1、 清華大學(xué) 博士研究生 段海新Email： 清華大學(xué)信息網(wǎng)絡(luò)工程研究中心 北京 100084網(wǎng)絡(luò)安全應(yīng)急響應(yīng)服務(wù)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)服務(wù)與與CERNET的行動(dòng)的行動(dòng) 網(wǎng)絡(luò)安全應(yīng)急響應(yīng)服務(wù)的背景 CERNET 計(jì)算機(jī)應(yīng)急響應(yīng)組(CCERT)運(yùn)行一年回顧 網(wǎng)絡(luò)和系統(tǒng)安全配置建議 CERNET 安全應(yīng)急響應(yīng)服務(wù)計(jì)劃 參考文獻(xiàn)內(nèi)容提要Internet 的安全問(wèn)題的產(chǎn)生 Internet起于研究項(xiàng)目,安全不是主要的考慮 少量的用戶，多是研究人員,可信的用戶群體 可靠性(可用性)、計(jì)費(fèi)、性能 、配置、安全 “Security issues are not discussed in this memo” 網(wǎng)絡(luò)協(xié)

2、議的開(kāi)放性與系統(tǒng)的通用性 目標(biāo)可訪問(wèn)性，行為可知性 攻擊工具易用性 Internet 沒(méi)有集中的管理權(quán)威和統(tǒng)一的政策 安全政策、計(jì)費(fèi)政策、路由政策操作系統(tǒng)漏洞統(tǒng)計(jì)操作系統(tǒng)漏洞增長(zhǎng)趨勢(shì)兩個(gè)實(shí)驗(yàn) San Diego 超級(jí)計(jì)算中心 Redhat Linux 5.2 , no patch 8小時(shí)：sun rpc probe 21天： 20 次pop, imap, rpc, mountd使用Redhat6.X的嘗試失敗 40天： 利用pop 服務(wù)缺陷或的控制權(quán) 系統(tǒng)日志被刪除 安裝了rootkit、 sniffer 清華大學(xué)校園網(wǎng) Redhat Linux 6.2 , 只開(kāi)設(shè)telnet, www服務(wù)；

3、 所有用戶申請(qǐng)均可獲得賬號(hào) 7天后358個(gè)用戶 兩個(gè)用戶利用dump獲得root 控制權(quán)安全應(yīng)急響應(yīng)服務(wù)背景 應(yīng)急響應(yīng)服務(wù)的誕生應(yīng)急響應(yīng)服務(wù)的誕生CERT/CC 1988年Morris 蠕蟲事件直接導(dǎo)致了CERT/CC的誕生 CERT/CC服務(wù)的內(nèi)容 安全事件響應(yīng) 安全事件分析和軟件安全缺陷研究 缺陷知識(shí)庫(kù)開(kāi)發(fā) 信息發(fā)布：缺陷、公告、總結(jié)、統(tǒng)計(jì)、補(bǔ)丁、工具 教育與培訓(xùn)：CSIRT管理、CSIRT技術(shù)培訓(xùn)、系統(tǒng)和網(wǎng)絡(luò)管理員安全培訓(xùn) 指導(dǎo)其它CSIRT（也稱IRT、CERT）組織建設(shè)CERT/CC簡(jiǎn)介簡(jiǎn)介 現(xiàn)有工作人員30多人，12年里處理了288,600 封Email, 18,300個(gè)熱線電話，

4、其運(yùn)行模式幫助了80多個(gè)CSIRT組織的建設(shè)CERT/CC簡(jiǎn)介簡(jiǎn)介CMUSEINetworked Systems Survivability programSurvivable Network ManagementCERT/CCSurvivable Network TechnologyIncidentHandlingVulnerabilityHandlingCSIRTDevelopmentDoD安全應(yīng)急響應(yīng)服務(wù)背景 國(guó)外安全事件響應(yīng)組（CSIRT）建設(shè)情況DOE CIAC、FedCIRC、DFN-CERT等FedCIRC、AFCERT, NavyCIRT亞太地區(qū)：AusCERT、SingCER

