田力勇

中國(guó)人民解放軍66389部隊(duì)，河北 石家莊 050000

網(wǎng)絡(luò)入侵應(yīng)急響應(yīng)策略研究

田力勇

中國(guó)人民解放軍66389部隊(duì)，河北 石家莊 050000

針對(duì)當(dāng)前網(wǎng)絡(luò)入侵的主要形式，詳細(xì)論述了網(wǎng)絡(luò)入侵應(yīng)急響應(yīng)各個(gè)階段的具體任務(wù)、目標(biāo)和實(shí)施過(guò)程，對(duì)提升網(wǎng)絡(luò)安全事件發(fā)生后的應(yīng)急預(yù)警和響應(yīng)能力具有積極借鑒意義。

網(wǎng)絡(luò)入侵；應(yīng)急響應(yīng)；網(wǎng)絡(luò)安全

引言

為避免網(wǎng)絡(luò)入侵，多數(shù)網(wǎng)絡(luò)系統(tǒng)均加裝了入侵監(jiān)測(cè)系統(tǒng)，但大多數(shù)入侵監(jiān)測(cè)系統(tǒng)僅有簡(jiǎn)單的報(bào)警和記錄功能，在入侵事件發(fā)生后難以形成有效的抵抗措施，這就需要加強(qiáng)應(yīng)急響應(yīng)體系建設(shè)，完善網(wǎng)絡(luò)安全防護(hù)體系，迅速準(zhǔn)確地采取處置措施，盡可能地減少甚至避免損失。

1 網(wǎng)絡(luò)入侵的主要形式

網(wǎng)絡(luò)入侵是指未經(jīng)授權(quán)而對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源進(jìn)行惡意使用，破壞網(wǎng)絡(luò)信息的保密性、完整性以及網(wǎng)絡(luò)服務(wù)的可用性和網(wǎng)絡(luò)運(yùn)行的可控性的行為。根據(jù)入侵事件發(fā)生的特點(diǎn)和對(duì)系統(tǒng)造成的影響，可以分為以下4類(lèi)：

1.1 服務(wù)拒絕類(lèi)

服務(wù)拒絕攻擊通過(guò)高消耗請(qǐng)求和發(fā)送畸形報(bào)文的手段耗盡系統(tǒng)資源，使服務(wù)計(jì)算機(jī)崩潰，不能為合法用戶(hù)提供正常服務(wù)。高消耗請(qǐng)求攻擊通過(guò)大量合法和偽造的請(qǐng)求占用大量網(wǎng)絡(luò)以及器材資源，如CPU、內(nèi)存、入口帶寬等，使合法用戶(hù)難以連接服務(wù)，達(dá)到拒絕服務(wù)目的?；螆?bào)文攻擊是指通過(guò)向目標(biāo)系統(tǒng)發(fā)送具有缺陷的IP報(bào)文，使目標(biāo)系統(tǒng)在處理這樣的IP包時(shí)會(huì)出現(xiàn)崩潰，達(dá)到無(wú)法提供服務(wù)的目的[1]。

1.2 掃描窺探類(lèi)

掃描窺探攻擊主要包括網(wǎng)絡(luò)嗅探、系統(tǒng)特征掃描和利用漏洞探測(cè)等類(lèi)型。入侵者通過(guò)地址掃描、端口掃描、IP站選路、IP路由記錄、Tracert報(bào)文和業(yè)務(wù)模擬的方式獲得網(wǎng)絡(luò)系統(tǒng)信息，如系統(tǒng)用戶(hù)名和密碼、網(wǎng)絡(luò)結(jié)構(gòu)、目標(biāo)存活、端口信息和系統(tǒng)漏洞等。

1.3 惡意代碼注入類(lèi)

惡意代碼注入攻擊主要包括各種計(jì)算機(jī)病毒、蠕蟲(chóng)、木馬、跨站腳本攻擊、僵尸軟件和其他惡意代碼類(lèi)安全事件。入侵者利用計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)漏洞信息和存在的設(shè)計(jì)缺陷，構(gòu)造惡意代碼并注入目標(biāo)系統(tǒng)，達(dá)到癱瘓系統(tǒng)、竊取信息、控制權(quán)限等非法目的。

1.4 欺騙與篡改類(lèi)

信息欺騙和篡改攻擊主要通過(guò)IP欺騙、電子郵件欺騙、Web欺騙、數(shù)據(jù)篡改以及其他手段破壞網(wǎng)絡(luò)系統(tǒng)的保密性、完整性以及可用性等安全屬性，對(duì)信息系統(tǒng)進(jìn)行攻擊。

