1
2
一、计算机病毒的概念
定义,计算机病毒是一段附着在其他程序上的可以实现自
我繁殖的程序代码。(国外)
定义,计算机病毒是指破坏计算机功能或者数据,并能自
我复制的程序。( 国内 )
病毒发展史:
1977年科幻小说,The Adolescence of P-1,描写计算机病毒
1983年 Fred Adleman首次在 VAX 11/750上试验病毒;
1986年 Brain病毒在全世界传播;
1988年 11月 2日 Cornell大学的 Morris编写的 Worm病毒袭击
美国 6000台计算机,直接损失尽亿美元;
八十年代末,病毒开始传入我国;
3
病毒产生的原因:
计算机病毒是高技术犯罪, 具有瞬时性, 动态
性和随机性 。 不易取证, 风险小破坏大 。
1) 寻求刺激:自我表现;恶作剧;
2) 出于报复心理 。
病毒的特征:
传染性;寄生性;衍生性;
隐蔽性;潜伏性;
可触发性;夺取控制权;
破坏性与危害性;
4
病毒的分类:
? 按破坏性分为:良性;恶性。
? 按激活时间分为:定时;随机
? 按传染方式分为:
引导型:当系统引导时进入内存,控制系统;
文件型:病毒一般附着在可执行文件上 ;
混合型:既可感染引导区,又可感染文件。
? 按连接方式分为:
OS型:替换 OS的部分功能,危害较大;
源码型:要在源程序编译之前插入病毒代码;较少;
外壳型:附在正常程序的开头或末尾;最常见;
入侵型:病毒取代特定程序的某些模块;难发现。
5
? 按照病毒特有的算法分为:
伴随型病毒,产生 EXE文件的伴随体 COM,病毒把自身
写入 COM文件并不改变 EXE文件, 当 DOS加载文件时,
伴随体优先被执行到, 再由伴随体加载执行原来的
EXE文件 。
,蠕虫, 型病毒,只占用内存, 不改变文件, 通过网
络搜索传播病毒 。
寄生型病毒,除了伴随和, 蠕虫, 型以外的病毒, 它
们依附在系统的引导扇区或文件中 。
变型病毒 ( 幽灵病毒 ), 使用复杂算法, 每传播一次
都具有不同内容和长度 。 一般的作法是一段混有无
关指令的解码算法和被变化过的病毒体组成 。
6
? 病毒的组成:
安装模块:提供潜伏机制;
传播模块:提供传染机制;
触发模块:提供触发机制;
其中,传染机制是病毒的本质特征,防治、检测及
杀毒都是从分析病毒传染机制入手的。
? 病毒的症状:
启动或运行速度明显变慢;文件大小、日期变化;死
机增多;莫名其妙地丢失文件;磁盘空间不应有的
减少;有规律地出现异常信息;自动生成一些特殊
文件;无缘无故地出现打印故障。
7
? 计算机病毒的传播途径
1)通过不可移动的设备进行传播
较少见,但破坏力很强。
2)通过移动存储设备进行传播
最广泛的传播途径
3)通过网络进行传播
反病毒所面临的新课题
4)通过点对点通讯系统和无线通道传播
预计将来会成为两大传播渠道
8
? 病毒的破坏行为
攻击系统数据区:主引导区,Boot区,FAT区、文件目录
攻击文件、内存,CMOS; 干扰系统运行,使速度下降;
干扰屏幕、键盘、喇叭、打印机;
破坏网络资源。
? 病毒的发展趋势
攻击对象趋于混合型;
反跟踪技术;
增强隐蔽性:避开修改中断向量值;请求在内存中的合
法身份;维持宿主程序外部特征;不用明显感染标志
采用加密技术,使得对病毒的跟踪、判断更困难;
繁衍不同的变种。
9
二、病毒的防治
? 网络环境下的病毒防治原则与策略
? 防重于治,防重在管:制度;注册、权限、属性、
服务器安全;集中管理、报警。
? 综合防护:木桶原理;防火墙与防毒软件结合
? 最佳均衡原则:占用较小的网络资源
