美日国家级CERT的工作概况与启示
2013-06-07 21:57
162 查看
http://1.johnhome.sinaapp.com/?p=221
【摘要】:介绍了CERT(计算机应急响应组)的产生、发展与主要工作,总结了两个典型的CERT组织:美国US-CERT、日本JPCERT/CC的概况与主要项目,提出了国家级CERT的建设与发展的几点建议。
【关键词】:计算机应急响应组织/协调中心;网络安全;启示
1 引言
计算机应急响应组(Computer Emergency Response Team)是专门处理计算机网络安全问题的组织,其响应的对象是计算机或网络所存储、传输、处理的信息安全事件,这些事件可能来自自然界、主机或网络系统自身故障、组织内部或外部的人、计算机病毒或蠕虫等。
1988年莫里斯蠕虫导致当时互联网中1/10的计算机被感染而瘫痪,大量数据和资料被损毁,此次事件暴露了大众依赖程度日趋加深的计算机网络的严重脆弱性,计算机科学界意识到有必要成立计算机网络安全的应急响应与协调组织。因此,美国国防部高级研究计划署资助卡耐基·梅隆大学CMU建立了第一个计算机应急响应组及协调中心CERT/CC。随后,多个国家及地区成立了一大批应急响应组织,如日本的JPCERT/CC,英国的UKCERT,德国CERT-BUND,美国的US-CERT。1990年应急响应与安全组论坛FIRST成立,至2012年8月初,已发展成一个超过57个国家,264个成员的国际性组织。2003年,亚太计算机应急响应组APCERT成立,至2011年底,有来自19个国家或地区的28个成员。
中国于20世纪末起陆续建立计算机应急响应机构,目前主要有国家计算机网络应急技术处理协调中心CNCERT/CC,CERNET应急响应组CCERT,中国移动的CMCERT/CC,华为的HuaweiNSRIT,以及台湾的TWCERT/CC,TWNCERT。
本文首先介绍了CERT的产生与主要工作,之后以两个典型的组织US-CERT,JPCERT/CC为例,介绍了其结构与项目情况,并指出对于我国计算机应急响应组织建设的启示。
2 CERT组织的主要工作
通过查阅对应的官方网站,可以发现世界各国计算机应急响应机构所提供的服务基本相同,如应急响应,安全咨询,系统评估或风险评估,入侵检测,发布安全公告,发布漏洞信息,提供补丁下载,教育与培训,追踪与恢复,组织各种形式的学术交流活动等等。不过,有些CERT有不同的侧重点,如US-CERT与JPCERT/CC有较多的研发工作,英国的UKCERT着重于学术交流,印度CERT-in注重网络监控。
体现在计算机应急响应的网站上,CERT提供的功能通常有:
(1)网络安全预警:实时提供当前的信息安全问题描述,漏洞信息与攻击防范警报。
(2)网络安全公告:漏洞信息、网络安全问题的周期性总结,并加上对应的补丁或加固方案。
(3)网络安全建议:针对普通的家庭或企业用户,提供保证计算机安全的一些指导文档。
(4)事件在线受理:提供事件的在线提交入口。
第1,2项一般可以通过邮件或RSS订阅,很多CERT网站不会提供第4项服务。
3 典型国家级CERT的工作概况
从FIRST可以看到,目前全球除了非洲大部分、西亚部分国家以外,基本上各国都有自己的国家级的CERT。在CERT建设方面,比较典型的有美国US-CERT,日本JPCERT/CC,澳大利亚的AusCERT等,它们在全球的CERT发展中起着较大的导向作用。下文就以其中的两个为例进行简要的介绍。
3.1 US-CERT的概况与特色项目
US-CERT:United States Computer Emergency Readiness Team,2003年成立,隶属于美国国土安全部(The Department of Homeland Security)下的国家安全局(National Security Division)。US-CERT的官网指明其目的是提升国家的网络安全态势,协调网络信息共享,前摄性的管理网络风险,以保护美国公民的宪法权利。
US-CERT 24小时*7天的不间断工作,接受、分诊并协调计算机紧急事件。为信息系统人员提供技术援助,并及时公布当前的或潜在的安全威胁与漏洞信息。官网提供对紧急事件或软件漏洞的在线报告提交入口,这些报告有专用的格式。
US-CERT设立主任一名,负责全局的监管与组织工作;下设四个功能组,包含运营组(Operations),完成紧急事件的管理、检测与分析等业务;协调整合组(Operations Coordination and Integration),负责协调与交流工作;未来行动组(Future Operations),职责是行动规划、技术方案的前瞻性研究;资源管理组(Resource Management),完成员工及财务管理工作。
根据用户性质,US-CERT官网提供了三个领域的服务栏目:家庭与商业网络、政府、控制系统;第一个面向个人或家庭、小型商业网;第二个则为各级政府部门提供关于网络安全的信息共享、安全协作与响应服务,其中比较重要的有爱因斯坦计划(Einstein Program),US-CERT移动计划,脆弱性知识库;第三个是面向联邦、各州地方中所有基础设施与关键资源部门的工业控制系统安全问题,即CSSP项目(Control System Security Program)。