2 網(wǎng)絡(luò)入侵應(yīng)急響應(yīng)策略

網(wǎng)絡(luò)入侵應(yīng)急響應(yīng)是網(wǎng)絡(luò)系統(tǒng)受到攻擊后采取的應(yīng)急措施和行動(dòng)，目的是最大限度阻止和減少網(wǎng)絡(luò)攻擊帶來(lái)的影響，盡快恢復(fù)網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行。構(gòu)建網(wǎng)絡(luò)入侵應(yīng)急響應(yīng)機(jī)制，應(yīng)按照積極預(yù)防、及時(shí)發(fā)現(xiàn)、快速響應(yīng)、確保恢復(fù)的目標(biāo)要求，認(rèn)真做好應(yīng)急準(zhǔn)備、響應(yīng)處置和事后評(píng)估3個(gè)階段的工作。

2.1 應(yīng)急準(zhǔn)備

在網(wǎng)絡(luò)入侵事件發(fā)生之前，根據(jù)網(wǎng)絡(luò)系統(tǒng)的安全需求進(jìn)行應(yīng)急準(zhǔn)備，主要做好4個(gè)方面工作。

2.1.1 制定防入侵網(wǎng)絡(luò)安全策略

對(duì)不同網(wǎng)絡(luò)系統(tǒng)和用戶(hù)面臨的安全風(fēng)險(xiǎn)進(jìn)行評(píng)估。風(fēng)險(xiǎn)評(píng)估主要對(duì)以下3個(gè)要素進(jìn)行分析：脆弱程度、威脅程度、重要程度。在風(fēng)險(xiǎn)分析的基礎(chǔ)上，計(jì)算系統(tǒng)和用戶(hù)的安全需求，進(jìn)而制定技術(shù)防御的安全策略。

2.1.2 建立防入侵網(wǎng)絡(luò)安全環(huán)境

根據(jù)不同安全需求，建立以下網(wǎng)絡(luò)安全措施：①建立備份電源系統(tǒng)；②建立重要數(shù)據(jù)備份，提升系統(tǒng)容災(zāi)能力；③安裝有效防病毒軟件，及時(shí)更新病毒庫(kù)；④采用數(shù)字加密技術(shù)，增強(qiáng)數(shù)據(jù)保密性；⑤安裝入侵檢測(cè)系統(tǒng)，監(jiān)測(cè)惡意攻擊；⑥安裝防火墻，建立網(wǎng)關(guān)控制、內(nèi)容過(guò)濾等控制手段；⑦采用訪(fǎng)問(wèn)控制技術(shù)，避免非法接入和虛假路由信息；⑧利用偽裝技術(shù)和沙盒技術(shù)構(gòu)建網(wǎng)絡(luò)陷阱，抵御入侵攻擊；⑨建立計(jì)算機(jī)網(wǎng)絡(luò)追蹤取證能力，鎖定入侵者；⑩對(duì)系統(tǒng)管理員和用戶(hù)進(jìn)行網(wǎng)絡(luò)安全技術(shù)培訓(xùn)。

2.1.3 擬制入侵應(yīng)急響應(yīng)預(yù)案

在應(yīng)急響應(yīng)之前，掌握網(wǎng)絡(luò)系統(tǒng)運(yùn)行的安全狀況，熟悉受保護(hù)的系統(tǒng)和網(wǎng)絡(luò)環(huán)境，提前擬制防止網(wǎng)絡(luò)入侵應(yīng)急響應(yīng)預(yù)案。主要程序如下：①當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)服務(wù)器不明原因宕機(jī)、無(wú)法訪(fǎng)問(wèn)、網(wǎng)頁(yè)內(nèi)容被篡改、應(yīng)用服務(wù)器數(shù)據(jù)被非法拷貝或修改等檢測(cè)系統(tǒng)被不明原因攻擊時(shí)，網(wǎng)絡(luò)管理員和用戶(hù)斷開(kāi)網(wǎng)絡(luò)，報(bào)告上級(jí)管理人員；②網(wǎng)絡(luò)管理人員接到報(bào)告后，核實(shí)情況，判斷是否為網(wǎng)絡(luò)入侵，備份系統(tǒng)重要數(shù)據(jù)；③判斷為網(wǎng)絡(luò)入侵，采用不同措施進(jìn)行抵御，主要有關(guān)閉服務(wù)器或系統(tǒng)、修改防火墻和路由器過(guò)濾規(guī)則、禁用被破解的賬號(hào)、利用偽裝技術(shù)和沙盒技術(shù)構(gòu)建網(wǎng)絡(luò)陷阱等；⑤采用計(jì)算機(jī)和網(wǎng)絡(luò)追蹤取證手段進(jìn)行定位取證；⑥威脅解除后及時(shí)清理系統(tǒng)，恢復(fù)數(shù)據(jù)程序，恢復(fù)系統(tǒng)和網(wǎng)絡(luò)運(yùn)行；⑦進(jìn)行復(fù)盤(pán)總結(jié)，確定損失情況，研究防范改進(jìn)措施。

