網(wǎng)絡(luò)安全事件應(yīng)急處置協(xié)同方法

郭建忠,孫建民,李明桂

(1.海軍裝備部駐西安地區(qū)軍事代表局,四川成都610041；2.海軍91917部隊(duì),北京100071；3.中國電子科技集團(tuán)公司第三十研究所,四川成都610041)

網(wǎng)絡(luò)安全事件應(yīng)急處置協(xié)同方法

郭建忠1,孫建民2,李明桂3

(1.海軍裝備部駐西安地區(qū)軍事代表局,四川成都610041；2.海軍91917部隊(duì),北京100071；3.中國電子科技集團(tuán)公司第三十研究所,四川成都610041)

網(wǎng)絡(luò)漏洞必然存在,網(wǎng)絡(luò)安全事件不可避免,應(yīng)急處置作為最后一道防線,是保障網(wǎng)絡(luò)信息可生存性的必要手段。現(xiàn)有的網(wǎng)絡(luò)攻擊應(yīng)急處置措施相對對立,缺乏整體協(xié)作能力,難以應(yīng)對日新月異的攻擊方式。針對當(dāng)前應(yīng)急處置體系的不足,提出了一種網(wǎng)絡(luò)事件應(yīng)急處置協(xié)同方法和體系,將相對獨(dú)立的應(yīng)急處置組件有機(jī)統(tǒng)一起來,并提供專家遠(yuǎn)程輔助決策能力,可以有效減少冗余信息,提高響應(yīng)能力,增強(qiáng)信息系統(tǒng)的安全性。

應(yīng)急處置 協(xié)同處置 安全事件

0 引 言

網(wǎng)絡(luò)高速發(fā)展的同時(shí),網(wǎng)絡(luò)攻擊手段和方法也層出不窮。目前,應(yīng)對網(wǎng)絡(luò)攻擊的技術(shù)主要有入侵檢測、防火墻、災(zāi)難恢復(fù)、蜜罐網(wǎng)、電子取證和安全審計(jì)等。在安全事件發(fā)生時(shí),各安全防御系統(tǒng)和設(shè)備會針對攻擊行為進(jìn)行應(yīng)急處置。然而,這些網(wǎng)絡(luò)攻擊防御手段和系統(tǒng)相互獨(dú)立、不成體系,不僅會帶來很多遺漏、錯(cuò)誤和冗余信息,更難以抵御大規(guī)模復(fù)雜網(wǎng)絡(luò)攻擊,并且,響應(yīng)技術(shù)的研究嚴(yán)重滯后于檢測技術(shù)[1]。在此背景下,應(yīng)急處置的協(xié)同技術(shù)成為一大研究熱點(diǎn)。

1 國內(nèi)外發(fā)展概況

應(yīng)急處置是指對突發(fā)安全事件進(jìn)行響應(yīng)、處理、恢復(fù)、跟蹤的方法及過程,其目的是為了保護(hù)關(guān)鍵網(wǎng)絡(luò)基礎(chǔ)設(shè)施免遭攻擊、降低網(wǎng)絡(luò)的脆弱性、縮短網(wǎng)絡(luò)攻擊發(fā)生后的破壞時(shí)間和恢復(fù)時(shí)間。

