田力勇

中國人民解放軍66389部隊，河北 石家莊 050000

網(wǎng)絡入侵應急響應策略研究

田力勇

中國人民解放軍66389部隊，河北 石家莊 050000

針對當前網(wǎng)絡入侵的主要形式，詳細論述了網(wǎng)絡入侵應急響應各個階段的具體任務、目標和實施過程，對提升網(wǎng)絡安全事件發(fā)生后的應急預警和響應能力具有積極借鑒意義。

網(wǎng)絡入侵；應急響應；網(wǎng)絡安全

引言

為避免網(wǎng)絡入侵，多數(shù)網(wǎng)絡系統(tǒng)均加裝了入侵監(jiān)測系統(tǒng)，但大多數(shù)入侵監(jiān)測系統(tǒng)僅有簡單的報警和記錄功能，在入侵事件發(fā)生后難以形成有效的抵抗措施，這就需要加強應急響應體系建設，完善網(wǎng)絡安全防護體系，迅速準確地采取處置措施，盡可能地減少甚至避免損失。

1 網(wǎng)絡入侵的主要形式

網(wǎng)絡入侵是指未經(jīng)授權(quán)而對計算機和網(wǎng)絡資源進行惡意使用，破壞網(wǎng)絡信息的保密性、完整性以及網(wǎng)絡服務的可用性和網(wǎng)絡運行的可控性的行為。根據(jù)入侵事件發(fā)生的特點和對系統(tǒng)造成的影響，可以分為以下4類：

1.1 服務拒絕類

服務拒絕攻擊通過高消耗請求和發(fā)送畸形報文的手段耗盡系統(tǒng)資源，使服務計算機崩潰，不能為合法用戶提供正常服務。高消耗請求攻擊通過大量合法和偽造的請求占用大量網(wǎng)絡以及器材資源，如CPU、內(nèi)存、入口帶寬等，使合法用戶難以連接服務，達到拒絕服務目的。畸形報文攻擊是指通過向目標系統(tǒng)發(fā)送具有缺陷的IP報文，使目標系統(tǒng)在處理這樣的IP包時會出現(xiàn)崩潰，達到無法提供服務的目的[1]。

1.2 掃描窺探類

掃描窺探攻擊主要包括網(wǎng)絡嗅探、系統(tǒng)特征掃描和利用漏洞探測等類型。入侵者通過地址掃描、端口掃描、IP站選路、IP路由記錄、Tracert報文和業(yè)務模擬的方式獲得網(wǎng)絡系統(tǒng)信息，如系統(tǒng)用戶名和密碼、網(wǎng)絡結(jié)構(gòu)、目標存活、端口信息和系統(tǒng)漏洞等。

1.3 惡意代碼注入類

惡意代碼注入攻擊主要包括各種計算機病毒、蠕蟲、木馬、跨站腳本攻擊、僵尸軟件和其他惡意代碼類安全事件。入侵者利用計算機和網(wǎng)絡系統(tǒng)漏洞信息和存在的設計缺陷，構(gòu)造惡意代碼并注入目標系統(tǒng)，達到癱瘓系統(tǒng)、竊取信息、控制權(quán)限等非法目的。

1.4 欺騙與篡改類

信息欺騙和篡改攻擊主要通過IP欺騙、電子郵件欺騙、Web欺騙、數(shù)據(jù)篡改以及其他手段破壞網(wǎng)絡系統(tǒng)的保密性、完整性以及可用性等安全屬性，對信息系統(tǒng)進行攻擊。

2 網(wǎng)絡入侵應急響應策略

網(wǎng)絡入侵應急響應是網(wǎng)絡系統(tǒng)受到攻擊后采取的應急措施和行動，目的是最大限度阻止和減少網(wǎng)絡攻擊帶來的影響，盡快恢復網(wǎng)絡系統(tǒng)的正常運行。構(gòu)建網(wǎng)絡入侵應急響應機制，應按照積極預防、及時發(fā)現(xiàn)、快速響應、確?；謴偷哪繕艘?，認真做好應急準備、響應處置和事后評估3個階段的工作。

2.1 應急準備

在網(wǎng)絡入侵事件發(fā)生之前，根據(jù)網(wǎng)絡系統(tǒng)的安全需求進行應急準備，主要做好4個方面工作。

2.1.1 制定防入侵網(wǎng)絡安全策略

對不同網(wǎng)絡系統(tǒng)和用戶面臨的安全風險進行評估。風險評估主要對以下3個要素進行分析：脆弱程度、威脅程度、重要程度。在風險分析的基礎上，計算系統(tǒng)和用戶的安全需求，進而制定技術(shù)防御的安全策略。

2.1.2 建立防入侵網(wǎng)絡安全環(huán)境

根據(jù)不同安全需求，建立以下網(wǎng)絡安全措施：①建立備份電源系統(tǒng)；②建立重要數(shù)據(jù)備份，提升系統(tǒng)容災能力；③安裝有效防病毒軟件，及時更新病毒庫；④采用數(shù)字加密技術(shù)，增強數(shù)據(jù)保密性；⑤安裝入侵檢測系統(tǒng)，監(jiān)測惡意攻擊；⑥安裝防火墻，建立網(wǎng)關控制、內(nèi)容過濾等控制手段；⑦采用訪問控制技術(shù)，避免非法接入和虛假路由信息；⑧利用偽裝技術(shù)和沙盒技術(shù)構(gòu)建網(wǎng)絡陷阱，抵御入侵攻擊；⑨建立計算機網(wǎng)絡追蹤取證能力，鎖定入侵者；⑩對系統(tǒng)管理員和用戶進行網(wǎng)絡安全技術(shù)培訓。

