应急响应处置管理.pptVIP

应急响应处置管理 15.1 应急响应概述 15.1.1 应急响应的内涵 应急响应通常是指人们为了应对各种紧急事件的发生所作的准备以及在事件发生后所采取的措施。 信息安全中的应急响应的内涵则需要在对“应急响应”概念理解的基础上， 结合信息安全背景知识针对“安全紧急事件”内涵，以及“做什么准备？”和“采取什么措施？”等内容做进一步的定义说明。 15.1.1 应急响应的内涵 1．安全紧急事件 紧急事件是应急响应的对象，在信息安全应急响应领域，安全紧急事件一定属于安全事件范畴。 根据信息安全三个基本属性，即机密性C（Confidentiality）、完整性I（Integrality）和可用性A（Availability）， 安全事件可被定义为破坏或企图破坏信息或信息系统CIA属性的行为事件。 15.1.1 应急响应的内涵 （1）破坏机密性的安全事件：如入侵系统并窃取信息、搭线窃听、远程探测网络拓扑结构和计算机系统配置等。 （2）破坏完整性的安全事件：如入侵系统并篡改数据、劫持网络连接并篡改或插入数据、安装特洛伊木马或计算机病毒等。 （3）破坏可用性的安全事件：如水火等自然灾害引起的设备损坏，拒绝服务攻击、病毒入侵引起的系统资源或网络带宽性能下降等。 15.1.1 应急响应的内涵 目前，随着人们对信息安全的认识理解不断深入，越来越多的人认为CIA界定的安全属性范围还不够全面， 例如表15-1所列举的安全事件，根据CIA安全三属性就很难被划归为安全事件范畴。 因此，人们从不同的角度对“信息安全”含义进行解释说明，出现了“机密性”、“真实性”、“完整性”、“可用性”、“不可否认性”、“生存性”等描述方式。 15.1.1 应急响应的内涵 2．“做什么准备？”和“采取什么措施？” “做什么准备？”和“采取什么措施？”意指在信息安全应急响应活动中所要做的工作。 根据开展的时间阶段，应急响应工作可以划分为事先准备和事后措施两大部分。 15.1.1 应急响应的内涵 事先准备，其目的在于进行预警和制定各种防范措施， 比如风险评估、安全策略制定、系统及数据备份、安全意识培训以及安全通告发布等； 事后措施，其目的在于把事件造成的损失降到最小， 比如事件发生后进行的安全隔离、威胁清除及系统恢复、调查与追踪、入侵者取证等一系列操作。 事先准备与事后措施两个方面的工作是相辅相承、相互补充的。 15.1.1 应急响应的内涵 首先，事前的计划和准备为事件发生后的响应动作提供了指导框架，否则响应动作将陷入混乱， 其次，事后的响应可能会发现事先计划的不足，从而进一步完善事先的安全准备。 因此，这两个方面应该形成一种正反馈的机制，逐步强化系统安全防范及应急体系。 15.1.2 应急响应的地位与作用 信息安全可以被看作一个动态的过程，它包括风险分析（Risk Analysis）、安全防护（Prevention）、安全检测（Detection）以及响应（Response）4个阶段， 通常被称为以安全策略（Security Policy）为中心的安全生命周期P-RPDR安全模型。 在P-RPDR安全模型中，安全风险分析产生安全策略，安全策略决定防护、检测和响应措施。风险分析、防护、检测和响应间的相互关系如图15-1所示。 15.1.2 应急响应的地位与作用 应急响应在P-RPDR安全模型中属于响应范畴， 它不仅仅是防护和检测措施的必要补充，而且可以发现安全策略的漏洞，重新进行安全风险评估， 进一步指导修订安全策略，加强防护、检测和响应措施，将系统调整到“最安全”的状态。 15.1.3 应急响应的必要性 根据P-RPDR安全模型可知，为了保证信息安全，首先采取的方法就是入侵阻止（即安全防护）， 其次采用入侵检测，因为网络入侵防不胜防，所以要对无法防御的入侵行为及内部安全威胁进行检测。 那么把所有的精力和资源都投放到安全生命周期前三个阶段，是否足以保证信息系统和信息的安全呢？答案是否定的。 15.1.3 应急响应的必要性 首先，从理论上无法保证系统的绝对安全。 迄今为止软件工程技术还无法做到可信计算机安全评估准则中信息系统A2级的安全要求，即形式证明一个系统的安全性。 另外，目前也没有一种切实可行的方法能够保证人们获取完善的安全策略，以及解决合法用户在通过“身份鉴别”后滥用特权的问题。 因此从设计、实现到维护阶段，信息系统都可能留下大量的安全漏洞。 15.1.3 应急响应的必要性 其次，现实中尽管人们对信息安全的关注与投资与日俱增，但是安全事件的数量和影响并没有因此而减少。 从计算机应急响应协调中心（CERT/CC）对1993~2003十年间发生的网络攻击事件的统计（如表15-2所示）来看，攻击事件发生的数量逐年增加， 近几年由于Internet上