应急响应.ppt

第6讲应急响应 6 1应急响应概述6 2应急响应计划6 3应急响应案例分析6 4国家互联网应急处理中心介绍 6 1应急响应概述 应急响应 EmergencyResponse 指组织为了应对突发 重大信息安全事件的发生所做的准备及在事件发生后所采取的措施 应急响应计划 EmergencyResponsePlan 指组织为了应对突发 重大信息安全事件而编制的 对包括信息系统运行在内的业务运行进行维持或恢复的策略和规程 6 2应急响应计划 计划的准备阶段 指应急响应需求分析和应急响应策略的确定 需求分析和策略确定建立在风险评估的基础之上 并且紧紧围绕着组织的业务战略来展开 计划的编制阶段 应将需求和策略细化成应急响应的各项措施 编制应急响应计划文档 计划的实践阶段 应急响应计划的测试 人员培训 演练 实战 和计划更新 2 1应急响应计划的准备 信息环境 软环境威胁识别信息环境 硬环境威胁识别公用信息载体威胁识别专用信息载体威胁识别威胁输出报告 2 1应急响应计划的准备 风险评估业务影响分析 评估特定信息安全事件对各种业务功能的影响 制定应急响应策略 如何快速 有效地恢复信息系统的运行的方法 用于指导 设计应急响应计划的详细工作流程 6 2 2应急响应计划的制定 总则角色及职责预防和预警机制应急响应流程应急响应保障措施附件 总则 编制目的 制定的原因和目标编制依据 说明编制的依据 包括国家有关信息安全应急响应的相关标准 政府或企业的有关突发公共事件应急响应的文件等适用范围 说明计划的范围 解决哪些问题 工作原则 确定应急响应计划组织和实施原则 角色和流程 成立应急响应工作机构 明确职责应急响应领导小组应急响应技术保障小组应急响应专家小组应急响应实施小组应急响应日常运行小组 应急响应工作机构图 预防和预警机制 最常见的措施是容灾备份 应急响应流程 应急响应流程 事件通告事件定级应急启动应急处置后期处置 1 事件通告 信息通报信息上报信息披露 信息安全事件报告表 2 事件定级 对突发安全事件进行分类和分级 评估组织的主要业务与其他区域受到影响的程度 并以此作为事件定级的依据潜在的附加影响或损失 次生灾害 造成紧急情况或系统中断的原因物理环境的状况系统设备的总和和功能状态系统设备及其存货的损失类型 如水灾或热能等 被更换的项目评估恢复正常报务所需的时间 信息安全事件响应等级表 3 应急启动 启动原则 果断 快速 在序启动依据 激活条件启动方法 由应急启动领导小组发布启动令 但现场人员应按照预先制定的响应方案立即采取抢救措施 同时请示领导小组发布启动令 4 应急处置 应急响应启动令一旦下达 就应采取相关措施抑制或清除信息安全事件影响 国家有关标准中的应急处理规定主要对恢复顺序和恢复任务作了一些规范性要求 恢复顺序 恢复任务 恢复流程 5 后期处置 信息系统重建 具体的方法 1 统计分析各种数据 查明原因 事后责任追究甚至法律介入起到关键作用 2 对信息安全事件造成的影响及恢复重建工作进行分析与评估 3 认真制定恢复重建计划 4 重建工作完成后 对所采取的措施进行 简要的 风险评估 5 后期处置 应急响应 事件总结 具体包括 1 分析和总结事件发生的原因 2 分析和总结事件现象 3 评估系统的损害程度 4 评估事件导致的损失 5 分析和总结应急处置记录 6 评审应急响应措施的效果和效率 并提出改进建议 7 评审应急响应计划的效果和效率 并提出改进建议 应急响应 事件总结 应急响应保障措施 人员保障 管理人员保障 技术人员保障物质保障 财力物质 交通运输物质 治安维护 通信保障技术保障 事件监控与预警的技术保障 应急技术保障 应急响应计划的培训 