什么是应急响应和应急响应体系

基本概念

安全事件（Security Accident） 是指影响一个系统正常工做的状况。这里的系统包括主机范畴内的问题，也包括网络范畴内的问题，例如黑客入侵、信息窃取、拒绝服务攻击、网络流量异常等。

应急响应（Emergency Response） 是指组织为了应对突发/重大信息安全事件的发生所作的准备以及在事件发生后所采起的措施。 应急响应是信息安全防御的最后一道防线！

应急响应体系（Emergency Response System） 是指在突发/重大信息安全事件后对包括计算机运行在内的业务运行进行维持或恢复的各类技术和管理策略和规程。

信息安全应急响应体系的制定是一个周而复始、持续改进的过程，包含如下几个阶段：

• 应急响应需求分析和应急响应策略的肯定；
• 编制应急响应计划文档和技术管理规范；
• 应急响应计划的测试、培训、演练和维护。

---

应急响应目的

应急响应服务的目的是尽量地减少和控制住网络安全事件的损失，提供有效的响应和恢复指导，并努力防止安全事件的发生。

政策要求

• 《关于增强信息安全保障工做的意见》（中办发『2003』27号文）指出：“信息安全保障工做的要点在于，实行信息安全等级保护制度，建设基于密码技术的网络信任体系，建设信息安全监控体系，重视信息安全应急处理工做，推进信息安全技术研发与产业发展，建设信息安全法制与标准”

• 国家信息安全战略的近期目标：经过五年的努力，基本建成国家信息安全保障体系。

• 为了落实27号文精神国家网络与信息安全协调小组办公室于2003年10月发布了《网络与信息安全信息通报暂行办法》、2004年9月发布了

• 《关于作好重要信息系统灾难备份工做的通知》，2004年8月发布了《关于创建健全基础信息网络和重要信息系统应急协调机制的意见》等文件。这些文件对推进灾难备份和应急响应的发展起到了重要做用。

相关标准

• GB/T 24364-2009 《信息安全技术 信息安全应急响应计划规范》
• GB/T 20988-2007 《信息安全技术 信息系统应急响应规范》
• GB/Z 20985-2007 《信息技术 安全技术 信息安全事件管理指南》
• GB/Z 20986-2007 《信息安全技术 信息安全事件分类分级指南》

---

应急响应六阶段

第一阶段：准备——让咱们严阵以待

• 预防为主

• 微观（通常观点）：

  • 帮助服务对象创建安全政策
  • 帮助服务对象按照安全政策配置安全设备和软件 扫描，风险分析，打补丁 若有条件且获得许可，创建监控设施

• 宏观：

  • 创建协做体系和应急制度
  • 创建信息沟通渠道和通报机制
    • 电话、即时通信、email
  • 若有条件，创建数据汇总分析的体系和能力 有关法律法规的制定

• 制定应急响应计划

• 资源准备
  • 应急经费筹集
  • 人力资源
    • 指挥调度人员
    • 协做人员
    • 技术人员
    • 专家
    • 设备、系统和服务提供商
  • 硬件设备准备
    • 数据保护设备（磁盘、SAN）
    • 冗余设备 （网络链路、网络设备、关键计算机设备
  • 软件工具准备
    • 备份软件
    • 日志处理软件
    • 系统软件
    • 应急启动盘
    • 病毒、恶意软件查杀软件
    • 等等
  • 现场备份
  • 业务连续性保障
    • 系统容灾
    • 搭建临时业务系统

第二阶段：确认——对状况综合判断

• 肯定事件性质和处理人
• 微观（负责具体网络的CERT）：
  • 肯定事件的责任人：指定一个责任人全权处理，事件，给予必要的资源
  • 肯定事件的性质： 误会？玩笑？仍是恶意的攻击/入侵？ 影响的严重程度， 预计采用什么样的专用资源来修复？

• 宏观（负责整体网络的CERT）：

  • 经过汇总，肯定是否发生了全网的大规模事件
  • 肯定应急等级，以决定启动哪一级应急方案

• 事故的标志（征兆和预兆）

  • Web服务器崩溃
  • 用户抱怨主机链接网络速度过慢
  • 子邮件管理员能够看到大批的反弹电子邮件与可疑内容
  • 网络管理员通告了一个不寻常的偏离典型的网络流量流向

