应急响应体系建设

7
政策要求
为了落实27号文精神国家网络与信息安全协调小 组办公室于2003年10月发布了《网络与信息安全 信息通报暂行办法》、2004年9月发布了 《关于做好重要信息系统灾难备份工作的通知》 ，2004年8月发布了《关于建立健全基础信息网络 和重要信息系统应急协调机制的意见》等文件。 这些文件对推动灾难备份和应急响应的发展起到 了重要作用。
准备
确认
遏制
宏观：
建立协作体系和应急制度 建立信息沟通渠道和通报机制 如有条件，建立数据汇总分析的体系和能力 有关法律法规的制定
根除
恢复
11
跟踪
第一阶段—准备
制定应急响应计划 资源准备
应急经费筹集 人力资源 软硬件设备 现场备份 业务连续性保障 •系统容灾 •搭建临时业务系统
应急预案
应急演练
应急响应体系 应急响应 技术管理措施
6
政策要求
《关于加强信息安全保障工作的意见》（中办发 『2003』27号文）指出：“信息安全保障工作的 要点在于，实行信息安全等级保护制度，建设基 于密码技术的网络信任体系，建设信息安全监控 体系，重视信息安全应急处理工作，推动信息安 全技术研发与产业发展，建设信息安全法制与标 准” 国家信息安全战略的近期目标：通过五年的努力 ，基本建成国家信息安全保障体系。
准备
确认
遏制
根除
恢复
12
跟踪
人力资源准备
• • • • • ƒ 指挥调度人员 ƒ 协作人员 ƒ 技术人员 ƒ 专家 ƒ 设备、系统和服务提供商
软硬件设备准备
• ƒ 硬件设备准备
数据保护设备
• 磁盘、磁带、光盘 • SAN
冗余设备
•ƒ 网络链路、网络设备 •ƒ 关键计算机设备
• Any else?
软硬件设备准备
• • • • • • • • ƒ 软件工具准备 备份软件 日志处理软件 系统软件 网络软件 应急启动盘 Any else? 病毒/ 恶意软件查杀软件
建立事件报告的机制和要求
建立事件报告流 程和规范
第二阶段—确认
确定事件性质和处理人 微观（负责具体网络的CERT）：
确定事件的责任人
ƒ 使用互联网搜索引擎进行研究 ƒ 运行包嗅探器以搜集更多的数据 ƒ 过滤数据 ƒ 经验是不可替代的 ƒ 建立诊断矩阵 ƒ 寻求帮助
诊断矩阵实例
征兆 文件，关键， 访问尝试 文件，不适 当的内容 主机崩溃 拒绝服务 低 低 中 恶意代码 中 中 中 非授权访问 高 低 中 不正确使用 低 高 低
端口扫描， 输入的，不 正常的
• ƒ 事故的标志分为两类：
– 征兆和预兆
• • • • ƒ Web服务器崩溃 ƒ 用户抱怨主机连接网络速度过慢 ƒ 子邮件管理员可以看到大批的反弹电子邮件与可疑内容 ƒ 网络管理员通告了一个不寻常的偏离典型的网络流量流向
• ƒ 来源
– – – – 网络和主机IDS 、防病毒软件、文件完整性检查软件 系统、网络、蜜罐日志 公开可利用的信息 第三方监视服务
• ƒ 本地应急响应服务
– 对本地范围内的客户，？小时内到达现场；对异地的 客户，？小时加路途时间内到达现场。
应急响应SLA 矩阵
事故当前或将来可能影响的资源的重要性 事故当前或将来可 能的影响 高（例如：互联网 连接，公共Web服 务器，防火墙，客 户数据） 中（例如：系统管 理 员工作站，文件和 打 印服务器，XYZ 应用 数据） 30分钟 30分钟 1 小时 2 小时 2 小时 不限 低（例如：用户工 作 站）
（1）应急响应需求分析和应急响应策略的确定； （2）编制应急响应计划文档； （3）应急响应计划的测试、培训、演练和维护。
4
应急响应目的
• 应急响应服务的目的是尽可能地减小和控 制住网络安全事件的损失，提供有效的响 应和恢复指导，并努力防止安全事件的发 生。
损失最 小
尽快恢 复
应急响应与应急响应体系的关系
端口扫描， 输出的，不 正常的 利用带宽高 利用电子邮 件
高
低
中
低
低
高
wk.baidu.com
中
低
高 中
中 高
低 中
中 中
事故优先级——服务水平协议
• ƒ 服务水平协议（SLA ）
– 定义服务目标及双方的预期及责任
