module5安全运营与分析基础-hcsca121应急响应

物联网、移动互联网、云计算、大数据正蓬勃发展，新兴技术正

传统，带来源源不断的变化。但是

事件层出不穷，使人们对2017年，以WannaCry更加关注。为代表的全球网络 处于高发态势，突发性事件面前，各国

失效，攻防实力悬殊，应急响应

。对此，如何调整了应急思路。通过本节的介绍给出参考。学完本课程后，您将能够：了解描述了解应急响应的产生背景应急响应的处理流程应急响应的新趋势1.应急响应概述应急响应的产生应急响应概述2.应急响应处理介绍应急响应产生背景1988年11月发生的莫里斯蠕虫 事件（Morris

Worm

Incident）致使当时的互联网络超过10%的系统不能工作。该 轰动了全世界，并且在计算机科学界引起了为此，

，反响。国防部高级研究计划署资助卡内基·梅隆大学建立了世界上第一个计算机紧急响应小组（Computer

Emergency

Response

Team，简称CERT）及协调中心（CERT/CC）。的产生背景由于各个国家应急响应组之间不仅存在语言、时区及性质上的差异，而且面向不同的用户群体，属于不同的国家的组织，他们之间的交流与合作存在很大的。这种情况下，1990年11个应急响应安全组织成立了事件响应与安全组（Forumof

Incident

ResponseandSecurityTeams，）截止到2018年，已经包括全球400多个应急响应安全组织。应急响应组织的发展121999年，教育与科研计算机网在成立CERNET应急响应组（CCERT），为中国教育和科研行业用户提供应急响应服务。32000年10月，国家计算机网络应急技术处理协调中心（CNCERT/CC）成立，并于2002年8月成为国际应急响应组织（

）”的正式成员。在CNCERT/CC的协调组织下，各大电信运营商都纷纷成立自己的应急响应队伍。随后应急组织、计算机

防治中心、

计算机应急也先后建立。国家互联网应急中心国家计算机网络应急技术处理协调中心（简称“国家互联网应急中心”，英文简称是

或

CERT/CC），成立于2002年9月，为非

非

的技术中心，是我同时，CNCERT作为中国非络安全应急体系的 协调机构。层面开展 事件 处置协助的重要窗口，积极开展 国际合作，截至2017年，CNCERT已与72个国家和地区的211个组织建立了“CNCERT国际合作伙伴”关系。CNCERT国际合作伙伴Forum

of

Incident

Response

add

Security

TeamsAsia

Pacific

ComputerEmergency

Response

TeamAnti-Phishing

Working

GroupCymru1.应急响应概述应急响应的产生应急响应概述应急响应处理介绍2.我 络安全相关标准法》，2016年11月 表决通过了《中

民于 起正式实施。《

法》第一部有关的基础性，“大纲性”的法律。《

法》历经三年的酝酿审议并最终发布，过程如下：2014年2月组成立，

上“”首次被写入。2015年6月十二届《审议法（草案）》。2015年7月面向社会公开征求意见，并根据组和各方意见反馈，对草案进行修订，形成了《网络安全法（草案二次审议稿）》。2016年6月和信息化

小

十二届法对《

法（草案）》进行二次审议。2016年7月《

法（草案）》二次审议稿正式在

网，并向社会公开征求意见。2016年11月十二届

第24次会议上，以154票赞成、1票弃权表决通过《中民

法》。2017年6月《中

民

网络安全法》，于2017年6月1日起正式生效。事件分类事件应急预案》中对事件进行了分《国家类，如下：信息破坏事件有害程序事件网络 事件性事件设备设施故障信息内容安全事件国家事件等级分类法》第五《国家章“检测事件应急预案》明确了《和应急预案”的具体实践方案。并将事件分为四级，应对四级

等级和四级应急响应。事件等级 等级 应急响应等级特别重大事件重大事件较大事件一般事件红色橙色黄色蓝色Ⅰ级响应Ⅱ级响应Ⅲ级响应Ⅳ级响应应急响应概念应急响应（IncidentResponse/Emergency

Response）通常是指 为了应对突发、重大 事件的发生所做的准备，以及在事件发生后所采取的措施。——

GB/T

24363-2009信息系统安全事件应急响应的对象是指对信息系统所应急响应计划规范、传输、处理的信息的安全事件。事件的主体可能来自自然界、系统自身故障、组织内/外部的 人为 等。——GA/T

708-2007

信息系统等保体系框架MPDRR

应急响应模型MPDRR模型是一个最常见的具有纵深防御体系的 模型。MPDRR模型包含了管理（Management）、防护（Protection）、检测（Detection）、响应（Reaction）和恢复（Recovery）5个环节。MPDRR模型是在PDRR模型基础上发展而成，它继承了PDRR模型的优点，并加入了安全管理这一环节，从而将技术和管理融为一体。恢复管理响应防护检测防护检测恢复响应应急响应形式应急响应形式分为两种：应急响应：客户通过

、

、传真等方式请求安全事件应急响应，应急响应组通过相同的方式为客户解决问题，应急响应一般先采取该方式。本地应急响应：应急响应组在第一时间赶往客户 事件的事发地点，在现场为客户查找原因并解决相应问题，最后出具详细的应急响应报告。应急响应本地应急响应1.应急响应概述应急响应介绍应急响应流程2.应急响应新趋势应急响应处理流程应急响应处理流程如下：开始结束响应否是否发生安全事件是对事件定级上报启动预案对事件进行根除恢复系统评估损失编写总结报告是否有应急响应预案否抑制事件扩散是应急响应是很重要的，现在事件层出不穷，

