信息安全应急响应体系建设课程(PPT 83页)
合集下载
信息安全应急响应体系建设
信息安全应急响应体系建设引言随着科技的不断发展,信息技术已经成为现代社会生活和经济发展的核心驱动力。
同时,网络攻击的频繁发生也给信息技术带来了巨大威胁。
面对日益复杂的安全风险,企业和组织需要建立一个完善的应急响应体系,以快速和有效地对安全事件做出响应。
本文将探讨信息安全应急响应体系建设的相关问题。
什么是信息安全应急响应体系信息安全应急响应体系是企业和组织在安全事件发生后,采取的一系列应急措施、资源、组织结构和管理制度的整合,以实现对安全事件的快速应对、及时处理和有效防御。
信息安全应急响应体系包括以下三个关键环节:1.前置预防:通过建立安全防御和监控机制,有效预防安全事件的发生。
2.应急响应:在安全事件发生后,采取快速响应及时处置,保障业务的正常运营。
3.事后处置:对安全事件的原因和成因进行深入分析和总结,完善应急机制,防止类似事件再次发生。
信息安全应急响应体系的重要性建立完善的信息安全应急响应体系具有以下几个重要的作用:1.最大程度地减少安全事件对企业的损失:快速、有效地响应并处理安全事件,可以使事件的影响最小化,减少经济损失和信誉损失。
2.提升组织的应急响应能力:建立、实施和优化应急响应体系不仅有助于提升组织的应急能力,也能促进组织内部的事故管理和协调能力的提升。
3.确保业务的连续性:信息安全事件会对业务的正常运行产生影响。
建立完善的信息安全应急响应体系可以保障业务的连续性,并为业务的安全与稳定提供有效的保障和支持。
4.合规性要求:一些国际和国内的安全标准和法规对安全事件的响应要求进行了明确的规定,如国家信息安全等级保护制度和企业信息化贵州省数据中心安全备份规范,这些安全标准和法规的要求需要企业建立完善的应急响应机制。
如何实现信息安全应急响应体系建设下面将介绍实现信息安全应急响应体系建设的关键步骤:1. 确定应急响应需求企业或组织应确立的应急需求,包括:1.需要保护的信息系统、设备和数据;2.需要保卫的业务流程、交易和公众利益;3.需要采取的预警和预防措施;4.各种应急响应方案和应急响应各环节标准作业程序等。
应急预案信息化建设模板课件
定义与特点
定义
应急预案信息化建设是指利用信息技术手段,对各类应急预案进行数字化、网 络化、智能化的处理,以提高应急响应的速度和效果。
特点
信息化、智能化、网络化、数字化。
应急预案信息化建设的重要性
01
02
03
提高应急响应速度
通过信息化手段,可以快 速获取信息、传递指令, 缩短应急响应时间。
提高应急决策水平
02
应急预案信息化建设的核 心要素
信息化平台的建设
总结词
信息化平台是应急预案信息化建设的基础,包括硬件设施、软件系统、网络通信等方面 。
详细描述
信息化平台的建设需要考虑到硬件设施的稳定性、可靠性和可扩展性,以满足应急预案 的需求。同时,需要建立完善的软件系统,包括数据库、应用软件等,以支持应急预案 的信息化管理。此外,还需要建立高效的网络通信系统,以确保信息传递的及时性和准
案例二
总结词
预防为主、注重实效
详细描述
某企业针对可能发生的安全事故,制定了一 套应急预案,并进行了信息化建设。该预案 以预防为主,通过实时监测、预警分析等功 能,及时发现潜在的安全隐患,采取有效措 施进行处置。同时,预案注重实效,定期进 行演练和培训,确保员工熟悉应急流程,提 高应对安全事故的能力。
信息化手段可以提供全面 、准确的信息,帮助决策 者做出科学、合理的决策 。
提升应急处置能力
信息化手段可以整合各种 资源,提高应急处置的效 率和效果。
应急预案信息化建设的现状与趋势
现状
目前,我国应急预案信息化建设 已经取得了一定的成果,但仍存 在一些问题,如信息孤岛、数据 共享不足等。
趋势
未来,应急预案信息化建设将更 加注重智能化、云计算、大数据 等技术的应用,进一步提高信息 化建设的水平和效果。
信息系统安全应急响应处置培训课件
信息系统安全应急响应处置培 训课件
汇报人:可编辑
2023-12-27
CONTENTS
• 信息系统安全概述 • 应急响应流程 • 安全技术防范措施 • 安全管理制度与规范 • 应急预案制定与演练 • 安全意识教育与培训
01
信息系统安全概述
信息系统 数据、人员和过程等组件组成的 复合体,用于收集、存储、处理 、交换和保护信息。
安全培训效果的评估与改进
总结词
对安全培训效果进行评估和持续改进
详细描述
通过考试、问卷调查等方式对安全培训的效果进行评估,了解员工对安全知识和 技能的掌握程度。根据评估结果,对培训计划进行持续改进,提高培训效果和质 量。
谢谢您的聆听
THANKS
详细描述
通过定期开展信息安全意识培训,向 员工普及信息安全知识,提高员工对 信息安全的重视程度,增强员工的安 全意识。
安全培训计划的制定与实施
总结词
制定并实施全面的安全培训计划
详细描述
根据组织的需求和员工的岗位特点,制定全面的安全培训计划,包括安全基础 知识、安全操作技能、应急响应等方面的培训内容。通过线上或线下培训的方 式,确保员工能够全面掌握安全知识和技能。
详细描述
制定完善的数据备份计划,定期 进行数据备份和恢复演练。
总结词:数据加密可以有效保护 数据的安全性和机密性,而数据 备份则可以在数据丢失或损坏时 快速恢复数据。
根据数据的重要性和敏感程度, 选择合适的加密算法和加密强度 。
对备份数据进行加密存储和安全 管理,确保备份数据的安全性。
安全漏洞扫描与修复
03
安全技术防范措施
防火墙配置与监控
总结词:防火墙是保障信息系统安全的 重要手段,通过合理配置和监控,可以 有效防止外部攻击和恶意入侵。
汇报人:可编辑
2023-12-27
CONTENTS
• 信息系统安全概述 • 应急响应流程 • 安全技术防范措施 • 安全管理制度与规范 • 应急预案制定与演练 • 安全意识教育与培训
01
信息系统安全概述
信息系统 数据、人员和过程等组件组成的 复合体,用于收集、存储、处理 、交换和保护信息。
安全培训效果的评估与改进
总结词
对安全培训效果进行评估和持续改进
详细描述
通过考试、问卷调查等方式对安全培训的效果进行评估,了解员工对安全知识和 技能的掌握程度。根据评估结果,对培训计划进行持续改进,提高培训效果和质 量。
谢谢您的聆听
THANKS
详细描述
通过定期开展信息安全意识培训,向 员工普及信息安全知识,提高员工对 信息安全的重视程度,增强员工的安 全意识。
安全培训计划的制定与实施
总结词
制定并实施全面的安全培训计划
详细描述
根据组织的需求和员工的岗位特点,制定全面的安全培训计划,包括安全基础 知识、安全操作技能、应急响应等方面的培训内容。通过线上或线下培训的方 式,确保员工能够全面掌握安全知识和技能。
详细描述
制定完善的数据备份计划,定期 进行数据备份和恢复演练。
总结词:数据加密可以有效保护 数据的安全性和机密性,而数据 备份则可以在数据丢失或损坏时 快速恢复数据。
根据数据的重要性和敏感程度, 选择合适的加密算法和加密强度 。
对备份数据进行加密存储和安全 管理,确保备份数据的安全性。
安全漏洞扫描与修复
03
安全技术防范措施
防火墙配置与监控
总结词:防火墙是保障信息系统安全的 重要手段,通过合理配置和监控,可以 有效防止外部攻击和恶意入侵。
《应急响应》PPT课件
精选ppt
cnitse1c4
国内应急响应组建设情况
计算机网络基础设施已经严重依赖国外