5、T等 FIRST（1990） FIRST為IRT組織、廠商和其他安全專家提供一個(gè)論壇，討論安全缺陷、入侵者使用的方法和技巧、建議等，共同的尋找一個(gè)可接受的方案。 80多個(gè)正式成員組織，覆蓋18個(gè)國(guó)家和地區(qū) 從FIRST中獲益的比例與IRT愿意提供的貢獻(xiàn)成比例 兩個(gè)正式成員的推薦國(guó)內(nèi)安全事件響應(yīng)組織建設(shè)情況 計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)設(shè)施已經(jīng)嚴(yán)重依賴國(guó)外； 由于地理、語(yǔ)言、政治等多種因素，安全服務(wù)不可能依賴國(guó)外的組織 國(guó)內(nèi)的應(yīng)急響應(yīng)服務(wù)還處在起步階段 CCERT（1999年5月），中國(guó)第一個(gè)安全事件響應(yīng)組織 NJCERT（1999年10月） 中國(guó)電信ChinaNet安全小組 解放軍，公安部 安全救援服務(wù)公司

6、 中國(guó)計(jì)算機(jī)應(yīng)急響應(yīng)組/協(xié)調(diào)中心CNCERT/CC 信息產(chǎn)業(yè)部安全管理中心 ，2000年3月，北京安全應(yīng)急響應(yīng)組的分類國(guó)際間的協(xié)調(diào)組織國(guó)內(nèi)的協(xié)調(diào)組織國(guó)內(nèi)的協(xié)調(diào)組織愿意付費(fèi)的任何用戶產(chǎn)品用戶網(wǎng)絡(luò)接入用戶企業(yè)部門、用戶商業(yè)IRT網(wǎng)絡(luò)服務(wù)提供商 IRT廠商 IRT企業(yè) /政府 IRT如：安全服務(wù)公司如：CCERT如：cisco, IBM如：中國(guó)銀行、 公安部如CERT/CC, FIRST如CNCERT/CC安全應(yīng)急響應(yīng)服務(wù)組織的服務(wù)內(nèi)容 CSIRT的服務(wù)內(nèi)容 應(yīng)急響應(yīng) 安全公告 咨詢 風(fēng)險(xiǎn)評(píng)估 入侵檢測(cè) 教育與培訓(xùn) 追蹤與恢復(fù)安全應(yīng)急響應(yīng)服務(wù)的特點(diǎn) 技術(shù)復(fù)雜性與專業(yè)性 各種硬件平臺(tái)、操作系統(tǒng)、應(yīng)用軟

7、件； 知識(shí)經(jīng)驗(yàn)的依賴性 由IRT中的人提供服務(wù)，而不是一個(gè)硬件或軟件產(chǎn)品； 突發(fā)性強(qiáng) 需要廣泛的協(xié)調(diào)與合作 網(wǎng)絡(luò)安全應(yīng)急響應(yīng)服務(wù)的背景 CCERT運(yùn)行一年回顧 網(wǎng)絡(luò)和系統(tǒng)安全配置建議 CERNET 安全應(yīng)急響應(yīng)服務(wù)計(jì)劃 參考文獻(xiàn)內(nèi)容提要CERNET在應(yīng)急響應(yīng)中的優(yōu)勢(shì) 高速的、大規(guī)模的網(wǎng)絡(luò)環(huán)境 10M/ 100M/ 1000M的用戶接入 活躍的攻擊者和安全服務(wù)提供者 BBS、各種俱樂(lè)部75410M+45M+45M155M(即將2.5G)2000.1-2000.10580近10M2M+2M1999.7-1999.12507近10M2M+2M1999.1-1999.064092M+4M2M1998.

