收藏
下载资源

13应急响应与处置

上传人:简****9 文档编号:99358125 上传时间:2019-09-18 格式:PPT 页数:44 大小:1.94MB
返回 下载 相关 举报
13应急响应与处置_第1页
第1页 / 共44页
13应急响应与处置_第2页
第2页 / 共44页
13应急响应与处置_第3页
第3页 / 共44页
13应急响应与处置_第4页
第4页 / 共44页
13应急响应与处置_第5页
第5页 / 共44页
点击查看更多>>
资源描述

《13应急响应与处置》由会员分享,可在线阅读,更多相关《13应急响应与处置(44页珍藏版)》请在金锄头文库上搜索。

1、本节内容,应对信息安全突发事件,第八章 应急响应处置管理,1、应急响应概述,应急响应(Emergency Response)通常是指人们为了 应对各种紧急事件的发生所做的准备以及在事件发生后所 采取的措施。,第八章 应急响应处置管理,1、应急响应概述,应急响应的对象,紧急事件,破坏机密性的安全事件 破坏完整性的安全事件 破坏可用性的安全事件,信息安全基本属性 CIA,第八章 应急响应处置管理,1、应急响应概述,第八章 应急响应处置管理,1、应急响应概述,安全事件是破坏或企图破坏信息或信息系统CIA属性的行为事件。,安全紧急事件侧重指发生很突然且会造成巨大损失的安全事件。需采取及时的适当的补救措

2、施,否则损失会进一步加重。,第八章 应急响应处置管理,1、应急响应概述,事先 做什么准备?,事后 采取什么措施?,预警和制定各种防范措施,将事件造成的损失降到最小,第八章 应急响应处置管理,1、应急响应概述,提供指导框架,进一步完善,相辅相成,相互补充 形成正反馈机制,第八章 应急响应处置管理,1、应急响应概述,Risk Analysis,Prevention,Detection,Response,安全生命周期P-RPDR安全模型,以安全策略(Security Policy)为中心,第八章 应急响应处置管理,1、应急响应概述,应急响应的必要性,理论上我们无法保证系统绝对安全;,尽管人们对信息安

3、全的关注与投资与日俱增,但 是安全事件的数量和影响并没有因此而减少 。,计算机取证是应急响应的重要环节之一,帮助遭受信息系统攻击的组织追查肇事者。,2、应急响应组织,第八章 应急响应处置管理,1988年11月,国际上第一个应急响应组织:,计算机应急响应协调中心CERT/CC(Computer Emer gency Response Team/Coordination Center);,美国联邦FedCIRC、澳大利亚的AusCERT、德国的DFN-CERT、日本的JPCERT/CC,以及亚太地区的APCERTF(Asia Pacific Computer Emergency Res Ponse

4、 Task Force)和欧洲的EuroCERT 。,2、应急响应组织,第八章 应急响应处置管理,1990年应急响应与安全组织论坛FIRST(Forum of Incident Response and Security Teams)成立;,FIRST发起时有11个成员,至今已经发展成一个由170多个成员组成的国际性组织。,2、应急响应组织,第八章 应急响应处置管理,1999年在清华大学成立了中国教育和科研计算机网 应急响应小组CCERT(China Computer Emergency Res ponse Team);,2000年10月国家计算机网络应急处理协调中心 CNCERT/CC成立;

5、,2002年8月CNCERT/CC成为国际权威组织FIRST的 正式成员,并参与组织成立了亚太地区的专业组织 APCERT 。,2、应急响应组织,第八章 应急响应处置管理,应急响应组织模式,2、应急响应组织,第八章 应急响应处置管理,国内或国际间的应急响应协调组织,企业或政府组织的应急响应组织,计算机软件厂商提供的应急响应组织,商业化的应急响应组织,应急响应组织分类,公益性应急响应组织,由政府或社会公益性组织资助,对社会所有用户提供公益性的应急响应协调服务,服务对象仅限于本组织内部的客户群,提供现场事件处理、分发安全软件和漏洞补丁,培训及技术支持等,还可参与组织安全政策的制定和审查等,为本公司

