應急響應處置管理15.1應急響應概述

15.1.1應急響應的內涵應急響應通常是指人們為了應對各種緊急事件的發生所作的準備以及在事件發生后所采取的措施。信息平安中的應急響應的內涵那么需要在對“應急響應〞概念理解的根底上，結合信息平安背景知識針對“平安緊急事件〞內涵，以及“做什么準備？〞和“采取什么措施？〞等內容做進一步的定義說明。15.1.1應急響應的內涵

1．平安緊急事件緊急事件是應急響應的對象，在信息平安應急響應領域，平安緊急事件一定屬于平安事件范疇。根據信息平安三個根本屬性，即機密性C〔Confidentiality〕、完整性I〔Integrality〕和可用性A〔Availability〕，平安事件可被定義為破壞或企圖破壞信息或信息系統CIA屬性的行為事件。15.1.1應急響應的內涵〔1〕破壞機密性的平安事件：如入侵系統并竊取信息、搭線竊聽、遠程探測網絡拓撲結構和計算機系統配置等。〔2〕破壞完整性的平安事件：如入侵系統并篡改數據、劫持網絡連接并篡改或插入數據、安裝特洛伊木馬或計算機病毒等。〔3〕破壞可用性的平安事件：如水火等自然災害引起的設備損壞，拒絕效勞攻擊、病毒入侵引起的系統資源或網絡帶寬性能下降等。15.1.1應急響應的內涵目前，隨著人們對信息平安的認識理解不斷深入，越來越多的人認為CIA界定的平安屬性范圍還不夠全面，例如表15-1所列舉的平安事件，根據CIA平安三屬性就很難被劃歸為平安事件范疇。因此，人們從不同的角度對“信息平安〞含義進行解釋說明，出現了“機密性〞、“真實性〞、“完整性〞、“可用性〞、“不可否認性〞、“生存性〞等描述方式。安全事件類型說明行為抵賴通常指行為一方否認自己曾經執行過某種操作，例如在電子商務中交易方之一否認曾經定購過某種商品或否認曾經接受過訂單。不良信息非法傳播例如垃圾郵件騷擾和傳播色情信息等。愚弄和欺詐例如散發虛假緊急信息，導致大量組織機構采取不必要的緊急預防措施，影響系統正常運行。表15-1平安事件舉例15.1.1應急響應的內涵2．“做什么準備？〞和“采取什么措施？〞“做什么準備？〞和“采取什么措施？〞意指在信息平安應急響應活動中所要做的工作。根據開展的時間階段，應急響應工作可以劃分為事先準備和事后措施兩大局部。15.1.1應急響應的內涵事先準備，其目的在于進行預警和制定各種防范措施，比方風險評估、平安策略制定、系統及數據備份、平安意識培訓以及平安通揭發布等；事后措施，其目的在于把事件造成的損失降到最小，比方事件發生后進行的平安隔離、威脅去除及系統恢復、調查與追蹤、入侵者取證等一系列操作。事先準備與事后措施兩個方面的工作是相輔相承、相互補充的。15.1.1應急響應的內涵首先，事前的方案和準備為事件發生后的響應動作提供了指導框架，否那么響應動作將陷入混亂，其次，事后的響應可能會發現事先方案的缺乏，從而進一步完善事先的平安準備。因此，這兩個方面應該形成一種正反響的機制，逐步強化系統平安防范及應急體系。15.1.2應急響應的地位與作用信息平安可以被看作一個動態的過程，它包括風險分析〔RiskAnalysis〕、平安防護〔Prevention〕、平安檢測〔Detection〕以及響應〔Response〕4個階段，通常被稱為以平安策略〔SecurityPolicy〕為中心的平安生命周期P-RPDR平安模型。在P-RPDR平安模型中，平安風險分析產生平安策略，平安策略決定防護、檢測和響應措施。風險分析、防護、檢測和響應間的相互關系如圖15-1所示。平安策略風險分析平安檢測平安防護響應圖15-1P-RPDR平安模型15.1.2應急響應的地位與作用應急響應在P-RPDR平安模型中屬于響應范疇，它不僅僅是防護和檢測措施的必要補充，而且可以發現平安策略的漏洞，重新進行平安風險評估，進一步指導修訂平安策略，加強防護、檢測和響應措施，將系統調整到“最平安〞的狀態。