信息安全应急响应体系建设84页PPT文档PPT文件格式下载.ppt

1、,应急响应目的,应急响应服务的目的是尽可能地减小和控制住网络安全事件的损失，提供有效的响应和恢复指导，并努力防止安全事件的发生。,应急响应与应急响应体系的关系,6,政策要求,7,关于加强信息安全保障工作的意见（中办发201927号文）指出：“信息安全保障工作的要点在于，实行信息安全等级保护制度，建设基于密码技术的网络信任体系，建设信息安全监控体系，重视信息安全应急处理工作，推动信息安全技术研发与产业发展，建设信息安全法制与标准”国家信息安全战略的近期目标：通过五年的努力，基本建成国家信息安全保障体系。,政策要求,8,为了落实27号文精神国家网络与信息安全协调小组办公室于2019年10月发布了网

2、络与信息安全信息通报暂行办法、2004年9月发布了关于做好重要信息系统灾难备份工作的通知，2004年8月发布了关于建立健全基础信息网络和重要信息系统应急协调机制的意见等文件。这些文件对推动灾难备份和应急响应的发展起到了重要作用。,相关标准,9,GB/T 24364-2009信息安全技术信息安全应急响应计划规范GB/T 20988-2007 信息安全技术 信息系统应急响应规范GB/Z 20985-2007 信息技术 安全技术 信息安全事件管理指南 GB/Z 20986-2007 信息安全技术 信息安全事件分类分级指南,应急响应六阶段,10,第一阶段：准备让我们严阵以待第二阶段：确认对情况综合判断

3、第三阶段：遏制制止事态的扩大第四阶段：根除彻底的补救措施第五阶段：恢复系统恢复常态第六阶段：跟踪还会有第二次吗,第一阶段准备,11,预防为主微观（一般观点）：帮助服务对象建立安全政策帮助服务对象按照安全政策配置安全设备和软件扫描，风险分析，打补丁如有条件且得到许可，建立监控设施宏观：建立协作体系和应急制度建立信息沟通渠道和通报机制如有条件，建立数据汇总分析的体系和能力有关法律法规的制定,第一阶段准备,12,制定应急响应计划资源准备应急经费筹集人力资源软硬件设备现场备份业务连续性保障系统容灾搭建临时业务系统,人力资源准备,指挥调度人员 协作人员 技术人员 专家 设备、系统和服务提供商,软硬件设备

4、准备,硬件设备准备数据保护设备磁盘、磁带、光盘SAN冗余设备 网络链路、网络设备 关键计算机设备 Any else?,软硬件设备准备,软件工具准备备份软件日志处理软件系统软件网络软件应急启动盘Any else?病毒/恶意软件查杀软件,建立事件报告的机制和要求,建立事件报告流程和规范,第二阶段确认,17,确定事件性质和处理人微观（负责具体网络的CERT）：确定事件的责任人指定一个责任人全权处理此事件给予必要的资源确定事件的性质误会？玩笑？还是恶意的攻击/入侵？影响的严重程度预计采用什么样的专用资源来修复？宏观（负责总体网络的CERT）：通过汇总，确定是否发生了全网的大规模事件确定应急等级，以决定

5、启动哪一级应急方案,快速分析事故的标志,事故的标志分为两类：征兆和预兆 Web服务器崩溃 用户抱怨主机连接网络速度过慢 子邮件管理员可以看到大批的反弹电子邮件与可疑内容 网络管理员通告了一个不寻常的偏离典型的网络流量流向 来源网络和主机IDS、防病毒软件、文件完整性检查软件系统、网络、蜜罐日志公开可利用的信息第三方监视服务,确认事故（1）,确认网络和系统轮廓：分析事故的最好技术方法之一 理解正常的行为基于处理事故的良好准备 使用集中的日志管理并创建日志保留策略 执行事件关联 保持所有主机时钟同步,确认事故（2）,维护和使用信息知识库分析事故时的快速参考 使用互联网搜索引擎进行研究 运行包嗅探器

