网络蠕虫灾害及其应急处理的新特点.pptxVIP

1网络蠕虫灾害及其应急处理的新特点

内容安排2超声波清洗机网络蠕虫：日益严重的威胁01网络蠕虫的新特点02未来蠕虫的威胁03网络蠕虫灾害的应急处理04

3近年来的网络蠕虫灾害红色代码II/尼姆达SQL杀手蠕虫口令蠕虫红色代码F变种MSBLAST蠕虫(冲击波)

SQL杀手蠕虫事件42003年1月25日发作感染SQL数据库服务器，在服务器之间主动蔓延使用UDP1434端口攻击造成大面积网络拥塞，部分骨干网络瘫痪韩国网络基本处于瘫痪状态我国境内感染主机22600余台具备应急体系和机制之后第一次处理大规模网络安全事件，做到了快速响应

处理过程5接到举报01核实全网情况02向全网通报情况，样本分析03实施数据监测04了解境外情况05隔离方法分析和确认06通报隔离方法，实施隔离07恢复故障网络08媒体工作09跟踪监测与分析报告10

SQL事件总结6技术角度得到的经验：1月28日召开总结会：…………

口令蠕虫事件73月8日出现，主要在教育网中蔓延，部分大学校园网络瘫痪后蔓延到电信、联通、移动、铁通、网通等多个网络，感染服务器41207台并不利用系统漏洞，而是采用猜口令的方式攻击管理不善的主机（而口令问题由于涉及到每一个用户，始终是最难以解决的问题之一）植入后门以后和境外13个IRC服务器建立联系3214

处理过程8接到举报1核实全网情况2向全网通报情况，样本分析3实施数据监测，切断与IRC服务器的联系4了解境外情况5隔离方法分析和确认6通报隔离方法7媒体工作8跟踪监测与分析报告9

红色代码F变种901020304053月11日发作，在欧洲一些国家造成影响3月11日至13日，检测到此蠕虫在我国网络中扩散次数达127860次接到用户举报监测系统发现最早证据完全利用原来的漏洞，依然可以形成一定规模

“冲击波”蠕虫1032418月11日启动响应，向各运营商与合作单位与国外组织发送警报和应对措施、交换信息到目前发现感染数目超过200万8月15日启动针对DDoS的数据分析，与各组织保持密切联系8月18日发现MSBlast.Remove

当前网络安全事件的特点11病毒、蠕虫和其他攻击行为互相融合传统病毒的特点：隐蔽性、传染性、破坏性病毒的本质特点：‘寄生’，而不是独立的程序蠕虫的特点：独立存在，自主蔓延更广泛的名称：恶意代码（还包括木马程序等）互联网的发展为各种恶意代码提供了更多的机会，传统的分类界限日渐模糊传统的方法是否还适用于解决当今恶意代码的问题呢？………………

存在的主要问题12法律法规：垃圾邮件、恶意代码、扫描、隔离、用户权利和义务、刑法286条的局限性组织体系：重要部门和行业尚没有建立专门的应急组织、国家应急体系尚不健全协调机制：协调处理机制比较欠缺，跨网、跨部门处理难度大服务规范：应急处理服务规范亟待建立产品技术：关键性的、高指标要求的专门产品和技术尚不过关数据收集：缺乏数据汇集渠道与综合分析能力，缺乏各种必要的基础资源人力资源：缺乏各种层次的专业队伍，用户安全意识差（漏洞等问题无法根除）

网络蠕虫事件和SARS的比较“现实世界中的一切问题，都会反映到网络世界中”SARS和网络蠕虫具有很大的相似性传播特性危害性应对措施（发现异常、初步分析、报警、隔离、分析、治疗；信息共享、统一协调、国际合作）法律、媒体的作用不同之处：“病人”不自知；隔离缺乏法律依据或技术手段；应急缺乏成熟体系和工作制度…..感染对象的不确定性中包含确定性因素

现状与危机是否真正知道我国的网络中正在发生什么？是否掌握国家网络空间安全的真实状态？是否掌握国家可能面临什么样的网络危机？国家信息化发展的相关决策缺乏依据信息化及其安全保障的计划可能陷入盲目缺乏准备，将来可能导致灾难性损失

15从宏观的角度看应急处理应急处理………………

事件处理的一般阶段16准备——让我们严阵以待确认——对情况综合判断03封锁——制止事态的扩大04根除——彻底的补救措施05恢复——备份，顶上去！06跟踪——还会有第二次吗0102

17正确理解应急响应如何理解应急响应…………

及时发现——入侵检测，通报机制18应急工作的十六字方针积极预防——风险评估，安全等级积极预防——风险评估，安全等级快速反应——迅即救助,有效反击积极预防——风险评估，安全等级及时发现——入侵检测，通报机制确保恢复——起死回生,系统备份积极预防——风险评估，安全等级及时发现——入侵检测，通报机制快速反应——迅即救助,有效反击因特网

19国际联动：应急响应组织和体系的建设响应组织体系……

20积极发展，加强管理，趋利避害，为我所用。