《CISP20应急响应管理》由会员分享,可在线阅读,更多相关《CISP20应急响应管理(90页珍藏版)》请在金锄头文库上搜索。
1、V3050应急响应管理中国信息安全产品测评认证中心编号:CISP-20-应急响应管理 版本:11日期:2006年3月1基本概念及关系12应急响应能力建设的要点3应急响应组织体系厶4应急响应流程J5应急响应技术简介丿一基本概念:事件(Incident)事件有正面和负面的。违反安全策略的行为,这里虽说的安全策略可能是明 确规定的,也可以是引申出来的。:应急响应 (Incident Response/Emergency Response)通常是指一个组织为了应对各种意外事件的发生所做 的准备以及在事件发生后所采取的措施,其目的是避 免、降低危害和损失,以及从危害和损失中恢复。计算机及网络攻击应急响应
2、就是针对计算机攻击及网 络攻击事件所采取的应急措施。:应急响应小组/团队一基本关系:业务持续性计划计算机事件处理可以看做是业务持续性计划处 理技术威胁(例如病毒或黑客)的部分:风险管理计算机事件响应所产生的相关信息结果和统计 将帮助风险分析过程,帮助选择合适的安全控 制和实践。一历史一第一个应急响应组织CERT/CCSun Mon Tues Wed Thur Fri Sa蠕虫攻击31067紿 Morris Worm1112CERT/CC创建141516171821222324201925261988年门月一常见计算机应急事件分类:病毒、蠕虫爆发:黑客入侵:拒绝服务攻击:非授权访问/应用:秘密/
3、知识产权被窃一应急响应王要服务内容:安全事件响应:安全事件分析和软件安全缺陷研究:缺陷知识库开发:信息发布:教育与培训:指导其它应急响应组织建设一应急响应的意义:组织认识到仅仅依靠系统、网络管理员和安全管理员来保 护他们的信息资产是不够的;还需要安全策略和安全实践方面的专业指导。:应急响应组织是可以信赖的 技术支持和帮助的平台 能迅速处理紧急事件 研究漏洞与公布攻击预报的平台1基本概念及关系2应急响应能力建设的要点g应急响应组织体系4应急响应流程;5应急响应技术简介一建设应急响应能力:建设应急响应能力计算机紧急响应小组(CERT- Computer Emergency Response Tea
4、m)计算机安全事故响应小组(CSIRT- Computer Security Incident Response Team) 计算机事故响应中心(CIRCComputerIncident Response Center) 以上词汇都代表同一个含义:建设应急响应能力建立应急响应的策略体系选择和建立应急响应小组组织结构和服务一建设应急响应能力 应急响应的策略体系:信息安全保障是以风险和策略为核心,因此建立完整的应急响应策略体系是建立应急响应能力的基础:应急响应策略体系建设应考虑:建议应急响应过程的策略,并使用它作为管理 事故响应流程的基础。建立事故相关的信息共享策略和流程。向相关的事故报告机构提供
5、相关信息。一应急响应能力的王要组成部分:环境假设:人员和组织保障:技术保障:通信保障:处理流程保障建设应急响应能力应急响应小组组织结构和服务一:选择相应的应急响应小组模式:为应急响应小组选择有合适技能的人员。:标识组织机构内可能需要参与事故处理的 其它机构。:确定应急响应小组应提供哪些服务。1基本概念及关系Z应急响应能力建设的要点3应急响应组织体系4应急响应流程 ;5应急响应技术简介丿一第一个应急响应组织机构-CERT/CCSun Mon Tues Wed Thur Fri Sa蠕虫攻击31067紿 Morris Worm1112CERT/CC创建14151617182122232420192
6、5261988年门月一应急响应组织机构如CERT/CC、FIRST国内的协调组织nCNCERT/CC企业/政府Cl RT商业Cl RT厂商Cl RT愿意付费如:CCERT如:Cisco. IBM如:中国银行、 公安部产品用户1一应急响应组织机构:国外安全事件响应组(CSIRT)建设情况FedCIRC、BACIRT、DFN-CERT等DOECIAC、AFCERT、NavyCIRT 亚太地区:AusCERT、SingCERT等 FIRST (1990)FIRST为IRT组织、厂商和其他安全专家提供一个论 坛,讨论安全缺陷、入侵者使用的方法和技巧、建议 等,共同的寻找一个可接受的方案。120多个正式
