信息安全应急响应体系建设课件.ppt

1、h1课程要点 什么是应急响应和应急响应体系 应急响应的六大阶段 应急预案的编制和管理 应急响应体系建立流程 典型应急响应体系建设案例h2基本概念安全事件（安全事件（Security AccidentSecurity Accident）而安全事件则是指影响一个系统正常工作的情况。这里的系统包括主机范畴内的问题，也包括网络范畴内的问题，例如黑客入侵、信息窃取、拒绝服务攻击、网络流量异常等。应急响应（应急响应（Emergency ResponseEmergency Response）是指组织为了应对突发/重大信息安全事件的发生所做的准备以及在事件发生后所采取的措施。h3基本概念应急响应应急响应体系体

2、系（Emergency Response SystemEmergency Response System）是指在突发/重大信息安全事件后对包括计算机运行在内的业务运行进行维持或恢复的各种技术和管理策略和规程。信息安全应急响应体系的制定是一个周而复始、持续改进的过程，包含以下几个阶段：（1）应急响应需求分析和应急响应策略的确定；（2）编制应急响应计划文档；（3）应急响应计划的测试、培训、演练和维护。h4应急响应目的 应急响应服务的目的是尽可能地减小和控制住网络安全事件的损失，提供有效的响应和恢复指导，并努力防止安全事件的发生。h5应急响应与应急响应体系的关系h6政策要求关于加强信息安全保障工作的

3、意见（中办发200327号文）指出：“信息安全保障工作的要点在于，实行信息安全等级保护制度，建设基于密码技术的网络信任体系，建设信息安全监控体系，重视信息安全应急处理工作重视信息安全应急处理工作，推动信息安全技术研发与产业发展，建设信息安全法制与标准”国家信息安全战略的近期目标：通过五年的努力，基本建成国家信息安全保障体系。h7政策要求为了落实27号文精神国家网络与信息安全协调小组办公室于2003年10月发布了网络与信息安全信息通报暂行办法、2004年9月发布了关于做好重要信息系统灾难备份工作的通知，2004年8月发布了关于建立健全基础信息网络和重要信息系统应急协调机制的意见等文件。这些文件对

4、推动灾难备份和应急响应的发展起到了重要作用。h8相关标准GB/T24364-2009信息安全技术信息安全应急响应计划规范GB/T20988-2007信息安全技术信息系统应急响应规范GB/Z20985-2007信息技术安全技术信息安全事件管理指南GB/Z20986-2007信息安全技术信息安全事件分类分级指南h9应急响应六阶段第一阶段：准备第一阶段：准备让我们严阵以待让我们严阵以待第二阶段：确认第二阶段：确认对情况综合判断对情况综合判断第三阶段：遏制第三阶段：遏制制止事态的扩大制止事态的扩大第四阶段：根除第四阶段：根除彻底的补救措施彻底的补救措施第五阶段：恢复第五阶段：恢复系统恢复常态系统恢复常

5、态第六阶段：跟踪第六阶段：跟踪还会有第二次吗还会有第二次吗h10第一阶段准备预防为主微观（一般观点）：帮助服务对象建立安全政策帮助服务对象按照安全政策配置安全设备和软件扫描，风险分析，打补丁如有条件且得到许可，建立监控设施宏观：建立协作体系和应急制度建立信息沟通渠道和通报机制如有条件，建立数据汇总分析的体系和能力有关法律法规的制定h11第一阶段准备制定应急响应计划资源准备应急经费筹集人力资源软硬件设备现场备份业务连续性保障系统容灾搭建临时业务系统h12人力资源准备 指挥调度人员 协作人员 技术人员 专家 设备、系统和服务提供商h13软硬件设备准备 硬件设备准备n数据保护设备 磁盘、磁带、光盘

