網(wǎng)絡(luò)技術(shù)數(shù)據(jù)應(yīng)急響應(yīng)介紹

1、網(wǎng)絡(luò)技術(shù)數(shù)據(jù)應(yīng)急響應(yīng)介紹 一、應(yīng)急晌應(yīng)的定義 應(yīng)急響應(yīng)（Incident Response或 Emergency Respons 通常是指 一個組織為了應(yīng)對各種意外事件的發(fā)生所事先做好的準(zhǔn)備以及在事 件發(fā)生后所采取的措施。 網(wǎng)絡(luò)安全應(yīng)急響應(yīng)主要是提供一種機(jī)制，保證網(wǎng)絡(luò)資產(chǎn)在遭受 攻擊時能夠及時地取得專業(yè)人員、 安全技術(shù)等資源的支持， 并且保證 在緊急的情況下能夠按照既定的程序高效有序地開展工作， 使網(wǎng)絡(luò)業(yè) 務(wù)免遭進(jìn)一步的侵害， 或者是在網(wǎng)絡(luò)資產(chǎn)已經(jīng)被破壞后能夠在盡可能 短的時間內(nèi)迅速恢復(fù)業(yè)務(wù)系統(tǒng)，減小業(yè)務(wù)的損失。 安全應(yīng)急響應(yīng)的重要性不僅體現(xiàn)在它是整個安全防御體系中一 個不可缺少的環(huán)節(jié)。 事實(shí)

2、上， 一個有效的應(yīng)急機(jī)制對于事件發(fā)生后穩(wěn) 定局勢往往起到至關(guān)重要的作用。 事故發(fā)生后現(xiàn)場環(huán)境通常是非?；?亂的，除非做了非常充分的準(zhǔn)備工作， 否則人們往往會因?yàn)椴磺宄?題所在和應(yīng)當(dāng)做什么而陷入茫然失措的狀態(tài)， 甚至當(dāng)事者還可能在混 亂中執(zhí)行不正確的操作并導(dǎo)致更大的災(zāi)害和混亂的發(fā)生。 因此，在缺 少安全應(yīng)急響應(yīng)機(jī)制的環(huán)境中， 發(fā)生事件后整個局面存在著隨時陷入 失控狀態(tài)的危險。 因此，必須首先從整體上對安全應(yīng)急響應(yīng)體系進(jìn)行總體分析、 論證和規(guī)劃設(shè)計， 針對系統(tǒng)提出具有科學(xué)性、 可行性和可操作性的各 種配套方案，為決策和管理部門提供可行的決策支持。 二、應(yīng)急響應(yīng)的任務(wù)和目標(biāo) 應(yīng)急響應(yīng)的第一項任務(wù)就

3、是要盡快恢復(fù)系統(tǒng)或網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)。 在有些情況下， 用戶最關(guān)心的是多長時間能恢復(fù)正常， 因?yàn)橄到y(tǒng)或網(wǎng) 絡(luò)的中斷是帶來損失的主要方面。 這時候應(yīng)急工作的首要任務(wù)就是盡 快使系統(tǒng)或網(wǎng)絡(luò)能夠相對正常地運(yùn)行。 應(yīng)急響應(yīng)的第二項任務(wù)就是要使系統(tǒng)和網(wǎng)絡(luò)操作所遭受的破壞 最小化。 在應(yīng)急的過程中注意記錄和保留有關(guān)的原始數(shù)據(jù)資料， 為下 一階段的分析和處理提供準(zhǔn)確可信的資料。 最后，應(yīng)急響應(yīng)要提供準(zhǔn)確的分析統(tǒng)計報告和有價值的建議， 在響應(yīng)工作結(jié)束時提交分析。 應(yīng)急響應(yīng)處理的兩個根本性目標(biāo)，一是確保系統(tǒng)恢復(fù)，二是追 究事故責(zé)任。除非是“事后”處理的事件，否則應(yīng)急處理人員首先要 解決的問題是如何確保受影響的系統(tǒng)恢

