應運而生
,需要建立計算機安全事件的快速發應機制,“計算機安全應急回響組”應運而生。
簡介
網路應急回響與救援就是對國內外發生的有關計算機安全的事件進行實時回響與分析,提出解決方案和應急對策,來保證計算機信息系統和網路免遭破壞。在1988年11月的“Internet worm”事件之後1周,美國國防部(DoD)在Carnegie Mellon大學的軟體工程研究所成立了全球最早的計算機應急回響協調中心CERT?/CC對計算機安全方面的事件做出反應、採取行動,CERT?/CC是目前網路安全方面最權威的組織,提供最新的網路安全漏洞及方案。現在許多組織都有了CERT/CC,比如中國計算機網路應急處理協調中心、泛歐學術網路組織 TERENA 的CERT EuroCERT日本的JPCERT/CC。
目前,由於緊急情況(emergency)詞義較為狹窄,許多組織現在都用事件(Incident)來取代它,即計算機事件反應組(Computer Incident Response Team,CIRT),這些組織一般稱為IRT、CIRT或CSIRT。有時回響(response)這個詞也用處理(handling)來代替。
由於應急回響組之間不僅存在語言、時區及性質的差異,而且面向不同的用戶群體,屬於不同的國家或組織,他們之間的交流與合作存在著極大的困難,在這種情況下,1990年11個應急回響安全組織成立了事件回響與安全組論壇(Forum of Incident Response and Security Teams,FIRST,http://www.first.org),到2001年底FIRST已經包括全球100多個應急回響安全組織。
在綜合的WPDRRC(預警、保護、檢測、反應、恢復和反擊)信息安全保障體系中,應急回響與救援處於一個重要的環節,CERT/CC是實現信息安全保障的核心組織體現。目前各國的CERT/CC主要提供以下幾種基本服務:
熱線回響
如果網路受到攻擊者入侵、病毒感染、或者發生了其他安全相關的事件,可以通過電子郵件、線上呼叫、熱線電話向CERT報告,CERT根據事件的緊急程度提供相應的幫助、建議與救援。
檢查入侵來源。完成入侵的取證工作,用於將來的法律訴訟。
恢復系統正常工作。
事故分析。以便將來避免類似安全事件的發生。
發布安全警報、安全公告、安全建議。只有當出現最嚴重的安全問題時CERT才發布安全警報,一般的安全問題則以安全公告的形式發布。
諮詢。解決用戶安全方面的求助。
風險評估。CERT定期對特定的網路和系統進行風險評估,以便及時的發現網路和系統安全存在的安全隱患。
安全教育培訓。為其他組織培訓安全技術人員。
協助其他組織成立自己的CERT,建立網路應急與救援隊伍。