8、1-1998.12278128K64K/128K1997.1-1997.12聯(lián)網(wǎng)用戶數(shù)目國(guó)際出口帶寬國(guó)內(nèi)主干帶寬時(shí) 間CERNET、 Internet2、IPv6 實(shí)驗(yàn)床CERNET在應(yīng)急響應(yīng)中的優(yōu)勢(shì)CERNET在應(yīng)急響應(yīng)中的優(yōu)勢(shì) 運(yùn)行網(wǎng)絡(luò)和實(shí)驗(yàn)網(wǎng)絡(luò), 可進(jìn)行各種實(shí)驗(yàn) IPv6實(shí)驗(yàn)床、Internet2 的國(guó)際接入 可控的網(wǎng)絡(luò)基礎(chǔ)設(shè)施 路由系統(tǒng)、域名系統(tǒng)、網(wǎng)絡(luò)管理系統(tǒng)、電子郵件系統(tǒng) 主干網(wǎng)擴(kuò)大到省級(jí)節(jié)點(diǎn)，便于集中控制 以CERNET為依托的科研項(xiàng)目 九五攻關(guān)項(xiàng)目：網(wǎng)絡(luò)管理、網(wǎng)絡(luò)安全、安全路由器 高速IP網(wǎng)絡(luò)安全運(yùn)行監(jiān)控系統(tǒng) 100M 流量分析與協(xié)同分布式入侵檢測(cè) 多種角色：高校、NSP/ISP

9、 便于國(guó)際交流、更加了解用戶需求CERNET 計(jì)算機(jī)安全應(yīng)急響應(yīng)組（CCERT） http:/CERNET華東（北）地區(qū)網(wǎng)網(wǎng)絡(luò)安全事件響應(yīng)組(NJCERT) http:/ 事件處理CCERTNICNOC 地區(qū)網(wǎng)絡(luò)中心 校園網(wǎng)絡(luò)中心Internet用戶IPv6網(wǎng)管高速網(wǎng)：系統(tǒng)管理員CERNET 計(jì)算機(jī)安全應(yīng)急響應(yīng)組（CCERT） 主要客戶群是CERNET 會(huì)員，但也有受理其他網(wǎng)絡(luò)的報(bào)告和投訴 目前主要從事以下服務(wù)和研究：事件響應(yīng)：入侵、垃圾郵件以及郵件炸彈、惡意掃描和DoS事件處理給站點(diǎn)管理員提供安全建議 提供安全信息公告和安全資源 反垃圾郵件、禁止掃描的公告 操作系統(tǒng)補(bǔ)丁、工具軟件網(wǎng)絡(luò)安全領(lǐng)域

10、的研究,包括 安全管理、入侵檢測(cè)、安全體系結(jié)構(gòu)、PKICCERT一年來(lái)回顧 所處理的事件可分為四類： 垃圾郵件和郵件炸彈 掃描 入侵 DOS 攻擊 至2000年9月，處理了 2000 多份報(bào)告，其中包括 1800多起垃圾郵件和郵件炸彈報(bào)告; 110 起掃描與 DOS 攻擊報(bào)告; 50 起入侵報(bào)告常見(jiàn)安全事件報(bào)告與處理 垃圾郵件轉(zhuǎn)發(fā) 90左右的報(bào)告與垃圾郵件有關(guān) 國(guó)外的投訴 國(guó)內(nèi)的報(bào)告 郵件服務(wù)器配置不當(dāng)，為第三方中轉(zhuǎn)郵件 危害： 流量盜用 -費(fèi)用增加 可能導(dǎo)致郵件服務(wù)器的所有通信被受害者封鎖；spamcop 對(duì)國(guó)家和社會(huì)安全的影響 解決方法： relay-test scan 重新配置、升級(jí)郵件

