網(wǎng)絡(luò)入侵應(yīng)急響應(yīng)策略研究

田力勇

中國人民解放軍66389部隊，河北 石家莊 050000

網(wǎng)絡(luò)入侵應(yīng)急響應(yīng)策略研究

田力勇

中國人民解放軍66389部隊，河北 石家莊 050000

針對當(dāng)前網(wǎng)絡(luò)入侵的主要形式，詳細(xì)論述了網(wǎng)絡(luò)入侵應(yīng)急響應(yīng)各個階段的具體任務(wù)、目標(biāo)和實施過程，對提升網(wǎng)絡(luò)安全事件發(fā)生后的應(yīng)急預(yù)警和響應(yīng)能力具有積極借鑒意義。

網(wǎng)絡(luò)入侵；應(yīng)急響應(yīng)；網(wǎng)絡(luò)安全

引言

為避免網(wǎng)絡(luò)入侵，多數(shù)網(wǎng)絡(luò)系統(tǒng)均加裝了入侵監(jiān)測系統(tǒng)，但大多數(shù)入侵監(jiān)測系統(tǒng)僅有簡單的報警和記錄功能，在入侵事件發(fā)生后難以形成有效的抵抗措施，這就需要加強(qiáng)應(yīng)急響應(yīng)體系建設(shè)，完善網(wǎng)絡(luò)安全防護(hù)體系，迅速準(zhǔn)確地采取處置措施，盡可能地減少甚至避免損失。

1 網(wǎng)絡(luò)入侵的主要形式

網(wǎng)絡(luò)入侵是指未經(jīng)授權(quán)而對計算機(jī)和網(wǎng)絡(luò)資源進(jìn)行惡意使用，破壞網(wǎng)絡(luò)信息的保密性、完整性以及網(wǎng)絡(luò)服務(wù)的可用性和網(wǎng)絡(luò)運行的可控性的行為。根據(jù)入侵事件發(fā)生的特點和對系統(tǒng)造成的影響，可以分為以下4類：

1.1 服務(wù)拒絕類

服務(wù)拒絕攻擊通過高消耗請求和發(fā)送畸形報文的手段耗盡系統(tǒng)資源，使服務(wù)計算機(jī)崩潰，不能為合法用戶提供正常服務(wù)。高消耗請求攻擊通過大量合法和偽造的請求占用大量網(wǎng)絡(luò)以及器材資源，如CPU、內(nèi)存、入口帶寬等，使合法用戶難以連接服務(wù)，達(dá)到拒絕服務(wù)目的?；螆笪墓羰侵竿ㄟ^向目標(biāo)系統(tǒng)發(fā)送具有缺陷的IP報文，使目標(biāo)系統(tǒng)在處理這樣的IP包時會出現(xiàn)崩潰，達(dá)到無法提供服務(wù)的目的[1]。

1.2 掃描窺探類

掃描窺探攻擊主要包括網(wǎng)絡(luò)嗅探、系統(tǒng)特征掃描和利用漏洞探測等類型。入侵者通過地址掃描、端口掃描、IP站選路、IP路由記錄、Tracert報文和業(yè)務(wù)模擬的方式獲得網(wǎng)絡(luò)系統(tǒng)信息，如系統(tǒng)用戶名和密碼、網(wǎng)絡(luò)結(jié)構(gòu)、目標(biāo)存活、端口信息和系統(tǒng)漏洞等。

1.3 惡意代碼注入類

惡意代碼注入攻擊主要包括各種計算機(jī)病毒、蠕蟲、木馬、跨站腳本攻擊、僵尸軟件和其他惡意代碼類安全事件。入侵者利用計算機(jī)和網(wǎng)絡(luò)系統(tǒng)漏洞信息和存在的設(shè)計缺陷，構(gòu)造惡意代碼并注入目標(biāo)系統(tǒng)，達(dá)到癱瘓系統(tǒng)、竊取信息、控制權(quán)限等非法目的。

1.4 欺騙與篡改類

信息欺騙和篡改攻擊主要通過IP欺騙、電子郵件欺騙、Web欺騙、數(shù)據(jù)篡改以及其他手段破壞網(wǎng)絡(luò)系統(tǒng)的保密性、完整性以及可用性等安全屬性，對信息系統(tǒng)進(jìn)行攻擊。