6、SANn冗余设备 网络链路、网络设备 关键计算机设备 Anyelse?h14软硬件设备准备 软件工具准备 备份软件 日志处理软件 系统软件 网络软件 应急启动盘 Anyelse?病毒/恶意软件查杀软件h15建立事件报告的机制和要求建立事件报告流建立事件报告流程和规范程和规范h16第二阶段确认确定事件性质和处理人微观（负责具体网络的CERT）：确定事件的责任人指定一个责任人全权处理此事件给予必要的资源确定事件的性质误会？玩笑？还是恶意的攻击/入侵？影响的严重程度预计采用什么样的专用资源来修复？宏观（负责总体网络的CERT）：通过汇总，确定是否发生了全网的大规模事件确定应急等级，以决定启动哪一级应

7、急方案h17快速分析事故的标志 事故的标志分为两类：征兆和预兆 Web服务器崩溃 用户抱怨主机连接网络速度过慢 子邮件管理员可以看到大批的反弹电子邮件与可疑内容 网络管理员通告了一个不寻常的偏离典型的网络流量流向 来源 网络和主机IDS、防病毒软件、文件完整性检查软件 系统、网络、蜜罐日志 公开可利用的信息 第三方监视服务h18确认事故（1）确认网络和系统轮廓：分析事故的最好技术方法之一 理解正常的行为 基于处理事故的良好准备 使用集中的日志管理并创建日志保留策略 执行事件关联 保持所有主机时钟同步h19确认事故（2）维护和使用信息知识库 分析事故时的快速参考 使用互联网搜索引擎进行研究 运行

8、包嗅探器以搜集更多的数据 过滤数据 经验是不可替代的 建立诊断矩阵 寻求帮助h20诊断矩阵实例征兆征兆拒绝服务拒绝服务恶意代码恶意代码非授权访问非授权访问不正确使用不正确使用文件，关键，访问尝试低中高低文件，不适当的内容低中低高主机崩溃中中中低端口扫描，输入的，不正常的高低中低端口扫描，输出的，不正常的低高中低利用带宽高高中低中利用电子邮件中高中中h21事故优先级服务水平协议 服务水平协议（SLA）定义服务目标及双方的预期及责任 服务水平协议指标h22应急响应服务的指标 远程应急响应服务 在确认客户的应急响应请求后?小时内，交与相关应急响应人员进行处理。无论是否解决，进行处理的当天必须返回响应

9、情况的简报，直到此次响应服务结束。本地应急响应服务 对本地范围内的客户，？小时内到达现场；对异地的客户，？小时加路途时间内到达现场。h23应急响应SLA矩阵事故当前或将来可能影响的资源的重要性事故当前或将来可能影响的资源的重要性事故当前或将来可能的影响高（例如：互联网连接，公共Web服务器，防火墙，客户数据）中（例如：系统管理员工作站，文件和打印服务器，XYZ应用数据）低（例如：用户工作站）Root级访问15分钟30分钟1小时非授权的数据修改15分钟30分钟2小时对敏感信息的非授权访问15分钟1小时1小时非授权的用户级访问30分钟2小时4小时服务不可用30分钟2小时4小时骚扰30分钟不限不限h

10、24第三阶段遏制即时采取的行动微观：防止进一步的损失，确定后果初步分析，重点是确定适当的封锁方法咨询安全政策确定进一步操作的风险损失最小化（最快最简单的方式恢复系统的基本功能，例如备机启动）可列出若干选项，讲明各自的风险，由服务对象选择宏观：确保封锁方法对各网业务影响最小通过协调争取各网一致行动，实施隔离汇总数据，估算损失和隔离效果h25建立遏制策略 建议组织机构为几类主要的事故建立单独的遏制策略，其标准包括：潜在的破坏和资源的窃取 证据保留的需要 服务可用性（例如：网络连接，提供给外部当事方的服务）实施战略需要的时间和资源 战略的有效性（例如：部分遏制事故，完全遏制事故）解决方案的期限（例如

11、：紧急事故工作区需在4小时内清除，临时工作区需在两周内清除，永久的解决方案）。h26例：基于DDOS攻击的遏制策略1.基于攻击特征实施过滤。2.纠正正在被攻击的漏洞或弱点3.让ISP实施过滤4.重定位目标5.攻击攻击者6.设定证据保留时间h27第四阶段根除长期的补救措施微观：详细分析，确定原因，定义征兆分析漏洞加强防范消除原因修改安全政策宏观：加强宣传，公布危害性和解决办法，呼吁用户解决终端的问题；加强检测工作，发现和清理行业与重点部门的问题；h28第五阶段恢复微观：被攻击的系统恢复正常的工作状态作一个新的备份把所有安全上的变更作备份服务重新上线持续监控宏观：持续汇总分析，了解各网的运行情况根

