应急响应处置管理

应急响应处置管理15.1应急响应概述

15.1.1应急响应的内涵应急响应通常是指人们为了应对各种紧急事件的发生所作的准备以及在事件发生后所采取的措施。信息平安中的应急响应的内涵那么需要在对“应急响应〞概念理解的根底上，结合信息平安背景知识针对“平安紧急事件〞内涵，以及“做什么准备？〞和“采取什么措施？〞等内容做进一步的定义说明。15.1.1应急响应的内涵

1．平安紧急事件紧急事件是应急响应的对象，在信息平安应急响应领域，平安紧急事件一定属于平安事件范畴。根据信息平安三个根本属性，即机密性C〔Confidentiality〕、完整性I〔Integrality〕和可用性A〔Availability〕，平安事件可被定义为破坏或企图破坏信息或信息系统CIA属性的行为事件。15.1.1应急响应的内涵〔1〕破坏机密性的平安事件：如入侵系统并窃取信息、搭线窃听、远程探测网络拓扑结构和计算机系统配置等。〔2〕破坏完整性的平安事件：如入侵系统并篡改数据、劫持网络连接并篡改或插入数据、安装特洛伊木马或计算机病毒等。〔3〕破坏可用性的平安事件：如水火等自然灾害引起的设备损坏，拒绝效劳攻击、病毒入侵引起的系统资源或网络带宽性能下降等。15.1.1应急响应的内涵目前，随着人们对信息平安的认识理解不断深入，越来越多的人认为CIA界定的平安属性范围还不够全面，例如表15-1所列举的平安事件，根据CIA平安三属性就很难被划归为平安事件范畴。因此，人们从不同的角度对“信息平安〞含义进行解释说明，出现了“机密性〞、“真实性〞、“完整性〞、“可用性〞、“不可否认性〞、“生存性〞等描述方式。安全事件类型说明行为抵赖通常指行为一方否认自己曾经执行过某种操作，例如在电子商务中交易方之一否认曾经定购过某种商品或否认曾经接受过订单。不良信息非法传播例如垃圾邮件骚扰和传播色情信息等。愚弄和欺诈例如散发虚假紧急信息，导致大量组织机构采取不必要的紧急预防措施，影响系统正常运行。表15-1平安事件举例15.1.1应急响应的内涵2．“做什么准备？〞和“采取什么措施？〞“做什么准备？〞和“采取什么措施？〞意指在信息平安应急响应活动中所要做的工作。根据开展的时间阶段，应急响应工作可以划分为事先准备和事后措施两大局部。15.1.1应急响应的内涵事先准备，其目的在于进行预警和制定各种防范措施，比方风险评估、平安策略制定、系统及数据备份、平安意识培训以及平安通揭发布等；事后措施，其目的在于把事件造成的损失降到最小，比方事件发生后进行的平安隔离、威胁去除及系统恢复、调查与追踪、入侵者取证等一系列操作。事先准备与事后措施两个方面的工作是相辅相承、相互补充的。15.1.1应急响应的内涵首先，事前的方案和准备为事件发生后的响应动作提供了指导框架，否那么响应动作将陷入混乱，其次，事后的响应可能会发现事先方案的缺乏，从而进一步完善事先的平安准备。因此，这两个方面应该形成一种正反响的机制，逐步强化系统平安防范及应急体系。15.1.2应急响应的地位与作用信息平安可以被看作一个动态的过程，它包括风险分析〔RiskAnalysis〕、平安防护〔Prevention〕、平安检测〔Detection〕以及响应〔Response〕4个阶段，通常被称为以平安策略〔SecurityPolicy〕为中心的平安生命周期P-RPDR平安模型。在P-RPDR平安模型中，平安风险分析产生平安策略，平安策略决定防护、检测和响应措施。风险分析、防护、检测和响应间的相互关系如图15-1所示。平安策略风险分析平安检测平安防护响应图15-1P-RPDR平安模型15.1.2应急响应的地位与作用应急响应在P-RPDR平安模型中属于响应范畴，它不仅仅是防护和检测措施的必要补充，而且可以发现平安策略的漏洞，重新进行平安风险评估，进一步指导修订平安策略，加强防护、检测和响应措施，将系统调整到“最平安〞的状态。