1、信 息 安 全 管 理本节内容本节内容应急响应概述应急响应概述1应急响应组织应急响应组织2应急响应体系应急响应体系3应急响应关键技术应急响应关键技术4 2001 2001年年8 8月月1010日,日,XXXX证券信息中心网络传输速度突证券信息中心网络传输速度突然缓慢,严重影响证券业务运作。然缓慢,严重影响证券业务运作。4040分钟后,三名应分钟后,三名应急技术人员到达中心机房。通过检查入侵检测系统的急技术人员到达中心机房。通过检查入侵检测系统的日志和使用网络监听设备监听网络流量,发现机房中日志和使用网络监听设备监听网络流量,发现机房中一台清算业务的服务器网络连接异常,经过检查发现一台清算业务的
2、服务器网络连接异常,经过检查发现其遭受其遭受“红色代码红色代码”蠕虫的攻击。证券信息中心迅速蠕虫的攻击。证券信息中心迅速做出反应,通过电话、做出反应,通过电话、EmailEmail等方式,将公司发布的关等方式,将公司发布的关于防范于防范“红色代码红色代码”蠕虫的公告发布给各个营业部,蠕虫的公告发布给各个营业部,并限定了问题处理期限。并限定了问题处理期限。应急响应案例应急响应案例 第十章第十章 应急响应处置管理应急响应处置管理 计算机安全事件逐年上升,特别是近年来随着网络计算机安全事件逐年上升,特别是近年来随着网络在社会生活中的广泛应用,安全事件给社会所造成的在社会生活中的广泛应用,安全事件给社
3、会所造成的损失越来越大,如何应对信息安全突发事件已成为信损失越来越大,如何应对信息安全突发事件已成为信息安全领域的研究热点之一。息安全领域的研究热点之一。第十章第十章 应急响应处置管理应急响应处置管理第十章第十章 应急响应处置管理应急响应处置管理 应急响应(应急响应(Emergency ResponseEmergency Response)通常是指人们为了)通常是指人们为了应对各种紧急事件的发生所做的准备以及在事件发生后应对各种紧急事件的发生所做的准备以及在事件发生后所采取的措施。所采取的措施。第十章第十章 应急响应处置管理应急响应处置管理应急响应的处置对象应急响应的处置对象 紧急事件紧急事件
4、 破坏机密性的安全事件破坏机密性的安全事件破坏完整性的安全事件破坏完整性的安全事件破坏可用性的安全事件破坏可用性的安全事件 第十章第十章 应急响应处置管理应急响应处置管理安全事件安全事件紧急事件紧急事件第十章第十章 应急响应处置管理应急响应处置管理事先事先 做什么准备?做什么准备?事后事后 采取什么措施?采取什么措施?第十章第十章 应急响应处置管理应急响应处置管理第十章第十章 应急响应处置管理应急响应处置管理理论上我们无法保证系统绝对安全;理论上我们无法保证系统绝对安全;尽管人们对信息安全的关注与投资与日俱增,但尽管人们对信息安全的关注与投资与日俱增,但是安全事件的数量和影响并没有因此而减少是
5、安全事件的数量和影响并没有因此而减少 。越来越多的组织在遭受攻击后,希望通过法律手越来越多的组织在遭受攻击后,希望通过法律手段追查肇事者,就需要出示收集到的数据作为证段追查肇事者,就需要出示收集到的数据作为证据,而计算机取证是应急响应的一个重要环节。据,而计算机取证是应急响应的一个重要环节。第十章第十章 应急响应处置管理应急响应处置管理l 1988 1988年年11 11月,国际上第一个应急响应组织月,国际上第一个应急响应组织 计算计算机应急响应协调中心机应急响应协调中心CERT/CCCERT/CC(Computer EmerComputer Emergency Response Team/C
