信息安全应急响应体系建设课件

信息安全应急响应体系建设
8
应急响应六阶段
➢ 第一阶段：准备——让我们严阵以待 ➢ 第二阶段：确认——对情况综合判断 ➢ 第三阶段：遏制——制止事态的扩大 ➢ 第四阶段：根除——彻底的补救措施 ➢ 第五阶段：恢复——系统恢复常态 ➢ 第六阶段：跟踪——还会有第二次吗
信息安全应急响应体系建设
9
第一阶段—准备
课程要点
• 什么是应急响应和应急响应体系 • 应急响应的六大阶段 • 应急预案的编制和管理 • 应急响应体系建立流程 • 典型应急响应体系建设案例
信息安全应急响应体系建设
1
基本概念
➢ 安全事件（Security Accident） 而安全事件则是指影响一个系统正常工作的情况 。这里的系统包括主机范畴内的问题，也包括网 络范畴内的问题，例如黑客入侵、信息窃取、拒 绝服务攻击、网络流量异常等。
➢ 宏观（负责总体网络的CERT）：
通过汇总，确定是否发生了全网的大规模事件 确定应急等级，以决定启动哪一级应急方案
信息安全应急响应体系建设
16
快速分析——事故的标志
• ƒ事故的标志分为两类：
– 征兆和预兆
• ƒWeb服务器崩溃 • ƒ用户抱怨主机连接网络速度过慢 • ƒ子邮件管理员可以看到大批的反弹电子邮件与可疑内容 • ƒ网络管理员通告了一个不寻常的偏离典型的网络流量流向
主机崩溃
端口扫描， 输入的，不
信息安全应急响应体系建设
18
确认事故（2）
• ƒ维护和使用信息知识库
– 分析事故时的快速参考
• ƒ使用互联网搜索引擎进行研究
• ƒ运行包嗅探器以搜集更多的数据
• ƒ过滤数据
• ƒ经验是不可替代的
• ƒ建立诊断矩阵
• ƒ寻求帮助
信息安全应急响应体系建设
19
诊断矩阵实例
征兆
文件，关键， 访问尝试
文件，不适 当的内容
• 病毒/ 恶意软件查杀软件
信息安全应急响应体系建设
14
建立事件报告的机制和要求
建立事件报告流 程和规范
信息安全应急响应体系建设
15
第二阶段—确认
➢ 确定事件性质和处理人
➢ 微观（负责具体网络的CERT）：
确定事件的责任人
指定一个责任人全权处理此事件 给予必要的资源
确定事件的性质
误会？玩笑？还是恶意的攻击/入侵？ 影响的严重程度 预计采用什么样的专用资源来修复？
10
第一阶段—准备
➢ 制定应急响应计划 ➢ 资源准备
✓应急经费筹集 ✓人力资源 ✓软硬件设备 ✓现场备份 ✓业务连续性保障
•系统容灾 •搭建临时业务系统
信息安全应急响应体系建设
11
人力资源准备
• ƒ指挥调度人员 • ƒ协作人员 • ƒ技术人员 • ƒ专家 • ƒ设备、系统和服务提供商
信息安全应急响应体wenku.baidu.com建设
机运行在内的业务运行进行维持或恢复的各种技 术和管理策略和规程。
信息安全应急响应体系的制定是一个周而复 始、持续改进的过程，包含以下几个阶段：
（1）应急响应需求分析和应急响应策略的确定；
（2）编制应急响应计划文档；
（3）应急响应计划的测试、培训、演练和维护。
信息安全应急响应体系建设
3
应急响应目的
• 应急响应服务的目的是尽可能地减小和控 制住网络安全事件的损失，提供有效的响 应和恢复指导，并努力防止安全事件的发 生。
12
软硬件设备准备
• ƒ硬件设备准备
数据保护设备
• 磁盘、磁带、光盘 • SAN
冗余设备
• ƒ网络链路、网络设备 • ƒ关键计算机设备
• Any else?
信息安全应急响应体系建设
13
软硬件设备准备
• ƒ软件工具准备
• 备份软件
• 日志处理软件
• 系统软件
• 网络软件
• 应急启动盘
• Any else?
➢ 国家信息安全战略的近期目标：通过五年的努力 ，基本建成国家信息安全保障体系。
信息安全应急响应体系建设
6
政策要求
➢ 为了落实27号文精神国家网络与信息安全协调小 组办公室于2003年10月发布了《网络与信息安全 信息通报暂行办法》、2004年9月发布了
➢ 《关于做好重要信息系统灾难备份工作的通知》 ，2004年8月发布了《关于建立健全基础信息网络 和重要信息系统应急协调机制的意见》等文件。 这些文件对推动灾难备份和应急响应的发展起到 了重要作用。
➢ 预防为主
➢ 微观（一般观点）：
帮助服务对象建立安全政策 帮助服务对象按照安全政策配置安全设备和软件 扫描，风险分析，打补丁 如有条件且得到许可，建立监控设施
➢ 宏观：
建立协作体系和应急制度 建立信息沟通渠道和通报机制 如有条件，建立数据汇总分析的体系和能力 有关法律法规的制定
信息安全应急响应体系建设
信息安全应急响应体系建设
7
相关标准
➢ GB/T 24364-2009 《信息安全技术 信息安全应 急响应计划规范》
➢ GB/T 20988-2007 《信息安全技术 信息系统应急 响应规范》
➢ GB/Z 20985-2007 《信息技术 安全技术 信息安 全事件管理指南》
➢ GB/Z 20986-2007 《信息安全技术 信息安全事件 分类分级指南》
➢ 应急响应（Emergency Response） 是指组织为了应对突发/重大信息安全事件的发 生所做的准备以及在事件发生后所采取的措施。
应急响应是信息安全防护的最后一道防线！
信息安全应急响应体系建设
2
基本概念
➢ 应急响应体系（Emergency Response System） 是指在突发/重大信息安全事件后对包括计算
信息安全应急响应体系建设
4
应急响应与应急响应体系的关系
信息安全应急响应体系建设
5
政策要求
➢ 《关于加强信息安全保障工作的意见》（中办发 『2003』27号文）指出：“信息安全保障工作的 要点在于，实行信息安全等级保护制度，建设基 于密码技术的网络信任体系，建设信息安全监控 体系，重视信息安全应急处理工作，推动信息安 全技术研发与产业发展，建设信息安全法制与标 准”
• ƒ来源
– 网络和主机IDS 、防病毒软件、文件完整性检查软件 – 系统、网络、蜜罐日志 – 公开可利用的信息 – 第三方监视服务
信息安全应急响应体系建设
17
确认事故（1）
• ƒ确认网络和系统轮廓：
– 分析事故的最好技术方法之一
• ƒ理解正常的行为
– 基于处理事故的良好准备
• ƒ使用集中的日志管理并创建日志保留策略 • ƒ执行事件关联 • ƒ保持所有主机时钟同步