1、 Legal and Ethical Aspects(法律與道德問題)網(wǎng)絡(luò)引發(fā)的法律問題攻擊惡意代碼管理失誤泄密傳播不良信息利用網(wǎng)絡(luò)進行違法活動的通信指揮散布謠言，制造恐慌動亂網(wǎng)絡(luò)上實施經(jīng)濟犯罪網(wǎng)絡(luò)上實施民事侵權(quán)針對網(wǎng)絡(luò)的行為引發(fā)的法律問題利用網(wǎng)絡(luò)的行為引發(fā)的法律問題罪與非罪刑法285條違反國家規(guī)定，侵入國家事務(wù)、國防建設(shè)、尖端科學(xué)技術(shù)領(lǐng)域的計算機信息系統(tǒng)的，處三年以下有期徒刑或者拘役。罪與非罪刑法287條利用計算機實施金融詐騙、盜竊、貪污、挪用公款、竊取國家秘密或者其它犯罪的，依照本法有關(guān)規(guī)定定罪處罰。 Computer Emergency Response Technology （計算機應(yīng)

2、急處理技術(shù)）攻擊復(fù)雜度與攻擊者的技術(shù)水平高低19801985199019952000猜口令自我復(fù)制程序口令破解攻擊已知漏洞破壞審計后門程序干擾通信手動探測竊聽數(shù)據(jù)包欺騙圖形化界面自動掃描拒絕服務(wù)www攻擊工具攻擊者攻擊者的知識水平攻擊的復(fù)雜度隱秘且高級的掃描工具偷竊信息網(wǎng)管探測分布式攻擊工具新型的跨主機工具Cost of CapabilityAvailability of Capability19551960197019751985InvasionPrecision GuidedMunitionsComputerStrategicNuclearWeaponsCruise MissileCost

3、 & Means of Attack1945TodayMissilesICBM & SLBMInternet 的安全問題的產(chǎn)生Internet起于研究項目,安全不是主要的考慮少量的用戶，多是研究人員,可信的用戶群體可靠性(可用性)、計費、性能 、配置、安全“Security issues are not discussed in this memo”網(wǎng)絡(luò)協(xié)議的開放性與系統(tǒng)的通用性目標可訪問性，行為可知性攻擊工具易用性Internet 沒有集中的管理權(quán)威和統(tǒng)一的政策安全政策、計費政策、路由政策計算機應(yīng)急響應(yīng)組織產(chǎn)生并得以發(fā)展的原因9在信息時代，我們每個組織、每個人、每天都在面對著形形色色的網(wǎng)絡(luò)安

4、全問題，安全事件不再是發(fā)生在別人身上的事件。網(wǎng)絡(luò)空間無時無刻地處在有能力發(fā)現(xiàn)并且利用信息技術(shù)脆弱性的惡意個體和組織的攻擊之下。盡管我們通過諸多技術(shù)的、管理的、操作的方法來應(yīng)對安全事件，但迄今為止，我們尚未找到某種技術(shù)防護措施或?qū)嵤┠承┌踩呗詠韺π畔⑾到y(tǒng)提供絕對的保護。這就是計算機應(yīng)急響應(yīng)組織應(yīng)運而生并且得以蓬勃發(fā)展的理由。什么是安全事件安全事件 是那些影響計算機系統(tǒng)和網(wǎng)絡(luò)安全的不當(dāng)行為，例如：盜取帳號黑掉網(wǎng)頁非法獲取其他用戶的口令傳播計算機病毒發(fā)送垃圾包等等什么是應(yīng)急響應(yīng)是指一個組織為了應(yīng)對各種意外事件的發(fā)生所做的準備以及在事件發(fā)生后所采取的措施和行為，其目的是避免、降低危害和損失，以及從危

5、害和損失中恢復(fù)。應(yīng)急響應(yīng)除了技術(shù)之外還需要其他技能，如管理能力、協(xié)調(diào)能力、法律知識、事件描述技巧、甚至心理學(xué)知識(特別是處理來自內(nèi)部的攻擊時)應(yīng)急處理的由來“莫里斯事件”又稱“蠕蟲事件”。1988年11月，美國Cornell大學(xué)學(xué)生Morris編寫一個“圣誕樹”蠕蟲程序，該程序可以利用因特網(wǎng)上計算機的sendmail的漏洞、fingerD的緩沖區(qū)溢出及REXE的漏洞進入系統(tǒng)并自我繁殖，鯨吞因特網(wǎng)的帶寬資源，造成全球10%的聯(lián)網(wǎng)計算機陷入癱瘓。這起計算機安全事件極大地震動了美國政府、軍方和學(xué)術(shù)界全球第一個計算機應(yīng)急處理協(xié)調(diào)中心八八年的“莫里斯事件” 美國能源部（DoE）成立了自已的CIAC美國其

