摘 要:网络安全事件应急响应是一门综合性的技术学科,涉及的专业较广,专业技术要求较高,它是保证网络安全必不可少的一种手段。本文主要分析了网络安全应急响应技术以及网络安全事件应急响应对策。
关键词:网络安全事件;应急响应;技术;对策
引言
随着信息化的快速普及,人们在享受着网络所带来的益处的同时还要承担着网络安全所带了的隐患。自从互联网的出现,计算机信息系统一直都承受着安全威胁,主要包括计算机病毒和软件漏洞等。(1)计算机病毒。计算机病毒传播速度较快,系统一旦染上的病毒,轻则降低系统的使用效率,重则导致系统瘫痪,数据丢失等。计算机病毒是目前数据安全的首要敌人。计算机病毒是由人制作出来的,它对计算机软硬件的正常工作有着很大负面影响。(2)软件漏洞。软件漏洞是每个软件或者系统都存在的,但是它的危害也是非常大的。因此,为了保护网络安全性,对网络安全事件应急响应对策进行研究是非常必要的。
1.网络安全事件应急响应的必要性
应急响应是事后动作,它是在网络安全事件发生后的补救措施,也可以说,应急响应是一种被动性的安全体系。而加密、认证等行为相比之下就比较主动。对于这个被动的行为,为了相关行业还要对此投入很多精力呢?其主要原因表现在以下几个方面:发生过的安全事件已经造成巨大的损失和危害。随着软件和系统功能越来越强大,安全事件所造成的危害也变得越来越复杂,加之行业软件市场的不规范,导致目前软件系统的漏洞越来越多。随着网络发展越来越迅速,给恶意代码提供了很好的温床,随时人们都可以下载攻击工具,而一些计算机病毒的影响会很快的显现出来。但是入侵检测系统还没有达到人们预期的效果,即使入侵检测系统在网络安全上发挥着巨大的作用,入侵检测系统中的漏报、误报一直都是阻碍其发展的重大因素,因此,从某种角度上讲,入侵检测系统离完善还有很大的距离。对于安全管理而言,进行安全的网络管理并不是一件非常容易的事情,并不是所有的实体都有足够的实力来进行。由此可见,网络安全应急响应对策作为一种补救措施是非常必要的。
2.网络安全应急响应技术
2.1操作系统加固优化技术
操作系统是计算机网络应用与服务的基础,只有拥有安全可靠的操作系统环境才能确保整体系统的安全稳定运行,操作系统的加固优化可通过两种途径实现:(1)将服务和应用建立在安全级别较高(如B1级)的操作系统上;(2)不断完善现有的操作系统,通过自我学习、自我完善,不断修正操作系统中被发现的漏洞,加强对重要文件、重点进程的监控与管理,增强操作系统的稳定性和安全性。
2.2网络陷阱及诱骗技术
网络陷阱及诱骗技术是近期发展起来的一种网络安全动态防护新技术,它通过一个精心设计的、存在明显安全弱点的特殊系统来诱骗攻击者,将黑客的入侵行为引入一个可以控制的范围,消耗其资源,了解其使用的方法和技术,追踪其来源,记录其犯罪证据。不但可研究和防止黑客攻击行为,增加攻击者的工作量和攻击复杂度,为真实系统做好防御准备赢得宝贵时间,还可为打击计算机犯罪提供举证。蜜罐(HoneyPot)、蜜网(HoneyNet)是当前网络陷阱及诱骗技术的主要应用形式。因为蜜罐蜜网并没有向外界提供真正有价值的服务,所以所有对蜜罐蜜网进行连接的尝试都被视为可疑的。
2.3阻断技术
主要有3种阻断方式:(1)ICMP不可达响应:通过向被攻击主机或攻击源发送ICMP端口或目的不可达报文来阻断攻击;(2)TCP-RST响应:也称阻断会话响应,通过阻断攻击者和受害者之间的TCP会话来阻断攻击。这种机制是目前使用最多的主动响应机制;(3)防火墙联动响应:当入侵检测系统检测到攻击事件后向防火墙发送规则,由防火墙阻断当前以及后续攻击。
2.4网络追踪技术
网络追踪技术是指通过收集分析网络中每台主机的有关信息,找到事件发生的源头,确定攻击者的网络地址以及展开攻击的路径。其关键是如何确认网络中的所有主机都是安全可信的,在此基础上对收集到的数据进行处理,将入侵者在整个网络中的活动轨迹连接起来。网络追踪技术可分为主动追踪和被动追踪。主动追踪技术主要涉及信息隐形技术,如在返回的HTTP报文中加入不易察觉并有特殊标记的内容,从而在网络中通过检测这些标记来定位网络攻击的路径。国外已有一些实用化工具,如IDIP、SWT等,但基本还处于保密阶段。在被动式追踪技术方面,已经有了一些产品,主要采用网络纹印(Thumb printing)技术,其理论依据是网络连接不同,描述网络连接特征的数据也会随之发生变化。因此通过记录网络入侵状态下不同节点的网络标识,分析整个网络在同一时刻不同网络节点处的网络纹印,找出攻击轨迹。
