浅议信息安全风险管理和应急防护

浅议信息安全风险管理和应急防护
上海市闵行区人民检察院技术科吴涛
随着信息化手段在政府机构中普遍应用，信息系统已经成为各单位工作人员开展工作不可或缺的工具,信息和信息系统因此也成为单位中不可或缺的关键资产。

一旦发生信息泄漏、病毒侵袭、系统中断、非法篡改以及不可预测的自然灾害等非期望事件，将对单位的各项工作造成重大影响。

信息系统的安全管理是一个动态的过程，它包括风险评估（Risk Analysis）、实施预防措施（Prevention）、检测措施（Detection）、以及事件发生后的响应（Response）。

这四个阶段形成了一个周期，我们称之为以安全策略为中心的安全生命周期的P-RPDR模型。

当前国际上普遍采用风险管理的方法，通过一系列有计划的网络定期检测、标识和分析系统风险，从而制定风险管理计划、实施风险控制工程、建立应急响应和备份恢复机制，全面实现对组织信息系统风险的管理。

一、网络威胁和风险管理控制
由于组织中存在的技术脆弱性和组织脆弱性，各类威胁事件（如黑客攻击、病毒传播、系统硬件故障、软件以及自然灾害等）利用这些脆弱性，对信息系统及信息进行破坏，造成了组织不期望发生的后果。

这些威胁事件主要造成两方面的影响，一个是对网络硬件设备或软件应用进行破坏造成的直接损失，另一个是对组织造成的无形损失，如业务中断，声誉降低等。

针对信息系统的威胁主要有：
1．破坏：如入侵系统并读取、篡改数据信息、搭线窃听、安装木马和计算机病
毒、远程探测网络拓扑结构和计算机系统配置等。

2．扫描：包括地址扫描和端口扫描等，为入侵系统寻找系统漏洞。

3．抵赖：如在电子商务中交易方之一否认自己曾经定购过某种商品，或者商家否认自己曾经接受过订单。

4．垃圾邮件骚扰。

5．传播色情内容。

6．愚弄和欺诈。

笔者所管理的网络是一个相对独立的系统，它虽然与因特网物理隔离，但所面临的威胁，以及由威胁事件所造成的影响是相同的，只是所受威胁的程度较互联网弱一些。

通过对本单位网络系统的评估，我们识别出网络中可能出现的安全事件和潜在威胁，制定了相应的管理和控制措施，使安全风险降低到最小程度，最大限度地保护了网络的正常运转。

事件涉及资产事件影响事件
可能
性
优先
级
防范措施补救措施投入收益
泄密涉密数据机密信息扩
散，影响涉密
信息系统的
声誉
高1
屏蔽、身份鉴别、
访问控制、审计。

管理措施、日常检
查
日志审计、事
件追查、法律
诉讼
加大管理控制
力度。

降低泄密事
件
病毒
重点服务
器，多数PC 业务受到影
响
中1
防病毒、加强内部
管理、数据备份
杀病毒
购置杀毒软
件、加强内部
管理
病毒发生时
业务不中断
网络入侵网络、重点
服务器
业务受阻，影
响中
中2
入侵检测、漏洞修
补、内部管理、应
用备份、数据备份、
日常检查
调查取证、应
用、数据恢复、
追查、法律诉
讼
需要投入数
据、应用备份
系统
内部入侵发
生后的恢复
网络
故障核心交换机
所有业务网
用户无法工
作
中2
核心交换机备件、
日常维护检查
交换机更换、
备份
需要投入核心
交换机的备份
设备
网络核心交
换机损坏后
业务快速恢
复
主机故障重点服务
器、硬盘
应用中断、数
据破坏
中2
备件、备机、系统
备份、应用备份、
数据备份、日常维
护检查
硬件恢复，切
换
投入主机备份
机，或双机热
备
主机发生损
坏后业务的
迅速恢复，
双机热备可
以实现业务
无中断
软件故障应用软件、
数据库软件
应用中断中2
系统备份、应用软
件备份、数据备份
软件重新安
装、恢复
投入应用、软
件备份系统
软件发生故
障后业务迅
速恢复
人为破坏核心交换
机、重点服
务器、核心
数据、备份
介质
业务中断，影
响比较大
低3
物理防护、人员教
育、网络、线路、
主机备份、应用备
份、数据备份，加
强警备、日常检查
网络、线路、
主机、应用、
数据恢复、事
件追查、法律
诉讼
需要投资核心
网络设备、备
份线路、主机
设备、备份系
统。

人为破坏后
恢复
灾难核心交换
机、重点服
务器、基础
设施
系统大面积
破坏，业务中
断，破坏性非
常大
很低4
防火、防雷击、网
络、主机、应用、
数据的异地备份、
备份检查
网络、数据、
主机、应用、
数据的灾难恢
复、业务重建
需要在异地建
立备份中心、
投入整套的备
份设备、建立
远程链路、构
建异地网络
灾难发生后
迅速恢复工
作
二、信息网络应急响应
对计算机或网络所存储、传输、处理的信息和网络运行状况进行风险评估和检测
后，我单位根据系统中存在的漏洞或紧急故障等安全事件，建立了信息网络应急响应机制，采取有效的管理和控制措施，保证了网络运行管理活动的连续性，保护了关键业务系统和数据的安全性，降低了网络运行管理活动的故障率。