? 管理与技术并重
? 正确选择反毒产品
? 多层次防御:病毒检测、数据保护、实时监控
? 注意病毒检测的可靠性:经常升级;两种以上。
10
二、病毒的防治
? 防毒:预防入侵; 病毒过滤、监控、隔离
? 查毒:发现和追踪病毒; 统计、报警
? 解毒:从感染对象中清除病毒;恢复功能
? 病毒检测的方法
? 直接观察法,根据病毒的种种表现来判断
? 特征代码法,采集病毒样本,抽取特征代码
特点:能快速、准确检验已知病毒,不能发现未
知的病毒。
11
? 校验和法,根据文件内容计算的校验和与以
前的作比较。
优点:能判断文件细微变化,发现未知病毒。
缺点:当软件升级、改口令时会产生误报;不
能识别病毒名称;对隐蔽性病毒无效。
? 行为监测法,基于对病毒异常行为的判断
特点:发现许多未知病毒;可能误报,实施难
? 软件模拟法:一种软件分析器,用软件方法
来模拟和分析程序的运行。
特点:可用于对付多态病毒。
12
? 反病毒软件的选择
1)扫描速度 30秒能扫描 1000个以上文件
2)识别率
3)病毒清除测试
? 著名杀毒软件公司
冠群金辰 www.kill.com.cn KILL
瑞星 www.rising.com.cn RAV
北京江民 www.jiangmin.com KV3000
信源 www.vrv.com.cn LAN VRV
赛门铁克 www.symantec.com Norton Anti Virus
时代先锋(行天 98) www.sdxf.com
13
? 反病毒软件工作原理
1)病毒扫描程序
串扫描算法,与已知病毒特征匹配;文件头、尾部
入口扫描算法:模拟跟踪目标程序的执行
类属解密法:对付多态、加密病毒
2)内存扫描程序:搜索内存驻留文件和引导记录病毒
3)完整性检查器:能发现新的病毒;但对于已被感染
的系统使用此方法,可能会受到欺骗。
4)行为监测器:是内存驻留程序,监视病毒对可执行
文件的修改。防止未知的病毒
14
三、几种常见的病毒
? 宏病毒
宏 (Macro),为避免重复操作而设计的一组命令。
在打开文件时,先执行, 宏,,然后载入文件内容。
因此如果, 宏, 带有病毒,则在编辑文件时病毒自
动载入。
宏病毒的症状:
1) 用 Word或 Excel打开文件时,出现, 文档未打开,,
,内存不够,,, WordBasic Err=514”等;
2)保存文件时,强制将文件按,,dot”类型存储,或
强制在指定目录存放。
3)宏病毒的版本兼容问题
15
几种宏病毒:
AAAZAO Macro,Concept病毒,第一个宏病毒;
Taiwan NO.1,第一个中文 word病毒;
Rainbow Macro,能改变桌面颜色;
FormatC,格式化 C盘,第一个木马型宏病毒;
Hot Macro,第一个调用 Windows API的宏病毒;
Nuclear Macro:第一个干扰打印机、硬盘的宏病毒。
宏病毒分类:
公用宏病毒:以 Auto开头的宏,附在 normal.dot或
Personal.xls 等模板上。
私用宏病毒:
16
? 宏病毒的危害
1)传播迅速:因为文件交流频繁;
2)制造及变种方便,Word Basic编程容易
3)危害大,Word Basic可调用 Windows API,DLL,DDE
? 宏病毒的防治
除杀毒软件以外,还可尝试下列方法:
1)按住 <Shift>键再启动 Word,禁止宏自动运行;
2)工具 ?宏,检查并删除所有可能带病毒的宏;
3) 使用 Disable AutoMacros宏
4)将模板文件如 normal.dot的属性设为只读。
