信息安全应急响应服务流程.docx
《信息安全应急响应服务流程.docx》由会员分享,可在线阅读,更多相关《信息安全应急响应服务流程.docx(16页珍藏版)》请在冰豆网上搜索。
信息安全应急响应服务流程
信息安全应急响应流程
广东盈通网络投资
20011年07月
第一部分导言
1.1.文档类别
本文档是盈通公司信息技术安全IT技术部用以规范“信息安全应急响应服务流程”项目实施的指导性文件之一。
1.2.使用对象
本文档作为公司内部文档,具体使用人员包括:
信息安全应急响应服务具体实施操作人员、及负责人。
1.3.计划目的
制订本规范的目的是为了指导应急响应服务操作人员按一定的实施办法和操作流程,从接受应急响应服务申请到交付应急响应总结报告为止这段时间内,要求实施进度和质量可控,在规定的时间内完成应急响应服务。
备注:
操作实施人员在执行该规范时,应根据实际情况灵活运用和变通,并提出创新。
同时为了有效的控制进度和质量,在实际操作中应遵循流程步骤。
1.4.适用范围
全司。
1.5.服务原则
在整个应急响应处理过程的中,本协会严格按照以下原则要求服务人员,并签订必要的保密协议。
保密性原则
应急服务提供者应对应急处理服务过程中获知的任何关于服务对象的系统信息承担保密的责任和义务,不得泄露给第三方的单位和个人,不得利用这些信息进行侵害服务对象的行为。
规范性原则
应急服务提供者应要求服务人员依照规范的操作流程进行应急处理服务,所有处理人员必须对各自的操作过程和结果进行详细的记录,最终按照规范的报告格式提供完整的服务报告。
最小影响原则
应急处理服务工作应尽可能减少对原系统和网络正常运行的影响,尽量避免对原网络运行和业务正常运转产生显著影响(包括系统性能明显下降、网络阻塞、服务中断等),如无法避免,则必须向服务对象说明。
第二部分应急响应组织保障
2.1.角色的划分
本协会应急响应工作机构按角色划分为三个:
应急响应负责人,
应急响应技术人员,
应急响应市场人员。
信息安全事件发生后,在应急响应领导小组的统一部署下,工作人员各施其职,并严格按照应急响应计划组织实施应急响应工作。
2.2.角色的职责
应急响应负责人:
应急响应负责人是信息安全应急响应工作的组织领导机构,组长应由组织最高管理层成员担任。
负责人的职责是领导和决策信息安全应急响应的重大事宜,主要职责如下:
a)制定工作方案;
b)提供人员和物质保证;
c)审核并批准经费预算;
d)审核并批准恢复策略;
e)审核并批准应急响应计划;
f)批准并监督应急响应计划的执行;
g)指导应急响应实施小组的应急处置工作;
h)启动定期评审、修订应急响应计划以及负责组织的外部协作。
应急响应技术人员,其主要职责如下:
a)编制应急响应计划文档;
b)应急响应的需求分析,确定应急策略和等级以及策略的实现;
c)备份系统的运行和维护,协助灾难恢复系统实施;
d)信息安全突发事件发生时的损失控制和损害评估;
e)组织应急响应计划的测试和演练。
应急响应市场人员,其主要职责如下:
a)开拓新客户,与客户建立长期的合作关系;维护与公司老客户的业务往来;
b)建立预防预警机制,及时进行信息上报;
c)参与和协助应急响应计划的教育、培训和演练;
d)信息安全事件发生后的外部协作。
2.3.组织的外部协作
依据服务对象信息安全事件的影响程度,如需向上级部门及时通报准确情况或向其他单位寻求支持时,应与相关管理部门以及外部组织机构保持联络和协作。
主要包括国家计算机网络应急技术处理协调中心(CNCERT/CC)华中地区分中心、国家计算机网络应急技术处理协调中心(CNCERT/CC)、中国教育科研网络华中地区网络中心、中国教育科研网网络中心、盈通公司市公安局网络安全监察室、湖北省公安厅网络安全监察处、及主要相关设备供应商。