15.1.3应急响应的必要性根据P-RPDR平安模型可知，为了保证信息平安，首先采取的方法就是入侵阻止〔即平安防护〕，其次采用入侵检测，因为网络入侵防不胜防，所以要对无法防御的入侵行为及内部平安威胁进行检测。那么把所有的精力和资源都投放到平安生命周期前三个阶段，是否足以保证信息系统和信息的平安呢？答案是否认的。15.1.3应急响应的必要性首先，从理论上无法保证系统的绝对平安。迄今为止软件工程技术还无法做到可信计算机平安评估准那么中信息系统A2级的平安要求，即形式证明一个系统的平安性。另外，目前也没有一种切实可行的方法能够保证人们获取完善的平安策略，以及解决合法用户在通过“身份鉴别〞后滥用特权的问题。因此从设计、实现到维护阶段，信息系统都可能留下大量的平安漏洞。15.1.3应急响应的必要性其次，现实中尽管人们对信息平安的关注与投资与日俱增，但是平安事件的数量和影响并没有因此而减少。从计算机应急响应协调中心〔CERT/CC〕对1993~2003十年间发生的网络攻击事件的统计〔如表15-2所示〕来看，攻击事件发生的数量逐年增加，近几年由于Internet上网络攻击事件太过于频繁，自2004年计算机应急响应协调中心停止了对网络攻击事件统计信息的公布。年度19931994199519961997199819992000200120022003事件数量1334234024122573213437349859217565265882094137529表15-1平安事件举例15.1.3应急响应的必要性最后，目前越来越多的组织在遭受到攻击后，希望通过法律手段追查肇事者，就需要出示收集到的数据作为证据，而计算机取证是应急响应的一个重要环节。由此可见，网络入侵防不胜防，因此有必要建立起一套应急响应机制，一方面提高系统自身的抗攻击能力，另一方面也为法律提供数据依据。15.2应急响应组织15.2.1应急响应组织的起源及开展1988年11月莫里斯蠕虫病毒事件之后的一个星期内，美国国防部资助宾夕法尼亚洲的卡内基梅隆大学成立了国际上第一个应急响应组织——计算机应急响应协调中心〔ComputerEmergencyResponseTeam/CoordinationCenter，CERT/CC〕，主要用于协调Internet网上的平安事件处理。15.2.1应急响应组织的起源及开展CERT/CC成立后，随着互联网对网络平安的需要迅速增强，世界各地应急响应组织如雨后春笋般的出现。例如美国联邦FedCIRC、澳大利亚的AusCERT、德国的DFN-CERT、日本的JPCERT/CC，以及亚太地区的APCERTF〔AsiaPacificComputerEmergencyResponseTaskForce〕和欧洲的EuroCERT等。15.2.1应急响应组织的起源及开展为了促进全球各应急响应组织之间协调与合作，1990年应急响应与平安组织论坛〔ForumofIncidentResponseandSecurityTeams，FIRST〕成立。FIRST发起时有11个成员，至今已经开展成一个由170多个成员组成的国际性组织。FIRST成员主要来自各政府、商业和学术方面的计算机平安事件响应组织，以及致力于计算机平安事件防范、快速响应和信息共享的国际组织网站。15.2.1应急响应组织的起源及开展中国的应急响应工作起步较晚，但开展迅速。中国教育与科研计算机网络〔ChinaEducationandResearchNetwork，CERNET〕于1999年在清华大学成立了中国教育和科研计算机网络应急响应小组〔ChinaComputerEmergencyResponseTeam，CCERT〕，15.2.1应急响应组织的起源及开展这是中国大陆第一个计算机平安应急响应组织，目前已经在全国各地成立了NJCERT、PKCERT、GZCERT、CDCERT等多个应急响应小组。