世界各國對應(yīng)急處置都十分重視。早在1988年11月,在Morris蠕蟲事件的驅(qū)動下,由美國國防部資助在Carnegie Mellon University(卡內(nèi)基·梅隆大學(xué))組建了全世界第一個(gè)完全意義上的應(yīng)急處置組織,后來發(fā)展為應(yīng)急處置協(xié)調(diào)中心CERT/CC (Computer Emergency Response Team/CoordinationCenter)[2]。到2003年8月為止,全球正式注冊的CERT已達(dá)188個(gè)。這些應(yīng)急處置組織不僅為各自地區(qū)和所屬行業(yè)提供計(jì)算機(jī)和互聯(lián)網(wǎng)安全事件的緊急響應(yīng)處理服務(wù),還經(jīng)常互相溝通和交流,形成了一個(gè)專業(yè)領(lǐng)域。1996年8月,美空軍成立了計(jì)算機(jī)應(yīng)急反應(yīng)分隊(duì),即空軍60信息戰(zhàn)中隊(duì),同時(shí),美空軍還成立了計(jì)算機(jī)應(yīng)急小組,長期保持10至25人的工作人員,并能在兩小時(shí)內(nèi)額外增派人員幫助修復(fù)網(wǎng)絡(luò)。此外,美國陸軍、海軍也都設(shè)有響應(yīng)的計(jì)算機(jī)應(yīng)急反應(yīng)分隊(duì)和自動系統(tǒng)安全應(yīng)急支援分隊(duì)。除應(yīng)急處置協(xié)調(diào)中心CERT/CC外,美國還成立了計(jì)算機(jī)安全資源中心(CSRC,Computer Security Resource Center)和計(jì)算機(jī)事故咨詢委員會(CIAC,Computer Incident Advisory Capability)。計(jì)算機(jī)安全資源中心CSRC是隸屬美國商務(wù)部的技術(shù)管理機(jī)構(gòu)NIST(National Institute of Standard and Technology,美國國家標(biāo)準(zhǔn)和技術(shù)協(xié)會)的信息技術(shù)實(shí)驗(yàn)室的8個(gè)部門之一,其主要職能包括:提高信息系統(tǒng)的安全,提高對抗IT風(fēng)險(xiǎn)、脆弱性的意識；為政府有關(guān)機(jī)構(gòu)提供關(guān)于IT脆弱性的建議,并為美國政府開發(fā)有效的保護(hù)安全和隱私的技術(shù)；發(fā)展標(biāo)準(zhǔn)、機(jī)制、檢測和評估方法,促進(jìn)、測試和評估系統(tǒng)安全和服務(wù),教育消費(fèi)者,為美國政府系統(tǒng)建立必需的最低安全要求；發(fā)展工作指導(dǎo)準(zhǔn)則,以提高IT安全的計(jì)劃、執(zhí)行、管理和運(yùn)營。計(jì)算機(jī)事故咨詢委員會CIAC是美國GFIRST (Government Forum of Incident Responders and Security Teams,政府事故響應(yīng)和安全小組)的發(fā)起成員之一,自1989年起,與其他計(jì)算機(jī)安全支持部門一起,為美國能源部提供安全事故響應(yīng)、匯報(bào)和跟蹤了解。

近年來,美國政府和美軍為進(jìn)一步提高其網(wǎng)絡(luò)安全系統(tǒng)的協(xié)同處置能力,在此方面進(jìn)行了積極的研究和實(shí)踐。2006年,美國國土安全部頒布的《國家基礎(chǔ)設(shè)施保護(hù)計(jì)劃》把增強(qiáng)國家在攻擊事件發(fā)生情況下的實(shí)時(shí)響應(yīng)作為重點(diǎn),在安全需求中強(qiáng)調(diào)檢測響應(yīng)能力、分布式安全能力和能夠使用多域網(wǎng)絡(luò)具有域間協(xié)作能力。同年,美國國土安全部舉行了“網(wǎng)絡(luò)風(fēng)暴Ⅰ”演習(xí)；2008年3月,美國國土部舉行了網(wǎng)絡(luò)安全演習(xí)“網(wǎng)絡(luò)風(fēng)暴Ⅱ”；2010年9月底,美國國土安全部舉行了代號為“網(wǎng)絡(luò)風(fēng)暴Ⅲ”的大規(guī)模網(wǎng)絡(luò)攻擊應(yīng)對演習(xí),這次演習(xí)規(guī)模較前兩次進(jìn)一步增大,跨越5個(gè)盟國、9個(gè)州、40家公司,其目的就在于檢驗(yàn)美國重要部門在遭大規(guī)模網(wǎng)絡(luò)攻擊時(shí)的有效的事件反映能力和應(yīng)急協(xié)同處置能力。

