应急响应处置管理.ppt
《应急响应处置管理.ppt》由会员分享,可在线阅读,更多相关《应急响应处置管理.ppt(94页珍藏版)》请在三一办公上搜索。
1、应急响应处置管理,15.1 应急响应概述,15.1.1 应急响应的内涵应急响应通常是指人们为了应对各种紧急事件的发生所作的准备以及在事件发生后所采取的措施。信息安全中的应急响应的内涵则需要在对“应急响应”概念理解的基础上,结合信息安全背景知识针对“安全紧急事件”内涵,以及“做什么准备?”和“采取什么措施?”等内容做进一步的定义说明。,15.1.1 应急响应的内涵,1安全紧急事件紧急事件是应急响应的对象,在信息安全应急响应领域,安全紧急事件一定属于安全事件范畴。根据信息安全三个基本属性,即机密性C(Confidentiality)、完整性I(Integrality)和可用性A(Availabil
2、ity),安全事件可被定义为破坏或企图破坏信息或信息系统CIA属性的行为事件。,15.1.1 应急响应的内涵,(1)破坏机密性的安全事件:如入侵系统并窃取信息、搭线窃听、远程探测网络拓扑结构和计算机系统配置等。(2)破坏完整性的安全事件:如入侵系统并篡改数据、劫持网络连接并篡改或插入数据、安装特洛伊木马或计算机病毒等。(3)破坏可用性的安全事件:如水火等自然灾害引起的设备损坏,拒绝服务攻击、病毒入侵引起的系统资源或网络带宽性能下降等。,15.1.1 应急响应的内涵,目前,随着人们对信息安全的认识理解不断深入,越来越多的人认为CIA界定的安全属性范围还不够全面,例如表15-1所列举的安全事件,根
3、据CIA安全三属性就很难被划归为安全事件范畴。因此,人们从不同的角度对“信息安全”含义进行解释说明,出现了“机密性”、“真实性”、“完整性”、“可用性”、“不可否认性”、“生存性”等描述方式。,表15-1 安全事件举例,15.1.1 应急响应的内涵,2“做什么准备?”和“采取什么措施?”“做什么准备?”和“采取什么措施?”意指在信息安全应急响应活动中所要做的工作。根据开展的时间阶段,应急响应工作可以划分为事先准备和事后措施两大部分。,15.1.1 应急响应的内涵,事先准备,其目的在于进行预警和制定各种防范措施,比如风险评估、安全策略制定、系统及数据备份、安全意识培训以及安全通告发布等;事后措施
4、,其目的在于把事件造成的损失降到最小,比如事件发生后进行的安全隔离、威胁清除及系统恢复、调查与追踪、入侵者取证等一系列操作。事先准备与事后措施两个方面的工作是相辅相承、相互补充的。,15.1.1 应急响应的内涵,首先,事前的计划和准备为事件发生后的响应动作提供了指导框架,否则响应动作将陷入混乱,其次,事后的响应可能会发现事先计划的不足,从而进一步完善事先的安全准备。因此,这两个方面应该形成一种正反馈的机制,逐步强化系统安全防范及应急体系。,15.1.2 应急响应的地位与作用,信息安全可以被看作一个动态的过程,它包括风险分析(Risk Analysis)、安全防护(Prevention)、安全检
5、测(Detection)以及响应(Response)4个阶段,通常被称为以安全策略(Security Policy)为中心的安全生命周期P-RPDR安全模型。在P-RPDR安全模型中,安全风险分析产生安全策略,安全策略决定防护、检测和响应措施。风险分析、防护、检测和响应间的相互关系如图15-1所示。,安全策略,风险分析,安全检测,安全防护,响应,图15-1 P-RPDR安全模型,15.1.2 应急响应的地位与作用,应急响应在P-RPDR安全模型中属于响应范畴,它不仅仅是防护和检测措施的必要补充,而且可以发现安全策略的漏洞,重新进行安全风险评估,进一步指导修订安全策略,加强防护、检测和响应措施,
6、将系统调整到“最安全”的状态。,15.1.3 应急响应的必要性,根据P-RPDR安全模型可知,为了保证信息安全,首先采取的方法就是入侵阻止(即安全防护),其次采用入侵检测,因为网络入侵防不胜防,所以要对无法防御的入侵行为及内部安全威胁进行检测。那么把所有的精力和资源都投放到安全生命周期前三个阶段,是否足以保证信息系统和信息的安全呢?答案是否定的。,15.1.3 应急响应的必要性,首先,从理论上无法保证系统的绝对安全。迄今为止软件工程技术还无法做到可信计算机安全评估准则中信息系统A2级的安全要求,即形式证明一个系统的安全性。另外,目前也没有一种切实可行的方法能够保证人们获取完善的安全策略,以及解
