網(wǎng)絡(luò)應(yīng)急響應(yīng)體系架構(gòu)及其建設(shè)的實施方案研究

第二屆全國網(wǎng)絡(luò)與信息安全技術(shù)研討會網(wǎng)絡(luò)應(yīng)急響應(yīng)體系架構(gòu)及其建設(shè)的實施方案研究

報告人：董慶寬國家計算機網(wǎng)絡(luò)入侵防范中心2022/9/131內(nèi)容摘要第一概述第二網(wǎng)絡(luò)安全事件現(xiàn)狀與特點分析第三應(yīng)急響應(yīng)體系的關(guān)鍵屬性第四應(yīng)急響應(yīng)體系的先進理論第五應(yīng)急響應(yīng)體系的組織架構(gòu)第六應(yīng)急響應(yīng)的流程第七應(yīng)急響應(yīng)體系建設(shè)的實施方案2022/9/132一、概述定義:應(yīng)急響應(yīng)具體是指一個組織為了應(yīng)對各種安全事件的發(fā)生而在事發(fā)前所做的準(zhǔn)備工作和在事件發(fā)時及發(fā)生后所采取的措施處理的對象：網(wǎng)絡(luò)安全事件，特別是突發(fā)安全事件目的：實現(xiàn)“保護關(guān)鍵網(wǎng)絡(luò)基礎(chǔ)設(shè)施免遭攻擊、降低網(wǎng)絡(luò)的脆弱性、縮短網(wǎng)絡(luò)攻擊發(fā)生后的破壞和恢復(fù)時間”重要性：國家安全保障體系的第一優(yōu)先級事務(wù)

在美國《保護網(wǎng)絡(luò)空間的國家戰(zhàn)略》中，強調(diào)了應(yīng)急響應(yīng)的重要作用中辦發(fā)【27】號文件中明確指出：要重視信息安全應(yīng)急處理工作2022/9/133二、網(wǎng)絡(luò)安全事件現(xiàn)狀1）安全事件影響嚴(yán)重。

2003年美國聯(lián)邦調(diào)查局（FBI）和計算機安全研究所（CSI）聯(lián)合進行的計算機犯罪調(diào)查結(jié)果顯示，85%的組織機構(gòu)遭遇過安全破壞事件，64%的組織回答這些事件引起了不同程度的經(jīng)濟損失，加起來有億美元之多2）法輪功，黃色站點等傳播大量的反動的和淫穢信息，而且這些網(wǎng)站不斷發(fā)送大量垃圾郵件。3）某些發(fā)達(dá)國家在世界范圍內(nèi)施行信息霸權(quán)與威懾。在不遠(yuǎn)的將來，將可能嚴(yán)重影響國家政權(quán)的穩(wěn)固4）網(wǎng)絡(luò)設(shè)備潛在一定的危險。

許多網(wǎng)絡(luò)關(guān)鍵基礎(chǔ)設(shè)施如操作系統(tǒng)，CPU等也存在諸多漏洞和后門2022/9/134網(wǎng)絡(luò)安全事件現(xiàn)狀（續(xù)）5）安全漏洞普遍存在

計算機網(wǎng)絡(luò)和系統(tǒng)變得越來越復(fù)雜。計算機軟件（包括操作系統(tǒng)）的安全缺陷往往與軟件的規(guī)模和復(fù)雜性成正比，從設(shè)計、實現(xiàn)到維護階段，都留下大量的安全漏洞。6）攻擊和惡意代碼的大范圍流行

利用系統(tǒng)的安全漏洞入侵是一種普遍手段，“黑客”攻擊計算機網(wǎng)絡(luò)的程序隨處可見。7）網(wǎng)絡(luò)和系統(tǒng)管理配置復(fù)雜