• ƒ 服务水平协议指标
应急响应服务的指标
• ƒ 远程应急响应服务
– 在确认客户的应急响应请求后? 小时内，交与相关应急 响应人员进行处理。无论是否解决，进行处理的当天 必须返回响应情况的简报，直到此次响应服务结束。
– 系统级演练； – 应用级演练； – 业务级演练等
• 根据演练和演习的准备情况，可分为：
– 计划内的演练和演习； – 计划外的演练和演习等
36
预案维护管理
• 核对预案的功能性 • 验证预案文档的精确性和完整性 • 分发更新的文档
– 文档计划分发和发布流程 – 确保相关的团队收到更新的文档
• 依靠维护来改变管理流程 • 提供培训作为持续维护预案的一部分
31
应急响应预案的制定
• 应急响应预案的包括的主要内容
– 确定风险场景 – 描述可能受到的业务影响 – 描述使用的预防性策略 – 描述应急响应策略 – 识别和排列关键应用系统 – 行动计划 – 团队和人员的职责 – 联络清单 – 所需资源配置
32
应急响应预案的制定
• 制定应急响应预案的原则
– 首先，必须集中管理应急响应预案的版本和发布。 – 其次，为了建立有效的版本控制体系，必须建立规范的应急 响应预案的问题提交、解决、更新、跟踪、发布的渠道和流 程。 – 第三，建立相关的保密管理规定，保证应急响应预案中涉及 的秘密信息得到保护。 – 第四，应急响应预案在内容管理方面应注意内容的分布和粒 度，可根据版本和内容的更新频度将应急响应的内容进行适 当的分布。 – 第五，建立合理的应急响应预案的保管制度，强调存放的安 全性和易取得性。
• 在灾难来临前使相关人员了解熟悉恢复流 程 • 使应急响应预案得到理解并可以使用 • 促进应急响应预案活动、更新、实用 • 展示恢复的能力 • 达到法律和内部审计要求
35
演练与演习的类型
• 演练和演习的主要方式有：
– 桌面演练； – 模拟演练； – 实战演练等
参见应急演练脚本
• 根据演练和演习的深度，可分为：
确认
遏制
宏观：
根除
恢复
25
跟踪
建立遏制策略
• 建议组织机构为几类主要的事故建立单独 的遏制策略，其标准包括：
– 潜在的破坏和资源的窃取 – 证据保留的需要 – 服务可用性（例如：网络连接，提供给外部当 事方的服务） – 实施战略需要的时间和资源 – 战略的有效性（例如：部分遏制事故，完全遏 制事故） – 解决方案的期限（例如：紧急事故工作区需在 4 小时内清除，临时工作区需在两周内清除， 永久的解决方案）。
确认事故（1）
• ƒ 确认网络和系统轮廓：
– 分析事故的最好技术方法之一
• ƒ 理解正常的行为
– 基于处理事故的良好准备
• ƒ 使用集中的日志管理并创建日志保留策略 • ƒ 执行事件关联 • ƒ 保持所有主机时钟同步
确认事故（2）
• ƒ 维护和使用信息知识库
– 分析事故时的快速参考
• • • • • •
8
相关标准
GB/T 24364-2009 《信息安全技术 信息安全应 急响应计划规范》 GB/T 20988-2007 《信息安全技术 信息系统应急 响应规范》 GB/Z 20985-2007 《信息技术 安全技术 信息安 全事件管理指南》 GB/Z 20986-2007 《信息安全技术 信息安全事件 分类分级指南》
Root级访问 非授权的数据修改 对敏感信息的非授 权访问 非授权的用户级访 问 服务不可用 骚扰
15分钟 15分钟 15分钟 30分钟 30分钟 30分钟
1 小时 2 小时 1 小时 4小时 4小时 不限
第三阶段—遏制
即时采取的行动 微观：
准备
•防止进一步的损失，确定后果 •初步分析，重点是确定适当的封锁方法 •咨询安全政策 •确定进一步操作的风险 •损失最小化（最快最简单的方式恢复系统的基本功能，例 如备机启动） •可列出若干选项，讲明各自的风险，由服务对象选择 •确保封锁方法对各网业务影响最小 •通过协调争取各网一致行动，实施隔离 •汇总数据，估算损失和隔离效果
例：基于DDOS 攻击的遏制策略