17
三、几种常见的病毒
? CIH病毒
台湾陈盈豪编写,一般每月 26日发作。
不仅破坏硬盘的引导扇区和分区表,还破坏系统
Flash BIOS芯片中的系统程序,导致主板损坏。
病毒长 1KB,由于使用 VXD技术,只感染 32位
Windows 系统可执行文件中的,PE格式文件。
修复硬盘分区表:信源公司 (www.vrv.com.cn)的
免费软件 VRVFIX.EXE;
CIH疫苗,CIH作者的 Ant-CIHv1.0;
美国 Symantec公司的 Kill_CIH
18
四、网络病毒
含义 1:在网上传播、并对网络进行破坏的病毒。
含义 2:专指 HTML,E-mail,Java等 Internet病毒。
例:蠕虫病毒,木马程序等。
2001年 9月 18日,Nimda worm 在 Internet上迅
速传播。 该 病毒感染 Windows 系列多种计算机
系统,其传播速度之快、影响范围之广、破坏
力之强都超过其前不久发现的 Code Red II。
19
特点:网上蔓延,危害更大。
1)网上传染方式多,工作站、服务器交叉感染
2)混合特征:集文件感染、蠕虫、木马等于一身
3)利用网络脆弱性、系统漏洞
4)更注重欺骗性
5)清除难度大,破坏性强。
网络病毒的防范:
具体实现方法包括对网络服务器中的文件进行频
繁地扫描和监测;在工作站上用防病毒芯片和
对网络目录及文件设置访问权限等。
20
? 相对于单机病毒的防护来说,网络病毒的防治具有
更大的难度,网络病毒防治应与网络管理集成。管
理功能就是管理全部的网络设备:从 Hub,交换机、
服务器到 PC,软盘的存取、局域网上的信息互通及
与 Internet的连接等,所有病毒能够进来的地方。
为实现计算机病毒的防治,可在计算机网络系统上
安装网络病毒防治服务器;在内部网络服务器上安
装网络病毒防治软件;在单机上安装单机环境的反
病毒软件。
? 从以下方面控制网络病毒:
服务器 邮件系统 WEB站点
数据库系统 网关
21
? 局域网病毒防御体系
1)服务器网络病毒防杀模块
监视各节点,保护网络操作系统安全;
动态告警、杀灭各节点的病毒;
配置系统整体的检测计划、时间;
对病毒事件进行记录、审计、跟踪;
提供技术支持,升级;
2)客户端单机病毒防杀模块
单机版杀毒软件;响应升级要求
22
? 安装网络防毒软件的方案
1)在网关和防火墙上安装防毒软件
缺点:对每个文件的检测将影响网络性能。
2)在工作站上安装防毒软件
缺点:管理、协调、升级困难。
3)在电子邮件服务器上安装防毒软件
仅能防止邮件病毒的传播。
4)在所有文件服务器上安装防毒软件
对于备份服务器,备份与反毒有可能冲突。
23
? 网络反毒的新特征:
与 OS结合更紧密;实时化;检测压缩文件病
毒
? 病毒防火墙技术:能阻止病毒的扩散
在网络服务器上安装病毒防火墙系统,例如:
Inter Scan Virus Wall
关键技术:
OS底层接口技术:实时过滤,并少占用资源;
网络及应用程序的底层接口技术:各种协议
充分利用 OS的多任务、多线程机制;
优化算法,减少系统开销;
24
网络应急响应
? 网络安全事件,违反明显的或隐含的安全策略的一次
活动,即对系统正常运行有负面影响的活动。包括:
非授权访问;系统崩溃;拒绝服务;对系统的篡改。
? 时间长短;规模大小;
安全级别,A:影响公共安全、社会秩序
B:系统停顿,业务无法运作
C:业务中断,影响系统效率
D:业务短暂故障,可立即修复
? CERT/CC(计算机紧急事件响应小组 /协调中心 )发出