6、他部門的情況1989年，美國能源部（DoE）成立了自已的計算機事件處理組織，稱為CIAC（Computer Incident Advisory Capability)，專門保證能源部計算機系統(tǒng)的安全。至此，各有關(guān)部門紛紛開始成立自己的計算機安全事件處理組織。作為發(fā)起國，美國在國防部、能源部、空軍、海軍、眾議院、國家宇航局、國家標準與技術(shù)局、部分重點大學(xué)、IT界知名公司先后成立了四十余個計算機安全事件響應(yīng)組織。重在響應(yīng)、協(xié)調(diào)、研究/分析與統(tǒng)計計算機安全事件。專有名詞，CERT與CSIRT計算機應(yīng)急處理的國際慣稱為： CERT Computer Emergency Response Team (計

7、算機緊急響應(yīng)小組) CSIRT Computer Security Incident Response Teams (計算機安全事件響應(yīng)小組)中文通常提法計算機應(yīng)急處理組織計算機應(yīng)急響應(yīng)小組計算機緊急響應(yīng)小組在莫里斯事件發(fā)生之后，美國國防部高級計劃研究署（DARPA）出資在卡內(nèi)基-梅隆大學(xué)（CMU）的軟件工程研究所（SEI）建立了計算機應(yīng)急處理協(xié)調(diào)中心(CERT/CC)。該中心現(xiàn)在仍然由美國國防部支持，并且作為國際上的骨干組織積極開展相關(guān)方面的培訓(xùn)工作。CERT/CC服務(wù)的內(nèi)容安全事件響應(yīng)安全事件分析和軟件安全缺陷研究缺陷知識庫開發(fā)信息發(fā)布：缺陷、公告、總結(jié)、統(tǒng)計、補丁、工具教育與培訓(xùn)：CSI

8、RT管理、CSIRT技術(shù)培訓(xùn)、系統(tǒng)和網(wǎng)絡(luò)管理員安全培訓(xùn)指導(dǎo)其它CSIRT（也稱IRT、CERT）組織建設(shè)13CERT/CC簡介CMUSEINetworked Systems Survivability programSurvivable Network ManagementCERT/CCSurvivable Network TechnologyIncidentHandlingVulnerabilityHandlingCSIRTDevelopmentDoD應(yīng)急響應(yīng)小組的定義15一種服務(wù)性的組織，負責(zé)接收、檢查并響應(yīng)計算機安全事件報告和活動。它通常為一個確定的集合體服務(wù)，該集合體可能是一個歸屬實體

9、，比如某個地區(qū)或國家、政府、某個公司或教育機構(gòu)、某個網(wǎng)絡(luò)等，或者是某個付費用戶。網(wǎng)絡(luò)安全應(yīng)急響應(yīng)小組CIRC Computer Incident Response CapabilityCIRT Computer Incident Response TeamIHT Incident Handing TeamIRC Incident Response Center/CapabilityIRT Incident Response TeamSERT Security Emergency Response TeamSIRT Security Incident Response Team16Handlin

10、g the Incident恢復(fù)Recovery根除Eradication發(fā)現(xiàn)Identification預(yù)防Preparation控制Containment跟蹤Follow up AnalysisIncident Response Life Cycle準備 讓我們嚴陣以待確認 對情況綜合判斷 抑制 防止事態(tài)的擴大根除 徹底的補救措施恢復(fù) 備份，頂上去!跟蹤 還會有下一次嗎各國CERT組織的主要任務(wù)處理安全事件，做到熱線響應(yīng)，如提供咨詢、幫助。發(fā)布計算機網(wǎng)絡(luò)弱點通告或與安全有關(guān)的簡報。從事網(wǎng)絡(luò)安全研究，開發(fā)相應(yīng)的工具 。進行安全檢查和風(fēng)險分析，從事網(wǎng)絡(luò)安全教育。成立可信的網(wǎng)絡(luò)安全信息交換中心，

11、與執(zhí)法部門、其他CERT、IT界組織等保持聯(lián)系。參加國際活動，進行國際合作。各國CERT的經(jīng)費支持情況政府出資集團出資純粹的商業(yè)行為會員制主是針對政府部門或面向全社會服務(wù)，如DARPA支持CMU的CERT/CC，日本通產(chǎn)省支持的JPCERT皆屬于此類。只支持自己的成員，典型地是由某公司出資組建CERT，只為自己國內(nèi)外的機構(gòu)和客戶服務(wù)。如IBM、AT&T均有自己的CERT。 純粹的商業(yè)服務(wù)收費IRT（安全事件響應(yīng)工作組）或ERT（緊急事件響應(yīng)工作組）。對其所屬會員收取服務(wù)費，如澳大利亞（AusCERT）對其會員按網(wǎng)絡(luò)規(guī)模大小收費，如網(wǎng)絡(luò)用戶個數(shù)大于200小于2000的會員，每年收費2500澳元。

