搜索
课程要点•什么是应急响应和应急响应体系•应急响应的六大阶段•应急预案的编制和管理•应急响应体系建立流程•典型应急响应体系建设案例基本概念安全事件(SecurityAccident)而安全事件则是指影响一个系统正常工作的情况。这里的系统包括主机范畴内的问题,也包括网络范畴内的问题,例如黑客入侵、信息窃取、拒绝服务攻击、网络流量异常等。应急响应(EmergencyResponse)是指组织为了应对突发/重大信息安全事件的发生所做的准备以及在事件发生后所采取的措施。应急响应是信息安全防护的最后一道防线!基本概念3应急响应体系(EmergencyResponseSystem)是指在突发/重大信息安全事件后对包括计算机运行在内的业务运行进行维持或恢复的各种技术和管理策略和规程。信息安全应急响应体系的制定是一个周而复始、持续改进的过程,包含以下几个阶段:(1)应急响应需求分析和应急响应策略的确定;(2)编制应急响应计划文档;(3)应急响应计划的测试、培训、演练和维护。应急响应目的•应急响应服务的目的是尽可能地减小和控制住网络安全事件的损失,提供有效的响应和恢复指导,并努力防止安全事件的发生。损失最小尽快恢复应急响应与应急响应体系的关系5应急预案应急演练应急响应技术管理措施应急响应体系政策要求6《关于加强信息安全保障工作的意见》(中办发『2003』27号文)指出:“信息安全保障工作的要点在于,实行信息安全等级保护制度,建设基于密码技术的网络信任体系,建设信息安全监控体系,重视信息安全应急处理工作,推动信息安全技术研发与产业发展,建设信息安全法制与标准”国家信息安全战略的近期目标:通过五年的努力,基本建成国家信息安全保障体系。政策要求7为了落实27号文精神国家网络与信息安全协调小组办公室于2003年10月发布了《网络与信息安全信息通报暂行办法》、2004年9月发布了《关于做好重要信息系统灾难备份工作的通知》,2004年8月发布了《关于建立健全基础信息网络和重要信息系统应急协调机制的意见》等文件。这些文件对推动灾难备份和应急响应的发展起到了重要作用。相关标准8GB/T24364-2009《信息安全技术信息安全应急响应计划规范》GB/T20988-2007《信息安全技术信息系统应急响应规范》GB/Z20985-2007《信息技术安全技术信息安全事件管理指南》GB/Z20986-2007《信息安全技术信息安全事件分类分级指南》应急响应六阶段9第一阶段:准备——让我们严阵以待第二阶段:确认——对情况综合判断第三阶段:遏制——制止事态的扩大第四阶段:根除——彻底的补救措施第五阶段:恢复——系统恢复常态第六阶段:跟踪——还会有第二次吗第一阶段—准备10预防为主微观(一般观点):帮助服务对象建立安全政策帮助服务对象按照安全政策配置安全设备和软件扫描,风险分析,打补丁如有条件且得到许可,建立监控设施宏观:建立协作体系和应急制度建立信息沟通渠道和通报机制如有条件,建立数据汇总分析的体系和能力有关法律法规的制定准备确认遏制根除恢复跟踪第一阶段—准备11制定应急响应计划资源准备应急经费筹集人力资源软硬件设备现场备份业务连续性保障•系统容灾•搭建临时业务系统准备确认遏制根除恢复跟踪人力资源准备•ƒ指挥调度人员•ƒ协作人员•ƒ技术人员•ƒ专家•ƒ设备、系统和服务提供商软硬件设备准备•ƒ硬件设备准备数据保护设备•磁盘、磁带、光盘•SAN冗余设备•ƒ网络链路、网络设备•ƒ关键计算机设备•Anyelse?软硬件设备准备•ƒ软件工具准备•备份软件•日志处理软件•系统软件•网络软件•应急启动盘•Anyelse?•病毒/恶意软件查杀软件建立事件报告的机制和要求建立事件报告流程和规范第二阶段—确认16确定事件性质和处理人微观(负责具体网络的CERT):确定事件的责任人指定一个责任人全权处理此事件给予必要的资源确定事件的性质误会?玩笑?还是恶意的攻击/入侵?