搜索
应急响应与灾难恢复培训机构名称讲师姓名版本:3.0发布日期:2014-12-1生效日期:2015-1-1课程内容2知识体知识域知识子域应急响应与灾难恢复信息系统灾难恢复灾难恢复概况信息安全应急响应管理过程信息安全事件分类分级灾难恢复管理过程应急响应概况计算机取证灾难恢复相关技术灾难恢复能力备份技术备用场所知识域:应急响应概况知识子域:信息安全事件分类分级理解信息安全事件和应急响应的基本概念了解国际和我国的信息安全应急响应组织了解我国信息安全事件应急响应工作的进展情况、政策要求和相关标准理解我国信息安全事件分类、分级方法3基本概念4GB/T24363-2009信息安全应急响应计划规范信息安全事件由于自然或者人为以及软硬件本身缺陷或故障的原因,对信息系统造成危害,或在信息系统内发生对社会造成负面影响的事件应急响应组织为了应对突发/重大信息安全事件的发生所做的准备,以及在事件发生后所采取的措施5GB/Z20985-2007信息安全事件管理指南信息安全事件响应组由组织中具备适当技能且可信的成员组成的一个小组,负责处理与信息安全事件相关的全部工作,有时小组可能有外部专家加入CERT计算机应急响应组国际或国家公认的计算机应急响应组织基本概念国际信息安全应急响应组织6美国计算机紧急事件响应小组协调中心(ComputerEmergencyResponseTeam/CoordinationCenter,CERT/CC)事件响应与安全组织论坛(ForumofIncidentResponseandSecurityTeams,FIRST)亚太地区计算机应急响应组(AsiaPacificComputerEmergencyResponseTeam,APCERT)欧洲计算机网络研究教育协会(Trans-EuropeanResearchandEducationNetworkingAssociation,TERENA)我国信息安全应急响应组织7国家计算机网络应急技术处理协调中心(NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina,CNCERT/CC)中国教育和科研计算机网紧急响应组(ChinaEducationandResearchNetworkComputerEmergencyResponseTeam,CCERT)国家计算机病毒应急处理中心国家计算机网络入侵防范中心国家863计划反计算机入侵和防病毒研究中心应急响应组织的一般构成8应急响应领导小组应急响应日常运行小组应急响应技术保障小组应急响应实施小组外部组织或机构实施应急响应计划上级有关单位或部门组织外信息通报应急响应专家小组提供建议咨询信息反馈协助应急提供建议咨询提供建议支持协助应急信息上报国家政策要求和相关标准9《关于加强信息安全保障工作的意见》(中办发『2003』27号文)指出:“信息安全保障工作的要点在于,实行信息安全等级保护制度,建设基于密码技术的网络信任体系,建设信息安全监控体系,重视信息安全应急处理工作,推动信息安全技术研发与产业发展,建设信息安全法制与标准”GB/T24363-2009《信息安全应急响应计划规范》GB/T20988-2007《信息系统灾难恢复规范》GB/Z20985-2007《信息安全事件管理指南》GB/Z20986-2007《信息安全事件分类分级指南》我国信息安全事件分类方法10GB/Z20986-2007《信息安全事件分级分类指南》7个基本类别有害程序事件:病毒、蠕虫、木马等网络攻击事件:DOS、后门攻击、扫描、钓鱼等信息破坏事件:信息被篡改、假冒、窃取等信息内容安全事件:危害国家安全、社会稳定等设备设施故障:软硬件自身故障和人为非技术破坏等灾害性事件:自然灾害、战争等其他信息安全事件:不能归为以上6个类别的事件我国信息安全事件分级方法11分级要素GB/Z20986-