《信息安全应急响应体系建设课件》由会员分享,可在线阅读,更多相关《信息安全应急响应体系建设课件(83页珍藏版)》请在金锄头文库上搜索。
1、课程要点什么是应急响应和应急响应体系应急响应的六大阶段应急预案的编制和管理应急响应体系建立流程典型应急响应体系建设案例1h基本概念安全事件(安全事件(Security AccidentSecurity Accident) 而安全事件则是指影响一个系统正常工作的情况。这里的系统包括主机范畴内的问题,也包括网络范畴内的问题,例如黑客入侵、信息窃取、拒绝服务攻击、网络流量异常等。应急响急响应(Emergency ResponseEmergency Response)是指组织为了应对突发/重大信息安全事件的发生所做的准备以及在事件发生后所采取的措施。应急响急响应是信息安全防是信息安全防护的最后一道防的
2、最后一道防线!2h基本概念应急响急响应体系体系(Emergency Response SystemEmergency Response System) 是指在突发/重大信息安全事件后对包括计算机运行在内的业务运行进行维持或恢复的各种技术和管理策略和规程。 信息安全应急响应体系的制定是一个周而复始、持续改进的过程,包含以下几个阶段:(1)应急响应需求分析和应急响应策略的确定;(2)编制应急响应计划文档;(3)应急响应计划的测试、培训、演练和维护。3h应急响应目的应急响应服务的目的是尽可能地减小和控制住网络安全事件的损失,提供有效的响应和恢复指导,并努力防止安全事件的发生。4h应急响应与应急响应体
3、系的关系5h政策要求关于加强信息安全保障工作的意见(中办发200327号文)指出:“信息安全保障工作的要点在于,实行信息安全等级保护制度,建设基于密码技术的网络信任体系,建设信息安全监控体系,重重视信息安全信息安全应急急处理工作理工作,推动信息安全技术研发与产业发展,建设信息安全法制与标准”国家信息安全战略的近期目标:通过五年的努力,基本建成国家信息安全保障体系。6h政策要求为了落实27号文精神国家网络与信息安全协调小组办公室于2003年10月发布了网络与信息安全信息通报暂行办法、2004年9月发布了关于做好重要信息系统灾难备份工作的通知,2004年8月发布了关于建立健全基础信息网络和重要信息
4、系统应急协调机制的意见等文件。这些文件对推动灾难备份和应急响应的发展起到了重要作用。7h相关标准GB/T24364-2009信息安全技术信息安全应急响应计划规范GB/T20988-2007信息安全技术信息系统应急响应规范GB/Z20985-2007信息技术安全技术信息安全事件管理指南GB/Z20986-2007信息安全技术信息安全事件分类分级指南8h应急响应六阶段第一第一阶段:准段:准备让我我们严阵以待以待第二第二阶段:确段:确认对情况情况综合判断合判断第三第三阶段:遏制段:遏制制止事制止事态的的扩大大第四第四阶段:根除段:根除彻底的底的补救措施救措施第五第五阶段:恢复段:恢复系系统恢复常恢复
5、常态第六第六阶段:跟踪段:跟踪还会有第二次会有第二次吗9h第一阶段准备预防为主微观(一般观点):帮助服务对象建立安全政策帮助服务对象按照安全政策配置安全设备和软件扫描,风险分析,打补丁如有条件且得到许可,建立监控设施宏观:建立协作体系和应急制度建立信息沟通渠道和通报机制如有条件,建立数据汇总分析的体系和能力有关法律法规的制定10h第一阶段准备制定应急响应计划资源准备应急经费筹集人力资源软硬件设备现场备份业务连续性保障系统容灾搭建临时业务系统11h人力资源准备指挥调度人员协作人员技术人员专家设备、系统和服务提供商12h软硬件设备准备硬件设备准备n数据保护设备磁盘、磁带、光盘SANn冗余设备网络链