15.1.3應急響應的必要性根據P-RPDR平安模型可知，為了保證信息平安，首先采取的方法就是入侵阻止〔即平安防護〕，其次采用入侵檢測，因為網絡入侵防不勝防，所以要對無法防御的入侵行為及內部平安威脅進行檢測。那么把所有的精力和資源都投放到平安生命周期前三個階段，是否足以保證信息系統和信息的平安呢？答案是否認的。15.1.3應急響應的必要性首先，從理論上無法保證系統的絕對平安。迄今為止軟件工程技術還無法做到可信計算機平安評估準那么中信息系統A2級的平安要求，即形式證明一個系統的平安性。另外，目前也沒有一種切實可行的方法能夠保證人們獲取完善的平安策略，以及解決合法用戶在通過“身份鑒別〞后濫用特權的問題。因此從設計、實現到維護階段，信息系統都可能留下大量的平安漏洞。15.1.3應急響應的必要性其次，現實中盡管人們對信息平安的關注與投資與日俱增，但是平安事件的數量和影響并沒有因此而減少。從計算機應急響應協調中心〔CERT/CC〕對1993~2003十年間發生的網絡攻擊事件的統計〔如表15-2所示〕來看，攻擊事件發生的數量逐年增加，近幾年由于Internet上網絡攻擊事件太過于頻繁，自2004年計算機應急響應協調中心停止了對網絡攻擊事件統計信息的公布。年度19931994199519961997199819992000200120022003事件數量1334234024122573213437349859217565265882094137529表15-1平安事件舉例15.1.3應急響應的必要性最后，目前越來越多的組織在遭受到攻擊后，希望通過法律手段追查肇事者，就需要出示收集到的數據作為證據，而計算機取證是應急響應的一個重要環節。由此可見，網絡入侵防不勝防，因此有必要建立起一套應急響應機制，一方面提高系統自身的抗攻擊能力，另一方面也為法律提供數據依據。15.2應急響應組織15.2.1應急響應組織的起源及開展1988年11月莫里斯蠕蟲病毒事件之后的一個星期內，美國國防部資助賓夕法尼亞洲的卡內基梅隆大學成立了國際上第一個應急響應組織——計算機應急響應協調中心〔ComputerEmergencyResponseTeam/CoordinationCenter，CERT/CC〕，主要用于協調Internet網上的平安事件處理。15.2.1應急響應組織的起源及開展CERT/CC成立后，隨著互聯網對網絡平安的需要迅速增強，世界各地應急響應組織如雨后春筍般的出現。例如美國聯邦FedCIRC、澳大利亞的AusCERT、德國的DFN-CERT、日本的JPCERT/CC，以及亞太地區的APCERTF〔AsiaPacificComputerEmergencyResponseTaskForce〕和歐洲的EuroCERT等。15.2.1應急響應組織的起源及開展為了促進全球各應急響應組織之間協調與合作，1990年應急響應與平安組織論壇〔ForumofIncidentResponseandSecurityTeams，FIRST〕成立。FIRST發起時有11個成員，至今已經開展成一個由170多個成員組成的國際性組織。FIRST成員主要來自各政府、商業和學術方面的計算機平安事件響應組織，以及致力于計算機平安事件防范、快速響應和信息共享的國際組織網站。15.2.1應急響應組織的起源及開展中國的應急響應工作起步較晚，但開展迅速。中國教育與科研計算機網絡〔ChinaEducationandResearchNetwork，CERNET〕于1999年在清華大學成立了中國教育和科研計算機網絡應急響應小組〔ChinaComputerEmergencyResponseTeam，CCERT〕，15.2.1應急響應組織的起源及開展這是中國大陸第一個計算機平安應急響應組織，目前已經在全國各地成立了NJCERT、PKCERT、GZCERT、CDCERT等多個應急響應小組。