由于地理、语言、政治等多种因素,安全服务不可能 依赖国外的组织
国内的应急响应服务组织还处在建设阶段
• CCERT(1999年5月),中国教育科研网紧急响应组
• NJCERT(1999年10月),中国教育网华东(北)地区网络 安全事件响应组
网络管理员安全培训 • 指导其它CSIRT(也称IRT、CERT)组织建设
精选ppt
cnitsec4
内容提要
应急响应服务背景 什么是应急响应 应急响应组的组建 应急响应服务的过程 应急响应服务的形式和内容 应急响应服务的指标 应急响应服务案例
精选ppt
cnitsec5
事件响应
事件响应:对发生在计算机系统或网络 上的威胁安全的事件进行响应。 事件响应是信息安全生命周期的必要组 成部分。这个生命周期包括:对策、检 测和响应。 网络安全的发展日新月异,谁也无法实 现一劳永逸的安全服务。
为什么需要成立应急响应组
• 容易协调响应工作
• 提高专业知识
• 提高效率
• 提高先期主动防御能力
• 更加适合于满足机构的需要
• 提高联络功能
• 提高处理制度障碍方面的能力
精选ppt
cnitse1c2
应急响应组的分类
国内的协调组织
国际间的协调组织 如CERT/CC, FIRST 国内的协调组织
如CNCERT/CC
• 美国国防部(DoD)在卡内基梅隆大学的软件工程研究 所成立了计算机应急响应组协调中心(CERT/CC)以协 调Internet上的安全事件处理。目前,CERT/CC是 DoD资助下的抗毁性网络系统计划(Networked Systems Survivability Program)的一部分,下设三个部 门:事件处理、脆弱性处理、计算机安全应急响应 组(CSIRT)。
24.安全应急响应PPT课件
计算机网络安全技术
2020/3/22
1
概述
▪ 安全应急响应的提出 ▪ CERT/CC和FIRST ▪ 基本概念
安全应急响应能力建设
▪ 应急响应的目标和范畴 ▪ 应急响应的策略体系 ▪ 应急响应组织体系 ▪ 应急响应的流程建设
应急响应运作的六个阶段 应急响应预案的编制 案例讨论
2020/3/22
2020/3/22
3
为了消除网络蠕虫,来自MIT,Berkeley, Purdue和其他大学的专家组成了一个特别 应急团队。
通过这次事件,DARPA(Defense Advanced Research Projects Agency,防御高级研究项 目机构)决定把Internet应急响应团队的概 念制度化。1988年11月底,CERT Coordination Center 在卡耐基梅隆大学软件 工程协会(SEI)正式成立。
120多个正式成员组织,覆盖20多个国家和地区。 FIRST的大量工作都是由来自各成员组织的志愿者完成
的,从FIRST 中获益的比例与IRT愿意提供的贡献成比例。 FIRST的目标,是在事件预防中培养合作和协调,推动
事件快速相应, 同时促进在会员间的大范围信息共享。
2020/3/22
10
CERT、CSIRT、CIRC
2
1988年11月,美国康乃尔大学一名研究生 在互联网上发布“网络蠕虫”程序,该程序 利用UNIX操作系统的漏洞通过网络渗透进
主机系统,被感染的计算机陷入瘫痪,因 为它们的处理能力被蠕虫程序的大量副本 消耗殆尽。尽管采取连续关闭Internet数天,
把许多站点和网络断开等严厉措施,仍然 有2100到2600台主机被感染(另一种说法 是6000台主机,占当时连接Inte紧急响应小组(CERT,Computer Emergency Response Team)
2020/3/22
1
概述
▪ 安全应急响应的提出 ▪ CERT/CC和FIRST ▪ 基本概念
安全应急响应能力建设
▪ 应急响应的目标和范畴 ▪ 应急响应的策略体系 ▪ 应急响应组织体系 ▪ 应急响应的流程建设
应急响应运作的六个阶段 应急响应预案的编制 案例讨论
2020/3/22
2020/3/22
3
为了消除网络蠕虫,来自MIT,Berkeley, Purdue和其他大学的专家组成了一个特别 应急团队。
通过这次事件,DARPA(Defense Advanced Research Projects Agency,防御高级研究项 目机构)决定把Internet应急响应团队的概 念制度化。1988年11月底,CERT Coordination Center 在卡耐基梅隆大学软件 工程协会(SEI)正式成立。
120多个正式成员组织,覆盖20多个国家和地区。 FIRST的大量工作都是由来自各成员组织的志愿者完成
的,从FIRST 中获益的比例与IRT愿意提供的贡献成比例。 FIRST的目标,是在事件预防中培养合作和协调,推动
事件快速相应, 同时促进在会员间的大范围信息共享。
2020/3/22
10
CERT、CSIRT、CIRC
2
1988年11月,美国康乃尔大学一名研究生 在互联网上发布“网络蠕虫”程序,该程序 利用UNIX操作系统的漏洞通过网络渗透进
主机系统,被感染的计算机陷入瘫痪,因 为它们的处理能力被蠕虫程序的大量副本 消耗殆尽。尽管采取连续关闭Internet数天,
把许多站点和网络断开等严厉措施,仍然 有2100到2600台主机被感染(另一种说法 是6000台主机,占当时连接Inte紧急响应小组(CERT,Computer Emergency Response Team)
信息安全应急响应体系建设
损失
3
信息安全应急响应 可以提升信息系统 的稳定性和可靠性
降低损失和风险
及时发现并处理安 全事件,降低损失
快速响应,降低安 全事件的影响范围
提高安全事件的处 理效率,降低风险
建立完善的应急响 应体系,降低安全
事件的发生概率
Байду номын сангаас息安全应急响 应的流程
监测与预警
01
建立实时监测系统,对网络、系统、应用等进行全面监控
应急演练的内容: 3 模拟真实场景,包 括攻击、检测、响 应、恢复等环节
培训的目的:提高 4 员工的安全意识和 应急响应能力
培训的内容:包括 5 信息安全基础知识、 应急响应流程、技 术操作等
培训的方式:线上、 6 线下相结合,定期 组织培训活动
谢谢
技术专家职 责:负责技 术问题的分 析和解决, 提供技术支 持和建议
管理人员职 责:负责应 急响应工作 的组织和协 调,确保应 急响应工作 的顺利进行
01
02
03
04
05
应急响应预案
01
制定目的:为应对信息安全突发事件, 保障信息系统安全稳定运行
02
预案内容:包括组织机构、职责分工、 应急流程、技术措施、信息报送等
03
预案启动条件:发生信息安全突发事件, 可能对信息系统造成严重影响
04
预案演练:定期组织应急演练,提高应 急响应能力
05
预案更新:根据实际情况,及时更新预 案内容,确保预案的有效性和实用性
应急演练与培训
应急演练的目的: 1 提高应急响应能力, 检验应急预案的有 效性
应急演练的频率: 2 定期进行,至少每 年一次
信息安全应急响应体系 建设
3
信息安全应急响应 可以提升信息系统 的稳定性和可靠性
降低损失和风险
及时发现并处理安 全事件,降低损失
快速响应,降低安 全事件的影响范围
提高安全事件的处 理效率,降低风险
建立完善的应急响 应体系,降低安全
事件的发生概率
Байду номын сангаас息安全应急响 应的流程
监测与预警
01
建立实时监测系统,对网络、系统、应用等进行全面监控