12、据各网的运行情况判断隔离措施的有效性通过汇总分析的结果判断仍然受影响的终端的规模发现重要用户及时通报解决适当的时候解除封锁措施h29第六阶段跟踪关注系统恢复以后的安全状况，特别是曾经出问题的地方建立跟踪文档，规范记录跟踪结果对响应效果给出评估对进入司法程序的事件，进行进一步的调查，打击违法犯罪活动h30事件的归档与统计处理人时间和时段地点工作量事件的类型对事件的处置情况代价细节h31应急响应预案的制定 应急响应预案的包括的主要内容 确定风险场景 描述可能受到的业务影响 描述使用的预防性策略 描述应急响应策略 识别和排列关键应用系统 行动计划 团队和人员的职责 联络清单 所需资源配置h32应急响

13、应预案的制定 制定应急响应预案的原则 首先，必须集中管理应急响应预案的版本和发布。其次，为了建立有效的版本控制体系，必须建立规范的应急响应预案的问题提交、解决、更新、跟踪、发布的渠道和流程。第三，建立相关的保密管理规定，保证应急响应预案中涉及的秘密信息得到保护。第四，应急响应预案在内容管理方面应注意内容的分布和粒度，可根据版本和内容的更新频度将应急响应的内容进行适当的分布。第五，建立合理的应急响应预案的保管制度，强调存放的安全性和易取得性。h33应急响应预案的制定 清楚、简洁 高级管理层支持/组织承诺 不断改进和更新的恢复策略 及时的更新维护v 组织职责分工明确v 保留、备份和异地存储计划v

14、完整记录并定期演练v 风险得到管理v 弱点得到优先重视v 灵活、可适应v成功预案的特点h34应急响应预案的教育、培训和演练 在灾难来临前使相关人员了解熟悉恢复流程 使应急响应预案得到理解并可以使用 促进应急响应预案活动、更新、实用 展示恢复的能力 达到法律和内部审计要求h35演练与演习的类型 演练和演习的主要方式有：桌面演练；模拟演练；实战演练等 根据演练和演习的深度，可分为：系统级演练；应用级演练；业务级演练等 根据演练和演习的准备情况，可分为：计划内的演练和演习；计划外的演练和演习等参见应急演练脚本h36预案维护管理 核对预案的功能性 验证预案文档的精确性和完整性 分发更新的文档 文档计划

15、分发和发布流程 确保相关的团队收到更新的文档 依靠维护来改变管理流程 提供培训作为持续维护预案的一部分 为与应急响应的相关人员开展定期培训，如：复习进修课程或灾难备份研讨会 指派培训责任，如：部门经理要确保员工被送去参加培训 完成时报告预案维护情况 毁掉旧应急响应预案的复印件或电子版本。h37预案变更管理 业务操作的增长或变化 如：新的分支、产品和业务功能的增加 公司所有权的变化 关键人员的变化 硬件配置的变化 使用新操作系统 预案审核和演练后 软件/应用软件的变化 新的法律或审计要求 定期审核和更新如：每年两次h38应急预案变更记录变化记录变化记录页码页码变化备注变化备注变化日期变化日期签名

16、签名h39应急响应体系建设流程参见XXX应急体系_项目计划_080821_C1h40信息安全应急响应计划编制方法总则角色及职责预防和预警机制应急响应流程应急响应保障措施附件h41总则编制目的编制依据适应范围工作原则h42角色及职责应急响应领导小组应急响应技术保障小组应急响应专家小组应急响应实施小组应急响应日常运行小组h43预防和预警机制h44应急响应流程h45事件通告（1）信息通报信息通报分为组织内信息通报和组织外信息通报两部分。组织内信息通报的目的是在信息安全事件发生后迅速通知应急响应日常运行小组，并根据评估结果迅速通知所有相关人员，从而快速有序的实施应急响应计划。组织外信息通报目的是将相关