安全警报,00年 26次,01年 41次。中国计算机网络应
急处理协调中心 CNCERT/CC(WWW.CERT.ORG.CN)
25
? 网络安全事件的紧急程度:
一般:
紧急:
? 对人身安全的威胁;
? 对 Internet体系的攻击 (如对 DNS,根名服务
器、网络接入点的攻击 )
? 对 Internet的大范围自动化攻击
? 新型的攻击及新的严重漏洞。
? 网络安全事件的应急准备
分析关键业务;后援;应急组织与计划;评估;演练。
26
网络安全事件的应急处理流程
1)发现网络安全事件
2)确定影响范围,评估可能损失
3)执行预定的应急措
4)安全事件通报、求援
安全事件通报内容:
发生安全事件的联系资料:
发生时间、地点;受影响主机资料;
事件描述(程度、来源、工具、损失);
采取的措施;期望的援助。
27
CERT/CC提供的基本服务
? CERT/CC是实现信息安全保障的核心,
提供以下服务:
安全事件的热线响应;
检查入侵来源;
恢复系统正常工作;
事故分析;
发布安全警报、公告、建议;
咨询;安全培训教育;
风险评估。
28
CERT/CC 的组织架构与运行机制
事件处理组 技术研发组 教育培训组
咨询组
宣传组
网络用户
媒体警方 安全组织
Web站台
数据库
咨询
事
件
报
告
应
急
救
援
咨询
问题
解决方案
系
统
维
护
技术支援
提
供
资
料
合作合作
安
全
警
报
更
新
咨
询
培
训信
息
29
建立统一的信息网络安全保障体系
金字塔型的安全保障体系示意图
协调中心
专项中心
行业服务中心
厂商支持中心
企业或政府组织的应急中心
商业化、社会化的应急与救援中心
六类安全事件处理组织:国际 /国家,专项中心,行
业中心,厂商支持中心,企业组织,社会化机构。
2
一、计算机病毒的概念
定义,计算机病毒是一段附着在其他程序上的可以实现自
我繁殖的程序代码。(国外)
定义,计算机病毒是指破坏计算机功能或者数据,并能自
我复制的程序。( 国内 )
病毒发展史:
1977年科幻小说,The Adolescence of P-1,描写计算机病毒
1983年 Fred Adleman首次在 VAX 11/750上试验病毒;
1986年 Brain病毒在全世界传播;
1988年 11月 2日 Cornell大学的 Morris编写的 Worm病毒袭击
美国 6000台计算机,直接损失尽亿美元;
八十年代末,病毒开始传入我国;
3
病毒产生的原因:
计算机病毒是高技术犯罪, 具有瞬时性, 动态
性和随机性 。 不易取证, 风险小破坏大 。
1) 寻求刺激:自我表现;恶作剧;
2) 出于报复心理 。
病毒的特征:
传染性;寄生性;衍生性;
隐蔽性;潜伏性;
可触发性;夺取控制权;
破坏性与危害性;
4
病毒的分类:
? 按破坏性分为:良性;恶性。
? 按激活时间分为:定时;随机
? 按传染方式分为:
引导型:当系统引导时进入内存,控制系统;
文件型:病毒一般附着在可执行文件上 ;
混合型:既可感染引导区,又可感染文件。
? 按连接方式分为:
OS型:替换 OS的部分功能,危害较大;
源码型:要在源程序编译之前插入病毒代码;较少;
外壳型:附在正常程序的开头或末尾;最常见;
入侵型:病毒取代特定程序的某些模块;难发现。
5
? 按照病毒特有的算法分为:
伴随型病毒,产生 EXE文件的伴随体 COM,病毒把自身
写入 COM文件并不改变 EXE文件, 当 DOS加载文件时,
伴随体优先被执行到, 再由伴随体加载执行原来的
EXE文件 。
,蠕虫, 型病毒,只占用内存, 不改变文件, 通过网