在國內(nèi),我國政府制定了一系列基本的管理辦法,并于2001年8月重新組建國家信息化領(lǐng)導(dǎo)小組,以適應(yīng)信息安全和網(wǎng)絡(luò)安全的發(fā)展形勢。2000年10月,我國成立了計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(簡稱CNCERT/CC),在信息產(chǎn)業(yè)部直接領(lǐng)導(dǎo)下,負(fù)責(zé)協(xié)調(diào)我國各計(jì)算機(jī)網(wǎng)絡(luò)安全事件應(yīng)急小組(CERT)共同處理國家公共互聯(lián)網(wǎng)上的安全緊急事件,為國家公共互聯(lián)網(wǎng)、國家主要網(wǎng)絡(luò)信息應(yīng)用系統(tǒng)以及為關(guān)鍵部門提供計(jì)算機(jī)網(wǎng)絡(luò)安全的監(jiān)測、預(yù)警、應(yīng)急、防范等安全服務(wù)和技術(shù)支持,及時(shí)收集、核實(shí)、匯總、發(fā)布有關(guān)互聯(lián)網(wǎng)安全的權(quán)威性信息,組織國內(nèi)計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)急組織進(jìn)行國際合作和交流的組織。除此之外,我國在軍民信息安全和應(yīng)急處置方面做出了不懈努力并取得了一系列成果,但與國外相比,還僅處于起步階段,尤其在應(yīng)急處置協(xié)同方面與國外先進(jìn)水平相比還有一定的差距。

2 應(yīng)急處置協(xié)同

協(xié)同有三層含義:組織間的協(xié)作,功能上的統(tǒng)一,網(wǎng)絡(luò)安全策略上的聯(lián)合。應(yīng)急處置的協(xié)同是為了解決應(yīng)急處置組織受地理限制與Internet地理無關(guān)的矛盾、應(yīng)對安全事件時(shí)應(yīng)急處置組件間缺乏有效的合作的被動局面而提出的新技術(shù)[3]。文中立足于充分協(xié)調(diào)分散、獨(dú)立的網(wǎng)絡(luò)攻擊防御單元協(xié)同應(yīng)對網(wǎng)絡(luò)安全事件,以應(yīng)急處置任務(wù)為著眼點(diǎn),提出了一種網(wǎng)絡(luò)攻擊應(yīng)急處置協(xié)同方法和體系。

2.1 體系架構(gòu)

應(yīng)急處置協(xié)同體系主要包括應(yīng)急處置協(xié)同控制管理平臺、共享數(shù)據(jù)庫管理服務(wù)模塊和各個(gè)網(wǎng)絡(luò)攻擊防御單元等,其體系架構(gòu)如圖1所示。

把圖1所示參與到應(yīng)急處置協(xié)同任務(wù)中的各網(wǎng)絡(luò)攻擊防御單元均定義為協(xié)同處置單元。

應(yīng)急處置協(xié)同控制管理平臺是一種基于響應(yīng)任務(wù)的分布式應(yīng)用平臺,對任務(wù)的時(shí)間、精度和可靠性等方面有著極高的要求。因此,應(yīng)急處置協(xié)同控制管理平臺采取發(fā)布/訂閱機(jī)制以滿足3R(Right-mission、Right-time、Right-place)要求,即在合適的時(shí)間發(fā)布合適的任務(wù)到合適的地點(diǎn),此舉還能有效避免平臺瓶頸、單點(diǎn)失效和帶寬利用率低等問題。

由圖1中可見,應(yīng)急處置協(xié)同控制管理平臺采用面向服務(wù)架構(gòu)(SOA),使應(yīng)急處置能力服務(wù)化,能為各協(xié)同處置單元提供相應(yīng)的所需服務(wù),采取這種機(jī)制能夠很好的適應(yīng)全球信息柵格化(GIG)的發(fā)展趨勢,使得各協(xié)同處置單元具有很好的自組織的靈活性[4]。應(yīng)急處置協(xié)同控制管理平臺提供了協(xié)同交互、基礎(chǔ)知識庫、響應(yīng)任務(wù)機(jī)制、數(shù)據(jù)轉(zhuǎn)換等四種服務(wù),并且將這四種服務(wù)打包成應(yīng)急處置能力包,形成匯總性的服務(wù),進(jìn)行發(fā)布推送給各協(xié)同處置單元,各協(xié)同處置單元之間的交互就是通過協(xié)同處置能力包實(shí)現(xiàn)的。