CSSP项目于2009年专门成立了针对工业控制系统的网络应急响应小组ICS-CERT(Industrial Control Systems Cyber Emergency Response Team),还成立了ICSJWG(Industrial Control Systems Joint Working Group )作为实际协调的工作实体。已发布了CSET网络安全评估工具(Cyber Security Evaluation Tool)4.1,用于帮助组织或机构保护关键的或国家网络资产。
US-CERT的特色服务或项目有下边这几个:
(1).CERT移动计划US-CERT Portal:US-CERT官网有CERT信息的跳转入口,目的是提供一个安全的、基于Web的协调系统,用于共享敏感的、与网络安全相关的信息或新闻。这个只面向有限的人群,采用专家邀请式注册。能访问美国政府的数据,主要是美国国土安全部中的计算机系统,经授权方可进入。
(2).国家网络感知系统NCAS:National Cyber Awareness System,美国第一个结合了识别、分析 突发漏洞与威胁的全国性网络安全系统,为公众提供免费的、实时的、可操作的计算机安全更新与警告信息。形式有警告、建议、公告。US-CERT还运行着一个脆弱性记录库VND(Vulnerability Notes Database,下文将介绍),为NCAS发布的漏洞提供技术性的描述。
(3).脆弱性记录库VND:Vulnerability Notes Database,US-CERT在VND中发布关于突发漏洞的信息,包括总结、技术细节、补救信息、影响的厂商。注重对脆弱性解决方案的研究,跟相关厂商设计出补丁等对策来对漏洞进行修正。其包括的字段有:脆弱点名称、概述、描述(包括示例)、影响、解决方案、受影响的厂商或系统、CVSS(通用脆弱性评分系统common vulnerability scoring system)度量、参考资源、鸣谢、其它信息(如CVE编号、发布日期、首发日期、最后更新日期、文档版本号等)。VND还是美国NIST(National
Institute of Standard and Technology)下属计算机安全部门管理的国家脆弱性库NVD(National Vulnerability Database)的重要来源。
(4).爱因斯坦计划:由US-CERT规划,爱因斯坦计划1始于2003年,系统能够自动地收集、分析和共享美国政府部门之间的计算机安全信息,从而使得各联邦机构能够实时感知其网络基础设施面临的威胁,以便更迅速地采取恰当的对策。爱因斯坦2计划是1号计划的增强,始于2007年,该系统在原来对异常行为分析的基础上,增加了对恶意行为的分析能力,以期使得US-CERT获得更好的网络态势感知能力。从2008年开始,美国政府启动了国家网络安全综合计划(CNCI),作为其中的一部分,就是爱因斯坦3计划。目前,该计划披露的信息不多。爱因斯坦3计划的总体目标是识别并标记恶意网络传输(尤其是恶意邮件),来增强网络空间的安全分析、态势感知和安全响应能力,主要要解决的问题是网络威胁,至少包括钓鱼、IP欺骗、僵尸网络、DoS、DDoS、中间人攻击,以及其他恶意代码插入。系统将能够自动地检测网络威胁并在危害发生之前作出适当的响应,也就是具备IPS(入侵防御系统)的动态防御能力。
3.2 JPCERT/CC的概况与特色项目
JPCERT/CC:Japan Computer Emergency Response Team/Coordination Center。JPCERT/CC前身是1992年日本的IP工程与规划组(JPET/IP)中的安全任务小组,之后在1996年由日本国际贸易与工业省(现在的经济产业省)资助下成立名为Japan Computer Emergency Response Center的组织,2003年注册获得合法地位,目前是日本各个计算机安全事件响应组织的协调机构,代表日本国家参与国际的CERT联络工作。
JPCERT/CC的工作目标是:提供计算机安全事件响应;协调与国内外CERT及相关组织的活动;对新CERT的建立提供支持及组织CERT之间的协作;收集和宣传计算机安全事件、漏洞及安全补丁等安全信息,以及发布警报和警告;提供计算机安全事件的调查和分析;研究信息安全的相关技术;通过教育和培训提高受众对信息安全和技术的认识和理解。
JPCERT/CC的特色服务或项目有下边这几个:
(1).因特网定点观察系统ISDAS:Internet Scan Data Acquisition System,是一个流量监视系统,提供TCP、UDP、ICMP端口扫描的月度、年度曲线图。JPCERT/CC于2003年开始在日本境内网络提供商的各类别IP的关键节点中广泛的部署了很多分布式的传感器。可以观察多种扫描活动、蠕虫感染、漏洞探测等,这样随时监测互联网上的流量和内容异常,以便第一时间发现网络上的攻击。观察到的信息供JPCERT与国际上其它CERT组织进行合作分析,并作为JPCERT发布预警与建议的依据。ISDAS还是2009年起日本主导的亚太地区TSUBAME
