1、第1页,共25页。2事件响应事件响应:对发生在计算机系统或网络上的威胁安全的事件响应:对发生在计算机系统或网络上的威胁安全的事件进行响应。事件进行响应。事件响应是信息安全生命周期的必要组成部分。这个生命周期事件响应是信息安全生命周期的必要组成部分。这个生命周期包括:对策、检测和响应。包括:对策、检测和响应。网络安全的发展日新月异,谁也无法实现一劳永逸的安网络安全的发展日新月异,谁也无法实现一劳永逸的安全服务。全服务。第2页,共25页。3什么是应急响应应急响应也叫紧急响应,是安全事件发生后迅速采取的措应急响应也叫紧急响应,是安全事件发生后迅速采取的措施和行动,它是安全事件响应的一种快速实现方式。
2、施和行动,它是安全事件响应的一种快速实现方式。应急响应服务是解决网络系统安全问题的有效安全服务应急响应服务是解决网络系统安全问题的有效安全服务手段之一。手段之一。第3页,共25页。4为什么需要应急响应保护网络信息系统的安全保护网络信息系统的安全大量的安全漏洞存在大量的安全漏洞存在攻击系统和网络的程序存在攻击系统和网络的程序存在实际的和潜在的财务损失实际的和潜在的财务损失不利的媒体曝光威胁(声誉的损失不利的媒体曝光威胁(声誉的损失)对效率的需求对效率的需求当前入侵检测能力的局限性当前入侵检测能力的局限性法律方面的考虑法律方面的考虑第4页,共25页。5应急响应的目的 应急响应的目的是最快速度恢复系
3、统的保密性、完应急响应的目的是最快速度恢复系统的保密性、完整性和可用性,阻止和减小安全事件带来的影响。整性和可用性,阻止和减小安全事件带来的影响。定位并排除系统故障定位并排除系统故障 提高对网络黑客攻击的抵御和防范的规范程度提高对网络黑客攻击的抵御和防范的规范程度 预防重大事件的发生预防重大事件的发生 提高组织对系统安全事件的快速反应和恢复能力提高组织对系统安全事件的快速反应和恢复能力 网络系统的性能优化网络系统的性能优化 提供整体网络运行的健康以及趋势分析提供整体网络运行的健康以及趋势分析第5页,共25页。6应急响应的过程响应前的响应前的准备工作准备工作工作流程工作流程报警方法报警方法备份体
4、系备份体系安全培训安全培训识别和发现识别和发现各种安全的各种安全的紧急事件紧急事件检测设检测设备备报警报警AgentAgent把事件影响把事件影响降到最小降到最小阻断阻断缓解缓解封堵封堵隔离隔离真正解真正解决问题决问题如:清除病如:清除病毒、修补漏毒、修补漏洞洞数据和系统数据和系统被破坏情况被破坏情况下,进行恢下,进行恢复复第6页,共25页。7应急响应的过程准备基于威胁建立一组合理的防御基于威胁建立一组合理的防御/控制措施控制措施建立一组尽可能高效的事件处理程序建立一组尽可能高效的事件处理程序准备处理问题必须的资源和人员准备处理问题必须的资源和人员建立一个支持事件响应活动的基础设施建立一个支持
5、事件响应活动的基础设施第7页,共25页。8应急响应的过程检测确定事件是已经发生了还是在进行当中。确定事件是已经发生了还是在进行当中。初步动作和响应初步动作和响应 选择检测工具,分析异常现象选择检测工具,分析异常现象 激活审计功能激活审计功能 迅速备份完整系统迅速备份完整系统 记录所发生事件记录所发生事件 估计安全事件的范围估计安全事件的范围第8页,共25页。9应急响应的过程抑制限制攻击的范围,同时限制了潜在的损失和破坏。限制攻击的范围,同时限制了潜在的损失和破坏。抑制策略抑制策略 完全关闭所有系统;完全关闭所有系统;将网络断开;将网络断开;修改所有防火墙和路由器的过滤规则,拒绝来自看起来修改所
6、有防火墙和路由器的过滤规则,拒绝来自看起来是发起攻击的主机的所有的流量;是发起攻击的主机的所有的流量;封锁或删除被攻击的登录账号;封锁或删除被攻击的登录账号;提高系统或网络行为的监控级别;提高系统或网络行为的监控级别;设置诱饵服务器作为陷阱;设置诱饵服务器作为陷阱;关闭被利用的服务;关闭被利用的服务;反击攻击者的系统等。反击攻击者的系统等。第9页,共25页。10应急响应的过程根除安全事件被抑制后,找出事件根源并彻底根除,从而根除安全事件被抑制后,找出事件根源并彻底根除,从而根除了影响的进一步扩大。了影响的进一步扩大。确定事件的起因和症状确定事件的起因和症状 增强防御技术增强防御技术 进行漏洞分