4、復(fù)正常的服務(wù)和功能。 在確保 恢復(fù)的工作中， 應(yīng)急處理人員需耍保存各種必要的證據(jù)， 以供將來其 他工作使用。 追究事故責(zé)任涉及法律問題， 一般用戶單位或第三方支 援的應(yīng)急處理人員主要起到配合分析的作用， 因?yàn)檎归_這樣的調(diào)查通 常需要得到用戶單位主管領(lǐng)導(dǎo)的許可，部分嚴(yán)重事故，如機(jī)密泄漏、 造成重大社會影響等，還可能需要司法介入。 三、我國當(dāng)前的應(yīng)急處理體系 我國當(dāng)前的網(wǎng)絡(luò)應(yīng)急體系是在國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組辦 公室領(lǐng)導(dǎo)下建設(shè)的， 分為國家級政府層次、 國家級非政府層次和地方 級非政府層次等三個層面。 (1) 國家級政府層次以信息產(chǎn)業(yè)部互聯(lián)網(wǎng)應(yīng)急處理協(xié)調(diào)辦公室為 中心，向下領(lǐng)導(dǎo)國家級非政府層次的

5、工作， 橫向與我國其他部委之間 進(jìn)行協(xié)調(diào)聯(lián)系，同時負(fù)責(zé)與國外同層次的政府部門(如APEC經(jīng)濟(jì)體) 之間進(jìn)行交流和聯(lián)系。 (2) 國家級非政府層次以 CNCERT/C為中心，向上接受信息產(chǎn)業(yè) 部的領(lǐng)導(dǎo)， 向下領(lǐng)導(dǎo)其遍布全國各省的分中心的工作， 協(xié)調(diào)各個骨干 互聯(lián)網(wǎng)單位CERT小組的應(yīng)急處理工作，協(xié)調(diào)和指導(dǎo)國家計算機(jī)病毒 應(yīng)急處理中心、國家計算機(jī)網(wǎng)絡(luò)入侵防范中心和國家 863計劃反計算 機(jī)入侵和防病毒研究中心等三個專業(yè)應(yīng)急組織的工作， 指導(dǎo)公共互聯(lián) 網(wǎng)應(yīng)急處理國家級試點(diǎn)單位的應(yīng)急處理工作；CNCERT/C同時還負(fù)責(zé) 與國睬民間CERT組織之間的交流和聯(lián)系，負(fù)責(zé)利用自身的網(wǎng)絡(luò)安全 監(jiān)測平臺對全國互聯(lián)

6、網(wǎng)的安全狀況進(jìn)行實(shí)時監(jiān)測。 在這個層次中， 還 有正在建設(shè)中的信息產(chǎn)業(yè)部網(wǎng)絡(luò)安全、 信息安全和應(yīng)急處理等三個專 業(yè)的重點(diǎn)實(shí)驗(yàn)室，其任務(wù)是進(jìn)行專門的技術(shù)研究，為CNCERT/C開展 應(yīng)急處理協(xié)調(diào)工作提供必要的技術(shù)支撐。 (3) 地方級非政府層次主要以 CNCERT/C各省分中心為中心，協(xié) 調(diào)當(dāng)?shù)氐腎DC應(yīng)急組織、指導(dǎo)公共互聯(lián)網(wǎng)應(yīng)急處理服務(wù)省級試點(diǎn)單位 開展面向地方的應(yīng)急處理工作。 整個體系由國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組、信息產(chǎn)業(yè)部、 CNCERT/C及其各省分中心構(gòu)成核心框架，協(xié)調(diào)和指導(dǎo)各互聯(lián)網(wǎng)單位 應(yīng)急組織、專業(yè)應(yīng)急組織、安全服務(wù)試點(diǎn)單位和地方IDC應(yīng)急組織共 同開展工作，各自明確職責(zé)和工作流程