2007《信息安全事件分级分类指南》系统损失社会影响信息系统的重要程度我国信息安全事件分级方法GB/Z2098612特别重大事件是指能够导致特别严重影响或破坏的信息安全事件,包括以下情况:•会使特别重要信息系统遭受特别严重的系统损失•产生特别重大的社会影响重大事件是指能够导致严重影响或破坏的信息安全事件,包括以下情况:•会使特别重要信息系统遭受严重的系统损失、或使重要信息系统遭受特别严重的系统损失•产生重大的社会影响较大事件是指能够导致严重影响或破坏的信息安全事件,包括以下情况:•会使特别重要信息系统遭受较大的系统损失、或使重要信息系统遭受严重的系统损失,一般信息系统遭受特别严重的系统损失•产生较大的社会影响一般事件是指不满足以上条件的信息安全事件,包括以下情况:•会使特别重要信息系统遭受较小的系统损失、或使重要信息系统遭受较大的系统损失,一般信息系统遭受严重或严重以下级别的系统损失•产生一般的社会影响特别重大事件重大事件较大事件一般事件1级2级3级4级知识域:应急响应概况知识子域:信息安全应急响应管理过程掌握信息安全应急响应阶段方法论掌握准备、检测、遏制、根除等应急响应阶段的主要工作内容掌握信息安全应急响应计划编制方法13应急响应六阶段14第一阶段:准备——让我们严阵以待第二阶段:检测——对情况综合判断第三阶段:遏制——制止事态的扩大第四阶段:根除——彻底的补救措施第五阶段:恢复——系统恢复常态第六阶段:跟踪总结——还会有第二次吗第一阶段—准备15预防为主微观•确定重要资产和风险,实施针对风险的防护措施•编制和管理应急响应计划•建立和训练应急响应组织•准备相关的资源人力资源、财力资源、物质资源、技术资源、社会关系资源宏观•建立协作体系和应急制度•建立信息沟通渠道和通报机制•如有条件,建立数据汇总分析的体系和能力•有关法律法规的制定准备检测遏制根除恢复跟踪总结编制和管理应急响应计划16应急响应计划,是指在突发/重大信息安全事件后对包括计算机运行在内的业务运行进行维持或恢复的策略和规程应急响应计划的制定是一个周而复始、持续改进的过程,包含以下几个阶段(1)应急响应需求分析和应急响应策略的确定(2)编制应急响应计划文档(3)应急响应计划的测试、培训、演练和维护应急响应计划主要内容•总则、角色及职责、预防和预警机制、应急响应流程、应急响应保障措施、附件第二阶段—检测17检测事件、确定事件性质和处理人微观•进行监测、报告及信息收集•确定事件类别和级别•指定事件处理人,进行初步响应•评估事件的影响范围•事件通告(信息通报、信息上报、信息披露)宏观:•通过汇总,确定是否发生了全网的大规模事件•确定应急等级,以决定启动哪一级应急方案准备检测遏制根除恢复跟踪总结第三阶段—遏制18限制事件影响的范围、损失微观•启动应急响应计划•确定适当的响应方式•实施遏制行动•要求用户按应急行为规范要求配合遏制工作宏观•确保封锁方法对各网业务影响最小•通过协调争取各网一致行动,实施隔离•汇总数据,估算损失和隔离效果准备检测遏制根除恢复跟踪总结第四阶段—根除19长期的补救措施微观•详细分析,确定原因•实施根除措施,消除原因宏观•加强宣传,公布危害性和解决办法,呼吁用户解决终端的问题•加强检测工作,发现和清理行业与重点部门的问题准备检测遏制根除恢复跟踪总结第五阶段—恢复20微观•根据破坏程度决定是在原系统还是备份系统中恢复•按恢复优先顺序恢复系统和业务运行•可能需要执行以下事务性步骤和技术性恢复操作获得访问相关区域和资源的授权获取备份介质等相关资源恢复系统数据启用备份系统重建主系统宏观•持续汇总分析,判断遏制、根除效果•通过汇总分析的结果判断仍然受影响的终端的规模•适当时解除封锁措施准备检测遏制根除恢复跟踪总结第六阶段—跟踪总结21关注系统恢复以后的安全状况,记录跟踪结果评估损失、响应措施效果分析和总结经验、教训重新评估和修改安