(Internet Threat Monitoring Data Sharing Project,国际互联网威胁监控数据共享计划) 的基础。
(2).日本脆弱性记录库JVN:the Japan Vulnerability Notes,仿照US-CERT的VND,提供脆弱性分析,从访问需求、认证、用户信息需求、利用的复杂度四个方面衡量。JVN工作组于2003年2月成立,并开放试用网站,2004年7月成立信息安全预警合作机制,由JPCERT/CC与日本IPA(information-technology Promotion Agency,情报处理推进机构)协作维护JVN。脆弱性报告被提交给IPA后,JPCERT/CC进行确认和找相关厂商协调处理,当解决方案出来后公布这个脆弱点。关于脆弱性处理方面,JPCERT还与CMU的CERT/CC,芬兰的CERT/FI是合作关系。JVN也公布来自US-CERT发的安全警告与脆弱点信息,以及UK
CPNI(Centre for the Protection of National Infrastructure,英国国家基础设施保护中心)的脆弱点建议信息。每个JVN记录包含的字段有:JVN编号、概述、影响的产品、描述、解决方案、厂商信息、参考资料、JPCERT/CC 附加的信息、脆弱性分析、鸣谢、其它信息。
(3).网络清理计划Cyber Clean Project:2006年起,直属日本总务省与经济产业省的网络清理中心指导委员会(Cyber Clean Center Steering Committee)通过三个组织来清理僵尸网络,分别是僵尸网络系统应对组、僵尸网络分析组、僵尸网络感染预防加强组。对应于这三个组,服务提供商ISP、JPCERT/CC、防毒软体厂商共同合作。首先,ISP架设Honeypot,负责搜集病毒样本及攻击事件样本,再转交给僵尸网络分析组JPCERT/CC进行分析与解读,从中找出与Bot相关的病毒或攻击事件,据此开发驱逐程序,交由ISP放在网站上,并通知受感染的使用者上网下载驱逐程序,杀毒软件厂商则根据JPCERT/CC的分析结果,制作应对程序并放在软件内。根据这样的思路,5年内让日本僵尸电脑感染率由2.8%降为0.8%。
(4). 其它项目:基础设施安全强化的移动网站计划WAISE,这是面向特殊用户的,如关键基础设施的管理组织,提供安全告警与应对方案。脆弱性决策辅助项目KENGINE,根据各组织自己的决策规定与威胁分析标准,提供有效的脆弱性应对部署方案。
纵观JPCERT/CC这几年的工作,可发现,JPCERT/CC之初只做被动的事件处理,2003年起通过ISDAS进行实时的网络监控,2004年起开始提供有一定前瞻性的脆弱性处理即JVN,2005年起则更强调前摄性的观测与预警。
4 对我国CERT/CC工作的几点启示
(1). 增加针对普通民众的网络安全宣传与培训,包括提供便利的、可信的安全指导资料及服务获取渠道。根据中国互联网信息中心发布的最新报告,中国网民数量超过了5亿,更不能只是出了事再修补,而应该加强预防性的建设,而其中,尽量提升更多的普通民众的网络安全意识是有效的措施。像US-CERT官网的home and business区就有很多关于保证网络安全的科普与建议材料,例如“提升一台新电脑安全性的十种方法”、“如何避免社会工程学攻击”、“如何选择合适的密码等等”,文章浅显易懂、可操作性强,此外,还设立了病毒木马、家庭网络安全专题,信息也会及时更新,很多材料可看到2011、2012的字样。至于JPCERT/CC,其官网日文版也有专栏提供丰富的材料帮助网民学习安全知识与技巧,英文版也有类似的服务;从APCERT2003年到2011年的报告来看,可以发现JPCERT/CC多次举行了线上的或实地的网络安全培训如Security
Day 2007,Security Day2008活动。这些都值得我国的CERT/CC机构借鉴。
(2).增加对国家关键基础设施控制系统如工业控制系统安全的专门关注与研究。如今很多网络攻击的目的由传统的追求明确的经济利益,上升到国家级的对抗,出现了APT(高级持续性威胁),其中很多就是针对工业控制系统的,如震网stuxnet蠕虫,duqu木马,flame病毒。具有国家基础设施性质的信息系统,如进行钢铁、电力、能源、化工等重要行业的人机交互与监控的SCADA工业控制系统容易成为攻击的对象,伊朗的布什尔核电站被攻击而影响了电力供应的正常运行就是鲜明的例子,所以,我国的CERT/CC应该学习US-CERT和JPCERT/CC的做法,分配力量集中于工业控制系统安全的研究与应对。当前,US-CERT的官网已经把控制系统的重要性放到很显眼的版块,并制定了控制系统的安全计划,成立工业控制系统联合工作组,制订控制系统网络安全标准,研发了控制系统网络安全评估工具,这些在前文已提到,并定期发布控制系统领域的安全监控报告与预警信息。JPCERT/CC的官网也有个控制系统安全的专门入口,从2009年起,每年都组织控制系统安全大会。
(3).促进机构的亲民化,充分利用最新、最快的传播媒体,让更多的民众受益。例如设立官方微博与博客,增加发布预警信息的途径。像US-CERT有官方推特twitter,JPCERT/CC有自己的官方英文博客和推特,特别是JVN英文版的推出,大大增加了JPCERT/CC的受众和影响力。