2000年在美國召開的FIRST年會上，CCERT第一次在國際舞臺上介紹了中國應急響應的開展。15.2.1應急響應組織的起源及開展2000年10月國家計算機網絡應急處理協調中心CNCERT/CC成立，該中心的任務是在國家因特網應急小組協調辦公室的直接領導下，協調全國范圍內計算機平安應急響應小組的工作，以及與國際計算機平安組織的交流。2002年8月CNCERT/CC成為國際權威組織FIRST的正式成員，并參與組織成立了亞太地區的專業組織APCERT，是APCERT的指導委員會委員。15.2.2應急響應組織的分類應急響應組織是應急響應工作的主體，目前國內外平安事件應急響應組織大概可被劃分為國內或國際間的應急響應協調組織、企業或政府組織的應急響應組織、計算機軟件廠商提供的應急響應組織商業化的應急響應組織等4大類，其組織模式如圖15-2所示國際間應急響應協調組織國內應急響應協調組織國內應急響應協調組織……企業或政府組織的應急響應組織企業或政府組織的應急響應組織企業或政府組織的應急響應組織組織內部客戶群公司內部及產品用戶愿意付費的任意用戶圖15-2應急響應組織模式15.2.2應急響應組織的分類〔1〕國內或國際間的應急響應協調組織國內或國際間的應急響應協調組織通常屬于公益性應急響應組織，一般由政府或社會公益性組織資助，對社會所有用戶提供公益性的應急響應協調效勞。例如，CERT/CC由美國國防部資助，中國的CCERT和CNCERT/CC也屬于該種類型的應急響應組織。15.2.2應急響應組織的分類〔2〕企業或政府組織的應急響應組織企業或政府組織的應急響應組織的效勞對象僅限于本組織內部的客戶群，可以提供現場的事件處理，分發平安軟件和漏洞補丁，培訓和技術支持等，另外還可以參與組織平安政策的制定和審查等。例如美國聯邦的FedCIRC、美國銀行的BACIRT，及CERNET的CCERT等。15.2.2應急響應組織的分類〔3〕計算機軟件廠商提供的應急響應組織計算機軟件廠商提供的應急響應組織主要為本公司產品的平安問題提供給急響應效勞，同時也為公司內部的雇員提供平安事件處理和技術支持。例如SUN、Cisco等公司的應急響應組織。15.2.2應急響應組織的分類〔4〕商業化的應急響應組織商業化的應急響應組織面向全社會提供商業化的平安救援效勞，其特點在于一般具有高質量的效勞保障，在突發平安事件時能夠及時響應，有的應急響應組織甚至提供7×24的效勞(全天候的效勞)和現場事件處理等。15.2.3國內外典型應急響應組織簡介1．美國計算機應急響應協調中心〔CERT/CC〕目前，CERT/CC是美國國防部資助下的抗毀性網絡系統方案〔NetworkedSystemsSurvivabilityProgram〕的一局部，下設3個部門：事件處理組、缺陷處理組和計算機應急響應組〔CSIRT〕，如圖15-3所示。卡耐基梅隆大學〔CMU〕軟件工程研究所〔SEI〕抗毀性網絡管理〔SurvivableNetworkManagement〕CERT/CC抗毀性網絡技術〔SurvivableNetworkTechnology〕缺陷處理〔VulnerabilityHanding〕事件處理〔IncidentHanding〕美國國防部計算機應急響應組〔CSIRTdevelopment〕圖15-3CERT/CC組織結構15.2.3國內外典型應急響應組織簡介CERT/CC提供的效勞內容如下。〔1〕平安事件響應；〔2〕平安事件分析和軟件平安缺陷研究；〔3〕漏洞知識庫開發；〔4〕信息發布，包括缺陷、公告、總結、統計、補丁和工具；〔5〕教育與培訓，包括CSIRT管理、CSIRT技術培訓、系統和網絡管理員平安培訓；〔6〕指導其他CSIRT〔或CERT〕組合資建設。15.2.3國內外典型應急響應組織簡介2．