7、决合法用户在通过“身份鉴别”后滥用特权的问题。因此从设计、实现到维护阶段,信息系统都可能留下大量的安全漏洞。,15.1.3 应急响应的必要性,其次,现实中尽管人们对信息安全的关注与投资与日俱增,但是安全事件的数量和影响并没有因此而减少。从计算机应急响应协调中心(CERT/CC)对19932003十年间发生的网络攻击事件的统计(如表15-2所示)来看,攻击事件发生的数量逐年增加,近几年由于Internet上网络攻击事件太过于频繁,自2004年计算机应急响应协调中心停止了对网络攻击事件统计信息的公布。,表15-1 安全事件举例,15.1.3 应急响应的必要性,最后,目前越来越多的组织在遭受到攻击后
8、,希望通过法律手段追查肇事者,就需要出示收集到的数据作为证据,而计算机取证是应急响应的一个重要环节。由此可见,网络入侵防不胜防,因此有必要建立起一套应急响应机制,一方面提高系统自身的抗攻击能力,另一方面也为法律提供数据依据。,15.2 应急响应组织,15.2.1 应急响应组织的起源及发展1988年11月莫里斯蠕虫病毒事件之后的一个星期内,美国国防部资助宾夕法尼亚洲的卡内基梅隆大学成立了国际上第一个应急响应组织计算机应急响应协调中心(Computer Emergency Response Team/Coordination Center,CERT/CC),主要用于协调Internet网上的安全事
9、件处理。,15.2.1 应急响应组织的起源及发展,CERT/CC成立后,随着互联网对网络安全的需要迅速增强,世界各地应急响应组织如雨后春笋般的出现。例如美国联邦FedCIRC、澳大利亚的AusCERT、德国的DFN-CERT、日本的JPCERT/CC,以及亚太地区的APCERTF(Asia Pacific Computer Emergency Response Task Force)和欧洲的EuroCERT等。,15.2.1 应急响应组织的起源及发展,为了促进全球各应急响应组织之间协调与合作,1990年应急响应与安全组织论坛(Forum of Incident Response and Sec
10、urity Teams,FIRST)成立。FIRST发起时有11个成员,至今已经发展成一个由170多个成员组成的国际性组织。FIRST成员主要来自各政府、商业和学术方面的计算机安全事件响应组织,以及致力于计算机安全事件防范、快速响应和信息共享的国际组织网站。,15.2.1 应急响应组织的起源及发展,中国的应急响应工作起步较晚,但发展迅速。中国教育与科研计算机网络(China Education and Research Network,CERNET)于1999年在清华大学成立了中国教育和科研计算机网络应急响应小组(China Computer Emergency Response Team,C
11、CERT),,15.2.1 应急响应组织的起源及发展,这是中国大陆第一个计算机安全应急响应组织,目前已经在全国各地成立了NJCERT、PKCERT、GZCERT、CDCERT等多个应急响应小组。2000年在美国召开的FIRST年会上,CCERT第一次在国际舞台上介绍了中国应急响应的发展。,15.2.1 应急响应组织的起源及发展,2000年10月国家计算机网络应急处理协调中心CNCERT/CC成立,该中心的任务是在国家因特网应急小组协调办公室的直接领导下,协调全国范围内计算机安全应急响应小组的工作,以及与国际计算机安全组织的交流。2002年8月CNCERT/CC成为国际权威组织FIRST的正式成
12、员,并参与组织成立了亚太地区的专业组织APCERT,是APCERT的指导委员会委员。,15.2.2 应急响应组织的分类,应急响应组织是应急响应工作的主体,目前国内外安全事件应急响应组织大概可被划分为国内或国际间的应急响应协调组织、企业或政府组织的应急响应组织、计算机软件厂商提供的应急响应组织商业化的应急响应组织等4大类,其组织模式如图15-2所示,国际间应急响应协调组织,国内应急响应协调组织,国内应急响应协调组织,企业或政府组织的应急响应组织,企业或政府组织的应急响应组织,企业或政府组织的应急响应组织,组织内部客户群,公司内部及产品用户,愿意付费的任意用户,图15-2 应急响应组织模式,15.