6、oordination Centergency Response Team/Coordination Center););l 美国联邦美国联邦FedCIRCFedCIRC、澳大利亚的、澳大利亚的AusCERTAusCERT、德国的、德国的DFN-CERTDFN-CERT、日本的、日本的JPCERT/CCJPCERT/CC,以及亚太地区的,以及亚太地区的APCERTFAPCERTF(Asia Pacific Computer Emergency ResAsia Pacific Computer Emergency ResPonse Task ForcePonse Task Force)和欧洲的)
7、和欧洲的EuroCERT EuroCERT。l 20022002年年9 9月中国国家计算机网络应急技术处理协调月中国国家计算机网络应急技术处理协调中心(中心(CNCERT/CCCNCERT/CC)成立。)成立。第十章第十章 应急响应处置管理应急响应处置管理l国内或国际间的应急响应协调组织国内或国际间的应急响应协调组织l企业或政府组织的应急响应组织企业或政府组织的应急响应组织l计算机软件厂商提供的应急响应组织计算机软件厂商提供的应急响应组织l商业化的应急响应组织商业化的应急响应组织第十章第十章 应急响应处置管理应急响应处置管理应急响应组织模式应急响应组织模式 第十章第十章 应急响应处置管理应急响
8、应处置管理美国计算机应急响应协调中心(美国计算机应急响应协调中心(CERT/CCCERT/CC)第十章第十章 应急响应处置管理应急响应处置管理中国教育和科研计算机网应急响应组(中国教育和科研计算机网应急响应组(CCERTCCERT)CCERTCCERT首要的服务对象是中国教育和科研计算机网络首要的服务对象是中国教育和科研计算机网络(CERNET CERNET)本身,确保)本身,确保CERNETCERNET网络的安全可靠运行。网络的安全可靠运行。CCERTCCERT其次的服务对象是其次的服务对象是CERNETCERNET内部的会员单位。内部的会员单位。CCERTCCERT对其他用户提供力所能及的
9、安全服务。对其他用户提供力所能及的安全服务。第八章第八章 应急响应处置管理应急响应处置管理国家计算机网络应国家计算机网络应急处理协调中心急处理协调中心(CNCERT/CCCNCERT/CC)第十章第十章 应急响应处置管理应急响应处置管理3.1 应急响应应保证的各项指标应急响应应保证的各项指标响应能力:确保安全事件和安全问题能被及时地发响应能力:确保安全事件和安全问题能被及时地发现并向相应的负责人报告。现并向相应的负责人报告。决断能力:判断是否是本地安全问题抑或构成一个决断能力:判断是否是本地安全问题抑或构成一个安全事件。安全事件。行动能力:在发生安全事件时根据一个提示就能采行动能力:在发生安全
10、事件时根据一个提示就能采取必要的措施。取必要的措施。减少损失:能够立即通知组织内其他可能受影响的减少损失:能够立即通知组织内其他可能受影响的部门。部门。效率效率 :实践和监控处理安全事件的能力。:实践和监控处理安全事件的能力。第十章第十章 应急响应处置管理应急响应处置管理3.2 应急响应体系的建立应急响应体系的建立l确定应急响应角色的责任确定应急响应角色的责任 (1 1)用户)用户(2 2)安全管理员)安全管理员 (3 3)安全员)安全员/安全管理层安全管理层(4 4)安全审计员)安全审计员(5 5)公共关系)公共关系/信息发布部门信息发布部门(6 6)代理)代理/公司管理层公司管理层第十章第
11、十章 应急响应处置管理应急响应处置管理3.2 应急响应体系的建立应急响应体系的建立l制定紧急事件提交策略制定紧急事件提交策略 提交渠道的规定提交渠道的规定 提交的策略对象提交的策略对象 提交方式提交方式 第十章第十章 应急响应处置管理应急响应处置管理3.2 应急响应体系的建立应急响应体系的建立l规定应急响应优先级规定应急响应优先级 哪类损失和组织相关哪类损失和组织相关在每个类别中,按什么顺序修补损失在每个类别中,按什么顺序修补损失第十章第十章 应急响应处置管理应急响应处置管理3.2 应急响应体系的建立应急响应体系的建立l安全应急的调查与评估安全应急的调查与评估 弄清楚信息系统结构和网络情况弄清