中國教育和科研計算機網應急響應組〔CCERT〕CCERT是中國教育和科研計算機網CERNET專家委員會領導之下的一個公益性的效勞和研究組織，目前，CCERT的應急響應體系已經包括CERNET內部各級網絡中心的平安事件響應小組或平安管理相關部門，已經開展成一個由30多個單位組成，覆蓋全國的應急響應組織。15.2.3國內外典型應急響應組織簡介CCERT首要的效勞對象是中國教育和科研計算機網絡本身，確保CERNET網絡的平安可靠運行，為教育和科研提供一個平安的網絡環境。效勞范圍包括：〔1〕網絡平安政策制定和實施監督；〔2〕網絡運行狀態的日常平安監測；〔3〕及時地平安通告；〔4〕網絡平安事件應急響應；〔5〕網絡平安突發事件的應急解決方案的制定和實施；15.2.3國內外典型應急響應組織簡介〔6〕CERNET各級網絡管理人員的平安管理知識的教育與培訓。15.2.3國內外典型應急響應組織簡介3．國家計算機網絡應急處理協調中心〔CNCERT/CC〕國家計算機網絡應急處理協調中心〔CNCERT/CC〕是在信息產業部互聯網應急處理協調辦公室的直接領導下，負責協調我國各計算機網絡平安事件應急小組共同處理國家公共互聯網上的平安緊急事件，為國家公共互聯網、國家主要網絡信息應用系統以及關鍵部門提供計算機網絡平安的監測、預警、應急、防范等平安效勞和技術支持。15.2.3國內外典型應急響應組織簡介CNCERT/CC組織體系結構如以下圖所示。國家網絡與信息平安協調小組辦公室領導信息產業部互聯網應急處理協調辦公室國外政府部門聯系其他管理部門聯系領導領導國外CERT組織國家計算機網絡應急響應處理協調中心〔CNSERT/CC〕863-917網絡平安監測平臺聯系運行信息產業部網絡平安重點實驗室信息產業部網絡應急重點實驗室中國互聯網協會應急處理聯盟〔網絡與信息平安工作委員會協調/指導支撐國家計算機病毒應急處理中心〔天津市公安局〕國家計算機網絡入侵防范中心〔中科院研究生院〕協調/指導支撐公共互聯網應急處理效勞國家級試點單位國家計算機網絡應急響應處理協調中心各省份中心〔共31個〕骨干網的CERT領導指導協調協調指導15.2.3國內外典型應急響應組織簡介CNCERT/CC提供的業務功能如下。〔1〕信息獲取：通過各種信息渠道與合作體系，及時獲取各種平安事件與平安技術的相關信息；〔2〕事件監測：及時發現各類重大平安隱患與平安事件，向有關部門發出預警信息，提供技術支持；〔3〕事件處理：協調國內各應急小組處理公共互聯網上的各類重大平安事件，同時，作為國際上與中國進行平安事件協調處理的主要接口，協調處理來自國內外的平安事件投訴；15.2.3國內外典型應急響應組織簡介〔4〕數據分析：對各類平安事件的有關數據進行綜合分析，形成權威的數據分析報告；〔5〕資源建設：收集整理平安漏洞、布丁、攻擊防御工具和最新網絡平安技術等各種根底信息資源，為各方面的相關工作提供支持；〔6〕平安研究：跟蹤研究各種平安問題和技術，為平安防護和應急處理提供根底；〔7〕平安培訓：網絡平安應急處理技術以及應急組織建設等方面的培訓；15.2.3國內外典型應急響應組織簡介3〔8〕技術咨詢：提供平安事件處理的各類技術咨詢；〔9〕國際交流：組織國內計算機網絡平安應急組織進行國際合作交流。15.3應急響應體系

15.3.1應急響應指標應急響應遠不止是簡單的診斷技巧，它通常需要組織內部的管理人員和技術人員共同參與，有時可能會借助外部的資源，甚至訴諸法律。以下是應急響應應保證的各項指標。〔1〕響應能力：確保平安事件和平安問題能被及時地發現，并向相應的負責人報告；〔2〕決斷能力：判斷是否是本地平安問題或構成一個平安事件；15.3.1應急響應指標