7、析进行漏洞分析 删除事件的源头删除事件的源头 查找最近的干净备份查找最近的干净备份第10页,共25页。11应急响应的过程恢复把所有受侵害或被破坏的系统、应用、数据库等彻底地还把所有受侵害或被破坏的系统、应用、数据库等彻底地还原到它们正常的任务状态。原到它们正常的任务状态。决定恢复操作的时间决定恢复操作的时间 修复系统、网络或数据修复系统、网络或数据 使整个系统运行正常使整个系统运行正常 监控系统监控系统第11页,共25页。12应急响应的过程跟踪回顾事件处理过程,拟定一份事件记录和跟踪报告回顾事件处理过程,拟定一份事件记录和跟踪报告总结经验教训总结经验教训为管理或法律目的收集损失统计信息为管理或
8、法律目的收集损失统计信息建立或补充自己的应急事件库建立或补充自己的应急事件库第12页,共25页。13应急响应服务形式形式 远程应急响应服务远程应急响应服务 本地应急响应服务本地应急响应服务服务的指标服务的指标 时间时间第13页,共25页。14应急处理内容恶性病毒爆发恶性病毒爆发 严重漏洞发布,可能在短期内出现蠕虫严重漏洞发布,可能在短期内出现蠕虫 确认病毒已经开始广泛传播和攻击确认病毒已经开始广泛传播和攻击 大多数主机工作异常,网络通讯出现异常大多数主机工作异常,网络通讯出现异常 多数主机的防毒系统有报警,但是无法清除病毒多数主机的防毒系统有报警,但是无法清除病毒拒绝服务攻击拒绝服务攻击 互联
9、网出口缓慢互联网出口缓慢 公开提供服务的服务器访问缓慢公开提供服务的服务器访问缓慢 网络流量出现不可解释的异常增加网络流量出现不可解释的异常增加服务器入侵服务器入侵 页面被非法篡改,或者出现非法文件页面被非法篡改,或者出现非法文件 数据异常丢失数据异常丢失 机密数据有被泄漏的证据机密数据有被泄漏的证据 出现非法登陆或者日志被删改的情况出现非法登陆或者日志被删改的情况第14页,共25页。15事件分级与处理方式事件级别级别定义严重客户的重要业务系统因为安全原因中断,数据被破坏或被窃取。普通用户的重要业务因为安全原因运行出现异常,降低了运行效率或出现错误。轻微用户网络或者业务运行中出现故障,需要解决
10、,但不影响主要业务的正常运行。事件级别处理方式严重提供现场支持,如果因为时间特别紧张,在条件允许的情况下,可以提前开始远程登陆支持。普通在条件允许的情况下,通过远程登陆解决或者指导用户解决问题。如果超过事件处理升级时限,则需要进行现场支持。轻微一般通过电话或者E-mail方式远程支持第15页,共25页。16数据备份与灾难恢复数据备份与灾难恢复第16页,共25页。17备份与恢复技术备份与恢复技术备份与恢复是一种数据安全策略,通过备份软件把数据备份到备份与恢复是一种数据安全策略,通过备份软件把数据备份到磁带上,在原始数据丢失或遭到破坏的情况下,利用备份数磁带上,在原始数据丢失或遭到破坏的情况下,利
11、用备份数据把原始数据恢复出来,使系统能够正常工作。理想的备份据把原始数据恢复出来,使系统能够正常工作。理想的备份系统是全方位、多层次的。系统是全方位、多层次的。数据备份与恢复技术通常会涉及到以下几个方面:数据备份与恢复技术通常会涉及到以下几个方面:存储设备:磁盘阵列、磁带、光盘、存储设备:磁盘阵列、磁带、光盘、SANSAN设备设备 存储优化:存储优化:DAS(DAS(直接连接存储直接连接存储)、NAS(NAS(网络连接存储网络连接存储)、SAN(SAN(存储区域网络存储区域网络)存储保护:磁盘阵列、双机容错、集群、备份与恢复存储保护:磁盘阵列、双机容错、集群、备份与恢复 存储管理:文件与卷管理
12、、复制、存储管理:文件与卷管理、复制、SANSAN管理管理 第17页,共25页。18备份方式备份方式硬件备份:用冗余的硬件来保证系统的连续运行。比如硬件备份:用冗余的硬件来保证系统的连续运行。比如磁盘镜像、磁盘阵列、双机容错等方式。磁盘镜像、磁盘阵列、双机容错等方式。磁盘镜像(磁盘镜像(MirroringMirroring):):可以防止单个硬盘的物理损可以防止单个硬盘的物理损坏,但无法防止逻辑损坏。坏,但无法防止逻辑损坏。磁盘阵列(磁盘阵列(Disk ArrayDisk Array):):磁盘阵列一般采用磁盘阵列一般采用RAID5RAID5技术,技术,可以防止多个硬盘的物理损坏,但无法防止逻