络搜索传播病毒 。
寄生型病毒,除了伴随和, 蠕虫, 型以外的病毒, 它
们依附在系统的引导扇区或文件中 。
变型病毒 ( 幽灵病毒 ), 使用复杂算法, 每传播一次
都具有不同内容和长度 。 一般的作法是一段混有无
关指令的解码算法和被变化过的病毒体组成 。
6
? 病毒的组成:
安装模块:提供潜伏机制;
传播模块:提供传染机制;
触发模块:提供触发机制;
其中,传染机制是病毒的本质特征,防治、检测及
杀毒都是从分析病毒传染机制入手的。
? 病毒的症状:
启动或运行速度明显变慢;文件大小、日期变化;死
机增多;莫名其妙地丢失文件;磁盘空间不应有的
减少;有规律地出现异常信息;自动生成一些特殊
文件;无缘无故地出现打印故障。
7
? 计算机病毒的传播途径
1)通过不可移动的设备进行传播
较少见,但破坏力很强。
2)通过移动存储设备进行传播
最广泛的传播途径
3)通过网络进行传播
反病毒所面临的新课题
4)通过点对点通讯系统和无线通道传播
预计将来会成为两大传播渠道
8
? 病毒的破坏行为
攻击系统数据区:主引导区,Boot区,FAT区、文件目录
攻击文件、内存,CMOS; 干扰系统运行,使速度下降;
干扰屏幕、键盘、喇叭、打印机;
破坏网络资源。
? 病毒的发展趋势
攻击对象趋于混合型;
反跟踪技术;
增强隐蔽性:避开修改中断向量值;请求在内存中的合
法身份;维持宿主程序外部特征;不用明显感染标志
采用加密技术,使得对病毒的跟踪、判断更困难;
繁衍不同的变种。
9
二、病毒的防治
? 网络环境下的病毒防治原则与策略
? 防重于治,防重在管:制度;注册、权限、属性、
服务器安全;集中管理、报警。
? 综合防护:木桶原理;防火墙与防毒软件结合
? 最佳均衡原则:占用较小的网络资源
? 管理与技术并重
? 正确选择反毒产品
? 多层次防御:病毒检测、数据保护、实时监控
? 注意病毒检测的可靠性:经常升级;两种以上。
10
二、病毒的防治
? 防毒:预防入侵; 病毒过滤、监控、隔离
? 查毒:发现和追踪病毒; 统计、报警
? 解毒:从感染对象中清除病毒;恢复功能
? 病毒检测的方法
? 直接观察法,根据病毒的种种表现来判断
? 特征代码法,采集病毒样本,抽取特征代码
特点:能快速、准确检验已知病毒,不能发现未
知的病毒。
11
? 校验和法,根据文件内容计算的校验和与以
前的作比较。
优点:能判断文件细微变化,发现未知病毒。
缺点:当软件升级、改口令时会产生误报;不
能识别病毒名称;对隐蔽性病毒无效。
? 行为监测法,基于对病毒异常行为的判断
特点:发现许多未知病毒;可能误报,实施难
? 软件模拟法:一种软件分析器,用软件方法
来模拟和分析程序的运行。
特点:可用于对付多态病毒。
12
? 反病毒软件的选择
1)扫描速度 30秒能扫描 1000个以上文件
2)识别率
3)病毒清除测试
? 著名杀毒软件公司
冠群金辰 www.kill.com.cn KILL
瑞星 www.rising.com.cn RAV
北京江民 www.jiangmin.com KV3000
信源 www.vrv.com.cn LAN VRV
赛门铁克 www.symantec.com Norton Anti Virus
时代先锋(行天 98) www.sdxf.com
13
? 反病毒软件工作原理
1)病毒扫描程序
串扫描算法,与已知病毒特征匹配;文件头、尾部
入口扫描算法:模拟跟踪目标程序的执行
类属解密法:对付多态、加密病毒
2)内存扫描程序:搜索内存驻留文件和引导记录病毒
3)完整性检查器:能发现新的病毒;但对于已被感染