(4).强调横向合作,通过上级部委的力量,充分调动各方资源,实施全面的、彻底的网络安全联合整治活动。例如前文提到日本总务省与经济产业省联合的网络清理项目Cyber Clean Project,就整合了日本网络供应商如Telecom-ISAC Japan协会中的机构,JPCERT/CC的技术分析与IPA管理下的安全厂商。当前,很多网络安全问题,如中国的黑客地下产业,网络色情,无法仅凭某个组织就能很好的应对或解决,借鉴于日本的做法,我国国务院信息办、国务院新闻办、工业和信息化部、发改委、公安部、文化部、中科院等部委或研究机构,各服务运营商与信息安全厂商,可以联合起来开整治活动,做到正本清源、标本兼治。国内已经在这么做了,2007年倡议成立的网络与信息安全工作委员会,由来自政府部门、行业企业、科研机构和安全厂商的100余家单位组成,以CNCERT/CC运行部承担秘书处职能,近年来在反垃圾邮件方面的工作就很有成效。
(5).积极参与国际性的CERT项目。根据CERT.org披露的信息,可以看到当前国际上CERT项目集中于安全编程Secure Coding,目的是通过鉴定不安全的编程做法,研究安全的替代操作,软件开发人员可以减少甚至消除绝大部分的安全漏洞。该项目正在进行的有安全编码标准制订及安全编码评估软件开发。JPCERT/CC在Secure Coding方面积极跟进,2008-2011年进行了C/C++安全编程标准的研讨会及相关书籍编写,2012年起开始Java/Android安全编程的研讨。
(6).积极参与国际标准的制订,2008年起,JPCER/CC参与了IS0/IEC 29147中Responsible Vulnerability Disclosure标准制订,2009年起加入ISO/IEC 27035 Information Security Incident Management的制订,2011年则新增了制订Vulnerability Handing Processes的工作。这种工作的参与,无疑可以提升CERT组织在全球网络安全中的影响力,同时也促进国内相关技术的研究。当然,能在国际标准的制订中占有一席之地,也与JPCERT/CC在国际性组织中的特殊地位有关,该组织在APCERT中长期担任秘书处职位,其领导也是FIRST指导委员会及理事会的成员。
(7).提供对信息技术落后国家或地区的援助,2006年起,JPCERT/CC指导了柬埔寨、蒙古、老挝 等国CERT的组建。并多次在越南、印尼、泰国、缅甸提供了包括网络取证,恶意代码分析在内的安全研讨会或计算机紧急响应培训。这在一方面与JPCERT/CC在国际组织中的权威地位有关,也是我们国家级CERT/CC组织应该努力的方向。
(8).建立针对云计算平台的应急响应机制。除了上边提到的研究针对工业控制系统的应急响应外,当前,云计算的出现及广泛应用,也需要引起国家CERT组织的关注。在应急处理协调方面,由于云计算具有多方参与、资源共享、数据跨地域、成本低较易利用的特点,云计算平台更容易成为黑客集中攻击的目标,而且被攻击后影响范围大,对处理的实时性要求高。之外,对基于云计算的恶意攻击的响应,像利用云平台进行DDOS攻击,需要有国家级的甚至国际级的应急处理机制。而传统的应急响应与协调方式对跨地域的数据追踪效率不高,在云计算中更难定位到准确的攻击源头。出于这些原因,CSA(Cloud
Security Alliance,云计算安全联盟)在2011年11月正式启动了云计算安全事件响应小组CloudSIRT计划,目的是识别云计算中的威胁、联络其它的安全组织、为云计算安全事件提供援助与咨询。CNCERT/CC的网络安全监测系统对传统的网络进行安全监管,可以部分适用于云计算网络,特别是对IaaS服务。原有的大规模网络态势与预测技术可适用于云计算。已有的与各运营商、服务厂商及政府部门、国际网络安全组织密切的、广泛的合作关系也是重要的基础。
5 结束语
随着信息技术的发展,计算机网络深入的渗透到人类生活、生产的方方面面,也因而不可避免的产生了各种紧急状况,作为信息安全的“消防队”,CERT起着控制灾难、降低损失、稳定人心的重要用。关注信息发达国家的CERT建设与研究进展,结合本国特色选择切实可行的建设方向,让互联网更好的为大众,为各个产业服务,是我国CERT/CC组织应该坚持不懈的任务。
参考文献
[1] CMU.State of the Practice of Computer Security Incident Response Teams(CSIRTs) [R].2003.
[2] APCERT Secretariat. APCERT Annual Report [R].2011.
[3] US-CERT[EB/OL]. http://www.us-cert.org/
[4] JPCERT/CC[EB/OL].http://www.jpcert.org.jp
[5] 刘宝旭,马建民,池亚平:计算机网络安全应急响应技术的分析与研究[J].计算机工程.2007,33(10),28-130.
[6] 叶篷:美国爱因斯坦计划技术分析[EB/OL].http://yepeng.blog.51cto.com/3101105/641002
原文刊于 信息网络安全,2013,03:93-96.