11、系統(tǒng) 封鎖國(guó)外轉(zhuǎn)發(fā)轉(zhuǎn)發(fā)垃圾郵件的站點(diǎn)垃圾郵件的報(bào)告已逐漸減少垃圾郵件報(bào)告數(shù)量圖1022002435271792211535532636901002003004005006001999年8 月1999年9 月1999年1 0月1999年1 1月1999年1 2月2000年1 月2000年2 月2000年3 月2000年4 月2000年5 月2000年6 月月份數(shù)量系列1常見(jiàn)安全事件報(bào)告與處理 掃描，入侵的前兆 服務(wù)發(fā)現(xiàn)掃描，如 proxy hunter（ 80, 8080,1080） 缺陷掃描，如SATAN 等工具 ftp, telnet ,ssh, pop2, pop3, sunrpc, ne

12、tbios, imap, klogind, socks, 入侵 多數(shù)入侵由于眾所周知的缺陷，解決方法已有： Solaris rpc.statd, rpc.ttdbserver, Linux imapd, wu_ftp freeBSD pop3d Win2k Terminal Server, 很多案例由外部的報(bào)告發(fā)現(xiàn)，管理員并不知道典型的入侵案例 缺陷掃描 Root compromise: pop3d 停止 syslogd , 修改/etc/inetd.conf, 激活 telnet, ftp, 甚至替換以下程序 /bin/login 、/bin/ps 、/usr/bin/du 、/bin/ls

13、 、/bin/netstat 安裝竊聽(tīng)程序 sniffer : /usr/.sniffit 重新啟動(dòng) syslogd ,關(guān)閉pop3d 刪除日志記錄 wtmp、wtp、message、syslog一般入侵步驟拒絕服務(wù)攻擊 DoS 攻擊 land , teardrop, SYN flood ICMP : smurf Router: remote reset , UDP port 7, Windows: Port 135, 137,139(OOB), terminal server Solaris : Linux: 其他. SYN FloodSend SYN (seq=100 ctl=SYN)SY

14、N receivedSend SYN (seq=300 ack=101 ctl=syn,ack)Established(seq=101 ack=301 ctl=ack)attackertargetEstablished(seq=301 ack=301 ctl=ack Data)1234SYN received正常的TCP 連接建立過(guò)程 - 三次握手ICMP SmurfattackerICMP echo req Src: targetdst: xxx.xxx.xxx.255Echo replyEcho replyEcho replytarget分布式拒絕服務(wù)（DDOS） 以破壞系統(tǒng)或網(wǎng)絡(luò)的可用性

15、為目標(biāo) 常用的工具： Trin00, TFN/TFN2K, Stacheldraht 很難防范 偽造源地址，流量加密，因此很難跟蹤clienttargethandler.agent.DoSICMP Flood / SYN Flood / UDP FloodDDOS攻擊方法及防范 攻擊的兩階段： 第一階段控制大量主機(jī) 利用系統(tǒng)的漏洞獲得大量主機(jī)系統(tǒng)的控制權(quán)，并安裝DDoS 工具；Linux imapd, Solaris rpc 、rstatd, Windows； 第二個(gè)階段，發(fā)起攻擊： 向目標(biāo)發(fā)送大量的TCP/UDP/ICMP包，導(dǎo)致系統(tǒng)資源耗盡或網(wǎng)絡(luò)擁塞，從而使目標(biāo)系統(tǒng)或網(wǎng)絡(luò)不能響應(yīng)正常的請(qǐng)求

16、。 DDOS防范： 網(wǎng)絡(luò)中所有的系統(tǒng)都要安全的配置，不使之成為DDOS的源； 路由器/防火墻配置：過(guò)濾偽造源地址的IP 包 檢測(cè)工具：find_ddosv31、ddos_scan、rid掃描事件報(bào)告統(tǒng)計(jì)增長(zhǎng)趨勢(shì)掃描報(bào)告數(shù)量圖17133141010101616100246810121416181999年8 月1999年9 月1999年1 0月1999年1 1月1999年1 2月2000年1 月2000年2 月2000年3 月2000年4 月2000年5 月2000年6 月月份數(shù)量系列1常見(jiàn)問(wèn)題 管理問(wèn)題：資產(chǎn)、策略、負(fù)責(zé)人, 沒(méi)有明確的安全管理策略 操作系統(tǒng)安裝后使用缺省配置，不打補(bǔ)丁，運(yùn)行許多

