【文章內(nèi)容簡(jiǎn)介】 服務(wù)商根據(jù)客戶的要求以最快的速度趕到現(xiàn)場(chǎng)，協(xié)助客戶解決問題，查找后門，保存證據(jù)和追查來源。 應(yīng)急響應(yīng)的目的應(yīng)急響應(yīng)的目的167。 應(yīng)急響應(yīng)服務(wù)的目的是盡可能地減小和控制住網(wǎng)絡(luò)安全事件的損失，提供有效的響應(yīng)和恢復(fù)指導(dǎo)，并努力防止安全事件的發(fā)生。167。 網(wǎng)絡(luò)安全的發(fā)展日新月異，誰也無法實(shí)現(xiàn)一勞永逸的安全服務(wù)。業(yè)務(wù)業(yè)務(wù)應(yīng)急響應(yīng)目標(biāo)應(yīng)急響應(yīng)目標(biāo)積極預(yù)防積極預(yù)防167。 凡是預(yù)則立，不預(yù)則廢? 事件預(yù)防是事件應(yīng)急響應(yīng)能力的重要前提167。 組織現(xiàn)有的信息安全保障能力? 識(shí)別公司風(fēng)險(xiǎn)? 準(zhǔn)備主機(jī)、采取網(wǎng)絡(luò)安全措施? 制訂應(yīng)急響應(yīng)目標(biāo)的策略和規(guī)程? …及時(shí)發(fā)現(xiàn)：安全保障的第一要求及時(shí)發(fā)現(xiàn)：安全保障的第一要求167。 根本性的問題在于當(dāng)事件發(fā)生的時(shí)候，有關(guān)人員能否根本性的問題在于當(dāng)事件發(fā)生的時(shí)候，有關(guān)人員能否及時(shí)發(fā)現(xiàn)，以及能否做出準(zhǔn)確判斷及時(shí)發(fā)現(xiàn)，以及能否做出準(zhǔn)確判斷事后：部分用戶投訴事件；事中：大規(guī)模網(wǎng)絡(luò)攻擊事件、 部分用戶投訴事件事前：異常檢測(cè)的分析結(jié)果、 關(guān)聯(lián)事件、 根據(jù)其他情報(bào)獲悉快速響應(yīng)167。 不但對(duì)已知事件快速響應(yīng)，對(duì)未知事件也可及時(shí)處理并采取相應(yīng)措施確?；謴?fù)：安全保障的第一目標(biāo)確保恢復(fù)：安全保障的第一目標(biāo)167。 應(yīng)急處理的兩個(gè)根本性目標(biāo)：確保恢復(fù)、追究應(yīng)急處理的兩個(gè)根本性目標(biāo)：確?；謴?fù)、追究責(zé)任責(zé)任167。 除非是除非是 “事后事后 ”處理的事件，否則應(yīng)急處理人員首處理的事件，否則應(yīng)急處理人員首先要解決的問題是如何確保受影響的系統(tǒng)恢復(fù)先要解決的問題是如何確保受影響的系統(tǒng)恢復(fù)正常的功能正常的功能167。 追究責(zé)任涉及到法律問題，一般用戶單位或第追究責(zé)任涉及到法律問題，一般用戶單位或第三方支援的應(yīng)急處理人員主要起到配合分析的三方支援的應(yīng)急處理人員主要起到配合分析的作用，因?yàn)檎归_這樣的調(diào)查通常需要得到司法作用，因?yàn)檎归_這樣的調(diào)查通常需要得到司法許可。許可。從應(yīng)急組織到應(yīng)急體系：網(wǎng)絡(luò)安全保障的必要條件從應(yīng)急組織到應(yīng)急體系：網(wǎng)絡(luò)安全保障的必要條件167。 現(xiàn)實(shí)表明，單一的應(yīng)急組織已經(jīng)不能應(yīng)對(duì)當(dāng)今的網(wǎng)絡(luò)現(xiàn)實(shí)表明，單一的應(yīng)急組織已經(jīng)不能應(yīng)對(duì)當(dāng)今的網(wǎng)絡(luò)安全威脅，我國(guó)的應(yīng)急體系正是在實(shí)際工作的經(jīng)驗(yàn)總安全威脅，我國(guó)的應(yīng)急體系正是在實(shí)際工作的經(jīng)驗(yàn)總結(jié)中逐漸形成的：平臺(tái)從點(diǎn)到環(huán)到面；應(yīng)急體系從點(diǎn)結(jié)中逐漸形成的：平臺(tái)從點(diǎn)到環(huán)到面；應(yīng)急體系從點(diǎn)到樹到網(wǎng)到樹到網(wǎng)167。 “現(xiàn)實(shí)世界中發(fā)生的任何事情，在網(wǎng)絡(luò)世界中都可以找現(xiàn)實(shí)世界中發(fā)生的任何事情，在網(wǎng)絡(luò)世界中都可以找到與之對(duì)應(yīng)的事件到與之對(duì)應(yīng)的事件 ”167。 SARS事件反映出社會(huì)防疫應(yīng)急體系的重要事件反映出社會(huì)防疫應(yīng)急體系的重要167。 紅色代碼、尼姆達(dá)、紅色代碼、尼姆達(dá)、 SQL殺手、口令蠕蟲等具有和現(xiàn)殺手、口令蠕蟲等具有和現(xiàn)實(shí)世界中的疫病相同的特點(diǎn)實(shí)世界中的疫病相同的特點(diǎn)167。 處理方式也具有同樣的特點(diǎn)：隔離處理方式也具有同樣的特點(diǎn)：隔離 分析分析 治療治療167。 不同之處：不同之處： “病人病人 ”不自知；隔離缺乏法律依據(jù)或技術(shù)手不自知；隔離缺乏法律依據(jù)或技術(shù)手段；應(yīng)急缺乏成熟體系和工作制度段；應(yīng)急缺乏成熟體系和工作制度 …. .“ 莫里斯事件 ” 又稱 “ 蠕蟲事件 ” 。 1988年 11月，美國(guó) Cornell大學(xué)學(xué)生 Morris編寫一個(gè) “ 圣誕樹 ” 蠕蟲程序，該程序可以利用因特網(wǎng)上計(jì)算機(jī)的 sendmail的漏洞、 fingerD的緩沖區(qū)溢出及 REXE的漏洞進(jìn)入系統(tǒng)并 自我繁殖，鯨吞因特網(wǎng)的帶寬資源，造成全球 10%的聯(lián)網(wǎng)計(jì)算機(jī)陷入癱瘓。這起計(jì)算機(jī)安全事件極大地震動(dòng)了美國(guó)政府、軍方和學(xué)術(shù)界q全球第一個(gè)計(jì)算機(jī)應(yīng)急處理協(xié)調(diào)中心q八八年的 “莫里斯事件 ”q美國(guó)能源部成立了自已的 CIACq美國(guó)其他部門的情況在莫里斯事件發(fā)生之后，美國(guó)國(guó)防部高級(jí)計(jì)劃研究署（DARPA） 出資在卡內(nèi)基 梅隆大學(xué)（ CMU） 的軟件工程研究所（ SEI） 建立了計(jì)算機(jī)應(yīng)急處理協(xié)調(diào)中心。該中心現(xiàn)在仍然由美國(guó)國(guó)防部支持，并且作為國(guó)際上的骨干組織積極開展相關(guān)方面的培訓(xùn)工作。1989年，美國(guó)能源部（ DoE）成立了自已的計(jì)算機(jī)事件處理組織，稱為 CIAC（ Computer Incident Advisory Capability)，專門保證能源部計(jì)算機(jī)系統(tǒng)的安全。至此，各有關(guān)部門紛紛開始成立自己的計(jì)算機(jī)安全事件處理組織。作為發(fā)起國(guó)，美國(guó)在國(guó)防部、能源部、空軍、海軍、眾議院、國(guó)家宇航局、國(guó)家標(biāo)準(zhǔn)與技術(shù)局、部分重點(diǎn)大學(xué)、 IT界知名公司先后成立了六十余個(gè)計(jì)算機(jī)安全事件相應(yīng)組織。重在響應(yīng)、協(xié)調(diào)、研究 /分析與統(tǒng)計(jì)計(jì)算機(jī)安全事件。