应急响应处置管理主讲教师课件.ppt

信 息 安 全 管 理,Information security management,授课内容：应急响应处置管理 主讲教师：夏莹杰,本节内容,2001年8月10日，XX证券信息中心网络传输速度突然缓慢，严重影响证券业务运作。40分钟后，三名应急技术人员到达中心机房。通过检查入侵检测系统的日志和使用网络监听设备监听网络流量，发现机房中一台清算业务的服务器网络连接异常，经过检查发现其遭受“红色代码”蠕虫的攻击。证券信息中心迅速做出反应，通过电话、Email等方式，将公司发布的关于防范“红色代码”蠕虫的公告发布给各个营业部，并限定了问题处理期限。,应急响应案例,第十章 应急响应处置管理,计算机安全事件逐年上升，特别是近年来随着网络在社会生活中的广泛应用，安全事件给社会所造成的损失越来越大，如何应对信息安全突发事件已成为信息安全领域的研究热点之一。,第十章 应急响应处置管理,第十章 应急响应处置管理,1、应急响应概述,应急响应（Emergency Response）通常是指人们为了应对各种紧急事件的发生所做的准备以及在事件发生后所采取的措施。,第十章 应急响应处置管理,1、应急响应概述,应急响应的处置对象,紧急事件,破坏机密性的安全事件破坏完整性的安全事件破坏可用性的安全事件,第十章 应急响应处置管理,1、应急响应概述,第十章 应急响应处置管理,1、应急响应概述,事先 做什么准备？,事后 采取什么措施？,第十章 应急响应处置管理,1、应急响应概述,图8.1 P-RPDR安全模型,第十章 应急响应处置管理,1、应急响应概述,应急响应的必要性,理论上我们无法保证系统绝对安全；,尽管人们对信息安全的关注与投资与日俱增，但是安全事件的数量和影响并没有因此而减少。,越来越多的组织在遭受攻击后，希望通过法律手段追查肇事者，就需要出示收集到的数据作为证据，而计算机取证是应急响应的一个重要环节。,2、应急响应组织,第十章 应急响应处置管理,1988年11月，国际上第一个应急响应组织 计算机应急响应协调中心CERT/CC（Computer Emergency Response Team/Coordination Center）；,美国联邦FedCIRC、澳大利亚的AusCERT、德国的DFN-CERT、日本的JPCERT/CC，以及亚太地区的APCERTF（Asia Pacific Computer Emergency ResPonse Task Force）和欧洲的EuroCERT。,2002年9月中国国家计算机网络应急技术处理协调中心（CNCERT/CC）成立。,2、应急响应组织,第十章 应急响应处置管理,国内或国际间的应急响应协调组织,企业或政府组织的应急响应组织,计算机软件厂商提供的应急响应组织,商业化的应急响应组织,2、应急响应组织,第十章 应急响应处置管理,应急响应组织模式,2、应急响应组织,第十章 应急响应处置管理,美国计算机应急响应协调中心（CERT/CC）,2、应急响应组织,第十章 应急响应处置管理,中国教育和科研计算机网应急响应组（CCERT）,CCERT首要的服务对象是中国教育和科研计算机网络（CERNET）本身，确保CERNET网络的安全可靠运行。,CCERT其次的服务对象是CERNET内部的会员单位。,CCERT对其他用户提供力所能及的安全服务。,2、应急响应组织,第八章 应急响应处置管理,国家计算机网络应急处理协调中心（CNCERT/CC）,3、应急响应体系,第十章 应急响应处置管理,3.1 应急响应应保证的各项指标,响应能力：确保安全事件和安全问题能被及时地发现并向相应的负责人报告。决断能力：判断是否是本地安全问题抑或构成一个安全事件。行动能力：在发生安全事件时根据一个提示就能采取必要的措施。减少损失：能够立即通知组织内其他可能受影响的部门。效率：实践和监控处理安全事件的能力。,3、应急响应体系,第十章 应急响应处置管理,3.2 应急响应体系的建立,确定应急响应角色的责任,（1）用户,（2）安全管理员,（3）安全员/安全管理层,（4）安全审计员,（5）公共关系/信息发布部门,（6）代理/公司管理层,3、应急响应体系,第十章 应急响应处置管理,3.2 应急响应体系的建立,制定紧急事件提交策略,提交渠道的规定,提交的策略对象,提交方式,3、应急响应体系,第十章 应急响应处置管理,3.2 应急响应体系的建立,规定应急响应优先级,哪类损失和组织相关在每个类别中，按什么顺序修补损失,3、应急响应体系,第十章 应急响应处置管理,3.2 应急响应体系的建立,安全应急的调查与评估,弄清楚信息系统结构和网络情况弄清楚信息系统的联系人和用户弄清楚信息系统上的应用定义信息系统的保护要求,3、应急响应体系,第十章 应急响应处置管理,3.2 应急响应体系的建立,选择应急响应相关补救措施,提供必要的专业知识,安全恢复的运作,事件归档,对攻击行为的反应,3、应急响应体系,第十章 应急响应处置管理,3.2 应急响应体系的建立,确定应急紧急通知机制,当发生安全事件时，必须通知所有受影响的外部和内部各方，为那些受到安全事件直接影响的部门和机构采取对策提供方便。通知机制对处理安全事件相关信息各方的协助预防或解决问题尤为重要。,3、应急响应体系,第十章 应急响应处置管理,3.3 应急响应处置流程,准备检测抑制根除恢复报告与总结,4、应急响应关键技术,第十章 应急响应处置管理,4.1 系统备份与灾难恢复技术,系统备份是灾难恢复的基础，其目的是确保既定的关键业务数据、关键数据处理系统和关键业务在灾难发生后可以恢复。,系统备份,4、应急响应关键技术,第十章 应急响应处置管理,4.1 系统备份与灾难恢复技术,全备份,增量备份,差分备份,系统备份,4、应急响应关键技术,第十章 应急响应处置管理,4.1 系统备份与灾难恢复技术,灾难恢复,灾难恢复的基本技术要求:,备份软件,恢复的选择和实施,自启动恢复,安全防护,4、应急响应关键技术,第十章 应急响应处置管理,4.1 系统备份与灾难恢复技术,灾难恢复,灾难恢复等级,层次0本地数据的备份与恢复层次1批量存取访问方式层次2批量存取访问方式+热备份地点层次3电子链接层次4工作状态的备份地点层次5双重在线存储层次6零数据丢失,4、应急响应关键技术,第十章 应急响应处置管理,4.1 系统备份与灾难恢复技术,灾难恢复,灾难恢复计划,备份/恢复的范围灾难恢复计划的状态应用地点与备份地点之间的距离应用地点与备份地点之间如何相互连接数据如何在两个地点之间传送允许有多少数据被丢失怎样保证备份地点的数据更新备份地点可以开始备份工作的能力,4、应急响应关键技术,第十章 应急响应处置管理,4.2 其它相关技术,攻击源定位与隔离技术,计算机取证技术,应急响应（Emergency Response）通常是指人们为了应对各种紧急事件的发生所做的准备以及在事件发生后所采取的措施。,小结,第十章 应急响应处置管理,应急响应组织是应急响应工作的主体,应急响应体系的建立过程,应急响应处置流程,应急响应涉及的关键技术。,Thank You!,