网络安全-10-应急与管理

LegalandEthicalAspects(法律与道德问题)网络引发的法律问题攻击恶意代码管理失误泄密传播不良信息利用网络进行违法活动的通信指挥散布谣言，制造恐慌动乱网络上实施经济犯罪网络上实施民事侵权针对网络的行为引发的法律问题利用网络的行为引发的法律问题罪与非罪——刑法285条违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。罪与非罪——刑法287条利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其它犯罪的，依照本法有关规定定罪处罚。ComputerEmergencyResponseTechnology（计算机应急处理技术）的安全问题的产生Internet起于研究项目,安全不是主要的考虑少量的用户，多是研究人员,可信的用户群体可靠性(可用性)、计费、性能、配置、安全“Securityissuesarenotdiscussedinthismemo”网络协议的开放性与系统的通用性目标可访问性，行为可知性攻击工具易用性Internet没有集中的管理权威和统一的政策安全政策、计费政策、路由政策在信息时代，我们每个组织、每个人、每天都在面对着形形色色的网络安全问题，安全事件不再是发生在别人身上的事件。网络空间无时无刻地处在有能力发现并且利用信息技术脆弱性的恶意个体和组织的攻击之下。尽管我们通过诸多技术的、管理的、操作的方法来应对安全事件，但迄今为止，我们尚未找到某种技术防护措施或实施某些安全策略来对信息系统提供绝对的保护。这就是计算机应急响应组织应运而生并且得以蓬勃发展的理由。什么是安全事件安全事件–是那些影响计算机系统和网络安全的不当行为，例如：盗取帐号黑掉网页非法获取其他用户的口令传播计算机病毒发送垃圾包等等……什么是应急响应是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施和行为，其目的是避免、降低危害和损失，以及从危害和损失中恢复。应急响应除了技术之外还需要其他技能，如管理能力、协调能力、法律知识、事件描述技巧、甚至心理学知识(特别是处理来自内部的攻击时)应急处理的由来“莫里斯事件”又称“蠕虫事件”。1988年11月，美国Cornell大学学生Morris编写一个“圣诞树”蠕虫程序，该程序可以利用因特网上计算机的sendmail的漏洞、fingerD的缓冲区溢出及REXE的漏洞进入系统并自我繁殖，鲸吞因特网的带宽资源，造成全球10%的联网计算机陷入瘫痪。这起计算机安全事件极大地震动了美国政府、军方和学术界全球第一个计算机应急处理协调中心八八年的“莫里斯事件”美国能源部（DoE）成立了自已的CIAC美国其他部门的情况1989年，美国能源部（DoE）成立了自已的计算机事件处理组织，称为CIAC（ComputerIncidentAdvisoryCapability)，专门保证能源部计算机系统的安全。至此，各有关部门纷纷开始成立自己的计算机安全事件处理组织。作为发起国，美国在国防部、能源部、空军、海军、众议院、国家宇航局、国家标准与技术局、部分重点大学、IT界知名公司先后成立了四十余个计算机安全事件响应组织。重在响应、协调、研究/分析与统计计算机安全事件。专有名词，CERT与CSIRT计算机应急处理的国际惯称为：CERT–ComputerEmergencyResponseTeam(计算机紧急响应小组)CSIRT–ComputerSecurityIncidentResponseTeams(计算机安全事件响应小组)中文通常提法计算机应急处理组织计算机应急响应小组计算机紧急响应小组在莫里斯事件发生之后，美国国防部高级计划研究署（DARPA）出资在卡内基-梅隆大学（CMU）的软件工程研究所（SEI）建立了计算机应急处理协调中心(CERT/CC)。该中心现在仍然由美国国防部支持，并且作为国际上的骨干组织积极开展相关方面的培训工作。服务的内容安全事件响应安全事件分析和软件安全缺陷研究缺陷知识库开发信息发布：缺陷、公告、总结、统计、补丁、工具教育与培训：CSIRT管理、CSIRT技术培训、系统和网络管理员安全培训指导其它CSIRT（也称IRT、CERT）组织建设13简介CMUSEINetworkedSystemsSurvivabilityprogramSurvivableNetworkManagementCERT/CCSurvivableNetworkTechnologyIncidentHandlingVulnerabilityHandlingCSIRTDevelopmentDoD一种服务性的组织，负责接收、检查并响应计算机安全事件报告和活动。