《安全生产_重要信息安全管理过程讲义》由会员分享,可在线阅读,更多相关《安全生产_重要信息安全管理过程讲义(103页珍藏版)》请在金锄头文库上搜索。
1、重要信息安全管理过程,主讲 樊山,课程内容,信息安全事件管理与应急响应,理解信息安全事件管理和应急响应的本概念 了解我国信息安全事件应急响应工作的进展情况和政策要求 掌握信息安全应急响应阶段方法论 掌握信息安全应急响应计划编制方法 掌握应急响应小组的作用和建立方法 理解我国信息安全事件分级分类方法 了解国际和我国信息安全应急响应组织,3,基本概念,4,安全事件 而安全事件则是指影响一个系统正常工作的情况。这里的系统包括主机范畴内的问题,也包括网络范畴内的问题,例如黑客入侵、信息窃取、拒绝服务攻击、网络流量异常等。 应急响应(Emergency Response) 是指组织为了应对突发/重大信息
2、安全事件的发生所做的准备以及在事件发生后所采取的措施。,基本概念,5,应急响应计划(Emergency Response Plan) 是指在突发/重大信息安全事件后对包括计算机运行在内的业务运行进行维持或恢复的策略和规程。 信息安全应急响应计划的制定是一个周而复始、持续改进的过程,包含以下几个阶段: (1)应急响应需求分析和应急响应策略的确定; (2)编制应急响应计划文档; (3)应急响应计划的测试、培训、演练和维护。,应急响应与应急响应计划的关系,6,政策要求,7,关于加强信息安全保障工作的意见(中办发200327号文)指出:“信息安全保障工作的要点在于,实行信息安全等级保护制度,建设基于密
3、码技术的网络信任体系,建设信息安全监控体系,重视信息安全应急处理工作,推动信息安全技术研发与产业发展,建设信息安全法制与标准” 国家信息安全战略的近期目标:通过五年的努力,基本建成国家信息安全保障体系。,相关标准,8,GB/T 24364-2009 信息安全技术 信息安全应急响应计划规范 GB/T 20988-2007 信息安全技术 信息系统灾难恢复规范 GB/Z 20985-2007 信息技术 安全技术 信息安全事件管理指南 GB/Z 20986-2007 信息安全技术 信息安全事件分类分级指南,应急响应六阶段,9,第一阶段:准备让我们严阵以待 第二阶段:确认对情况综合判断 第三阶段:遏制制
4、止事态的扩大 第四阶段:根除彻底的补救措施 第五阶段:恢复系统恢复常态 第六阶段:跟踪还会有第二次吗,第一阶段准备,10,预防为主 微观(一般观点): 帮助服务对象建立安全政策 帮助服务对象按照安全政策配置安全设备和软件 扫描,风险分析,打补丁 如有条件且得到许可,建立监控设施 宏观: 建立协作体系和应急制度 建立信息沟通渠道和通报机制 如有条件,建立数据汇总分析的体系和能力 有关法律法规的制定,第一阶段准备,11,制定应急响应计划 资源准备 应急经费筹集 人力资源 软硬件设备 现场备份 业务连续性保障 系统容灾 搭建临时业务系统,第二阶段确认,12,确定事件性质和处理人 微观(负责具体网络的
5、CERT): 确定事件的责任人 指定一个责任人全权处理此事件 给予必要的资源 确定事件的性质 误会?玩笑?还是恶意的攻击/入侵? 影响的严重程度 预计采用什么样的专用资源来修复? 宏观(负责总体网络的CERT): 通过汇总,确定是否发生了全网的大规模事件 确定应急等级,以决定启动哪一级应急方案,第三阶段遏制,13,即时采取的行动 微观: 防止进一步的损失,确定后果 初步分析,重点是确定适当的封锁方法 咨询安全政策 确定进一步操作的风险 损失最小化(最快最简单的方式恢复系统的基本功能,例如备机启动) 可列出若干选项,讲明各自的风险,由服务对象选择 宏观: 确保封锁方法对各网业务影响最小 通过协调
6、争取各网一致行动,实施隔离 汇总数据,估算损失和隔离效果,第四阶段根除,14,长期的补救措施 微观: 详细分析,确定原因,定义征兆 分析漏洞 加强防范 消除原因 修改安全政策 宏观: 加强宣传,公布危害性和解决办法,呼吁用户解决终端的问题; 加强检测工作,发现和清理行业与重点部门的问题;,第五阶段恢复,15,微观: 被攻击的系统恢复正常的工作状态 作一个新的备份 把所有安全上的变更作备份 服务重新上线 持续监控 宏观: 持续汇总分析,了解各网的运行情况 根据各网的运行情况判断隔离措施的有效性 通过汇总分析的结果判断仍然受影响的终端的规模 发现重要用户及时通报解决 适当的时候解除封锁措施,第六阶
7、段跟踪,16,关注系统恢复以后的安全状况,特别是曾经出问题的地方 建立跟踪文档,规范记录跟踪结果 对响应效果给出评估 对进入司法程序的事件,进行进一步的调查,打击违法犯罪活动,事件的归档与统计,17,处理人 时间和时段 地点 工作量 事件的类型 对事件的处置情况 代价 细节,信息安全应急响应计划编制方法,18,总则 角色及职责 预防和预警机制 应急响应流程 应急响应保障措施 附件,总则,19,编制目的 编制依据 适应范围 工作原则,角色及职责,20,应急响应领导小组 应急响应技术保障小组 应急响应专家小组 应急响应实施小组 应急响应日常运行小组,预防和预警机制,21,应急响应流程,22,应急响
8、应流程呼叫树,23,应急响应保障措施,24,应急响应保障措施,附件,25,具体的组织体系结构及人员职责 应急响应计划各小组成员的联络信息 供应商联络信息,包括离站存储和备用站点的外部联系点 系统恢复或处理的标准操作规程和检查列表 支持系统运行所需的硬件、软件、固件和其它资源的设备和系统需求清单 供应商服务水平协议(SLA)、与其它机构的互惠协议和其它关键记录 备用站点的描述和说明 在计划制定前进行的BIA,包含关于系统各部分相互关系、风险、优先级别等 应急响应计划文档的保存和分发方法,应急响应工作机构图,26,职责示例,27,我国信息安全事件分类方法,28,GB/Z 20986-2007信息安