6、路、网络设备关键计算机设备Anyelse?13h软硬件设备准备软件工具准备备份软件日志处理软件系统软件网络软件应急启动盘Anyelse?病毒/恶意软件查杀软件14h建立事件报告的机制和要求建立事件建立事件报告流告流程和程和规范范15h第二阶段确认确定事件性质和处理人微观(负责具体网络的CERT):确定事件的责任人指定一个责任人全权处理此事件给予必要的资源确定事件的性质误会?玩笑?还是恶意的攻击/入侵?影响的严重程度预计采用什么样的专用资源来修复?宏观(负责总体网络的CERT):通过汇总,确定是否发生了全网的大规模事件确定应急等级,以决定启动哪一级应急方案16h快速分析事故的标志事故的标志分为两
7、类:征兆和预兆Web服务器崩溃用户抱怨主机连接网络速度过慢子邮件管理员可以看到大批的反弹电子邮件与可疑内容网络管理员通告了一个不寻常的偏离典型的网络流量流向来源网络和主机IDS、防病毒软件、文件完整性检查软件系统、网络、蜜罐日志公开可利用的信息第三方监视服务17h确认事故(1)确认网络和系统轮廓:分析事故的最好技术方法之一理解正常的行为基于处理事故的良好准备使用集中的日志管理并创建日志保留策略执行事件关联保持所有主机时钟同步18h确认事故(2)维护和使用信息知识库分析事故时的快速参考使用互联网搜索引擎进行研究运行包嗅探器以搜集更多的数据过滤数据经验是不可替代的建立诊断矩阵寻求帮助19h诊断矩阵
8、实例征兆征兆拒拒绝服服务恶意代意代码非授非授权访问不正确使用不正确使用文件,关键,访问尝试低中高低文件,不适当的内容低中低高主机崩溃中中中低端口扫描,输入的,不正常的高低中低端口扫描,输出的,不正常的低高中低利用带宽高高中低中利用电子邮件中高中中20h事故优先级服务水平协议服务水平协议(SLA)定义服务目标及双方的预期及责任服务水平协议指标21h应急响应服务的指标远程应急响应服务在确认客户的应急响应请求后?小时内,交与相关应急响应人员进行处理。无论是否解决,进行处理的当天必须返回响应情况的简报,直到此次响应服务结束。本地应急响应服务对本地范围内的客户,?小时内到达现场;对异地的客户,?小时加路
9、途时间内到达现场。22h应急响应SLA矩阵事故当前或将来可能影响的事故当前或将来可能影响的资源的重要性源的重要性事故当前或将来可能的影响高(例如:互联网连接,公共Web服务器,防火墙,客户数据)中(例如:系统管理员工作站,文件和打印服务器,XYZ应用数据)低(例如:用户工作站)Root级访问15分钟30分钟1小时非授权的数据修改15分钟30分钟2小时对敏感信息的非授权访问15分钟1小时1小时非授权的用户级访问30分钟2小时4小时服务不可用30分钟2小时4小时骚扰30分钟不限不限23h第三阶段遏制即时采取的行动微观:防止进一步的损失,确定后果初步分析,重点是确定适当的封锁方法咨询安全政策确定进一
10、步操作的风险损失最小化(最快最简单的方式恢复系统的基本功能,例如备机启动)可列出若干选项,讲明各自的风险,由服务对象选择宏观:确保封锁方法对各网业务影响最小通过协调争取各网一致行动,实施隔离汇总数据,估算损失和隔离效果24h建立遏制策略建议组织机构为几类主要的事故建立单独的遏制策略,其标准包括:潜在的破坏和资源的窃取证据保留的需要服务可用性(例如:网络连接,提供给外部当事方的服务)实施战略需要的时间和资源战略的有效性(例如:部分遏制事故,完全遏制事故)解决方案的期限(例如:紧急事故工作区需在4小时内清除,临时工作区需在两周内清除,永久的解决方案)。25h例:基于DDOS攻击的遏制策略1.基于攻
11、击特征实施过滤。2.纠正正在被攻击的漏洞或弱点3.让ISP实施过滤4.重定位目标5.攻击攻击者6.设定证据保留时间26h第四阶段根除长期的补救措施微观:详细分析,确定原因,定义征兆分析漏洞加强防范消除原因修改安全政策宏观:加强宣传,公布危害性和解决办法,呼吁用户解决终端的问题;加强检测工作,发现和清理行业与重点部门的问题;27h第五阶段恢复微观:被攻击的系统恢复正常的工作状态作一个新的备份把所有安全上的变更作备份服务重新上线持续监控宏观:持续汇总分析,了解各网的运行情况根据各网的运行情况判断隔离措施的有效性通过汇总分析的结果判断仍然受影响的终端的规模发现重要用户及时通报解决适当的时候解除封锁措
