第6讲 应急响应课件

第6讲应急响应6.1应急响应概述6.2应急响应计划6.3应急响应案例分析6.4国家互联网应急处理中心介绍第6讲应急响应6.1应急响应概述应急响应(EmergencyResponse)，指组织为了应对突发／重大信息安全事件的发生所做的准备及在事件发生后所采取的措施。应急响应计划(EmergencyResponse

Plan)，指组织为了应对突发／重大信息安全事件而编制的，对包括信息系统运行在内的业务运行进行维持或恢复的策略和规程。第6讲应急响应6.2应急响应计划计划的准备阶段：指应急响应需求分析和应急响应策略的确定。需求分析和策略确定建立在风险评估的基础之上，并且紧紧围绕着组织的业务战略来展开。计划的编制阶段：应将需求和策略细化成应急响应的各项措施，编制应急响应计划文档。计划的实践阶段：应急响应计划的测试、人员培训、演练（实战）和计划更新。第6讲应急响应６.2.1应急响应计划的准备信息环境——软环境威胁识别信息环境——硬环境威胁识别公用信息载体威胁识别专用信息载体威胁识别威胁输出报告第6讲应急响应６.2.1应急响应计划的准备风险评估业务影响分析：评估特定信息安全事件对各种业务功能的影响。制定应急响应策略：如何快速、有效地恢复信息系统的运行的方法，用于指导、设计应急响应计划的详细工作流程。第6讲应急响应6.2.2应急响应计划的制定总则角色及职责预防和预警机制应急响应流程应急响应保障措施附件第6讲应急响应总则编制目的：制定的原因和目标编制依据：说明编制的依据，包括国家有关信息安全应急响应的相关标准、政府或企业的有关突发公共事件应急响应的文件等适用范围：说明计划的范围、解决哪些问题。工作原则：确定应急响应计划组织和实施原则第6讲应急响应角色和流程成立应急响应工作机构，明确职责应急响应领导小组应急响应技术保障小组应急响应专家小组应急响应实施小组应急响应日常运行小组第6讲应急响应应急响应工作机构图Ｐ３３９第6讲应急响应预防和预警机制最常见的措施是容灾备份第6讲应急响应应急响应流程Ｐ３４０第6讲应急响应应急响应流程事件通告事件定级应急启动应急处置后期处置第6讲应急响应1)事件通告信息通报信息上报信息披露第6讲应急响应信息安全事件报告表第6讲应急响应2)事件定级：对突发安全事件进行分类和分级评估组织的主要业务与其他区域受到影响的程度，并以此作为事件定级的依据潜在的附加影响或损失（次生灾害）造成紧急情况或系统中断的原因物理环境的状况系统设备的总和和功能状态系统设备及其存货的损失类型（如水灾或热能等）被更换的项目评估恢复正常报务所需的时间第6讲应急响应信息安全事件响应等级表事件响应等级内容描述Ｉ级事件现有的系统停机，或遭到严重攻击行为或安全事件，或对数据中心的业务运作有重大影响，持续时间小于4h的事件。持续时间超过4h，则升级到重大责任事故Ⅱ级事件现有系统的操作系统性能严重降低，或由于网络性能失常或安全事件严重影响数据中心业务运作，持续时间小于8h的事件。持续时间超过８h，则升级为Ｉ级事件Ⅲ级事件系统的操作性能受损，安全事件如病毒在小范围内发作，但大部分业务运作仍可正常工作，持续时间小于8h的事件。持续时间超过８h，则升级为Ⅱ级事件Ⅳ级事件在服务器、存储设备、安全设备等的功能、安装或配置方面需要信息咨询或技术支持。本级故障对数据中心的业务运作几乎无影响，或根本没有影响，持续时间小于4h的事件。持续时间超过８h，则升级为Ⅲ级事件第6讲应急响应3）应急启动启动原则：果断、快速、在序启动依据：激活条件启动方法：由应急启动领导小组发布启动令，但现场人员应按照预先制定的响应方案立即采取抢救措施，同时请示领导小组发布启动令第6讲应急响应4）应急处置●应急响应启动令一旦下达，就应采取相关措施抑制或清除信息安全事件影响。●国家有关标准中的应急处理规定主要对恢复顺序和恢复任务作了一些规范性要求●恢复顺序●恢复任务●恢复流程第6讲应急响应5）后期处置●信息系统重建，具体的方法（1）统计分析各种数据，查明原因。事后责任追究甚至法律介入起到关键作用（2）对信息安全事件造成的影响及恢复重建工作进行分析与评估（3）认真制定恢复重建计划（4）重建工作完成后，对所采取的措施进行（简要的）风险评估第6讲应急响应5）后期处置●应急响应/事件总结，具体包括：（1）分析和总结事件发生的原因（2）分析和总结事件现象（3）评估系统的损害程度（4）评估事件导致的损失（5）分析和总结应急处置记录（6）评审应急响应措施的效果和效率，并提出改进建议（7）评审应急响应计划的效果和效率，并提出改进建议第6讲应急响应应急响应/事件总结第6讲应急响应应急响应保障措施人员保障：管理人员保障，技术人员保障物质保障：财力物质、交通运输物质、治安维护、通信保障技术保障：事件监控与预警的技术保障、应急技术保障第6讲应急响应应急响应计划的培训、演练和更新培训人员，提高素质演练计划（实战演练）计划更新第6讲应急响应文档的保存、分发与维扩由专人负责保存与分发复制多份并在不同的地点保存分发给参与应急响应工作的所有人员在每次修订后对所有复制件统一更新，并保留一套，以备查阅旧版本应按有关规定销毁第6讲应急响应６.3应急响应案例分析南海大学信息安全应急响应计划示例四个校区，5万学生，“数字化校园”“南洋烽火计划”第6讲应急响应南洋烽火计划１．总则２．角色与职责３．预防和预警机制４．应急响应流程５．应急响应保障措施６．计划的培训和演练７．附件第6讲应急响应编制依据贯彻落实《中华人民共和国计算机信息系统安全保护条例》、《计算机病毒防治管理办法》、《计算机信息网络国际联网管理暂行规定》等国家有关法律、法规依据信息安全技术信息安全事件管理指南》（GB/Z20985-2007）《信息安全技术信息安全事件分级分类指南》（GB/Z20986-2007）、