• 来源

  • 网络和主机IDS 、防病毒软件、文件完整性检查软件
  • 系统、网络、蜜罐日志
  • 公开可利用的信息
  • 第三方监视服务

• 确认事故

  • 确认网络和系统轮廓： 分析事故的最好技术方法之一
  • 理解正常的行为： 基于处理事故的良好准备
  • 使用集中的日志管理并建立日志保留策略
  • 执行事件关联
  • 保持全部主机时钟同步
  • 维护和使用信息知识库： 分析事故时的快速参考
  • 使用互联网搜索引擎进行研究
  • 运行包嗅探器以搜集更多的数据
  • 过滤数据
  • 经验是不可替代的
  • 创建诊断矩阵
  • 寻求帮助

诊断矩阵实例

 

 

征兆	拒绝服务	恶意代码	非受权访问	不正确使用
文件，关键，访问尝试	低	中	高	低
文件，不适当的内容	低	中	低	高
主机崩溃	中	中	中	低
端口扫码，输入的， 不正常的	高	低	中	低
端口扫码，输出的， 不正常的	低	高	中	低
利用带宽高	高	中	低	中
利用电子邮件	中	高	中	中

• 事故优先级- 服务水平协议
  • 服务水平协议（SLA ）：

定义服务目标及双方的预期及责任 - 服务水平协议指标 - 远程应急响应服务 在确认客户的应急响应请求后? 小时内，交与相关应急响应人员进行处理。不管是否解决，进行处理的当天必须返回响应状况的简报，直到这次响应服务结束。 - 本地应急响应服务 对本地范围内的客户，？小时内到达现场；对异地的客户，？小时加路途时间内到达现场。

应急响应 SLA矩阵

事故当前或未来可 能的影响	高（例如：互联网 链接，公共Web服 务器，防火墙，客 户数据）	中（例如：系统管 理员工做站，文件和 打印服务器，XYZ  应用数据）	低（例如：用户工 做站）
ROOT级访问	15min	30min	1h
非受权的数据修改	15min	30min	2h
对敏感信息的非 受权访问	15min	1h	1h
非受权的用户级访问	30min	2h	4h
服务不可用	30min	2h	4h
骚扰	30min	不限	不限

第三阶段：遏制——制止事态的扩大

• 即时采起的行动
• 微观：
  • 防止进一步的损失，肯定后果
  • 初步分析，重点是肯定适当的封锁方法
  • 咨询安全政策
  • 肯定进一步操做的风险
  • 损失最小化（最快最简单的方式恢复系统的基本功能，例如备机启动）
  • 可列出若干选项，讲明各自的风险，由服务对象选择

• 宏观：

  • 确保封锁方法对各网业务影响最小
  • 经过协调争取各网一致行动，实施隔离
  • 汇总数据，估算损失和隔离效果

• 建议组织机构为几类主要的事故创建单独的遏制策略，其标准包括：

  • 潜在的破坏和资源的窃取
  • 证据保留的须要
  • 服务可用性（例如：网络链接，提供给外部当事方的服务）
  • 实施战略须要的时间和资源
  • 战略的有效性（例如：部分遏制事故，彻底遏制事故）
  • 解决方案的期限（例如：紧急事故工做区需在4 小时内清除，临时工做区需在两周内清除，永久的解决方案）。

第四阶段：根除——完全的补救措施

• 长期的补救措施
• 微观：
  • 详细分析，肯定缘由，定义征兆
  • 分析漏洞
  • 增强防范
  • 消除缘由
  • 修改安全政策
• 宏观：
  • 增强宣传，公布危害性和解决办法，呼吁用户解决终端的问题；
  • 增强检测工做，发现和清理行业与重点部门的问题

第五阶段：恢复——系统恢复常态

• 微观：
  • 被攻击的系统恢复正常的工做状态
  • 做一个新的备份
  • 把全部安全上的变动做备份
  • 服务从新上线
  • 持续监控
• 宏观：
  • 持续汇总分析，了解各网的运行状况
  • 根据各网的运行状况判断隔离措施的有效性
  • 经过汇总分析的结果判断仍然受影响的终端的规模
  • 发现重要用户及时通报解决
  • 适当的时候解除封锁措施

第六阶段：跟踪——还会有第二次吗

• 关注系统恢复之后的安全情况，特别是曾经出问题的地方
• 创建跟踪文档，规范记录跟踪结果
• 对响应效果给出评估
• 对进入司法程序的事件，进行进一步的调查，打击违法犯罪活动
• 事件的归档与统计
  • 处理人
  • 时间和时段
  • 地点
  • 工做量
  • 事件的类型
  • 对事件的处置状况
  • 代价
  • 细节