应急演练的内容: 3 模拟真实场景,包 括攻击、检测、响 应、恢复等环节
培训的目的:提高 4 员工的安全意识和 应急响应能力
培训的内容:包括 5 信息安全基础知识、 应急响应流程、技 术操作等
培训的方式:线上、 6 线下相结合,定期 组织培训活动
谢谢
技术专家职 责:负责技 术问题的分 析和解决, 提供技术支 持和建议
管理人员职 责:负责应 急响应工作 的组织和协 调,确保应 急响应工作 的顺利进行
01
02
03
04
05
应急响应预案
01
制定目的:为应对信息安全突发事件, 保障信息系统安全稳定运行
02
预案内容:包括组织机构、职责分工、 应急流程、技术措施、信息报送等
03
预案启动条件:发生信息安全突发事件, 可能对信息系统造成严重影响
04
预案演练:定期组织应急演练,提高应 急响应能力
05
预案更新:根据实际情况,及时更新预 案内容,确保预案的有效性和实用性
应急演练与培训
应急演练的目的: 1 提高应急响应能力, 检验应急预案的有 效性
应急演练的频率: 2 定期进行,至少每 年一次
信息安全应急响应体系 建设
信息系统安全应急响应处置培训课件ppt精品模板分享(带动画)
案例背景:介绍数据泄露事件的发生背景和影响范围
单击此处输入你的智能图形项正文,文字是您思想的提炼,请尽量言简意赅的阐述观点
应急响应流程:详细描述数据泄露事件应急响应的流程和步骤
单击此处输入你的智能图形项正文,文字是您思想的提炼,请尽量言简意赅的阐述观点
处置过程:详细描述数据泄露事件应急处置的具体过程和措施
单击此处输入你的智能图形项正文,文字是您思想的提炼,请尽量言简意赅的阐述观点
经验教训:总结此次数据泄露事件应急响应处置的经验教训,提出改进措施和建议
单击此处输入你的智能图形项正文,文字是您思想的提炼,请尽量言简意赅的阐述观点
案例分析:对本次数据泄露事件应急响应处置进行深入分析,探讨其成功经验和不足之处
理论讲授:介绍信息系统安全应急响应处置的基本概念、原则和方法
案例分析:通过典型案例,分析信息系统安全事件应急响应处置的流程和要点
模拟演练:组织学员进行模拟演练,提高学员应对信息系统安全事件的能力
互动讨论:鼓励学员提问和交流,加深对信息系统安全应急响应处置的理解和掌握
培训效果评估指标
培训效果评估方法
汇报人:
01
02
03
04
05
06
课件封面
副标题:提高应对能力,保障信息安全
培训目标:掌握应急响应处置流程,提高应对能力
标题:信息系统安全应急响应处置培训课件
姓名:XXX
职称:XXX
所属单位:XXX
联系方式:XXX
培训对象:信息系统安全应急响应处置人员
培训时间:XXXX年XX月XX日
培训地点:XX培训中心
受害情况:描述受攻击单位或系统的受害情况,包括系统瘫痪、数据泄露等
应急响应处置过程:详细介绍应急响应处置小组的成立、处置措施、协调合作等方面的内容
信息系统安全应急响应处置培训课件
保障业务连续性
应急响应处置能够快速恢 复信息系统,保障业务的 连续性,提高组织的竞争 力。
提高安全管理水平
应急响应处置能够发现安 全漏洞和不足,提高安全 管理的水平和意识。
02
信息系统安全应急响应处 置流程
发现安全事件
安全监测与预警
通过安全监测系统、日志分析等技术手段,及时发现潜在的 安全事件。
次发生。
经验教训
加强数据保护和隐私政策宣传 ,定期进行数据安全审计和风
险评估。
05
信息系统安全应急响应处 置经验分享
成功经验分享
及时响应
在信息系统遭受攻击时,及时发现并启动应急响应机制,有效减 少损失。
团队协作
各部门之间紧密协作,信息共享,形成合力,提高应急响应效率。
预案完善
制定详细、实用的应急预案,为应急响应提供明确的指导。
清除恶意软件
使用杀毒软件或专杀工具清除恶意软件。
恢复数据和系统
对受影响的系统和数据进行恢复和加固。
经验教训
加强系统安全防护,定期更新补丁和密码,限制不必要的网络访 问权限。
案例三:数据泄露事件的应急响应处置
• 数据泄露事件概述:数据泄露是指敏感信息被非 法获取或泄露给未经授权的第三方。
案例三:数据泄露事件的应急响应处置
案例一:DDoS攻击的应急响应处置
应急响应流程 发现攻击:通过监控系统或安全设备检测到异常流量。
切断攻击源:通过防火墙等设备隔离攻击流量。
案例一:DDoS攻击的应急响应处置
清理系统
01
清除攻击者植入的恶意代码或僵尸程序。
恢复服务
02
重新启动受影响的系统和服务,确保正常运行。
经验教训
信息安全应急响应与风险评估及加固 PPT
对业务过程的支持而涉及到IT
提供灾难发生后立即恢复业务 运行的流程
涉及到业务过程;并不关注IT; 仅限据其对业务过程的支持 而涉及到IT
提供在30天之内在备用站点 涉及到被认为是最关键的机
保持机构必要的战略功能的能 构使命子集;通常在总部级
力
制定;不关注IT
提供恢复主应用或通用支撑系 同IT应急计划;涉及到IT系统
应用系统、 数据安全
应数IS据用O1安系54全0统8(、CC)
ISO15408(CC在全)保内障部要管求理
环
境在下内的部安管 理在环复境杂下管的理安环 全保障要求 全保障要求
境在下复的杂安管 理在环强境对下抗的环安境下在的强安对全抗环境下的安全
全保障要求 保障要求
保障要求
整体框架
整IGAB体TF1框83信架36息
保障
技IA术TF框信架息;保 GB 18336
障技
术
框
架;
18
风险评估的主要内容
资产调查
IT设备弱点评估
安
业
全
务
威
分
胁
析
评
估
渗透测试
工具扫描弱点 主机弱点人工评估 网络配置弱点评估 安全设备弱点评估
网络架构安全评估 业务系统安全评估
安全管理评估
操作系统弱点评估 数据库弱点评估
风险分析
19
风险评估实施流程
ISOIS1SP5O841007087-,9953,满本IS要足O1求安540全8
管,
理
需满要足的安基全 本要求
管通理过需良要好的定基义过通程过来良提好 定对义安过全程管来理提能力对进安行全计管理能力进行计
高安全管理能力高安全管理能划力和跟踪
信息系统安全应急响应处置培训课件(ppt 69页)
22
信息安全应急响应流程—事后活动阶段
应急响应情况报告
1)由应急响应实施小组报告应急事件的 处置情况。 2)由应急响应领导小组下达应急响应结 束的指令。
应急事件调查
1)对应急事件发生的原因进行调查。 2)评估应急事件对信息系统造成的损失。 3)评估应急事件对单位、组织带来的影响。
应急响应总结
1)对存在的风险点进行加固和整改。 2)评价应急预案的执行情况和后续改进计划。 3)对应急响应组织成员进行评价,表彰立功人员。
能力恢复 。。。。。。
Page 14
14
应急事件类型
有害程序事件
网络攻击事件
信息破坏事件
设备设施故障
灾害性事故
计算机病毒事件拒绝服务攻击事件 信息篡改事件 软硬件自身故障 自然灾害
蠕虫事件
后门攻击事件 信息假冒事件 外围保障设施故障 人为灾害
特洛伊木马事件 漏洞攻击事件 信息泄露事件 人为破坏事件
信息系统安全应急响应处置
Page 1
1
樊运安 协会专家组成员 CISSP CISP COBIT ITIL
介绍
Page 2
2
目录
应急响应体系 应急响应案例 其他
Page 3
3
应急响应定义1
应急响应(Emergency response) 组织为了应对突发/重大信息安全事件的发生所做的准备,已及在事件 发生后所采取的的措施。——(信息安全应急响应计划规范GB/T 24363-2009)