2000年在美国召开的FIRST年会上，CCERT第一次在国际舞台上介绍了中国应急响应的开展。15.2.1应急响应组织的起源及开展2000年10月国家计算机网络应急处理协调中心CNCERT/CC成立，该中心的任务是在国家因特网应急小组协调办公室的直接领导下，协调全国范围内计算机平安应急响应小组的工作，以及与国际计算机平安组织的交流。2002年8月CNCERT/CC成为国际权威组织FIRST的正式成员，并参与组织成立了亚太地区的专业组织APCERT，是APCERT的指导委员会委员。15.2.2应急响应组织的分类应急响应组织是应急响应工作的主体，目前国内外平安事件应急响应组织大概可被划分为国内或国际间的应急响应协调组织、企业或政府组织的应急响应组织、计算机软件厂商提供的应急响应组织商业化的应急响应组织等4大类，其组织模式如图15-2所示国际间应急响应协调组织国内应急响应协调组织国内应急响应协调组织……企业或政府组织的应急响应组织企业或政府组织的应急响应组织企业或政府组织的应急响应组织组织内部客户群公司内部及产品用户愿意付费的任意用户图15-2应急响应组织模式15.2.2应急响应组织的分类〔1〕国内或国际间的应急响应协调组织国内或国际间的应急响应协调组织通常属于公益性应急响应组织，一般由政府或社会公益性组织资助，对社会所有用户提供公益性的应急响应协调效劳。例如，CERT/CC由美国国防部资助，中国的CCERT和CNCERT/CC也属于该种类型的应急响应组织。15.2.2应急响应组织的分类〔2〕企业或政府组织的应急响应组织企业或政府组织的应急响应组织的效劳对象仅限于本组织内部的客户群，可以提供现场的事件处理，分发平安软件和漏洞补丁，培训和技术支持等，另外还可以参与组织平安政策的制定和审查等。例如美国联邦的FedCIRC、美国银行的BACIRT，及CERNET的CCERT等。15.2.2应急响应组织的分类〔3〕计算机软件厂商提供的应急响应组织计算机软件厂商提供的应急响应组织主要为本公司产品的平安问题提供给急响应效劳，同时也为公司内部的雇员提供平安事件处理和技术支持。例如SUN、Cisco等公司的应急响应组织。15.2.2应急响应组织的分类〔4〕商业化的应急响应组织商业化的应急响应组织面向全社会提供商业化的平安救援效劳，其特点在于一般具有高质量的效劳保障，在突发平安事件时能够及时响应，有的应急响应组织甚至提供7×24的效劳(全天候的效劳)和现场事件处理等。15.2.3国内外典型应急响应组织简介1．美国计算机应急响应协调中心〔CERT/CC〕目前，CERT/CC是美国国防部资助下的抗毁性网络系统方案〔NetworkedSystemsSurvivabilityProgram〕的一局部，下设3个部门：事件处理组、缺陷处理组和计算机应急响应组〔CSIRT〕，如图15-3所示。卡耐基梅隆大学〔CMU〕软件工程研究所〔SEI〕抗毁性网络管理〔SurvivableNetworkManagement〕CERT/CC抗毁性网络技术〔SurvivableNetworkTechnology〕缺陷处理〔VulnerabilityHanding〕事件处理〔IncidentHanding〕美国国防部计算机应急响应组〔CSIRTdevelopment〕图15-3CERT/CC组织结构15.2.3国内外典型应急响应组织简介CERT/CC提供的效劳内容如下。〔1〕平安事件响应；〔2〕平安事件分析和软件平安缺陷研究；〔3〕漏洞知识库开发；〔4〕信息发布，包括缺陷、公告、总结、统计、补丁和工具；〔5〕教育与培训，包括CSIRT管理、CSIRT技术培训、系统和网络管理员平安培训；〔6〕指导其他CSIRT〔或CERT〕组合资建设。15.2.3国内外典型应急响应组织简介2．