6、以搜集更多的数据 过滤数据 经验是不可替代的 建立诊断矩阵 寻求帮助,诊断矩阵实例,事故优先级服务水平协议,服务水平协议（SLA）定义服务目标及双方的预期及责任 服务水平协议指标,应急响应服务的指标,远程应急响应服务在确认客户的应急响应请求后?小时内，交与相关应急响应人员进行处理。无论是否解决，进行处理的当天必须返回响应情况的简报，直到此次响应服务结束。本地应急响应服务对本地范围内的客户，？小时内到达现场；对异地的客户，？小时加路途时间内到达现场。,应急响应SLA 矩阵,第三阶段遏制,25,即时采取的行动微观：防止进一步的损失，确定后果初步分析，重点是确定适当的封锁方法咨询安全政策确定进一步操

7、作的风险损失最小化（最快最简单的方式恢复系统的基本功能，例如备机启动）可列出若干选项，讲明各自的风险，由服务对象选择宏观：确保封锁方法对各网业务影响最小通过协调争取各网一致行动，实施隔离汇总数据，估算损失和隔离效果,建立遏制策略,建议组织机构为几类主要的事故建立单独的遏制策略，其标准包括：潜在的破坏和资源的窃取证据保留的需要服务可用性（例如：网络连接，提供给外部当事方的服务）实施战略需要的时间和资源战略的有效性（例如：部分遏制事故，完全遏制事故）解决方案的期限（例如：紧急事故工作区需在4 小时内清除，临时工作区需在两周内清除，永久的解决方案）。,例：基于DDOS 攻击的遏制策略,1.基于攻击特

8、征实施过滤。2.纠正正在被攻击的漏洞或弱点3.让ISP 实施过滤4.重定位目标5.攻击攻击者6.设定证据保留时间,第四阶段根除,28,长期的补救措施微观：详细分析，确定原因，定义征兆分析漏洞加强防范消除原因修改安全政策宏观：加强宣传，公布危害性和解决办法，呼吁用户解决终端的问题；加强检测工作，发现和清理行业与重点部门的问题；,第五阶段恢复,29,微观：被攻击的系统恢复正常的工作状态作一个新的备份把所有安全上的变更作备份服务重新上线持续监控宏观：持续汇总分析，了解各网的运行情况根据各网的运行情况判断隔离措施的有效性通过汇总分析的结果判断仍然受影响的终端的规模发现重要用户及时通报解决适当的时候解除

9、封锁措施,第六阶段跟踪,30,关注系统恢复以后的安全状况，特别是曾经出问题的地方建立跟踪文档，规范记录跟踪结果对响应效果给出评估对进入司法程序的事件，进行进一步的调查，打击违法犯罪活动,事件的归档与统计,31,处理人时间和时段地点工作量事件的类型对事件的处置情况代价细节,应急响应预案的制定,应急响应预案的包括的主要内容确定风险场景描述可能受到的业务影响描述使用的预防性策略描述应急响应策略识别和排列关键应用系统行动计划团队和人员的职责联络清单所需资源配置,32,应急响应预案的制定,制定应急响应预案的原则首先，必须集中管理应急响应预案的版本和发布。其次，为了建立有效的版本控制体系，必须建立规范的应

10、急响应预案的问题提交、解决、更新、跟踪、发布的渠道和流程。第三，建立相关的保密管理规定，保证应急响应预案中涉及的秘密信息得到保护。第四，应急响应预案在内容管理方面应注意内容的分布和粒度，可根据版本和内容的更新频度将应急响应的内容进行适当的分布。第五，建立合理的应急响应预案的保管制度，强调存放的安全性和易取得性。,33,应急响应预案的制定,清楚、简洁高级管理层支持/组织承诺不断改进和更新的恢复策略及时的更新维护,组织职责分工明确保留、备份和异地存储计划完整记录并定期演练风险得到管理弱点得到优先重视灵活、可适应,成功预案的特点,34,应急响应预案的教育、培训和演练,在灾难来临前使相关人员了解熟悉恢