Page 4
4
应急响应的定义2
应急响应通常是指一个组织为了应对各种意外事件的发生所做的准 备以及在事件发生后所采取的措施。
信息系统安全事件应急响应的对象是指针对信息系统所存储、传 输、处理的信息的安全事件。事件的主体可能来自自然界、系统自身 故障、组织内部或外部的人为攻击等。按照信息系统安全的三个特性, 可以把安全事件定义为破坏信息或信息处理系统 CIA 的行为,即破坏 保密性的安全事件、破坏完整性的安全事件和破坏可用性的安全事件 等。 ——(信息系统等保体系框架GA/T 708-2007)
信息安全应急响应流程—事后活动阶段
应急响应情况报告
1)由应急响应实施小组报告应急事件的 处置情况。 2)由应急响应领导小组下达应急响应结 束的指令。
应急事件调查
1)对应急事件发生的原因进行调查。 2)评估应急事件对信息系统造成的损失。 3)评估应急事件对单位、组织带来的影响。
应急响应总结
1)对存在的风险点进行加固和整改。 2)评价应急预案的执行情况和后续改进计划。 3)对应急响应组织成员进行评价,表彰立功人员。
能力恢复 。。。。。。
Page 14
14
应急事件类型
有害程序事件
网络攻击事件
信息破坏事件
设备设施故障
灾害性事故
计算机病毒事件拒绝服务攻击事件 信息篡改事件 软硬件自身故障 自然灾害
蠕虫事件
后门攻击事件 信息假冒事件 外围保障设施故障 人为灾害
特洛伊木马事件 漏洞攻击事件 信息泄露事件 人为破坏事件
信息系统安全应急响应处置
Page 1
1
樊运安 协会专家组成员 CISSP CISP COBIT ITIL
介绍
Page 2
2
目录
应急响应体系 应急响应案例 其他
Page 3
3
应急响应定义1
应急响应(Emergency response) 组织为了应对突发/重大信息安全事件的发生所做的准备,已及在事件 发生后所采取的的措施。——(信息安全应急响应计划规范GB/T 24363-2009)
Page 4
4
应急响应的定义2
应急响应通常是指一个组织为了应对各种意外事件的发生所做的准 备以及在事件发生后所采取的措施。
信息系统安全事件应急响应的对象是指针对信息系统所存储、传 输、处理的信息的安全事件。事件的主体可能来自自然界、系统自身 故障、组织内部或外部的人为攻击等。按照信息系统安全的三个特性, 可以把安全事件定义为破坏信息或信息处理系统 CIA 的行为,即破坏 保密性的安全事件、破坏完整性的安全事件和破坏可用性的安全事件 等。 ——(信息系统等保体系框架GA/T 708-2007)
信息系统应急培训ppt课件
信息系统故障
报信息中心 (8216、2233)
技术排查
15分钟内
时间
超15分钟
故障排除
报应急领 导小组
正常处理业务
启动应急 预案
5
命处实(疗 注
令理际医的
。模情生基 意 : 式 况 、 本
,灵收原 无活费则 本 需处、, 着 等置药各 不 待,房工 影 应酌)作 响 急情可环 患 预启根节 者 案用据和 检 启手现人 查 动工场员 治
PPT学习交流
门诊秩序维护
❖“信息系统应急预案”启动时,门诊部负责 通知各诊室启动手工模式并协助做好门诊秩 序的维持工作,且通知有关人员做好向患者 的告知工作,以保证医院门急诊医疗业务的 有序开展。
6
PPT学习交流
门诊医生工作站应急措施
❖医生手工开具处方或申请单并明确告知患者:
❖⑴药品到各药房划价窗口划价,然后到各收款窗口交 费;
2
PPT学习交流
应急管理组织架构---领导小组
组长 (院长)
副组长 (各分管院长)
应 急 办
财 务 部
药 学 部
Байду номын сангаас
门医 诊务 部部
护 理 部
医 保 办
后 勤 服 务 部
信 息 中 心
临 床 医 技 科 室
3
PPT学习交流
应急工作分工与协调
❖ 信息系统应急领导小组:宣布启动/终止应急预案。 ❖ 各管理科室:通知所负责的部门及人员进入应急工作模式,并做好
10
PPT学习交流
病房医生站应急措施
❖“信息系统应急预案”启动时,医生手工开具医 嘱或申请单并明确告知患者到相应执行科室做检 验(护士手工标注采样编号及时间)、检查,系 统恢复后再补录医嘱及费用。
报信息中心 (8216、2233)
技术排查
15分钟内
时间
超15分钟
故障排除
报应急领 导小组
正常处理业务
启动应急 预案
5
命处实(疗 注
令理际医的
。模情生基 意 : 式 况 、 本
,灵收原 无活费则 本 需处、, 着 等置药各 不 待,房工 影 应酌)作 响 急情可环 患 预启根节 者 案用据和 检 启手现人 查 动工场员 治
PPT学习交流
门诊秩序维护
❖“信息系统应急预案”启动时,门诊部负责 通知各诊室启动手工模式并协助做好门诊秩 序的维持工作,且通知有关人员做好向患者 的告知工作,以保证医院门急诊医疗业务的 有序开展。
6
PPT学习交流
门诊医生工作站应急措施
❖医生手工开具处方或申请单并明确告知患者:
❖⑴药品到各药房划价窗口划价,然后到各收款窗口交 费;
2
PPT学习交流
应急管理组织架构---领导小组
组长 (院长)
副组长 (各分管院长)
应 急 办
财 务 部
药 学 部
Байду номын сангаас
门医 诊务 部部
护 理 部
医 保 办
后 勤 服 务 部
信 息 中 心
临 床 医 技 科 室
3
PPT学习交流
应急工作分工与协调
❖ 信息系统应急领导小组:宣布启动/终止应急预案。 ❖ 各管理科室:通知所负责的部门及人员进入应急工作模式,并做好
10
PPT学习交流
病房医生站应急措施
❖“信息系统应急预案”启动时,医生手工开具医 嘱或申请单并明确告知患者到相应执行科室做检 验(护士手工标注采样编号及时间)、检查,系 统恢复后再补录医嘱及费用。
信息系统安全应急响应处置培训课件
信息安全风险评估
定期对信息系统进行安全风险 评估,识别潜在的安全威胁和
漏洞。
安全培训与教育
加强员工的信息安全意识培训 和教育,提高员工的安全防范 意识和技能水平。
安全策略优化
根据风险评估结果,优化信息 安全策略,包括访问控制、加 密通信、防病毒等策略。
持续改进
建立信息安全持续改进机制, 不断跟踪新技术和新威胁,及 时调整和优化信息安全管理体
信息系统安全应急响应 处置培训课件
汇报人: 2023-12-23
contents
目录
• 信息系统安全概述 • 应急响应计划制定 • 预防措施与日常管理 • 事件发生时的处置流程 • 恢复策略及后期处理 • 实战演练与案例分析
信息系统安全概述
01
信息安全定义与重要性
信息安全定义
信息安全是指保护信息系统免受未经授权的访问、使用、泄露、破坏或修改, 确保信息的机密性、完整性和可用性。
建立补丁测试机制
在正式环境应用补丁前, 先在测试环境中进行验证 ,确保补丁不会影响系统 的正常运行。
提升员工安全意识培训
开展安全意识教育
定期组织员工参加安全意识培训 ,提高员工对信息安全的认识和
重视程度。
制定安全操作规范
制定详细的安全操作规范,明确员 工在日常工作中需要遵守的安全规 定。
建立奖惩机制
探讨人工智能、区块链、云安全等新兴技术在信息安全领域的应用前景和挑战,激发学员 的创新思维和实践能力。
行业发展趋势和热点话题讨论
围绕当前信息安全领域的热点话题和发展趋势展开讨论,如数据安全、工业互联网安全、 供应链安全等,帮助学员把握行业脉搏和未来发展方向。
THANKS.