網(wǎng)絡(luò)蠕蟲事件導(dǎo)致應(yīng)急處理組織的誕生網(wǎng)絡(luò)蠕蟲事件導(dǎo)致應(yīng)急處理組織的誕生應(yīng)急處理的國(guó)際化應(yīng)急處理的國(guó)際化qFIRST— 計(jì)算機(jī)應(yīng)急組織的國(guó)際舞臺(tái)qFIRST的宗旨qFIRST成員的情況 1990年 11月，在美國(guó)等的發(fā)起下，一些國(guó)家的 CERT組織參與成立了 “計(jì)算機(jī)事件響應(yīng)與安全工作組論壇 ”，簡(jiǎn)稱 FIRST – Forum of Incident Response and Security Team。 FIRST的基本目的是使各成員能就安全漏洞、安全技術(shù)、安全管理等方面進(jìn)行交流與合作，以實(shí)現(xiàn) 國(guó)際間的信息共享 、 技術(shù)共享，最終達(dá)到 聯(lián)合防范計(jì)算機(jī)網(wǎng)絡(luò)上的攻擊行為 的目標(biāo)。 截止到 2023年底，加入 FIRST的 CERT組織共有 110個(gè)，涉及到的國(guó)家有 24個(gè)，僅美國(guó)自身就有 56個(gè)成員，因此說， FIRST組織是以美國(guó)為主體所構(gòu)成。 截止到 2023年 4月底， FIRST的正式成員達(dá)到 191個(gè)。CNCERT/CC于 2023年 8月成為 FIRST的正式成員，處理 .CN的安全事件。qFIRST的工作規(guī)范240。FIRST組織有兩類成員，一是正式成員，二是觀察員。240。FIRST組織有一個(gè)由十人構(gòu)成的指導(dǎo)委員會(huì)，負(fù)責(zé)對(duì)重大問題做出討論，包括接受新的成員。新成員的加入必須有推薦人，并且需要得到指導(dǎo)委員會(huì)三分之二的成員同意。該委員會(huì)每月進(jìn)行一次電話會(huì)議。240。FIRST的技術(shù)活動(dòng)除了各成員之間通過保密通信進(jìn)行信息交流外， FIRST組織每季度開一次內(nèi)部技術(shù)交流會(huì)議，每年開一次開放型會(huì)議。通常是在美國(guó)與非美國(guó)國(guó)家交替進(jìn)行。這是因?yàn)橐疹櫟矫绹?guó)代表的利益。我國(guó)的應(yīng)急處理體系我國(guó)的應(yīng)急處理體系信息產(chǎn)業(yè)部互聯(lián)網(wǎng)應(yīng)急處理協(xié)調(diào)辦公室國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心（天津市公安局）國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)入侵防范中心（中科院研究生院）骨干網(wǎng)的 CERT商業(yè)的安全服務(wù)提供商IDC的 CERT國(guó)外 CERT互聯(lián)網(wǎng)安全服務(wù)試點(diǎn)單位國(guó)外政府部門（ APEC經(jīng)濟(jì)體）國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（ CNCERT/CC）信息產(chǎn)業(yè)部 (MII)其他管理部門CNCERT/CC地方分中心從點(diǎn)狀到樹狀到網(wǎng)狀，提供更快速的覆蓋全國(guó)的應(yīng)急支撐體系CNCERT/CC發(fā)展歷程（發(fā)展歷程（ 1））167。 2023年年 10月，月， 信息產(chǎn)業(yè)部信息產(chǎn)業(yè)部 組建成立了組建成立了 “計(jì)算機(jī)計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急處理協(xié)調(diào)中心網(wǎng)絡(luò)應(yīng)急處理協(xié)調(diào)中心 ”，目的主要是，目的主要是? 與其他國(guó)家的計(jì)算機(jī)應(yīng)急響應(yīng)組織與其他國(guó)家的計(jì)算機(jī)應(yīng)急響應(yīng)組織 (CERT)進(jìn)行交流進(jìn)行交流? 