ch9信息安全事件应急处理和灾难恢复解析课件

1、第9章 信息安全事件应急处理和灾难恢复第9章 信息安全事件应急处理和灾难恢复本章要点信息安全事件分类信息安全事件分级信息安全应急处理关键过程信息系统灾难恢复本章要点信息安全事件分类一、信息安全事件分类GB/Z 20986-2007信息安全技术 信息安全事件分类分级指南信息安全事件的防范和处置是国家信息安全保障体系中的重要环节，也是重要的工作内容。信息安全事件的分类分级是快速有效处置信息安全事件的基础之一。一、信息安全事件分类GB/Z 20986-2007信息安全信息安全事件定义信息安全事件 information security incident 由于自然或者人为以及软硬件本身缺陷或故障的原

2、因，对信息系统造成危害，或对社会造成负面影响的事件。 信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件等7个基本分类，每个基本分类分别包括若干个子类。 信息安全事件定义信息安全事件 information sec有害程序事件有害程序事件是指蓄意制造、传播有害程序，或是因受到有害程序的影响而导致的信息安全事件。有害程序是指插入到信息系统中的一段程序，有害程序危害系统中数据、应用程序或操作系统的保密性、完整性或可用性，或影响信息系统的正常运行。 有害程序事件包括计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序

3、事件、网页内嵌恶意代码事件和其它有害程序事件等7个子类。有害程序事件有害程序事件是指蓄意制造、传播有害程序，或是因受网络攻击事件网络攻击事件是指通过网络或其他技术手段，利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击，并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件网络攻击事件包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件等7个子类。网络攻击事件网络攻击事件是指通过网络或其他技术手段，利用信息信息破坏事件信息破坏事件是指通过网络或其他技术手段，造成信息系统中的信息被篡改、假冒、泄漏、窃取等而

4、导致的信息安全事件。 信息破坏事件包括信息篡改事件、信息假冒事件、信息泄漏事件、信息窃取事件、信息丢失事件和其它信息破坏事件等6个子类。信息破坏事件信息破坏事件是指通过网络或其他技术手段，造成信息信息内容安全事件信息内容安全事件是指利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容的安全事件。 信息内容安全事件包括以下4个子类，说明如下： a) 违反宪法和法律、行政法规的信息安全事件； b) 针对社会事项进行讨论、评论形成网上敏感的舆论热点，出现一定规模炒作的信息安全事件； c) 组织串连、煽动集会游行的信息安全事件； d) 其他信息内容安全事件等4个子类。信息内容安全事件信息内容安

5、全事件是指利用信息网络发布、传播危设备设施故障设备设施故障是指由于信息系统自身故障或外围保障设施故障而导致的信息安全事件，以及人为的使用非技术手段有意或无意的造成信息系统破坏而导致的信息安全事件。 设备设施故障包括软硬件自身故障、外围保障设施故障、人为破坏事故、和其它设备设施故障等4个子类。设备设施故障设备设施故障是指由于信息系统自身故障或外围保障设灾害性事件和其他事件灾害性事件是指由于不可抗力对信息系统造成物理破坏而导致的信息安全事件。灾害性事件包括水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争等导致的信息安全事件。 其他事件类别是指不能归为以上6个基本分类的信息安全事件。 灾害性事件和

6、其他事件灾害性事件是指由于不可抗力对信息系统造成二、信息安全事件分级对信息安全事件的分级主要考虑三个要素：信息系统的重要程度、系统损失和社会影响。 信息系统的重要程度主要考虑信息系统所承载的业务对国家安全、经济建设、社会生活的重要性以及业务对信息系统的依赖程度，划分为特别重要信息系统、重要信息系统和一般信息系统。 系统损失是指由于信息安全事件对信息系统的软硬件、功能及数据的破坏，导致系统业务中断，从而给事发组织所造成的损失，其大小主要考虑恢复系统正常运行和消除安全事件负面影响所需付出的代价，划分为特别严重的系统损失、严重的系统损失、较大的系统损失和较小的系统损失。二、信息安全事件分级对信息安全

7、事件的分级主要考虑三个要素：信社会影响是指信息安全事件对社会所造成影响的范围和程度，其大小主要考虑国家安全、社会秩序、经济建设和公众利益等方面的影响，划分为特别重大的社会影响、重大的社会影响、较大的社会影响和一般的社会影响根据信息安全事件的分级考虑要素，将信息安全事件划分为四个级别：特别重大事件、重大事件、较大事件和一般事件。 社会影响是指信息安全事件对社会所造成影响的范围和程度，其大小特别重大事件（级） 特别重大事件是指能够导致特别严重影响或破坏的信息安全事件，包括以下情况： a) 会使特别重要信息系统遭受特别严重的系统损失； b) 产生特别重大的社会影响。 特别重大事件（级） 特别重大事件

8、是指能够导致特别严重影响或重大事件（级） 重大事件是指能够导致严重影响或破坏的信息安全事件，包括以下情况： a) 会使特别重要信息系统遭受严重的系统损失、或使重要信息系统遭受特别严重的系统损失； b) 产生的重大的社会影响。 重大事件（级） 重大事件是指能够导致严重影响或破坏的信息安较大事件（级） 较大事件是指能够导致较严重影响或破坏的信息安全事件，包括以下情况： a) 会使特别重要信息系统遭受较大的系统损失、或使重要信息系统遭受严重的系统损失、一般信息信息系统遭受特别严重的系统损失； b) 产生较大的社会影响。 较大事件（级） 较大事件是指能够导致较严重影响或破坏的信息一般事件（级） 一般事

