网络应急响应体系架构及其建设的实施方案研究

第二届全国网络与信息安全技术研讨会网络应急响应体系架构及其建设的实施方案研究

报告人：董庆宽国家计算机网络入侵防范中心2022/9/131内容摘要第一概述第二网络安全事件现状与特点分析第三应急响应体系的关键属性第四应急响应体系的先进理论第五应急响应体系的组织架构第六应急响应的流程第七应急响应体系建设的实施方案2022/9/132一、概述定义:应急响应具体是指一个组织为了应对各种安全事件的发生而在事发前所做的准备工作和在事件发时及发生后所采取的措施处理的对象：网络安全事件，特别是突发安全事件目的：实现“保护关键网络基础设施免遭攻击、降低网络的脆弱性、缩短网络攻击发生后的破坏和恢复时间”重要性：国家安全保障体系的第一优先级事务

在美国《保护网络空间的国家战略》中，强调了应急响应的重要作用中办发【27】号文件中明确指出：要重视信息安全应急处理工作2022/9/133二、网络安全事件现状1）安全事件影响严重。

2003年美国联邦调查局（FBI）和计算机安全研究所（CSI）联合进行的计算机犯罪调查结果显示，85%的组织机构遭遇过安全破坏事件，64%的组织回答这些事件引起了不同程度的经济损失，加起来有亿美元之多2）法轮功，黄色站点等传播大量的反动的和淫秽信息，而且这些网站不断发送大量垃圾邮件。3）某些发达国家在世界范围内施行信息霸权与威慑。在不远的将来，将可能严重影响国家政权的稳固4）网络设备潜在一定的危险。

许多网络关键基础设施如操作系统，CPU等也存在诸多漏洞和后门2022/9/134网络安全事件现状（续）5）安全漏洞普遍存在

计算机网络和系统变得越来越复杂。计算机软件（包括操作系统）的安全缺陷往往与软件的规模和复杂性成正比，从设计、实现到维护阶段，都留下大量的安全漏洞。6）攻击和恶意代码的大范围流行

利用系统的安全漏洞入侵是一种普遍手段，“黑客”攻击计算机网络的程序随处可见。7）网络和系统管理配置复杂

目前很少有组织能够制定完备的安全政策，甚至根本没有，或即使有安全政策其更新也可能不及时。2022/9/135网络安全事件的特点分析I．安全事件的发生直线上升尽管人们对网络安全的关注与投资与日俱增，但是安全事件的数量和影响并没有因此而减少，攻击手段从专业高手向智能化发展，黑客群不断扩张。II.安全事件打击面广，破坏力强，所造成的损失严重具体表现在从间接损失发展到直接的破坏，由少量损失扩大到巨额代价；从黑客的个人行为，发展到有组织、有预谋的网络恐怖主义；从互联网渗透到国家网络关键基础设施；从网络安全问题，上升到国家政治、经济、社会、国防问题。III.安全事件的影响不可避免，具有持续性。2022/9/136三、应急响应体系的关键属性策略制定方面：1）整体性：必须是全网范围内的综合防范，整体联动，任何一环的疏忽，都可能导致整个应急响应体系的脆弱性，这一属性同时也体现了信息安全的“木桶原理”。2）信息共享：必须使网内的信息交流畅通，才能做到一方有难，八方资源，同时也可将发现的安全事件信息及时传递给全网的各个实体共享，以防止事件蔓延。3）措施均衡：管理与技术兼备，而尤以管理问题突出，特别是对人的管理。所谓三分技术，七分管理。制定策略时必须兼顾到技术所能达到的响应能力，并在管理上投入足够的精力。4）持续性：应急响应策略具体制定时，不可能达到尽善尽美，必须不断的完善，体系的建设必须贯彻安全生命周期思想2022/9/137关键属性（二）实现目标方面：1）应具有一定的危险判断能力；2）较强的病毒及入侵抵抗能力；3）强大的恢复能力；4）较好的自适应能力。系统有能力适应威胁并且继续向用户提供关键服务。2022/9/138四、应急响应体系的先进理论应急响应体系需要先理论网络安全事件不可能完全杜绝，应急响应最根本的工作应该是保障大规模网络的关键运行系统即使在遭到恶意攻击时也应该有效的生存和运转，即保障大规模网络的生存能力。实体间需要进行没有相互协调的合作，即能够实现局部的紧急响应

仅依靠常规安全技术难以解决!2022/9/139先进理论（续）网络可生存性理论正是针对以上问题而提出的，信息系统安全理论的研究热点，尚不成熟，该理论很有前途，是下一代网络安全基础理论，（当代安全主要是保障，仍以防御技术为主）研究目标与应急响应的目标相符，应急响应很大程度上就是一种保障生存的措施特点：将计算机安全与风险管理相结合，保证网络的关键服务的持续性,在入侵不断的环境中生存下来CMU/SEI研究组的研究影响较大，可参阅：Vickie.“ADefinitionforInformationSystemSurvivability.”Proceedingsofthe37thHawaiiInternalConferenceonSystemSciences(HICSS’04),

2022/9/1310五、应急响应体系的组织架构ISAC平台应急响应协调中心应急响应组应急响应组客户客户管理机构技术研发与策略制定专家咨询信息收集整理与事件跟踪公共关系、宣传与推广应急响应服务联络人员培训2022/9/1311组织架构（续1）整个架构以ISAC平台为基础，它负责与各级组织进行信息共享和交换。是应急响应的关键基础设施