的系统使用此方法,可能会受到欺骗。
4)行为监测器:是内存驻留程序,监视病毒对可执行
文件的修改。防止未知的病毒
14
三、几种常见的病毒
? 宏病毒
宏 (Macro),为避免重复操作而设计的一组命令。
在打开文件时,先执行, 宏,,然后载入文件内容。
因此如果, 宏, 带有病毒,则在编辑文件时病毒自
动载入。
宏病毒的症状:
1) 用 Word或 Excel打开文件时,出现, 文档未打开,,
,内存不够,,, WordBasic Err=514”等;
2)保存文件时,强制将文件按,,dot”类型存储,或
强制在指定目录存放。
3)宏病毒的版本兼容问题
15
几种宏病毒:
AAAZAO Macro,Concept病毒,第一个宏病毒;
Taiwan NO.1,第一个中文 word病毒;
Rainbow Macro,能改变桌面颜色;
FormatC,格式化 C盘,第一个木马型宏病毒;
Hot Macro,第一个调用 Windows API的宏病毒;
Nuclear Macro:第一个干扰打印机、硬盘的宏病毒。
宏病毒分类:
公用宏病毒:以 Auto开头的宏,附在 normal.dot或
Personal.xls 等模板上。
私用宏病毒:
16
? 宏病毒的危害
1)传播迅速:因为文件交流频繁;
2)制造及变种方便,Word Basic编程容易
3)危害大,Word Basic可调用 Windows API,DLL,DDE
? 宏病毒的防治
除杀毒软件以外,还可尝试下列方法:
1)按住 <Shift>键再启动 Word,禁止宏自动运行;
2)工具 ?宏,检查并删除所有可能带病毒的宏;
3) 使用 Disable AutoMacros宏
4)将模板文件如 normal.dot的属性设为只读。
17
三、几种常见的病毒
? CIH病毒
台湾陈盈豪编写,一般每月 26日发作。
不仅破坏硬盘的引导扇区和分区表,还破坏系统
Flash BIOS芯片中的系统程序,导致主板损坏。
病毒长 1KB,由于使用 VXD技术,只感染 32位
Windows 系统可执行文件中的,PE格式文件。
修复硬盘分区表:信源公司 (www.vrv.com.cn)的
免费软件 VRVFIX.EXE;
CIH疫苗,CIH作者的 Ant-CIHv1.0;
美国 Symantec公司的 Kill_CIH
18
四、网络病毒
含义 1:在网上传播、并对网络进行破坏的病毒。
含义 2:专指 HTML,E-mail,Java等 Internet病毒。
例:蠕虫病毒,木马程序等。
2001年 9月 18日,Nimda worm 在 Internet上迅
速传播。 该 病毒感染 Windows 系列多种计算机
系统,其传播速度之快、影响范围之广、破坏
力之强都超过其前不久发现的 Code Red II。
19
特点:网上蔓延,危害更大。
1)网上传染方式多,工作站、服务器交叉感染
2)混合特征:集文件感染、蠕虫、木马等于一身
3)利用网络脆弱性、系统漏洞
4)更注重欺骗性
5)清除难度大,破坏性强。
网络病毒的防范:
具体实现方法包括对网络服务器中的文件进行频
繁地扫描和监测;在工作站上用防病毒芯片和
对网络目录及文件设置访问权限等。
20
? 相对于单机病毒的防护来说,网络病毒的防治具有
更大的难度,网络病毒防治应与网络管理集成。管
理功能就是管理全部的网络设备:从 Hub,交换机、
服务器到 PC,软盘的存取、局域网上的信息互通及
与 Internet的连接等,所有病毒能够进来的地方。
为实现计算机病毒的防治,可在计算机网络系统上