中国教育和科研计算机网应急响应组〔CCERT〕CCERT是中国教育和科研计算机网CERNET专家委员会领导之下的一个公益性的效劳和研究组织，目前，CCERT的应急响应体系已经包括CERNET内部各级网络中心的平安事件响应小组或平安管理相关部门，已经开展成一个由30多个单位组成，覆盖全国的应急响应组织。15.2.3国内外典型应急响应组织简介CCERT首要的效劳对象是中国教育和科研计算机网络本身，确保CERNET网络的平安可靠运行，为教育和科研提供一个平安的网络环境。效劳范围包括：〔1〕网络平安政策制定和实施监督；〔2〕网络运行状态的日常平安监测；〔3〕及时地平安通告；〔4〕网络平安事件应急响应；〔5〕网络平安突发事件的应急解决方案的制定和实施；15.2.3国内外典型应急响应组织简介〔6〕CERNET各级网络管理人员的平安管理知识的教育与培训。15.2.3国内外典型应急响应组织简介3．国家计算机网络应急处理协调中心〔CNCERT/CC〕国家计算机网络应急处理协调中心〔CNCERT/CC〕是在信息产业部互联网应急处理协调办公室的直接领导下，负责协调我国各计算机网络平安事件应急小组共同处理国家公共互联网上的平安紧急事件，为国家公共互联网、国家主要网络信息应用系统以及关键部门提供计算机网络平安的监测、预警、应急、防范等平安效劳和技术支持。15.2.3国内外典型应急响应组织简介CNCERT/CC组织体系结构如以下图所示。国家网络与信息平安协调小组办公室领导信息产业部互联网应急处理协调办公室国外政府部门联系其他管理部门联系领导领导国外CERT组织国家计算机网络应急响应处理协调中心〔CNSERT/CC〕863-917网络平安监测平台联系运行信息产业部网络平安重点实验室信息产业部网络应急重点实验室中国互联网协会应急处理联盟〔网络与信息平安工作委员会协调/指导支撑国家计算机病毒应急处理中心〔天津市公安局〕国家计算机网络入侵防范中心〔中科院研究生院〕协调/指导支撑公共互联网应急处理效劳国家级试点单位国家计算机网络应急响应处理协调中心各省份中心〔共31个〕骨干网的CERT领导指导协调协调指导15.2.3国内外典型应急响应组织简介CNCERT/CC提供的业务功能如下。〔1〕信息获取：通过各种信息渠道与合作体系，及时获取各种平安事件与平安技术的相关信息；〔2〕事件监测：及时发现各类重大平安隐患与平安事件，向有关部门发出预警信息，提供技术支持；〔3〕事件处理：协调国内各应急小组处理公共互联网上的各类重大平安事件，同时，作为国际上与中国进行平安事件协调处理的主要接口，协调处理来自国内外的平安事件投诉；15.2.3国内外典型应急响应组织简介〔4〕数据分析：对各类平安事件的有关数据进行综合分析，形成权威的数据分析报告；〔5〕资源建设：收集整理平安漏洞、布丁、攻击防御工具和最新网络平安技术等各种根底信息资源，为各方面的相关工作提供支持；〔6〕平安研究：跟踪研究各种平安问题和技术，为平安防护和应急处理提供根底；〔7〕平安培训：网络平安应急处理技术以及应急组织建设等方面的培训；15.2.3国内外典型应急响应组织简介3〔8〕技术咨询：提供平安事件处理的各类技术咨询；〔9〕国际交流：组织国内计算机网络平安应急组织进行国际合作交流。15.3应急响应体系

15.3.1应急响应指标应急响应远不止是简单的诊断技巧，它通常需要组织内部的管理人员和技术人员共同参与，有时可能会借助外部的资源，甚至诉诸法律。以下是应急响应应保证的各项指标。〔1〕响应能力：确保平安事件和平安问题能被及时地发现，并向相应的负责人报告；〔2〕决断能力：判断是否是本地平安问题或构成一个平安事件；15.3.1应急响应指标