2.1.4 適時(shí)組織模擬應(yīng)急演練

針對(duì)網(wǎng)絡(luò)入侵事件發(fā)生發(fā)作的不固定性、突然性，在制定《網(wǎng)絡(luò)入侵應(yīng)急響應(yīng)預(yù)案》的基礎(chǔ)上，預(yù)想突發(fā)情況，適時(shí)組織各要素進(jìn)行應(yīng)急演練，提升管理員和用戶(hù)對(duì)預(yù)案的熟知程度，對(duì)響應(yīng)流程和措施進(jìn)行進(jìn)一步優(yōu)化。

2.2 響應(yīng)處置

響應(yīng)處置包括入侵檢測(cè)、指揮處置和系統(tǒng)恢復(fù)三個(gè)部分。

2.2.1 入侵檢測(cè)

根據(jù)網(wǎng)絡(luò)入侵應(yīng)急響應(yīng)預(yù)案，在入侵事件發(fā)生后，做出初步的判斷和動(dòng)作。根據(jù)獲得的初步信息和分析結(jié)果，估計(jì)事件的嚴(yán)重程度、影響范圍，進(jìn)一步研究應(yīng)急響應(yīng)措施。

2.2.2 指揮處置

按照靈活、機(jī)動(dòng)、快速的原則，根據(jù)響應(yīng)預(yù)警的級(jí)別分別進(jìn)行處置，組織應(yīng)急響應(yīng)分隊(duì)人員確定入侵目標(biāo)位置，采用預(yù)案手段抵御入侵，限制潛在的損失。抵御抑制策略主要包括以下內(nèi)容：加強(qiáng)系統(tǒng)和網(wǎng)絡(luò)行為的監(jiān)控，提高應(yīng)用權(quán)限；對(duì)重要系統(tǒng)數(shù)據(jù)進(jìn)行備份；修改防火墻和路由器過(guò)濾規(guī)則；封鎖刪除被破解攻擊的賬號(hào)；從網(wǎng)絡(luò)上斷開(kāi)主機(jī)或者部分網(wǎng)絡(luò)；設(shè)置誘餌服務(wù)器進(jìn)一步抵御攻擊，獲取事件信息；關(guān)閉受攻擊的系統(tǒng)；完全關(guān)閉所有系統(tǒng)[2]。

2.2.3 系統(tǒng)恢復(fù)

在有效控制入侵事件后，找出漏洞隱患并采用有效手段防范，以免入侵者再次使用相同手段發(fā)起攻擊，引發(fā)新的安全事件。在確定系統(tǒng)解除威脅后，及時(shí)清理系統(tǒng)，恢復(fù)數(shù)據(jù)程序，恢復(fù)系統(tǒng)和網(wǎng)絡(luò)運(yùn)行。

2.3 事后評(píng)估

總結(jié)應(yīng)對(duì)入侵安全事件過(guò)程中的相關(guān)信息，包括入侵事件的類(lèi)型、時(shí)間、攻擊形式、影響范圍、損失程度、應(yīng)急處理的流程、工作人員的分析判斷和操作技能等。對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全評(píng)估，確認(rèn)系統(tǒng)再次被入侵的威脅度，解決安全隱患，整理追蹤取證信息，找到攻擊者并進(jìn)行懲治，維護(hù)自身合法權(quán)益。

3 結(jié)束語(yǔ)

通過(guò)對(duì)網(wǎng)絡(luò)入侵的主要形式進(jìn)行分析，研究應(yīng)對(duì)網(wǎng)絡(luò)入侵事件的應(yīng)急響應(yīng)策略，對(duì)應(yīng)急準(zhǔn)備、響應(yīng)處置和事后評(píng)估各個(gè)階段的具體任務(wù)、目標(biāo)和實(shí)施過(guò)程進(jìn)行了詳細(xì)論述。這對(duì)完善網(wǎng)絡(luò)安全防護(hù)體系，提高網(wǎng)絡(luò)安全事件發(fā)生后的應(yīng)急預(yù)警和響應(yīng)能力具有重要現(xiàn)實(shí)意義。

[1]劉龍龍，張建輝，楊夢(mèng).網(wǎng)絡(luò)攻擊及其分類(lèi)技術(shù)研究[J].電子科技，2017，30（2）：169-172.

[2]劉欣然，李柏松，常安琪，等.當(dāng)前網(wǎng)絡(luò)安全形勢(shì)與應(yīng)急響應(yīng)[J].中國(guó)工程科學(xué)，2016，18（6）：83-88.

Research on Emergency Response Strategy of Network Intrusion

Tian Liyong
PLA 66389 Unit, Hebei Shijiazhuang 050000

According to the main form of network intrusion, the paper discusses the network intrusion response of specific tasks and goals of each phase and the implementation process, which has positive significance to enhancing the capability of emergency warning and response after the network security incident.

network intrusion; emergency response; network security

TP393.08

A

1009-6434（2017）7-0097-02