信息安全应急响应体系建设.ppt

课程要点 什么是应急响应和应急响应体系应急响应的六大阶段应急预案的编制和管理应急响应体系建立流程典型应急响应体系建设案例 基本概念 安全事件 SecurityAccident 而安全事件则是指影响一个系统正常工作的情况 这里的系统包括主机范畴内的问题 也包括网络范畴内的问题 例如黑客入侵 信息窃取 拒绝服务攻击 网络流量异常等 应急响应 EmergencyResponse 是指组织为了应对突发 重大信息安全事件的发生所做的准备以及在事件发生后所采取的措施 应急响应是信息安全防护的最后一道防线 基本概念 3 应急响应体系 EmergencyResponseSystem 是指在突发 重大信息安全事件后对包括计算机运行在内的业务运行进行维持或恢复的各种技术和管理策略和规程 信息安全应急响应体系的制定是一个周而复始 持续改进的过程 包含以下几个阶段 1 应急响应需求分析和应急响应策略的确定 2 编制应急响应计划文档 3 应急响应计划的测试 培训 演练和维护 应急响应目的 应急响应服务的目的是尽可能地减小和控制住网络安全事件的损失 提供有效的响应和恢复指导 并努力防止安全事件的发生 应急响应与应急响应体系的关系 5 政策要求 6 关于加强信息安全保障工作的意见 中办发 2003 27号文 指出 信息安全保障工作的要点在于 实行信息安全等级保护制度 建设基于密码技术的网络信任体系 建设信息安全监控体系 重视信息安全应急处理工作 推动信息安全技术研发与产业发展 建设信息安全法制与标准 国家信息安全战略的近期目标 通过五年的努力 基本建成国家信息安全保障体系 政策要求 7 为了落实27号文精神国家网络与信息安全协调小组办公室于2003年10月发布了 网络与信息安全信息通报暂行办法 2004年9月发布了 关于做好重要信息系统灾难备份工作的通知 2004年8月发布了 关于建立健全基础信息网络和重要信息系统应急协调机制的意见 等文件 这些文件对推动灾难备份和应急响应的发展起到了重要作用 相关标准 8 GB T24364 2009 信息安全技术信息安全应急响应计划规范 GB T20988 2007 信息安全技术信息系统应急响应规范 GB Z20985 2007 信息技术安全技术信息安全事件管理指南 GB Z20986 2007 信息安全技术信息安全事件分类分级指南 应急响应六阶段 9 第一阶段 准备 让我们严阵以待第二阶段 确认 对情况综合判断第三阶段 遏制 制止事态的扩大第四阶段 根除 彻底的补救措施第五阶段 恢复 系统恢复常态第六阶段 跟踪 还会有第二次吗 第一阶段 准备 10 预防为主微观 一般观点 帮助服务对象建立安全政策帮助服务对象按照安全政策配置安全设备和软件扫描 风险分析 打补丁如有条件且得到许可 建立监控设施宏观 建立协作体系和应急制度建立信息沟通渠道和通报机制如有条件 建立数据汇总分析的体系和能力有关法律法规的制定 第一阶段 准备 11 制定应急响应计划资源准备应急经费筹集人力资源软硬件设备现场备份业务连续性保障系统容灾搭建临时业务系统 人力资源准备 指挥调度人员 协作人员 技术人员 专家 设备 系统和服务提供商 软硬件设备准备 硬件设备准备数据保护设备磁盘 磁带 光盘SAN冗余设备 网络链路 网络设备 关键计算机设备Anyelse 软硬件设备准备 软件工具准备备份软件日志处理软件系统软件网络软件应急启动盘Anyelse 病毒 恶意软件查杀软件 建立事件报告的机制和要求 建立事件报告流程和规范 第二阶段 确认 16 确定事件性质和处理人微观 负责具体网络的CERT 确定事件的责任人指定一个责任人全权处理此事件给予必要的资源确定事件的性质误会 玩笑 还是恶意的攻击 入侵 影响的严重程度预计采用什么样的专用资源来修复 宏观 负责总体网络的CERT 通过汇总 确定是否发生了全网的大规模事件确定应急等级 以决定启动哪一级应急方案 快速分析 事故的标志 事故的标志分为两类 征兆和预兆 Web服务器崩溃 用户抱怨主机连接网络速度过慢 子邮件管理员可以看到大批的反弹电子邮件与可疑内容 网络管理员通告了一个不寻常的偏离典型的网络流量流向 来源网络和主机IDS 防病毒软件 文件完整性检查软件系统 