〔3〕行动能力：在发生平安事件时根据一个提示就能采取必要的措施；〔4〕减少损失：能够立即通知组织内其他可能受影响的部门；〔5〕效率：实践和监控处理平安事件的能力。为了实现以上目标，就必须建立一个应急响应管理体系来处理平安事件，其中管理层必须参与进来并最终让管理体系发挥作用，以提高对平安问题的认识，合理分配决定权，更好地支持平安目标。15.3.2应急响应体系的建立1．确定应急响应角色的责任〔1〕用户任务：一旦觉察与平安相关的异常事件，就必须遵守相应的过程规那么并报告异常事件。职责：必须决定采取何种适宜的报告渠道。义务/指导：每一个用户都有义务按照本单位的平安指南来报告任何与平安相关的异常事件。15.3.2应急响应体系的建立〔2〕平安管理员任务：接收与其负责的系统有关的异常事件报告，并根据报告决定是立即采取行动，还是按照提交策略向上一级报告。职责：必须能够确定是否真的发生了平安问题，是否可以独立解决，是否需要根据提交方案立即咨询其他人，以及应该通知谁等。义务/指导：应该在职位描述及平安事件处理策略中指定。15.3.2应急响应体系的建立〔3〕平安员/平安管理层任务：接收平安事件报告，负责调查和评估平安事件，并在其职责范围内选用适当措施进行处理。如果有必要，负责组建平安事件处理小组或将问题提交给上级管理层。职责：被授权对平安事件进行评估，并可将事件提交给高级管理层。除此之外，可以在授权范围内利用财务和人力资源独立处理平安事件。义务/指导：根据平安管理层制定的“平安事件处理策略〞，所有平安员都要承担其处理平安事件的任务和职责。15.3.2应急响应体系的建立〔4〕平安审计员任务：必须定期检查平安事件管理系统的有效性，并参与评估平安事件。职责：在管理层同意下启动和实施预定义的检查。义务/指导：在工作职责描述和“平安事件处理策略〞中规定。15.3.2应急响应体系的建立〔5〕公共关系/信息发布部门任务：在发生严重平安事件的地方，除了信息发布部门之外，其他任何部门和个人都必须不能对公众泄漏任何信息，其目的并不是为了掩盖事件或者降低事件的严重程度，而是要以目标化的方式解决问题，防止相互矛盾的信息给组织带来的形象损害。职责：信息发布部门必须和专家一起准备与平安事件相关的信息，在发布之前必须得到高级管理层的同意。义务/指导：在工作职责描述和“平安事件处理策略〞中规定。15.3.2应急响应体系的建立7〔6〕代理/公司管理层任务：严重平安事件发生时，应该通知管理层，如果有必要，管理层要做出决定。职责：承担总体责任，并对上述各工作小组负责。除此之外，当疑心有犯罪活动时可以报警，起诉罪犯。义务/指导：管理层必须批准“平安事件处理策略〞和基于策略的平安应急方案，作为方案的局部，各管理层应明确其在平安事件处理中的角色。15.3.2应急响应体系的建立2．制定紧急事件提交策略在明确了应急响应角色的责任，并且所有相关人员都知晓时间处理规那么和报告渠道后，下一步应确定收到报告后如何提交。可以按以下3个步骤制定提交策略。〔1〕提交渠道的规定在规定由何人负责处理平安事件后，提交渠道的规定中应该明确报送人及其相应的报送对象。〔2〕提交的策略对象在这个步骤中应当确定在进一步调查或评估之前需要进行什么样的提交。15.3.2应急响应体系的建立〔3〕提交方式报送过程中向上一层提交方式的选择如下：①个人口头报告；②书面报告；③电子邮件报告；④报告；⑤密封函件报告。15.3.2应急响应体系的建立还应该规定在什么时间段里完成报告。可采取如下规定：①立即提交：一个小时内；②立即采取措施：一个小时内；③事件还在控制中，但要求通知中上层：下一工作日。3．规定应急响应优先级应急响应优先级确实定与组织内的环境紧密相连。在制定应急响应优先级时，必须考虑下面的问题。15.3.2应急响应体系的建立①哪类损失和组织相关；②在每个类别中，按什么顺序修补损失。要答复这些问题，首先应根据信息系统最低保护要求确定保护程度，而确定保护程度的过程就定义了与组织相关的损害类别，这些类别有：①与法律、规章或合同冲突；②对信息自决权的损害；③对人员身体的损害；④对组织职能的损害；⑤对外部关系的负面影响；⑥财务后果。