13、辑损坏。可以防止多个硬盘的物理损坏,但无法防止逻辑损坏。双机容错:双机容错:SFTIIISFTIII、StandbyStandby、ClusterCluster都属于双机容错都属于双机容错的范畴。双机容错可以防止单台计算机的物理损坏,的范畴。双机容错可以防止单台计算机的物理损坏,但无法防止逻辑损坏。但无法防止逻辑损坏。第18页,共25页。19备份方式备份方式软件备份:是指将系统数据保存到其他介质上,软件备份:是指将系统数据保存到其他介质上,当出现错误时可以将系统恢复到备份时的状态。当出现错误时可以将系统恢复到备份时的状态。由于这种备份是由软件来完成的,所以称为软件由于这种备份是由软件来完成的,
14、所以称为软件备份。备份。第19页,共25页。20数据备份策略完全备份:每次备份定义的所有数据,优点是恢复快,缺点是备完全备份:每次备份定义的所有数据,优点是恢复快,缺点是备份数据量大,数据多时可能做一次全备份需很长时间;份数据量大,数据多时可能做一次全备份需很长时间;增量备份:备份自上一次备份以来更新的所有数据,其优增量备份:备份自上一次备份以来更新的所有数据,其优点是每次备份的数据量少,缺点是恢复时需要全备份及点是每次备份的数据量少,缺点是恢复时需要全备份及多份增量备份;多份增量备份;差分备份:备份自上一次全备份以来更新的所有数据,其优缺点介差分备份:备份自上一次全备份以来更新的所有数据,其
15、优缺点介于上两者之间。于上两者之间。第20页,共25页。21数据备份一般规则对于操作系统和应用程序代码,可在每次系统更新或安装新软件对于操作系统和应用程序代码,可在每次系统更新或安装新软件和做一次完全备份;和做一次完全备份;对于一些日常数据更新量大,但总体数据量不是非常大的关键应用对于一些日常数据更新量大,但总体数据量不是非常大的关键应用数据,可每天在用户使用量较小的时候安排完全备份;数据,可每天在用户使用量较小的时候安排完全备份;对于日常更新量相对于总体数据量较小,而总体数据量非常大的对于日常更新量相对于总体数据量较小,而总体数据量非常大的关键应用数据,可每隔一个月或一周安排一次全备份,再此
16、基关键应用数据,可每隔一个月或一周安排一次全备份,再此基础上,每隔一个较短的时间间隔做增量备份。础上,每隔一个较短的时间间隔做增量备份。第21页,共25页。22数据备份场所数据备份场所 具备与主中心相似的网络和通信设置具备与主中心相似的网络和通信设置 具备业务应用运行的基本系统配置具备业务应用运行的基本系统配置 具备稳定、高效的电信通路连接中心,例如光纤、具备稳定、高效的电信通路连接中心,例如光纤、E3/T3E3/T3、ATMATM,确保数据的实时备份确保数据的实时备份 具备日常维护条件具备日常维护条件 与主中心相距足够安全的距离与主中心相距足够安全的距离 第22页,共25页。23灾难恢复数据
17、库受到破坏数据库受到破坏 采用完全备份或完全备份采用完全备份或完全备份/增量备份结合的恢复。由于数据库增量备份结合的恢复。由于数据库留有归档日志文件和联机日志文件,一旦所有数据库文件恢复,留有归档日志文件和联机日志文件,一旦所有数据库文件恢复,即可通过日志重做恢复所有记录。即可通过日志重做恢复所有记录。文件系统受到破坏文件系统受到破坏 可简单地使用文件系统的备份介质进行文件系统恢复。可简单地使用文件系统的备份介质进行文件系统恢复。操作系统破坏操作系统破坏 建议建立操作系统的镜像机制建议建立操作系统的镜像机制(使用使用logical volume)logical volume),或,或采用操作系统本身提供的系统盘备份工具,确保操作系采用操作系统本身提供的系统盘备份工具,确保操作系统可以在任何情况下不受破坏。统可以在任何情况下不受破坏。第23页,共25页。24业务持续性影响分析业务持续性影响分析 技术因素技术因素 应用因素应用因素 人为因素人为因素 环境因素环境因素其中其中应用因素应用因素和和人为因素人为因素占据了主要部分占据了主要部分第24页,共25页。谢谢大家谢谢大家!第25页,共25页。
