什麼是應急響應和應急響應體系

基本概念

安全事件（Security Accident） 是指影響一個系統正常工做的狀況。這裏的系統包括主機範疇內的問題，也包括網絡範疇內的問題，例如黑客入侵、信息竊取、拒絕服務攻擊、網絡流量異常等。

應急響應（Emergency Response） 是指組織爲了應對突發/重大信息安全事件的發生所作的準備以及在事件發生後所採起的措施。 應急響應是信息安全防禦的最後一道防線！

應急響應體系（Emergency Response System） 是指在突發/重大信息安全事件後對包括計算機運行在內的業務運行進行維持或恢復的各類技術和管理策略和規程。

信息安全應急響應體系的制定是一個周而復始、持續改進的過程，包含如下幾個階段：

• 應急響應需求分析和應急響應策略的肯定；
• 編制應急響應計劃文檔和技術管理規範；
• 應急響應計劃的測試、培訓、演練和維護。

---

應急響應目的

應急響應服務的目的是儘量地減少和控制住網絡安全事件的損失，提供有效的響應和恢復指導，並努力防止安全事件的發生。

政策要求

• 《關於增強信息安全保障工做的意見》（中辦發『2003』27號文）指出：「信息安全保障工做的要點在於，實行信息安全等級保護制度，建設基於密碼技術的網絡信任體系，建設信息安全監控體系，重視信息安全應急處理工做，推進信息安全技術研發與產業發展，建設信息安全法制與標準」

• 國家信息安全戰略的近期目標：經過五年的努力，基本建成國家信息安全保障體系。

• 爲了落實27號文精神國家網絡與信息安全協調小組辦公室於2003年10月發佈了《網絡與信息安全信息通報暫行辦法》、2004年9月發佈了

• 《關於作好重要信息系統災難備份工做的通知》，2004年8月發佈了《關於創建健全基礎信息網絡和重要信息系統應急協調機制的意見》等文件。這些文件對推進災難備份和應急響應的發展起到了重要做用。

相關標準

• GB/T 24364-2009 《信息安全技術 信息安全應急響應計劃規範》
• GB/T 20988-2007 《信息安全技術 信息系統應急響應規範》
• GB/Z 20985-2007 《信息技術 安全技術 信息安全事件管理指南》
• GB/Z 20986-2007 《信息安全技術 信息安全事件分類分級指南》

---

應急響應六階段

第一階段：準備——讓咱們嚴陣以待

• 預防爲主

• 微觀（通常觀點）：

  • 幫助服務對象創建安全政策
  • 幫助服務對象按照安全政策配置安全設備和軟件 掃描，風險分析，打補丁 若有條件且獲得許可，創建監控設施

• 宏觀：

  • 創建協做體系和應急制度
  • 創建信息溝通渠道和通報機制
    • 電話、即時通信、email
  • 若有條件，創建數據彙總分析的體系和能力 有關法律法規的制定

• 制定應急響應計劃

• 資源準備
  • 應急經費籌集
  • 人力資源
    • 指揮調度人員
    • 協做人員
    • 技術人員
    • 專家
    • 設備、系統和服務提供商
  • 硬件設備準備
    • 數據保護設備（磁盤、SAN）
    • 冗餘設備 （網絡鏈路、網絡設備、關鍵計算機設備
  • 軟件工具準備
    • 備份軟件
    • 日誌處理軟件
    • 系統軟件
    • 應急啓動盤
    • 病毒、惡意軟件查殺軟件
    • 等等
  • 現場備份
  • 業務連續性保障
    • 系統容災
    • 搭建臨時業務系統

第二階段：確認——對狀況綜合判斷

• 肯定事件性質和處理人
• 微觀（負責具體網絡的CERT）：
  • 肯定事件的責任人：指定一個責任人全權處理，事件，給予必要的資源
  • 肯定事件的性質： 誤會？玩笑？仍是惡意的攻擊/入侵？ 影響的嚴重程度， 預計採用什麼樣的專用資源來修復？