《信息安全技术信息系统灾难恢复规范》（GB/Z20988-2007）参照《信息安全技术信息安全应急响应计划规范》（草案）第6讲应急响应事件分类校园网网站主页被篡改、交互式栏目里发表反政府、分裂国家、不利于民族团结、色情等内容的信息，以及损害国家、学校所在地区和学校声誉方面的谣言内网网络应用服务器被非法入侵，应用服务器上的数据被非法复制、修改和删除内网有关学校科研、教学及学校行政管理有关的敏感数据被泄露或未经授权被访问在外网网站上发布的内容违反国家的法律、法规或侵犯知识产权，已经造成严重后果病毒的大规模爆发和网络攻击第6讲应急响应事件定级分为四级：一般(Ⅳ级,蓝色事件)、较大(Ⅲ级，黄色事件)、重大(Ⅱ级，橙色事件)、特别重大(Ⅰ级，红色事件)蓝色事件（Ⅳ级）：校园网出现的非法信息，在校内造成一定的影响，但尚未在社会上造成影响；由于病毒攻击、非法入侵等原因，200台以内的用户主机不能正常工作蓝色事件发生后,24h之内无法解决，自动上升为黄色事件，并启动黄色事件响应程序第6讲应急响应事件定级续1黄色事件（Ⅲ级）：校园网出现的非法信息，在校内造成广泛影响，并在社会上造成一定的影响；由于病毒攻击、非法入侵等原因，致使学校大部分校区网络瘫痪，或者FTP及部分网站服务不能响应用户请求黄色事件发生后,在8h之内无法解决，自动上升为橙色事件，并启动橙色事件响应程序第6讲应急响应事件定级续2橙色事件（Ⅱ级）：校园网出现的非法信息，在校内造成实质性影响，并在社会上造成严重影响；由于病毒攻击、非法入侵等原因，致使学校大部分校区网络瘫痪，或者邮件、校园一卡通计费服务器无法正常工作橙色事件发生后,在8h之内无法解决，自动上升为红色事件，并启动红色事件响应程序第6讲应急响应事件定级续3红色事件（Ⅰ级）：校园网出现的非法信息，在校内造成重大实质性影响，并在社会上严重危害国家和社会；由于病毒攻击、非法入侵等原因，致使校园网整体瘫痪，或者学校网络中心全部NDS、主Web服务器不能正常工作；由于病毒攻击、非法入侵、人为破坏或不可抗力等原因，造成校园网与Internet的连接中断红色事件发生后,在4h之内无法解决，则成为较大信息安全责任事故，需按照学校有关规定上报上级有关部门第6讲应急响应应急处置病毒传播：及时断开传播源，判断病毒的性质，采用的端口，然后关闭相应的端口，在网上公布病毒攻击信息及防御方法入侵：首先判断入侵来源，区分来自内部还是外部。来自外部的，定位和取证入侵的IP地址，关闭入侵的端口；来自内部的，查清入侵来源，如IP地址，上网帐号等信息，同时断开对应的交换机端口并进行取证，然后针对入侵方法布署或更新相应的入侵检测设备信息被篡改：马上断开相应链接，并尽快恢复被篡改的信息网络故障：一旦发现，及时排除其他灾害：结合具体情况进行分析第6讲应急响应6.4国家互联网应急中心介绍成立于1999年，是工信部领导下的国家级网络安全应急机构，支持重要信息系统的网络监测、预警和处置等。积极预防，及时发现，快速响应，力争恢