网络 蜜罐日志公开可利用的信息第三方监视服务 确认事故 1 确认网络和系统轮廓 分析事故的最好技术方法之一 理解正常的行为基于处理事故的良好准备 使用集中的日志管理并创建日志保留策略 执行事件关联 保持所有主机时钟同步 确认事故 2 维护和使用信息知识库分析事故时的快速参考 使用互联网搜索引擎进行研究 运行包嗅探器以搜集更多的数据 过滤数据 经验是不可替代的 建立诊断矩阵 寻求帮助 诊断矩阵实例 事故优先级 服务水平协议 服务水平协议 SLA 定义服务目标及双方的预期及责任 服务水平协议指标 应急响应服务的指标 远程应急响应服务在确认客户的应急响应请求后 小时内 交与相关应急响应人员进行处理 无论是否解决 进行处理的当天必须返回响应情况的简报 直到此次响应服务结束 本地应急响应服务对本地范围内的客户 小时内到达现场 对异地的客户 小时加路途时间内到达现场 应急响应SLA矩阵 第三阶段 遏制 24 即时采取的行动微观 防止进一步的损失 确定后果初步分析 重点是确定适当的封锁方法咨询安全政策确定进一步操作的风险损失最小化 最快最简单的方式恢复系统的基本功能 例如备机启动 可列出若干选项 讲明各自的风险 由服务对象选择宏观 确保封锁方法对各网业务影响最小通过协调争取各网一致行动 实施隔离汇总数据 估算损失和隔离效果 建立遏制策略 建议组织机构为几类主要的事故建立单独的遏制策略 其标准包括 潜在的破坏和资源的窃取证据保留的需要服务可用性 例如 网络连接 提供给外部当事方的服务 实施战略需要的时间和资源战略的有效性 例如 部分遏制事故 完全遏制事故 解决方案的期限 例如 紧急事故工作区需在4小时内清除 临时工作区需在两周内清除 永久的解决方案 例 基于DDOS攻击的遏制策略 1 基于攻击特征实施过滤 2 纠正正在被攻击的漏洞或弱点3 让ISP实施过滤4 重定位目标5 攻击攻击者6 设定证据保留时间 第四阶段 根除 27 长期的补救措施微观 详细分析 确定原因 定义征兆分析漏洞加强防范消除原因修改安全政策宏观 加强宣传 公布危害性和解决办法 呼吁用户解决终端的问题 加强检测工作 发现和清理行业与重点部门的问题 第五阶段 恢复 28 微观 被攻击的系统恢复正常的工作状态作一个新的备份把所有安全上的变更作备份服务重新上线持续监控宏观 持续汇总分析 了解各网的运行情况根据各网的运行情况判断隔离措施的有效性通过汇总分析的结果判断仍然受影响的终端的规模发现重要用户及时通报解决适当的时候解除封锁措施 第六阶段 跟踪 29 关注系统恢复以后的安全状况 特别是曾经出问题的地方建立跟踪文档 规范记录跟踪结果对响应效果给出评估对进入司法程序的事件 进行进一步的调查 打击违法犯罪活动 事件的归档与统计 30 处理人时间和时段地点工作量事件的类型对事件的处置情况代价细节 应急响应预案的制定 应急响应预案的包括的主要内容确定风险场景描述可能受到的业务影响描述使用的预防性策略描述应急响应策略识别和排列关键应用系统行动计划团队和人员的职责联络清单所需资源配置 31 应急响应预案的制定 制定应急响应预案的原则首先 必须集中管理应急响应预案的版本和发布 其次 为了建立有效的版本控制体系 必须建立规范的应急响应预案的问题提交 解决 更新 跟踪 发布的渠道和流程 第三 建立相关的保密管理规定 保证应急响应预案中涉及的秘密信息得到保护 第四 应急响应预案在内容管理方面应注意内容的分布和粒度 可根据版本和内容的更新频度将应急响应的内容进行适当的分布 第五 建立合理的应急响应预案的保管制度 强调存放的安全性和易取得性 32 应急响应预案的制定 清楚 简洁高级管理层支持 组织承诺不断改进和更新的恢复策略及时的更新维护 组织职责分工明确保留 备份和异地存储计划完整记录并定期演练风险得到管理弱点得到优先重视灵活 可适应 成功预案的特点 33 应急响应预案的教育 培训和演练 在灾难来临前使相关人员了解熟悉恢复流程使应急响应预案得到理解并可以使用促进应急响应预案活动 更新 实用展示恢复的能力达到法律和内部审计要求 34 演练与演习的类型 演练和演习的主要方式有 桌面演练 模拟演练 实战演练等根据演练和演习的深度 可分为 系统级演练 应用级演练 业务级演练等根据演练和演习的准备情况 