12、施28h第六阶段跟踪关注系统恢复以后的安全状况,特别是曾经出问题的地方建立跟踪文档,规范记录跟踪结果对响应效果给出评估对进入司法程序的事件,进行进一步的调查,打击违法犯罪活动29h事件的归档与统计处理人时间和时段地点工作量事件的类型对事件的处置情况代价细节30h应急响应预案的制定应急响应预案的包括的主要内容确定风险场景描述可能受到的业务影响描述使用的预防性策略描述应急响应策略识别和排列关键应用系统行动计划团队和人员的职责联络清单所需资源配置31h应急响应预案的制定制定应急响应预案的原则首先,必须集中管理应急响应预案的版本和发布。其次,为了建立有效的版本控制体系,必须建立规范的应急响应预案的问题
13、提交、解决、更新、跟踪、发布的渠道和流程。第三,建立相关的保密管理规定,保证应急响应预案中涉及的秘密信息得到保护。第四,应急响应预案在内容管理方面应注意内容的分布和粒度,可根据版本和内容的更新频度将应急响应的内容进行适当的分布。第五,建立合理的应急响应预案的保管制度,强调存放的安全性和易取得性。32h应急响应预案的制定清楚、简洁高级管理层支持/组织承诺不断改进和更新的恢复策略及时的更新维护v组织职责分工明确v保留、备份和异地存储计划v完整记录并定期演练v风险得到管理v弱点得到优先重视v灵活、可适应v成功预案的特点33h应急响应预案的教育、培训和演练在灾难来临前使相关人员了解熟悉恢复流程使应急响
14、应预案得到理解并可以使用促进应急响应预案活动、更新、实用展示恢复的能力达到法律和内部审计要求34h演练与演习的类型演练和演习的主要方式有:桌面演练;模拟演练;实战演练等根据演练和演习的深度,可分为:系统级演练;应用级演练;业务级演练等根据演练和演习的准备情况,可分为:计划内的演练和演习;计划外的演练和演习等参见应急演练脚本35h预案维护管理核对预案的功能性验证预案文档的精确性和完整性分发更新的文档文档计划分发和发布流程确保相关的团队收到更新的文档依靠维护来改变管理流程提供培训作为持续维护预案的一部分为与应急响应的相关人员开展定期培训,如:复习进修课程或灾难备份研讨会指派培训责任,如:部门经理要
15、确保员工被送去参加培训完成时报告预案维护情况毁掉旧应急响应预案的复印件或电子版本。36h预案变更管理业务操作的增长或变化如:新的分支、产品和业务功能的增加公司所有权的变化关键人员的变化硬件配置的变化使用新操作系统预案审核和演练后软件/应用软件的变化新的法律或审计要求定期审核和更新如:每年两次应急急预案管理制度案管理制度37h应急预案变更记录变化化记录页码变化化备注注变化日期化日期签名名38h应急响应体系建设流程参见XXX应急体系_项目计划_080821_C139h信息安全应急响应计划编制方法总则角色及职责预防和预警机制应急响应流程应急响应保障措施附件40h总则编制目的编制依据适应范围工作原则4
16、1h角色及职责应急响应领导小组应急响应技术保障小组应急响应专家小组应急响应实施小组应急响应日常运行小组42h预防和预警机制43h应急响应流程44h事件通告(1)信息通报信息通报分为组织内信息通报和组织外信息通报两部分。组织内信息通报的目的是在信息安全事件发生后迅速通知应急响应日常运行小组,并根据评估结果迅速通知所有相关人员,从而快速有序的实施应急响应计划。组织外信息通报目的是将相关信息及时通报给受到负面影响的外部机构、互联的单位系统以及重要用户,同时根据应急响应的需要,应将相关信息准确通报给相关设备设施及服务提供商(包括电信、电力等)等外部组织,以获得适当的应急响应支持。值得注意的是对外信息通