2.1.3 擬制入侵應急響應預案

在應急響應之前，掌握網(wǎng)絡系統(tǒng)運行的安全狀況，熟悉受保護的系統(tǒng)和網(wǎng)絡環(huán)境，提前擬制防止網(wǎng)絡入侵應急響應預案。主要程序如下：①當發(fā)現(xiàn)網(wǎng)絡服務器不明原因宕機、無法訪問、網(wǎng)頁內(nèi)容被篡改、應用服務器數(shù)據(jù)被非法拷貝或修改等檢測系統(tǒng)被不明原因攻擊時，網(wǎng)絡管理員和用戶斷開網(wǎng)絡，報告上級管理人員；②網(wǎng)絡管理人員接到報告后，核實情況，判斷是否為網(wǎng)絡入侵，備份系統(tǒng)重要數(shù)據(jù)；③判斷為網(wǎng)絡入侵，采用不同措施進行抵御，主要有關閉服務器或系統(tǒng)、修改防火墻和路由器過濾規(guī)則、禁用被破解的賬號、利用偽裝技術(shù)和沙盒技術(shù)構(gòu)建網(wǎng)絡陷阱等；⑤采用計算機和網(wǎng)絡追蹤取證手段進行定位取證；⑥威脅解除后及時清理系統(tǒng)，恢復數(shù)據(jù)程序，恢復系統(tǒng)和網(wǎng)絡運行；⑦進行復盤總結(jié)，確定損失情況，研究防范改進措施。

2.1.4 適時組織模擬應急演練

針對網(wǎng)絡入侵事件發(fā)生發(fā)作的不固定性、突然性，在制定《網(wǎng)絡入侵應急響應預案》的基礎上，預想突發(fā)情況，適時組織各要素進行應急演練，提升管理員和用戶對預案的熟知程度，對響應流程和措施進行進一步優(yōu)化。

2.2 響應處置

響應處置包括入侵檢測、指揮處置和系統(tǒng)恢復三個部分。

2.2.1 入侵檢測

根據(jù)網(wǎng)絡入侵應急響應預案，在入侵事件發(fā)生后，做出初步的判斷和動作。根據(jù)獲得的初步信息和分析結(jié)果，估計事件的嚴重程度、影響范圍，進一步研究應急響應措施。

2.2.2 指揮處置

按照靈活、機動、快速的原則，根據(jù)響應預警的級別分別進行處置，組織應急響應分隊人員確定入侵目標位置，采用預案手段抵御入侵，限制潛在的損失。抵御抑制策略主要包括以下內(nèi)容：加強系統(tǒng)和網(wǎng)絡行為的監(jiān)控，提高應用權(quán)限；對重要系統(tǒng)數(shù)據(jù)進行備份；修改防火墻和路由器過濾規(guī)則；封鎖刪除被破解攻擊的賬號；從網(wǎng)絡上斷開主機或者部分網(wǎng)絡；設置誘餌服務器進一步抵御攻擊，獲取事件信息；關閉受攻擊的系統(tǒng)；完全關閉所有系統(tǒng)[2]。

2.2.3 系統(tǒng)恢復

在有效控制入侵事件后，找出漏洞隱患并采用有效手段防范，以免入侵者再次使用相同手段發(fā)起攻擊，引發(fā)新的安全事件。在確定系統(tǒng)解除威脅后，及時清理系統(tǒng)，恢復數(shù)據(jù)程序，恢復系統(tǒng)和網(wǎng)絡運行。

2.3 事后評估

總結(jié)應對入侵安全事件過程中的相關信息，包括入侵事件的類型、時間、攻擊形式、影響范圍、損失程度、應急處理的流程、工作人員的分析判斷和操作技能等。對網(wǎng)絡系統(tǒng)進行安全評估，確認系統(tǒng)再次被入侵的威脅度，解決安全隱患，整理追蹤取證信息，找到攻擊者并進行懲治，維護自身合法權(quán)益。

3 結(jié)束語

通過對網(wǎng)絡入侵的主要形式進行分析，研究應對網(wǎng)絡入侵事件的應急響應策略，對應急準備、響應處置和事后評估各個階段的具體任務、目標和實施過程進行了詳細論述。這對完善網(wǎng)絡安全防護體系，提高網(wǎng)絡安全事件發(fā)生后的應急預警和響應能力具有重要現(xiàn)實意義。

[1]劉龍龍，張建輝，楊夢.網(wǎng)絡攻擊及其分類技術(shù)研究[J].電子科技，2017，30（2）：169-172.

[2]劉欣然，李柏松，常安琪，等.當前網(wǎng)絡安全形勢與應急響應[J].中國工程科學，2016，18（6）：83-88.

Research on Emergency Response Strategy of Network Intrusion

Tian Liyong
PLA 66389 Unit, Hebei Shijiazhuang 050000

According to the main form of network intrusion, the paper discusses the network intrusion response of specific tasks and goals of each phase and the implementation process, which has positive significance to enhancing the capability of emergency warning and response after the network security incident.

network intrusion; emergency response; network security

TP393.08

A

1009-6434（2017）7-0097-02