• 宏觀（負責整體網絡的CERT）：

  • 經過彙總，肯定是否發生了全網的大規模事件
  • 肯定應急等級，以決定啓動哪一級應急方案

• 事故的標誌（徵兆和預兆）

  • Web服務器崩潰
  • 用戶抱怨主機鏈接網絡速度過慢
  • 子郵件管理員能夠看到大批的反彈電子郵件與可疑內容
  • 網絡管理員通告了一個不尋常的偏離典型的網絡流量流向

• 來源

  • 網絡和主機IDS 、防病毒軟件、文件完整性檢查軟件
  • 系統、網絡、蜜罐日誌
  • 公開可利用的信息
  • 第三方監視服務

• 確認事故

  • 確認網絡和系統輪廓： 分析事故的最好技術方法之一
  • 理解正常的行爲： 基於處理事故的良好準備
  • 使用集中的日誌管理並建立日誌保留策略
  • 執行事件關聯
  • 保持全部主機時鐘同步
  • 維護和使用信息知識庫： 分析事故時的快速參考
  • 使用互聯網搜索引擎進行研究
  • 運行包嗅探器以蒐集更多的數據
  • 過濾數據
  • 經驗是不可替代的
  • 創建診斷矩陣
  • 尋求幫助

診斷矩陣實例

 

 

徵兆	拒絕服務	惡意代碼	非受權訪問	不正確使用
文件，關鍵，訪問嘗試	低	中	高	低
文件，不適當的內容	低	中	低	高
主機崩潰	中	中	中	低
端口掃碼，輸入的， 不正常的	高	低	中	低
端口掃碼，輸出的， 不正常的	低	高	中	低
利用帶寬高	高	中	低	中
利用電子郵件	中	高	中	中

• 事故優先級- 服務水平協議
  • 服務水平協議（SLA ）：

定義服務目標及雙方的預期及責任 - 服務水平協議指標 - 遠程應急響應服務 在確認客戶的應急響應請求後? 小時內，交與相關應急響應人員進行處理。不管是否解決，進行處理的當天必須返回響應狀況的簡報，直到這次響應服務結束。 - 本地應急響應服務 對本地範圍內的客戶，？小時內到達現場；對異地的客戶，？小時加路途時間內到達現場。

應急響應 SLA矩陣

事故當前或未來可 能的影響	高（例如：互聯網 鏈接，公共Web服 務器，防火牆，客 戶數據）	中（例如：系統管 理員工做站，文件和 打印服務器，XYZ  應用數據）	低（例如：用戶工 做站）
ROOT級訪問	15min	30min	1h
非受權的數據修改	15min	30min	2h
對敏感信息的非 受權訪問	15min	1h	1h
非受權的用戶級訪問	30min	2h	4h
服務不可用	30min	2h	4h
騷擾	30min	不限	不限

第三階段：遏制——制止事態的擴大

• 即時採起的行動
• 微觀：
  • 防止進一步的損失，肯定後果
  • 初步分析，重點是肯定適當的封鎖方法
  • 諮詢安全政策
  • 肯定進一步操做的風險
  • 損失最小化（最快最簡單的方式恢復系統的基本功能，例如備機啓動）
  • 可列出若干選項，講明各自的風險，由服務對象選擇

• 宏觀：

  • 確保封鎖方法對各網業務影響最小
  • 經過協調爭取各網一致行動，實施隔離
  • 彙總數據，估算損失和隔離效果

• 建議組織機構爲幾類主要的事故創建單獨的遏制策略，其標準包括：

  • 潛在的破壞和資源的竊取
  • 證據保留的須要
  • 服務可用性（例如：網絡鏈接，提供給外部當事方的服務）
  • 實施戰略須要的時間和資源
  • 戰略的有效性（例如：部分遏制事故，徹底遏制事故）
  • 解決方案的期限（例如：緊急事故工做區需在4 小時內清除，臨時工做區需在兩週內清除，永久的解決方案）。