系。
信息安全事件与应急响应ppt
提高应急响应能力
建立信息安全应急响应小组, 负责制定应急预案、开展应急 演练和应对信息安全事件。
对重要信息系统进行备份和恢 复能力的建设,确保在系统发 生故障或安全事件时能够迅速 恢复业务。
定期开展应急演练,发现应急 响应中存在的问题并及时加以 改进。
与外部安全机构保持紧密联系 ,以便在安全事件发生时能够 获得及时的帮助和支持。
基于风险的评估
01
通过对组织的信息资产进行评估,确定其面临的安全风险,并
针对高风险事件制定相应的应对措施。
基于威胁的评估
02
通过分析潜在攻击者的能力、意图和动机,评估组织面临的安
全威胁。
基于漏洞的评估
03
通过对信息系统进行漏洞扫描和评估,了解系统脆弱性,并针
对关键漏洞进行修复。
信息安全事件评估流程
信息安全事件识别
1 2
异常行为识别
通过监测系统或用户行为,识别出异常操作或 可疑迹象,如未经授权的访问、数据篡改等。
漏洞利用识别
针对已知的安全漏洞进行识别,如系统漏洞、 应用漏洞等。
3
威胁情报识别
通过收集和分析网络威胁情报,识别出潜在的 安全威胁,如高级持久性威胁(APT)攻击。
信息安全事件评估方法
某金融机构信息安全事件案例分析
事件描述
某金融机构的数据库遭到黑客攻击黑客通过伪造证书和权限获得了数据库访问权限。
处理结果
该机构立即启动应急响应计划,联系客户并提醒其注意信息安全。同时,加强了内部安全 管理和数据库防护,防止类似事件再次发生。
某大型企业的内部网络受到未知病毒攻击,导致部分系统瘫痪。
事件原因
该企业的防病毒软件未及时更新,无法有效检测和防御病毒攻击。
信息系统安全应急响应处置培训课件ppt
应急响应流程
事件识别与通报
总结词
及时发现并确认安全事件
总结词
及时通知相关人员
详细描述
通过监控系统、日志分析等手段,及 时发现异常行为或潜在的安全威胁, 并进行初步判断和分类。
详细描述
一旦发现安全事件,立即通过电话、 短信、邮件等方式通知相关人员,确 保应急响应团队快速响应。
紧急处置与隔离
总结词
采取紧急措施控制事态发展
。
安全技能培训
组织安全技能培训课程,提升员 工的安全操作能力和应急处理能
力。
安全文化推广
通过各种途径推广安全文化,营 造全员参与、共同维护信息安全
的工作氛围。
PART 05
案例分析与实践操作
某企业信息系统安全事件应急处置案例分析
案例背景
某企业在应对一次信息系统安全事件时,由于缺乏有效的应急响 应机制,导致数据泄露和业务中断。
安全漏洞扫描与修复
总结词
了解安全漏洞的基本概念、扫描方法以及修 复流程,及时发现和解决系统存在的安全漏 洞。
详细描述
介绍安全漏洞的概念和分类,以及漏洞扫描 的作用和工作原理;重点讲解漏洞扫描的方 法和工具,如何选择合适的扫描器并制定扫 描计划;同时介绍漏洞修复的流程,包括确 认漏洞、分析漏洞原因、制定修复方案和实 施修复等;最后强调漏洞扫描与修复的重要 性和注意事项。
总结词
防止事件扩大和蔓延
详细描述
根据事件性质和影响范围,采取相应的紧 急措施,如关闭服务、隔离网络等,以减 小损失和影响。
详细描述
及时采取措施防止安全事件进一步扩大和 蔓延,例如限制访问、阻止恶意代码传播 等。
事件分析与取证
01
02
总结词
事件识别与通报
总结词
及时发现并确认安全事件
总结词
及时通知相关人员
详细描述
通过监控系统、日志分析等手段,及 时发现异常行为或潜在的安全威胁, 并进行初步判断和分类。
详细描述
一旦发现安全事件,立即通过电话、 短信、邮件等方式通知相关人员,确 保应急响应团队快速响应。
紧急处置与隔离
总结词
采取紧急措施控制事态发展
。
安全技能培训
组织安全技能培训课程,提升员 工的安全操作能力和应急处理能
力。
安全文化推广
通过各种途径推广安全文化,营 造全员参与、共同维护信息安全
的工作氛围。
PART 05
案例分析与实践操作
某企业信息系统安全事件应急处置案例分析
案例背景
某企业在应对一次信息系统安全事件时,由于缺乏有效的应急响 应机制,导致数据泄露和业务中断。
安全漏洞扫描与修复
总结词
了解安全漏洞的基本概念、扫描方法以及修 复流程,及时发现和解决系统存在的安全漏 洞。
详细描述
介绍安全漏洞的概念和分类,以及漏洞扫描 的作用和工作原理;重点讲解漏洞扫描的方 法和工具,如何选择合适的扫描器并制定扫 描计划;同时介绍漏洞修复的流程,包括确 认漏洞、分析漏洞原因、制定修复方案和实 施修复等;最后强调漏洞扫描与修复的重要 性和注意事项。
总结词
防止事件扩大和蔓延
详细描述
根据事件性质和影响范围,采取相应的紧 急措施,如关闭服务、隔离网络等,以减 小损失和影响。
详细描述
及时采取措施防止安全事件进一步扩大和 蔓延,例如限制访问、阻止恶意代码传播 等。
事件分析与取证
01
02
总结词
应急响应体系建设
端口扫描, 输出的,不 正常的 利用带宽高 利用电子邮 件
高
Hale Waihona Puke 低中低低
高
中
低
高 中
中 高
低 中
中 中
事故优先级——服务水平协议
• ƒ 服务水平协议(SLA )
– 定义服务目标及双方的预期及责任
• ƒ 服务水平协议指标
应急响应服务的指标
• ƒ 远程应急响应服务
– 在确认客户的应急响应请求后? 小时内,交与相关应急 响应人员进行处理。无论是否解决,进行处理的当天 必须返回响应情况的简报,直到此次响应服务结束。
• ƒ 本地应急响应服务
– 对本地范围内的客户,?小时内到达现场;对异地的 客户,?小时加路途时间内到达现场。
应急响应SLA 矩阵
事故当前或将来可能影响的资源的重要性 事故当前或将来可 能的影响 高(例如:互联网 连接,公共Web服 务器,防火墙,客 户数据) 中(例如:系统管 理 员工作站,文件和 打 印服务器,XYZ 应用 数据) 30分钟 30分钟 1 小时 2 小时 2 小时 不限 低(例如:用户工 作 站)
ƒ 使用互联网搜索引擎进行研究 ƒ 运行包嗅探器以搜集更多的数据 ƒ 过滤数据 ƒ 经验是不可替代的 ƒ 建立诊断矩阵 ƒ 寻求帮助
诊断矩阵实例
征兆 文件,关键, 访问尝试 文件,不适 当的内容 主机崩溃 拒绝服务 低 低 中 恶意代码 中 中 中 非授权访问 高 低 中 不正确使用 低 高 低
端口扫描, 输入的,不 正常的
– 系统级演练; – 应用级演练; – 业务级演练等
• 根据演练和演习的准备情况,可分为:
– 计划内的演练和演习; – 计划外的演练和演习等
36
预案维护管理
高
Hale Waihona Puke 低中低低
高
中
低
高 中
中 高
低 中
中 中
事故优先级——服务水平协议
• ƒ 服务水平协议(SLA )
– 定义服务目标及双方的预期及责任
• ƒ 服务水平协议指标
应急响应服务的指标
• ƒ 远程应急响应服务
– 在确认客户的应急响应请求后? 小时内,交与相关应急 响应人员进行处理。无论是否解决,进行处理的当天 必须返回响应情况的简报,直到此次响应服务结束。
• ƒ 本地应急响应服务
– 对本地范围内的客户,?小时内到达现场;对异地的 客户,?小时加路途时间内到达现场。
应急响应SLA 矩阵
事故当前或将来可能影响的资源的重要性 事故当前或将来可 能的影响 高(例如:互联网 连接,公共Web服 务器,防火墙,客 户数据) 中(例如:系统管 理 员工作站,文件和 打 印服务器,XYZ 应用 数据) 30分钟 30分钟 1 小时 2 小时 2 小时 不限 低(例如:用户工 作 站)
ƒ 使用互联网搜索引擎进行研究 ƒ 运行包嗅探器以搜集更多的数据 ƒ 过滤数据 ƒ 经验是不可替代的 ƒ 建立诊断矩阵 ƒ 寻求帮助
诊断矩阵实例
征兆 文件,关键, 访问尝试 文件,不适 当的内容 主机崩溃 拒绝服务 低 低 中 恶意代码 中 中 中 非授权访问 高 低 中 不正确使用 低 高 低
端口扫描, 输入的,不 正常的
– 系统级演练; – 应用级演练; – 业务级演练等
• 根据演练和演习的准备情况,可分为:
– 计划内的演练和演习; – 计划外的演练和演习等
36
预案维护管理
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
• 在灾难来临前使相关人员了解熟悉恢复流 程
• 使应急响应预案得到理解并可以使用 • 促进应急响应预案活动、更新、实用 • 展示恢复的能力 • 达到法律和内部审计要求
34
演练与演习的类型
• 演练和演习的主要方式有: 参见应急演练脚本
– 桌面演练;
– 模拟演练;
– 实战演练等
• 根据演练和演习的深度,可分为:
宏观:
建立协作体系和应急制度 建立信息沟通渠道和通报机制 如有条件,建立数据汇总分析的体系和能力 有关法律法规的制定
10
第一阶段—准备
制定应急响应计划 资源准备
应急经费筹集 人力资源 软硬件设备 现场备份 业务连续性保障
•系统容灾 •搭建临时业务系统
11
人力资源准备
• ƒ指挥调度人员 • ƒ协作人员 • ƒ技术人员 • ƒ专家 • ƒ设备、系统和服务提供商
32
应急响应预案的制定
成功预案的特点
• 清楚、简洁 • 高级管理层支持/组织
承诺 • 不断改进和更新的恢
复策略 • 及时的更新维护
组织职责分工明确 保留、备份和异地存储计划 完整记录并定期演练 风险得到管理 弱点得到优先重视 灵活、可适应
33
应急响应预案的教育、培训和演练
14
建立事件报告的机制和要求
建立事件报告流 程和规范
15
第二阶段—确认
确定事件性质和处理人 微观(负责具体网络的CERT):
确定事件的责任人
指定一个责任人全权处理此事件 给予必要的资源
确定事件的性质
误会?玩笑?还是恶意的攻击/入侵? 影响的严重程度 预计采用什么样的专用资源来修复?
宏观(负责总体网络的CERT):
• ƒ远程应急响应服务
– 在确认客户的应急响应请求后? 小时内,交与相关应急 响应人员进行处理。无论是否解决,进行处理的当天 必须返回响应情况的简报,直到此次响应服务结束。
• ƒ本地应急响应服务
– 对本地范围内的客户,?小时内到达现场;对异地的 客户,?小时加路途时间内到达现场。
22
应急响应SLA 矩阵
– 系统级演练;
– 应用级演练;
– 业务级演练等
• 根据演练和演习的准备情况,可分为:
– 计划内的演练和演习;
– 计划外的演练和演习等
35
预案维护管理
• 核对预案的功能性 • 验证预案文档的精确性和完整性 • 分发更新的文档
– 文档计划分发和发布流程 – 确保相关的团队收到更新的文档
• 依靠维护来改变管理流程 • 提供培训作为持续维护预案的一部分
• 关键人员的变化
• 硬件配置的变化 《应急预案管理制度》
• 使用新操作系统
• 预案审核和演练后
• 软件/应用软件的变化
• 新的法律或审计要求
• 定期审核和更新——如:每年两次
37
应急预案变更记录
页码
变化记录
变化备注
变化日期
签名
38
应急响应体系建设流程
应
风险评估
急
响 应
参见XXX应急体
计 划
业务影响分析
响应预案的问题提交、解决、更新、跟踪、发布的渠道和流 程。 – 第三,建立相关的保密管理规定,保证应急响应预案中涉及 的秘密信息得到保护。 – 第四,应急响应预案在内容管理方面应注意内容的分布和粒 度,可根据版本和内容的更新频度将应急响应的内容进行适 当的分布。 – 第五,建立合理的应急响应预案的保管制度,强调存放的安 全性和易取得性。
– 为与应急响应的相关人员开展定期培训,如:复习进修 课程或灾难备份研讨会
– 指派培训责任,如:部门经理要确保员工被送去参加培 训
• 完成时报告预案维护情况 • 毁掉旧应急响应预案的复印件或电子版本 36
。
预案变更管理
• 业务操作的增长或变化
– 如:新的分支、产品和业务功能的增加
• 公司所有权的变化
4
应急响应与应急响应体系的关系
5
政策要求
《关于加强信息安全保障工作的意见》(中办发 『2003』27号文)指出:“信息安全保障工作的 要点在于,实行信息安全等级保护制度,建设基 于密码技术的网络信任体系,建设信息安全监控 体系,重视信息安全应急处理工作,推动信息安 全技术研发与产业发展,建设信息安全法制与标 准”
• 什么是应急响应和应急响应体系
•
• 应急响应的六大阶段
•
• 应急预案的编制和管理
•
• 应急响应体系建立流程
•
• 典型应急响应体系建设案例
1
基本概念
安全事件(Security Accident) 而安全事件则是指影响一个系统正常工作的情况 。这里的系统包括主机范畴内的问题,也包括网 络范畴内的问题,例如黑客入侵、信息窃取、拒 绝服务攻击、网络流量异常等。
应急响应(Emergency Response) 是指组织为了应对突发/重大信息安全事件的发 生所做的准备以及在事件发生后所采取的措施。
应急响应是信息安全防护的最后一道防线!