它通常为一个确定的集合体服务，该集合体可能是一个归属实体，比如某个地区或国家、政府、某个公司或教育机构、某个网络等，或者是某个付费用户。网络安全应急响应小组CIRC—ComputerIncidentResponseCapabilityCIRT—ComputerIncidentResponseTeamIHT—IncidentHandingTeamIRC—IncidentResponseCenter/CapabilityIRT—IncidentResponseTeamSERT—SecurityEmergencyResponseTeamSIRT—SecurityIncidentResponseTeam16准备–让我们严阵以待确认–对情况综合判断抑制–防止事态的扩大根除–彻底的补救措施恢复–备份，顶上去!跟踪–还会有下一次吗组织的主要任务处理安全事件，做到热线响应，如提供咨询、帮助。发布计算机网络弱点通告或与安全有关的简报。从事网络安全研究，开发相应的工具。进行安全检查和风险分析，从事网络安全教育。成立可信的网络安全信息交换中心，与执法部门、其他CERT、IT界组织等保持联系。参加国际活动，进行国际合作。的经费支持情况政府出资集团出资纯粹的商业行为会员制主是针对政府部门或面向全社会服务，如DARPA支持CMU的CERT/CC，日本通产省支持的JPCERT皆属于此类。只支持自己的成员，典型地是由某公司出资组建CERT，只为自己国内外的机构和客户服务。如IBM、AT&T均有自己的CERT。纯粹的商业服务收费IRT（安全事件响应工作组）或ERT（紧急事件响应工作组）。对其所属会员收取服务费，如澳大利亚（AusCERT）对其会员按网络规模大小收费，如网络用户个数大于200小于2000的会员，每年收费2500澳元。国内安全事件响应组织建设情况计算机网络基础设施已经严重依赖国外；由于地理、语言、政治等多种因素，安全服务不可能依赖国外的组织国内的应急响应服务已起步并不断发展CCERT（1999年5月），中国第一个安全事件响应组织NJCERT（1999年10月）中国电信ChinaNet安全小组解放军，公安部安全救援服务公司中国计算机应急响应组/协调中心CNCERT/CC2000年3月，北京与国际应急组织密切合作GlobalProblem,GlobalSolution：跨国进行的计算机攻击事件的处理推动了国际应急组织的合作2002年8月，成为FIRST正式成员APCERT创始成员和指导委员会成员同韩国、日本、马来西亚、巴西、澳大利亚多个国家CERT组织保持密切的合作开始与东盟、泛美、欧洲等地区CERT组织建立合作渠道://://://://(ForumofIncidentResponseSecurityTeams)1990年，FIRST成立。FIRST是国际计算机网络安全应急组织的联盟，目前也是唯一一个全球性的应急联盟组织。该组织由众多计算机安全事件应急组织的联络网构成，联络网中的各个组织自发地进行协作，共同处理互联网上的安全事件。这些组织来自全球各个国家或地区，代表着广泛的利益群体，包括政府机构、执法部门、学术界、教育界、企业界以及由论坛指导委员会批准的其他性质的组织或个人。29的使命FIRST成员开发和共享技术信息、工具、方法、流程和最佳实践；FIRST鼓励并推动优质安全产品、策略与服务的开发；FIRST开发并推广最佳计算机安全实践；FIRST推动应急组织的成立和壮大，发展和吸纳来自世界各个领域的应急组织成为FIRST成员；FIRST成员共用他们各自的知识、技能和经验来联合塑造一个更安全、更可靠的全球计算机网络环境。302002年，由AusCERT、CNCERT/CC、JPCERT/CC等CERT组织发起成立了APCERT，即亚太地区计算机应急响应组织联盟。目前，APCERT是亚太地区最有影响力的应急响应合作组织。该组织吸引了亚太地区12个经济体的17个应急组织为成员，并在不断地扩展壮大。32的工作目标APCERT的宗旨是在亚太地区维护一个互信的计算机安全专家联络网，在计算机安全和事件处理相关领域通过自己的公益服务普及地区的安全意识，提高地区的安全防范能力。APCERT的工作目标是：加强亚太地区信息安全的区域及国际合作；合作处理大范围或区域网络安全事件；促进其成员间关于网络安全、计算机病毒和恶意代码的信息共享和技术交