第四階段：根除——完全的補救措施

• 長期的補救措施
• 微觀：
  • 詳細分析，肯定緣由，定義徵兆
  • 分析漏洞
  • 增強防範
  • 消除緣由
  • 修改安全政策
• 宏觀：
  • 增強宣傳，公佈危害性和解決辦法，呼籲用戶解決終端的問題；
  • 增強檢測工做，發現和清理行業與重點部門的問題

第五階段：恢復——系統恢復常態

• 微觀：
  • 被攻擊的系統恢復正常的工做狀態
  • 做一個新的備份
  • 把全部安全上的變動做備份
  • 服務從新上線
  • 持續監控
• 宏觀：
  • 持續彙總分析，瞭解各網的運行狀況
  • 根據各網的運行狀況判斷隔離措施的有效性
  • 經過彙總分析的結果判斷仍然受影響的終端的規模
  • 發現重要用戶及時通報解決
  • 適當的時候解除封鎖措施

第六階段：跟蹤——還會有第二次嗎

• 關注系統恢復之後的安全情況，特別是曾經出問題的地方
• 創建跟蹤文檔，規範記錄跟蹤結果
• 對響應效果給出評估
• 對進入司法程序的事件，進行進一步的調查，打擊違法犯罪活動
• 事件的歸檔與統計
  • 處理人
  • 時間和時段
  • 地點
  • 工做量
  • 事件的類型
  • 對事件的處置狀況
  • 代價
  • 細節

---

應急預案的編制和管理

---

應急響應預案的制定

• 制定應急響應預案的原則

  • 首先，必須集中管理應急響應預案的版本和發佈。
  • 其次，爲了創建有效的版本控制體系，必須創建規範的應急響應預案的問題提交、解決、更新、跟蹤、發佈的渠道和流程。
  • 第三，創建相關的保密管理規定，保證應急響應預案中涉及的祕密信息獲得保護。
  • 第四，應急響應預案在內容管理方面應注意內容的分佈和粒度，可根據版本和內容的更新頻度將應急響應的內容進行適當的分佈。
  • 第五，創建合理的應急響應預案的保管制度，強調存放的安全性和易取得性。

• 成功預案的特色

  • 清楚、簡潔
  • 高級管理層支持/組織承諾
  • 不斷改進和更新的恢復策略
  • 及時的更新維護
  • 組織職責分工明確
  • 保留、備份和異地存儲計劃
  • 完整記錄並按期演練
  • 風險獲得管理
  • 弱點獲得優先重視
  • 靈活、可適應

---

應急響應預案的教育、培訓和演練

• 在災難來臨前使相關人員瞭解熟悉恢復流程
• 使應急響應預案獲得理解並可使用
• 促進應急響應預案活動、更新、實用
• 展現恢復的能力
• 達到法律和內部審計要求

---

演練與演習的類型

• 演練和演習的主要方式有：
  • 桌面演練；
  • 模擬演練；
  • 實戰演練等
• 根據演練和演習的深度，可分爲：
  • 系統級演練；
  • 應用級演練；
  • 業務級演練等
• 根據演練和演習的準備狀況，可分爲：
  • 計劃內的演練和演習；
  • 計劃外的演練和演習等

---

預案維護管理

• 覈對預案的功能性
• 驗證預案文檔的精確性和完整性
• 分發更新的文檔
  • 文檔計劃分發和發佈流程
  • 確保相關的團隊收到更新的文檔
• 依靠維護來改變管理流程
• 提供培訓做爲持續維護預案的一部分
  • 爲與應急響應的相關人員開展按期培訓，如：複習進修課程或災難備份研討會
  • 指派培訓責任，如：部門經理要確保員工被送去參加培訓
• 完成時報告預案維護狀況
• 毀掉舊應急響應預案的複印件或電子版本

---

預案變動管理

• 業務操做的增加或變化
  • 如：新的分支、產品和業務功能的增長
• 公司全部權的變化
• 關鍵人員的變化
• 硬件配置的變化
• 使用新操做系統
• 預案審覈和演練後
• 軟件/應用軟件的變化
• 新的法律或審計要求
• 按期審覈和更新——如：每一年兩次
• 《應急預案管理制度》
• 應急預案變動記錄