〔3〕行動能力：在發生平安事件時根據一個提示就能采取必要的措施；〔4〕減少損失：能夠立即通知組織內其他可能受影響的部門；〔5〕效率：實踐和監控處理平安事件的能力。為了實現以上目標，就必須建立一個應急響應管理體系來處理平安事件，其中管理層必須參與進來并最終讓管理體系發揮作用，以提高對平安問題的認識，合理分配決定權，更好地支持平安目標。15.3.2應急響應體系的建立1．確定應急響應角色的責任〔1〕用戶任務：一旦覺察與平安相關的異常事件，就必須遵守相應的過程規那么并報告異常事件。職責：必須決定采取何種適宜的報告渠道。義務/指導：每一個用戶都有義務按照本單位的平安指南來報告任何與平安相關的異常事件。15.3.2應急響應體系的建立〔2〕平安管理員任務：接收與其負責的系統有關的異常事件報告，并根據報告決定是立即采取行動，還是按照提交策略向上一級報告。職責：必須能夠確定是否真的發生了平安問題，是否可以獨立解決，是否需要根據提交方案立即咨詢其他人，以及應該通知誰等。義務/指導：應該在職位描述及平安事件處理策略中指定。15.3.2應急響應體系的建立〔3〕平安員/平安管理層任務：接收平安事件報告，負責調查和評估平安事件，并在其職責范圍內選用適當措施進行處理。如果有必要，負責組建平安事件處理小組或將問題提交給上級管理層。職責：被授權對平安事件進行評估，并可將事件提交給高級管理層。除此之外，可以在授權范圍內利用財務和人力資源獨立處理平安事件。義務/指導：根據平安管理層制定的“平安事件處理策略〞，所有平安員都要承擔其處理平安事件的任務和職責。15.3.2應急響應體系的建立〔4〕平安審計員任務：必須定期檢查平安事件管理系統的有效性，并參與評估平安事件。職責：在管理層同意下啟動和實施預定義的檢查。義務/指導：在工作職責描述和“平安事件處理策略〞中規定。15.3.2應急響應體系的建立〔5〕公共關系/信息發布部門任務：在發生嚴重平安事件的地方，除了信息發布部門之外，其他任何部門和個人都必須不能對公眾泄漏任何信息，其目的并不是為了掩蓋事件或者降低事件的嚴重程度，而是要以目標化的方式解決問題，防止相互矛盾的信息給組織帶來的形象損害。職責：信息發布部門必須和專家一起準備與平安事件相關的信息，在發布之前必須得到高級管理層的同意。義務/指導：在工作職責描述和“平安事件處理策略〞中規定。15.3.2應急響應體系的建立7〔6〕代理/公司管理層任務：嚴重平安事件發生時，應該通知管理層，如果有必要，管理層要做出決定。職責：承擔總體責任，并對上述各工作小組負責。除此之外，當疑心有犯罪活動時可以報警，起訴罪犯。義務/指導：管理層必須批準“平安事件處理策略〞和基于策略的平安應急方案，作為方案的局部，各管理層應明確其在平安事件處理中的角色。15.3.2應急響應體系的建立2．制定緊急事件提交策略在明確了應急響應角色的責任，并且所有相關人員都知曉時間處理規那么和報告渠道后，下一步應確定收到報告后如何提交。可以按以下3個步驟制定提交策略。〔1〕提交渠道的規定在規定由何人負責處理平安事件后，提交渠道的規定中應該明確報送人及其相應的報送對象。〔2〕提交的策略對象在這個步驟中應當確定在進一步調查或評估之前需要進行什么樣的提交。15.3.2應急響應體系的建立〔3〕提交方式報送過程中向上一層提交方式的選擇如下：①個人口頭報告；②書面報告；③電子郵件報告；④報告；⑤密封函件報告。15.3.2應急響應體系的建立還應該規定在什么時間段里完成報告。可采取如下規定：①立即提交：一個小時內；②立即采取措施：一個小時內；③事件還在控制中，但要求通知中上層：下一工作日。3．規定應急響應優先級應急響應優先級確實定與組織內的環境緊密相連。在制定應急響應優先級時，必須考慮下面的問題。15.3.2應急響應體系的建立①哪類損失和組織相關；②在每個類別中，按什么順序修補損失。要答復這些問題，首先應根據信息系統最低保護要求確定保護程度，而確定保護程度的過程就定義了與組織相關的損害類別，這些類別有：①與法律、規章或合同沖突；②對信息自決權的損害；③對人員身體的損害；④對組織職能的損害；⑤對外部關系的負面影響；⑥財務后果。