9、全事件分级分类指南 有害程序事件 网络攻击事件 信息破坏事件 信息内容安全事件 设备设施故障、灾害性事件 其他信息安全事件,我国信息安全事件分级方法,29,分级要素,我国信息安全事件分级方法,30,特别重大事件,重 大 事 件,较 大 事 件,一 般 事 件,国际信息安全应急响应组织,31,美国计算机紧急事件响应小组协调中心 (Computer Emergency Response Team/Coordination Center, CERT/CC) 事件响应与安全组织论坛(Forum of Incident Response and Security Teams, FIRST) 亚太地区计算
10、机应急响应组(Asia Pacific Computer Emergency Response Team, APCERT) 欧洲计算机网络研究教育协会(Trans-European Research and Education Networking Association, TERENA),我国信息安全应急响应组织,32,国家计算机网络应急技术处理协调中心 (National Computer network Emergency Response technical Team/Coordination Center of China, CNCERT/CC) 中国教育和科研计算机网紧急响应组(C
11、hina Education and Research Network Computer Emergency Response Team, CCERT) 国家计算机病毒应急处理中心 国家计算机网络入侵防范中心 国家863计划反计算机入侵和防病毒研究中心,业务连续性管理与灾难恢复,33,理解业务连续性管理与灾难恢复的基本概念 了解我国灾难恢复工作的进展情况和政策要求 了解数据储存和数据备份与恢复的基本技术 掌握灾难恢复管理过程:需求分析、灾难恢复策略制定、灾难恢复策略实现、灾难恢复预案制定和管理 掌握国家有关标准对灾难恢复系统级别和各级别的指标要求,什么是灾难,灾难disaster 信息安全技术
12、信息系统灾难恢复规范(GB/T 209882007) 由于人为或自然的原因,造成信息系统严重故障或瘫痪,使信息系统支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。通常导致信息系统需要切换到灾难备份中心运行。 *典型的灾难事件包括: 自然灾害,如火灾、洪水、地震、飓风、龙卷风、台风等,还有技术风险和提供给业务运营所需服务的中断,如设备故障、软件错误、通讯网络中断和电力故障等等;此外,人为的因素往往也会酿成大祸,如操作员错误、植入有害代码和恐怖袭击。,人员误操作,SARS,34,业务持续性的重要性,“在经历过灾难的企业中,每5家中有2家在5年内会完全退出市场。当且仅当企业在灾难前
13、或灾难后采取了必要的措施后,企业可以改变这种状况。业务持续性计划和灾难恢复计划服务将确保持续的生存性” Gartner, Disaster Recovery Plans and Systems Are Essential, by Roberta Witty, Donna Scott, 12 September 2001.,所有公司中,50 - 60% 没有可以用于工作的灾难恢复计划,35,备份与恢复,灾难备份backup for disaster recovery 为了灾难恢复而对数据、数据处理系统、网络系统、基础设施、专业技术支持能力和运行管理能力进行备份的过程。 灾难恢复disaster
14、recovery 为了将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态、并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态而设计的活动和流程。,36,规划和预案,灾难恢复规划disaster recovery planning 为了减少灾难带来的损失和保证信息系统所支持的关键业务功能在灾难发生后能及时恢复和继续运作所做的事前计划和安排。 灾难恢复预案disaster recovery plan 定义信息系统灾难恢复过程中所需的任务、行动、数据和资源的文件。用于指导相关人员在预定的灾难恢复目标内恢复信息系统支持的关键业务功能。,37,BCP和BCM,业务连续规划(Business
15、 Continuity Planning,简称“BCP”) 是灾难事件的预防和反应机制,是一系列事先制定的策略和规划,确保单位在面临突发的灾难事件时,关键业务功能能持续运作、有效的发挥作用,以保证业务的正常和连续。业务连续规划不仅仅包括对信息系统的恢复,而且包括关键业务运作、人员及其它重要资源等的恢复和持续。 业务连续管理(Business Continuity Management,简称“BCM”) 为保护组织的利益、声誉、品牌和价值创造活动,找出对组织有潜在影响的威胁,提供建设组织有效反应恢复能力的框架的整体管理过程。包括组织在面临灾难时对恢复或连续性的管理,以及为保证业务连续计划或灾难恢
16、复预案的有效性的培训、演练和检查的全部过程。,38,BCM、BCP、DRP,对于信息化依赖程度高的单位,信息系统灾难恢复是其业务连续规划的重要组成部分。信息系统灾难恢复的目的是保证信息系统所支持业务的连续,业务连续规划面向信息系统及业务恢复。,39,BCP/DRP的指标 恢复点目标-RPO/恢复时间目标-RTO,恢复点,恢复时间,RPORecovery Point Objective,恢复点目标 定义:灾难发生后,系统合数据必须恢复到的时间点要求 代表了当灾难发生时允许丢失的数据量 RTORecovery Time Objective ,恢复时间目标 定义:灾难发生后,信息系统或业务功能从停顿到必须恢复的时间要求。 代表了系统恢复的时间,40,主中心与灾难备份中心,主中心也称主站点或生产中心,是指主系统所在的数据中心。 灾难备份中心也称备用站点