---

應急響應體系創建流程

信息安全應急響應計劃編制方法

總則

• 編制目的
• 編制依據
• 適應範圍
• 工做原則

角色及職責

• 應急響應領導小組
• 應急響應技術保障小組
• 應急響應專家小組
• 應急響應實施小組
• 應急響應平常運行小組

預防和預警機制

檢測、 預測、 預警，作到 早發現、早報告、早處置

應急響應流程

• 事件通告
• 信息通報

信息通報分爲組織內信息通報和組織外信息通報兩部分。組織內信息通報的目的是在信息安全事件發生後迅速通知應急響應平常運行小組，並根據評估結果迅速通知全部相關人員，從而快速有序的實施應急響應計劃。組織外信息通報目的是將相關信息及時通報給受到負面影響的外部機構、互聯的單位系統以及重要用戶，同時根據應急響應的須要，應將相關信息準確通報給相關設備設施及服務提供商（包括電信、電力等）等外部組織，以得到適當的應急響應支持。值得注意的是對外信息通報應符合組織的對外信息發佈策略。

1. 信息上報

信息安全事件發生後，應按照相關規定和要求，及時將狀況上報相關主管或監管單位/部門。

1. 信息披露

信息發佈的目的是避免信息安全事件影響被誤傳，同時規範組織內人員信息披露，保證信息的一致性。所以，信息安全事件發生後，應根據信息安全事件的嚴重程度，指定特定的小組及時向新聞媒體發佈相關信息，而且指定的小組應嚴格按照組織相關規定和要求對外發布信息，同時組織內其它部門或者我的不得隨意接受新聞媒體採訪或對外發表本身的見解。

• 應急響應流程-呼叫樹

---

小組名稱	姓名	在小組中職位	聯絡信息
			工做電話	家庭電話	手機	電子郵件	家庭住址

---

• 信息上報

---

 

重大信息安全事件報告表
報告時間： x 年x 月x 日x 時x 分
單位名稱：	報告人：
聯繫電話：	通信地址：
傳真：	電子郵件：
發生重大信息安全事件的信息系統名稱及用途：
負責部門：	負責人：
重大信息安全事件的簡要描述（如之前出現過相似狀況也應加以說明）：
初步斷定的事故緣由：
當前採起的措施：
本次重大信息安全事件的初步影響情況：
影響範圍：	嚴重程度：
值班電話：	傳真：

 

---

• 事件分類與定級

要肯定信息安全事件後如何實施應急響應計劃，對系統損害性質和程度的評估是很是重要的。這個損害評估應該在可以確保人員安全這個最優先任務的前提下儘快完成。因此，若是可能，應急響應平常運行小組是第一個獲得事件通知的小組。損害評估規程對於不一樣的系統是不一樣的，可是應該涉及到如下領域： 1. 形成緊急狀況或中斷的緣由； 1. 潛在的附加中斷或損失； 1. 受到緊急狀況影響的區域； 1. 物理構架（如計算機室結構的完整性、電源、電信以及制熱、通風和空調的狀況）的情況； 1. 系統設備的總量和功能狀態（如具有完整功能、具有部分功能或喪失功能）； 1. 系統設備及其存貨的損失類型（如水害、水災或熱能、物理以及電涌影響）； 1. 被更換的項目（如硬件、軟件、固件或支持材料）； 1. 估計恢復正常服務所需的時間。

• 我國信息安全事件分類方法

GB/Z 20986-2007《信息安全事件分級分類指南》 - 有害程序事件MI - 網絡攻擊事件NAI - 信息破壞事件IDI - 信息內容安全事件ICSI - 設備設施故障FF - 災害性事件DI - 其餘信息安全事件OI - 分級要素 - 系統損失 - 信息系統重要程度 - 社會影響