可分为 计划内的演练和演习 计划外的演练和演习等 35 参见应急演练脚本 预案维护管理 核对预案的功能性验证预案文档的精确性和完整性分发更新的文档文档计划分发和发布流程确保相关的团队收到更新的文档依靠维护来改变管理流程提供培训作为持续维护预案的一部分为与应急响应的相关人员开展定期培训 如 复习进修课程或灾难备份研讨会指派培训责任 如 部门经理要确保员工被送去参加培训完成时报告预案维护情况毁掉旧应急响应预案的复印件或电子版本 36 预案变更管理 业务操作的增长或变化如 新的分支 产品和业务功能的增加公司所有权的变化关键人员的变化硬件配置的变化使用新操作系统预案审核和演练后软件 应用软件的变化新的法律或审计要求定期审核和更新 如 每年两次 37 应急预案管理制度 应急预案变更记录 应急响应体系建设流程 参见XXX应急体系 项目计划 080821 C1 信息安全应急响应计划编制方法 40 总则角色及职责预防和预警机制应急响应流程应急响应保障措施附件 总则 41 编制目的编制依据适应范围工作原则 角色及职责 42 应急响应领导小组应急响应技术保障小组应急响应专家小组应急响应实施小组应急响应日常运行小组 预防和预警机制 43 应急响应流程 44 事件通告 1 信息通报信息通报分为组织内信息通报和组织外信息通报两部分 组织内信息通报的目的是在信息安全事件发生后迅速通知应急响应日常运行小组 并根据评估结果迅速通知所有相关人员 从而快速有序的实施应急响应计划 组织外信息通报目的是将相关信息及时通报给受到负面影响的外部机构 互联的单位系统以及重要用户 同时根据应急响应的需要 应将相关信息准确通报给相关设备设施及服务提供商 包括电信 电力等 等外部组织 以获得适当的应急响应支持 值得注意的是对外信息通报应符合组织的对外信息发布策略 2 信息上报信息安全事件发生后 应按照相关规定和要求 及时将情况上报相关主管或监管单位 部门 3 信息披露信息发布的目的是避免信息安全事件影响被误传 同时规范组织内人员信息披露 保证信息的一致性 因此 信息安全事件发生后 应根据信息安全事件的严重程度 指定特定的小组及时向新闻媒体发布相关信息 并且指定的小组应严格按照组织相关规定和要求对外发布信息 同时组织内其它部门或者个人不得随意接受新闻媒体采访或对外发表自己的看法 应急响应流程 呼叫树 46 呼叫树 信息上报 事件分类与定级 要确定信息安全事件后如何实施应急响应计划 对系统损害性质和程度的评估是非常重要的 这个损害评估应该在能够确保人员安全这个最优先任务的前提下尽快完成 所以 如果可能 应急响应日常运行小组是第一个得到事件通知的小组 损害评估规程对于不同的系统是不同的 但是应该涉及到以下领域 1 造成紧急情况或中断的原因 2 潜在的附加中断或损失 3 受到紧急情况影响的区域 4 物理构架 如计算机室结构的完整性 电源 电信以及制热 通风和空调的情况 的状况 5 系统设备的总量和功能状态 如具备完整功能 具备部分功能或丧失功能 6 系统设备及其存货的损失类型 如水害 水灾或热能 物理以及电涌影响 7 被更换的项目 如硬件 软件 固件或支持材料 8 估计恢复正常服务所需的时间 我国信息安全事件分类方法 50 GB Z20986 2007 信息安全事件分级分类指南 有害程序事件MI网络攻击事件NAI信息破坏事件IDI信息内容安全事件ICSI设备设施故障FF灾害性事件DI其他信息安全事件OI 我国信息安全事件分级方法 51 分级要素 我国信息安全事件分级方法 52 特别重大事件 I级 重大事件 II级 较大事件 III级 一般事件 IV级 应急启动 1 启动原则 快速 有序 2 启动依据 一般而言 对于导致业务中断 系统宕机 网络瘫痪等突发 重大信息安全事件应立即启动应急 但由于组织规模 构成 性质等的不同 不同组织对突发 重大信息安全事件的定义可能不一样 因此 各组织的应急启动条件可能各不相同 启动条件可以基于以下方面考虑 人员的安全和 或设施损失的程度 系统损失的程度 如物理的 运作的或成本的 系统对于组织使命的影响程度 如保护资产的关键基础设施 预期的中断持续时间等 只有当损害评估的结果显示一个或多个系统启动条件被满足时 应急响应计划才应被启动 