圖1 協(xié)同處置體系架構(gòu)Fig.1 Architecture of collaborative response

應(yīng)急處置協(xié)同控制管理平臺和各網(wǎng)絡(luò)攻擊防御單元等協(xié)同處置單元之間是通過安全信息共享數(shù)據(jù)庫管理模塊進(jìn)行身份認(rèn)證后相互交互的。共享數(shù)據(jù)庫模塊主要提供身份認(rèn)證、授權(quán)訪問、身份管理等基礎(chǔ)安全服務(wù),各協(xié)同處置單元都必需經(jīng)身份認(rèn)證,獲得授權(quán)后方可參與應(yīng)急處置協(xié)同任務(wù)中,同時(shí),還為各協(xié)同處置單元之間各種信息數(shù)據(jù)以及任務(wù)信息的傳輸提供端到端的安全保密服務(wù)[5]。

網(wǎng)絡(luò)攻擊防御單元,如安全設(shè)備、網(wǎng)絡(luò)設(shè)備、容災(zāi)設(shè)備、虛擬存儲等,在此體系中作為協(xié)同處置單元,提供基礎(chǔ)的應(yīng)急處置能力,服從協(xié)同控制管理平臺的統(tǒng)一調(diào)度,各單元通過分別部署于其上的Agent實(shí)現(xiàn)與共享數(shù)據(jù)庫管理模塊的安全交互。

2.2 應(yīng)急處置能力包

應(yīng)急處置協(xié)同控制管理平臺采用基于面向服務(wù)架構(gòu)(SOA),將孤立的應(yīng)急處置協(xié)同平臺及新的能力需求改造為服務(wù),并以能力包的形式封裝起來。此舉有利于依據(jù)響應(yīng)任務(wù)的需要,動態(tài)集成所需的協(xié)同處置能力包,因而能夠更好地適應(yīng)安全事件的協(xié)同處置的需求。

協(xié)同處置能力包是由協(xié)同交互服務(wù)、任務(wù)相關(guān)服務(wù)、基礎(chǔ)知識庫服務(wù)、數(shù)據(jù)轉(zhuǎn)換服務(wù)等打包而成的能力包,應(yīng)急處置控制指揮人員和平臺之間、協(xié)同處置單元和平臺之間以及各協(xié)同處置單元之間都是通過應(yīng)急處置能力包服務(wù)進(jìn)行任務(wù)信息和資源數(shù)據(jù)共享的。協(xié)同處置能力包的功能結(jié)構(gòu)如圖2所示。

圖2 協(xié)同處置能力包Fig.2 Collaborative response package

其中,

1)協(xié)同交互服務(wù)。該服務(wù)主要提供遠(yuǎn)程協(xié)同功能,為協(xié)同決策者提供多媒體(文本、語音、視頻)交互通道,以達(dá)到網(wǎng)絡(luò)世界和現(xiàn)實(shí)世界的自然結(jié)合。

2)任務(wù)相關(guān)服務(wù)。該服務(wù)采取統(tǒng)一的、格式化的方法對應(yīng)急處置任務(wù)進(jìn)行詳細(xì)描述,并提供對應(yīng)急處置任務(wù)的發(fā)布、推送、反饋分析以及高速檢索功能。

3)基礎(chǔ)知識庫服務(wù)。該服務(wù)為協(xié)同處置決策提供應(yīng)急處置知識庫、案例庫、方法庫、任務(wù)庫等基礎(chǔ)資源服務(wù),以便決策者能制定滿足3R需求的應(yīng)急處置任務(wù),以實(shí)時(shí)阻止、阻斷相應(yīng)的網(wǎng)絡(luò)攻擊。