17、报应符合组织的对外信息发布策略。(2)信息上报信息安全事件发生后,应按照相关规定和要求,及时将情况上报相关主管或监管单位/部门。(3)信息披露信息发布的目的是避免信息安全事件影响被误传,同时规范组织内人员信息披露,保证信息的一致性。因此,信息安全事件发生后,应根据信息安全事件的严重程度,指定特定的小组及时向新闻媒体发布相关信息,并且指定的小组应严格按照组织相关规定和要求对外发布信息,同时组织内其它部门或者个人不得随意接受新闻媒体采访或对外发表自己的看法。45h应急响应流程呼叫树46h呼叫树小组名称姓名在小组中的职位联络信息工作电话家庭电话手机电子邮件家庭地址47h信息上报重大信息安全事件重大信
18、息安全事件报告表告表报告时间: 年 月 日 时 分单位名称:报告人:联系电话:通讯地址:传真:电子邮件:发生重大信息安全事件的信息系统名称及用途:负责部门:负责人:重大信息安全事件的简要描述(如以前出现过类似情况也应加以说明):初步判定的事故原因:当前采取的措施:本次重大信息安全事件的初步影响状况:事件后果:影响范围:严重程度:值班电话:传真:48h事件分类与定级要确定信息安全事件后如何实施应急响应计划,对系统损害性质和程度的评估是非常重要的。这个损害评估应该在能够确保人员安全这个最优先任务的前提下尽快完成。所以,如果可能,应急响应日常运行小组是第一个得到事件通知的小组。损害评估规程对于不同的
19、系统是不同的,但是应该涉及到以下领域:(1)造成紧急情况或中断的原因;(2)潜在的附加中断或损失;(3)受到紧急情况影响的区域;(4)物理构架(如计算机室结构的完整性、电源、电信以及制热、通风和空调的情况)的状况;(5)系统设备的总量和功能状态(如具备完整功能、具备部分功能或丧失功能);(6)系统设备及其存货的损失类型(如水害、水灾或热能、物理以及电涌影响);(7)被更换的项目(如硬件、软件、固件或支持材料);(8)估计恢复正常服务所需的时间。49h我国信息安全事件分类方法GB/Z 20986-2007信息安全事件分级分类指南有害程序事件MI网络攻击事件NAI信息破坏事件IDI信息内容安全事件
20、ICSI设备设施故障FF灾害性事件DI其他信息安全事件OI50h我国信息安全事件分级方法分级要素51h我国信息安全事件分级方法特特别重大重大事件事件(I级)重重 大大事事 件件(II级)较 大大事事 件件(III级)一一 般般事事 件件(IV级)52h应急启动(1)启动原则快速、有序;(2)启动依据一般而言,对于导致业务中断、系统宕机、网络瘫痪等突发/重大信息安全事件应立即启动应急。但由于组织规模、构成、性质等的不同,不同组织对突发/重大信息安全事件的定义可能不一样,因此,各组织的应急启动条件可能各不相同。启动条件可以基于以下方面考虑:人员的安全和/或设施损失的程度;系统损失的程度(如物理的、
21、运作的或成本的);系统对于组织使命的影响程度(如保护资产的关键基础设施);预期的中断持续时间等。只有当损害评估的结果显示一个或多个系统启动条件被满足时,应急响应计划才应被启动。(3)启动方法由应急响应领导小组发布应急响应启动令。53h应急处置(1)恢复顺序当恢复复杂系统时,恢复进程应该反映出BIA中确定的系统优先顺序。恢复的顺序应该反映出系统允许的中断时间,以避免对相关系统及其应用的重大影响。(2)恢复规程为了进行恢复操作,应急响应计划应提供恢复业务能力的详细规程。规程应被设定给适当的恢复小组并且通常涉及到以下行动:1)获得访问受损设施和或地理区域的授权;2)通知相关系统的内部和外部业务伙伴;