2.4.保障措施
应急人力保障
加强信息安全人才培养,强化信息安全宣传教育,建设一支高素质、高技术的信息安全核心人才和管理队伍,提高信息安全防御意识。
大力发展信息安全服务业,增强协会应急支援能力。
物质条件保障
安排一定的资金用于预防或应对信息安全突发事件,提供必要的交通运输保障,优化信息安全应急处理工作的物资保障条件。
技术支撑保障
设立信息安全应急响应中心,建立预警与应急处理的技术平台,进一步提高安全事件的发现和分析能力。
从技术上逐步实现发现、预警、处置、通报等多个环节和不同的网络、系统、部门之间应急处理的联动机制。
第三部分应急响应实施流程
该服务流程并非一个固定不变的教条,需要应急响应服务人员在实际中灵活变通,可适当简化,但任何变通都必须纪录有关的原因。
详细的记录对于找出事件的真相、查出威胁的来源与安全弱点、找到问题正确的解决方法,甚至判定事故的责任,避免同类事件的发生都有着极其重要的作用。
3.1.准备阶段(Preparation)
目标:
在事件真正发生前为应急响应做好预备性的工作。
角色:
技术人员、市场人员。
内容:
根据不同角色准备不同的内容。
输出:
《准备工具清单》、《事件初步报告表》、《实施人员工作清单》
3.1.1负责人准备内容
制定工作方案和计划;
提供人员和物质保证;
审核并批准经费预算、恢复策略、应急响应计划;
批准并监督应急响应计划的执行;
指导应急响应实施小组的应急处置工作;
启动定期评审、修订应急响应计划以及负责组织的外部协作。
3.1.2技术人员准备内容
服务需求界定
首先要对服务对象的整个信息系统进行评估,明确服务对象的应急需求,具体应包含以下内容:
1)应急服务提供者应了解应急服务对象的各项业务功能及其之间的相关性,确定支持各种业务功能的相关信息系统资源及其他资源,明确相关信息的保密性、完整性、和可用性要求;
2)对服务对象的信息系统,包括应用程序,服务器,网络及任何管理和维护这些系统的流程进行评估,确定系统所执行的关键功能,并确定执行这些关键功能所需要的特定系统资源;
3)应急服务提供者应采用定性或定量的方法,对业务中断、系统宕机、网络瘫痪等突发安全事件造成的影响进行评估;
4)应急服务提供者应协助服务对象建立适当的应急响应策略,应提供在业务中断、系统宕机、网络瘫痪等突发安全事件发生后快速有效的恢复信息系统运行的方法;
5)应急服务提供者宜为服务对象提供相关的培训服务,以提高服务对象的安全意识,便于相关责任人明确自己的角色和责任,了解常见的安全事件和入侵行为,熟悉应急响应策略。
主机和网络设备安全初始化快照和备份
在系统安全策略配置完成后,要对系统做一次初始安全状态快照。
这样,如果以后在出现事故后对该服务器做安全检测时,通过将初始化快照做的结果与检测阶段做的快照进行比较,就能够发现系统的改动或异常。
1)对主机系统做一个标准的安全初始化的状态快照,包括的主要内容有:
✓日志及审核策略快照等。
✓用户账户快照;
✓进程快照;
✓服务快照;
✓自启动快照
✓关键文件签名快照;
✓开放端口快照;
✓系统资源利用率的快照;
✓注册表快照;
✓计划任务快照等等;
2)对网络设备做一个标准的安全初始化的状态快照,包括的主要内容有:
✓路由器快照;
✓防火墙快照;
✓用户快照;
✓系统资源利用率等快照。
3)信息系统的业务数据及办公数据均十分重要,因此需要进行数据存储及备份。
目前,存储备份结构主要有DAS、SAN和NAS,以及通过磁带或光盘对数据进行备份。
各服务对象可以根据自身的特点选择不同的存储产品构建自己的数据存储备份系统。
工具包的准备
1)应急服务提供者应根据应急服务对象的需求准备处置网络安全事件的工具包,包括常用的系统基本命令、其他软件工具等;