13、2.2 应急响应组织的分类,(1)国内或国际间的应急响应协调组织国内或国际间的应急响应协调组织通常属于公益性应急响应组织,一般由政府或社会公益性组织资助,对社会所有用户提供公益性的应急响应协调服务。例如,CERT/CC由美国国防部资助,中国的CCERT和CNCERT/CC也属于该种类型的应急响应组织。,15.2.2 应急响应组织的分类,(2)企业或政府组织的应急响应组织企业或政府组织的应急响应组织的服务对象仅限于本组织内部的客户群,可以提供现场的事件处理,分发安全软件和漏洞补丁,培训和技术支持等,另外还可以参与组织安全政策的制定和审查等。例如美国联邦的FedCIRC、美国银行的BACIRT,及
14、CERNET的CCERT等。,15.2.2 应急响应组织的分类,(3)计算机软件厂商提供的应急响应组织计算机软件厂商提供的应急响应组织主要为本公司产品的安全问题提供应急响应服务,同时也为公司内部的雇员提供安全事件处理和技术支持。例如SUN、Cisco等公司的应急响应组织。,15.2.2 应急响应组织的分类,(4)商业化的应急响应组织商业化的应急响应组织面向全社会提供商业化的安全救援服务,其特点在于一般具有高质量的服务保障,在突发安全事件时能够及时响应,有的应急响应组织甚至提供724的服务(全天候的服务)和现场事件处理等。,15.2.3 国内外典型应急响应组织简介,1美国计算机应急响应协调中心(
15、CERT/CC)目前,CERT/CC是美国国防部资助下的抗毁性网络系统计划(Networked Systems Survivability Program)的一部分,下设3个部门:事件处理组、缺陷处理组和计算机应急响应组(CSIRT),如图15-3所示。,卡耐基梅隆大学(CMU),软件工程研究所(SEI),抗毁性网络管理(Survivable Network Management),CERT/CC,抗毁性网络技术(Survivable Network Technology),缺陷处理(Vulnerability Handing),事件处理(Incident Handing),美国国防部,计算机
16、应急响应组(CSIRT development),图15-3 CERT/CC组织结构,15.2.3 国内外典型应急响应组织简介,CERT/CC提供的服务内容如下。(1)安全事件响应;(2)安全事件分析和软件安全缺陷研究;(3)漏洞知识库开发;(4)信息发布,包括缺陷、公告、总结、统计、补丁和工具;(5)教育与培训,包括CSIRT管理、CSIRT技术培训、系统和网络管理员安全培训;(6)指导其他CSIRT(或CERT)组合资建设。,15.2.3 国内外典型应急响应组织简介,2中国教育和科研计算机网应急响应组(CCERT)CCERT是中国教育和科研计算机网CERNET专家委员会领导之下的一个公益性
17、的服务和研究组织,目前,CCERT的应急响应体系已经包括CERNET内部各级网络中心的安全事件响应小组或安全管理相关部门,已经发展成一个由30多个单位组成,覆盖全国的应急响应组织。,15.2.3 国内外典型应急响应组织简介,CCERT首要的服务对象是中国教育和科研计算机网络本身,确保CERNET网络的安全可靠运行,为教育和科研提供一个安全的网络环境。服务范围包括:(1)网络安全政策制定和实施监督;(2)网络运行状态的日常安全监测;(3)及时地安全通告;(4)网络安全事件应急响应;(5)网络安全突发事件的应急解决方案的制定和实施;,15.2.3 国内外典型应急响应组织简介,(6)CERNET各级
18、网络管理人员的安全管理知识的教育与培训。,15.2.3 国内外典型应急响应组织简介,3国家计算机网络应急处理协调中心(CNCERT/CC)国家计算机网络应急处理协调中心(CNCERT/CC)是在信息产业部互联网应急处理协调办公室的直接领导下,负责协调我国各计算机网络安全事件应急小组共同处理国家公共互联网上的安全紧急事件,为国家公共互联网、国家主要网络信息应用系统以及关键部门提供计算机网络安全的监测、预警、应急、防范等安全服务和技术支持。,15.2.3 国内外典型应急响应组织简介,CNCERT/CC组织体系结构如下图所示。,国家网络与信息安全协调小组办公室,领导,信息产业部互联网应急处理协调办公