目前很少有組織能夠制定完備的安全政策，甚至根本沒有，或即使有安全政策其更新也可能不及時。2022/9/135網(wǎng)絡(luò)安全事件的特點分析I．安全事件的發(fā)生直線上升盡管人們對網(wǎng)絡(luò)安全的關(guān)注與投資與日俱增，但是安全事件的數(shù)量和影響并沒有因此而減少，攻擊手段從專業(yè)高手向智能化發(fā)展，黑客群不斷擴張。II.安全事件打擊面廣，破壞力強，所造成的損失嚴(yán)重具體表現(xiàn)在從間接損失發(fā)展到直接的破壞，由少量損失擴大到巨額代價；從黑客的個人行為，發(fā)展到有組織、有預(yù)謀的網(wǎng)絡(luò)恐怖主義；從互聯(lián)網(wǎng)滲透到國家網(wǎng)絡(luò)關(guān)鍵基礎(chǔ)設(shè)施；從網(wǎng)絡(luò)安全問題，上升到國家政治、經(jīng)濟、社會、國防問題。III.安全事件的影響不可避免，具有持續(xù)性。2022/9/136三、應(yīng)急響應(yīng)體系的關(guān)鍵屬性策略制定方面：1）整體性：必須是全網(wǎng)范圍內(nèi)的綜合防范，整體聯(lián)動，任何一環(huán)的疏忽，都可能導(dǎo)致整個應(yīng)急響應(yīng)體系的脆弱性，這一屬性同時也體現(xiàn)了信息安全的“木桶原理”。2）信息共享：必須使網(wǎng)內(nèi)的信息交流暢通，才能做到一方有難，八方資源，同時也可將發(fā)現(xiàn)的安全事件信息及時傳遞給全網(wǎng)的各個實體共享，以防止事件蔓延。3）措施均衡：管理與技術(shù)兼?zhèn)?，而尤以管理問題突出，特別是對人的管理。所謂三分技術(shù)，七分管理。制定策略時必須兼顧到技術(shù)所能達(dá)到的響應(yīng)能力，并在管理上投入足夠的精力。4）持續(xù)性：應(yīng)急響應(yīng)策略具體制定時，不可能達(dá)到盡善盡美，必須不斷的完善，體系的建設(shè)必須貫徹安全生命周期思想2022/9/137關(guān)鍵屬性（二）實現(xiàn)目標(biāo)方面：1）應(yīng)具有一定的危險判斷能力；2）較強的病毒及入侵抵抗能力；3）強大的恢復(fù)能力；4）較好的自適應(yīng)能力。系統(tǒng)有能力適應(yīng)威脅并且繼續(xù)向用戶提供關(guān)鍵服務(wù)。2022/9/138四、應(yīng)急響應(yīng)體系的先進理論應(yīng)急響應(yīng)體系需要先理論網(wǎng)絡(luò)安全事件不可能完全杜絕，應(yīng)急響應(yīng)最根本的工作應(yīng)該是保障大規(guī)模網(wǎng)絡(luò)的關(guān)鍵運行系統(tǒng)即使在遭到惡意攻擊時也應(yīng)該有效的生存和運轉(zhuǎn)，即保障大規(guī)模網(wǎng)絡(luò)的生存能力。實體間需要進行沒有相互協(xié)調(diào)的合作，即能夠?qū)崿F(xiàn)局部的緊急響應(yīng)

僅依靠常規(guī)安全技術(shù)難以解決!2022/9/139先進理論（續(xù)）網(wǎng)絡(luò)可生存性理論正是針對以上問題而提出的，信息系統(tǒng)安全理論的研究熱點，尚不成熟，該理論很有前途，是下一代網(wǎng)絡(luò)安全基礎(chǔ)理論，（當(dāng)代安全主要是保障，仍以防御技術(shù)為主）研究目標(biāo)與應(yīng)急響應(yīng)的目標(biāo)相符，應(yīng)急響應(yīng)很大程度上就是一種保障生存的措施特點：將計算機安全與風(fēng)險管理相結(jié)合，保證網(wǎng)絡(luò)的關(guān)鍵服務(wù)的持續(xù)性,在入侵不斷的環(huán)境中生存下來CMU/SEI研究組的研究影響較大，可參閱：Vickie.“ADefinitionforInformationSystemSurvivability.”Proceedingsofthe37thHawaiiInternalConferenceonSystemSciences(HICSS’04),

2022/9/1310五、應(yīng)急響應(yīng)體系的組織架構(gòu)ISAC平臺應(yīng)急響應(yīng)協(xié)調(diào)中心應(yīng)急響應(yīng)組應(yīng)急響應(yīng)組客戶客戶管理機構(gòu)技術(shù)研發(fā)與策略制定專家咨詢信息收集整理與事件跟蹤公共關(guān)系、宣傳與推廣應(yīng)急響應(yīng)服務(wù)聯(lián)絡(luò)人員培訓(xùn)2022/9/1311組織架構(gòu)（續(xù)1）整個架構(gòu)以ISAC平臺為基礎(chǔ)，它負(fù)責(zé)與各級組織進行信息共享和交換。是應(yīng)急響應(yīng)的關(guān)鍵基礎(chǔ)設(shè)施