12、國內(nèi)安全事件響應(yīng)組織建設(shè)情況計算機網(wǎng)絡(luò)基礎(chǔ)設(shè)施已經(jīng)嚴重依賴國外；由于地理、語言、政治等多種因素，安全服務(wù)不可能依賴國外的組織國內(nèi)的應(yīng)急響應(yīng)服務(wù)已起步并不斷發(fā)展CCERT（1999年5月），中國第一個安全事件響應(yīng)組織NJCERT（1999年10月）中國電信ChinaNet安全小組解放軍，公安部安全救援服務(wù)公司中國計算機應(yīng)急響應(yīng)組/協(xié)調(diào)中心CNCERT/CC2000年3月，北京/21與國際應(yīng)急組織密切合作Global Problem, Global Solution：跨國進行的計算機攻擊事件的處理推動了國際應(yīng)急組織的合作2002年8月，成為FIRST正式成員APCERT創(chuàng)始成員和指導(dǎo)委員會成員同韓

13、國、日本、馬來西亞、巴西、澳大利亞多個國家CERT組織保持密切的合作開始與東盟、泛美、歐洲等地區(qū)CERT組織建立合作渠道看看國外的情況全球應(yīng)急組織論壇亞太應(yīng)急組織歐洲安全事件交換計劃24/26/cec/index.html.sg/2728/First (Forum of Incident Response Security Teams)1990年，F(xiàn)IRST 成立。FIRST是國際計算機網(wǎng)絡(luò)安全應(yīng)急組織的聯(lián)盟，目前也是唯一一個全球性的應(yīng)急聯(lián)盟組織。該組織由眾多計算機安全事件應(yīng)急組織的聯(lián)絡(luò)網(wǎng)構(gòu)成，聯(lián)絡(luò)網(wǎng)中的各個組織自發(fā)地進行協(xié)作，共同處理互聯(lián)網(wǎng)上的安全事件。這些組織來自全球各個國家或地區(qū)，代表著

14、廣泛的利益群體，包括政府機構(gòu)、執(zhí)法部門、學(xué)術(shù)界、教育界、企業(yè)界以及由論壇指導(dǎo)委員會批準的其他性質(zhì)的組織或個人。29FIRST的使命FIRST成員開發(fā)和共享技術(shù)信息、工具、方法、流程和最佳實踐；FIRST鼓勵并推動優(yōu)質(zhì)安全產(chǎn)品、策略與服務(wù)的開發(fā)；FIRST開發(fā)并推廣最佳計算機安全實踐；FIRST推動應(yīng)急組織的成立和壯大，發(fā)展和吸納來自世界各個領(lǐng)域的應(yīng)急組織成為FIRST成員；FIRST成員共用他們各自的知識、技能和經(jīng)驗來聯(lián)合塑造一個更安全、更可靠的全球計算機網(wǎng)絡(luò)環(huán)境。3031/APCERT2002年，由AusCERT、CNCERT/CC、JPCERT/CC等CERT組織發(fā)起成立了APCERT，即

15、亞太地區(qū)計算機應(yīng)急響應(yīng)組織聯(lián)盟。目前，APCERT是亞太地區(qū)最有影響力的應(yīng)急響應(yīng)合作組織。該組織吸引了亞太地區(qū)12個經(jīng)濟體的17個應(yīng)急組織為成員，并在不斷地擴展壯大。32APCERT的工作目標APCERT的宗旨是在亞太地區(qū)維護一個互信的計算機安全專家聯(lián)絡(luò)網(wǎng)，在計算機安全和事件處理相關(guān)領(lǐng)域通過自己的公益服務(wù)普及地區(qū)的安全意識，提高地區(qū)的安全防范能力。APCERT的工作目標是：加強亞太地區(qū)信息安全的區(qū)域及國際合作；合作處理大范圍或區(qū)域網(wǎng)絡(luò)安全事件；促進其成員間關(guān)于網(wǎng)絡(luò)安全、計算機病毒和惡意代碼的信息共享和技術(shù)交流；推動成員間針對共同興趣或利益主題的項目進行合作研究與開發(fā)工作；協(xié)助本區(qū)域其他計算機安

16、全事件響應(yīng)組開展有效的計算機安全應(yīng)急工作；參加或提供建議，幫助解決跨區(qū)域的與信息安全和應(yīng)急響應(yīng)相關(guān)的法律問題。33其他國家的應(yīng)急處理狀況美國：最早建立應(yīng)急組織的國家應(yīng)急組織最多的國家IT產(chǎn)品提供商建立應(yīng)急組織最集中的國家英國：法國：德國：道高？魔高？攻擊者：發(fā)現(xiàn)漏洞編寫攻擊代碼(測試)執(zhí)行攻擊防御者：發(fā)現(xiàn)漏洞發(fā)布消息開發(fā)補丁程序發(fā)布補丁風(fēng)險檢查監(jiān)測攻擊分析惡意代碼控制傳播Propagation Control發(fā)布補丁和工具恢復(fù)被入侵系統(tǒng)升級/調(diào)整/評估安全管理木桶理論按照“木桶理論”，水從最低的那塊木板漏出如果說各種安全技術(shù)是木桶上面的長短不同的木板的話，那么安全管理就是把木板粘在一起的“膠”

