信息安全事件管理与应急响应

信息安全事件管理与应急响应知识子域：信息安全事件管理与应急响应理解信息安全事件管理和应急响应的基本概念了解我国信息安全事件应急响应工作的进展情况和政策要求掌握信息安全应急响应阶段方法论掌握信息安全应急响应 计划 项目进度计划表范例计划下载计划下载计划下载课程教学计划下载 编制方法掌握应急响应小组的作用和建立方法理解我国信息安全事件分级分类方法了解国际和我国信息安全应急响应组织了解计算机取证的概念和作用了解计算机取证的原则、基本步骤、常用方法和工具2基本概念3安全事件而安全事件则是指影响一个系统正常工作的情况。这里的系统包括主机范畴内的问题，也包括网络范畴内的问题，例如黑客入侵、信息窃取、拒绝服务攻击、网络流量异常等。应急响应（EmergencyResponse）是指组织为了应对突发/重大信息安全事件的发生所做的准备以及在事件发生后所采取的措施。基本概念4应急响应计划（EmergencyResponsePlan）是指在突发/重大信息安全事件后对包括计算机运行在内的业务运行进行维持或恢复的策略和规程。信息安全应急响应计划的制定是一个周而复始、持续改进的过程，包含以下几个阶段：（1）应急响应需求分析和应急响应策略的确定；（2）编制应急响应计划文档；（3）应急响应计划的测试、培训、演练和维护。应急响应与应急响应计划的关系5应急响应计划应急响应政策要求6《关于加强信息安全保障工作的意见》（中办发『2003』27号文）指出：“信息安全保障工作的要点在于，实行信息安全等级保护制度，建设基于密码技术的网络信任体系，建设信息安全监控体系，重视信息安全应急处理工作，推动信息安全技术研发与产业发展，建设信息安全法制与 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 ”国家信息安全战略的近期目标：通过五年的努力，基本建成国家信息安全保障体系。相关标准7GB/T24364-2009《信息安全技术信息安全应急响应计划 规范 编程规范下载gsp规范下载钢格栅规范下载警徽规范下载建设厅规范下载 》GB/T20988-2007《信息安全技术信息系统灾难恢复规范》GB/Z20985-2007《信息技术安全技术信息安全事件管理指南》GB/Z20986-2007《信息安全技术信息安全事件分类分级指南》应急响应六阶段8第一阶段：准备——让我们严阵以待第二阶段：确认——对情况综合判断第三阶段：遏制——制止事态的扩大第四阶段：根除——彻底的补救措施第五阶段：恢复——系统恢复常态第六阶段：跟踪——还会有第二次吗第一阶段—准备9预防为主微观（一般观点）：帮助服务对象建立安全政策帮助服务对象按照安全政策配置安全设备和软件扫描，风险分析，打补丁如有条件且得到许可，建立监控设施宏观：建立协作体系和应急制度建立信息沟通渠道和通报机制如有条件，建立数据汇总分析的体系和能力有关法律法规的制定准备确认遏制根除恢复跟踪第一阶段—准备10制定应急响应计划资源准备应急经费筹集人力资源软硬件设备现场备份业务连续性保障•系统容灾•搭建临时业务系统准备确认遏制根除恢复跟踪第二阶段—确认11确定事件性质和处理人微观（负责具体网络的CERT）：确定事件的责任人指定一个责任人全权处理此事件给予必要的资源确定事件的性质误会？玩笑？还是恶意的攻击/入侵？影响的严重程度预计采用什么样的专用资源来修复？宏观（负责总体网络的CERT）：通过汇总，确定是否发生了全网的大规模事件确定应急等级，以决定启动哪一级应急 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 