15.3.2應急響應體系的建立4．平安應急的調查與評估為了調查和評估與平安相關的異常事件，必須進行一些初級評估，包括以下內容：①弄清楚信息系統結構和網絡情況；②弄清楚信息系統的聯系人和用戶；③弄清楚信息系統上的應用；④定義信息系統的保護要求。15.3.2應急響應體系的建立調查和評估平安事件的第一步要弄清楚以下因素：①平安事件可能影響什么信息系統和應用；②通過信息系統和網絡是否還會產生后續的損害；③哪些信息系統和應用不會受到損害和后續的損害；④平安事件導致直接損害后，后續損害的程度如何，應特別留意各種信息系統和應用之間的相關性；⑤能夠觸發平安事件的可能因素；15.3.2應急響應體系的建立9⑥平安事件發生在什么時候，在哪個地方，由于在探測到平安事件時很可能已經發生一段時間了，因此應維護好日志文件，要保證這些文件沒有被入侵；⑦是否只有內部用戶受到平安事件的影響，或者外部第三方也受到影響；⑧有多少關于平安事件的信息已經被泄漏給公眾。15.3.2應急響應體系的建立5．選擇應急響應相關補救措施首先要控制事件繼續開展并解決問題，然后恢復事務狀態。〔1〕必要的專業知識為查明和處理平安方面的弱點，必須擁有相關的技術知識，因此要么培訓組織人員，要么求助專家。為此，要準備一份表，包含各領域的內外部專家，這樣就可以直接尋求他們的意見，以免耽誤時間。15.3.2應急響應體系的建立外部專家包括：①計算機應急響應組；②相關的信息系統廠商和銷售商；③應用平安系統的廠商和銷售商，比方防病毒、防火墻和訪問控制等；④專業平安專家組成的外部參謀組。15.3.2應急響應體系的建立〔2〕平安恢復的運作要去除平安弱點，首先應將這些弱點所涉及的系統與網絡斷開，然后再將那些能提供已發生事件的性質和原因的信息文件〔尤其是相關的日志文件〕進行備份。15.3.2應急響應體系的建立〔3〕事件歸檔在應急處理平安問題時，所有動作都應該被盡可能詳細地記錄歸檔，以便實現以下目標：①保存發生事件的細節；②能夠追溯發生的問題；③能夠修正匆忙行動可能帶來的問題或錯誤；④在的問題再次發生時能夠迅速解決；⑤能夠消除平安弱點，準備預防措施；⑥如果要提起訴訟，便于收集證據。15.3.2應急響應體系的建立〔4〕對攻擊行為的反響當入侵者發起攻擊時，首先要決定是靜觀攻擊還是盡快采取措施。當然也可以試圖去抓住入侵者的“黑手〞，但是這可能會冒很大的風險，因為在試圖抓住對方的同時，對方可能會破壞、入侵或讀取數據。15.3.2應急響應體系的建立6．確定應急緊急通知機制當發生平安事件時，必須通知所有受影響的外部和內部各方，為那些受到平安事件直接影響的部門和機構采取對策提供方便。通知機制對處理平安事件相關信息各方的協助預防或解決問題尤為重要。15.3.3應急響應處置流程應急響應處置流程通常被劃分為準備、檢測、抑制、鏟除、恢復、報告與總結6個階段。〔1〕準備階段準備階段的主要工作包括建立合理的防御和控制措施、建立適當的策略和程序、獲得必要的資源和組建響應隊伍等。15.3.3應急響應處置流程〔2〕檢測階段檢測階段要做出初步的動作和響應，根據獲得的初步材料和分析結果，估計事件的范圍，制訂進一步的響應戰略，并且保存可能用于司法程序的證據。〔3〕抑制階段抑制的目的是限制攻擊的范圍。抑制措施十分重要，因為太多的平安事件可能迅速失控，15.3.3應急響應處置流程抑制策略一般包括關閉所有系統，從網絡上斷開相關系統，修改防火墻和路由器的過濾規那么，封鎖或刪除被攻破的登錄帳號，提高系統或網絡行為的監控級別，設置陷阱，關閉效勞以及反攻擊者的系統等。15.3.3應急響應處置流程〔4〕鏟除階段在事件被抑制之后，通過對有關惡意代碼或行為的分析結果，找出事件根源并徹底去除。對于單機上的事件，主要可以根據各種操作系統平臺的具體檢查和鏟除程序進行操作；但是對于大規模爆發的帶有蠕蟲性質的惡意程序，要鏟除各個主機上的惡意代碼是十分艱巨的任務。