17、信息及时通报给受到负面影响的外部机构、互联的单位系统以及重要用户，同时根据应急响应的需要，应将相关信息准确通报给相关设备设施及服务提供商（包括电信、电力等）等外部组织，以获得适当的应急响应支持。值得注意的是对外信息通报应符合组织的对外信息发布策略。（2）信息上报信息安全事件发生后，应按照相关规定和要求，及时将情况上报相关主管或监管单位/部门。（3）信息披露信息发布的目的是避免信息安全事件影响被误传，同时规范组织内人员信息披露，保证信息的一致性。因此，信息安全事件发生后，应根据信息安全事件的严重程度，指定特定的小组及时向新闻媒体发布相关信息，并且指定的小组应严格按照组织相关规定和要求对外发布信息

18、，同时组织内其它部门或者个人不得随意接受新闻媒体采访或对外发表自己的看法。h46应急响应流程呼叫树h47呼叫树小组名称姓名在小组中的职位联络信息工作电话家庭电话手机电子邮件家庭地址h48信息上报重大信息安全事件报告表重大信息安全事件报告表报告时间：年 月 日 时 分单位名称：报告人：联系电话：通讯地址：传真：电子邮件：发生重大信息安全事件的信息系统名称及用途：负责部门：负责人：重大信息安全事件的简要描述（如以前出现过类似情况也应加以说明）：初步判定的事故原因：当前采取的措施：本次重大信息安全事件的初步影响状况：事件后果：影响范围：严重程度：值班电话：传真：h49事件分类与定级要确定信息安全事件

19、后如何实施应急响应计划，对系统损害性质和程度的评估是非常重要的。这个损害评估应该在能够确保人员安全这个最优先任务的前提下尽快完成。所以，如果可能，应急响应日常运行小组是第一个得到事件通知的小组。损害评估规程对于不同的系统是不同的，但是应该涉及到以下领域：（1）造成紧急情况或中断的原因；（2）潜在的附加中断或损失；（3）受到紧急情况影响的区域；（4）物理构架（如计算机室结构的完整性、电源、电信以及制热、通风和空调的情况）的状况；（5）系统设备的总量和功能状态（如具备完整功能、具备部分功能或丧失功能）；（6）系统设备及其存货的损失类型（如水害、水灾或热能、物理以及电涌影响）；（7）被更换的项目（如

20、硬件、软件、固件或支持材料）；（8）估计恢复正常服务所需的时间。h50我国信息安全事件分类方法GB/Z 20986-2007信息安全事件分级分类指南有害程序事件MI网络攻击事件NAI信息破坏事件IDI信息内容安全事件ICSI设备设施故障FF灾害性事件DI其他信息安全事件OIh51我国信息安全事件分级方法分级要素h52我国信息安全事件分级方法特别重大特别重大事件事件(I级）级）重重 大大事事 件件(II级）级）较较 大大事事 件件(III级）级）一一 般般事事 件件(IV级）级）h53应急启动（1）启动原则快速、有序；（2）启动依据一般而言，对于导致业务中断、系统宕机、网络瘫痪等突发/重大信息安

21、全事件应立即启动应急。但由于组织规模、构成、性质等的不同，不同组织对突发/重大信息安全事件的定义可能不一样，因此，各组织的应急启动条件可能各不相同。启动条件可以基于以下方面考虑：人员的安全和/或设施损失的程度；系统损失的程度（如物理的、运作的或成本的）；系统对于组织使命的影响程度（如保护资产的关键基础设施）；预期的中断持续时间等。只有当损害评估的结果显示一个或多个系统启动条件被满足时，应急响应计划才应被启动。（3）启动方法由应急响应领导小组发布应急响应启动令。h54应急处置（1）恢复顺序当恢复复杂系统时，恢复进程应该反映出BIA中确定的系统优先顺序。恢复的顺序应该反映出系统允许的中断时间，以避