全策略、措施和应急响应计划对进入司法程序的事件,进行进一步调查,打击违法犯罪活动编制并提交应急响应报告•处理人•时间和时段•地点•工作量准备检测遏制根除恢复跟踪总结•事件的类类别、级别•对事件的处置情况•损失•经验、教训知识域:应急响应概况知识子域:计算机取证了解计算机取证的概念和目的了解计算机取证的基本步骤22计算机取证的概念、目的、原则计算机取证使用先进的技术和工具,按照标准规程全面地检查计算机系统,以提取和保护有关计算机犯罪的相关证据的活动提取和保护的是电子证据,相关工作主要围绕两个方面进行:证据的获取和证据的分析目的查找肇事者、推断犯罪过程、判断受害者损失程度、提供法律支持原则合法原则、充分授权原则、优先保护证据原则、全程监督原则23计算机取证的步骤24准备保护提取分析提交计算机取证-准备获取授权取证工作获得明确的授权(授权书)目标明确对取证的目的有清晰的认识工具准备对取证环境的了解及需要准备的工具软件准备对取证的软件进行过有效的验证介质准备确保有符合要求的干净的介质可用于取证25计算机取证-保护保证数据安全性制作磁盘映像——不在原始磁盘上操作保证数据完整性取证中不使用可能破坏完整性的操作第三方监督所有操作都有第三方在场监督26计算机取证-提取27优先提取易消失的证据•内存信息、系统进程、网络连接信息、路由信息、临时文件、缓存文件系统•数据恢复、隐藏文件、加密文件、系统日志应用系统•系统日志计算机取证-分析及提交证据在什么地方?日志、删除的文件、临时文件、缓存从证据中能发现什么?如何关联证据?电子取证提交必须与现实取证结合,文档化很重要28知识域:信息系统灾难恢复知识子域:灾难恢复概况了解灾难恢复的历史和背景、进展情况、政策要求和相关标准理解业务连续性管理与灾难恢复相关的基本概念了解灾难恢复组织的一般结构和职责理解组织应依据自身业务特点制定适宜的灾难恢复战略理解编制详细准确的备份策略和恢复步骤文档是成功恢复的基础,理解恢复性测试的重要性29灾难恢复的历史和背景20世纪90年代末期,开始关注数据安全,进行数据的备份。但当时,不论从灾难恢复理论水平,重视程度,从业人员数量质量,还是技术水平方面都还很不成熟。2000年,“千年虫”事件引发了国内对于信息系统灾难的第一次集体性关注,但“9.11”事件所引起的震动真正地引起了大家对灾难恢复的关注30我国灾难恢复进展情况各行业用户对信息安全的建设越来越重视投入呈现稳定增长的态势。但,大部分单位还没有有效的灾难恢复策略没有建立统一的业务连续管理机制随着国内信息化建设的不断完善、数据大集中的开展和国家对灾难恢复工作的高度重视,越来越多的单位和部门认识到灾难恢复的重要性和必要性,开展灾难恢复建设的时机已基本成熟一些大型行业已建设或启动灾备中心建设31我国国内灾难恢复的国家政策和标准2003年,《国家信息化领导小组关于加强信息安全保障工作的意见》,要求:各基础信息网络和重要信息系统建设要充分考虑抗毁性与灾难恢复,制定和不断完善信息安全应急处置预案2004年,国信办《关于做好重要信息系统灾难备份工作的通知》,强调了“统筹规划、资源共享、平战结合”的灾备工作原则2005年,国务院信息化办公室《重要信息系统灾难恢复指南》2007年,《信息安全技术信息系统灾难恢复规范》(GB/T20988—2007)32灾难恢复相关基本概念灾难(disaster)由于人为或自然的原因,造成信息系统严重故障或瘫痪,使信息系统支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。通常导致信息系统需要切换到灾难备份中心运行33灾难备份(backupfordisasterrecovery)为了灾难恢复而对数据、数据处理系统、网络系统、基础设施、专业技术支持能力和运行管理能力进行备份的过程灾难恢复(disasterrecovery)