2.5取证技术
分析以及法庭出示的过程,通常是对存储介质、日志的检查和分析。计算机取证包括物理证据获取和信息发现两个阶段。在应急响应中,收集黑客入侵的证据是一项非常重要的工作。取证技术不但可以为打击计算机、网络犯罪提供重要支撑手段,还可为司法鉴定提供强有力的证据。(1)物理证据获取技术。是指在计算机犯罪现场寻找并发现相关原始记录的技术,是取证工作的基础。在获取物理证据时最重要的工作是保证获取的原始证据不受破坏。关键技术是无损备份和删除文件的恢复。(2)信息发现技术。是指对获得的原始数据(文件、日志等)进行分析,从中寻找可以用来证明或者反驳什么的证据。
3.网络安全事件应急响应对策
3.1网页出现非法言论事件应急对策
当网页出现非法言论事件时,必须随时对监视信息内容进行密切监视,值班人员如果发现非法信息时,应立即向有关信息安全负责人通报,如果情况紧急,可以自主对其进行删除,之后再按程序进行。信息安全负责人接到通知后,应立即做好记录,对非法信息进行清除,保管好有关记录。另外,要对非法信息来源进行追查,并向信息化领导小组进行汇报,若认为事态非常严重,必须报警。
3.2病毒事件应急对策
如果发现有病毒侵入计算机,应立即将其报告给有关负责人,并将该机与网络隔离起来。有关负责人首先对设备的硬盘进行数据备份。然后在使用相关杀毒软件对该机的病毒进行处查杀,但是随着信息的发展,现在的病毒并不是软件就能除掉的,此时就需要与有关厂商进行联系,共同研究解决。如果此
病毒非常严重,例如熊猫烧香之类的恶性病毒,应立即报警。另外,如果主服务器被感染,那么就必须让各下属单位都要进行清查工作。
3.3黑客攻击事件应急对策
当发现网页被恶意篡改或者发现黑客正在入侵时,首先将被攻击的服务器与网络隔离开来,对现场进行分析,如果有必要还必须恢复和重建被破坏的系统。如果事态严重,也必须采用报警的手段来进行协同处理。
3.4广域网、局域网中断应急对策
发现广域网络外部线路中断,应立即将其连接起来,等到相关人员分析故障后,判断出故障原因、节点,对其进行恢复。局域网发现中断后,首先必须对故障进行分析,分析出故障原因和节点,在进行相应的处理,如属线路故障,应对线路进行重新安装,如网络设备发展故障,立即用备用设备取出接上,再进行调试等等。
3.5软件系统遭破坏攻击的应急对策
重要的软件系统平时必须存有备份,与软件系统相对应的数据必须按本单位容灾备份规定的间隔按时进行备份,并将它们保存于安全处。一旦软件遭到破坏性攻击,应立即向信息安全负责人报告,并使该系统停止运行。检查信息系统的日志等资料,确定攻击来源,并将有关情况向本单位信息化领导小组汇报,再恢复软件系统和数据。信息化领导小组组长召开小组会议,如认为事态严重,则立即向政府信息化主管部门和公安部门报警。
4.结语
随着计算机网络在全球的快速发展,计算机网络安全受到各种威胁,为了保证计算机网络系统的安全性,必须采用多种网络安全防护措施以及相应的安全技术,从而使得网络安全事件应急响应水平得以提高,进一步确保了计算机网络的安全性。
参考文献:
[1] 杨晶. 论计算机网络安全问题及防范措施[J]. 科技创新导报, 2011, (08)
[2] 耿金秀. 浅谈计算机网络安全防范措施[J]. 中国科技信息, 2011, (08)
[3] 陈世华, 朱家齐. 计算机网络安全隐患与应对措施[J]. 福建电脑, 2009, (09)
[4] 房秀丽, 刘相海. 浅谈计算机网络安全问题及其防范措施[J]. China's Foreign Trade, 2010, (Z2)
[5] 罗清彪. 浅论网络信息安全与防御[J]才智, 2008,(01) .