15.3.3應急響應處置流程很多案例數據說明，眾多的用戶并沒有真正關注他們的主機是否已經遭受入侵，有的甚至持續一年多，任由感染蠕蟲的主機在網絡中不斷地搜索和攻擊別的目標。造成這種現象的重要原因是各網絡之間缺乏有效的協調，或者是在一些商業網絡中，網絡管理員對接入到網絡中的子網和用戶沒有足夠的管理權限。15.3.3應急響應處置流程〔5〕恢復階段恢復階段的目標是把所有被攻擊的系統和網絡設備徹底復原到它們正常的任務狀態。恢復工作應該十分小心，應防止出現誤操作導致數據的喪失。另外，恢復工作中如果涉及機密數據，需要額外遵照機密系統的恢復要求。對不同任務的恢復工作的承擔單位，要有不同的擔保。如果攻擊者獲得了超級用戶的訪問權，一次完整的恢復應該強制性地修改所有的口令。15.3.3應急響應處置流程〔6〕報告與總結階段報告與總結是最后一個階段，但卻是絕對不能夠忽略的重要階段。這個階段的目標是回憶并整理發生事件的各種相關信息，盡可能地把所有情況記錄到文檔中。這些記錄的內容，不僅對有關部門的其他處理工作具有重要意義，而且對將來應急工作的開展也是非常重要的參考資料。15.4應急響應關鍵技術

15.4.1入侵檢測技術入侵檢測是實施應急響應的根底，因為只有發現對網絡和系統的攻擊或入侵才能觸發應急響應的動作。入侵檢測可以由系統自動完成，即入侵檢測系統〔IntrusionDetectSystem，IDS〕。入侵檢測是繼“數據加密〞、“防火墻〞等平安防護技術之后人們提出的又一種平安技術，它通過對信息系統中各種狀態和行為的歸納分析，一方面檢測來自外部的入侵行為，另一方面還能夠監督內部用戶的未授權活動。15.4.1入侵檢測技術目前入侵檢測技術大體上可以被分為兩大類：誤用檢測〔MisuseDetection〕和異常檢測〔AnomalyDetection〕。1．誤用檢測誤用檢測也稱為基于知識的入侵檢測或基于簽名的入侵檢測。該技術首先建立各種攻擊的特征模式庫，然后將用戶的當前行為依次與庫中的各種攻擊特征模式進行比較，如果匹配那么確定為攻擊行為，否那么就不是攻擊行為。15.4.1入侵檢測技術例如Internet蠕蟲攻擊就是使用了finger和sendmail的錯誤。對于攻擊行為可以通過按照預先定義好的入侵特征模式以及觀察到的入侵發生情況進行模式匹配來檢測。入侵模式說明了那些導致平安突破或其他誤用事件的特征、條件、排列和關系。目前已提出的誤用檢測方法有很多，如基于狀態遷移分析的誤用檢測方法STAT和USTAT、基于專家系統和模型誤用推理的誤用檢測方法等。15.4.1入侵檢測技術2．異常檢測異常檢測也稱基于行為的入侵檢測。該技術通過為用戶、進程或網絡流量等處于正常狀態時的行為特征建立參考模式，然后將系統當前行為特征與已建立的正常行為模式進行比較，假設存在較大偏差就確定為發生異常，否那么就確定為沒有。然而異常檢測的一個重要前提條件是將入侵行為作為異常行為的子集，理想狀況是異常行為集合與入侵行為集合等同，這樣假設能夠檢測所有的異常行為，那么就可檢測到所有的入侵行為。15.4.1入侵檢測技術然而入侵行為并不總是與異常行為相符合，它們之間存在以下4種關系：入侵而非異常、非入侵而異常、入侵且異常以及非入侵且非異常。異常檢測依賴于異常檢測模型的建立，不同異常模型構成不同的異常檢測技術，目前提出的異常檢測技術有基于模式預測的異常檢測方法和基于統計的異常檢測方法等。15.4.1入侵檢測技術目前有關這兩種入侵檢測技術的評價各有利弊，異常檢測的優點是其能夠檢測出未知攻擊，然而存在誤檢測率較高的缺乏；誤用檢測雖然檢測準確率較高，但其只能對攻擊行為進行檢測。15.4.2系統備份與災難恢復技術