17、不必要的服務(wù)； 99%以上的入侵是可以通過(guò)系統(tǒng)配置來(lái)防范的；常用的攻擊方法常見(jiàn)問(wèn)題 多種服務(wù)安裝在同一服務(wù)器上，DNS/Mail/Web/ FTP 公用服務(wù)器用戶口令過(guò)于簡(jiǎn)單，uid: stud? / Pwd:123456 審計(jì)功能沒(méi)有激活，或管理員根本不檢查審計(jì)日志 沒(méi)有備份，系統(tǒng)在被入侵后很難恢復(fù)事件處理的困難 服務(wù)本身缺乏項(xiàng)目和資金的支持； 人力資源與知識(shí)經(jīng)驗(yàn)的不足； 缺乏迅速的聯(lián)系渠道 過(guò)時(shí)的 whois 數(shù)據(jù)庫(kù)，聯(lián)系信息數(shù)據(jù)庫(kù)不準(zhǔn)確 ； 來(lái)自國(guó)外的投訴較多，國(guó)內(nèi)的用戶還沒(méi)有足夠的自我保護(hù)意識(shí)和能力 網(wǎng)絡(luò)安全應(yīng)急響應(yīng)服務(wù)的背景 CCERT 運(yùn)行一年來(lái)的回顧 網(wǎng)絡(luò)和系統(tǒng)安全配置建議 CE

18、RNET安全應(yīng)急響應(yīng)服務(wù)建設(shè)計(jì)劃 參考文獻(xiàn)內(nèi)容提要NT 安全配置檢查表 安裝 不要同時(shí)安裝其他操作系統(tǒng)，以防止越權(quán)訪問(wèn)和數(shù)據(jù)破壞 所有分區(qū)都選擇NTFS格式，以支持訪問(wèn)控制 選擇9個(gè)字符以上、不易猜測(cè)的口令 創(chuàng)建修復(fù)盤 補(bǔ)丁 安裝最新版本的補(bǔ)丁Service Pack; 安裝相應(yīng)版本所有的 hotfixes 跟蹤最新的SP 和 hotfixNT 安全配置檢查表 病毒防范 安裝防病毒軟件，及時(shí)更新特征庫(kù) 政策與用戶的教育：如何處理郵件附件、如何使用下載軟件等 網(wǎng)絡(luò)配置 關(guān)閉不必要的網(wǎng)絡(luò)服務(wù) 配置防火墻/路由器，封鎖不必要的端口：TCP port 135, 137, 139 and UDP por

19、t 138. NT 安全配置檢查表 賬號(hào)與口令策略設(shè)置 口令安全策略:有效期、最小長(zhǎng)度、字符選擇 賬號(hào)登錄失敗n次鎖定 關(guān)閉缺省賬號(hào)，guest, Administrator目錄用戶最大訪問(wèn)權(quán)限C:Administrators, systemothersFull ControlRead onlyC:tempEveryoneaddC:winntprofilesUserFull 文件系統(tǒng)與共享系統(tǒng)分區(qū)的權(quán)限設(shè)置如果不想提供共享服務(wù)，關(guān)閉Server 、computer browser 服務(wù)確保共享的目錄分配了合適的訪問(wèn)權(quán)限重要文件的備份NT 安全配置檢查表 注冊(cè)表安全 不顯示上次登錄的用戶名 對(duì)普