22、3)获得所需的办公用品和工作空间;4)获得安装所需的硬件部件;5)获得装载备份介质;6)恢复关键操作系统和应用软件;7)恢复系统数据;8)成功运行备用设备。54h例:局域网(LAN)恢复小组检查列表LAN恢复小恢复小组:这些规程用于从备份磁带中恢复一个文件。LAN恢复小组负责继续进行生产活动所需的所有关键文件的重新装载。确定将要进行恢复的文件及其日期 时间: : 使用磁带记录本确定磁带编号 时间: : 如果磁带不在磁带库中,则要求恢复设施提供磁带;填写适当的授权签名 时间: : 收到磁带时,将日期和时间填入日志 时间: : 将磁带放入驱动器中并开始恢复进程 时间: : 当文件恢复完毕时,通知L
23、AN恢复小组的负责人 时间: : 55h后期处置(1)信息系统重建在应急处置工作结束后,要迅速采取措施,抓紧组织抢修受损的基础设施,减少损失,尽快恢复正常工作。通过统计各种数据,查明原因,对信息安全事件造成的损失和影响以及恢复重建能力进行分析评估,认真制定恢复重建计划,迅速组织实施信息系统重建。(2)应急响应总结应急响应总结是应急处置之后应进行的工作,具体工作包括:1)分析和总结事件发生原因;2)分析和总结事件现象;3)评估系统的损害程度;4)评估事件导致的损失;5)分析和总结应急处置记录;6)评审应急响应措施的效果和效率,并提出改进建议;7)评审应急响应计划的效果和效率,并提出改进建议。56
24、h信息安全事件应急响应总结模板信息安全事件信息安全事件应急响急响应结果果报告表告表原事件报告时间: 年 月 日 时 分备案编号: 年 月 日 第 号 总第 号单位名称: 联系人:联系电话: 通讯地址:信息系统名称及用途:已采用的安全措施:信息安全事件的补充描述及最后判定的事故原因:本次信息安全事件的初步影响状况:事件后果: 影响范围:严重程度:本次信息安全事件的主要处理过程及结果:针对此类信息安全事件应采取的保障信息系统安全的措施和建议:报告人签名:57h应急响应保障措施应急响急响应保障措施保障措施58h附件具体的组织体系结构及人员职责应急响应计划各小组成员的联络信息供应商联络信息,包括离站存
25、储和备用站点的外部联系点系统恢复或处理的标准操作规程和检查列表支持系统运行所需的硬件、软件、固件和其它资源的设备和系统需求清单供应商服务水平协议(SLA)、与其它机构的互惠协议和其它关键记录备用站点的描述和说明在计划制定前进行的BIA,包含关于系统各部分相互关系、风险、优先级别等应急响应计划文档的保存和分发方法59h应急响应工作机构图60h职责示例应急响急响应领导小小组:应急响应领导小组是信息安全应急响应工作的组织领导机构,组长应由组织最高管理层成员担任。领导小组的职责是领导和决策信息安全应急响应的重大事宜,主要如下: (1)对应急响应工作的承诺和支持,包括发布正式文件、提供必要资源(人财物)
26、等;(2)审核并批准应急响应策略;(3)审核并批准应急响应计划;(4)批准和监督应急响应计划的执行;(5) 启动定期评审、修订应急响应计划;(6)负责组织的外部协作工作。61h应急响应组(IRT)什么是应急响应组(IRT)应急响应组就是机构可以借助的网络安全专业组织。为什么需要成立应急响应组容易协调响应工作提高专业知识提高效率提高先期主动防御能力更加适合于满足机构的需要提高联络功能提高处理制度障碍方面的能力62h从应急组织到应急体系:信息安全保障的必要条件现实表明,单一的应急组织已经不能应对当今的网络安全威胁,我国的应急体系正是在实际工作的经验总结中逐渐形成的:平台从点到环到面;应急体系从点到
27、树到网“现实世界中发生的任何事情,在网络世界中都可以找到与之对应的事件”SARS事件反映出社会防疫应急体系的重要红色代码、尼姆达、SQL杀手、口令蠕虫等具有和现实世界中的疫病相同的特点处理方式也具有同样的特点:隔离-分析-治疗不同之处:“病人”不自知;隔离缺乏法律依据或技术手段;应急缺乏成熟体系和工作制度.63h国际信息安全应急响应组织美国计算机紧急事件响应小组协调中心 (Computer Emergency Response Team/Coordination Center, CERT/CC)事件响应与安全组织论坛(Forum of Incident Response and Securit