1．系統備份系統備份是災難恢復的根底，其目的是確保既定的關鍵業務數據、關鍵數據處理系統和關鍵業務在災難發生后可以恢復。目前采用的系統備份方法主要有以下3種。〔1〕全備份全備份就是對整個系統進行完全備份，包括系統和數據。這種備份方式的好處就是很直觀，容易被人理解，而且當數據喪失時，只要用一份備份〔如災難發生前一天的備份磁帶或其他備份介質〕，就可以恢復喪失的數據。15.4.2系統備份與災難恢復技術

全備份也有缺乏之處，首先，由于每天都對系統進行完全備份，因此在備份數據中有大量的重復信息，這些重復的數據占用了大量的存儲空間，這對用戶來說就意味著本錢的增加；其次，由于需要備份的數據量相當大，因此備份所需的時間較長，對于那些業務繁忙、備份時間相對有限的單位來說，這種備份策略無疑是不明智的。15.4.2系統備份與災難恢復技術〔2〕增量備份增量備份就是每次備份的數據只是相當于上一次備份后增加和修改正的數據。這種備份的優點是沒有重復的備份數據，既節省存儲空間，又縮短了備份時間。其缺點在于當發生災難時，恢復數據比較麻煩。〔3〕差分備份差分備份就是每次備份的數據是相對于上一次全備份之后新增加和修改正的數據。例如管理員先在星期一進行一次系統完全備份，然后在接下來的幾天里，再將當天所有與星期一不同的數據〔新的或經改動的〕備份到存儲介質上。15.4.2系統備份與災難恢復技術2．災難恢復災難恢復，也稱為業務持續性，是指在災難發生后指定的時間內恢復既定的關鍵數據、關鍵數據處理系統和關鍵業務的過程。災難恢復技術是目前十分流行的IT技術，它能夠為重要的信息系統提供在斷電、火災和受到攻擊等各種意外事故發生，乃至再如洪水、地震等嚴重自然災害發生的情況下保持持續運轉的能力，因而對組織和社會關系重大的信息系統都應當采用災難恢復技術予以保護。15.4.2系統備份與災難恢復技術〔1〕災難恢復的根本技術要求①備份軟件?保證備份數據的完整性，并且有對備份介質〔如磁帶〕的管理能力；?支持多種備份方式，可以定時自動備份；?具有相應的功能或工具進行設備管理和介質管理；?支持多種校驗手段，以確保備份的正確性；?提供聯機數據備份功能。15.4.2系統備份與災難恢復技術②恢復的選擇和實施數據備份只是系統成功恢復的前提之一。恢復數據還需要備份軟件提供各種靈活的恢復選擇，如按介質、目錄樹、磁帶作業或查詢子集等不同方式做數據恢復。此外，還要認真完成一些管理工作，如定期檢查，確保備份的正確性；將備份媒介保存在異地一個平安的地方〔如專門的媒介庫或銀行保險箱〕；按照數據的增加和更新速度選擇恰當的備份周期等。15.4.2系統備份與災難恢復技術③自啟動恢復系統災難通常會造成數據喪失或者無法使用數據。利用備份軟件可以恢復喪失的數據，但是重新使用數據并非易事。很顯然，要想重新使用數據并恢復整個系統，首先必須將效勞器恢復到正常運行狀態。為了提高恢復效率，減少效勞停止時間，應當使用“自啟動恢復〞軟件工具。15.4.2系統備份與災難恢復技術通過執行一些必要的恢復功能，使系統可以自動確定效勞器所需要的配置和驅動，無需人工重新安裝和配置操作系統，也不需要重新安裝和配置恢復軟件及應用程序。此外，自啟動恢復軟件還可以生成備用效勞器的數據集合配置信息，以簡化備用效勞器的維護。④平安防護如果系統中潛伏平安隱患，例如病毒，那么即使數據和系統配置沒有喪失，效勞器中的數據也可能隨時喪失或被破壞。15.4.2系統備份與災難恢復技術因此，平安防護也是災難恢復的重要內容。在數據和程序進入網絡之前，要進行平安檢測。更為重要的是，要加強對整個網絡的自動監控，防止平安事件的出現和傳播。平安防護應該與其他防災方案密切配合，同時互相透明。總而言之，一個完整的災難恢復方案必須包括很強的平安防護策略和手段。15.4.2系統備份與災難恢復技術〔2〕災難恢復等級根據國際標準SHARE78的定義，災難恢復解決方案可分為7級，即從低到高有7種不同層次。①層次0——本地數據的備份與恢復；②層次1——批量存取訪