15.3.2应急响应体系的建立4．平安应急的调查与评估为了调查和评估与平安相关的异常事件，必须进行一些初级评估，包括以下内容：①弄清楚信息系统结构和网络情况；②弄清楚信息系统的联系人和用户；③弄清楚信息系统上的应用；④定义信息系统的保护要求。15.3.2应急响应体系的建立调查和评估平安事件的第一步要弄清楚以下因素：①平安事件可能影响什么信息系统和应用；②通过信息系统和网络是否还会产生后续的损害；③哪些信息系统和应用不会受到损害和后续的损害；④平安事件导致直接损害后，后续损害的程度如何，应特别留意各种信息系统和应用之间的相关性；⑤能够触发平安事件的可能因素；15.3.2应急响应体系的建立9⑥平安事件发生在什么时候，在哪个地方，由于在探测到平安事件时很可能已经发生一段时间了，因此应维护好日志文件，要保证这些文件没有被入侵；⑦是否只有内部用户受到平安事件的影响，或者外部第三方也受到影响；⑧有多少关于平安事件的信息已经被泄漏给公众。15.3.2应急响应体系的建立5．选择应急响应相关补救措施首先要控制事件继续开展并解决问题，然后恢复事务状态。〔1〕必要的专业知识为查明和处理平安方面的弱点，必须拥有相关的技术知识，因此要么培训组织人员，要么求助专家。为此，要准备一份表，包含各领域的内外部专家，这样就可以直接寻求他们的意见，以免耽误时间。15.3.2应急响应体系的建立外部专家包括：①计算机应急响应组；②相关的信息系统厂商和销售商；③应用平安系统的厂商和销售商，比方防病毒、防火墙和访问控制等；④专业平安专家组成的外部参谋组。15.3.2应急响应体系的建立〔2〕平安恢复的运作要去除平安弱点，首先应将这些弱点所涉及的系统与网络断开，然后再将那些能提供已发生事件的性质和原因的信息文件〔尤其是相关的日志文件〕进行备份。15.3.2应急响应体系的建立〔3〕事件归档在应急处理平安问题时，所有动作都应该被尽可能详细地记录归档，以便实现以下目标：①保存发生事件的细节；②能够追溯发生的问题；③能够修正匆忙行动可能带来的问题或错误；④在的问题再次发生时能够迅速解决；⑤能够消除平安弱点，准备预防措施；⑥如果要提起诉讼，便于收集证据。15.3.2应急响应体系的建立〔4〕对攻击行为的反响当入侵者发起攻击时，首先要决定是静观攻击还是尽快采取措施。当然也可以试图去抓住入侵者的“黑手〞，但是这可能会冒很大的风险，因为在试图抓住对方的同时，对方可能会破坏、入侵或读取数据。15.3.2应急响应体系的建立6．确定应急紧急通知机制当发生平安事件时，必须通知所有受影响的外部和内部各方，为那些受到平安事件直接影响的部门和机构采取对策提供方便。通知机制对处理平安事件相关信息各方的协助预防或解决问题尤为重要。15.3.3应急响应处置流程应急响应处置流程通常被划分为准备、检测、抑制、铲除、恢复、报告与总结6个阶段。〔1〕准备阶段准备阶段的主要工作包括建立合理的防御和控制措施、建立适当的策略和程序、获得必要的资源和组建响应队伍等。15.3.3应急响应处置流程〔2〕检测阶段检测阶段要做出初步的动作和响应，根据获得的初步材料和分析结果，估计事件的范围，制订进一步的响应战略，并且保存可能用于司法程序的证据。〔3〕抑制阶段抑制的目的是限制攻击的范围。抑制措施十分重要，因为太多的平安事件可能迅速失控，15.3.3应急响应处置流程抑制策略一般包括关闭所有系统，从网络上断开相关系统，修改防火墙和路由器的过滤规那么，封锁或删除被攻破的登录帐号，提高系统或网络行为的监控级别，设置陷阱，关闭效劳以及反攻击者的系统等。15.3.3应急响应处置流程〔4〕铲除阶段在事件被抑制之后，通过对有关恶意代码或行为的分析结果，找出事件根源并彻底去除。对于单机上的事件，主要可以根据各种操作系统平台的具体检查和铲除程序进行操作；但是对于大规模爆发的带有蠕虫性质的恶意程序，要铲除各个主机上的恶意代码是十分艰巨的任务。