9、件是指不满足以上条件的信息安全事件，包括以下情况： a) 会使特别重要信息系统遭受较小的系统损失、或使重要信息系统遭受较大的系统损失，一般信息系统遭受严重或严重以下级别的系统损失； b) 产生一般的社会影响。 一般事件（级） 一般事件是指不满足以上条件的信息安全事件，三、信息安全应急处理关键过程信息安全应急处理是指通过制定应急计划使得影响信息系统安全的安全事件能够得到及时响应，并在安全事件一旦发生后进行标示、记录、分类和处理，直到受影响的业务恢复正常运行的过程。6个阶段：准备阶段、检测阶段、抑制阶段、根除阶段、恢复阶段、总结阶段。三、信息安全应急处理关键过程信息安全应急处理是指通过制定应急准备

10、阶段该阶段的目标是在事件真正发生之前为处理事件做好准备工作。包括4个控制点：1 应急响应需求界定2 服务合同或协议签订3 应急服务方案制定4 人员和工具准备准备阶段该阶段的目标是在事件真正发生之前为处理事件做好准备工检测阶段该阶段的目标是对信息安全事件做出初步的动作和响应，根据获得的初步材料和分析结果，预估事件的范围和影响程度，制定进一步的响应策略，并且保留相关证据。包括3个控制点：1 检测对象及范围确定2 检测方案确定3 检测实施检测阶段该阶段的目标是对信息安全事件做出初步的动作和响应，根抑制阶段该阶段的目标是限制攻击的范围，抑制潜在的或进一步的攻击和破坏。包括3个控制点：1 抑制方法确定2

11、 抑制方法认可3 抑制实施抑制阶段该阶段的目标是限制攻击的范围，抑制潜在的或进一步的攻根除阶段该阶段的目标是在事件被抑制之后，通过对有关恶意代码或行为的分析结果，找出导致网络安全事件发生的根源，并予以彻底消除。包括3个控制点：1 根除方法确定2 根除方法认可3 根除实施根除阶段该阶段的目标是在事件被抑制之后，通过对有关恶意代码或恢复阶段该阶段的目标是将信息安全事件所涉及的系统还原到正常状态。包括2个控制点：1 恢复方法确定2 恢复系统恢复阶段该阶段的目标是将信息安全事件所涉及的系统还原到正常状总结阶段该阶段的目标是回顾信息安全事件处理的全过程，整理与事件相关的各种信息，并尽可能地把所有情况记录

12、到文档中。包括2个控制点1 总结2 报告总结阶段该阶段的目标是回顾信息安全事件处理的全过程，整理与事四、信息系统灾难恢复GB/T 209882007 信息安全技术 信息系统灾难恢复规范灾难恢复的工作范围 信息系统的灾难恢复工作，包括灾难恢复规划和灾难备份中心的日常运行、关键业务功能在灾难备份中心的恢复和重续运行，以及主系统的灾后重建和回退工作，还涉及突发事件发生后的应急响应。 其中，灾难恢复规划是一个周而复始、持续改进的过程，包含以下几个阶段： 灾难恢复需求的确定； 灾难恢复策略的制定； 灾难恢复策略的实现； 灾难恢复预案的制定、落实和管理。 四、信息系统灾难恢复GB/T 209882007

13、信息安灾难恢复的组织机构 信息系统的使用或管理组织（以下简称“组织”）应结合其日常组织机构建立灾难恢复的组织机构，并明确其职责。其中一些人可负责两种或多种职责，一些职位可由多人担任（灾难恢复预案中应明确他们的替代顺序）。灾难恢复的组织机构由管理、业务、技术和行政后勤等人员组成，一般可设为灾难恢复领导小组、灾难恢复规划实施组和灾难恢复日常运行组。 组织可聘请具有相应资质的外部专家协助灾难恢复实施工作，也可委托具有相应资质的外部机构承担实施组以及日常运行组的部分或全部工作。 灾难恢复的组织机构 信息系统的使用或管理组织（以下简称“组织灾难恢复需求的确定 1风险分析 标识信息系统的资产价值，识别信息

14、系统面临的自然的和人为的威胁，识别信息系统的脆弱性，分析各种威胁发生的可能性并定量或定性描述可能造成的损失，识别现有的风险防范和控制措施。通过技术和管理手段，防范或控制信息系统的风险。依据防范或控制风险的可行性和残余风险的可接受程度，确定对风险的防范和控制措施。2 业务影响分析 分析业务功能和相关资源配置、评估中断影响 3 确定灾难恢复目标 根据风险分析和业务影响分析的结果，确定灾难恢复目标，包括： 关键业务功能及恢复的优先顺序； 灾难恢复时间范围灾难恢复需求的确定 1风险分析 标识信息系统的资产价值，识灾难恢复策略的制定 灾难恢复策略制定的要素 数据备份系统 备用数据处理系统 备用网络系统

15、备用基础设施 专业技术支持能力 运行维护管理能力 灾难恢复预案。 灾难恢复策略的组成 灾难恢复资源的获取方式； 灾难恢复能力等级，或灾难恢复资源各要素的具体要求。 灾难恢复策略的制定 灾难恢复策略制定的要素 灾难恢复策略的实现 灾难备份系统技术方案的实现 技术方案的设计技术方案的验证、确认和系统开发 系统安装和测试 灾难备份中心的选择和建设 选择或建设灾难备份中心时，应根据风险分析的结果，避免灾难备份中心与主中心同时遭受同类风险。灾难备份中心包括同城和异地两种类型，以规避不同影响范围的灾难风险。 专业技术支持能力的实现 灾难备份中心应建立相应的技术支持组织，定期对技术支持人员进行技能培训。 运行维护管理能力的实现 为了达到灾难恢复目标，灾难备份中心应建立各种操作规程和管理制度灾难恢复策略的实现 灾难备份系统技术方案的实现 灾难恢复预案的实现 灾难恢复预案的制定 原则：完整性、