20、通用戶隱藏shutdown 按鈕 限制遠(yuǎn)程注冊(cè)表瀏覽 限制軟驅(qū)和光驅(qū)的遠(yuǎn)程訪問(wèn) 審計(jì)功能 三個(gè)方面的操作審計(jì)，缺省是關(guān)閉的 用戶：logon /log off, restart , shutdown 文件和目錄：讀、寫、執(zhí)行、刪除、改變權(quán)限 注冊(cè)表的修改Unix安全 配置檢查表 相應(yīng)版本的所有補(bǔ)丁 賬號(hào)與口令 關(guān)閉缺省賬號(hào)和口令：lp, shutdown等 shadow passwd 用crack /john等密碼破解工具猜測(cè)口令 （配置一次性口令） 網(wǎng)絡(luò)服務(wù)的配置： /etc/inetd.conf, /etc/rc.d/* TFTP 服務(wù) get /etc/passwd 匿名ftp的配置 關(guān)

21、閉rsh/rlogin/rexec 服務(wù) 關(guān)閉不必要的 rpc 服務(wù) 安裝sshd， 關(guān)閉telnet 。 NFS export Unix安全 配置檢查表 環(huán)境設(shè)置 路徑，掩碼（ umask） 審計(jì)與記賬功能 有效的工具 tripware COPS tcpwrapper satan路由器安全配置檢查表 認(rèn)證口令管理 使用enable secret , 而不用enable password TACACS/TACACS+, RADIUS, Kerberos 認(rèn)證 控制交互式訪問(wèn) 控制臺(tái)的訪問(wèn)：可以越過(guò)口令限制； 遠(yuǎn)程訪問(wèn)telnet, rlogin, ssh, LAT, MOP, X.29, Mo

22、dem 虛擬終端口令保護(hù)：vty, tty ：login ， no password 只接收特定協(xié)議的訪問(wèn)，如transport input ssh 設(shè)置允許訪問(wèn)的地址：ip access-class 超時(shí)退出：exec-timeout 登錄提示：banner login路由器安全配置檢查表 網(wǎng)絡(luò)管理 SNMPv1:修改缺省的community name community name, snmp-server community SNMPv2 :基于Keyed-MD5的認(rèn)證方式 snmp-server party Digest Authentication HTTP: 限制管理站點(diǎn)地址、配置認(rèn)

23、證方式 ip http access-class , ip http authentication , TACACS/RADIUS 防止竊聽(tīng) 加密管理協(xié)議：ssh 登錄, SNMPv2的管理協(xié)議 一次性口令（OTP）： SecureID/Token, S/Key IPSec 封裝所有管理協(xié)議: telnet , SNMP，HTTP路由器安全配置檢查表 關(guān)閉沒(méi)有必要的服務(wù) small TCPno service tcp-small-servers: echo / chargen / discard finger, ntp 鄰機(jī)發(fā)現(xiàn)服務(wù)（cdp） 審計(jì) SNMP 認(rèn)證失敗信息，與路由器連接信息：

24、Trap 系統(tǒng)操作日志：system logging: console, Unix syslogd, 違反訪問(wèn)控制鏈表的流量 操作系統(tǒng)更新 路由器IOS 與其他操作系統(tǒng)一樣也有BUG利用路由器保護(hù)網(wǎng)絡(luò)安全 訪問(wèn)控制鏈表 基于源地址/目標(biāo)地址/協(xié)議端口號(hào) 路徑的完整性 防止IP假冒和拒絕服務(wù)（Anti-spoofing/DDOS） 檢查源地址： ip verify unicast reverse-path 過(guò)濾RFC1918 地址空間的所有IP包； 關(guān)閉源路由： no ip source-route 路由協(xié)議的過(guò)濾與認(rèn)證 Flood 管理利用QoS的特征防止Floodinterface xyz

25、rate-limit output access-group 2020 3000000 512000 786000 conform-action transmit exceed-action drop access-list 2020 permit icmp any any echo-reply利用路由器防止DoS的攻擊Stub ADTransit AD/16eth0eth1access-list 101 permit ip 55 any access-list 101 deny ip any anyinterface eth0i

