CERT机构的现状

　　随着Internet的发展，规范网络运行、保护网络安全已是校园网一项迫在眉睫的任务，构建一支高效运转的校园网应急响应队伍势在必行。

　　从网络安全的本质来看，保障一个网络系统的正常运行，必须全面了解网络运行状况，准确把握网络中存在的风险，及时发现并处理安全隐患，及时处理各类安全事件。而校园网应急响应组，就要致力于全方位解决网络安全问题，确保校园网的正常运行。

　　现在许多组织都有了CERT/CC，比如中国国家计算机网络应急技术处理协调中心CNCERT/CC等等。1999年9月，中国教育和科研计算机网应急响应组开始正式提供服务，对中国教育和科研计算机网及会员单位的网络安全事件提供快速响应或技术支持服务，也为社会上其他网络用户提供与安全事件响应相关的咨询服务。

　　目前，CCERT的应急响应体系已经发展成一个包括30多个单位、覆盖全国的应急响应组织，在历次安全事件的处理过程中，形成了默契的合作精神和有效的通信机制。清华大学、北京大学、浙江大学、上海交通大学等高校纷纷建立了自己的校园网应急响应组，为校园网络系统提供安全监测、预警、防范等安全服务和技术支持，发布与校园网络安全相关的公告，并对网络用户提供安全事件响应的咨询服务及与计算机安全相关的基础知识培训。

　　主要职能

　　CERT组织的主要职能是：对计算机网络系统的安全事件(比如病毒感染、黑客入侵事件、网络恶意攻击事件等)进行紧急反应和快速恢复，对影响系统和网络安全的漏洞及其补救措施进行通报，对特定的系统和网络安全风险进行评估等。

　　校园网应急响应组是指校园网内的网络安全应急响应体系的总称，在校园网内行使CERT的职能，如对校园网内的各接入单位和用户提供网络安全事件的快速响应或技术支持服务，也对校园网内的各接入单位及用户提供安全事件响应相关的咨询服务。

　　它的主要职能主要包括以下几个方面。

　　服务职能

　　应急响应组对校园网络安全和计算机系统安全进行监测评估以及预警处理，接受校内计算机网络安全事件报告，并提供快速响应和技术支持，同时也对校外网络用户提供力所能及的咨询服务和培训。校园网本身和接入校园网的教学、科研、学生宿舍等用户是它的主要服务对象。

　　它的服务内容主要包括以下几个方面。

　　1.制定和实施校园网安全政策及网络安全突发事件应急响应预案。一套行之有效的安全政策和应急预案，可以为有效应对突发事件，妥善处置紧急情况，最大限度减少意外事故带来的损失提供有力保障，使校园网具备应急响应能力。

　　网络安全突发事件应急预案的建立是一项系统的工程，它包括应急事件的分类分级、组织机构、预测与预警、信息报告、先期处置、应急响应、善后处理、调查与评估、恢复与重建等一系列思考和部署。它是全校处置计算机网络事件应急准备和响应的工作依据。

　　预案制定后，还要定期组织开展演练，以增强应急处置工作的实战能力，并根据实际情况的变化，及时修订、完善预案。

　　2.监测网络运行日常状态，及时通告网络安全的发展事态，及时发布安全公告、安全建议和安全警报。一般的安全问题，发布安全公告；当出现最严重的安全问题时，则以安全警报的形式发布。

　　3.及时热线响应。如果网络受到攻击者入侵、病毒感染或者发生了其他安全事件，可以通过电子邮件、热线电话等向CERT报告，CERT根据事件的紧急程度提供相应的帮助、建议与救援。

　　4.咨询。通过电话、网站论坛等形式解决用户安全方面的求助。

　　5.风险评估。CERT定期对网内用户进行风险评估，以便及时发现网络和系统中存在的安全隐患。校园网系统安全程度不能由提供该系统的系统集成商自己评定，而必须由CERT依据风险评估标准客观地进行评价。要把信息安全风险评估作为一种制度，定期或不定期地对系统的安全性进行检查和评价，并据此对暴露出来的问题和存在的安全隐患进行整改或补救。

　　安全研究职能

　　目前，校园网信息安全面临比以往更多的挑战：安全事件数量不断增多，新的攻击手段层出不穷；另一方面，攻击和防御之间呈现显著的不对称性：攻击者只需要一台有漏洞的设备，而防御者则需要确保所有设备的安全；开发工具越来越简单使攻击者由技术精英到普通学生，攻击成本不断降低，而防御成本则不断上升，防火墙、攻击检测、防病毒……一个都不能少。与事后响应相比，我们更需要事前的保障，努力变被动应付为主动防御。

　　CERT的主要研究内容包括：校园网常用网络攻击技术及防范研究；事故分析，以避免类似安全事件的发生；入侵检测，完成入侵的取证工作，用于将来的法律诉讼；网络安全管理研究、网络行为安全特征分析等。

　　宣传教育培训职能

　　无论设备怎么先进，网络结构如何优化，都不能忽视人的主观能动性。要对校园网用户进行安全知识的教育与网络安全技术培训，使其提高自我保护意识，自觉关注网络上最新的病毒和黑客攻击，在平时的学习、工作中积累经验，总结出自己的一套处理故障的方法。

　　学校计算机教材也需要在内容上作出修正。因为其侧重计算机的组成和应用软件的使用，但对网络和信息安全提及甚少，即使谈到网络安全也仅仅是简单介绍病毒的概念和种类，而计算机网络安全的重要性以及如何防范网络病毒等内容严重不足。

　　校园网应急响应组可以通过知识讲座、竞赛等多种形式提高师生的安全意识，让每个用户都具备一定的防护能力，这将极大地减少网络安全事件。

　　架构与运行机制

　　本文研究的校园网应急响应组是以南京航空航天大学(以下简称南航)网络信息中心为依托的一个公益性服务和研究组织，其从事网络安全技术的研究和非赢利性质的网络安全服务。该组织在建立初期，主要以网站形式面向校园网接入单位与用户提供服务，网站的信息全部针对网络安全并完全属于非赢利性质，希望校园网内的各接入单位与用户以网站为主要信息源，提高对网络安全的敏感度与责任感，共同为南航营造一个完善、快捷、方便、安全的网络环境。

　　校园网应急响应组一般是依托学校网络信息中心组建，主要是通过Web网站的形式运作，面向校园网接入单位与用户提供服务。Web网站的信息结构体系分为病毒防杀、垃圾邮件、系统补丁、安全漏洞、安全工具、安全文献、新闻公告、CERT资源链接等几大块。

　　参考国内外现有的CERT/CC的组织架构与实际运行情况，南航校园网应急响应组大体包括3个工作小组，其组织架构与运行机制。

　　其中各工作小组主要职能包括以下几个方面。

　　事件处理组：负责安全事件的应急与救援、事件的分析、安全警报的发布等。

　　技术研发组：寻求安全漏洞的解决方案，安全公告的发布，研发应急处理的信息发布与技术支持平台。

　　教育培训组：建立并培训应急处理服务队伍，通过各种形式提高全校师生的网络安全意识，增强自身防御能力。

　　总之，高校应急响应体系的建立是一个逐步完善的过程，它的建立使我们由被动变主动，可以防御网络安全事件的频发，最大程度地减少损失，为建设有序、健康、安全的网络环境提供有力保障。