演练和更新 培训人员 提高素质演练计划 实战演练 计划更新 文档的保存 分发与维扩 由专人负责保存与分发复制多份并在不同的地点保存分发给参与应急响应工作的所有人员在每次修订后对所有复制件统一更新 并保留一套 以备查阅旧版本应按有关规定销毁 3应急响应案例分析 南海大学信息安全应急响应计划示例四个校区 5万学生 数字化校园 南洋烽火计划 南洋烽火计划 总则 角色与职责 预防和预警机制 应急响应流程 应急响应保障措施 计划的培训和演练 附件 编制依据 贯彻落实 中华人民共和国计算机信息系统安全保护条例 计算机病毒防治管理办法 计算机信息网络国际联网管理暂行规定 等国家有关法律 法规依据信息安全技术信息安全事件管理指南 GB Z20985 2007 信息安全技术信息安全事件分级分类指南 GB Z20986 2007 信息安全技术信息系统灾难恢复规范 GB Z20988 2007 参照 信息安全技术信息安全应急响应计划规范 草案 事件分类 校园网网站主页被篡改 交互式栏目里发表反政府 分裂国家 不利于民族团结 色情等内容的信息 以及损害国家 学校所在地区和学校声誉方面的谣言内网网络应用服务器被非法入侵 应用服务器上的数据被非法复制 修改和删除内网有关学校科研 教学及学校行政管理有关的敏感数据被泄露或未经授权被访问在外网网站上发布的内容违反国家的法律 法规或侵犯知识产权 已经造成严重后果病毒的大规模爆发和网络攻击 事件定级 分为四级 一般 级 蓝色事件 较大 级 黄色事件 重大 级 橙色事件 特别重大 级 红色事件 蓝色事件 级 校园网出现的非法信息 在校内造成一定的影响 但尚未在社会上造成影响 由于病毒攻击 非法入侵等原因 200台以内的用户主机不能正常工作蓝色事件发生后 24h之内无法解决 自动上升为黄色事件 并启动黄色事件响应程序 事件定级续1 黄色事件 级 校园网出现的非法信息 在校内造成广泛影响 并在社会上造成一定的影响 由于病毒攻击 非法入侵等原因 致使学校大部分校区网络瘫痪 或者FTP及部分网站服务不能响应用户请求黄色事件发生后 在8h之内无法解决 自动上升为橙色事件 并启动橙色事件响应程序 事件定级续2 橙色事件 级 校园网出现的非法信息 在校内造成实质性影响 并在社会上造成严重影响 由于病毒攻击 非法入侵等原因 致使学校大部分校区网络瘫痪 或者邮件 校园一卡通计费服务器无法正常工作橙色事件发生后 在8h之内无法解决 自动上升为红色事件 并启动红色事件响应程序 事件定级续3 红色事件 级 校园网出现的非法信息 在校内造成重大实质性影响 并在社会上严重危害国家和社会 由于病毒攻击 非法入侵等原因 致使校园网整体瘫痪 或者学校网络中心全部NDS 主Web服务器不能正常工作 由于病毒攻击 非法入侵 人为破坏或不可抗力等原因 造成校园网与Internet的连接中断红色事件发生后 在4h之内无法解决 则成为较大信息安全责任事故 需按照学校有关规定上报上级有关部门 应急处置 病毒传播 及时断开传播源 判断病毒的性质 采用的端口 然后关闭相应的端口 在网上公布病毒攻击信息及防御方法入侵 首先判断入侵来源 区分来自内部还是外部 来自外部的 定位和取证入侵的IP地址 关闭入侵的端口 来自内部的 查清入侵来源 如IP地址 上网帐号等信息 同时断开对应的交换机端口并进行取证 然后针对入侵方法布署或更新相应的入侵检测设备信息被篡改 马上断开相应链接 并尽快恢复被篡改的信息网络故障 一旦发现 及时排除其他灾害 结合具体情况进行分析 6 4国家互联网应急中心介绍 成立于1999年 是工信部领导下的国家级网络安全应急机构 支持重要信息系统的网络监测 预警和处置等 积极预防