22、免对相关系统及其应用的重大影响。（2）恢复规程为了进行恢复操作，应急响应计划应提供恢复业务能力的详细规程。规程应被设定给适当的恢复小组并且通常涉及到以下行动：1）获得访问受损设施和或地理区域的授权；2）通知相关系统的内部和外部业务伙伴；3）获得所需的办公用品和工作空间；4）获得安装所需的硬件部件；5）获得装载备份介质；6）恢复关键操作系统和应用软件；7）恢复系统数据；8）成功运行备用设备。h55例：局域网（LAN）恢复小组检查列表LAN恢复小组：恢复小组：这些规程用于从备份磁带中恢复一个文件。LAN恢复小组负责继续进行生产活动所需的所有关键文件的重新装载。确定将要进行恢复的文件及其日期 时间：

23、使用磁带记录本确定磁带编号 时间：如果磁带不在磁带库中，则要求恢复设施提供磁带；填写适当的授权签名 时间：收到磁带时，将日期和时间填入日志 时间：将磁带放入驱动器中并开始恢复进程 时间：当文件恢复完毕时，通知LAN恢复小组的负责人 时间：h56后期处置（1）信息系统重建在应急处置工作结束后，要迅速采取措施，抓紧组织抢修受损的基础设施，减少损失，尽快恢复正常工作。通过统计各种数据，查明原因，对信息安全事件造成的损失和影响以及恢复重建能力进行分析评估，认真制定恢复重建计划，迅速组织实施信息系统重建。（2）应急响应总结应急响应总结是应急处置之后应进行的工作，具体工作包括：1）分析和总结事件发生原因；

24、2）分析和总结事件现象；3）评估系统的损害程度；4）评估事件导致的损失；5）分析和总结应急处置记录；6）评审应急响应措施的效果和效率，并提出改进建议；7）评审应急响应计划的效果和效率，并提出改进建议。h57信息安全事件应急响应总结模板信息安全事件应急响应结果报告表信息安全事件应急响应结果报告表原事件报告时间：年 月 日 时 分备案编号：年 月 日 第 号 总第 号单位名称：联系人：联系电话：通讯地址：信息系统名称及用途：已采用的安全措施：信息安全事件的补充描述及最后判定的事故原因：本次信息安全事件的初步影响状况：事件后果：影响范围：严重程度：本次信息安全事件的主要处理过程及结果：针对此类信息安

25、全事件应采取的保障信息系统安全的措施和建议：报告人签名：h58应急响应保障措施应急响应应急响应保障措施保障措施h59附件 具体的组织体系结构及人员职责 应急响应计划各小组成员的联络信息 供应商联络信息，包括离站存储和备用站点的外部联系点 系统恢复或处理的标准操作规程和检查列表 支持系统运行所需的硬件、软件、固件和其它资源的设备和系统需求清单 供应商服务水平协议（SLA）、与其它机构的互惠协议和其它关键记录 备用站点的描述和说明 在计划制定前进行的BIA，包含关于系统各部分相互关系、风险、优先级别等 应急响应计划文档的保存和分发方法h60应急响应工作机构图h61职责示例应急响应领导小组：应急响应

26、领导小组：应急响应领导小组是信息安全应急响应工作的组织领导机构，组长应由组织最高管理层成员担任。领导小组的职责是领导和决策信息安全应急响应的重大事宜，主要如下：（1）对应急响应工作的承诺和支持，包括发布正式文件、提供必要资源（人财物）等；（2）审核并批准应急响应策略；（3）审核并批准应急响应计划；（4）批准和监督应急响应计划的执行；（5)启动定期评审、修订应急响应计划；（6）负责组织的外部协作工作。h62应急响应组（IRT）什么是应急响应组（IRT）应急响应组就是机构可以借助的网络安全专业组织。为什么需要成立应急响应组容易协调响应工作提高专业知识提高效率提高先期主动防御能力更加适合于满足机构的