26、p access-group 101 inaccess-list 110 deny ip 55 any access-list 110 deny ip 55 any access-list 110 deny ip 55 anyaccess-list 110 permit ip any anyinterface ether 1ip access-group 110 inip verify unicast reverse-pathTransit ADeth0access-list 1

27、01 deny ip 55 anyaccess-list 101 permit ip any anyaccess-list 102 permit ip 55 anyaccess-list 102 deny ip any anyinterface eth0ip access-group 101 inip access-group 102 out怎樣檢測(cè)系統(tǒng)入侵 察看登錄用戶和活動(dòng)進(jìn)程 w, who, finger ,last 命令 ps , crash 尋找入侵的痕跡 last, lastcomm, netsta

28、t, lsof, /var/log/syslog，/var/adm/messages, /.history 查找最近被修改的文件 ：find 檢測(cè)sniffer 程序 ifconfig, cpm 有用的工具 tripware,cops, cpm, tcpdump,怎樣從被攻破的系統(tǒng)中恢復(fù) 重新獲得控制權(quán) 從網(wǎng)絡(luò)中斷開(kāi) 備份被攻破的系統(tǒng)鏡像 分析入侵 尋找被修改的程序或配置文件 # find / ( -perm -004000 -o -perm -002000 ) -type f -print 尋找被修改的數(shù)據(jù)，如web pages, 尋找入侵者留下的工具和數(shù)據(jù) sniffer, Trojan

29、Horses, backdoor 檢查日志文件 messages, xferlog,utmp,wtmp, /.history 怎樣從被攻破的系統(tǒng)中恢復(fù) 尋找sniffer: cpm, ifstatus /advisories/CA-work.monitoring.attacks.html 檢查其他的系統(tǒng)是否也被入侵 與相關(guān)的IRT聯(lián)系 報(bào)告, 申請(qǐng)?jiān)⒄{(diào)查 通知相關(guān)站點(diǎn) 恢復(fù) 安裝一份干凈的操作系統(tǒng) 關(guān)掉所有不必要的服務(wù) 安裝所有的補(bǔ)丁怎樣從被攻破的系統(tǒng)中恢復(fù) 查閱IRT相關(guān)的公告 謹(jǐn)慎使用數(shù)據(jù)備份 修改所有用戶口令 提高系統(tǒng)的安全性 根據(jù)UNIX / N

30、T的安全配置指南文件檢查系統(tǒng)安全性 /tech_tips/unix_configuration_guidelines.html .au/Information/Auscert_info/Papers/win_configuration_guidelines.html 檢查工具與文檔 安裝安全工具 激活記賬功能 配置防火墻怎樣從被攻破的系統(tǒng)中恢復(fù) 重新連接到INTERNET 更新你的安全政策 記錄從事件中吸取的教訓(xùn) 計(jì)算損失 修改安全策略 網(wǎng)絡(luò)安全應(yīng)急響應(yīng)服務(wù)的背景 CCERT 運(yùn)行一年來(lái)的回顧 網(wǎng)絡(luò)和系統(tǒng)安全配置建議 CCERT建設(shè)計(jì)劃及展望 參考文獻(xiàn)內(nèi)容提要CERNET 安全 建設(shè)計(jì)劃安全事件診斷系統(tǒng)分布式入侵檢測(cè)系統(tǒng)CERNET-CERT 安全服務(wù)CERNET 會(huì)員安全事件處理系統(tǒng)研究與開(kāi)發(fā)研究與開(kāi)發(fā)脆弱性特征庫(kù)安全服務(wù)安全服務(wù)其他用戶風(fēng)險(xiǎn)評(píng)估應(yīng)急響應(yīng)教育與培訓(xùn)入侵檢測(cè)漏洞掃描安全公告技術(shù)咨詢協(xié)調(diào)與合作實(shí)驗(yàn)平臺(tái)攻擊特征庫(kù)CERNET 應(yīng)急響應(yīng)服務(wù)組織結(jié)構(gòu)CERNET-C