一起突发事件

　　5月18日，周五，“诺顿误杀”导致国内数百万台电脑系统崩溃，一部分使用了诺顿正版杀毒软件的高校，也不幸“遭灾”。

　　这两起事件极大地震动了当时的西方国家。有识之士认为，随着网络相关技术的发展，原先采取的传统、静态的安全保密措施已不足以抵御计算机黑客入侵及有组织的信息手段的攻击

　　事发后，中山大学信息与网络中心苾的响应速度非常快。据介绍，事发当天上午8:00，中山大学网络中心相关负责人就得到校内用户的反映，分析问题后立即向赛门铁克公司征询解决办法，12:00，收到赛门铁克公司给出了完整的解决方案，并通知用户，实现了4小时的响应速度。13:15，中山大学计算机紧急响应小组网页上发出了第一份通知，而40分钟之后，国内最早公布信息的某信息安全公司才发出相关应急通告。随后，中山大学又快速处理后续一系列问题，一直到最后生成整个故障处理情况的报告，提交给校方有关领导。整个过程有条不紊。

　　中山大学信息与网络中心主任郭清顺表示，这个“黑色星期五”事件，没有引起用户对中心服务的不满和抱怨，这与中山大学长期以来建立的计算机紧急响应小组和帮助台密不可分。

　　在第一个环节中，专家表示，对数据进行容灾备份是重中之重。显然，设备被破坏可再建设，系统被破坏、网络瘫痪可再恢复，而数据很可能只有一份，一旦失去，后果不堪设想。

　　目前，一些有实力的高校在做异地容灾与备份。对此，中国农业大学网络中心李吉祥教授提出“异校备份”的思路，即实行不同院校之间的互相备份，这将极大地降低备份成本。如果更完善一些，应当是处于不同地区的院校之间进行相互备份，以防地震、洪水等自然灾害带来的集体损失。

　　在第二个环节中， 应急响应身兼两项重任。第一项是要尽快恢复系统或网络的正常运转。第二项是要使系统和网络设施所遭受的破坏最小化。应急组需要多方面收集和积累准确的数据资料，获取和管理有关证据，并在过程中注意记录和保留有关的原始数据资料，为下一阶段的分析和处理提供准确可信的资料。因此，网络日志的记录非常重要，以便发生安全事件之后追根溯源。此外，应急响应组要提供准确的分析统计报告和有价值的建议，以不断完善相关机制。

　　国际上将应急响应的运作分为准备、事件检测、抑制、根除、恢复、报告六个阶段，它们环环相扣，使运作系统有序化进行。

　　加强系统化建设

　　总结网络安全管理，“三分技术，七分管理”这句老话分外合适。虽然大家已经有共识：要建立并不断完善应急响应机制，但目前的现状是很多高校尚未建立起相关机制，人力、物力的缺失以及管理机制未理顺是主要制约因素。

　　专家表示，建立机制的重要保障有两点。一是人员的归口负责，即建立应急响应组，二是相关流程和规章制度的建立，做到“有章可循，有据可查”。

　　目前，一些高校已经建立起相关机制，但还不够完善，存在若干问题，包括安全责任的界定不清晰，管理流程不规范等。此外，机制的系统性薄弱是个大问题，表现是多方面的，比如，安全问题的发现取决于员工的个人经验，响应被动，员工常扮演救火队员的角色等。

　　此次误杀事件非常特殊，区别于高校网络和信息管理部门日常遇到的突发安全事件，但足以说明具备一套完整的安全应急响应机制在处理突发事件中所起的“救火”作用了。

　　由“静向动”的标志

　　网络和信息安全的策略制定经历了由“静”到“动”的转变，安全应急响应机制正是信息安全保护向动态转换的标志。直接推动此机制建立的是上个世纪80年代末期发生在西方的两起重大信息安全事件。

　　其一是 “莫里斯蠕虫”入侵互联网。在短短12小时内，6200台工作站和小型机陷入瘫痪或半瘫痪状态，不计其数的数据和资料毁于一夜之间，造成一场损失近亿美元的大劫难。