4)數(shù)據(jù)轉(zhuǎn)換服務(wù)。該服務(wù)主要對不同類型信息的數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析,形成統(tǒng)一認(rèn)知的數(shù)據(jù)類型,便于信息交互。

在安全事件發(fā)生時(shí),協(xié)同控制管理平臺中的遠(yuǎn)程協(xié)同平臺能夠在第一時(shí)間為分散于不同地域的遠(yuǎn)程決策者提供文本、語音、視頻等多媒體通道以進(jìn)行協(xié)同交互,并結(jié)合基礎(chǔ)知識庫進(jìn)行決策,得出最優(yōu)應(yīng)急處置方案、生成應(yīng)急處置任務(wù)。與此同時(shí),協(xié)同控制管理平臺根據(jù)協(xié)同決策產(chǎn)生的響應(yīng)任務(wù)生成協(xié)同處置能力包,再將協(xié)同處置能力包通過共享數(shù)據(jù)庫管理平臺下發(fā)給各網(wǎng)絡(luò)攻擊防御單元。各協(xié)同處置單元在獲取并解析協(xié)同處置能力包后,提取出各自所需的服務(wù)信息執(zhí)行協(xié)同應(yīng)急處置操作[6]。

2.3 協(xié)同決策

在實(shí)際環(huán)境中,協(xié)同處置過程往往需要“人”的參與,即需要專家意見進(jìn)行輔助決策。因此,協(xié)同處置服務(wù)采用多專家以多種通道協(xié)同決策的層次化分布式遠(yuǎn)程協(xié)同交互機(jī)制,該機(jī)制再結(jié)合應(yīng)急處置基礎(chǔ)知識庫共同決策,最終得出最優(yōu)應(yīng)急處置協(xié)同任務(wù)。

協(xié)同交互服務(wù)主要通過遠(yuǎn)程協(xié)同決策平臺、多媒體通道和遠(yuǎn)程協(xié)同決策界面之間的共同協(xié)作完成。協(xié)同決策過程如圖3所示。

圖3 協(xié)同決策過程Fig.3 Collaborative decision process

智能代理是獨(dú)立運(yùn)行在不同終端上的知識源,遠(yuǎn)程協(xié)同決策平臺對其采取分布式控制策略。分布式控制通過閱讀器、書寫器、通信引擎來實(shí)現(xiàn)。閱讀器將共享白板上發(fā)生的變化發(fā)送給有關(guān)知識源,書寫器接收知識源傳送來的執(zhí)行結(jié)果并完成寫共享白板操作,通信引擎負(fù)責(zé)共享白板與知識源的知識與信息交換。

協(xié)同決策需要分散于不同地理域的多位專家共同參與。遠(yuǎn)程交互采用智能代理技術(shù)實(shí)現(xiàn),智能代理可以支持文本、語音、視頻等多種通信方式,能夠允許用戶選擇自己想要的方便的通信方式進(jìn)行實(shí)時(shí)的在線協(xié)同。各個(gè)智能代理利用其專門知識為參與決策的專家個(gè)體提供直接幫助,同時(shí)通過共享白板來共享決策目標(biāo)、數(shù)據(jù)、知識與解,協(xié)調(diào)分布式問題求解行為。

2.4 基于Agent的安全交互

從圖1中可以看出,安全管理系統(tǒng)、網(wǎng)絡(luò)管理系統(tǒng)、容災(zāi)管理系統(tǒng)、虛擬存儲管理系統(tǒng)等協(xié)同處置單元與協(xié)同控制管理平臺、各協(xié)同處置單元之間的通信也需要通過共享數(shù)據(jù)庫管理模塊進(jìn)行,也就是說,協(xié)同處置單元的通信數(shù)據(jù)都必須經(jīng)過共享數(shù)據(jù)庫管理模塊。因此,保證各協(xié)同處置單元與共享數(shù)據(jù)庫管理模塊之間交互數(shù)據(jù)的安全至關(guān)重要,這一點(diǎn)正是通過部署于各協(xié)同處置單元中的Agent實(shí)現(xiàn)的。