---

应急预案的编制和管理

---

应急响应预案的制定

• 制定应急响应预案的原则

  • 首先，必须集中管理应急响应预案的版本和发布。
  • 其次，为了创建有效的版本控制体系，必须创建规范的应急响应预案的问题提交、解决、更新、跟踪、发布的渠道和流程。
  • 第三，创建相关的保密管理规定，保证应急响应预案中涉及的秘密信息获得保护。
  • 第四，应急响应预案在内容管理方面应注意内容的分布和粒度，可根据版本和内容的更新频度将应急响应的内容进行适当的分布。
  • 第五，创建合理的应急响应预案的保管制度，强调存放的安全性和易取得性。

• 成功预案的特色

  • 清楚、简洁
  • 高级管理层支持/组织承诺
  • 不断改进和更新的恢复策略
  • 及时的更新维护
  • 组织职责分工明确
  • 保留、备份和异地存储计划
  • 完整记录并按期演练
  • 风险获得管理
  • 弱点获得优先重视
  • 灵活、可适应

---

应急响应预案的教育、培训和演练

• 在灾难来临前使相关人员了解熟悉恢复流程
• 使应急响应预案获得理解并可使用
• 促进应急响应预案活动、更新、实用
• 展现恢复的能力
• 达到法律和内部审计要求

---

演练与演习的类型

• 演练和演习的主要方式有：
  • 桌面演练；
  • 模拟演练；
  • 实战演练等
• 根据演练和演习的深度，可分为：
  • 系统级演练；
  • 应用级演练；
  • 业务级演练等
• 根据演练和演习的准备状况，可分为：
  • 计划内的演练和演习；
  • 计划外的演练和演习等

---

预案维护管理

• 核对预案的功能性
• 验证预案文档的精确性和完整性
• 分发更新的文档
  • 文档计划分发和发布流程
  • 确保相关的团队收到更新的文档
• 依靠维护来改变管理流程
• 提供培训做为持续维护预案的一部分
  • 为与应急响应的相关人员开展按期培训，如：复习进修课程或灾难备份研讨会
  • 指派培训责任，如：部门经理要确保员工被送去参加培训
• 完成时报告预案维护状况
• 毁掉旧应急响应预案的复印件或电子版本

---

预案变动管理

• 业务操做的增加或变化
  • 如：新的分支、产品和业务功能的增长
• 公司全部权的变化
• 关键人员的变化
• 硬件配置的变化
• 使用新操做系统
• 预案审核和演练后
• 软件/应用软件的变化
• 新的法律或审计要求
• 按期审核和更新——如：每一年两次
• 《应急预案管理制度》
• 应急预案变动记录

---

应急响应体系创建流程

信息安全应急响应计划编制方法

总则

• 编制目的
• 编制依据
• 适应范围
• 工做原则

角色及职责

• 应急响应领导小组
• 应急响应技术保障小组
• 应急响应专家小组
• 应急响应实施小组
• 应急响应平常运行小组

预防和预警机制

检测、 预测、 预警，作到 早发现、早报告、早处置

应急响应流程

• 事件通告
• 信息通报

信息通报分为组织内信息通报和组织外信息通报两部分。组织内信息通报的目的是在信息安全事件发生后迅速通知应急响应平常运行小组，并根据评估结果迅速通知全部相关人员，从而快速有序的实施应急响应计划。组织外信息通报目的是将相关信息及时通报给受到负面影响的外部机构、互联的单位系统以及重要用户，同时根据应急响应的须要，应将相关信息准确通报给相关设备设施及服务提供商（包括电信、电力等）等外部组织，以得到适当的应急响应支持。值得注意的是对外信息通报应符合组织的对外信息发布策略。

1. 信息上报

信息安全事件发生后，应按照相关规定和要求，及时将状况上报相关主管或监管单位/部门。

1. 信息披露

信息发布的目的是避免信息安全事件影响被误传，同时规范组织内人员信息披露，保证信息的一致性。所以，信息安全事件发生后，应根据信息安全事件的严重程度，指定特定的小组及时向新闻媒体发布相关信息，而且指定的小组应严格按照组织相关规定和要求对外发布信息，同时组织内其它部门或者我的不得随意接受新闻媒体采访或对外发表本身的见解。

• 应急响应流程-呼叫树

---

小组名称	姓名	在小组中职位	联络信息
			工做电话	家庭电话	手机	电子邮件	家庭住址

---

• 信息上报

---

 

重大信息安全事件报告表
报告时间： x 年x 月x 日x 时x 分
单位名称：	报告人：
联系电话：	通信地址：
传真：	电子邮件：
发生重大信息安全事件的信息系统名称及用途：
负责部门：	负责人：
重大信息安全事件的简要描述（如之前出现过相似状况也应加以说明）：
初步断定的事故缘由：
当前采起的措施：
本次重大信息安全事件的初步影响情况：
影响范围：	严重程度：
值班电话：	传真：

