网络安全应急实践指南

作者简介

《网络安全应急实践指南》由国家计算机网络应急技术处理协调中心（简称国家互联网应急中心，CNCERT/CC）总结多年的工作经历和实践经验而写就。内容包括有关网络安全应急的基础知识、应急组织的职能作用与日常运作、各类典型网络安全事件的处置办法、应急组织之间的协调合作与交流平台，以及网络安全文化的培育等内容。

《网络安全应急实践指南》属于实践指南或工作指导类的题材，结合并依据一定的理论基础，注重操作层面实践经验的总结和具体工作的介绍与指导，可作为相关从业人员的工具指导书，具有良好的实用价值。《网络安全应急实践指南》适合各类应急组织、从事网络安全工作的系统和部门、从事网络安全工作的管理人员和技术人员阅读。

书籍目录

应急响应  基础篇　1．计算机安全事件
　2．应急响应的目标
　3．应急响应的能力要求
　4．应急响应组织
　5．应急响应方法
　6．计算机取证
应急响应  组织篇　第1章  应急响应组织及其作用
　　1.1  应急响应组织
　　1.2  应急响应组织的作用
　　　1.2.1  网络安全事件应急响应
　　　1.2.2  网络安全事件预防
　　　1.2.3  安全质量管理
　　1.3  应急响应小组的分类、架构和工作范围
　　　1.3.1  应急响应小组的分类
　　　1.3.2  应急响应小组的架构
　　　1.3.3  应急响应小组的工作范围
　第2章  国家级网络安全应急响应组织　　2.1  什么是国家级网络安全应急响应组织
　　2.2  国家级网络安全应急响应组织的职能
　　2.3  国家级网络安全应急响应组织需要具备的能力
　　2.4  国家级网络安全应急响应组织与其他应急组织合作的意义
　第3章  CNCERT/CC
　　3.1  CNCERT/CC简介
　　3.2  CNCERT/CC的职能和工作原则
　　　3.2.1  主要职能
　　　3.2.2  工作原则
　　3.3  863-917网络安全监测平台
　　　3.3.1  具备的能力
　　　3.3.2  发挥的作用
　　3.4  CNCERT/CC处置的典型网络安全事件
　　　3.4.1  蠕虫事件
　　　3.4.2  网络仿冒
　　　3.4.3  拒绝服务攻击
　　　3.4.4  僵尸网络事件
　　　3.4.5  UDP1026和1027端口流量异常事件
　　3.5  CNCERT/CC与国内应急组织的交流和合作
　　3.6  CNCERT/CC的国际交流与合作
　第4章  网络安全应急响应小组的日常运作
　　4.1  网络安全应急响应小组的建立
　　　4.1.1  需求分析
　　　4.1.2  提出建议　　　4.1.3  制定计划或方案
　　　4.1.4  获得批准
　　　4.1.5  获得所需的资源
　　　4.1.6  正式运作
　　　4.1.7  与其他网络安全应急响应小组建立联系
　　4.2  网络安全应急响应小组的工作原则
　　　4.2.1  行为准则
　　　4.2.2  信息分类原则
　　　4.2.3  信息透露原则
　　　4.2.4  媒体原则
　　　4.2.5  安全原则
　　　4.2.6  失误处理原则
　　4.3  网络安全应急响应小组运作的有关问题
　　　4.3.1  网络安全应急响应小组的规章
　　　4.3.2  工作计划
　　　4.3.3  通信
　　　4.3.4  电子邮件
　　　4.3.5  工作流管理工具
　　　4.3.6  信息系统
　　　4.3.7  IP地址和域名
　　　4.3.8  网络和主机的安全性
　　　4.3.9  安全管理
　　　4.3.10  现场响应
　　　4.3.11  员工的问题
　　4.4  网络安全应急响应小组之间的协作
　　　4.4.1  建立联系点（POC）网络
　　　4.4.2  保证信息共享安全性
　　　4.4.3  协作进行事件处理和调查　　　4.4.4  注册到一个公共目录服务
应急响应  实践篇　第5章  大规模蠕虫事件的处置
　第6章  僵尸网络的处置
　第7章  网站被攻击事件的处置　第8章  网络仿冒事件的处置　第9章  拒绝服务攻击事件的处置
　第10章  不当使用事件的处置
应急响应  协作篇　第11章  网络安全应急响应的信息共享
　第12章  FIRST组织
　第13章  APCERT组织
　第14章  关于网络安全应急年会应急响应  文化篇　第15章  培育网络安全文化
　第16章  提高全民信息安全意识
附录A  缩略语解释
附录B  名词解释
参考文献