各協(xié)同處置單元與共享數(shù)據(jù)庫管理模塊之間的通信以共享數(shù)據(jù)庫管理模塊為控制中心,其功能包括身份認(rèn)證、授權(quán)管理、密鑰分發(fā)、算法選擇等。同時(shí),共享數(shù)據(jù)庫管理模塊也是整個(gè)體系的安全中心,為各信息的傳輸和協(xié)同處置的認(rèn)證提供最基本的安全保障。其功能結(jié)構(gòu)如圖4所示。

圖4 共享數(shù)據(jù)庫管理模塊提供的安全機(jī)制Fig.4 Security strategy of shared database management

從圖4中可以看出,應(yīng)急處置協(xié)同機(jī)制主要調(diào)用底層提供的一系列安全措施,包括安全服務(wù)中心,安全基礎(chǔ)設(shè)施,密碼基礎(chǔ)服務(wù)等。協(xié)同決策人員、應(yīng)急處置人員以及各協(xié)同處置單元在進(jìn)行應(yīng)急處置措施之前需到安全服務(wù)中心進(jìn)行認(rèn)證注冊,獲得授權(quán)后才能參與應(yīng)急處置任務(wù)中。安全基礎(chǔ)設(shè)施提供身份管理和授權(quán)管理,便于以后執(zhí)行應(yīng)急處置任務(wù)時(shí)調(diào)用。密碼基礎(chǔ)設(shè)施主要為應(yīng)急處置人執(zhí)行過程中各種安全數(shù)據(jù)、安全信息以及應(yīng)急處置任務(wù)的傳輸提供加密措施,提供端到端的安全保密服務(wù)。

Agent在每個(gè)協(xié)同處置單元必須且只能運(yùn)行一個(gè),其作用是對交互數(shù)據(jù)作加解密處理。每個(gè)代理開放一個(gè)服務(wù)器端口,這樣每個(gè)協(xié)同處置單元只有一個(gè)端口開放,從而最大限度地減少了這些基礎(chǔ)網(wǎng)絡(luò)攻擊防御單元被攻擊的可能。出于安全性考慮,在以下兩種情況下連接會被關(guān)閉:其中任何一方要求關(guān)閉；在規(guī)定的時(shí)間(如3 s)內(nèi)雙方?jīng)]有進(jìn)行通信[7]。

3 結(jié) 語

文中提出了一種網(wǎng)絡(luò)攻擊應(yīng)急處置協(xié)同方法和體系。該體系架構(gòu)采用了基于SOA的體系架構(gòu)思想,遠(yuǎn)程決策能力,并且能依據(jù)響應(yīng)任務(wù)的需要動態(tài)集成所需的應(yīng)急處置能力包,以協(xié)同處置能力包作為協(xié)同處置任務(wù)的載體對全局協(xié)同處置單元進(jìn)行統(tǒng)一調(diào)度。此外,將發(fā)布/訂閱機(jī)制以中間件的方式應(yīng)用于應(yīng)急處置協(xié)同體系中,利用其提供的豐富的QoS策略很好地滿足了3R要求,同時(shí)有效避免了系統(tǒng)瓶頸、單點(diǎn)失效和帶寬低利用率等問題。應(yīng)急處置協(xié)同體系十分復(fù)雜,文中提出的僅是一個(gè)初步模型,涉及其概念、結(jié)構(gòu)、功能、關(guān)鍵技術(shù)等內(nèi)容。協(xié)同體系的建設(shè)是一項(xiàng)復(fù)雜的系統(tǒng)工程,在以下方面有待進(jìn)一步研究:協(xié)同處置任務(wù)的標(biāo)準(zhǔn)化描述格式,協(xié)同處置生命周期的可視化,服務(wù)的動態(tài)配置,實(shí)時(shí)SOA的實(shí)現(xiàn)等。

[1] 謝麗霞,李學(xué)菲,楊宏宇.網(wǎng)絡(luò)安全組件間協(xié)同響應(yīng)機(jī)制研究[J].計(jì)算機(jī)應(yīng)用,2010(06):1475-1479.