ISAC全稱InformationSharingandAnalysisCenter,信息共享與分析中心2022/9/1312組織架構(gòu)（續(xù)2）應(yīng)急響應(yīng)協(xié)調(diào)中心(CERT/CC)是最高層組織一方面負(fù)責(zé)協(xié)調(diào)體系的正常運行，維護ISAC平臺，另一方面也是聯(lián)動系統(tǒng)的最重要核心，管理并協(xié)調(diào)各個應(yīng)急響應(yīng)組。應(yīng)急響應(yīng)協(xié)調(diào)中心的功能體現(xiàn)了整個應(yīng)急響應(yīng)體系的功能，并決定了其機構(gòu)設(shè)置。其核心功能包括：事件分類，事件響應(yīng)，安全公告和信息反饋；當(dāng)發(fā)展成為服務(wù)性機構(gòu)以后，它還具有：分析、研發(fā)、信息收集與整理、安全意識及技術(shù)培訓(xùn)，教育推廣等功能中心設(shè)置一個管理機構(gòu)：是整個體系及聯(lián)動運作的總協(xié)調(diào)機構(gòu)，下設(shè)七個分機構(gòu)。2022/9/1313組織架構(gòu)（續(xù)3）應(yīng)急響應(yīng)組(CERT)

以直接應(yīng)對網(wǎng)絡(luò)安全事件為目標(biāo)，可以根據(jù)實際技術(shù)力量和資源狀況設(shè)置與協(xié)調(diào)中心相同的機構(gòu)并適當(dāng)合并，甚至可以承擔(dān)部分協(xié)調(diào)中心的功能。可以根據(jù)自己的范圍為客戶提供直接的技術(shù)支持與應(yīng)急響應(yīng)服務(wù)，同時與協(xié)調(diào)中心保持高度的信息共享?？蛻?/p>

是面對安全事件的最直接的實體，其規(guī)?？纱罂尚　Ｋ环矫婵赏ㄟ^查看ISAC提供的信息實施必要的防范措施，必要時與其它實體進行聯(lián)動，并接受CERT提供的服務(wù)，另一方面也要及時上報所遇到的安全事件信息2022/9/1314組織架構(gòu)（續(xù)4）七個機構(gòu)技術(shù)研發(fā)與策略制定機構(gòu)

負(fù)責(zé)應(yīng)急響應(yīng)關(guān)鍵技術(shù)的研究，開發(fā)和集成，以及應(yīng)急響應(yīng)策略的研究和制定。專家咨詢機構(gòu)

可對應(yīng)急響應(yīng)技術(shù)，策略的研究方向進行把握，保持先進性，也包含法律、政策上的咨詢。信息收集整理與事件跟蹤

是維護ISAC的重要機構(gòu)，一般包括：漏洞及補丁信息，技術(shù)文獻(xiàn)資料，新聞動態(tài)，法律法規(guī)，安全政策，安全報警，安全公告，建議，網(wǎng)站資源連接，常用工具軟件，常見問題（FAQ），技術(shù)論壇等，具有公告，反饋，信息整理的功能。2022/9/1315應(yīng)急響應(yīng)服務(wù)機構(gòu)

是直接應(yīng)對安全事件的機構(gòu)，是應(yīng)急響應(yīng)聯(lián)動系統(tǒng)的任務(wù)所在，利用整個體系提供的信息和功能來應(yīng)對突發(fā)事件，使應(yīng)急響應(yīng)及時有效；事件響應(yīng)后進行必要事件跟蹤工作，對入侵取證和事件信息獲取都有重要作用聯(lián)絡(luò)機構(gòu)

負(fù)責(zé)協(xié)調(diào)各個應(yīng)急響應(yīng)組，以及應(yīng)對事件時的聯(lián)動響應(yīng)，也負(fù)責(zé)與客戶聯(lián)絡(luò)。人員培訓(xùn)

負(fù)責(zé)組織內(nèi)部人員的技術(shù)培訓(xùn)，對固定客戶的技術(shù)支持和社會人員的安全培訓(xùn)，是保持體系健康發(fā)展，提高響應(yīng)能力的重要機構(gòu)，承擔(dān)著教育和推廣功能。公共關(guān)系、宣傳與推廣機構(gòu)