2
基本概念
应急响应体系(Emergency Response System) 是指在突发/重大信息安全事件后对包括计算
– 确定风险场景 – 描述可能受到的业务影响 – 描述使用的预防性策略 – 描述应急响应策略 – 识别和排列关键应用系统 – 行动计划 – 团队和人员的职责 – 联络清单 – 所需资源配置
31
应急响应预案的制定
• 制定应急响应预案的原则
– 首先,必须集中管理应急响应预案的版本和发布。 – 其次,为了建立有效的版本控制体系,必须建立规范的应急
制事故)
– 解决方案的期限(例如:紧急事故工作区需在 4 小时内清除,临时工作区需在两周内清除, 25 永久的解决方案)。
例:基于DDOS 攻击的遏制策略
1. 基于攻击特征实施过滤。 2. 纠正正在被攻击的漏洞或弱点 3. 让ISP 实施过滤 4. 重定位目标 5. 攻击攻击者 6. 设定证据保留时间
事故当前或将来可 能的影响
Root级访问 非授权的数据修改 对敏感信息的非授 权访问 非授权的用户级访 问 服务不可用 骚扰
事故当前或将来可能影响的资源的重要性
高(例如:互联网 连接,公共Web服 务器,防火墙,客 户数据)
中(例如:系统管 理
员工作站,文件和 打 印服务器,XYZ 应用 数据)
低(例如:用户工 作 站)
正常的
端口扫描, 输出的,不
正常的
利用带宽高
利用电子邮 件
拒绝服务 低 低 中 高
低
高 中
恶意代码 中
非授权访问 不正确使用
高
低
中
低
高
中
中
低
低
中
低
高
中
低中低中来自高中中
20
事故优先级——服务水平协议
• ƒ服务水平协议(SLA )
– 定义服务目标及双方的预期及责任
• ƒ服务水平协议指标
21
应急响应服务的指标
建立跟踪文档,规范记录跟踪结果 对响应效果给出评估 对进入司法程序的事件,进行进一步的调查
,打击违法犯罪活动
29
事件的归档与统计
处理人 时间和时段 地点 工作量 事件的类型 对事件的处置情况 代价 细节
30
应急响应预案的制定
• 应急响应预案的包括的主要内容
26
第四阶段—根除
长期的补救措施 微观:
•详细分析,确定原因,定义征兆 •分析漏洞 •加强防范 •消除原因 •修改安全政策
宏观:
•加强宣传,公布危害性和解决办法,呼吁用户解决 终端的问题; •加强检测工作,发现和清理行业与重点部门的问题;
27
第五阶段—恢复
微观:
被攻击的系统恢复正常的工作状态
12
软硬件设备准备
• ƒ硬件设备准备
数据保护设备
• 磁盘、磁带、光盘 • SAN
冗余设备
• ƒ网络链路、网络设备 • ƒ关键计算机设备
• Any else?
13
软硬件设备准备
• ƒ软件工具准备 • 备份软件 • 日志处理软件 • 系统软件 • 网络软件 • 应急启动盘 • Any else? • 病毒/ 恶意软件查杀软件
系_项目计划
的 编
_080821_C1
制
准
备
制定应急响应策略
编制应急响应计划文档
应急响应计划的测试、培 训、演练和维护
应急响应计划的测试 、培训和演练
应急响应计划的管理 和维护
39
信息安全应急响应计划编制方法
7
相关标准
GB/T 24364-2009 《信息安全技术 信息安全应 急响应计划规范》
GB/T 20988-2007 《信息安全技术 信息系统应急 响应规范》
GB/Z 20985-2007 《信息技术 安全技术 信息安 全事件管理指南》
GB/Z 20986-2007 《信息安全技术 信息安全事件 分类分级指南》
机运行在内的业务运行进行维持或恢复的各种技 术和管理策略和规程。
信息安全应急响应体系的制定是一个周而复 始、持续改进的过程,包含以下几个阶段:
(1)应急响应需求分析和应急响应策略的确定; (2)编制应急响应计划文档; (3)应急响应计划的测试、培训、演练和维护。
3
应急响应目的
• 应急响应服务的目的是尽可能地减小和控 制住网络安全事件的损失,提供有效的响 应和恢复指导,并努力防止安全事件的发 生。
8
应急响应六阶段
第一阶段:准备——让我们严阵以待 第二阶段:确认——对情况综合判断 第三阶段:遏制——制止事态的扩大 第四阶段:根除——彻底的补救措施 第五阶段:恢复——系统恢复常态 第六阶段:跟踪——还会有第二次吗
• 使应急响应预案得到理解并可以使用 • 促进应急响应预案活动、更新、实用 • 展示恢复的能力 • 达到法律和内部审计要求
34
演练与演习的类型
• 演练和演习的主要方式有: 参见应急演练脚本
– 桌面演练;
– 模拟演练;
– 实战演练等
• 根据演练和演习的深度,可分为:
宏观:
建立协作体系和应急制度 建立信息沟通渠道和通报机制 如有条件,建立数据汇总分析的体系和能力 有关法律法规的制定
10
第一阶段—准备
制定应急响应计划 资源准备
应急经费筹集 人力资源 软硬件设备 现场备份 业务连续性保障
•系统容灾 •搭建临时业务系统
11
人力资源准备
• ƒ指挥调度人员 • ƒ协作人员 • ƒ技术人员 • ƒ专家 • ƒ设备、系统和服务提供商
32
应急响应预案的制定
成功预案的特点
• 清楚、简洁 • 高级管理层支持/组织
承诺 • 不断改进和更新的恢
复策略 • 及时的更新维护
组织职责分工明确 保留、备份和异地存储计划 完整记录并定期演练 风险得到管理 弱点得到优先重视 灵活、可适应
33
应急响应预案的教育、培训和演练
14
建立事件报告的机制和要求
建立事件报告流 程和规范
15
第二阶段—确认
确定事件性质和处理人 微观(负责具体网络的CERT):
确定事件的责任人
指定一个责任人全权处理此事件 给予必要的资源
确定事件的性质
误会?玩笑?还是恶意的攻击/入侵? 影响的严重程度 预计采用什么样的专用资源来修复?