2 網(wǎng)絡(luò)入侵應(yīng)急響應(yīng)策略

網(wǎng)絡(luò)入侵應(yīng)急響應(yīng)是網(wǎng)絡(luò)系統(tǒng)受到攻擊后采取的應(yīng)急措施和行動，目的是最大限度阻止和減少網(wǎng)絡(luò)攻擊帶來的影響，盡快恢復(fù)網(wǎng)絡(luò)系統(tǒng)的正常運行。構(gòu)建網(wǎng)絡(luò)入侵應(yīng)急響應(yīng)機(jī)制，應(yīng)按照積極預(yù)防、及時發(fā)現(xiàn)、快速響應(yīng)、確保恢復(fù)的目標(biāo)要求，認(rèn)真做好應(yīng)急準(zhǔn)備、響應(yīng)處置和事后評估3個階段的工作。

2.1 應(yīng)急準(zhǔn)備

在網(wǎng)絡(luò)入侵事件發(fā)生之前，根據(jù)網(wǎng)絡(luò)系統(tǒng)的安全需求進(jìn)行應(yīng)急準(zhǔn)備，主要做好4個方面工作。

2.1.1 制定防入侵網(wǎng)絡(luò)安全策略

對不同網(wǎng)絡(luò)系統(tǒng)和用戶面臨的安全風(fēng)險進(jìn)行評估。風(fēng)險評估主要對以下3個要素進(jìn)行分析：脆弱程度、威脅程度、重要程度。在風(fēng)險分析的基礎(chǔ)上，計算系統(tǒng)和用戶的安全需求，進(jìn)而制定技術(shù)防御的安全策略。

2.1.2 建立防入侵網(wǎng)絡(luò)安全環(huán)境

根據(jù)不同安全需求，建立以下網(wǎng)絡(luò)安全措施：①建立備份電源系統(tǒng)；②建立重要數(shù)據(jù)備份，提升系統(tǒng)容災(zāi)能力；③安裝有效防病毒軟件，及時更新病毒庫；④采用數(shù)字加密技術(shù)，增強(qiáng)數(shù)據(jù)保密性；⑤安裝入侵檢測系統(tǒng)，監(jiān)測惡意攻擊；⑥安裝防火墻，建立網(wǎng)關(guān)控制、內(nèi)容過濾等控制手段；⑦采用訪問控制技術(shù)，避免非法接入和虛假路由信息；⑧利用偽裝技術(shù)和沙盒技術(shù)構(gòu)建網(wǎng)絡(luò)陷阱，抵御入侵攻擊；⑨建立計算機(jī)網(wǎng)絡(luò)追蹤取證能力，鎖定入侵者；⑩對系統(tǒng)管理員和用戶進(jìn)行網(wǎng)絡(luò)安全技術(shù)培訓(xùn)。

2.1.3 擬制入侵應(yīng)急響應(yīng)預(yù)案

在應(yīng)急響應(yīng)之前，掌握網(wǎng)絡(luò)系統(tǒng)運行的安全狀況，熟悉受保護(hù)的系統(tǒng)和網(wǎng)絡(luò)環(huán)境，提前擬制防止網(wǎng)絡(luò)入侵應(yīng)急響應(yīng)預(yù)案。主要程序如下：①當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)服務(wù)器不明原因宕機(jī)、無法訪問、網(wǎng)頁內(nèi)容被篡改、應(yīng)用服務(wù)器數(shù)據(jù)被非法拷貝或修改等檢測系統(tǒng)被不明原因攻擊時，網(wǎng)絡(luò)管理員和用戶斷開網(wǎng)絡(luò)，報告上級管理人員；②網(wǎng)絡(luò)管理人員接到報告后，核實情況，判斷是否為網(wǎng)絡(luò)入侵，備份系統(tǒng)重要數(shù)據(jù)；③判斷為網(wǎng)絡(luò)入侵，采用不同措施進(jìn)行抵御，主要有關(guān)閉服務(wù)器或系統(tǒng)、修改防火墻和路由器過濾規(guī)則、禁用被破解的賬號、利用偽裝技術(shù)和沙盒技術(shù)構(gòu)建網(wǎng)絡(luò)陷阱等；⑤采用計算機(jī)和網(wǎng)絡(luò)追蹤取證手段進(jìn)行定位取證；⑥威脅解除后及時清理系統(tǒng)，恢復(fù)數(shù)據(jù)程序，恢復(fù)系統(tǒng)和網(wǎng)絡(luò)運行；⑦進(jìn)行復(fù)盤總結(jié)，確定損失情況，研究防范改進(jìn)措施。

