应急响应技术报告

                                                                       应急响应技术报告

1应急响应的背景
        网络安全事件从宏观上看是持续的、不间断的，但是具体到每一个事件却是突发的、随机的。面对突如其来的大规模病毒肆虐或蠕虫入侵，即便是专业人士也往往束手无策。这就像“9.11”之后的美国和“SARS”之后的中国，为了应对突发事件，我们必须成立专门的应急小组，其职责是第一时间对突发事件做出有效的响应，将损失降到最低。
        世界上最早的应急响应组织是美国于1988年成立的CERT/CC，这得益于当时著名的蠕虫“莫里斯”。之后，很多部门也纷纷成立了自己的应急响应组织。可是1989年的Wank蠕虫，却暴露出这些组织之间沟通不畅的问题，于是，1990年，国际事件响应小组论坛FIRST成立。目前该组织拥有来自世界各地的一百多个应急组织作为会员，交流信息和技术，也协作进行一些事件的处理。
        国家计算机网络应急技术处理协调中心CNCERT/CC成立于2001年，于2002年成为FIRST的正式成员，负责骨干网络的监控，并与运营商和其他应急组织建立工作联系，形成了一个互联网应急处理体系。国内的众多安全公司也成立了自己的应急响应中心，对外提供安全咨询和安全事件处理的服务。我国政府对此也给予了高度重视，中发办[2003]27号文件明确提出：要重视信息安全应急处理工作。

2应急响应的概念
        应急响应，观其名知其意，即响应紧急事件。但是仔细分析，应急响应还包含两层含义，一是针对紧急事件的响应必须是迅速的，第一时间的，这样才会在事态严重之前阻止事件的继续发展或者降低事件的影响；二是针对紧急事件的响应必须是有效的，这一点不言而喻，只有有效的措施才能遏制事件。
        从应急响应的概念可以得知以下几点：
        一应急响应必须要有充分的准备。这包括人员、知识、技术和工具等，其中人是最根本的，因为应急响应的优劣关键取决于人员的素质。
        二应急响应必须要有完善的机制。应急响应虽然强调其“急”的特点，但其实施必须是有条不紊的，这必须有完善的机制作约束或规范。当安全事件发生时，如何收集信息、判定事件、分析事件、提出方案、付诸实施，以及事后的经验总结或教育培训都需要有成熟的机制保障该流程的通畅。
        三应急响应必须依赖广泛的合作。现在的网络安全事件一旦发生，其影响面往往甚广，有时不仅仅影响几个ISP，甚至会影响跨国网络（“冲击波”和“震荡波”就是很好的例子）。当病毒或者蠕虫在其感染初期，如果某个应急响应组织探测到，然后通知其他的应急响应组织，这样病毒就不会造成大面积感染。

3应急响应的范畴
        应急响应的范畴主要是讨论应急响应的业务范围。综合分析国内外应急响应组织的业务不难发现，其业务主要包括安全事件处理、安全公告、漏洞信息发布、安全审计、风险评估、安全咨询、安全解决方案、技术跟踪、工具研发、教育培训等，甚至还有安全产品的评估和认证。
        安全事件处理是应急响应组织成立的初衷，是其主要业务。安全事件处理有一套成熟的流程，分为事前准备、事件检测和分析、事件抑制消除和恢复，以及后期事务四个步骤。由于Internet是连通的，所以安全事件处理也应该是各个应急响应组织联动的。
        安全公告和漏洞信息发布是一种主动的业务模式。如果用户经常查阅安全公告和漏洞信息，并使主机补丁保持最新，这也有助于安全事件的减少。但是，时至今日，国内仍然没有专业完善的漏洞信息数据库，即使有些组织的确创建了自己的漏洞数据库。还有两个问题，一是现有漏洞数据库的字段信息不全，涉及漏洞细节的信息较少，并且大部分数据库的信息来源是Internet，这些信息的真实性和可靠性有待验证；二是这些漏洞数据库无法实现信息的交流和共享，因为信息格式不兼容，CVE标准只提供了验证漏洞唯一性的依据。
        至于安全审计、风险评估、安全咨询和安全解决方案等业务，我们可以以服务的形式提供给用户。特别是其中的安全解决方案，这部分的市场很大。国内的大多数中小型公司，很少有专业的安全人员，其网络是非常脆弱的，但是这些公司又不愿为安全投入较多资金，这时我们可为其提供长期的安全解决方案。
        教育和培训是一个永恒的话题。关于网络安全的教育和培训的确有人在做，但是水平很低，并且很多都没有信誉保证，此外特别针对网络入侵与防范的教育就比较少。要做教育和培训关键是选好合适的听众，也就是合适的用户群。
        技术跟踪和工具研发可以看作是对技术和知识的积累，并且在这个领域有很多吸引人的方向值得研究。漏洞探测和漏洞挖掘这两个方向既有理论深度又有实用价值。漏洞探测可以作为局域网的安全评估工具，如果基于漏洞探测作扩展可以做成智能的自升级、自防御系统。漏洞挖掘，现阶段还没有成熟的模型，至今所公布的漏洞大多是一些个人行为的结果，漏洞挖掘应该向着系统化的方向前进。

4应急响应的现状
        国内外的应急响应组织大多在做安全事件的应急响应处理，同时也负责协调其下的其他组织。而企业的应急响应中心一般是作为技术咨询和技术积累部门。
        所以如果我们做应急响应得话，有以下几个方面可以考虑：
       (1)中文的漏洞数据库，漏洞信息格式的标准化；
       (2)中小企业、事业单位或政府的安全解决方案；
       (3)针对特定用户群的教育和培训；
       (4)漏洞探测技术、漏洞挖掘的理论和实践；
       (5)安全事件处理、安全审计、安全咨询、风险评估等。

5应急响应的前景
        安全是一个过程，既然安全事件不可避免，我们何不坦然面对。应急响应逐步由被动模式向主动模式转变。网络安全不再以产品为中心，而是以服务为中心。应急响应就是一种很好的服务模式，如果能做出自己的特色，就能在网络安全领域占有一席之地。

 

附：可行性分析
        在技术方面没有问题，漏洞组已经做过漏洞数据库，并且正在研究漏洞挖掘技术，漏洞信息格式的标准化还需要进一步的研究。至于安全解决方案、安全事件处理和教育培训等，我信息我们已经具备这个实力。
        最关键的问题是如何盈利？
        我认为有以下几点值得考虑：
        (1)我们可以做专业的中文漏洞数据库，用户可以订阅安全公告和最新漏洞列表，这种模式在国外已经很流行。要想让别人订阅，我们的安全公告和漏洞列表必须是专业的、详细的、有针对性的。
        (2)主动联系一些中小企业、事业单位或政府，说服他们采纳我们的安全解决方案。有一点，这些安全解决方案必须是适合中小企业的，并且只有持续、长期的服务才能吸引他们。
        (3)教育和培训必须是有针对性的，让用户能从中受益的，用户群可以选择事业或政府。
我始终认为中小企业是一块很大的市场，如何让他们相信我们是一个值得考虑的问题。