影响的严重程度预计采用什么样的专用资源来修复?宏观(负责总体网络的CERT):通过汇总,确定是否发生了全网的大规模事件确定应急等级,以决定启动哪一级应急方案准备确认遏制根除恢复跟踪快速分析——事故的标志•ƒ事故的标志分为两类:–征兆和预兆•ƒWeb服务器崩溃•ƒ用户抱怨主机连接网络速度过慢•ƒ子邮件管理员可以看到大批的反弹电子邮件与可疑内容•ƒ网络管理员通告了一个不寻常的偏离典型的网络流量流向•ƒ来源–网络和主机IDS、防病毒软件、文件完整性检查软件–系统、网络、蜜罐日志–公开可利用的信息–第三方监视服务确认事故(1)•ƒ确认网络和系统轮廓:–分析事故的最好技术方法之一•ƒ理解正常的行为–基于处理事故的良好准备•ƒ使用集中的日志管理并创建日志保留策略•ƒ执行事件关联•ƒ保持所有主机时钟同步确认事故(2)•ƒ维护和使用信息知识库–分析事故时的快速参考•ƒ使用互联网搜索引擎进行研究•ƒ运行包嗅探器以搜集更多的数据•ƒ过滤数据•ƒ经验是不可替代的•ƒ建立诊断矩阵•ƒ寻求帮助诊断矩阵实例征兆拒绝服务恶意代码非授权访问不正确使用文件,关键,访问尝试低中高低文件,不适当的内容低中低高主机崩溃中中中低端口扫描,输入的,不正常的高低中低端口扫描,输出的,不正常的低高中低利用带宽高高中低中利用电子邮件中高中中事故优先级——服务水平协议•ƒ服务水平协议(SLA)–定义服务目标及双方的预期及责任•ƒ服务水平协议指标应急响应服务的指标•ƒ远程应急响应服务–在确认客户的应急响应请求后?小时内,交与相关应急响应人员进行处理。无论是否解决,进行处理的当天必须返回响应情况的简报,直到此次响应服务结束。•ƒ本地应急响应服务–对本地范围内的客户,?小时内到达现场;对异地的客户,?小时加路途时间内到达现场。应急响应SLA矩阵事故当前或将来可能影响的资源的重要性事故当前或将来可能的影响高(例如:互联网连接,公共Web服务器,防火墙,客户数据)中(例如:系统管理员工作站,文件和打印服务器,XYZ应用数据)低(例如:用户工作站)Root级访问15分钟30分钟1小时非授权的数据修改15分钟30分钟2小时对敏感信息的非授权访问15分钟1小时1小时非授权的用户级访问30分钟2小时4小时服务不可用30分钟2小时4小时骚扰30分钟不限不限第三阶段—遏制24即时采取的行动微观:•防止进一步的损失,确定后果•初步分析,重点是确定适当的封锁方法•咨询安全政策•确定进一步操作的风险•损失最小化(最快最简单的方式恢复系统的基本功能,例如备机启动)•可列出若干选项,讲明各自的风险,由服务对象选择宏观:•确保封锁方法对各网业务影响最小•通过协调争取各网一致行动,实施隔离•汇总数据,估算损失和隔离效果准备确认遏制根除恢复跟踪建立遏制策略•建议组织机构为几类主要的事故建立单独的遏制策略,其标准包括:–潜在的破坏和资源的窃取–证据保留的需要–服务可用性(例如:网络连接,提供给外部当事方的服务)–实施战略需要的时间和资源–战略的有效性(例如:部分遏制事故,完全遏制事故)–解决方案的期限(例如:紧急事故工作区需在4小时内清除,临时工作区需在两周内清除,永久的解决方案)。例:基于DDOS攻击的遏制策略1.基于攻击特征实施过滤。2.纠正正在被攻击的漏洞或弱点3.让ISP实施过滤4.重定位目标5.攻击攻击者6.设定证据保留时间第四阶段—根除27长期的补救措施微观:•详细分析,确定原因,定义征兆•分析漏洞•加强防范•消除原因•修改安全政策宏观:•加强宣传,公布危害性和解决办法,呼吁用户解决终端的问题;•加强检测工作,发现和清理行业与重点部门的问题;准备确认遏制根除恢复跟踪第五阶段—恢复28微观:被攻击的系统恢复正常的工作状态•作一个新的备份•把所有安全上的变更作备份•服务重新上线•持续监控宏观:•持续汇总分析,了解各网的运行情况•根据各网的运行情况判断隔离措施的有效性•通过汇总分析的结果判断仍然受影响的终端的规模•发现重要用户及时