15.3.3应急响应处置流程很多案例数据说明，众多的用户并没有真正关注他们的主机是否已经遭受入侵，有的甚至持续一年多，任由感染蠕虫的主机在网络中不断地搜索和攻击别的目标。造成这种现象的重要原因是各网络之间缺乏有效的协调，或者是在一些商业网络中，网络管理员对接入到网络中的子网和用户没有足够的管理权限。15.3.3应急响应处置流程〔5〕恢复阶段恢复阶段的目标是把所有被攻击的系统和网络设备彻底复原到它们正常的任务状态。恢复工作应该十分小心，应防止出现误操作导致数据的丧失。另外，恢复工作中如果涉及机密数据，需要额外遵照机密系统的恢复要求。对不同任务的恢复工作的承担单位，要有不同的担保。如果攻击者获得了超级用户的访问权，一次完整的恢复应该强制性地修改所有的口令。15.3.3应急响应处置流程〔6〕报告与总结阶段报告与总结是最后一个阶段，但却是绝对不能够忽略的重要阶段。这个阶段的目标是回忆并整理发生事件的各种相关信息，尽可能地把所有情况记录到文档中。这些记录的内容，不仅对有关部门的其他处理工作具有重要意义，而且对将来应急工作的开展也是非常重要的参考资料。15.4应急响应关键技术

15.4.1入侵检测技术入侵检测是实施应急响应的根底，因为只有发现对网络和系统的攻击或入侵才能触发应急响应的动作。入侵检测可以由系统自动完成，即入侵检测系统〔IntrusionDetectSystem，IDS〕。入侵检测是继“数据加密〞、“防火墙〞等平安防护技术之后人们提出的又一种平安技术，它通过对信息系统中各种状态和行为的归纳分析，一方面检测来自外部的入侵行为，另一方面还能够监督内部用户的未授权活动。15.4.1入侵检测技术目前入侵检测技术大体上可以被分为两大类：误用检测〔MisuseDetection〕和异常检测〔AnomalyDetection〕。1．误用检测误用检测也称为基于知识的入侵检测或基于签名的入侵检测。该技术首先建立各种攻击的特征模式库，然后将用户的当前行为依次与库中的各种攻击特征模式进行比较，如果匹配那么确定为攻击行为，否那么就不是攻击行为。15.4.1入侵检测技术例如Internet蠕虫攻击就是使用了finger和sendmail的错误。对于攻击行为可以通过按照预先定义好的入侵特征模式以及观察到的入侵发生情况进行模式匹配来检测。入侵模式说明了那些导致平安突破或其他误用事件的特征、条件、排列和关系。目前已提出的误用检测方法有很多，如基于状态迁移分析的误用检测方法STAT和USTAT、基于专家系统和模型误用推理的误用检测方法等。15.4.1入侵检测技术2．异常检测异常检测也称基于行为的入侵检测。该技术通过为用户、进程或网络流量等处于正常状态时的行为特征建立参考模式，然后将系统当前行为特征与已建立的正常行为模式进行比较，假设存在较大偏差就确定为发生异常，否那么就确定为没有。然而异常检测的一个重要前提条件是将入侵行为作为异常行为的子集，理想状况是异常行为集合与入侵行为集合等同，这样假设能够检测所有的异常行为，那么就可检测到所有的入侵行为。15.4.1入侵检测技术然而入侵行为并不总是与异常行为相符合，它们之间存在以下4种关系：入侵而非异常、非入侵而异常、入侵且异常以及非入侵且非异常。异常检测依赖于异常检测模型的建立，不同异常模型构成不同的异常检测技术，目前提出的异常检测技术有基于模式预测的异常检测方法和基于统计的异常检测方法等。15.4.1入侵检测技术目前有关这两种入侵检测技术的评价各有利弊，异常检测的优点是其能够检测出未知攻击，然而存在误检测率较高的缺乏；误用检测虽然检测准确率较高，但其只能对攻击行为进行检测。15.4.2系统备份与灾难恢复技术