1、网络应急响应工作
网络应急响应组的常规工作主要有：
●对系统中存在的漏洞进行有效的处理；
●建立网络系统基本信息档案和记录并积累各种配置变更操作；
●对网络系统中可能发生的所有事件进行全面和深入的分析；
●对所有事件中的威胁事件进行分析、跟踪和监测；
●结合用户单位的情况采取必要的技术措施；
●在紧急事件发生后进行系统、数据的恢复以及事故的分析与总结；
●发布安全警报等。

响应式服务预防式服务安全质量管理服务
*警报和警告
*事件处理
事件分析、现场事件响应、事件响应支持、事件响应协调
*安全漏洞
处理分析、响应、响应协调*恶意代码处理
分析、响应、响应协调*公告
*技术监视
*安全审计评估
*安全工具、应用程序和基
础设施的配置和维护
*安全工具的开发
*入侵检测服务
*与安全有关的信息的传播
*风险分析
*业务连续性和灾难恢复规
划
*安全性咨询
*建立安全意识
*教育/培训
*产品评估或认证
CSIRT所提供的服务（数据来源：CERT/CC）从上面CSIRT（计算机安全事件响应小组）所提供的服务来看，信息系统的安全管理不是一个简单的、静态的管理过程，而是一个涉及到技术、人员、制度与流程等的复杂动态过程。

因此，对于信息系统的安全风险管理手段之一的应急响应体制也不能是安全保障的一个孤立环节，而应该是利用安全保障的各种可用资源，针对发生的安全事件做出适当反应，以达到预定的安全保护目标的过程。

因而，应急响应工作也成为了网络安全保障工作的重要表现和手段。

2、应急响应所采取的具体措施
（1）入侵的检测
入侵检测与应急响应是紧密相关的，发现对网络和系统的可疑攻击或入侵后检测系统就能触发响应的动作。

入侵检测可以由系统自动完成，即入侵检测系统（IDS），当IDS检测到可疑的入侵后，可以认为的阻止入侵或攻击的得逞。

现在随着技术的发展，也出现了检测与防护一体的设备，可以自动地防护可疑攻击和入侵。

（2）事件的诊断
事件的诊断与入侵检测有类似之处，又不完全相同。

入侵检测通常在正常的运行过程中，检测是否存在未授权的访问、误用（misuse）等违法安全政策的行为；而事件的诊断则偏重于在事件发生后，弄清受害对象究竟发生了什么，比如是否被病毒感染、是否被黑客攻破，如果是的话，问题出在哪里，影响范围有多大。

（3）攻击源的隔离与快速恢复
在确定了事件类型、攻击来源以后，及时的隔离攻击源是防止事件影响扩大化的有效措施，比如对于影响严重的计算机病毒或蠕虫。

另外一类事件，比如一旦艰难测出Web服务器被入侵、主页被篡改的事件，我单位的响应政策首先是尽快恢复服务器的正常运行，把事件的负面影响降到最小，具体的快速恢复会涉及完整性检测、域名切换等技术。

（4）网络追踪
网络攻击的追踪是个挑战性的课题，特别是对于分布式拒绝服务攻击。

入侵者可能穿梭很多主机，有些攻击使用了假冒的地址。

在现有的TCP/IP网络基础设施之上，网络追踪是非常困难的。

（5）计算机取证
计算机取证涉及到对计算机数据的保存、识别、记录以及解释。

它更像一种艺术，而不是一门科学，但是和许多其他领域一样，计算机取证专家通常采用明确的、严格定义的方法和步骤，然而对于那些不同寻常的事件需要灵活应变的处理，而不是墨守成规。