本文基于 署名
3.0 中国大陆 许可协议发布,未经本人许可不得转载,否则引发的法律后果自负。
【摘要】:介绍了CERT(计算机应急响应组)的产生、发展与主要工作,总结了两个典型的CERT组织:美国US-CERT、日本JPCERT/CC的概况与主要项目,提出了国家级CERT的建设与发展的几点建议。
【关键词】:计算机应急响应组织/协调中心;网络安全;启示
1 引言
计算机应急响应组(Computer Emergency Response Team)是专门处理计算机网络安全问题的组织,其响应的对象是计算机或网络所存储、传输、处理的信息安全事件,这些事件可能来自自然界、主机或网络系统自身故障、组织内部或外部的人、计算机病毒或蠕虫等。
1988年莫里斯蠕虫导致当时互联网中1/10的计算机被感染而瘫痪,大量数据和资料被损毁,此次事件暴露了大众依赖程度日趋加深的计算机网络的严重脆弱性,计算机科学界意识到有必要成立计算机网络安全的应急响应与协调组织。因此,美国国防部高级研究计划署资助卡耐基·梅隆大学CMU建立了第一个计算机应急响应组及协调中心CERT/CC。随后,多个国家及地区成立了一大批应急响应组织,如日本的JPCERT/CC,英国的UKCERT,德国CERT-BUND,美国的US-CERT。1990年应急响应与安全组论坛FIRST成立,至2012年8月初,已发展成一个超过57个国家,264个成员的国际性组织。2003年,亚太计算机应急响应组APCERT成立,至2011年底,有来自19个国家或地区的28个成员。
中国于20世纪末起陆续建立计算机应急响应机构,目前主要有国家计算机网络应急技术处理协调中心CNCERT/CC,CERNET应急响应组CCERT,中国移动的CMCERT/CC,华为的HuaweiNSRIT,以及台湾的TWCERT/CC,TWNCERT。
本文首先介绍了CERT的产生与主要工作,之后以两个典型的组织US-CERT,JPCERT/CC为例,介绍了其结构与项目情况,并指出对于我国计算机应急响应组织建设的启示。
2 CERT组织的主要工作
通过查阅对应的官方网站,可以发现世界各国计算机应急响应机构所提供的服务基本相同,如应急响应,安全咨询,系统评估或风险评估,入侵检测,发布安全公告,发布漏洞信息,提供补丁下载,教育与培训,追踪与恢复,组织各种形式的学术交流活动等等。不过,有些CERT有不同的侧重点,如US-CERT与JPCERT/CC有较多的研发工作,英国的UKCERT着重于学术交流,印度CERT-in注重网络监控。
体现在计算机应急响应的网站上,CERT提供的功能通常有:
(1)网络安全预警:实时提供当前的信息安全问题描述,漏洞信息与攻击防范警报。
(2)网络安全公告:漏洞信息、网络安全问题的周期性总结,并加上对应的补丁或加固方案。
(3)网络安全建议:针对普通的家庭或企业用户,提供保证计算机安全的一些指导文档。
(4)事件在线受理:提供事件的在线提交入口。
第1,2项一般可以通过邮件或RSS订阅,很多CERT网站不会提供第4项服务。
3 典型国家级CERT的工作概况
从FIRST可以看到,目前全球除了非洲大部分、西亚部分国家以外,基本上各国都有自己的国家级的CERT。在CERT建设方面,比较典型的有美国US-CERT,日本JPCERT/CC,澳大利亚的AusCERT等,它们在全球的CERT发展中起着较大的导向作用。下文就以其中的两个为例进行简要的介绍。
3.1 US-CERT的概况与特色项目
US-CERT:United States Computer Emergency Readiness Team,2003年成立,隶属于美国国土安全部(The Department of Homeland Security)下的国家安全局(National Security Division)。US-CERT的官网指明其目的是提升国家的网络安全态势,协调网络信息共享,前摄性的管理网络风险,以保护美国公民的宪法权利。
US-CERT 24小时*7天的不间断工作,接受、分诊并协调计算机紧急事件。为信息系统人员提供技术援助,并及时公布当前的或潜在的安全威胁与漏洞信息。官网提供对紧急事件或软件漏洞的在线报告提交入口,这些报告有专用的格式。
US-CERT设立主任一名,负责全局的监管与组织工作;下设四个功能组,包含运营组(Operations),完成紧急事件的管理、检测与分析等业务;协调整合组(Operations Coordination and Integration),负责协调与交流工作;未来行动组(Future Operations),职责是行动规划、技术方案的前瞻性研究;资源管理组(Resource Management),完成员工及财务管理工作。
根据用户性质,US-CERT官网提供了三个领域的服务栏目:家庭与商业网络、政府、控制系统;第一个面向个人或家庭、小型商业网;第二个则为各级政府部门提供关于网络安全的信息共享、安全协作与响应服务,其中比较重要的有爱因斯坦计划(Einstein Program),US-CERT移动计划,脆弱性知识库;第三个是面向联邦、各州地方中所有基础设施与关键资源部门的工业控制系统安全问题,即CSSP项目(Control System Security Program)。
CSSP项目于2009年专门成立了针对工业控制系统的网络应急响应小组ICS-CERT(Industrial Control Systems Cyber Emergency Response Team),还成立了ICSJWG(Industrial Control Systems Joint Working Group )作为实际协调的工作实体。已发布了CSET网络安全评估工具(Cyber Security Evaluation Tool)4.1,用于帮助组织或机构保护关键的或国家网络资产。