编辑推荐

　　本书属于实践指南或工作指导类的题材，结合并依据一定的理论基础，注重操作层面实践经验的总结和具体工作的介绍与指导，可作为相关从业人员的工具指导书，具有良好的实用价值。　　主要内容包括：网络安全应急的基础知识，应急组织的职能与日常运作，各类典型网络安全事件的处理办法，应急组织之间的协调合作与交流平台，网络安全文化的培育。

内容概要

前言

2001年8月8日，我们这个组织也就是CNCERT/CC（国家计算机网络应急技术处理协调中心，简称国家互联网应急中心，National Computer Network Emergency Response Technical Team/Coordination Center of China）成立了。成立之初，国内对于这样一个名称表现得相当陌生，但在国际上，CNCERT/CC的成立却是令人注目的。这源于我们组织英文名称中的一个缩写词——CERT（计算机应急响应组织），对于世界各个国家和地区的CERT组织来说，CNCERT/CC的成立无疑是一个好消息，不仅说明在中国又多了一个CERT组织，而且说明CNCERT/CC是一个能够代表国家参与国际CERT事务的国家级机构，填补了世界在该区域的一个空白。

如果说，六年前的我们更多的是在学习、借鉴、探索和实践，今天的我们则已经具备了一套较为成熟的运行框架、机制和流程，并以此为基础卓有成效地发挥着应有的作用。我们的定位决定了我们的业务具有一定的广泛性和综合性，或多或少地涉及到各种类型的CERT组织的业务，尽管如此，我们还是明确了我们的工作重点，即以“全网”安全为首要着眼点，在支撑信息产业部做好全网安全运行监测的同时，为国家关键基础设施及重要信息系统部门提供技术支持。正是这个原因，我们在本书中介绍的多为大规模或高危害性网络安全事件的处理办法和应对措施，希望能对尽可能广泛的互联网用户群体具有一定的借鉴意义。

根据我们的经验，做好网络安全工作不进行定岗定员是无法确保实效的，而应急响应工作更是如此，这也是世界上形形色色国家的、政府的、商业的、企业的、教育的、科研的CERT组织存在的理由。不管是否有明确的CERT职能部门，也不管是否有明确的专业CERT人员，我们相信在全国的各行各业和各级部门都一定有类似的部门或人员在从事着网络安全应急响应的工作。我们的书正是写给他们看的，我们尽力总结我们在这六年的实践当中所积累的经验，挖掘我们对于网络安全应急响应工作不断深化的理解，梳理我们经过无数次考察、学习、交流和培训而获得的知识，最后以十几名经验丰富的老同事的集体智慧和劳动编纂出本书。我们相信，本书的出版对于从事网络安全应急响应工作的人员具有普遍的指导意义，特别是对那些尚未建立CERT小组的部门来说，本书更能够指导他们如何有效地组建和运作一个CERT组织并开展工作。同时，我们还就网络上最典型和最具危害性的几类安全事件给出了比较具体的处理措施和建议，以帮助他们根据自身的情况有针对性地采取行动。我们也没有忘记就这些安全事件给终端用户提出安全建议，目的是希望非专业人员和普通读者也能够从本书中获益。

我们发现，自2005年开始，利用系统漏洞进行传播的蠕虫已经不再是安全事件中的独家主角，而以僵尸网络、间谍软件、身份窃取为代表的各类恶意代码逐渐成为最大威胁，同时，拒绝服务攻击、网络仿冒、垃圾邮件等安全事件仍然猖獗；此外，与政治纪念日和时政相关的网络攻击活动也时有发生，网络安全事件在保持整体数量显著上升的同时，也呈现出技术复杂化、动机趋利化、政治化的特点。根据中国互联网信息中心2007年7月公布的《中国互联网络发展状况统计报告》显示，截至2007年6月，我国上网用户总数为1.62亿人，上网计算机达到6710万台，网络用户和网络主机的数量仍然在持续增长，与此同时，电子政务、电子商务、网络游戏、网络博客等互联网业务正在快速扩展，新的操作系统、新应用软件不断投入使用，这些都导致大量人为主观疏忽和网络系统客观漏洞的存在。而黑客攻击动机已经从单纯地追求“荣耀感”向获取多方面实际利益和表达政治情绪的方向转移，黑客技术的发展也将重点放在网上木马、间谍程序、恶意网站、网络仿冒、僵尸网络等方面，因此，网络安全问题变得更加错综复杂，涉及范围将不断扩大。我们估计，由于黑客发动攻击的目的的转变，今后发生大规模的网络安全事件的可能性比较小，而以僵尸网络、间谍软件、身份窃取为代表的恶意代码，以及网络仿冒、网址嫁接/劫持类安全事件将会继续增加，因此，我们将继续对此类安全事件保持密切关注，对此类事件的处理力度也会不断加强。由于此类事件通常不会是单点孤立地发生，受到一次事件影响的往往涉及多个部门和个人，或者说，遭受一次事件威胁或危害的很可能是多个部门和个人，因此，我们非常希望所有牵涉事件中的相关部门和个人能够通力合作，尽可能迅速有效地处理事件，将事件可能会对各个部门和个人造成的不良影响降低到最小程度。这也是为什么我们在书中所描述的那些事件的处理过程会涉及那么多的部门或个人。无疑，了解了这些事件的处理过程将会有助于读者很快找到正确的办法、途径和部门来解决问题。