 

---

• 事件分类与定级

要肯定信息安全事件后如何实施应急响应计划，对系统损害性质和程度的评估是很是重要的。这个损害评估应该在可以确保人员安全这个最优先任务的前提下尽快完成。因此，若是可能，应急响应平常运行小组是第一个获得事件通知的小组。损害评估规程对于不一样的系统是不一样的，可是应该涉及到如下领域： 1. 形成紧急状况或中断的缘由； 1. 潜在的附加中断或损失； 1. 受到紧急状况影响的区域； 1. 物理构架（如计算机室结构的完整性、电源、电信以及制热、通风和空调的状况）的情况； 1. 系统设备的总量和功能状态（如具有完整功能、具有部分功能或丧失功能）； 1. 系统设备及其存货的损失类型（如水害、水灾或热能、物理以及电涌影响）； 1. 被更换的项目（如硬件、软件、固件或支持材料）； 1. 估计恢复正常服务所需的时间。

• 我国信息安全事件分类方法

GB/Z 20986-2007《信息安全事件分级分类指南》 - 有害程序事件MI - 网络攻击事件NAI - 信息破坏事件IDI - 信息内容安全事件ICSI - 设备设施故障FF - 灾害性事件DI - 其余信息安全事件OI - 分级要素 - 系统损失 - 信息系统重要程度 - 社会影响

特别重大事件(I级）

特别重大事件是指可以致使特别严重影响或破坏的信息安全事件，包括如下状况：  - 会使特别重要信息系统遭受特别严重的系统损失   - 产生特别重大的社会影响 

重大事件(II级）

重大事件是指可以致使严重影响或破坏的信息安全事件，包括如下状况：  - 会使特别重要信息系统遭受严重的系统损失、或使重要信息系统遭受特别严重- 的系统损失 - 产生重大的社会影响

较大事件(III级）

较大事件是指可以致使严重影响或破坏的信息安全事件，包括如下状况： - 会使特别重要信息系统遭受较大的系统损失、或使重要信息系统遭受严重的系统损失，通常信息系统遭受特别严重的系统损失 - 产生较大的社会影响

通常事件(IV级）

通常事件是指不知足以上条件的信息安全事件，包括如下状况：  - 会使特别重要信息系统遭受较小的系统损失、或使重要信息系统遭受较大的系统损失，通常信息系统遭受严重或严重如下级别的系统损失 - 产生通常的社会影响

应急启动

• 启动原则——快速、有序；
• 启动依据——通常而言，对于致使业务中断、系统宕机、网络瘫痪等突发/重大信息安全事件应当即启动应急。但因为组织规模、构成、性质等的不一样，不一样组织对突发/重大信息安全事件的定义可能不同，所以，各组织的应急启动条件可能各不相同。启动条件能够基于如下方面考虑：人员的安全和/或设施损失的程度；系统损失的程度（如物理的、运做的或成本的）；系统对于组织使命的影响程度（如保护资产的关键基础设施）；预期的中断持续时间等。只有当损害评估的结果显示一个或多个系统启动条件被知足时，应急响应计划才应被启动。
• 启动方法——由应急响应领导小组发布应急响应启动令。

应急处置

• 恢复顺序
  当恢复复杂系统时，恢复进程应该反映出BIA中肯定的系统优先顺序。恢复的顺序应该反映出系统容许的中断时间，以免对相关系统及其应用的重大影响。
• 恢复规程
  为了进行恢复操做，应急响应计划应提供恢复业务能力的详细规程。规程应被设定给适当的恢复小组而且一般涉及到如下行动：
  1. 得到访问受损设施和／或地理区域的受权；
  2. 通知相关系统的内部和外部业务伙伴；
  3. 得到所需的办公用品和工做空间；
  4. 得到安装所需的硬件部件；
  5. 得到装载备份介质；
  6. 恢复关键操做系统和应用软件；
  7. 恢复系统数据；
  8. 成功运行备用设备。

后期处置

• 信息系统重建
  在应急处置工做结束后，要迅速采起措施，抓紧组织抢修受损的基础设施，减小损失，尽快恢复正常工做。 经过统计各类数据，查明缘由，对信息安全事件形成的损失和影响以及恢复重建能力进行分析评估，认真制定恢复重建计划，迅速组织实施信息系统重建。
• 应急响应总结
  应急响应总结是应急处置以后应进行的工做，具体工做包括：
  1. 分析和总结事件发生缘由；
  2. 分析和总结事件现象；
  3. 评估系统的损害程度；
  4. 评估事件致使的损失；
  5. 分析和总结应急处置记录；
  6. 评审应急响应措施的效果和效率，并提出改进建议；
  7. 评审应急响应计划的效果和效率，并提出改进建议。