19、室,国外政府部门,联系,其他管理部门,联系,领导,领导,国外CERT组织,国家计算机网络应急响应处理协调中心(CNSERT/CC),863-917网络安全监测平台,联系,运行,信息产业部网络安全重点实验室,信息产业部网络应急重点实验室,中国互联网协会应急处理联盟(网络与信息安全工作委员会,协调/指导,支撑,国家计算机病毒应急处理中心(天津市公安局),国家计算机网络入侵防范中心(中科院研究生院),协调/指导,支撑,公共互联网应急处理服务国家级试点单位,国家计算机网络应急响应处理协调中心各省份中心(共31个),骨干网的CERT,领导,指导,协调,协调,指导,15.2.3 国内外典型应急响应组织简介
20、,CNCERT/CC提供的业务功能如下。(1)信息获取:通过各种信息渠道与合作体系,及时获取各种安全事件与安全技术的相关信息;(2)事件监测:及时发现各类重大安全隐患与安全事件,向有关部门发出预警信息,提供技术支持;(3)事件处理:协调国内各应急小组处理公共互联网上的各类重大安全事件,同时,作为国际上与中国进行安全事件协调处理的主要接口,协调处理来自国内外的安全事件投诉;,15.2.3 国内外典型应急响应组织简介,(4)数据分析:对各类安全事件的有关数据进行综合分析,形成权威的数据分析报告;(5)资源建设:收集整理安全漏洞、布丁、攻击防御工具和最新网络安全技术等各种基础信息资源,为各方面的相关
21、工作提供支持;(6)安全研究:跟踪研究各种安全问题和技术,为安全防护和应急处理提供基础;(7)安全培训:网络安全应急处理技术以及应急组织建设等方面的培训;,15.2.3 国内外典型应急响应组织简介 3,(8)技术咨询:提供安全事件处理的各类技术咨询;(9)国际交流:组织国内计算机网络安全应急组织进行国际合作交流。,15.3 应急响应体系,15.3.1 应急响应指标应急响应远不止是简单的诊断技巧,它通常需要组织内部的管理人员和技术人员共同参与,有时可能会借助外部的资源,甚至诉诸法律。以下是应急响应应保证的各项指标。(1)响应能力:确保安全事件和安全问题能被及时地发现,并向相应的负责人报告;(2)
22、决断能力:判断是否是本地安全问题或构成一个安全事件;,15.3.1 应急响应指标,(3)行动能力:在发生安全事件时根据一个提示就能采取必要的措施;(4)减少损失:能够立即通知组织内其他可能受影响的部门;(5)效率:实践和监控处理安全事件的能力。为了实现以上目标,就必须建立一个应急响应管理体系来处理安全事件,其中管理层必须参与进来并最终让管理体系发挥作用,以提高对安全问题的认识,合理分配决定权,更好地支持安全目标。,15.3.2 应急响应体系的建立,1确定应急响应角色的责任(1)用户任务:一旦觉察与安全相关的异常事件,就必须遵守相应的过程规则并报告异常事件。职责:必须决定采取何种合适的报告渠道。
23、义务/指导:每一个用户都有义务按照本单位的安全指南来报告任何与安全相关的异常事件。,15.3.2 应急响应体系的建立,(2)安全管理员任务:接收与其负责的系统有关的异常事件报告,并根据报告决定是立即采取行动,还是按照提交策略向上一级报告。职责:必须能够确定是否真的发生了安全问题,是否可以独立解决,是否需要根据提交计划立即咨询其他人,以及应该通知谁等。义务/指导:应该在职位描述及安全事件处理策略中指定。,15.3.2 应急响应体系的建立,(3)安全员/安全管理层任务:接收安全事件报告,负责调查和评估安全事件,并在其职责范围内选用适当措施进行处理。如果有必要,负责组建安全事件处理小组或将问题提交给
24、上级管理层。职责:被授权对安全事件进行评估,并可将事件提交给高级管理层。除此之外,可以在授权范围内利用财务和人力资源独立处理安全事件。义务/指导:根据安全管理层制定的“安全事件处理策略”,所有安全员都要承担其处理安全事件的任务和职责。,15.3.2 应急响应体系的建立,(4)安全审计员任务:必须定期检查安全事件管理系统的有效性,并参与评估安全事件。职责:在管理层同意下启动和实施预定义的检查。义务/指导:在工作职责描述和“安全事件处理策略”中规定。,15.3.2 应急响应体系的建立,(5)公共关系/信息发布部门任务:在发生严重安全事件的地方,除了信息发布部门之外,其他任何部门和个人都必须不能对公
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 应急 响应 处置 管理
链接地址:https://www.31ppt.com/p-5723018.html