6、产品的安全问题提供应急响应服务,也为公司内部的雇员提供安全事件处理和技术支持。,面向全社会提供商业化的安全救援服务,可提供高质量的服务保障,处理突发安全事件时能够及时响应。,2、应急响应组织,第八章 应急响应处置管理,美国计算机应急响应协调中心(CERT/CC),典型应急响应组织,2、应急响应组织,第八章 应急响应处置管理,中国教育和科研计算机网应急响应组(CCERT),CCERT首要的服务对象是中国教育和科研计算机网络 本身,确保CERNET网络的安全可靠运行。,CCERT其次的服务对象是CERNET内部的会员单位。,CCERT对其他用户提供力所能及的安全服务。,2、应急响应组织,第八章 应

7、急响应处置管理,中国教育和科研计算机网应急响应组(CCERT),CCERT首要的服务对象是中国教育和科研计算机网络 本身,确保CERNET网络的安全可靠运行。,CCERT其次的服务对象是CERNET内部的会员单位。,CCERT对其他用户提供力所能及的安全服务。,网络安全政策制定和实施监督;网络运行状态的日常安全监测;及时的安全通告;网络安全事件应急响应;网络安全突发事件发生时应急解决方案的制定和实施。,网络安全管理政策的咨询;网络安全技术方案的咨询;网络安全事态发展的及时通告;及时的网络安全事件应急响应;定期的网络安全技术培训。,安全通告;安全咨询;安全事件响应;其他安全服务,2、应急响应组织

8、,第八章 应急响应处置管理,国家计算机网络应急处理协调中心(CNCERT/CC),2、应急响应组织,第八章 应急响应处置管理,国家计算机网络应急处理协调中心(CNCERT/CC),提供的业务功能为:,信息获取 事件监测 事件处理 数据分析 资源建设,安全研究 安全培训 技术咨询 国际交流,3、应急响应体系,第八章 应急响应处置管理,3.1 应急响应应保证的各项指标,3、应急响应体系,第八章 应急响应处置管理,3.2 应急响应体系的建立,确定应急响应角色的责任,(1)用户,(2)安全管理员,(3)安全员/安全管理层,(4)安全审计员,(5)公共关系/信息发布部门,(6)代理/公司管理层,3、应急

9、响应体系,第八章 应急响应处置管理,3.2 应急响应体系的建立,制定紧急事件提交策略,提交渠道的规定,提交的策略对象,提交方式,明确何人负责,报送人及相应的报送对象,调查或评估之前需如何提交,个人口头报告 书面报告 电子邮件报告 电话报告 密函报告,3、应急响应体系,第八章 应急响应处置管理,3.2 应急响应体系的建立,规定应急响应优先级,哪类损失和组织相关 在每个类别中,按什么顺序修补损失,与组织内的环境紧密相连,损失类别?,3、应急响应体系,第八章 应急响应处置管理,3.2 应急响应体系的建立,损失类别:,与法律、规章或合同冲突 对信息自决权的损害 对人员身体的损害 对组织职能的损害 对外

10、部关系的负面影响 财务后果,3、应急响应体系,第八章 应急响应处置管理,3.2 应急响应体系的建立,安全应急的调查与评估,弄清楚信息系统结构和网络情况 弄清楚信息系统的联系人和用户 弄清楚信息系统上的应用 定义信息系统的保护要求,3、应急响应体系,第八章 应急响应处置管理,3.2 应急响应体系的建立,选择应急响应相关补救措施,提供必要的专业知识,安全恢复的运作,事件归档,对攻击行为的反应,3、应急响应体系,第八章 应急响应处置管理,3.2 应急响应体系的建立,确定应急紧急通知机制,当发生安全事件时,必须通知所有受影响的外部和内 部各方,为那些受到安全事件直接影响的部门和机构采 取对策提供方便。

11、通知机制对处理安全事件相关信息各 方的协助预防或解决问题尤为重要。,必要时告知公众,但必须保证信息的正确性,否则会引发混乱、错误评估和形象损害。,3、应急响应体系,第八章 应急响应处置管理,3.3 应急响应处置流程,准备 检测 抑制 根除,3、应急响应体系,第八章 应急响应处置管理,3.3 应急响应处置流程,恢复 报告与总结,4、应急响应关键技术,第八章 应急响应处置管理,4.1 入侵检测技术,入侵检测系统(Intrusion Detect System,IDS),它通过对信息系统中各种状态和行为的归纳分析,一 方面检测来自外部的入侵行为,另一方面还能够监督内部 用户的未授权活动。,4、应急响