加入專業(yè)化的國(guó)際組織加入專業(yè)化的國(guó)際組織 “國(guó)際計(jì)算機(jī)事件響應(yīng)與安全國(guó)際計(jì)算機(jī)事件響應(yīng)與安全工作組論壇（簡(jiǎn)稱工作組論壇（簡(jiǎn)稱 FIRST））? 協(xié)調(diào)全國(guó)的協(xié)調(diào)全國(guó)的 CERT組織共同處理大規(guī)模網(wǎng)絡(luò)安全事組織共同處理大規(guī)模網(wǎng)絡(luò)安全事件件? 提高我國(guó)在計(jì)算機(jī)事件響應(yīng)方面的技術(shù)水平和能力提高我國(guó)在計(jì)算機(jī)事件響應(yīng)方面的技術(shù)水平和能力等。等。 CNCERT/CC發(fā)展歷程（發(fā)展歷程（ 2））167。 2023年年 8月，原國(guó)信安辦下發(fā)了月，原國(guó)信安辦下發(fā)了 《《 關(guān)于成立關(guān)于成立 “國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急處理協(xié)調(diào)中心急處理協(xié)調(diào)中心 ”的決定的決定 》》 （國(guó)信安辦（國(guó)信安辦 [2023]23號(hào)），明確組建號(hào)），明確組建“國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急處理協(xié)調(diào)中心國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急處理協(xié)調(diào)中心 ”，作為全國(guó)計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)，作為全國(guó)計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急處理體系中的牽頭單位。根據(jù)國(guó)際慣例，該協(xié)調(diào)中心英文名急處理體系中的牽頭單位。根據(jù)國(guó)際慣例，該協(xié)調(diào)中心英文名稱為稱為 “China National Computer Emergency Response Team Coordination Center”，簡(jiǎn)稱，簡(jiǎn)稱 CNCERT/CC。167。 同時(shí)明確了同時(shí)明確了 CNCERT/CC的具體業(yè)務(wù)范圍：的具體業(yè)務(wù)范圍：? 收集、核實(shí)、匯總、發(fā)布有關(guān)網(wǎng)絡(luò)安全的權(quán)威性信息；收集、核實(shí)、匯總、發(fā)布有關(guān)網(wǎng)絡(luò)安全的權(quán)威性信息；? 為國(guó)家關(guān)鍵部門提供應(yīng)急處理服務(wù)；為國(guó)家關(guān)鍵部門提供應(yīng)急處理服務(wù)；? 協(xié)調(diào)和指導(dǎo)國(guó)內(nèi)其它應(yīng)急處理單位的工作；協(xié)調(diào)和指導(dǎo)國(guó)內(nèi)其它應(yīng)急處理單位的工作；? 與國(guó)際上的應(yīng)急處理組織進(jìn)行合作和交流。與國(guó)際上的應(yīng)急處理組織進(jìn)行合作和交流。 應(yīng)急響應(yīng)服務(wù)背景應(yīng)急響應(yīng)服務(wù)背景167。CERT/CC服務(wù)的內(nèi)容? 安全事件響應(yīng)? 安全事件分析和軟件安全缺陷研究? 缺陷知識(shí)庫開發(fā)? 信息發(fā)布：缺陷、公告、總結(jié)、統(tǒng)計(jì)、補(bǔ)丁、工具? 教育與培訓(xùn)： CSIRT管理、 CSIRT技術(shù)培訓(xùn)、系統(tǒng)和網(wǎng)絡(luò)管理員安全培訓(xùn)? 