2)应急服务提供者的工具包中的工具最好是采用绿色免安装的,应保存在安全的移动介质上,如一次性可写光盘、加密的U盘等;
3)应急服务提供者的工具包应定期更新、补充;
必要技术的准备
上述是针对应急响应的处理涉及到的安全技术工具涵盖应急响应的事件取样、事件分析、事件隔离、系统恢复和攻击追踪等各个方面,构成了网络安全应急响应的技术基础。
所以我们的应急响应服务实施成员还应该掌握以下必要的技术手段和规范,具体包括以下内容:
1)系统检测技术,包括以下检测技术规范:
✓Windows系统检测技术规范;
✓Unix系统检测技术规范;
✓网络安全事故检测技术规范;
✓数据库系统检测技术规范;
✓常见的应用系统检测技术规范;
2)攻击检测技术,包括以下技术:
✓异常行为分析技术;
✓入侵检测技术;
✓安全风险评估技术;
3)攻击追踪技术;
4)现场取样技术;
5)系统安全加固技术;
6)攻击隔离技术;
7)资产备份恢复技术;
3.1.3市场人员准备内容
和服务对象建立长期友好的业务关系;
和服务对象签订应急服务合同或协议;
建立预防和预警机制,及时上报。
1)预防和预警机制
✓市场人员要严格按照应急响应负责人的安排和建议,及时提醒服务对象提高防范网络攻击、病毒入侵、网络窃密等的能力,防止有害信息传播,保障服务对象网络的安全畅通。
✓将协会网络信息中心会发布的病毒预防警报以及更新的防护策略及时有效地告知服务对象,做好防护策略的更新。
2)信息系统检测和报告
✓按照“早发现、早报告、早处置”的原则,市场人员要加强对服务对象信息系统的安全检测结果的通告,收集可能引发信息安全事件的有关信息、进行分析判断。
✓如服务对象发现有异常情况或有信息安全事件发生时,要立即向协会网络信息中心应急响应负责人报告,并填写事件初步报告表。
✓要求服务对象持续监测信息系统状况,密切关注应急响应负责人提出初步行动对策和行动方案,听从指令和安排,及时减小损失。
3.2.检测阶段(Examination)
目标:
接到事故报警后在服务对象的配合下对异常的系统进行初步分析,确认其是否真正发生了信息安全事件,制定进一步的响应策略,并保留证据。
角色:
应急服务实施小组成员、应急响应日常运行小组;
内容:
(1)检测范围及对象的确定;
(2)检测方案的确定;
(3)检测方案的实施;
(4)检测结果的处理。
输出:
《检测结果记录》、《…》
3.2.1实施小组人员的确定
应急响应负责人根据《事件初步报告表》的内容,初步分析事故的类型、严重程度等,以此来确定临时应急响应小组的实施人员的名单。
3.2.2检测范围及对象的确定
应急服务提供者应对发生异常的系统进行初步分析,判断是否正真发生了安全事件;
应急服务提供者和服务对象共同确定检测对象及范围;
检测对象及范围应得到服务对象的书面授权。
3.2.3检测方案的确定
应急服务提供者和服务对象共同确定检测方案;
应急服务提供者制定的检测方案应明确应急服务提供者所使用的检测规范;
应急服务提供者制定的检测方案应明确应急服务提供者的检测范围,其检测范围应仅限于服务对象已授权的与安全事件相关的数据,对服务对象的机密性数据信息XX的不得访问;
应急服务提供者制定的检测方案应包含实施方案失败的应变和回退措施;
应急服务提供者和服务对象充分沟通,并预测应急处理方案可能造成的影响。
3.2.4检测方案的实施
检测搜集系统信息
✓记录时使用目录及文件名约定:
在受入侵的计算机的D盘根目录下(D:
\)(如果无D盘则在其他盘根目录下)建立一个EEAN目录,目录中包含以下子目录:
Øartifact:
用于存放可疑文件样本
Øcmdoutput:
用于记录命令行输出结果
Øscreenshot:
用于存放屏幕拷贝文件
Ølog:
用于存放各类日志文件
✓文件格式:
Ø命令行输出文件缺省仅使用TXT格式。
Ø日志文件及其他格式尽量使