安装网络病毒防治服务器;在内部网络服务器上安
装网络病毒防治软件;在单机上安装单机环境的反
病毒软件。
? 从以下方面控制网络病毒:
服务器 邮件系统 WEB站点
数据库系统 网关
21
? 局域网病毒防御体系
1)服务器网络病毒防杀模块
监视各节点,保护网络操作系统安全;
动态告警、杀灭各节点的病毒;
配置系统整体的检测计划、时间;
对病毒事件进行记录、审计、跟踪;
提供技术支持,升级;
2)客户端单机病毒防杀模块
单机版杀毒软件;响应升级要求
22
? 安装网络防毒软件的方案
1)在网关和防火墙上安装防毒软件
缺点:对每个文件的检测将影响网络性能。
2)在工作站上安装防毒软件
缺点:管理、协调、升级困难。
3)在电子邮件服务器上安装防毒软件
仅能防止邮件病毒的传播。
4)在所有文件服务器上安装防毒软件
对于备份服务器,备份与反毒有可能冲突。
23
? 网络反毒的新特征:
与 OS结合更紧密;实时化;检测压缩文件病
毒
? 病毒防火墙技术:能阻止病毒的扩散
在网络服务器上安装病毒防火墙系统,例如:
Inter Scan Virus Wall
关键技术:
OS底层接口技术:实时过滤,并少占用资源;
网络及应用程序的底层接口技术:各种协议
充分利用 OS的多任务、多线程机制;
优化算法,减少系统开销;
24
网络应急响应
? 网络安全事件,违反明显的或隐含的安全策略的一次
活动,即对系统正常运行有负面影响的活动。包括:
非授权访问;系统崩溃;拒绝服务;对系统的篡改。
? 时间长短;规模大小;
安全级别,A:影响公共安全、社会秩序
B:系统停顿,业务无法运作
C:业务中断,影响系统效率
D:业务短暂故障,可立即修复
? CERT/CC(计算机紧急事件响应小组 /协调中心 )发出
安全警报,00年 26次,01年 41次。中国计算机网络应
急处理协调中心 CNCERT/CC(WWW.CERT.ORG.CN)
25
? 网络安全事件的紧急程度:
一般:
紧急:
? 对人身安全的威胁;
? 对 Internet体系的攻击 (如对 DNS,根名服务
器、网络接入点的攻击 )
? 对 Internet的大范围自动化攻击
? 新型的攻击及新的严重漏洞。
? 网络安全事件的应急准备
分析关键业务;后援;应急组织与计划;评估;演练。
26
网络安全事件的应急处理流程
1)发现网络安全事件
2)确定影响范围,评估可能损失
3)执行预定的应急措
4)安全事件通报、求援
安全事件通报内容:
发生安全事件的联系资料:
发生时间、地点;受影响主机资料;
事件描述(程度、来源、工具、损失);
采取的措施;期望的援助。
27
CERT/CC提供的基本服务
? CERT/CC是实现信息安全保障的核心,
提供以下服务:
安全事件的热线响应;
检查入侵来源;
恢复系统正常工作;
事故分析;
发布安全警报、公告、建议;
咨询;安全培训教育;
风险评估。
28
CERT/CC 的组织架构与运行机制
事件处理组 技术研发组 教育培训组
咨询组
宣传组
网络用户
媒体警方 安全组织
Web站台
数据库
咨询
事
件
报
告
应
急
救
援
咨询
问题
解决方案
系
统
维
护
技术支援
提
供
资
料
合作合作
安
全
警
报
更
新
咨
询
培
训信
息
29
建立统一的信息网络安全保障体系
金字塔型的安全保障体系示意图
协调中心
专项中心
行业服务中心
厂商支持中心
企业或政府组织的应急中心
商业化、社会化的应急与救援中心
六类安全事件处理组织:国际 /国家,专项中心,行
业中心,厂商支持中心,企业组织,社会化机构。