1. 基于攻击特征实施过滤。 2. 纠正正在被攻击的漏洞或弱点 3. 让ISP 实施过滤 4. 重定位目标 5. 攻击攻击者 6. 设定证据保留时间
第四阶段—根除
长期的补救措施 微观：
准备
•详细分析，确定原因，定义征兆 •分析漏洞 •加强防范 •消除原因 •修改安全政策 •加强宣传，公布危害性和解决办法，呼吁用户解决 终端的问题； •加强检测工作，发现和清理行业与重点部门的问题；
33
应急响应预案的制定
成功预案的特点
• 清楚、简洁 • 高级管理层支持/组织 承诺 • 不断改进和更新的恢 复策略 • 及时的更新维护 组织职责分工明确 保留、备份和异地存储计划 完整记录并定期演练 风险得到管理 弱点得到优先重视 灵活、可适应
34
应急响应预案的教育、培训和演练
应急响应体系建设
程晓峰
广东计安信息网络培训中心
课程要点
• • • • • 什么是应急响应和应急响应体系 应急响应的六大阶段 应急预案的编制和管理 应急响应体系建立流程 典型应急响应体系建设案例
基本概念
安全事件（Security Accident） 而安全事件则是指影响一个系统正常工作的情况 。这里的系统包括主机范畴内的问题，也包括网 络范畴内的问题，例如黑客入侵、信息窃取、拒 绝服务攻击、网络流量异常等。 应急响应（Emergency Response） 是指组织为了应对突发/重大信息安全事件的发 生所做的准备以及在事件发生后所采取的措施。
应急响应是信息安全防护的最后一道防线！
基本概念
应急响应体系（Emergency Response System） 是指在突发/重大信息安全事件后对包括计算 机运行在内的业务运行进行维持或恢复的各种技 术和管理策略和规程。 信息安全应急响应体系的制定是一个周而复 始、持续改进的过程，包含以下几个阶段：
公司所有权的变化 关键人员的变化 硬件配置的变化 《应急预案管理制度》 使用新操作系统 预案审核和演练后 软件/应用软件的变化 新的法律或审计要求 定期审核和更新——如：每年两次
根除
恢复
29
跟踪
第六阶段—跟踪
关注系统恢复以后的安全状况，特别是曾经 出问题的地方 建立跟踪文档，规范记录跟踪结果 对响应效果给出评估 对进入司法程序的事件，进行进一步的调查 ，打击违法犯罪活动
准备
确认
遏制
根除
恢复
30
跟踪
事件的归档与统计
处理人 时间和时段 地点 工作量 事件的类型 对事件的处置情况 代价 细节
– 为与应急响应的相关人员开展定期培训，如：复习进修 课程或灾难备份研讨会 – 指派培训责任，如：部门经理要确保员工被送去参加培 训
• 完成时报告预案维护情况 • 毁掉旧应急响应预案的复印件或电子版本 37 。
预案变更管理
• 业务操作的增长或变化
– 如：新的分支、产品和业务功能的增加
• • • • • • • •
确认
遏制
宏观：
根除
恢复
28
跟踪
第五阶段—恢复
微观：
被攻击的系统恢复正常的工作状态
•作一个新的备份 •把所有安全上的变更作备份 •服务重新上线 •持续监控
确认 准备
宏观：
遏制
•持续汇总分析，了解各网的运行情况 •根据各网的运行情况判断隔离措施的有效性 •通过汇总分析的结果判断仍然受影响的终端的规模 •发现重要用户及时通报解决 •适当的时候解除封锁措施
9
应急响应六阶段
第一阶段：准备——让我们严阵以待 第二阶段：确认——对情况综合判断 第三阶段：遏制——制止事态的扩大 第四阶段：根除——彻底的补救措施 第五阶段：恢复——系统恢复常态 第六阶段：跟踪——还会有第二次吗
10
第一阶段—准备
预防为主 微观（一般观点）：
帮助服务对象建立安全政策 帮助服务对象按照安全政策配置安全设备和软件 扫描，风险分析，打补丁 如有条件且得到许可，建立监控设施
指定一个责任人全权处理此事件 给予必要的资源
准备
确认
确定事件的性质
误会？玩笑？还是恶意的攻击/入侵？ 影响的严重程度 预计采用什么样的专用资源来修复？
遏制
宏观（负责总体网络的CERT）：
通过汇总，确定是否发生了全网的大规模事件 确定应急等级，以决定启动哪一级应急方案
根除
恢复
17
跟踪
快速分析——事故的标志