7、，形成了一個有機(jī)的整體。 四、應(yīng)急處理 應(yīng)急處理實(shí)際上是網(wǎng)絡(luò)安全保障工作的具體體現(xiàn)。各種防護(hù)方 案、安全設(shè)施、 策略規(guī)定等，廣義上都可以理解為應(yīng)急處理工作的一 部分。而完整的應(yīng)急處理工作的各個階段， 則體現(xiàn)了網(wǎng)絡(luò)安全保障的 不間斷過程。 (1)第一階段：準(zhǔn)備。此階段以預(yù)防為主，主要的工作是幫助服 務(wù)對象建立安全政策， 按照安全政策配置安全設(shè)備和軟件； 對系統(tǒng)進(jìn) 行掃描和風(fēng)險分析，為系統(tǒng)打補(bǔ)??；如有條件且得到許可，應(yīng)建立合 理的監(jiān)控設(shè)施。帑助服務(wù)對象建立協(xié)作體系、應(yīng)急制度、信息溝通渠 道和通報機(jī)制，如有條件，還應(yīng)建立數(shù)據(jù)匯總分析的體系。 (2) 第二階段：確認(rèn)，即確定事件性質(zhì)和處理的人選。主要工

8、作 包括：確定事件責(zé)任人人選， 即指定一個責(zé)任人全權(quán)處理此事件并給 予必要資源； 確定事件性質(zhì)和影響的嚴(yán)重程度， 預(yù)計采用什么樣的專 用資源來修復(fù)。通過匯總， 確定是否發(fā)生了全網(wǎng)的大規(guī)模事件；確定 應(yīng)急等級，決定啟動哪一級應(yīng)急方案。 (3) 第三階段：遏制，即及時采取行動遏制事件發(fā)展。主要工作 包括：初步分析，重點(diǎn)確定適當(dāng)?shù)亩糁品椒?，如隔離事故子系統(tǒng)、斷 開子網(wǎng)絡(luò)等；咨詢安全政策，確定進(jìn)一步操作的風(fēng)險，控制損失保持 最小化；確保封鎖方法對各網(wǎng)業(yè)務(wù)影響最小， 通過協(xié)調(diào)爭取各網(wǎng)一致 行動，實(shí)施隔離；列出若干選項，講明各自的風(fēng)險，應(yīng)該由服務(wù)對象 來作決定。迅速匯總數(shù)據(jù)，估算損失和隔離效果。 (4)

9、第四階段：根除，即徹底解決問題隱患。主要工作包括：分 析事故發(fā)生的原因和系統(tǒng)安全漏洞； 對系統(tǒng)安全漏洞進(jìn)行修復(fù)； 改進(jìn) 系統(tǒng)安全策略；加強(qiáng)宣傳， 公布危害性和解決辦法，呼吁用戶解決終 端問題；加強(qiáng)檢測工作，發(fā)現(xiàn)和清理行業(yè)與重點(diǎn)部門的問題。 (5) 第五階段：恢復(fù)，即通過容災(zāi)備份或使用備份數(shù)據(jù)使系統(tǒng)飯 復(fù)到正常狀態(tài)。主要工作包括：將被攻擊的系統(tǒng)從備份恢復(fù)；為恢復(fù) 正常的系統(tǒng)做一個新的備份； 對壘務(wù)員網(wǎng)絡(luò)與信息安全教程系統(tǒng)所有 安全上的變更做備份；服務(wù)重新上線并持續(xù)監(jiān)控。同時，要對新系統(tǒng) 持續(xù)匯總分析， 了解各網(wǎng)的運(yùn)行情況， 根據(jù)各網(wǎng)的運(yùn)行情況判斷隔離 措施的有效性。通過匯總分析的結(jié)果判斷仍然受影響的終端的規(guī)模； 如果發(fā)現(xiàn)重