本书将与《网络与信息安全》（清华大学出版社）教材共同列入信息产业部网络与信息安全技术培训认证项目（NTC-NISE）的教学体系中，作为信息产业部IT职业技术培训指定教材与广大读者见面。信息产业部网络与信息安全技术培训认证项目（NTC-NISE）是信息产业部全国网络与信息技术培训项目（NTC）的组成部分，是根据国家职业技术标准要求及国家对专业技术人员加强培训且须持证上岗等文件精神所推出的面向各行政、企事业单位及行业系统的专业技术人员、管理人员进行资格认证的培训项目，由国信高科技术培训中心（信息产业部批准设立的信息化培训认证机构）负责具体的运营工作。

实际上，本书的写就与我们的成长相关，而我们的成长得益于四年前国家公共互联网安全事件应急处理体系的确立。依赖于这个体系，我们得以在与各个合作单位和部门的互动中发展壮大并日趋成熟，我们这些年来所取得的工作成绩离不开体系中各个合作单位和部门的大力协助与支持，在此，我们要对所有的合作单位和部门表示衷心的感谢。很遗憾，限于篇幅原因，我们无法细数和列出所有的合作单位和部门，那会是一份相当长的名单。

感谢参加本书编写的其他同志：张雪浩（“前言、部分基础篇”的编写），刘洋、顾嘉（“第8章 网络仿冒事件的处置”的编写），宋轶南（“第9章 拒绝服务攻击事件的处置”的编写），吴冰、何松（“第2章 国家级网络安全应急响应组织”的编写）。

国家计算机网络应急技术处理协调中心

二〇〇七年八月

章节摘录

　　第2章 国家级网络安全应急响应组织　　2.3　国家级网络安全应急响应组织需要具备的能力　　为保障国家公共互联网等网络基础设施的安全运行，国家级网络安全应急响应组织必须具备以下的能力：　　1．网络安全监测能力　　国家级网络安全应急响应组织首先应具备网络安全事件的监测能力，实现对网络安全运行情况的全方位监测。为了保障有效的监测行为，国家级网络安全应急响应组织必须全面具有网络安全相关信息的获取能力，应能通过各种信息渠道与合作体系，及时获取如最新漏洞信息、蠕虫疫情爆发等各种安全事件与安全技术的相关信息；在获得相关信息后，还必须具备对安全信息进行分析判断的能力，应能对各类安全事件的有关数据进行综合分析，并形成权威性的数据分析报告。　　2．重大网络安全事件发现和预警能力　　能综合分析、利用监测和其他渠道获取的网络安全信息，及时发现各类重大网络安全事件隐患和网络安全事件，并在必要的时候向有关应急组织和相关部门发出预警信息，以做好网络安全防范工作，直接减少网络安全事件发生的可能性，即使不可避免地发生了网络安全事件，也可以尽量降低和减少网络安全事件带来的损失和影响。　　3．重大网络安全事件的应急响应能力　　在发生公共互联网的重大网络安全事件时，根据互联网行业主管部门——信息产业部发布的《公共互联网网络安全应急预案》中的规定，按“四级／一般”、“三级／预警”、“二级肘艮警”、“一级／紧急”的事件级别和分级响应流程进行网络安全事件的应急响应。国家级网络安全应急响应组织则应充分发挥自身的技术手段和协调优势，借助已经建立的国内应急处理体系和国际合作渠道，对涉及公共互联网的重大网络安全事件进行技术协调和处置，尤其是跨运营商网络、跨境的网络安全事件。

图书封面

---

 网络安全应急实践指南下载

---