网络安全应急响应现状问题与解决方案 作者 elixer@sina.com 2015.3.11 本文《网络安全应急响应现状问题与解决方案》与《网络安全应急响应现状问题与思考》(作者,2012.9.30)为上下篇,旨在解决《网络安全应急响应现状问题与思考》一文所提出的问题,当发生网络入侵、病毒爆发、现有网络安全防御体系(如防火墙、入侵检测、入侵防御等)被突破或当机或无异常显示、防毒软件或被病毒所劫杀或对病毒不作为时,如何阻击入侵、查杀病毒、恢复系统?事前制定的网络安全应急响应预案总难以有效应对尚且未知的病毒及网络攻击,匆忙赶赴现场,无奈断网恢复,或简单备机切换,大多数公司网络安全应急响应现状如此,与黑客病毒实施的远程入侵控制相比,技术和手段完全处于非对等的劣势地位,能否改变现状,有何解决方案? 网络安全应急响应目前状况和主要问题有以下几点: 1、重防轻治,以防代治。目前网络安全产品以安全防御为主,如防火墙、入侵检测、入侵防御、防毒软件,以及网络细分、流量监视、流量控制等等,但网络安全应急救治的产品却处于稀缺或空白的状态。其表现为基于网络安全防御体系的技术水平现状,系统漏洞随着时间推移陆续显露,新病毒总量每年以超几何级数增长,黑客及病毒的技术含量不断提高和攻击手段不断翻新,黑客及病毒突破和破坏现有网络安全防御体系、劫杀和禁用防毒软件现象屡有发生,特别是爆发的大规模传染性网络病毒对提供公共服务的机构造成社会公共安全事件时有发生。 2、网络安全应急响应尚处于简单低级层次。事前制定的应急响应预案总难以有效应对尚且未知的病毒及网络攻击,匆忙赶赴现场,无奈断网恢复,或简单备机切换,大多数公司网络安全应急响应现状如此,与黑客病毒实施的远程入侵控制相比,技术和手段完全处于非对等的劣势地位,缺乏一种快速响应、与黑客病毒决胜于千里之外的能力。 3、安全防御与应急救治能力失衡,单纯防御必造成投入边际收益率递减,投资者裹足不前。“预防为主,防治结合”,这句话人人耳濡目染,但前半句的正确性和合理性成立是有条件的。安全防御与应急救治,两者的关系如同医学上疾病防疫与疾病救治的关系一样,以此类比联想,是否所有疾病都可防疫的呢?突发急病是找治病的医生,还是找疫防的医生呢?百把元即可治愈的流感有人肯不计成本的去预防它呢?答案是肯定的: 1.可预防的;2.预防成本小于救治成本,这才是“预防为主,防治结合”正确性和合理性成立的前提条件。 4、进攻...