安全问题及其预防。这些组织代表着广泛的利益群体，包括政府机构、执法部门、学术界、私营部门以及由指导委员会批准的感兴趣的其它组织。     

     FIRST的主要目标是为参与的组织提供一个相互协作的论坛，促进当前信息的共享，解决共同关注的问题，规划未来的战略。

    FIRST的具体工作任务包括：

    ■ 促进在计算机安全事件中有效防护、侦查和恢复等信息技术方面的合作；

    ■ 为潜在的计算机威胁以及刚刚出现的事件状况提供预警和建议等信息交流的平台；

    ■ 在研究以及运行等领域为FIRST成员提供协助；

    ■ 促进计算机安全相关领域信息、工具和技术的共享。     

    FIRST的主要职责包括：

    ■ FIRST成员开发和共享技术信息、工具、方法、程序和最佳实践等；

    ■ FIRST鼓励和促进优质的安全产品、政策和服务等的发展；

    ■  FIRST建立和推广最佳的计算机安全管理实践；

    ■ FIRST促进事件响应组织和世界范围内成员的扩展；     

    FIRST成员利用自己综合的知识、技能和经验共同促进一个更加安全、更加可靠的全球电子环境。

    （3）亚太地区计算机应急响应组（Asia Pacific Computer Emergency Response Team, APCERT）    

     APCERT是亚太地区最有影响力的应急响应联合组织，于2002年由澳大利亚、中国、日本、韩国等国家的计算机网络安全事件应急小组（CERT）发起成立。目前，该组织已经吸引了亚太地区12个经济体的15个应急组织作为正式成员。

    APCERT成员组织之间建立了稳定高效的信息交流、安全事件通报和事件处理配合机制，在处理大规模网络安全事件时互通信息、互相配合，初步形成了亚太地区计算机网络安全事件应急处理体系。此外，APCERT每年还定期举办全体会议，研究网络安全应急处理领域的体系发展和技术热点等问题，对各成员组织开展应急处理工作具有重要的指导作用。由于APCERT所发挥的日益重要作用，还引起了欧洲学术和政府等应急组织、以及FIRST组织的关注，并纷纷寻求与APCERT建立合作关系。同时，APCERT也开始逐渐受到亚太经合组织（APEC）的重视，并参与APEC中有关网络与信息安全方面的活动。

    APCERT的宗旨是在亚太地区维护一个互信的计算机安全专家联系网络，提高计算机安全和事件相关领域的意识和能力。

    APCERT的目标是：

    ■ 加强亚洲地区信息安全的区域及国际合作；

    ■ 合作建立处理大范围或区域网络安全事件的方法；

    ■ 促进其成员间关于网络安全、计算机病毒和恶意代码的技术转让和信息共享；

    ■ 协助本区域其它计算机安全事件响应组，提高计算机应急体系的效率和作用；

    ■ 参加或提供建议，帮助解决跨区域的与信息安全和应急响应相关的法律问题；

    ■ 组织年会，提升计算机安全事件响应的意识。

    （4）欧洲计算机网络研究教育协会（Trans-European Research and Education Networking Association, TERENA) 

    TERENA成立于1994年，注册地在荷兰的阿姆斯特丹。TERENA旨在推广和参与为教育和研究而进行的高级国际信息和电信设施建设。该组织采取一切必要措施，以促使这些设施建立在开放的标准和最先进的技术之上。TERENA开展一系列的技术活动，提供讨论平台，以鼓励为欧洲研究团体建立高质量的计算机网络。

    TERENA的主要工作领域有以下四个：

    ■ 促进创新活动：TERENA为欧洲网络研究团体提供了一个促进创新活动的环境。在此方面，TERENA能够提供一个中立的基础，进行一些可行性研究，以及建立和示范面向TERENA成员甚至普遍互联网用户的新服务体系。

    ■ 技术规划：TERENA支持欧洲在建立、评估、测试、整合以及推广新网络、中间件和应用技术等方面的工作。TERENA在工作组和创新的合作项目中，能够把其成员和欧洲网络研究团体中的技术专家召集起来。TERENA也组织议题性的研讨会和专门会议，进行经验和信息交流，计划合作活动。

    ■ 技术转让：TERENA组织会议、研讨和讨论，在其成员组织或更大范围的网络研究团体间进行信息交流，使这些组织以及大众互联网用户了解相关领域的发展状况。另外，TERENA也在技术和管理知识领域，向那些欠发达国家的成员组织通过双边或多边途径，进行技术转让。

    ■ 推动成员利益：在与政府、基金、工业和其它组织进行联系中，TERENA代表了成员组织的共同利益和观点。在这方面，TERENA会就研究和教育网络设施建设、服务和应用等方面的政策和技术问题，向欧盟、政府以及其它管理部门提出建议。TERENA还同其它洲的类似组织进行联系，推广欧洲的经验和技术。

    （5）其他国家的应急响应组织

    ■ 澳大利亚计算机应急处理中心（Australia’s  National Computer Emergency Response Team, AusCERT）

    ■ 日本计算机应急处理协调中心（Japan Computer Emergency Response Team/Coordination Center, JPCERT/CC）

    ■ 韩国计算机应急处理协调中心（KoRea Computer Emergency Response Team/Coordination Center, KRCERT/CC） 