　　其二是美国和西德联手破获了前苏联收买西德大学生黑客，渗入欧美十余个国家的计算机，获取了大量敏感信息的计算机间谍案。因此，必须建立一种全新的安全防护及管理机制以应对日益严峻的网络安全状况。

　　于是，1989年，世界上第一个计算机紧急响应小组——美国计算机紧急响应小组及其协调中心（简称CERT/CC）建立，由美国国防部资助，信息安全进入了以动态防护机制为主的时代。

　　校园网面临巨大挑战

　　当年发生上述两起事件时，黑客与病毒对网络的攻击方式尚处于较低层面。现在，世界范围内的网络和信息安全形势以及特征发生了巨大改变。我们可以发现，病毒传播的网络化特征越来越明显。2001年，“红色代码”病毒从网络服务器上传播开来，标志着蠕虫已经在向着利用网络作为传播媒介，利用网络应用作为渠道，对系统和网络进行全面攻击，并且在系统中放置后门、木马的形式发展。黑客与病毒的结合使网络安全形势更加严峻。

　　另外，病毒传播途径越来越多样化。个人手中的手机、PDA、U盘都可能成为病毒的传染介质，这极大地威胁着网络的整体安全，更对因用户群庞大而导致可控性和有序性很差的校园网提出巨大挑战。

　　今年年初，受教育部科技发展中心委托，《中国教育网络》杂志对“211”高校的校园网建设、管理和应用情况进行了一次全面调查。调查结果显示，有超过59%的“211”高校对校园网安全状况不满意，有63%的“211”高校对网络的抗攻击性不满意。

　　校园网的特殊性决定其将是黑客和病毒的“最爱”之一，且被攻击的范围越来越广。

　　“根据对象的不同，我们将信息安全分为物理安全、传输线路安全、操作系统安全、应用系统安全、数据安全五个方面。”武汉大学网络中心主任石岗介绍。他表示，网络设备的物理安全和传输中的线路安全是网络安全的底层保障，而操作系统、应用系统以及数据往往是黑客和病毒的攻击目标所在，这对校园网管理提出很高要求。

　　专家表示，高校网络环境复杂、典型，建立科学、可行的应急响应机制迫在眉睫。

　　两个环节的工作

　　综合进行归纳，应急响应的效果主要取决于两个环节。一是未雨绸缪，即在事件发生前的充分准备，包括风险评估、制定安全计划、安全意识的培训，以发布安全通告的方式进行的预警以及各种防范措施等。二是亡羊补牢，即在事件发生后采取的措施，以期把事件造成的损失降到最低。在这里，措施的执行者可能是人，也可能是系统。这些措施包括：系统备份、病毒检测、后门检测、清除病毒或后门、隔离、系统恢复、调查与追踪、入侵者取证等一系列操作。

　　专家认为，目前网络和信息安全呈现出的种种趋势呼唤当前高校的应急响应当尽快从零散的“点”的管理向系统性、有序的“面”的管理转变。

　　在此方面，目前以复旦大学和中山大学为首的一些高校开始了新的实践：将包括应急响应在内的网络管理归口IT服务管理中，使网络和信息安全渗透于整个IT服务的全领域，由点及面，由面到点，不断提升IT服务的品质。这些实践已经取得初步成果，在此次误杀事件中，中山大学的从容、高效响应就是一个例证。

　　当然，再好的经验也具有不可复制性。无论建立何种模式的机制，最重要的是要与高校网络自身特点相结合，建立有自身特色的应急响应机制，并在实践过程中不断改进和完善。

　　在这里，需要强调的是日常对学生的安全意识和知识的培训，因为这些因素很大程度上影响着整个网络的安全。CCERT段海新博士对此表示极大关注，他认为：驾车需要驾照，开店需要执照，学生上网也应当需要持“证”。当然，这里的“证”并非是让学生专门考取某种资格，而是通过对学生的培训使其具备一定知识的储备。