12、应关键技术,第八章 应急响应处置管理,4.1 入侵检测技术,误用检测(Misuse Detection),误用检测也称为基于知识的入侵检测或基于签名的 入侵检测。该技术首先建立各种已知攻击的特征模式库, 然后将用户的当前行为依次与库中的各种攻击特征模式 进行比较。,4、应急响应关键技术,第八章 应急响应处置管理,4.1 入侵检测技术,异常检测(Anomaly Detection),异常检测也称基于行为的入侵检测。该技术通过为用 户、进程或网络流量等处于正常状态时的行为特征建立参 考模式,然后将系统当前行为特征与已建立的正常行为模 式进行比较。,4、应急响应关键技术,第八章 应急响应处置管理,4

13、.1 入侵检测技术,异常检测的优点是其能够检测出未知攻击,然而存在 误检测率较高的不足;误用检测虽然检测准确率较高,但 其只能对已知攻击行为进行检测。,4、应急响应关键技术,第八章 应急响应处置管理,4.2 系统备份与灾难恢复技术,系统备份是灾难恢复的基础,其目的是确保既定的关 键业务数据、关键数据处理系统和关键业务在灾难发生后 可以恢复。,系统备份,4、应急响应关键技术,第八章 应急响应处置管理,4.2 系统备份与灾难恢复技术,全备份,增量备份,差分备份,系统备份,对整个系统进行完全备份,包括系统和数据,每次只备份上一次全备份之后有更新的数据,每次备份相对于上次全备份后有更新的数据,4、应急

14、响应关键技术,第八章 应急响应处置管理,4.2 系统备份与灾难恢复技术,灾难恢复,灾难恢复的基本技术要求:,备份软件,恢复的选择和实施,自启动恢复,安全防护,4、应急响应关键技术,第八章 应急响应处置管理,4.2 系统备份与灾难恢复技术,灾难恢复,灾难恢复等级,层次0本地数据的备份与恢复 层次1批量存取访问方式 层次2批量存取访问方式+热备份地点 层次3电子链接 层次4工作状态的备份地点 层次5双重在线存储 层次6零数据丢失,4、应急响应关键技术,第八章 应急响应处置管理,4.2 系统备份与灾难恢复技术,灾难恢复,灾难恢复计划,备份/恢复的范围 灾难恢复计划的状态 应用地点与备份地点之间的距离

15、 应用地点与备份地点之间如何相互连接 数据如何在两个地点之间传送,4、应急响应关键技术,第八章 应急响应处置管理,4.2 系统备份与灾难恢复技术,灾难恢复,灾难恢复计划,允许有多少数据被丢失 怎样保证备份地点的数据的更新 备份地点可以开始备份工作的能力,4、应急响应关键技术,第八章 应急响应处置管理,4.3 其它相关技术,事件诊断技术,攻击源定位与隔离技术,计算机取证技术,偏重于事件发生后,弄清受害对象发生何事?如有问题,出在哪?影响范围多大?,网络攻击路径重构,方法和技术上目前尚处研究阶段;确定攻击源后,基于安全事件类型,采取隔离措施,涉及对计算机数据的保存、识别、记录以及解释 网络环境下海量数据的采集、存储和分析极为复杂,应急响应(Emergency Response)通常是指人们为了应对各种紧急事件的发生所做的准备以及在事件发生后所采取的措施。,小结,第八章 应急响应处置管理,应急响应组织是应急响应工作的主体,应急响应体系的建立过程,应急响应处置流程,应急响应涉及的关键技术。,应急响应组织分为哪几类?分别简述。 应急响应处置流程通常被划分为哪些阶段?各个阶段的主要任务是什么?,习题,第八章 应急响应处置管理,思考,第八章 应急响应处置管理,如何理解应急响应在信息安全中的地位和作用?,Thank You !,

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 商业/管理/HR > 管理学资料

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号