 4．我国的应急响应机构有那些？

    （1）国家计算机网络应急技术处理协调中心（National Computer network Emergency Response technical Team/Coordination Center of China, CNCERT/CC）

    CNCERT/CC是在信息产业部互联网应急处理协调办公室的直接领导下，负责协调我国各计算机网络安全事件应急小组（CERT），共同处理国家公共互联网上的安全紧急事件，为国家公共互联网、国家主要网络信息应用系统以及关键部门提供计算机网络安全的监测、预警、应急、防范等安全服务和技术支持，及时收集、核实、汇总、发布有关互联网安全的权威性信息，组织国内计算机网络安全应急组织进行国际合作和交流。

    （2）中国教育和科研计算机网紧急响应组(China Education and Research Network Computer Emergency Response Team, CCERT) 

     CCERT是中国教育和科研计算机网CERNET专家委员会领导之下的一个公益性的服务和研究组织，从事网络安全技术的研究和非营利性质的网络安全服务。目前，CCERT的应急响应体系已经包括CERNET内部各级网络中心的安全事件响应组织或相关安全管理部门，是一个由30多个单位组成、覆盖全国的应急响应组织。

    （3）其他专业性的应急组织

    ■ 国家计算机病毒应急处理中心

    ■ 国家计算机网络入侵防范中心

    ■ 国家863计划反计算机入侵和防病毒研究中心

5．应急响应机构通常提供哪些服务？    

    世界各国的应急响应机构提供的服务大体相同，主要包括以下几个方面的内容；

    （1）提供应急响应服务

    （2）提供安全咨询服务

    （3）提供系统评估或风险评估服务

    （4）提供入侵检测服务

    （5）发布安全公告

    （6）发布漏洞信息

    （7）提供补丁下载

    （8）教育与培训

    （9）追踪与恢复

    （10）组织各种形式的学术交流活动

6．应急响应处理一般分为那几个阶段？

    （1）准备阶段：预防信息安全事件的产生。

    工作范围包括：

    ■ 建立协作体系和应急制度；

    ■ 建立信息沟通渠道和通报机制；

    ■ 如有条件，建立数据汇总分析的体系和能力；

    ■ 制定相关法律法规。

    具体工作包括：

    ■ 帮助服务对象建立安全政策；

    ■ 帮助服务对象按照安全政策配置安全设备和软件；

    ■ 扫描系统漏洞，进行风险分析和系统加固；

    ■ 如有条件且得到许可，建立监控设施。

    （2）确认阶段：确定事件性质和责任人选。

    工作范围包括：

    ■ 通过汇总，确定是否发生了全网的大规模事件；

    ■ 确定应急等级，决定启动哪一级应急方案。

    具体工作包括：

    ■ 确定事件责任人选，即指定一个责任人全权处理此事件并给予必要资源；

    ■ 确定事件性质和影响的严重程度，预计采用什么样的专用资源来修复。

    （3）遏制阶段：及时采取行动遏制事件发展。

    工作范围包括：

    ■ 确保封锁方法对各网业务影响最小；

    ■ 通过协调争取各网一致行动，实施隔离；

    ■ 汇总数据，估算损失和隔离效果。 具体工作包括：

    ■ 初步分析，重点确定适当的遏制方法，如隔离；

    ■ 安全政策咨询；

    ■ 确定进一步操作的风险，控制损失并保持最小；

    ■ 列出若干选项，讲明各自的风险，并请服务对象来做决定。

    （4）根除阶段：彻底解决问题隐患。

    工作范围包括：

    ■ 加强宣传，公布危害性和解决办法，呼吁用户解决终端问题；

    ■ 加强检测工作，发现和清理行业与重点部门的问题。

    具体工作包括：

    ■ 分析原因和漏洞；

    ■ 进行安全加固；

    ■ 改进安全策略。

    （5）恢复阶段：

    工作范围包括：

    ■ 持续汇总分析，了解各网的运行情况；

    ■ 根据各网的运行情况判断隔离措施的有效性；

    ■ 通过汇总分析的结果判断仍然受影响的终端的规模；

    ■ 发现重要用户及时通报解决；

    ■ 适当的时候解除封锁措施。

    具体工作包括：

    ■ 使用备份来恢复受攻击的系统；

    ■ 继续新的备份；

    ■ 对所有安全上的变更作备份；

    ■ 服务重新上线并持续监控。

    （6）跟踪阶段：

    ■ 关注系统恢复以后的安全状况，特别是曾经出问题的地方；

    ■ 建立跟踪文档，规范记录跟踪结果；

    ■ 对响应效果给出评估；

    ■ 对进入司法程序的事件，进行进一步的调查，打击违法犯罪活动。

7．应急响应相关资料

    （1）参考书籍

    ■ 《应急响应》，O'Reilly

    ■ 《应急响应-计算机犯罪调查》，清华大学出版社，2002，Kevin Mandia

    ■ 《网络安全事件响应》，人民邮电出版社，2002，Russell Shumway

    (2) 论文资料

    ■ RFC 2196, Site Security Handbook

    ■ RFC 2350, Expectations for Computer Security Incident Response

    ■ Establishing a Computer Security Incident Response Capability(sp800-3), 1990

    ■ Handbook for Computer Security Incident Response Teams (CSIRTs), 1998

    ■ Organizational Models for Computer Security Incident Response, 2003