指導(dǎo)其它 CSIRT（也稱 IRT、 CERT）組織建設(shè)三、應(yīng)急響應(yīng)組的組建目錄1 互聯(lián)網(wǎng)網(wǎng)絡(luò)安全面臨重大挑戰(zhàn)2 什么是應(yīng)急響應(yīng)3 應(yīng)急響應(yīng)組的組建4 應(yīng)急響應(yīng)服務(wù)的過程5 應(yīng)急響應(yīng)服務(wù)的形式和內(nèi)容6 應(yīng)急響應(yīng)準(zhǔn)備階段關(guān)鍵措施推薦7 應(yīng)急響應(yīng)服務(wù)案例167。 什么是應(yīng)急響應(yīng)組 （ IRT） 應(yīng)急響應(yīng)組就是機(jī)構(gòu)可以借助的網(wǎng)絡(luò)安全專業(yè)組織。167。 為什么需要成立應(yīng)急響應(yīng)組? 容易協(xié)調(diào)響應(yīng)工作? 提高專業(yè)知識(shí)? 提高效率? 提高先期主動(dòng)防御能力? 更加適合于滿足機(jī)構(gòu)的需要? 提高聯(lián)絡(luò)功能? 提高處理制度障礙方面的能力應(yīng)急響應(yīng)組的組建應(yīng)急響應(yīng)組的組建應(yīng)急小組的分類和工作范圍167。 形式多樣、規(guī)模大小不一167。 服務(wù)的對(duì)象和范圍不同? 我國(guó)的國(guó)家互聯(lián)網(wǎng)中心（ CNCERT/CC ）? 日本計(jì)算機(jī)應(yīng)急響應(yīng)協(xié)調(diào)中心（ JPCERT/CC）? IBM安全管理服務(wù)（ IBMMSS）167。 工作范圍按其工作方式來確定應(yīng)急響應(yīng)組的分類應(yīng)急響應(yīng)組的分類國(guó)際間的協(xié)調(diào)組織國(guó)內(nèi)的協(xié)調(diào)組織 國(guó)內(nèi)的協(xié)調(diào)組織愿意付費(fèi)的任何用戶 產(chǎn)品用戶網(wǎng)絡(luò)接入用戶 企業(yè)部門、用戶商業(yè) IRT 網(wǎng)絡(luò)服務(wù)提供商 IRT 廠商 IRT 企業(yè) /政府 IRT如：綠盟科技 如： CCERT 如： Cisco、 IBM 如：中國(guó)銀行、 公安部如 CERT/CC, FIRST如 CNCERT/CC167。 《《 關(guān)于加強(qiáng)信息安全保障工作的意見關(guān)于加強(qiáng)信息安全保障工作的意見 》》 （中辦（中辦發(fā)發(fā) 【【 2023】】 27號(hào)）第五部分號(hào)）第五部分 重視信息安全應(yīng)急重視信息安全應(yīng)急處理工作。國(guó)家和社會(huì)都有充分重視信息安全處理工作。國(guó)家和社會(huì)都有充分重視信息安全應(yīng)急處理工作。要進(jìn)一步完善國(guó)家信息安全應(yīng)應(yīng)急處理工作。要進(jìn)一步完善國(guó)家信息安全應(yīng)急處理協(xié)調(diào)機(jī)制，急處理協(xié)調(diào)機(jī)制， …… 加強(qiáng)信息安全事件的應(yīng)急加強(qiáng)信息安全事件的應(yīng)急處置工作。處置工作。 …… 要加強(qiáng)信息安全應(yīng)急支援服務(wù)隊(duì)要加強(qiáng)信息安全應(yīng)急支援服務(wù)隊(duì)伍建設(shè)，鼓勵(lì)社會(huì)力量參與災(zāi)難備份設(shè)施建設(shè)伍建設(shè)，鼓勵(lì)社會(huì)力量參與災(zāi)難備份設(shè)施建設(shè)和提供技術(shù)服務(wù)，提供信息安全應(yīng)急響應(yīng)能和提供技術(shù)服務(wù)，提供信息安全應(yīng)急響應(yīng)能力。力。