7、成员组织,覆盖20多个国家和地区。FIRST的大量工作都是由来自各成员组织的志愿者完 成的,从FIRST中获益的比例与IRT愿意提供的贡献 成比例。公司级的应急响应中国一国家公共互联网安全事件应急处理体系ec S国家网络与信息安全协调办公室国外政府部门 (APEC经济体)1 丄信息产业部互联网应急处理 协调办公室其他管理部门国外CERT组织国家计算机网络应急技术苹 调中心(CNCERT/ CC也J863-91 7网络安全检测平台I公共互联网应急处、 理国家级试点单位f国家计算机网络应急技术处理r 协调中心各省分中心L(共31个)1J骨干网的CERT丄1公共互联网应急处理服务省级 试点单位I D
8、C的CERT公司级的应急响应一:自组织 :提供服务1基本概念及关系Z应急响应能力建设的要点3应急响应组织体系 4应急响应流程 5应急响应技术简介丿I应急响应处理应急响应处理生命周期一:应急响应处理生命 周期准备检测遏制、根除和恢复事后活动阶段4 事故后活动阶段1准备阶段2检测和分析IJ遏制、根除和恢复丿J应急响应处理应急响应处理生命周期一:准备阶段获得在事故处理时可能有用的工具和资源。通过确保网络、系统和应用充分得到安全保护 来预防事故。应急响应处理应急响应处理生命周期一:检测和分析阶段通过各种类型的计算机安全软件所产生的告警来标识预兆和征兆。建立同外部方报告事故的机制。蠶籃翳鮭蠶席和审计的基
9、线级别并在所有关键系概括网络和系统。理解网络、系统和应用的正常行为。使用集中的日志并创建日志关联策略。执行事件关联。保持所有主机时钟同步。维护和使用信息知识库。为经验较少的人员编制诊断矩阵。当应急小组怀疑事故发生时,尽可能快的开始记录所有信息。安全保护事故数据。响优先计划事故。基于事故所影响资源的关键性以及事故的技术影响,通过业务影在组织机构应急响应策略中包含事故汇报相关的内容。应急响应处理应急响应处理生命周期一:遏制、根除和恢复阶段建立遏制事故的战略和流程。遵守所建立的证据搜集和处理流程。从系统中获得违反策略的数据作为证据。 通过完整的取证磁盘图象来获得系统的速照, 而不是文件系统备份。应急
10、响应处理应急响应处理生命周期一:事后活动阶段在主要事故后召开经验教训总结会议O应急响应处理应急响应处理实践所处理的事故类型一:拒绝服务事故:恶意代码事故:非授权访问事故:不正确使用事故:多组件事故应急响应处理准备阶段一恶意代码事故一:主要工作推荐配置防火墙规则集以预防反射器攻击。配置边界路由器以预防放大器攻击。 确定组织机构的互联网服务提供商(ISP)和 第二层提供商能帮助处理网络DoS攻击。配置安全软件以检测DoS攻击。流賈阶段3 ( 阶段4遏制、根除和恢复) 事故后活动配置网络边界以拒绝所有没有明确允许的出局一:主要工作推荐让用户意识到恶意代码问题。 阅读防病毒公告。为关键主机部署主机入侵
11、检测系统,包括文件完整性 检查器。使用防病毒软件,并且保持更新为最新的病毒特征配置软件以阻止可疑的文件。 减少开放的Windows共享。mi K zwA/ 4A V 准备检测和分析丿乜制、亦和恢复丿J事姑活动丿应急响应处理准备阶段一不正确使用事故一主要工作推荐配置入侵检测软件以对获得非授权访问的企图进行告警。配置所有主机使用集中日志。建立流程,以使所有用户修改其口令。配置网络边界以拒绝所有没有明确允许的入局流量。弃隸节所有的远程访问方式,包括调制解调器和虚拟专用网将所有公共访问的服务放在安全保护的非军事区(DMZ)网段。在主机上禁止所有不需要的服务并隔离关键的服务。在个人主机上使用主机防火墙软件以限制主机对攻击的暴露。创建和宜施口令策略。一:主要工作推荐同组织机构的人力资源和法务部门一起讨论不正确使 用事故的处理。同组织机构的法务部门讨论责任义务问题。配置网络入侵检测系统以检测某些类型的不正确使用。日志记录用户活动的基本信息O配置所有电子邮件服务器以使其不再用于非授权的邮件转发。在所有电子邮件服务器上实施垃圾邮件过滤软件O 实施URL过滤软件。阶段阶段2阶段彳、(阶段准备检辦分析丿J遏制、根除砒复丿事故后活动应急响应处理准备阶段多组件事故一:非授权访问事故使用集中的日志和事件关联软件。阶段1 1阶段2阶段彳、阶段4准备IX检衲分析丿J遏制、根血恢复丿J事亦活动