12、楚信息系统结构和网络情况弄清楚信息系统的联系人和用户弄清楚信息系统的联系人和用户弄清楚信息系统上的应用弄清楚信息系统上的应用定义信息系统的保护要求定义信息系统的保护要求第十章第十章 应急响应处置管理应急响应处置管理3.2 应急响应体系的建立应急响应体系的建立l选择应急响应相关补救措施选择应急响应相关补救措施 提供必要的专业知识提供必要的专业知识 安全恢复的运作安全恢复的运作 事件归档事件归档 对攻击行为的反应对攻击行为的反应 第十章第十章 应急响应处置管理应急响应处置管理3.2 应急响应体系的建立应急响应体系的建立l确定应急紧急通知机制确定应急紧急通知机制 当发生安全事件时,必须通知所有受影响
13、的外部和内当发生安全事件时,必须通知所有受影响的外部和内部各方,为那些受到安全事件直接影响的部门和机构采部各方,为那些受到安全事件直接影响的部门和机构采取对策提供方便。通知机制对处理安全事件相关信息各取对策提供方便。通知机制对处理安全事件相关信息各方的协助预防或解决问题尤为重要。方的协助预防或解决问题尤为重要。第十章第十章 应急响应处置管理应急响应处置管理3.3 应急响应处置流程应急响应处置流程准备准备检测检测抑制抑制根除根除恢复恢复报告与总结报告与总结 第十章第十章 应急响应处置管理应急响应处置管理4.1 4.1 系统备份与灾难恢复技术系统备份与灾难恢复技术 系统备份是灾难恢复的基础,其目的
14、是确保既定的关系统备份是灾难恢复的基础,其目的是确保既定的关键业务数据、关键数据处理系统和关键业务在灾难发生键业务数据、关键数据处理系统和关键业务在灾难发生后可以恢复。后可以恢复。系统备份系统备份第十章第十章 应急响应处置管理应急响应处置管理4.1 4.1 系统备份与灾难恢复技术系统备份与灾难恢复技术 全备份全备份 增量备份增量备份 差分备份差分备份 系统备份系统备份第十章第十章 应急响应处置管理应急响应处置管理4.1 4.1 系统备份与灾难恢复技术系统备份与灾难恢复技术 灾难恢复灾难恢复 灾难恢复的基本技术要求灾难恢复的基本技术要求:l备份软件备份软件l恢复的选择和实施恢复的选择和实施l自启
15、动恢复自启动恢复l安全防护安全防护第十章第十章 应急响应处置管理应急响应处置管理4.1 4.1 系统备份与灾难恢复技术系统备份与灾难恢复技术 灾难恢复灾难恢复 灾难恢复等级灾难恢复等级 层次层次0 0本地数据的备份与恢复本地数据的备份与恢复层次层次1 1批量存取访问方式批量存取访问方式层次层次2 2批量存取访问方式批量存取访问方式+热备份地点热备份地点层次层次3 3电子链接电子链接层次层次4 4工作状态的备份地点工作状态的备份地点层次层次5 5双重在线存储双重在线存储层次层次6 6零数据丢失零数据丢失第十章第十章 应急响应处置管理应急响应处置管理4.1 4.1 系统备份与灾难恢复技术系统备份与
16、灾难恢复技术 灾难恢复灾难恢复 灾难恢复计划灾难恢复计划 备份备份/恢复的范围恢复的范围灾难恢复计划的状态灾难恢复计划的状态应用地点与备份地点之间的距离应用地点与备份地点之间的距离应用地点与备份地点之间如何相互连接应用地点与备份地点之间如何相互连接数据如何在两个地点之间传送数据如何在两个地点之间传送允许有多少数据被丢失允许有多少数据被丢失怎样保证备份地点的数据更新怎样保证备份地点的数据更新备份地点可以开始备份工作的能力备份地点可以开始备份工作的能力第十章第十章 应急响应处置管理应急响应处置管理4.2 4.2 其它相关技术其它相关技术 攻击源定位与隔离技术攻击源定位与隔离技术 计算机取证技术计算机取证技术 第十章第十章 应急响应处置管理应急响应处置管理应急响应组织是应急响应工作的主体应急响应组织是应急响应工作的主体 应急响应体系的建立过程应急响应体系的建立过程 应急响应处置流程应急响应处置流程 应急响应涉及的关键技术。应急响应涉及的关键技术。