11、复流程使应急响应预案得到理解并可以使用促进应急响应预案活动、更新、实用展示恢复的能力达到法律和内部审计要求,35,演练与演习的类型,演练和演习的主要方式有：桌面演练；模拟演练；实战演练等根据演练和演习的深度，可分为：系统级演练；应用级演练；业务级演练等根据演练和演习的准备情况，可分为：计划内的演练和演习；计划外的演练和演习等,36,参见应急演练脚本,预案维护管理,核对预案的功能性验证预案文档的精确性和完整性分发更新的文档文档计划分发和发布流程确保相关的团队收到更新的文档依靠维护来改变管理流程提供培训作为持续维护预案的一部分为与应急响应的相关人员开展定期培训，如：复习进修课程或灾难备份研讨会指派

12、培训责任，如：部门经理要确保员工被送去参加培训完成时报告预案维护情况毁掉旧应急响应预案的复印件或电子版本。,37,预案变更管理,业务操作的增长或变化如：新的分支、产品和业务功能的增加 公司所有权的变化关键人员的变化硬件配置的变化使用新操作系统预案审核和演练后软件/应用软件的变化新的法律或审计要求定期审核和更新如：每年两次,38,应急预案管理制度,应急预案变更记录,应急响应体系建设流程,参见XXX应急体系_项目计划_080821_C1,信息安全应急响应计划编制方法,41,总则角色及职责预防和预警机制应急响应流程应急响应保障措施附件,总则,42,编制目的编制依据适应范围工作原则,角色及职责,43,

13、应急响应领导小组应急响应技术保障小组应急响应专家小组应急响应实施小组应急响应日常运行小组,预防和预警机制,44,应急响应流程,45,事件通告,（1）信息通报信息通报分为组织内信息通报和组织外信息通报两部分。组织内信息通报的目的是在信息安全事件发生后迅速通知应急响应日常运行小组，并根据评估结果迅速通知所有相关人员，从而快速有序的实施应急响应计划。组织外信息通报目的是将相关信息及时通报给受到负面影响的外部机构、互联的单位系统以及重要用户，同时根据应急响应的需要，应将相关信息准确通报给相关设备设施及服务提供商（包括电信、电力等）等外部组织，以获得适当的应急响应支持。值得注意的是对外信息通报应符合组织

14、的对外信息发布策略。（2）信息上报信息安全事件发生后，应按照相关规定和要求，及时将情况上报相关主管或监管单位/部门。（3）信息披露信息发布的目的是避免信息安全事件影响被误传，同时规范组织内人员信息披露，保证信息的一致性。因此，信息安全事件发生后，应根据信息安全事件的严重程度，指定特定的小组及时向新闻媒体发布相关信息，并且指定的小组应严格按照组织相关规定和要求对外发布信息，同时组织内其它部门或者个人不得随意接受新闻媒体采访或对外发表自己的看法。,应急响应流程呼叫树,47,呼叫树,信息上报,事件分类与定级,要确定信息安全事件后如何实施应急响应计划，对系统损害性质和程度的评估是非常重要的。这个损害评

15、估应该在能够确保人员安全这个最优先任务的前提下尽快完成。所以，如果可能，应急响应日常运行小组是第一个得到事件通知的小组。损害评估规程对于不同的系统是不同的，但是应该涉及到以下领域：（1）造成紧急情况或中断的原因；（2）潜在的附加中断或损失；（3）受到紧急情况影响的区域；（4）物理构架（如计算机室结构的完整性、电源、电信以及制热、通风和空调的情况）的状况；（5）系统设备的总量和功能状态（如具备完整功能、具备部分功能或丧失功能）；（6）系统设备及其存货的损失类型（如水害、水灾或热能、物理以及电涌影响）；（7）被更换的项目（如硬件、软件、固件或支持材料）；（8）估计恢复正常服务所需的时间。,我国信息安全事件分类方法,51,GB/Z 20986-2007信息安全事件分级分类指南有害程序事件MI网络攻击事件NAI信息破坏