　　正如大连理工大学李英壮教授所言，“我们要培养学生，使之从无知变成有知，对网络的使用从无序变为有序。”他同时表示，要建立健全一个运转灵活、反应灵敏的网络应急处理协调机制，需要所有用户的支持与各部门的统筹配合，“需要发动一场人民战争。”

　　>>>应急响应的关键技术

　　1.入侵检测
　　入侵检测与应急响应是紧密相关的，发现对网络和系统的攻击或入侵检测才能触发响应的动作。入侵检测可以由系统自动完成，即入侵检测系统(IDS)。

　　2.事件的诊断
　　事件的诊断则偏重于在事件发生后，弄清受害对像究竟发生了什么，比如是否被病毒感染、是否被黑客攻破，如果是的话，则找出问题出在哪里，影响范围有多大。

　　3.攻击源的隔离与快速恢复
　　在确定了事件类型、攻击来源以后，及时地隔离攻击源是防止事件影响扩大化的有效措施，比如对于影响严重的计算机病毒或蠕虫。

　　另外一类事件，如Web服务器被入侵、主页被篡改的事件，一般的响应政策可能首先是尽快恢复服务器的正常运行，把事件的负面影响降到最小。快速恢复可能涉及完整性检测、域名切换等技术。

　　4.网络追踪
　　网络攻击的追踪是个挑战性的课题，特别是对于分布式拒绝服务攻击。入侵者可能穿梭很多主机，有些攻击使用了假冒的地址。在现有的TCP/IP网络基础设施之上，网络追踪是非常困难的。

　　5.计算机取证
　　计算机取证涉及到对计算机数据的保存、识别、记录以及解释。和许多其他领域一样，计算机取证专家通常采用明确的、严格定义的方法和步骤，对于不同寻常的事件需要灵活应变的处理。在计算机网络环境下，计算机取证将变得更加复杂，涉及到海量数据的采集、存储、分析。

　　>>>国际通行的安全应急响应运作的六大阶段

　　根据工作内容，应急响应分为准备、事件检测、抑制、根除、恢复、报告等6阶段。

　　防护准备
　　在事件真正发生之前应该为事件响应作好防护准备，这一阶段十分重要。准备阶段的主要工作包括建立合理的防御/控制措施、建立适当的策略和程序、获得必要的资源和组建响应队伍等。如配置放火墙、入侵检测系统、网络管理系统、流量监控管理系统等。

　　事件检测
　　确认突发事件。对于通过监测发现的异常情况和用户的报警，要第一时间进行检测判断，识别是否属于网络安全紧急事件，排除由于其他原因导致的异常情况。要对事件做出初步的动作和响应，根据获得的初步材料和分析结果，估计事件的范围，制订进一步的响应战略，并且保留证据，报告有关领导和相关部门。

　　控制和隔离
　　限制事件影响的范围。通过采取关闭相关系统、从网络上断开相关系统、修改防火墙和路由器的过滤规则、封锁或删除被攻破的登录账号、关闭服务等措施，控制和隔离问题区域，使系统和网络所遭受的破坏最小化，对用户的影响最小化。

　　事件根除
　　通过对有关恶意代码或行为的分析结果，找出事件根源并彻底清除。采取技术手段尽快恢复服务器或网络系统的正常运转。使校园网用户能够尽快正常使用网络资源。对于单机上的事件，主要可以根据各种操作系统平台的具体的检查和根除程序进行操作即可；对于大规模爆发的带有蠕虫性质的恶意程序，提醒用户真正关注他们的主机是否已经遭受入侵，防止感染蠕虫的主机在网络中不断地搜索和攻击别的目标。

　　系统恢复
　　恢复阶段的目标是把所有被攻破的系统和网络设备彻底还原到它们正常的任务状态。

　　制作分析报告和总结
　　整理事件发生、处理的各种相关信息，记录和保留有关的原始数据资料，为下一阶段的分析和处理提供准确可信的资料。针对突发事件，做出准确的分析报告。