US-CERT的特色服务或项目有下边这几个:
(1).CERT移动计划US-CERT Portal:US-CERT官网有CERT信息的跳转入口,目的是提供一个安全的、基于Web的协调系统,用于共享敏感的、与网络安全相关的信息或新闻。这个只面向有限的人群,采用专家邀请式注册。能访问美国政府的数据,主要是美国国土安全部中的计算机系统,经授权方可进入。
(2).国家网络感知系统NCAS:National Cyber Awareness System,美国第一个结合了识别、分析 突发漏洞与威胁的全国性网络安全系统,为公众提供免费的、实时的、可操作的计算机安全更新与警告信息。形式有警告、建议、公告。US-CERT还运行着一个脆弱性记录库VND(Vulnerability Notes Database,下文将介绍),为NCAS发布的漏洞提供技术性的描述。
(3).脆弱性记录库VND:Vulnerability Notes Database,US-CERT在VND中发布关于突发漏洞的信息,包括总结、技术细节、补救信息、影响的厂商。注重对脆弱性解决方案的研究,跟相关厂商设计出补丁等对策来对漏洞进行修正。其包括的字段有:脆弱点名称、概述、描述(包括示例)、影响、解决方案、受影响的厂商或系统、CVSS(通用脆弱性评分系统common vulnerability scoring system)度量、参考资源、鸣谢、其它信息(如CVE编号、发布日期、首发日期、最后更新日期、文档版本号等)。VND还是美国NIST(National
Institute of Standard and Technology)下属计算机安全部门管理的国家脆弱性库NVD(National Vulnerability Database)的重要来源。
(4).爱因斯坦计划:由US-CERT规划,爱因斯坦计划1始于2003年,系统能够自动地收集、分析和共享美国政府部门之间的计算机安全信息,从而使得各联邦机构能够实时感知其网络基础设施面临的威胁,以便更迅速地采取恰当的对策。爱因斯坦2计划是1号计划的增强,始于2007年,该系统在原来对异常行为分析的基础上,增加了对恶意行为的分析能力,以期使得US-CERT获得更好的网络态势感知能力。从2008年开始,美国政府启动了国家网络安全综合计划(CNCI),作为其中的一部分,就是爱因斯坦3计划。目前,该计划披露的信息不多。爱因斯坦3计划的总体目标是识别并标记恶意网络传输(尤其是恶意邮件),来增强网络空间的安全分析、态势感知和安全响应能力,主要要解决的问题是网络威胁,至少包括钓鱼、IP欺骗、僵尸网络、DoS、DDoS、中间人攻击,以及其他恶意代码插入。系统将能够自动地检测网络威胁并在危害发生之前作出适当的响应,也就是具备IPS(入侵防御系统)的动态防御能力。
3.2 JPCERT/CC的概况与特色项目
JPCERT/CC:Japan Computer Emergency Response Team/Coordination Center。JPCERT/CC前身是1992年日本的IP工程与规划组(JPET/IP)中的安全任务小组,之后在1996年由日本国际贸易与工业省(现在的经济产业省)资助下成立名为Japan Computer Emergency Response Center的组织,2003年注册获得合法地位,目前是日本各个计算机安全事件响应组织的协调机构,代表日本国家参与国际的CERT联络工作。
JPCERT/CC的工作目标是:提供计算机安全事件响应;协调与国内外CERT及相关组织的活动;对新CERT的建立提供支持及组织CERT之间的协作;收集和宣传计算机安全事件、漏洞及安全补丁等安全信息,以及发布警报和警告;提供计算机安全事件的调查和分析;研究信息安全的相关技术;通过教育和培训提高受众对信息安全和技术的认识和理解。
JPCERT/CC的特色服务或项目有下边这几个:
(1).因特网定点观察系统ISDAS:Internet Scan Data Acquisition System,是一个流量监视系统,提供TCP、UDP、ICMP端口扫描的月度、年度曲线图。JPCERT/CC于2003年开始在日本境内网络提供商的各类别IP的关键节点中广泛的部署了很多分布式的传感器。可以观察多种扫描活动、蠕虫感染、漏洞探测等,这样随时监测互联网上的流量和内容异常,以便第一时间发现网络上的攻击。观察到的信息供JPCERT与国际上其它CERT组织进行合作分析,并作为JPCERT发布预警与建议的依据。ISDAS还是2009年起日本主导的亚太地区TSUBAME
(Internet Threat Monitoring Data Sharing Project,国际互联网威胁监控数据共享计划) 的基础。
(2).日本脆弱性记录库JVN:the Japan Vulnerability Notes,仿照US-CERT的VND,提供脆弱性分析,从访问需求、认证、用户信息需求、利用的复杂度四个方面衡量。JVN工作组于2003年2月成立,并开放试用网站,2004年7月成立信息安全预警合作机制,由JPCERT/CC与日本IPA(information-technology Promotion Agency,情报处理推进机构)协作维护JVN。脆弱性报告被提交给IPA后,JPCERT/CC进行确认和找相关厂商协调处理,当解决方案出来后公布这个脆弱点。关于脆弱性处理方面,JPCERT还与CMU的CERT/CC,芬兰的CERT/FI是合作关系。JVN也公布来自US-CERT发的安全警告与脆弱点信息,以及UK
