信息安全应急响应体系建设.pptxVIP

什么是应急响应和应急响应体系应急响应的六大阶段应急预案的编制和管理应急响应体系建立流程典型应急响应体系建设案例课程要点安全事件（Security Accident） 而安全事件则是指影响一个系统正常工作的情况。这里的系统包括主机范畴内的问题，也包括网络范畴内的问题，例如黑客入侵、信息窃取、拒绝服务攻击、网络流量异常等。应急响应（Emergency Response）是指组织为了应对突发/重大信息安全事件的发生所做的准备以及在事件发生后所采取的措施。应急响应是信息安全防护的最后一道防线！基本概念基本概念应急响应体系（Emergency Response System） 是指在突发/重大信息安全事件后对包括计算机运行在内的业务运行进行维持或恢复的各种技术和管理策略和规程。 信息安全应急响应体系的制定是一个周而复始、持续改进的过程，包含以下几个阶段：（1）应急响应需求分析和应急响应策略的确定；（2）编制应急响应计划文档；（3）应急响应计划的测试、培训、演练和维护。应急响应服务的目的是尽可能地减小和控制住网络安全事件的损失，提供有效的响应和恢复指导，并努力防止安全事件的发生。应急响应目的应急响应与应急响应体系的关系政策要求《关于加强信息安全保障工作的意见》（中办发『2003』27号文）指出：“信息安全保障工作的要点在于，实行信息安全等级保护制度，建设基于密码技术的网络信任体系，建设信息安全监控体系，重视信息安全应急处理工作，推动信息安全技术研发与产业发展，建设信息安全法制与标准”国家信息安全战略的近期目标：通过五年的努力，基本建成国家信息安全保障体系。政策要求为了落实27号文精神国家网络与信息安全协调小组办公室于2003年10月发布了《网络与信息安全信息通报暂行办法》、2004年9月发布了《关于做好重要信息系统灾难备份工作的通知》，2004年8月发布了《关于建立健全基础信息网络和重要信息系统应急协调机制的意见》等文件。这些文件对推动灾难备份和应急响应的发展起到了重要作用。相关标准?GB/T 24364-2009?《信息安全技术?信息安全应急响应计划规范》GB/T 20988-2007 《信息安全技术 信息系统应急响应规范》GB/Z 20985-2007 《信息技术 安全技术 信息安全事件管理指南》 GB/Z 20986-2007 《信息安全技术 信息安全事件分类分级指南》 应急响应六阶段第一阶段：准备——让我们严阵以待第二阶段：确认——对情况综合判断第三阶段：遏制——制止事态的扩大第四阶段：根除——彻底的补救措施第五阶段：恢复——系统恢复常态第六阶段：跟踪——还会有第二次吗第一阶段—准备预防为主微观（一般观点）：帮助服务对象建立安全政策帮助服务对象按照安全政策配置安全设备和软件扫描，风险分析，打补丁如有条件且得到许可，建立监控设施宏观：建立协作体系和应急制度建立信息沟通渠道和通报机制如有条件，建立数据汇总分析的体系和能力有关法律法规的制定第一阶段—准备制定应急响应计划资源准备应急经费筹集人力资源软硬件设备现场备份业务连续性保障系统容灾搭建临时业务系统? 指挥调度人员? 协作人员? 技术人员? 专家? 设备、系统和服务提供商人力资源准备? 硬件设备准备数据保护设备磁盘、磁带、光盘SAN冗余设备? 网络链路、网络设备? 关键计算机设备 Any else?软硬件设备准备? 软件工具准备备份软件日志处理软件系统软件网络软件应急启动盘Any else?病毒/ 恶意软件查杀软件软硬件设备准备建立事件报告流程和规范建立事件报告的机制和要求第二阶段—确认确定事件性质和处理人微观（负责具体网络的CERT）：确定事件的责任人指定一个责任人全权处理此事件给予必要的资源确定事件的性质误会？玩笑？还是恶意的攻击/入侵？影响的严重程度预计采用什么样的专用资源来修复？宏观（负责总体网络的CERT）：通过汇总，确定是否发生了全网的大规模事件确定应急等级，以决定启动哪一级应急方案? 事故的标志分为两类：征兆和预兆? Web服务器崩溃? 用户抱怨主机连接网络速度过慢? 子邮件管理员可以看到大批的反弹电子邮件与可疑内容? 网络管理员通告了一个不寻常的偏离典型的网络流量流向? 来源网络和主机IDS 、防病毒软件、文件完整性检查软件系统、网络、蜜罐日志公开可利用的信息第三方监视服务快速分析——事故的标志? 确认网络和系统轮廓：分析事故的最好技术方法之一? 理解正常的行为基于处理事故的良好准备? 使用集中的日志管理并创建日志保留策略? 执行事件关联? 保持所有主机时钟同步确认事故（1）? 维护和使用信息知识库分析事故时的快速参考? 使用互联网搜索引擎进行研究? 运行包嗅探器以搜集更多的数据? 过滤数据? 经验是不可替代的? 建立诊断矩阵? 寻求帮助确认事故（2）征兆拒绝服务恶