在计算机网络环境下，计算机取证将变得更加复杂，涉及到海量数据的采集、存储、分析，对目前的信息处理和系统将是一个挑战性的课题。

3、应急响应体系的设计
根据我单位在应急防护方面的经验看，设计一套适合自己的应急响应体系应该着重依据本单位的关键业务进行。

在具体设计应急响应体系时应当考虑IT技术的应急措施、非IT的应急措施、部门间协调、应急资源保证、预案启动条件定义以及应急预案的演练与维护等工作。

（1）IT技术应急措施的设计
对关键业务的应急保护，首先应该通过IT应急措施加以实现。

这些IT措施主要包括数据备份、网络备份以及系统应急调用等。

IT应急措施的设计必须具备高可操作性。

（2）非IT应急措施的设计
对关键业务的应急保护，无论其与信息系统关联程度如何，应当在IT技术应急措施之外考虑采用非IT应急措施。

非IT应急措施是指在信息系统短期内无法恢复的情况下保证关键业务连续性而采取的一些传统的、手工的业务操作手段。

比如，采用纯手工的方式进行业务的操作；通过介质传输的方式代替网络自动业务操作等。

（3）相关部门的协调
组织的应急预案设计是从组织保护整体利益，降低组织整体风险为基本出发点，因此，对关键业务的应急保护涉及组织的各个部门和各个方面的配合和支持。

从我单位的实践情况来看，了解并理顺关键业务部门的关联方式是组织应急预案设计的一个关键。

下面是我单位所指定的应急响应组织机构图：
（4）应急资源的保证
应急预案设计应当将应急活动程序化，并通过程序明确执行应急预案所需要的资源，包括人员、设备、资金和其他物资，以及人员保证和资源统一调度能力等。

应急资源还包括供应商、开发商、系统集成商以及其它外协和相关单位支持,比如重大事件时期的上级单位、新闻媒体和公众等。

（5）应急预案启动条件的定义
应急预案的启动条件是组织应急响应设计的重要内容，是实施应急响应的必要条件，也是启动应急预案的决策准则。

组织应当严格规定应急措施的实施和应急资源调用的程序、决策者和责任人。

同时，启动应急预案的决策信息必须来自组织规范的报告制度，并有记录及可追溯。

具体的应急处理流程如下图所示：
119
120
（6）应急预案的演练与维护
应急预案正式批准之前都必须有步骤有计划的进行演练。

演练可在仿真条件下进行，但参加演练的人员必须与实际执行应急预案的人员的组成相近。

应急预案演练是组织应急预案完善的重要工作，包括应急预案演练的计划安排、演练过程和效果的详细记录，演练活动的评估报告和应急预案改进建议等。

应急预案演练的计划安排
应急预案演练应当事先进行周密的组织和安排。

IT部门应当将初步形成的应急预案下发至各个相关部门，由相关部门根据本部门的实际情况细化应急预案，确定本部门的应急程序和资源配置和调用情况，以及需要其他相关部门协助的请求。

IT部门通过各个部门的应急演练具体方案的整合调整，制定组织应急预案的演练计划安排，确定时间，报组织信息领导小组批准实施。

演练过程和效果的详细记录
应急预案演练目的主要是检验应急预案的实施过程是否符合经济性、合理性和可操作性，是否有更实际的、高效率的替代方式和途径，以及如何建立表示或提示使实
施更为简便和明确。

因此，应当对演练过程进行跟踪，并对演练过程和效果进行真实详细的记录。

评估报告和改进建议
应急预案演练的效果应当进行评估，评估报告应当对应急预案是否可操作、应急程序是否科学合理、应急资源是否迅速到位的做出明确的结论，评估报告必须有明确的责任人。

对应急预案演练中存在的问题，应当提出改进意见，如果是设计应急预案演练能否征程进行的重大问题，应当承认演练没有取得成功，建议改进后重新进行演练。

应当重视应急预案演练的评估报告，对存在的问题进行改进和调整。

应急预案的批准与实施
经过演练和改进的应急预案应当报单位信息化领导小组批准，并形成正文下发。

各个职能部门和责任区域的负责人应当将应急预案相关内容和要求纳入到各自日常的工作范围，明确责任人和职责。

应急预案临时调用的各种资源和资金应当落实部门，必要时应建立信息安全应急专款。

安全事件不可能静止不变，随着计算机技术的发展、网络系统的升级、人员的变换，安全事件也在不断地变化。

应急响应不是在出现紧急情况才做出反应，而是在做好充分的事先准备和大量日常工作的基础上展开的有计划、按步骤的应急响应，以尽量阻止或减少危机事件发生。

三、结语
就对信息安全的定义来看，信息安全的保障主要从三个方面进行着手，一是保密性，就是采取主动的保障手段防止信息泄漏给未经授权的主体；二是完整性，就是能够采取有效的手段对抗针对系统和信息的主动攻击，已保障信息和信息系统不被未经授权的主题篡改；三是可用性，就是保证信息和信息系统确实能够为授权使用者在使
用需求情况下正常使用。

从作者所在单位的业务特点来看，还应该在上述三点的基础上附加上一条，就是信息和信息系统的可控性，比如，信息系统所支撑的关键业务应用有哪些，这些业务应用反过来对信息系统的要求分别是怎样的，信息系统的各个组件的运行状况是怎样的，分别处在什么样的威胁下等等。

要做到这一点就必须通过有效的技术和管理手段，既强调技术也注重管理，对于技术手段，目前已经显得容易解决了，我们从所在的行业来看，加强管理的措施和手段才是更关键的，比如本文所强调的安全风险与应急防护的手段等，所以作者认为只有做到对自己的信息系统心中有数了，才能对可能的安全事件有所准备，也只有对安全事件进行充分的准备了，才能做到信息系统的有效安全及对业务支撑的连续性。

因此，“有备无患”，“无患”是目标，“备”才是关键。