通报解决•适当的时候解除封锁措施准备确认遏制根除恢复跟踪第六阶段—跟踪29关注系统恢复以后的安全状况,特别是曾经出问题的地方建立跟踪文档,规范记录跟踪结果对响应效果给出评估对进入司法程序的事件,进行进一步的调查,打击违法犯罪活动准备确认遏制根除恢复跟踪事件的归档与统计30处理人时间和时段地点工作量事件的类型对事件的处置情况代价细节应急响应预案的制定•应急响应预案的包括的主要内容–确定风险场景–描述可能受到的业务影响–描述使用的预防性策略–描述应急响应策略–识别和排列关键应用系统–行动计划–团队和人员的职责–联络清单–所需资源配置31应急响应预案的制定•制定应急响应预案的原则–首先,必须集中管理应急响应预案的版本和发布。–其次,为了建立有效的版本控制体系,必须建立规范的应急响应预案的问题提交、解决、更新、跟踪、发布的渠道和流程。–第三,建立相关的保密管理规定,保证应急响应预案中涉及的秘密信息得到保护。–第四,应急响应预案在内容管理方面应注意内容的分布和粒度,可根据版本和内容的更新频度将应急响应的内容进行适当的分布。–第五,建立合理的应急响应预案的保管制度,强调存放的安全性和易取得性。32应急响应预案的制定•清楚、简洁•高级管理层支持/组织承诺•不断改进和更新的恢复策略•及时的更新维护组织职责分工明确保留、备份和异地存储计划完整记录并定期演练风险得到管理弱点得到优先重视灵活、可适应成功预案的特点33应急响应预案的教育、培训和演练•在灾难来临前使相关人员了解熟悉恢复流程•使应急响应预案得到理解并可以使用•促进应急响应预案活动、更新、实用•展示恢复的能力•达到法律和内部审计要求34演练与演习的类型•演练和演习的主要方式有:–桌面演练;–模拟演练;–实战演练等•根据演练和演习的深度,可分为:–系统级演练;–应用级演练;–业务级演练等•根据演练和演习的准备情况,可分为:–计划内的演练和演习;–计划外的演练和演习等35参见应急演练脚本预案维护管理•核对预案的功能性•验证预案文档的精确性和完整性•分发更新的文档–文档计划分发和发布流程–确保相关的团队收到更新的文档•依靠维护来改变管理流程•提供培训作为持续维护预案的一部分–为与应急响应的相关人员开展定期培训,如:复习进修课程或灾难备份研讨会–指派培训责任,如:部门经理要确保员工被送去参加培训•完成时报告预案维护情况•毁掉旧应急响应预案的复印件或电子版本。36预案变更管理•业务操作的增长或变化–如:新的分支、产品和业务功能的增加•公司所有权的变化•关键人员的变化•硬件配置的变化•使用新操作系统•预案审核和演练后•软件/应用软件的变化•新的法律或审计要求•定期审核和更新——如:每年两次37《应急预案管理制度》应急预案变更记录变化记录页码变化备注变化日期签名应急响应体系建设流程应急响应计划的编制准备应急响应计划的测试、培训、演练和维护编制应急响应计划文档业务影响分析风险评估制定应急响应策略应急响应计划的测试、培训和演练应急响应计划的管理和维护参见XXX应急体系_项目计划_080821_C1信息安全应急响应计划编制方法40总则角色及职责预防和预警机制应急响应流程应急响应保障措施附件总则角色及职责预防和预警机制应急响应流程应急响应保障措施附件总则41编制目的编制依据适应范围工作原则总则角色及职责预防和预警机制应急响应流程应急响应保障措施附件角色及职责42应急响应领导小组应急响应技术保障小组应急响应专家小组应急响应实施小组应急响应日常运行小组总则角色及职责预防和预警机制应急响应流程应急响应保障措施附件预防和预警机制43总则角色及职责预防和预警机制应急响应流程应急响应保障措施附件早发现早报告早处置监测预测预警应急响应流程44总则角色及职责预防和预警机制应急响应流程应急响应保障措施附件信息安全事件信息安全事件通告应急启动应急处置后期处置信息系统重建应急响应总结信息安全事件评估事件分类事件定级信息通报信息批露信