应急响应预案能够在 事件发生后，快速、高效的 、处理与防范各类安全事件，确保网络 。就目前的 应急监测体系来说，其应急处理工作可分为以下几个阶段：应急响应准备阶段根除阶段应急响应准备阶段准备阶段：在 事件发生前，对可能发生的安全事件进行评估，制定相应策略和保障措施，来抑制安全事件的扩散并将其根除。包括以下内容：建立防御体系、控制措施兼顾安全管理和技术制定应急处理操作步骤制定应急处理报告制定信息系统恢复优先级顺序明确配合 信息组建管理团队，技术团队明确 职责编制应急响应 组织明确信息系统网络与架构明确管理明确系统保护要求计算损失与影响绘制网络拓扑整理系统、设备安装配置文档整理常见问题处理手册申请应急响应专项采购应急响应软硬件设备明确社会关系资源组建应急响应团队分析资产风险准备阶段检测阶段，收集系统信息。当 事件发生时，判断事件等级进行上报。检测阶段的主要工作如检测阶段：进行日常事件影响程度并根据下：日常运维确认系统运行状况收集故障信息事件探测确认安全事件的影响范围确认安全事件造成的损害程度判断是否是 应急事件安全事件判断通知相关启动应急响应预案确认安全事件类型确认安全事件等级安全事件上报抑制阶段A抑制阶段：限制的范围，同时限制潜在的损失和破坏。在检测阶段阶段确认紧急事件发生的情况下，进入应急响应流程。应急响应系统本身将根据预先制定的规则，采取相应的措施，把紧急事件的影响降低到最小。这些措施主要包括：控制事件扩散、蔓延初步分析，重点确定适当的遏制方法；阻断正在发起

的行为，降低影响范围。抑制响应1.

根据预案采取响应的技术

处理安全事件；2.设置区域，汇总数据，估计损失。抑制确认抑制

是否起作用；分析事件发生的原因，提供解决方案依据。根除阶段根除阶段：在安全事件被抑制后，找出事件根源并彻底根除才能真正的解决问题。采取的措施如下：查找原因修补加固总结宣传查找

、木马；行为；查找查找查找系统；等。升级系统补丁、修订安全策略；启用安全审计。；分析原因，提供改善依据；加强公共宣传。恢复阶段把所有受 或被破坏的系统、应用、数据库、网络设备等彻底地还原到它们正常的任务状态。具体工作如下：对破坏的网络设备进行配置恢复；恢复被破坏的数据或系统；对所有的变更作备份；对重新上线的设备持续 ，了解各其运行情况。判断 措施的有效性。根据具体情况适当的解除 措施，或去掉短期抑制措施中的防御措施。总结阶段从已发生的安全事件出发、吸取安全事件响应过程中的教训，回顾并总结发生安全事件的相关信息。主要内容如下：01由应急响应实施组报告安全事件处理情况；由应急响应 小组下达应急响应结束指令。应急响应总结应急响应情况报告安全事件02事件发生原因；评估对信息系统造成的损失；评估对单位、组织的影响。对风险点加固

；评价应急预案的执行情况，提出后续改进计划；对应急响应组织成员进行评价。031.应急响应概述2.应急响应介绍应急响应流程应急响应新趋势全球重大安全事件物联网、移动互联网、云计算、大数据正蓬勃发展，新兴技术正 传统，带来源源不断的变化。但是 事件层出不穷，让人们对

的更加关注。2016年11月，大选前夕，总统候选人个人邮箱数千封邮件被公之于众。事后国会参议院 认定，俄罗斯干预了

。，

拉斯维无人驾驶巴士获准上路，驾驶过程中巴士探测到了前方有，但是没有躲避。造成与卡车“剐蹭”事件。，WannaCry蠕虫通过MS17-010

在全球范围大爆发。至少150个国家、30万名用户中招，造成损失达80亿

。2018年3月，爆出 分析在用户同意的情况下，利用上5000万

数

据创建 ，并在2016

大选时进行定向宣传。针对形势英国2017年，各

络安全 围绕关键基础设施、个人数据安全、网络应急响应等

制度展开试点，部分国家在以自动驾驶安全保障的领域出台了尝试性规定。《互联网和自动驾驶汽车

原则》将网络安全责任拓展到汽车供应链的每一方利益主体，要求将网德国《自动化和互联网车辆交通

准则》对饱受争议的自动驾驶

进行了明确。如对“两难决策”进行事先编程；自动化系统所造成的损害遵从产品责任原则等。络安全贯穿到汽车整个生命周期。并设定了车辆网络安全

：即使遭到

，也要保证车辆基本运行安全。应急响应趋势比利时2017年，以WannaCry

为代表的全球网络 任处于高发态势，突发性事件面前，各国 失效，攻防实力悬殊，应急响应 。对此，、比利时等国调整了应急思路。整体创新摒弃

《国家网络应急响应计划》中预防保护、侦测、分析、反应和解决五个步骤的死板做法；重新将应急响应划分为资产响应、

响应和

支持三条主线，多