CPNI(Centre for the Protection of National Infrastructure,英国国家基础设施保护中心)的脆弱点建议信息。每个JVN记录包含的字段有:JVN编号、概述、影响的产品、描述、解决方案、厂商信息、参考资料、JPCERT/CC 附加的信息、脆弱性分析、鸣谢、其它信息。
(3).网络清理计划Cyber Clean Project:2006年起,直属日本总务省与经济产业省的网络清理中心指导委员会(Cyber Clean Center Steering Committee)通过三个组织来清理僵尸网络,分别是僵尸网络系统应对组、僵尸网络分析组、僵尸网络感染预防加强组。对应于这三个组,服务提供商ISP、JPCERT/CC、防毒软体厂商共同合作。首先,ISP架设Honeypot,负责搜集病毒样本及攻击事件样本,再转交给僵尸网络分析组JPCERT/CC进行分析与解读,从中找出与Bot相关的病毒或攻击事件,据此开发驱逐程序,交由ISP放在网站上,并通知受感染的使用者上网下载驱逐程序,杀毒软件厂商则根据JPCERT/CC的分析结果,制作应对程序并放在软件内。根据这样的思路,5年内让日本僵尸电脑感染率由2.8%降为0.8%。
(4). 其它项目:基础设施安全强化的移动网站计划WAISE,这是面向特殊用户的,如关键基础设施的管理组织,提供安全告警与应对方案。脆弱性决策辅助项目KENGINE,根据各组织自己的决策规定与威胁分析标准,提供有效的脆弱性应对部署方案。
纵观JPCERT/CC这几年的工作,可发现,JPCERT/CC之初只做被动的事件处理,2003年起通过ISDAS进行实时的网络监控,2004年起开始提供有一定前瞻性的脆弱性处理即JVN,2005年起则更强调前摄性的观测与预警。
4 对我国CERT/CC工作的几点启示
(1). 增加针对普通民众的网络安全宣传与培训,包括提供便利的、可信的安全指导资料及服务获取渠道。根据中国互联网信息中心发布的最新报告,中国网民数量超过了5亿,更不能只是出了事再修补,而应该加强预防性的建设,而其中,尽量提升更多的普通民众的网络安全意识是有效的措施。像US-CERT官网的home and business区就有很多关于保证网络安全的科普与建议材料,例如“提升一台新电脑安全性的十种方法”、“如何避免社会工程学攻击”、“如何选择合适的密码等等”,文章浅显易懂、可操作性强,此外,还设立了病毒木马、家庭网络安全专题,信息也会及时更新,很多材料可看到2011、2012的字样。至于JPCERT/CC,其官网日文版也有专栏提供丰富的材料帮助网民学习安全知识与技巧,英文版也有类似的服务;从APCERT2003年到2011年的报告来看,可以发现JPCERT/CC多次举行了线上的或实地的网络安全培训如Security
Day 2007,Security Day2008活动。这些都值得我国的CERT/CC机构借鉴。
(2).增加对国家关键基础设施控制系统如工业控制系统安全的专门关注与研究。如今很多网络攻击的目的由传统的追求明确的经济利益,上升到国家级的对抗,出现了APT(高级持续性威胁),其中很多就是针对工业控制系统的,如震网stuxnet蠕虫,duqu木马,flame病毒。具有国家基础设施性质的信息系统,如进行钢铁、电力、能源、化工等重要行业的人机交互与监控的SCADA工业控制系统容易成为攻击的对象,伊朗的布什尔核电站被攻击而影响了电力供应的正常运行就是鲜明的例子,所以,我国的CERT/CC应该学习US-CERT和JPCERT/CC的做法,分配力量集中于工业控制系统安全的研究与应对。当前,US-CERT的官网已经把控制系统的重要性放到很显眼的版块,并制定了控制系统的安全计划,成立工业控制系统联合工作组,制订控制系统网络安全标准,研发了控制系统网络安全评估工具,这些在前文已提到,并定期发布控制系统领域的安全监控报告与预警信息。JPCERT/CC的官网也有个控制系统安全的专门入口,从2009年起,每年都组织控制系统安全大会。
(3).促进机构的亲民化,充分利用最新、最快的传播媒体,让更多的民众受益。例如设立官方微博与博客,增加发布预警信息的途径。像US-CERT有官方推特twitter,JPCERT/CC有自己的官方英文博客和推特,特别是JVN英文版的推出,大大增加了JPCERT/CC的受众和影响力。
(4).强调横向合作,通过上级部委的力量,充分调动各方资源,实施全面的、彻底的网络安全联合整治活动。例如前文提到日本总务省与经济产业省联合的网络清理项目Cyber Clean Project,就整合了日本网络供应商如Telecom-ISAC Japan协会中的机构,JPCERT/CC的技术分析与IPA管理下的安全厂商。当前,很多网络安全问题,如中国的黑客地下产业,网络色情,无法仅凭某个组织就能很好的应对或解决,借鉴于日本的做法,我国国务院信息办、国务院新闻办、工业和信息化部、发改委、公安部、文化部、中科院等部委或研究机构,各服务运营商与信息安全厂商,可以联合起来开整治活动,做到正本清源、标本兼治。国内已经在这么做了,2007年倡议成立的网络与信息安全工作委员会,由来自政府部门、行业企业、科研机构和安全厂商的100余家单位组成,以CNCERT/CC运行部承担秘书处职能,近年来在反垃圾邮件方面的工作就很有成效。