2.1.4 適時組織模擬應(yīng)急演練

針對網(wǎng)絡(luò)入侵事件發(fā)生發(fā)作的不固定性、突然性，在制定《網(wǎng)絡(luò)入侵應(yīng)急響應(yīng)預(yù)案》的基礎(chǔ)上，預(yù)想突發(fā)情況，適時組織各要素進(jìn)行應(yīng)急演練，提升管理員和用戶對預(yù)案的熟知程度，對響應(yīng)流程和措施進(jìn)行進(jìn)一步優(yōu)化。

2.2 響應(yīng)處置

響應(yīng)處置包括入侵檢測、指揮處置和系統(tǒng)恢復(fù)三個部分。

2.2.1 入侵檢測

根據(jù)網(wǎng)絡(luò)入侵應(yīng)急響應(yīng)預(yù)案，在入侵事件發(fā)生后，做出初步的判斷和動作。根據(jù)獲得的初步信息和分析結(jié)果，估計事件的嚴(yán)重程度、影響范圍，進(jìn)一步研究應(yīng)急響應(yīng)措施。

2.2.2 指揮處置

按照靈活、機(jī)動、快速的原則，根據(jù)響應(yīng)預(yù)警的級別分別進(jìn)行處置，組織應(yīng)急響應(yīng)分隊人員確定入侵目標(biāo)位置，采用預(yù)案手段抵御入侵，限制潛在的損失。抵御抑制策略主要包括以下內(nèi)容：加強(qiáng)系統(tǒng)和網(wǎng)絡(luò)行為的監(jiān)控，提高應(yīng)用權(quán)限；對重要系統(tǒng)數(shù)據(jù)進(jìn)行備份；修改防火墻和路由器過濾規(guī)則；封鎖刪除被破解攻擊的賬號；從網(wǎng)絡(luò)上斷開主機(jī)或者部分網(wǎng)絡(luò)；設(shè)置誘餌服務(wù)器進(jìn)一步抵御攻擊，獲取事件信息；關(guān)閉受攻擊的系統(tǒng)；完全關(guān)閉所有系統(tǒng)[2]。

2.2.3 系統(tǒng)恢復(fù)

在有效控制入侵事件后，找出漏洞隱患并采用有效手段防范，以免入侵者再次使用相同手段發(fā)起攻擊，引發(fā)新的安全事件。在確定系統(tǒng)解除威脅后，及時清理系統(tǒng)，恢復(fù)數(shù)據(jù)程序，恢復(fù)系統(tǒng)和網(wǎng)絡(luò)運行。

2.3 事后評估

總結(jié)應(yīng)對入侵安全事件過程中的相關(guān)信息，包括入侵事件的類型、時間、攻擊形式、影響范圍、損失程度、應(yīng)急處理的流程、工作人員的分析判斷和操作技能等。對網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全評估，確認(rèn)系統(tǒng)再次被入侵的威脅度，解決安全隱患，整理追蹤取證信息，找到攻擊者并進(jìn)行懲治，維護(hù)自身合法權(quán)益。

3 結(jié)束語

通過對網(wǎng)絡(luò)入侵的主要形式進(jìn)行分析，研究應(yīng)對網(wǎng)絡(luò)入侵事件的應(yīng)急響應(yīng)策略，對應(yīng)急準(zhǔn)備、響應(yīng)處置和事后評估各個階段的具體任務(wù)、目標(biāo)和實施過程進(jìn)行了詳細(xì)論述。這對完善網(wǎng)絡(luò)安全防護(hù)體系，提高網(wǎng)絡(luò)安全事件發(fā)生后的應(yīng)急預(yù)警和響應(yīng)能力具有重要現(xiàn)實意義。

[1]劉龍龍，張建輝，楊夢.網(wǎng)絡(luò)攻擊及其分類技術(shù)研究[J].電子科技，2017，30（2）：169-172.

[2]劉欣然，李柏松，常安琪，等.當(dāng)前網(wǎng)絡(luò)安全形勢與應(yīng)急響應(yīng)[J].中國工程科學(xué)，2016，18（6）：83-88.

Research on Emergency Response Strategy of Network Intrusion

Tian Liyong
PLA 66389 Unit, Hebei Shijiazhuang 050000

According to the main form of network intrusion, the paper discusses the network intrusion response of specific tasks and goals of each phase and the implementation process, which has positive significance to enhancing the capability of emergency warning and response after the network security incident.

network intrusion; emergency response; network security

TP393.08

A

1009-6434（2017）7-0097-02