國(guó)內(nèi)的應(yīng)急響應(yīng)政策國(guó)內(nèi)的應(yīng)急響應(yīng)政策國(guó)內(nèi)的應(yīng)急響應(yīng)政策國(guó)內(nèi)的應(yīng)急響應(yīng)政策167。 為了落實(shí)為了落實(shí) 27號(hào)文精神國(guó)家網(wǎng)絡(luò)與信息安全協(xié)調(diào)號(hào)文精神國(guó)家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組辦公室于小組辦公室于 2023年年 10月發(fā)布了月發(fā)布了 《《 網(wǎng)絡(luò)與信息網(wǎng)絡(luò)與信息安全信息通報(bào)暫行辦法安全信息通報(bào)暫行辦法 》》 、 2023年年 9月發(fā)布了月發(fā)布了《《 關(guān)于做好重要信息系統(tǒng)災(zāi)難備份工作的通知關(guān)于做好重要信息系統(tǒng)災(zāi)難備份工作的通知》》 ， 2023年年 8月發(fā)布了月發(fā)布了 《《 關(guān)于建立健全基礎(chǔ)信關(guān)于建立健全基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)應(yīng)急協(xié)調(diào)機(jī)制的意見息網(wǎng)絡(luò)和重要信息系統(tǒng)應(yīng)急協(xié)調(diào)機(jī)制的意見 》》等文件。這些文件對(duì)推動(dòng)災(zāi)難備份和應(yīng)急響應(yīng)等文件。這些文件對(duì)推動(dòng)災(zāi)難備份和應(yīng)急響應(yīng)的發(fā)展起到了重要作用。的發(fā)展起到了重要作用。國(guó)際應(yīng)急響應(yīng)組網(wǎng)址國(guó)際應(yīng)急響應(yīng)組網(wǎng)址四、應(yīng)急響應(yīng)服務(wù)的過程目錄1 互聯(lián)網(wǎng)網(wǎng)絡(luò)安全面臨重大挑戰(zhàn)2 什么是應(yīng)急響應(yīng)3 應(yīng)急響應(yīng)組的組建4 應(yīng)急響應(yīng)服務(wù)的過程5 應(yīng)急響應(yīng)服務(wù)的形式和內(nèi)容6 應(yīng)急響應(yīng)準(zhǔn)備階段關(guān)鍵措施推薦7 應(yīng)急響應(yīng)服務(wù)案例應(yīng)急響應(yīng)的一般階段應(yīng)急響應(yīng)的一般階段167。 第一階段：準(zhǔn)備第一階段：準(zhǔn)備 ———— 讓我們嚴(yán)陣以待讓我們嚴(yán)陣以待167。 第二階段：確認(rèn)第二階段：確認(rèn) ———— 對(duì)情況綜合判斷對(duì)情況綜合判斷167。 第三階段：封鎖第三階段：封鎖 ———— 制止事態(tài)的擴(kuò)大制止事態(tài)的擴(kuò)大167。 第四階段：根除第四階段：根除 ———— 徹底的補(bǔ)救措施徹底的補(bǔ)救措施167。 第五階段：恢復(fù)第五階段：恢復(fù) ———— 備份，頂上去！備份，頂上去！167。 第六階段：跟蹤第六階段：跟蹤 ———— 還會(huì)有第二次嗎還會(huì)有第二次嗎第一階段第一階段 ———— 準(zhǔn)備準(zhǔn)備167。 預(yù)防為主預(yù)防為主167。 微觀（一般觀點(diǎn)）：微觀（一般觀點(diǎn)）：? 幫助服務(wù)對(duì)象建立安全政策幫助服務(wù)對(duì)象建立安全政策? 幫助服務(wù)對(duì)象按照安全政策配置安全設(shè)備和軟件幫助服務(wù)對(duì)象按照安全政策配置安全設(shè)備和軟件? 掃描，風(fēng)險(xiǎn)分析，打補(bǔ)丁掃描，風(fēng)險(xiǎn)分析，打補(bǔ)丁? 如有條件且得到許可，建立監(jiān)控設(shè)施如有條件且得到許