27、需要提高联络功能提高处理制度障碍方面的能力h63从应急组织到应急体系：信息安全保障的必要条件现实表明，单一的应急组织已经不能应对当今的网络安全威胁，我国的应急体系正是在实际工作的经验总结中逐渐形成的：平台从点到环到面；应急体系从点到树到网“现实世界中发生的任何事情，在网络世界中都可以找到与之对应的事件”SARS事件反映出社会防疫应急体系的重要红色代码、尼姆达、SQL杀手、口令蠕虫等具有和现实世界中的疫病相同的特点处理方式也具有同样的特点：隔离-分析-治疗不同之处：“病人”不自知；隔离缺乏法律依据或技术手段；应急缺乏成熟体系和工作制度.h64国际信息安全应急响应组织美国计算机紧急事件响应小组协调

28、中心 （Computer Emergency Response Team/Coordination Center,CERT/CC）事件响应与安全组织论坛（Forum of Incident Response and Security Teams,FIRST）亚太地区计算机应急响应组（Asia Pacific Computer Emergency Response Team,APCERT）欧洲计算机网络研究教育协会（Trans-European Research and Education Networking Association,TERENA)h65我国信息安全应急响应组织国家计算机网络应

29、急技术处理协调中心 （National Computer network Emergency Response technical Team/Coordination Center of China,CNCERT/CC）中国教育和科研计算机网紧急响应组(China Education and Research Network Computer Emergency Response Team,CCERT)国家计算机病毒应急处理中心国家计算机网络入侵防范中心国家863计划反计算机入侵和防病毒研究中心h66我国公共互联网应急体系 从无到有 从小到大 从弱到强 从点到面h67XX信息安全应急响应体系广

30、州市突发公共广州市突发公共事件总体应急预案事件总体应急预案自然灾害自然灾害事故灾难事故灾难公共卫生公共卫生社会安全社会安全广州市信息安全广州市信息安全突发事件应急预案突发事件应急预案市级机关事业单市级机关事业单位应急预案位应急预案区县机关单位区县机关单位应急预案应急预案重点单位重点单位应急预案应急预案重大事件重大事件/活动活动应急预案应急预案h68XX市电子政务网络应急预案 1总则 2组织结构与职责 3预防和预警机制 4应急响应流程 5保障与监督管理 6计划附则h69总则 1.1指导思想 1.2编制目的 1.3编制依据 1.4适用范围广州市各级政府党政机关、事业单位及与重点保护企业 1.5工作

31、原则 1.6分类与分级类别：有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件、其他信息安全事件。级别：信息安全事件级别根据信息系统的重要程度、系统损失和社会影响分为四级：h70安全事件级别划分1）特别重大事件（级）特别重大事件是指能够导致特别严重影响或破坏的信息安全事件。2）重大事件（级）重大事件是指能够导致严重影响或破坏的信息安全事件。3）较大事件（级）较大事件是指能够导致较严重影响或破坏的信息安全事件。4）一般事件（级）一般事件是指能够导致较小影响或破坏的信息安全事件。h71组织结构与职责h72预防和预警机制预警简图预警简图h73h74应急响应流程应急响

32、应简图应急响应简图h75h76应急响应之后期处理流程后期处理简图后期处理简图h77h78保障监督管理 4.1应急人力保障信息安全专业人才、队伍 4.2物质条件保障通信与信息、应急装备、交通运输、经费、治安 4.3技术支撑保障信息安全应急平台支撑技术、信息安全领域技术研究、预先编制的预案、方案等h79 4.4宣传教育向单位、公众及相关人员宣传，特别是向领导人员宣传获得他们的支持 4.5演练定期进行应急演练 4.6责任与奖惩 依相关法规追究责任和奖惩h80计划及附则 6.1人员联络清单 6.2信息系统标准操作规程 6.3业务影响分析报告h81信息系统应急计划一般过程美国美国SP800-34 信息技术系统应急计划信息技术系统应急计划/预案指预案指南：七步走南：七步走h82七步走 第一步：制定应急计划/预案策略条款 第二步：进行业务影响分析 第三步：确定防御性控制 第四步：制定恢复策略 第五步：IT应急计划/预案的制定 第六步：计划/预案的测试、培训和演习 第七步：计划/预案的维护h83