准备确认遏制根除恢复跟踪第三阶段—遏制12即时采取的行动微观：•防止进一步的损失，确定后果•初步分析，重点是确定适当的封锁方法•咨询安全政策•确定进一步操作的风险•损失最小化（最快最简单的方式恢复系统的基本功能，例如备机启动）•可列出若干选项，讲明各自的风险，由服务对象选择宏观：•确保封锁方法对各网业务影响最小•通过协调争取各网一致行动，实施隔离•汇总数据，估算损失和隔离效果准备确认遏制根除恢复跟踪第四阶段—根除13长期的补救措施微观：•详细分析，确定原因，定义征兆•分析漏洞•加强防范•消除原因•修改安全政策宏观：•加强宣传，公布危害性和解决办法，呼吁用户解决终端的问题；•加强检测工作，发现和清理行业与重点部门的问题；准备确认遏制根除恢复跟踪第五阶段—恢复14微观：被攻击的系统恢复正常的工作状态•作一个新的备份•把所有安全上的变更作备份•服务重新上线•持续监控宏观：•持续汇总分析，了解各网的运行情况•根据各网的运行情况判断隔离措施的有效性•通过汇总分析的结果判断仍然受影响的终端的规模•发现重要用户及时通报解决•适当的时候解除封锁措施准备确认遏制根除恢复跟踪第六阶段—跟踪15关注系统恢复以后的安全状况，特别是曾经出问题的地方建立跟踪文档，规范记录跟踪结果对响应效果给出评估对进入司法程序的事件，进行进一步的调查，打击违法犯罪活动准备确认遏制根除恢复跟踪事件的归档与统计16处理人时间和时段地点工作量事件的类型对事件的处置情况代价细节信息安全应急响应计划编制方法17总则角色及职责预防和预警机制应急响应流程应急响应保障措施附件总则角色及职责预防和预警机制应急响应流程应急响应保障措施附件总则18编制目的编制依据适应范围工作原则总则角色及职责预防和预警机制应急响应流程应急响应保障措施附件角色及职责19应急响应领导小组应急响应技术保障小组应急响应专家小组应急响应实施小组应急响应日常运行小组总则角色及职责预防和预警机制应急响应流程应急响应保障措施附件预防和预警机制20总则角色及职责预防和预警机制应急响应流程应急响应保障措施附件早发现早 报告 软件系统测试报告下载sgs报告如何下载关于路面塌陷情况报告535n,sgs报告怎么下载竣工报告下载 早处置监测预测预警应急响应流程21总则角色及职责预防和预警机制应急响应流程应急响应保障措施附件信息安全事件信息安全事件通告应急启动应急处置后期处置信息系统重建应急响应总结信息安全事件评估事件分类事件定级信息通报信息批露信息上报恢复顺序恢复规程应急响应流程—呼叫树22总则角色及职责预防和预警机制应急响应流程应急响应保障措施附件应急响应领导小组组长应急响应领导小组副组长应急响应技术保障小组组长应急响应日常运行小组组长应急响应实施小组组长应急响应专家小组长成员一成员二应急响应技术保障小组副组长成员一成员二成员一成员二应急响应日常运行小组副组长成员一成员二应急响应专家小组副组长应急响应实施小组副组长成员一成员二...............应急响应保障措施23总则角色及职责预防和预警机制应急响应流程应急响应保障措施附件人力保障•管理人力•技术人力物质保障•财力•交通运输•通信技术保障•应急响应技术支持•事件监控与预警•应急技术储备应急响应保障措施附件24具体的组织体系结构及人员职责应急响应计划各小组成员的联络信息供应商联络信息，包括离站存储和备用站点的外部联系点系统恢复或处理的标准操作规程和检查列表支持系统运行所需的硬件、软件、固件和其它资源的设备和系统需求清单供应商服务水平协议（SLA）、与其它机构的互惠协议和其它关键记录备用站点的描述和说明在计划制定前进行的BIA，包含关于系统各部分相互关系、风险、优先级别等应急响应计划文档的保存和分发方法总则角色及职责预防和预警机制应急响应流程应急响应保障措施附件应急响应工作机构图25应急响应领导小组应急响应日常运行小组应急响应技术保障小组应急响应实施小组外部组织或机构实施应急响应计划上级有关单位或部门组织外信息通报应急响应专家小组信息反馈信息上报提供建议支持协助应急提供建议咨询协助应急职责示例26应急响应领导小组：应急响应领导小组是信息安全应急响应工作的组织领导机构，组长应由组织最高管理层成员担任。领导小组的职责是领导和决策信息安全应急响应的重大事宜，主要如下：（1）对应急响应工作的承诺和支持，包括发布正式文件、提供必要资源（人财物）等；（2）审核并批准应急响应策略；（3）审核并批准应急响应计划；（4）批准和监督应急响应计划的执行；（5)启动定期评审、修订应急响应计划；（6）负责组织的外部协作工作。