28、y Teams, FIRST)亚太地区计算机应急响应组(Asia Pacific Computer Emergency Response Team, APCERT)欧洲计算机网络研究教育协会(Trans-European Research and Education Networking Association, TERENA)64h我国信息安全应急响应组织国家计算机网络应急技术处理协调中心 (National Computer network Emergency Response technical Team/Coordination Center of China, CNCERT/CC)中
29、国教育和科研计算机网紧急响应组(China Education and Research Network Computer Emergency Response Team, CCERT) 国家计算机病毒应急处理中心国家计算机网络入侵防范中心国家863计划反计算机入侵和防病毒研究中心65h我国公共互联网应急体系从无到有从小到大从弱到强从点到面66hXX信息安全应急响应体系广州市突广州市突发公共公共事件事件总体体应急急预案案自然灾害自然灾害事故灾事故灾难公共公共卫生生社会安全社会安全广州市信息安全广州市信息安全突突发事件事件应急急预案案市市级机关事机关事业单位位应急急预案案区区县机关机关单位位应急
30、急预案案重点重点单位位应急急预案案重大事件重大事件/活活动应急急预案案67hXX市电子政务网络应急预案1总则2组织结构与职责3预防和预警机制4应急响应流程5保障与监督管理6计划附则68h总则1.1指导思想1.2编制目的1.3编制依据1.4适用范围广州市各级政府党政机关、事业单位及与重点保护企业1.5工作原则1.6分类与分级类别:有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、 灾害性事件、 其他信息安全事件。级别:信息安全事件级别根据信息系统的重要程度、系统损失和社会影响分为四级: 69h安全事件级别划分1) 特别重大事件(级) 特别重大事件是指能够导致特别严重影响或
31、破坏的信息安全事件。2) 重大事件(级) 重大事件是指能够导致严重影响或破坏的信息安全事件。3)较大事件(级) 较大事件是指能够导致较严重影响或破坏的信息安全事件。4)一般事件(级) 一般事件是指能够导致较小影响或破坏的信息安全事件。70h组织结构与职责71h预防和预警机制预警警简图72h73h应急响应流程应急响急响应简图74h75h应急响应之后期处理流程后期后期处理理简图76h77h保障监督管理4.1应急人力保障信息安全专业人才、队伍4.2物质条件保障通信与信息、应急装备、交通运输、经费、治安4.3技术支撑保障信息安全应急平台支撑技术、信息安全领域技术研究、预先编制的预案、方案等78h4.4宣传教育向单位、公众及相关人员宣传,特别是向领导人员宣传获得他们的支持4.5演练定期进行应急演练4.6责任与奖惩 依相关法规追究责任和奖惩79h计划及附则6.1人员联络清单6.2信息系统标准操作规程6.3业务影响分析报告80h信息系统应急计划一般过程美国美国SP800-34 信息技信息技术系系统应急急计划划/预案指案指南:七步走南:七步走81h七步走第一步:制定应急计划/预案策略条款第二步:进行业务影响分析第三步:确定防御性控制第四步:制定恢复策略第五步:IT应急计划/预案的制定第六步:计划/预案的测试、培训和演习第七步:计划/预案的维护82h83h