(5).积极参与国际性的CERT项目。根据CERT.org披露的信息,可以看到当前国际上CERT项目集中于安全编程Secure Coding,目的是通过鉴定不安全的编程做法,研究安全的替代操作,软件开发人员可以减少甚至消除绝大部分的安全漏洞。该项目正在进行的有安全编码标准制订及安全编码评估软件开发。JPCERT/CC在Secure Coding方面积极跟进,2008-2011年进行了C/C++安全编程标准的研讨会及相关书籍编写,2012年起开始Java/Android安全编程的研讨。
(6).积极参与国际标准的制订,2008年起,JPCER/CC参与了IS0/IEC 29147中Responsible Vulnerability Disclosure标准制订,2009年起加入ISO/IEC 27035 Information Security Incident Management的制订,2011年则新增了制订Vulnerability Handing Processes的工作。这种工作的参与,无疑可以提升CERT组织在全球网络安全中的影响力,同时也促进国内相关技术的研究。当然,能在国际标准的制订中占有一席之地,也与JPCERT/CC在国际性组织中的特殊地位有关,该组织在APCERT中长期担任秘书处职位,其领导也是FIRST指导委员会及理事会的成员。
(7).提供对信息技术落后国家或地区的援助,2006年起,JPCERT/CC指导了柬埔寨、蒙古、老挝 等国CERT的组建。并多次在越南、印尼、泰国、缅甸提供了包括网络取证,恶意代码分析在内的安全研讨会或计算机紧急响应培训。这在一方面与JPCERT/CC在国际组织中的权威地位有关,也是我们国家级CERT/CC组织应该努力的方向。
(8).建立针对云计算平台的应急响应机制。除了上边提到的研究针对工业控制系统的应急响应外,当前,云计算的出现及广泛应用,也需要引起国家CERT组织的关注。在应急处理协调方面,由于云计算具有多方参与、资源共享、数据跨地域、成本低较易利用的特点,云计算平台更容易成为黑客集中攻击的目标,而且被攻击后影响范围大,对处理的实时性要求高。之外,对基于云计算的恶意攻击的响应,像利用云平台进行DDOS攻击,需要有国家级的甚至国际级的应急处理机制。而传统的应急响应与协调方式对跨地域的数据追踪效率不高,在云计算中更难定位到准确的攻击源头。出于这些原因,CSA(Cloud
Security Alliance,云计算安全联盟)在2011年11月正式启动了云计算安全事件响应小组CloudSIRT计划,目的是识别云计算中的威胁、联络其它的安全组织、为云计算安全事件提供援助与咨询。CNCERT/CC的网络安全监测系统对传统的网络进行安全监管,可以部分适用于云计算网络,特别是对IaaS服务。原有的大规模网络态势与预测技术可适用于云计算。已有的与各运营商、服务厂商及政府部门、国际网络安全组织密切的、广泛的合作关系也是重要的基础。
5 结束语
随着信息技术的发展,计算机网络深入的渗透到人类生活、生产的方方面面,也因而不可避免的产生了各种紧急状况,作为信息安全的“消防队”,CERT起着控制灾难、降低损失、稳定人心的重要用。关注信息发达国家的CERT建设与研究进展,结合本国特色选择切实可行的建设方向,让互联网更好的为大众,为各个产业服务,是我国CERT/CC组织应该坚持不懈的任务。
参考文献
[1] CMU.State of the Practice of Computer Security Incident Response Teams(CSIRTs) [R].2003.
[2] APCERT Secretariat. APCERT Annual Report [R].2011.
[3] US-CERT[EB/OL]. http://www.us-cert.org/
[4] JPCERT/CC[EB/OL].http://www.jpcert.org.jp
[5] 刘宝旭,马建民,池亚平:计算机网络安全应急响应技术的分析与研究[J].计算机工程.2007,33(10),28-130.
[6] 叶篷:美国爱因斯坦计划技术分析[EB/OL].http://yepeng.blog.51cto.com/3101105/641002
原文刊于 信息网络安全,2013,03:93-96.
本文基于 署名
3.0 中国大陆 许可协议发布,未经本人许可不得转载,否则引发的法律后果自负。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 关于工作总结内容和周期的一点启示
- 关于工作总结内容和周期的一点启示
- IT富翁们的第一份工作会给你怎样的启示
- 关于固体结构和性质理论研究工作的概况
- 关于测试工作的思考与启示
- 卑微工作的九条启示
- IT富翁们的第一份工作会给你怎样的启示
- 拍拖对工作的启示
- 谈谈庄子对工作和生活的启示
- 电子阅报栏上苹果的创新精神对我们工作的启示
- IT富翁们的第一份工作会给你怎样的启示
- SafeSignCertReg.exe导致系统工作异常
- 工作日志Apr11th——即将迎来像奴隶般工作的日子
- 利用 AWK 的数值计算功能提升工作效率
- [ASP.NET]工作中经常使用到的方法
- 工作了才知道 我们把大学荒废了
- PM 底电流调试工作总结
- Memcache工作原理以及命中率介绍
- 使用Quartz或Timer完成时序调度工作
- JSP动态页面技术及其工作的原理的理解