負(fù)責(zé)處理應(yīng)急響應(yīng)不能回避的與法律組織、媒體、行政部門、科研組織等實體之間的關(guān)系，宣傳應(yīng)急響應(yīng)政策，并承擔(dān)部分推廣功能。2022/9/1316六、應(yīng)急響應(yīng)的流程面向客戶的應(yīng)急響應(yīng)流程面向CERT的應(yīng)急響應(yīng)流程這兩個流程圖是防范中心在先前的應(yīng)急響應(yīng)研究與應(yīng)用中給出的個案流程2022/9/1317發(fā)現(xiàn)異?？蛻羰占畔⑾駽ERT或CERT/CC報告采取初步措施隔離、關(guān)閉或監(jiān)控與CERT協(xié)作系統(tǒng)恢復(fù)與網(wǎng)絡(luò)總結(jié)并備案安全政策評估結(jié)束CERT向CERT/CC報告并申請聯(lián)動空間CERT/CC,CERT和出勤人員交換意見/處理事件請求結(jié)束聯(lián)動空間備案并上報結(jié)束派出人員向客戶提供應(yīng)急響應(yīng)服務(wù)是否成功？事件報告已到達(dá)？①①⑧⑦②③否④⑤面向客戶的應(yīng)急響應(yīng)流程2022/9/1318出勤人員與客戶網(wǎng)管聯(lián)系并了解事件詳情檢測與初步抑制措施，收集信息向CERT/CC和聯(lián)動空間報告根除、恢復(fù)總結(jié)（跟蹤）上報接到出勤通知并客戶上報事件有關(guān)信息是否成功？CERT/CC,CERT和出勤人員交換意見/處理事件CERT/CC開辟事件聯(lián)動空間并通知各響應(yīng)組CERT/CC,CERT和出勤人員交換意見/處理事件關(guān)閉空間分析報告并備案判斷區(qū)域并通知該區(qū)域CERT①結(jié)束是否成功？事件報告已到達(dá)？結(jié)束②⑥否⑦③④⑤否否⑧面向CERT的應(yīng)急響應(yīng)流程2022/9/1319七、應(yīng)急響應(yīng)體系建設(shè)的實施方案重要性是我國信息安全保障體系建設(shè)能否順利實施的關(guān)鍵。制定體系建設(shè)實施方案的依據(jù)應(yīng)急響應(yīng)體系的目標(biāo)和關(guān)鍵屬性組織架構(gòu)應(yīng)急響應(yīng)流程可生存性理論體系建設(shè)實施方案體系的建設(shè)是一項復(fù)雜的系統(tǒng)工程。從時間和技術(shù)兩個角度著手技術(shù)，涉及到關(guān)于網(wǎng)絡(luò)應(yīng)急響應(yīng)體系建設(shè)所急需解決的有關(guān)標(biāo)準(zhǔn)，工具，實驗方法和應(yīng)用等四個方面的若干關(guān)鍵技術(shù)時間，給出了從實驗環(huán)境模擬，中小型網(wǎng)絡(luò)實踐到大規(guī)模網(wǎng)絡(luò)推廣的三個具體實施步驟2022/9/1320表1應(yīng)急響應(yīng)體系建設(shè)的實施步驟近期中期遠(yuǎn)期未來基本理論網(wǎng)絡(luò)系統(tǒng)可生存性理論（探索），應(yīng)急響應(yīng)常規(guī)技術(shù)理論（實踐）。網(wǎng)絡(luò)系統(tǒng)可生存性理論（完善，應(yīng)用）。繼續(xù)探索應(yīng)急響應(yīng)的先進理論。建成完善的CNCERT國家應(yīng)急響應(yīng)體系，并發(fā)展成為運行服務(wù)性機構(gòu)，對外提供應(yīng)急響應(yīng)服務(wù)。關(guān)鍵技術(shù)工具開發(fā)，標(biāo)準(zhǔn)制定（草案），實驗環(huán)境搭建，系統(tǒng)集成技術(shù)研究。應(yīng)急響應(yīng)各類標(biāo)準(zhǔn)的推廣與應(yīng)用，工具、硬件實驗環(huán)境和系統(tǒng)集成技術(shù)的不斷完善。（全面貫徹可生存性思想）研究成果在大規(guī)模網(wǎng)絡(luò)環(huán)境中的部署和配置。組織保障研究應(yīng)急響應(yīng)體系組織架構(gòu)，制定實施應(yīng)急響應(yīng)戰(zhàn)略的管理策略。完善實施應(yīng)急響應(yīng)戰(zhàn)略的管理策略制定應(yīng)急響應(yīng)戰(zhàn)略的科學(xué)組織架構(gòu)研究等級保護策略。建立國家級的應(yīng)急響應(yīng)體系組織架構(gòu)和保障措施，實施相應(yīng)的管理策略，實施等級保護策略應(yīng)用對象國內(nèi)骨干網(wǎng)（實驗環(huán)境，服務(wù)對象）國內(nèi)骨干網(wǎng)(全面服務(wù))，中大規(guī)模網(wǎng)絡(luò)（試點