第6讲应急响应.pptVIP

第6讲 应急响应 6.1 应急响应概述 应急响应(Emergency Response)，指组织为了应对突发／重大信息安全事件的发生所做的准备及在事件发生后所采取的措施。 应急响应计划(Emergency Response　Plan)，指组织为了应对突发／重大信息安全事件而编制的，对包括信息系统运行在内的业务运行进行维持或恢复的策略和规程。 6.2 应急响应计划 计划的准备阶段：指应急响应需求分析和应急响应策略的确定。需求分析和策略确定建立在风险评估的基础之上，并且紧紧围绕着组织的业务战略来展开。 计划的编制阶段：应将需求和策略细化成应急响应的各项措施，编制应急响应计划文档。 计划的实践阶段：应急响应计划的测试、人员培训、演练（实战）和计划更新。 ６.2.1 应急响应计划的准备 信息环境——软环境威胁识别 信息环境——硬环境威胁识别 公用信息载体威胁识别 专用信息载体威胁识别 威胁输出报告 ６.2.1 应急响应计划的准备 风险评估 业务影响分析：评估特定信息安全事件对各种业务功能的影响。 制定应急响应策略：如何快速、有效地恢复信息系统的运行的方法，用于指导、设计应急响应计划的详细工作流程。 6.2.2 应急响应计划的制定 总则 角色及职责 预防和预警机制 应急响应流程 应急响应保障措施 附件 总则 编制目的：制定的原因和目标 编制依据：说明编制的依据，包括国家有关信息安全应急响应的相关标准、政府或企业的有关突发公共事件应急响应的文件等 适用范围：说明计划的范围、解决哪些问题。 工作原则：确定应急响应计划组织和实施原则 角色和流程 成立应急响应工作机构，明确职责 应急响应领导小组 应急响应技术保障小组 应急响应专家小组 应急响应实施小组 应急响应日常运行小组 应急响应工作机构图 Ｐ３３９ 预防和预警机制 最常见的措施是容灾备份 应急响应流程 Ｐ３４０ 应急响应流程 事件通告 事件定级 应急启动 应急处置 后期处置 1)事件通告 信息通报 信息上报 信息披露 信息安全事件报告表 2)事件定级：对突发安全事件进行分类和分级 评估组织的主要业务与其他区域受到影响的程度，并以此作为事件定级的依据 潜在的附加影响或损失（次生灾害） 造成紧急情况或系统中断的原因 物理环境的状况 系统设备的总和和功能状态 系统设备及其存货的损失类型（如水灾或热能等） 被更换的项目 评估恢复正常报务所需的时间 信息安全事件响应等级表 3）应急启动 启动原则：果断、快速、在序 启动依据：激活条件 启动方法：由应急启动领导小组发布启动令，但现场人员应按照预先制定的响应方案立即采取抢救措施，同时请示领导小组发布启动令 4）应急处置 ●应急响应启动令一旦下达，就应采取相关措施抑制或清除信息安全事件影响。 ●国家有关标准中的应急处理规定主要对恢复顺序和恢复任务作了一些规范性要求 ●恢复顺序 ●恢复任务 ●恢复流程 5）后期处置 ●信息系统重建，具体的方法 （1）统计分析各种数据，查明原因。事后责任追究甚至法律介入起到关键作用 （2）对信息安全事件造成的影响及恢复重建工作进行分析与评估 （3）认真制定恢复重建计划 （4）重建工作完成后，对所采取的措施进行（简要的）风险评估 5）后期处置 ●应急响应/事件总结，具体包括： （1）分析和总结事件发生的原因 （2）分析和总结事件现象 （3）评估系统的损害程度 （4）评估事件导致的损失 （5）分析和总结应急处置记录 （6）评审应急响应措施的效果和效率，并提出改进建议 （7）评审应急响应计划的效果和效率，并提出改进建议 应急响应/事件总结 应急响应保障措施 应急响应计划的培训、演练和更新 培训人员，提高素质 演练计划（实战演练） 计划更新 文档的保存、分发与维扩 由专人负责保存与分发 复制多份并在不同的地点保存 分发给参与应急响应工作的所有人员 在每次修订后对所有复制件统一更新，并保留一套，以备查阅 旧版本应按有关规定销毁 ６.3 应急响应案例分析 南海大学信息安全应急响应计划示例 四个校区，5万学生，“数字化校园” “南洋烽火计划” 南洋烽火计划 １．总则 ２．角色与职责 ３．预防和预警机制 ４．应急响应流程 ５．应急响应保障措施 ６．计划的培训和演练 ７．附件 编制依据 贯彻落实《中华人民共和国计算机信息系统安全保护条例》、《计算机病毒防治管理办法》、《计算机信息网络国际联网管理暂行规定》等国家有关法律、法规 依据 信息安全技术 信息安全事件管理指南》（GB/Z20985-2007） 《信息安全技术 信息安全事件分级分类指南》（GB/Z20986-2007）、 《信息安全技术 信息系统灾难恢复规范》（GB/Z20988-2007） 参照《信息安全技术 信息安全应急响应计划规范》（草案） 事件分类