3 启动方法 由应急响应领导小组发布应急响应启动令 应急处置 1 恢复顺序当恢复复杂系统时 恢复进程应该反映出BIA中确定的系统优先顺序 恢复的顺序应该反映出系统允许的中断时间 以避免对相关系统及其应用的重大影响 2 恢复规程为了进行恢复操作 应急响应计划应提供恢复业务能力的详细规程 规程应被设定给适当的恢复小组并且通常涉及到以下行动 1 获得访问受损设施和 或地理区域的授权 2 通知相关系统的内部和外部业务伙伴 3 获得所需的办公用品和工作空间 4 获得安装所需的硬件部件 5 获得装载备份介质 6 恢复关键操作系统和应用软件 7 恢复系统数据 8 成功运行备用设备 例 局域网 LAN 恢复小组检查列表 后期处置 1 信息系统重建在应急处置工作结束后 要迅速采取措施 抓紧组织抢修受损的基础设施 减少损失 尽快恢复正常工作 通过统计各种数据 查明原因 对信息安全事件造成的损失和影响以及恢复重建能力进行分析评估 认真制定恢复重建计划 迅速组织实施信息系统重建 2 应急响应总结应急响应总结是应急处置之后应进行的工作 具体工作包括 1 分析和总结事件发生原因 2 分析和总结事件现象 3 评估系统的损害程度 4 评估事件导致的损失 5 分析和总结应急处置记录 6 评审应急响应措施的效果和效率 并提出改进建议 7 评审应急响应计划的效果和效率 并提出改进建议 信息安全事件应急响应总结模板 应急响应保障措施 58 应急响应保障措施 附件 59 具体的组织体系结构及人员职责应急响应计划各小组成员的联络信息供应商联络信息 包括离站存储和备用站点的外部联系点系统恢复或处理的标准操作规程和检查列表支持系统运行所需的硬件 软件 固件和其它资源的设备和系统需求清单供应商服务水平协议 SLA 与其它机构的互惠协议和其它关键记录备用站点的描述和说明在计划制定前进行的BIA 包含关于系统各部分相互关系 风险 优先级别等应急响应计划文档的保存和分发方法 应急响应工作机构图 60 职责示例 61 应急响应组 IRT 什么是应急响应组 IRT 应急响应组就是机构可以借助的网络安全专业组织 为什么需要成立应急响应组容易协调响应工作提高专业知识提高效率提高先期主动防御能力更加适合于满足机构的需要提高联络功能提高处理制度障碍方面的能力 从应急组织到应急体系 信息安全保障的必要条件 现实表明 单一的应急组织已经不能应对当今的网络安全威胁 我国的应急体系正是在实际工作的经验总结中逐渐形成的 平台从点到环到面 应急体系从点到树到网 现实世界中发生的任何事情 在网络世界中都可以找到与之对应的事件 SARS事件反映出社会防疫应急体系的重要红色代码 尼姆达 SQL杀手 口令蠕虫等具有和现实世界中的疫病相同的特点处理方式也具有同样的特点 隔离 分析 治疗不同之处 病人 不自知 隔离缺乏法律依据或技术手段 应急缺乏成熟体系和工作制度 国际信息安全应急响应组织 64 美国计算机紧急事件响应小组协调中心 ComputerEmergencyResponseTeam CoordinationCenter CERT CC 事件响应与安全组织论坛 ForumofIncidentResponseandSecurityTeams FIRST 亚太地区计算机应急响应组 AsiaPacificComputerEmergencyResponseTeam APCERT 欧洲计算机网络研究教育协会 Trans EuropeanResearchandEducationNetworkingAssociation TERENA 我国信息安全应急响应组织 65 国家计算机网络应急技术处理协调中心 NationalComputernetworkEmergencyResponsetechnicalTeam CoordinationCenterofChina CNCERT CC 中国教育和科研计算机网紧急响应组 ChinaEducationandResearchNetworkComputerEmergencyResponseTeam CCERT 国家计算机病毒应急处理中心国家计算机网络入侵防范中心国家863计划反计算机入侵和防病毒研究中心 我国公共互联网应急体系 从无到有从小到大从弱到强从点到面 X