宏观(负责总体网络的CERT):
• ƒ远程应急响应服务
– 在确认客户的应急响应请求后? 小时内,交与相关应急 响应人员进行处理。无论是否解决,进行处理的当天 必须返回响应情况的简报,直到此次响应服务结束。
• ƒ本地应急响应服务
– 对本地范围内的客户,?小时内到达现场;对异地的 客户,?小时加路途时间内到达现场。
22
应急响应SLA 矩阵
– 系统级演练;
– 应用级演练;
– 业务级演练等
• 根据演练和演习的准备情况,可分为:
– 计划内的演练和演习;
– 计划外的演练和演习等
35
预案维护管理
• 核对预案的功能性 • 验证预案文档的精确性和完整性 • 分发更新的文档
– 文档计划分发和发布流程 – 确保相关的团队收到更新的文档
• 依靠维护来改变管理流程 • 提供培训作为持续维护预案的一部分
• 关键人员的变化
• 硬件配置的变化 《应急预案管理制度》
• 使用新操作系统
• 预案审核和演练后
• 软件/应用软件的变化
• 新的法律或审计要求
• 定期审核和更新——如:每年两次
37
应急预案变更记录
页码
变化记录
变化备注
变化日期
签名
38
应急响应体系建设流程
应
风险评估
急
响 应
参见XXX应急体
计 划
业务影响分析
响应预案的问题提交、解决、更新、跟踪、发布的渠道和流 程。 – 第三,建立相关的保密管理规定,保证应急响应预案中涉及 的秘密信息得到保护。 – 第四,应急响应预案在内容管理方面应注意内容的分布和粒 度,可根据版本和内容的更新频度将应急响应的内容进行适 当的分布。 – 第五,建立合理的应急响应预案的保管制度,强调存放的安 全性和易取得性。
– 为与应急响应的相关人员开展定期培训,如:复习进修 课程或灾难备份研讨会
– 指派培训责任,如:部门经理要确保员工被送去参加培 训
• 完成时报告预案维护情况 • 毁掉旧应急响应预案的复印件或电子版本 36
。
预案变更管理
• 业务操作的增长或变化
– 如:新的分支、产品和业务功能的增加
• 公司所有权的变化
4
应急响应与应急响应体系的关系
5
政策要求
《关于加强信息安全保障工作的意见》(中办发 『2003』27号文)指出:“信息安全保障工作的 要点在于,实行信息安全等级保护制度,建设基 于密码技术的网络信任体系,建设信息安全监控 体系,重视信息安全应急处理工作,推动信息安 全技术研发与产业发展,建设信息安全法制与标 准”
• 什么是应急响应和应急响应体系
•
• 应急响应的六大阶段
•
• 应急预案的编制和管理
•
• 应急响应体系建立流程
•
• 典型应急响应体系建设案例
1
基本概念
安全事件(Security Accident) 而安全事件则是指影响一个系统正常工作的情况 。这里的系统包括主机范畴内的问题,也包括网 络范畴内的问题,例如黑客入侵、信息窃取、拒 绝服务攻击、网络流量异常等。
应急响应(Emergency Response) 是指组织为了应对突发/重大信息安全事件的发 生所做的准备以及在事件发生后所采取的措施。
应急响应是信息安全防护的最后一道防线!
2
基本概念
应急响应体系(Emergency Response System) 是指在突发/重大信息安全事件后对包括计算
– 确定风险场景 – 描述可能受到的业务影响 – 描述使用的预防性策略 – 描述应急响应策略 – 识别和排列关键应用系统 – 行动计划 – 团队和人员的职责 – 联络清单 – 所需资源配置
31
应急响应预案的制定
• 制定应急响应预案的原则
– 首先,必须集中管理应急响应预案的版本和发布。 – 其次,为了建立有效的版本控制体系,必须建立规范的应急
制事故)
– 解决方案的期限(例如:紧急事故工作区需在 4 小时内清除,临时工作区需在两周内清除, 25 永久的解决方案)。
例:基于DDOS 攻击的遏制策略
1. 基于攻击特征实施过滤。 2. 纠正正在被攻击的漏洞或弱点 3. 让ISP 实施过滤 4. 重定位目标 5. 攻击攻击者 6. 设定证据保留时间
事故当前或将来可 能的影响
Root级访问 非授权的数据修改 对敏感信息的非授 权访问 非授权的用户级访 问 服务不可用 骚扰
事故当前或将来可能影响的资源的重要性
高(例如:互联网 连接,公共Web服 务器,防火墙,客 户数据)
中(例如:系统管 理
员工作站,文件和 打 印服务器,XYZ 应用 数据)
低(例如:用户工 作 站)
正常的
端口扫描, 输出的,不
正常的
利用带宽高
利用电子邮 件
拒绝服务 低 低 中 高
低
高 中
恶意代码 中
非授权访问 不正确使用
高
低
中
低
高
中
中
低
低
中
低
高
中
低中低中来自高中中
20
事故优先级——服务水平协议
• ƒ服务水平协议(SLA )
– 定义服务目标及双方的预期及责任
• ƒ服务水平协议指标
21
应急响应服务的指标
建立跟踪文档,规范记录跟踪结果 对响应效果给出评估 对进入司法程序的事件,进行进一步的调查
,打击违法犯罪活动
29
事件的归档与统计
处理人 时间和时段 地点 工作量 事件的类型 对事件的处置情况 代价 细节
30
应急响应预案的制定
• 应急响应预案的包括的主要内容
26
第四阶段—根除
长期的补救措施 微观:
•详细分析,确定原因,定义征兆 •分析漏洞 •加强防范 •消除原因 •修改安全政策
宏观:
•加强宣传,公布危害性和解决办法,呼吁用户解决 终端的问题; •加强检测工作,发现和清理行业与重点部门的问题;
27
第五阶段—恢复
微观:
被攻击的系统恢复正常的工作状态
12
软硬件设备准备
• ƒ硬件设备准备
数据保护设备
• 磁盘、磁带、光盘 • SAN
冗余设备
• ƒ网络链路、网络设备 • ƒ关键计算机设备
• Any else?
13
软硬件设备准备
• ƒ软件工具准备 • 备份软件 • 日志处理软件 • 系统软件 • 网络软件 • 应急启动盘 • Any else? • 病毒/ 恶意软件查杀软件
系_项目计划
的 编
_080821_C1
制
准
备
制定应急响应策略
编制应急响应计划文档
应急响应计划的测试、培 训、演练和维护
应急响应计划的测试 、培训和演练
应急响应计划的管理 和维护
39
信息安全应急响应计划编制方法
7
相关标准
GB/T 24364-2009 《信息安全技术 信息安全应 急响应计划规范》
GB/T 20988-2007 《信息安全技术 信息系统应急 响应规范》
GB/Z 20985-2007 《信息技术 安全技术 信息安 全事件管理指南》
GB/Z 20986-2007 《信息安全技术 信息安全事件 分类分级指南》
机运行在内的业务运行进行维持或恢复的各种技 术和管理策略和规程。
信息安全应急响应体系的制定是一个周而复 始、持续改进的过程,包含以下几个阶段:
(1)应急响应需求分析和应急响应策略的确定; (2)编制应急响应计划文档; (3)应急响应计划的测试、培训、演练和维护。
3
应急响应目的
• 应急响应服务的目的是尽可能地减小和控 制住网络安全事件的损失,提供有效的响 应和恢复指导,并努力防止安全事件的发 生。
8
应急响应六阶段
第一阶段:准备——让我们严阵以待 第二阶段:确认——对情况综合判断 第三阶段:遏制——制止事态的扩大 第四阶段:根除——彻底的补救措施 第五阶段:恢复——系统恢复常态 第六阶段:跟踪——还会有第二次吗