17、 如果最低處“開膠”，那么任你木板多長都形同虛設(shè)三分技術(shù)、七分管理超過70%的信息安全事故，如果事先加強管理，都可以得到避免 由于管理往往涉及全局，管理上的漏洞比系統(tǒng)的漏洞更需要補救蒼蠅不叮無縫的蛋信息安全維護，依賴于體系先行首長掛帥全員參與明確目標首長掛帥要讓全體職工知道管理層做出了信息安全管理的承諾一把手最好親自出面全員參與交流期待保護用戶保護單位減少錯誤明確目標寬嚴適度量力而行體系先行組織體系規(guī)章制度控管措施監(jiān)督檢查控管措施物理控管人員控管訪問控制 審計廢棄物品控管應(yīng)急處理 隔離設(shè)備設(shè)施防護物理控管防盜（尤其注意筆記本電腦防盜）使用門禁設(shè)施防火人員離開時桌面凈空，屏幕上鎖防電磁泄漏防搭線

18、竊聽人員控管調(diào)離人員的處理簽署保密合同人員分級與分類權(quán)限的授予和管理信息管理人員持證上崗辦公自動化環(huán)境下的新問題審計與安全有關(guān)的事件，要有記錄信息管理員應(yīng)定期對審計信息進行備份單位應(yīng)定期請專業(yè)人士對審計信息進行分析，由此評估信息安全狀況審計文件應(yīng)嚴格保護，禁止任何人私自改動訪問控制訪問單位內(nèi)部信息和信息系統(tǒng)，要有身份認證的過程，只允許授權(quán)用戶訪問設(shè)置和修改權(quán)限，所依據(jù)的政策要由專人負責(zé)制定，操作要專人負責(zé)與單位外部的通信連接，必要的時候要進行審查和過濾按訪問控制的強度對信息系統(tǒng)分級隔離單位內(nèi)部信息系統(tǒng)和外部公共網(wǎng)絡(luò)，要內(nèi)外有別隔離強度有四個等級： 無任何隔離措施 物理連通，按一定條件過濾 物理

19、不連通，數(shù)據(jù)連通 數(shù)據(jù)不連通軟驅(qū)與撥號訪問的控管廢棄物品管理承載敏感信息的耗材廢棄前必須先銷毀。包括：廢舊軟盤、硬盤、光盤、磁帶廢舊紙張應(yīng)急處理發(fā)生緊急安全事故時，要做到： 封存現(xiàn)場(尤其是審計數(shù)據(jù))，及時取證，緊急報案和求援 排除故障、啟用備份系統(tǒng)和備份數(shù)據(jù)，恢復(fù)原數(shù)據(jù)及系統(tǒng)正常功能設(shè)備設(shè)施防護配置管理入侵檢測與入侵阻斷服務(wù)器防護抗毀系統(tǒng)和自毀系統(tǒng)筆記本電腦問題網(wǎng)絡(luò)防洪 良好的習(xí)慣 不要點擊和下載來歷不明的文件和鏈接 起個什么口令好不要使用來歷不明的軟盤/光盤瀏覽器設(shè)置要當(dāng)心對異?，F(xiàn)象保持高度警惕監(jiān)督檢查措施實行安全內(nèi)審員制度安全記錄、安全狀況要有人定期檢查查出安全問題要能明確追究責(zé)任謝謝聽

20、課！1、人生一世，總有些片斷當(dāng)時看著無關(guān)緊要，而事實上卻牽動了大局。2、相遇總是猝不及防，而離別多是蓄謀已久，總有一些人會慢慢淡出你的生活，你要學(xué)會接受而不是懷念。3、其實每個人都很清楚自己想要什么，但并不是誰都有勇氣表達出來。漸漸才知道，心口如一，是一種何等的強大!4、有些路看起來很近，可是走下去卻很遠的，缺少耐心的人永遠走不到頭。人生，一半是現(xiàn)實，一半是夢想。5、你心里最崇拜誰，不必變成那個人，而是用那個人的精神和方法，去變成你自己。6、過去的事情就讓它過去，一定要放下。學(xué)會狠心，學(xué)會獨立，學(xué)會微笑，學(xué)會丟棄不值得的感情。7、人生并不像火車要通過每個站似的經(jīng)過每一個生活階段。人生總是直向前行走，從不留下什么。8、生活本來很不易，不