1．系统备份系统备份是灾难恢复的根底，其目的是确保既定的关键业务数据、关键数据处理系统和关键业务在灾难发生后可以恢复。目前采用的系统备份方法主要有以下3种。〔1〕全备份全备份就是对整个系统进行完全备份，包括系统和数据。这种备份方式的好处就是很直观，容易被人理解，而且当数据丧失时，只要用一份备份〔如灾难发生前一天的备份磁带或其他备份介质〕，就可以恢复丧失的数据。15.4.2系统备份与灾难恢复技术

全备份也有缺乏之处，首先，由于每天都对系统进行完全备份，因此在备份数据中有大量的重复信息，这些重复的数据占用了大量的存储空间，这对用户来说就意味着本钱的增加；其次，由于需要备份的数据量相当大，因此备份所需的时间较长，对于那些业务繁忙、备份时间相对有限的单位来说，这种备份策略无疑是不明智的。15.4.2系统备份与灾难恢复技术〔2〕增量备份增量备份就是每次备份的数据只是相当于上一次备份后增加和修改正的数据。这种备份的优点是没有重复的备份数据，既节省存储空间，又缩短了备份时间。其缺点在于当发生灾难时，恢复数据比较麻烦。〔3〕差分备份差分备份就是每次备份的数据是相对于上一次全备份之后新增加和修改正的数据。例如管理员先在星期一进行一次系统完全备份，然后在接下来的几天里，再将当天所有与星期一不同的数据〔新的或经改动的〕备份到存储介质上。15.4.2系统备份与灾难恢复技术2．灾难恢复灾难恢复，也称为业务持续性，是指在灾难发生后指定的时间内恢复既定的关键数据、关键数据处理系统和关键业务的过程。灾难恢复技术是目前十分流行的IT技术，它能够为重要的信息系统提供在断电、火灾和受到攻击等各种意外事故发生，乃至再如洪水、地震等严重自然灾害发生的情况下保持持续运转的能力，因而对组织和社会关系重大的信息系统都应当采用灾难恢复技术予以保护。15.4.2系统备份与灾难恢复技术〔1〕灾难恢复的根本技术要求①备份软件•保证备份数据的完整性，并且有对备份介质〔如磁带〕的管理能力；•支持多种备份方式，可以定时自动备份；•具有相应的功能或工具进行设备管理和介质管理；•支持多种校验手段，以确保备份的正确性；•提供联机数据备份功能。15.4.2系统备份与灾难恢复技术②恢复的选择和实施数据备份只是系统成功恢复的前提之一。恢复数据还需要备份软件提供各种灵活的恢复选择，如按介质、目录树、磁带作业或查询子集等不同方式做数据恢复。此外，还要认真完成一些管理工作，如定期检查，确保备份的正确性；将备份媒介保存在异地一个平安的地方〔如专门的媒介库或银行保险箱〕；按照数据的增加和更新速度选择恰当的备份周期等。15.4.2系统备份与灾难恢复技术③自启动恢复系统灾难通常会造成数据丧失或者无法使用数据。利用备份软件可以恢复丧失的数据，但是重新使用数据并非易事。很显然，要想重新使用数据并恢复整个系统，首先必须将效劳器恢复到正常运行状态。为了提高恢复效率，减少效劳停止时间，应当使用“自启动恢复〞软件工具。15.4.2系统备份与灾难恢复技术通过执行一些必要的恢复功能，使系统可以自动确定效劳器所需要的配置和驱动，无需人工重新安装和配置操作系统，也不需要重新安装和配置恢复软件及应用程序。此外，自启动恢复软件还可以生成备用效劳器的数据集合配置信息，以简化备用效劳器的维护。④平安防护如果系统中潜伏平安隐患，例如病毒，那么即使数据和系统配置没有丧失，效劳器中的数据也可能随时丧失或被破坏。15.4.2系统备份与灾难恢复技术因此，平安防护也是灾难恢复的重要内容。在数据和程序进入网络之前，要进行平安检测。更为重要的是，要加强对整个网络的自动监控，防止平安事件的出现和传播。平安防护应该与其他防灾方案密切配合，同时互相透明。总而言之，一个完整的灾难恢复方案必须包括很强的平安防护策略和手段。15.4.2系统备份与灾难恢复技术〔2〕灾难恢复等级根据国际标准SHARE78的定义，灾难恢复解决方案可分为7级，即从低到高有7种不同层次。①层次0——本地数据的备份与恢复；②层次1——批量存取访