特別重大事件(I級）

特別重大事件是指可以致使特別嚴重影響或破壞的信息安全事件，包括如下狀況：  - 會使特別重要信息系統遭受特別嚴重的系統損失   - 產生特別重大的社會影響 

重大事件(II級）

重大事件是指可以致使嚴重影響或破壞的信息安全事件，包括如下狀況：  - 會使特別重要信息系統遭受嚴重的系統損失、或使重要信息系統遭受特別嚴重- 的系統損失 - 產生重大的社會影響

較大事件(III級）

較大事件是指可以致使嚴重影響或破壞的信息安全事件，包括如下狀況： - 會使特別重要信息系統遭受較大的系統損失、或使重要信息系統遭受嚴重的系統損失，通常信息系統遭受特別嚴重的系統損失 - 產生較大的社會影響

通常事件(IV級）

通常事件是指不知足以上條件的信息安全事件，包括如下狀況：  - 會使特別重要信息系統遭受較小的系統損失、或使重要信息系統遭受較大的系統損失，通常信息系統遭受嚴重或嚴重如下級別的系統損失 - 產生通常的社會影響

應急啓動

• 啓動原則——快速、有序；
• 啓動依據——通常而言，對於致使業務中斷、系統宕機、網絡癱瘓等突發/重大信息安全事件應當即啓動應急。但因爲組織規模、構成、性質等的不一樣，不一樣組織對突發/重大信息安全事件的定義可能不同，所以，各組織的應急啓動條件可能各不相同。啓動條件能夠基於如下方面考慮：人員的安全和/或設施損失的程度；系統損失的程度（如物理的、運做的或成本的）；系統對於組織使命的影響程度（如保護資產的關鍵基礎設施）；預期的中斷持續時間等。只有當損害評估的結果顯示一個或多個系統啓動條件被知足時，應急響應計劃才應被啓動。
• 啓動方法——由應急響應領導小組發佈應急響應啓動令。

應急處置

• 恢復順序
  當恢復複雜系統時，恢復進程應該反映出BIA中肯定的系統優先順序。恢復的順序應該反映出系統容許的中斷時間，以免對相關係統及其應用的重大影響。
• 恢復規程
  爲了進行恢復操做，應急響應計劃應提供恢復業務能力的詳細規程。規程應被設定給適當的恢復小組而且一般涉及到如下行動：
  1. 得到訪問受損設施和／或地理區域的受權；
  2. 通知相關係統的內部和外部業務夥伴；
  3. 得到所需的辦公用品和工做空間；
  4. 得到安裝所需的硬件部件；
  5. 得到裝載備份介質；
  6. 恢復關鍵操做系統和應用軟件；
  7. 恢復系統數據；
  8. 成功運行備用設備。

後期處置

• 信息系統重建
  在應急處置工做結束後，要迅速採起措施，抓緊組織搶修受損的基礎設施，減小損失，儘快恢復正常工做。 經過統計各類數據，查明緣由，對信息安全事件形成的損失和影響以及恢復重建能力進行分析評估，認真制定恢復重建計劃，迅速組織實施信息系統重建。
• 應急響應總結
  應急響應總結是應急處置以後應進行的工做，具體工做包括：
  1. 分析和總結事件發生緣由；
  2. 分析和總結事件現象；
  3. 評估系統的損害程度；
  4. 評估事件致使的損失；
  5. 分析和總結應急處置記錄；
  6. 評審應急響應措施的效果和效率，並提出改進建議；
  7. 評審應急響應計劃的效果和效率，並提出改進建議。

信息安全事件應急響應總結模板

 

信息安全事件應急響應結果報告表
原事件報告時間： x 年x 月x 日x 時x 分
備案編號： x 年x 月x 日x 第 x 號
單位名稱：	報告人：
聯繫電話：	通信地址：
信息系統名稱及用途：
已採用的安全措施：
信息安全事件的補充描述及最後斷定的事故緣由：
本次信息安全事件的初步影響情況：
過後結果：	影響範圍：
嚴重程度：
本次信息安全事件的主要處理過程及結果：
針對此類信息安全事件應採起的保障信息系統安全的措施和建議：
報告人簽名：