XIE Li-xia,LI Xue-fei,YANG Hong-yu.Study on Collaborative Response Mechanism among Network Security Components[J].Computer Applications,2010(06): 1475-1479.

[2] 陳錦華.計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急響應(yīng)研究[J].計(jì)算機(jī)安全, 2007(12):50-52.

CHEN Jin-hua.Study on Computer Network Emergency Response[J].Computer Security,2007(12):50-52.

[3] 劉旭勇.基于協(xié)同的網(wǎng)絡(luò)安全防御系統(tǒng)研究[J].計(jì)算技術(shù)與自動化,2012(02):142-144.

LIU Xu-yong.Study on Collaboration Based Network Security Defense System[J].ComputingTechnology and Automation,2012(02):142-144.

[4] 秦晉平,劉尚麟,黎珂.云中心GIG目標(biāo)技術(shù)架構(gòu)研究[J].通信技術(shù),2012,45(12):63-65.

QIN Jin-ping,LIU Shang-lin,LI Ke.Research on GIG Target Technology Architecture in Cloud Center[J]. Communications Technology,2012,45(12):63-65.

[5] MEYER T,MUETHING J,LIMA G.Decision Support System Interface Design for Radiological Emergency Response Coordination in Brazil[C]//Systems and Information Engineering Design Symposium(SIEDS).Charlottesville:University of Virginia,2011:146-151.

[6] SHEN S,SHAW M.Managing Coordination in EmergencyResponseSystemswithInformationTechnologies [C]//AmericasConferenceonInformationSystems (AMCIS).New York:University of Illinois at Urbana-Champaign,2004:252-255.

[7] 王文奇,李偉華,史興健,等.基于Agent的網(wǎng)絡(luò)安全系統(tǒng)協(xié)同控制研究[J].計(jì)算機(jī)應(yīng)用,2005(10):2280-2282.

WANG Wen-qi,LI Wei-hua,SHI Xing-jian,et al.Study on Agent-based Cooperative Control Network Security System[J].Computer Applications,2005(10):2280-2282.

GUO Jian-zhong(1979-),male,M. Sci.,engineer,majoring in missile engine.

孫建民(1971—),男,學(xué)士,工程師,主要研究方向?yàn)闊o線通信；

SUN Jian-min(1971-),male,B.Sci.,engineer,mainly engaged in wireless communication.

李明桂(1989—),男,碩士研究生,主要研究方向?yàn)樾畔踩?/p>

LI Ming-gui(1989-),male,graduate student,majoring in information security.

An Events-Oriented Collaborative Approach to Emergency Response

GUO Jian-zhong1,SUN Jian-min2,LI Ming-gui3
(1.Military Representative Office of Navy Equipment Department in Xi′an District,Xi′an Shaanxi 610041,China；2.Naval Unit 91917 of PLA,Beijing 100071,China；3.No.30 Institute of CETC,Chengdu Sichuan 610041,China)

Network vulnerabilities always exist,so do attack events.However,the existing emergency response measures are relatively independent and have poor integral collaboration,thus are difficult to cope with the ever-changing attacks.As the last line of defense,emergency response is a necessary means to ensure the network information survivability.Aiming at the current problems existing in the emergency response system,this paper proposes an events-oriented collaborative approach to network emergency response.It organically combines all independent and sporadic system components,and provides remote expert assistance.Consequently,the new collaborative approach presented in this paper could effectively reduce redundant information,enhance defense capability,and improve information systems security.

emergency response；collaborative response；security event

TP309

A

1002-0802(2014)03-0319-05

10.3969/j.issn.1002-0802.2014.03.017

郭建忠(1979—),男,碩士,工程師,主要研究方向?yàn)閷?dǎo)彈發(fā)動機(jī)；