ISAC全称InformationSharingandAnalysisCenter,信息共享与分析中心2022/9/1312组织架构（续2）应急响应协调中心(CERT/CC)是最高层组织一方面负责协调体系的正常运行，维护ISAC平台，另一方面也是联动系统的最重要核心，管理并协调各个应急响应组。应急响应协调中心的功能体现了整个应急响应体系的功能，并决定了其机构设置。其核心功能包括：事件分类，事件响应，安全公告和信息反馈；当发展成为服务性机构以后，它还具有：分析、研发、信息收集与整理、安全意识及技术培训，教育推广等功能中心设置一个管理机构：是整个体系及联动运作的总协调机构，下设七个分机构。2022/9/1313组织架构（续3）应急响应组(CERT)

以直接应对网络安全事件为目标，可以根据实际技术力量和资源状况设置与协调中心相同的机构并适当合并，甚至可以承担部分协调中心的功能。可以根据自己的范围为客户提供直接的技术支持与应急响应服务，同时与协调中心保持高度的信息共享。客户

是面对安全事件的最直接的实体，其规模可大可小。它一方面可通过查看ISAC提供的信息实施必要的防范措施，必要时与其它实体进行联动，并接受CERT提供的服务，另一方面也要及时上报所遇到的安全事件信息2022/9/1314组织架构（续4）七个机构技术研发与策略制定机构

负责应急响应关键技术的研究，开发和集成，以及应急响应策略的研究和制定。专家咨询机构

可对应急响应技术，策略的研究方向进行把握，保持先进性，也包含法律、政策上的咨询。信息收集整理与事件跟踪

是维护ISAC的重要机构，一般包括：漏洞及补丁信息，技术文献资料，新闻动态，法律法规，安全政策，安全报警，安全公告，建议，网站资源连接，常用工具软件，常见问题（FAQ），技术论坛等，具有公告，反馈，信息整理的功能。2022/9/1315应急响应服务机构

是直接应对安全事件的机构，是应急响应联动系统的任务所在，利用整个体系提供的信息和功能来应对突发事件，使应急响应及时有效；事件响应后进行必要事件跟踪工作，对入侵取证和事件信息获取都有重要作用联络机构

负责协调各个应急响应组，以及应对事件时的联动响应，也负责与客户联络。人员培训

负责组织内部人员的技术培训，对固定客户的技术支持和社会人员的安全培训，是保持体系健康发展，提高响应能力的重要机构，承担着教育和推广功能。公共关系、宣传与推广机构

负责处理应急响应不能回避的与法律组织、媒体、行政部门、科研组织等实体之间的关系，宣传应急响应政策，并承担部分推广功能。2022/9/1316六、应急响应的流程面向客户的应急响应流程面向CERT的应急响应流程这两个流程图是防范中心在先前的应急响应研究与应用中给出的个案流程2022/9/1317发现异常客户收集信息向CERT或CERT/CC报告采取初步措施隔离、关闭或监控与CERT协作系统恢复与网络总结并备案安全政策评估结束CERT向CERT/CC报告并申请联动空间CERT/CC,CERT和出勤人员交换意见/处理事件请求结束联动空间备案并上报结束派出人员向客户提供应急响应服务是否成功？事件报告已到达？①①⑧⑦②③否④⑤面向客户的应急响应流程2022/9/1318出勤人员与客户网管联系并了解事件详情检测与初步抑制措施，收集信息向CERT/CC和联动空间报告根除、恢复总结（跟踪）上报接到出勤通知并客户上报事件有关信息是否成功？CERT/CC,CERT和出勤人员交换意见/处理事件CERT/CC开辟事件联动空间并通知各响应组CERT/CC,CERT和出勤人员交换意见/处理事件关闭空间分析报告并备案判断区域并通知该区域CERT①结束是否成功？事件报告已到达？结束②⑥否⑦③④⑤否否⑧面向CERT的应急响应流程2022/9/1319七、应急响应体系建设的实施方案重要性是我国信息安全保障体系建设能否顺利实施的关键。制定体系建设实施方案的依据应急响应体系的目标和关键属性组织架构应急响应流程可生存性理论体系建设实施方案体系的建设是一项复杂的系统工程。从时间和技术两个角度着手技术，涉及到关于网络应急响应体系建设所急需解决的有关标准，工具，实验方法和应用等四个方面的若干关键技术时间，给出了从实验环境模拟，中小型网络实践到大规模网络推广的三个具体实施步骤2022/9/1320表1应急响应体系建设的实施步骤近期中期远期未来基本理论网络系统可生存性理论（探索），应急响应常规技术理论（实践）。网络系统可生存性理论（完善，应用）。继续探索应急响应的先进理论。建成完善的CNCERT国家应急响应体系，并发展成为运行服务性机构，对外提供应急响应服务。关键技术工具开发，标准制定（草案），实验环境搭建，系统集成技术研究。应急响应各类标准的推广与应用，工具、硬件实验环境和系统集成技术的不断完善。（全面贯彻可生存性思想）研究成果在大规模网络环境中的部署和配置。组织保障研究应急响应体系组织架构，制定实施应急响应战略的管理策略。完善实施应急响应战略的管理策略制定应急响应战略的科学组织架构研究等级保护策略。建立国家级的应急响应体系组织架构和保障措施，实施相应的管理策略，实施等级保护策略应用对象国内骨干网（实验环境，服务对象）国内骨干网(全面服务)，中大规模网络（试点