我国信息安全事件分类方法27GB/Z20986-2007《信息安全事件分级分类指南》有害程序事件网络攻击事件信息破坏事件信息内容安全事件设备设施故障、灾害性事件其他信息安全事件我国信息安全事件分级方法28分级要素系统损失社会影响信息系统的重要程度我国信息安全事件分级方法29特别重大事件是指能够导致特别严重影响或破坏的信息安全事件，包括以下情况：•会使特别重要信息系统遭受特别严重的系统损失•产生特别重大的社会影响重大事件是指能够导致严重影响或破坏的信息安全事件，包括以下情况：•会使特别重要信息系统遭受严重的系统损失、或使重要信息系统遭受特别严重的系统损失•产生重大的社会影响较大事件是指能够导致严重影响或破坏的信息安全事件，包括以下情况：•会使特别重要信息系统遭受较大的系统损失、或使重要信息系统遭受严重的系统损失，一般信息系统遭受特别严重的系统损失•产生较大的社会影响一般事件是指不满足以上条件的信息安全事件，包括以下情况：•会使特别重要信息系统遭受较小的系统损失、或使重要信息系统遭受较大的系统损失，一般信息系统遭受严重或严重以下级别的系统损失•产生一般的社会影响特别重大事件重大事件较大事件一般事件国际信息安全应急响应组织30美国计算机紧急事件响应小组协调中心（ComputerEmergencyResponseTeam/CoordinationCenter,CERT/CC）事件响应与安全组织论坛（ForumofIncidentResponseandSecurityTeams,FIRST）亚太地区计算机应急响应组（AsiaPacificComputerEmergencyResponseTeam,APCERT）欧洲计算机网络研究教育协会（Trans-EuropeanResearchandEducationNetworkingAssociation,TERENA)我国信息安全应急响应组织31国家计算机网络应急技术处理协调中心（NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina,CNCERT/CC）中国教育和科研计算机网紧急响应组(ChinaEducationandResearchNetworkComputerEmergencyResponseTeam,CCERT)国家计算机病毒应急处理中心国家计算机网络入侵防范中心国家863计划反计算机入侵和防病毒研究中心计算机取证计算机取证概念计算机取证遵循原则计算机取证步骤计算机取证技术和工具32计算机取证的概念什么是计算机取证计算机取证是使用先进的技术和工具，按照标准规程全面地检查计算机系统，以提取和保护有关计算机犯罪的相关证据，计算机取证提取和保护的是电子证据，相关工作主要围绕两个方面进行：证据的获取和证据的分析。为什么需要取证通过证据查找肇事者通过证据推断犯罪过程通过证据判断受害者损失程度收集证据提供法律支持33计算机取证的原则合法原则取证必须符合相关法律法规充分授权原则取证必须得到充分授权优先保护证据原则取证可能导致证据破坏，必须优先考虑保护证据全程监督原则整个取证过程应全程第三方监督34计算机取证的步骤35准备保护提取分析提交计算机取证-准备获取授权取证工作获得明确的授权（授权书）目标明确对取证的目的有清晰的认识工具准备对取证环境的了解及需要准备的工具软件准备对取证的软件进行过有效的验证介质准备确保有符合要求的干净的介质可用于取证36计算机取证-保护保证数据安全性制作磁盘映像-不在原始磁盘上操作保证数据完整性取证中不使用可能破坏完整性的操作第三方监督所有操作都有第三方在场监督37计算机取证-提取38优先分析易消失的证据内存信息、系统进程、网络连接信息、路由信息、临时文件、缓存文件系统数据恢复、隐藏文件、加密文件、系统日志应用系统系统日志计算机取证-分析及提交证据在什么地方？日志、删除的文件、临时文件、缓存从证据中能发现什么？如何关联证据？电子取证提交必须与现实取证结合，文档化很重要39计算机取证工具开放源代码软件Coroners工具包，它是计算机犯罪取证检查的一些工具软件的集合。商业软件取证软件Encase——基于Windows平台，提供从数据发现到分析到生成报表的全面的解决方案；AccessData，用于获取口令的软件；以及ThumbsPlus，Snapback…NetThreatAnalyzer：NTI公司的软件系统40谢谢，请提问题！