 

---

應急響應保障措施

• 人力保障

  • 管理人力
  • 技術人力

• 物質保障

  • 財力
  • 交通運輸
  • 通訊

• 技術保障

  • 應急響應技術支持
  • 事件監控與預警
  • 應急技術儲備

附件

• 具體的組織體系結構及人員職責
• 應急響應計劃各小組成員的聯絡信息
• 供應商聯絡信息，包括離站存儲和備用站點的外部聯繫點
• 系統恢復或處理的標準操做規程和檢查列表
• 支持系統運行所需的硬件、軟件、固件和其它資源的設備和系統需求清單
• 供應商服務水平協議（SLA）、與其它機構的互惠協議和其它關鍵記錄
• 備用站點的描述和說明
• 在計劃制定前進行的BIA，包含關於系統各部分相互關係、風險、優先級別等
• 應急響應計劃文檔的保存和分發方法

應急響應工做機構圖

職責示例

應急響應領導小組：<b1. 應急響應領導小組是信息安全應急響應工做的組織領導機構，組長應由組織最高管理層成員擔任。領導小組的職責是領導和決策信息安全應急響應的重大事宜，主要以下： 1. 對應急響應工做的承諾和支持，包括髮布正式文件、提供必要資源（人財物）等； 1. 審覈並批准應急響應策略； 1. 審覈並批准應急響應計劃； 1. 批准和監督應急響應計劃的執行； （1. 啓動按期評審、修訂應急響應計劃； 1. 負責組織的外部協做工做。

應急響應組（IRT ）

• 什麼是應急響應組（IRT ）
  • 應急響應組就是機構能夠藉助的網絡安全專業組織。
• 爲何須要成立應急響應組
  • 容易協調響應工做
  • 提升專業知識
  • 提升效率
  • 提升先期主動防護能力
  • 更加適合於知足機構的須要
  • 提升聯絡功能
  • 提升處理制度障礙方面的能力

從應急組織到應急體系：信息安全保障的必要條件

• 現實代表，單一的應急組織已經不能應對當今的網絡安全威脅，我國的應急體系正是在實際工做的經驗總結中逐漸造成的：平臺從點到環到面；應急體系從點到樹到網
• 「現實世界中發生的任何事情，在網絡世界中均可以找到與之對 應的事件」
• SARS 事件反映出社會防疫應急體系的重要
• 紅色代碼、尼姆達、SQL 殺手、口令蠕蟲等具備和現實世界中的疫病相同的特色
• 處理方式也具備一樣的特色：隔離--- 分析--- 治療
• 不一樣之處：「病人」不自知；隔離缺少法律依據或技術手段；應
• 急缺少成熟體系和工做制度…. .

國際信息安全應急響應組織

• 美國計算機緊急事件響應小組協調中心 （Computer Emergency Response Team/Coordination Center, CERT/CC）
• 事件響應與安全組織論壇（Forum of Incident Response and Security Teams, FIRST）  
• 亞太地區計算機應急響應組（Asia Pacific Computer Emergency Response Team, APCERT） 
• 歐洲計算機網絡研究教育協會（Trans-European Research and Education Networking Association, TERENA) 
• 國家計算機網絡應急技術處理協調中心 （National Computer network Emergency Response technical Team/Coordination Center of China, CNCERT/CC）
• 中國教育和科研計算機網緊急響應組(China Education and Research Network Computer Emergency Response Team, CCERT)   
• 國家計算機病毒應急處理中心 
• 國家計算機網絡入侵防範中心
• 國家863計劃反計算機入侵和防病毒研究中心

信息系統應急計劃通常過程

• 美國SP800-34 信息技術系統應急計劃/預案指南：七步走
  • 第一步：制定應急計劃/預案策略條款
  • 第二步：進行業務影響分析
  • 第三步：肯定防護性控制
  • 第四步：制定恢復策略
  • 第五步：IT應急計劃/預案的制定
  • 第六步：計劃/預案的測試、培訓和演習
  • 第七步：計劃/預案的維護