信息安全事件应急响应总结模板

 

信息安全事件应急响应结果报告表
原事件报告时间： x 年x 月x 日x 时x 分
备案编号： x 年x 月x 日x 第 x 号
单位名称：	报告人：
联系电话：	通信地址：
信息系统名称及用途：
已采用的安全措施：
信息安全事件的补充描述及最后断定的事故缘由：
本次信息安全事件的初步影响情况：
过后结果：	影响范围：
严重程度：
本次信息安全事件的主要处理过程及结果：
针对此类信息安全事件应采起的保障信息系统安全的措施和建议：
报告人签名：

 

---

应急响应保障措施

• 人力保障

  • 管理人力
  • 技术人力

• 物质保障

  • 财力
  • 交通运输
  • 通讯

• 技术保障

  • 应急响应技术支持
  • 事件监控与预警
  • 应急技术储备

附件

• 具体的组织体系结构及人员职责
• 应急响应计划各小组成员的联络信息
• 供应商联络信息，包括离站存储和备用站点的外部联系点
• 系统恢复或处理的标准操做规程和检查列表
• 支持系统运行所需的硬件、软件、固件和其它资源的设备和系统需求清单
• 供应商服务水平协议（SLA）、与其它机构的互惠协议和其它关键记录
• 备用站点的描述和说明
• 在计划制定前进行的BIA，包含关于系统各部分相互关系、风险、优先级别等
• 应急响应计划文档的保存和分发方法

应急响应工做机构图

职责示例

应急响应领导小组：<b1. 应急响应领导小组是信息安全应急响应工做的组织领导机构，组长应由组织最高管理层成员担任。领导小组的职责是领导和决策信息安全应急响应的重大事宜，主要以下： 1. 对应急响应工做的承诺和支持，包括发布正式文件、提供必要资源（人财物）等； 1. 审核并批准应急响应策略； 1. 审核并批准应急响应计划； 1. 批准和监督应急响应计划的执行； （1. 启动按期评审、修订应急响应计划； 1. 负责组织的外部协做工做。

应急响应组（IRT ）

• 什么是应急响应组（IRT ）
  • 应急响应组就是机构能够借助的网络安全专业组织。
• 为何须要成立应急响应组
  • 容易协调响应工做
  • 提升专业知识
  • 提升效率
  • 提升先期主动防护能力
  • 更加适合于知足机构的须要
  • 提升联络功能
  • 提升处理制度障碍方面的能力

从应急组织到应急体系：信息安全保障的必要条件

• 现实代表，单一的应急组织已经不能应对当今的网络安全威胁，我国的应急体系正是在实际工做的经验总结中逐渐造成的：平台从点到环到面；应急体系从点到树到网
• “现实世界中发生的任何事情，在网络世界中均可以找到与之对 应的事件”
• SARS 事件反映出社会防疫应急体系的重要
• 红色代码、尼姆达、SQL 杀手、口令蠕虫等具备和现实世界中的疫病相同的特色
• 处理方式也具备一样的特色：隔离--- 分析--- 治疗
• 不一样之处：“病人”不自知；隔离缺少法律依据或技术手段；应
• 急缺少成熟体系和工做制度…. .

国际信息安全应急响应组织

• 美国计算机紧急事件响应小组协调中心 （Computer Emergency Response Team/Coordination Center, CERT/CC）
• 事件响应与安全组织论坛（Forum of Incident Response and Security Teams, FIRST）  
• 亚太地区计算机应急响应组（Asia Pacific Computer Emergency Response Team, APCERT） 
• 欧洲计算机网络研究教育协会（Trans-European Research and Education Networking Association, TERENA) 
• 国家计算机网络应急技术处理协调中心 （National Computer network Emergency Response technical Team/Coordination Center of China, CNCERT/CC）
• 中国教育和科研计算机网紧急响应组(China Education and Research Network Computer Emergency Response Team, CCERT)   
• 国家计算机病毒应急处理中心 
• 国家计算机网络入侵防范中心
• 国家863计划反计算机入侵和防病毒研究中心

信息系统应急计划通常过程

• 美国SP800-34 信息技术系统应急计划/预案指南：七步走
  • 第一步：制定应急计划/预案策略条款
  • 第二步：进行业务影响分析
  • 第三步：肯定防护性控制
  • 第四步：制定恢复策略
  • 第五步：IT应急计划/预案的制定
  • 第六步：计划/预案的测试、培训和演习
  • 第七步：计划/预案的维护