第6講 應(yīng)急響應(yīng)課件

第6講應(yīng)急響應(yīng)6.1應(yīng)急響應(yīng)概述6.2應(yīng)急響應(yīng)計劃6.3應(yīng)急響應(yīng)案例分析6.4國家互聯(lián)網(wǎng)應(yīng)急處理中心介紹第6講應(yīng)急響應(yīng)6.1應(yīng)急響應(yīng)概述應(yīng)急響應(yīng)(EmergencyResponse)，指組織為了應(yīng)對突發(fā)／重大信息安全事件的發(fā)生所做的準備及在事件發(fā)生后所采取的措施。應(yīng)急響應(yīng)計劃(EmergencyResponse

Plan)，指組織為了應(yīng)對突發(fā)／重大信息安全事件而編制的，對包括信息系統(tǒng)運行在內(nèi)的業(yè)務(wù)運行進行維持或恢復的策略和規(guī)程。第6講應(yīng)急響應(yīng)6.2應(yīng)急響應(yīng)計劃計劃的準備階段：指應(yīng)急響應(yīng)需求分析和應(yīng)急響應(yīng)策略的確定。需求分析和策略確定建立在風險評估的基礎(chǔ)之上，并且緊緊圍繞著組織的業(yè)務(wù)戰(zhàn)略來展開。計劃的編制階段：應(yīng)將需求和策略細化成應(yīng)急響應(yīng)的各項措施，編制應(yīng)急響應(yīng)計劃文檔。計劃的實踐階段：應(yīng)急響應(yīng)計劃的測試、人員培訓、演練（實戰(zhàn)）和計劃更新。第6講應(yīng)急響應(yīng)６.2.1應(yīng)急響應(yīng)計劃的準備信息環(huán)境——軟環(huán)境威脅識別信息環(huán)境——硬環(huán)境威脅識別公用信息載體威脅識別專用信息載體威脅識別威脅輸出報告第6講應(yīng)急響應(yīng)６.2.1應(yīng)急響應(yīng)計劃的準備風險評估業(yè)務(wù)影響分析：評估特定信息安全事件對各種業(yè)務(wù)功能的影響。制定應(yīng)急響應(yīng)策略：如何快速、有效地恢復信息系統(tǒng)的運行的方法，用于指導、設(shè)計應(yīng)急響應(yīng)計劃的詳細工作流程。第6講應(yīng)急響應(yīng)6.2.2應(yīng)急響應(yīng)計劃的制定總則角色及職責預(yù)防和預(yù)警機制應(yīng)急響應(yīng)流程應(yīng)急響應(yīng)保障措施附件第6講應(yīng)急響應(yīng)總則編制目的：制定的原因和目標編制依據(jù)：說明編制的依據(jù)，包括國家有關(guān)信息安全應(yīng)急響應(yīng)的相關(guān)標準、政府或企業(yè)的有關(guān)突發(fā)公共事件應(yīng)急響應(yīng)的文件等適用范圍：說明計劃的范圍、解決哪些問題。工作原則：確定應(yīng)急響應(yīng)計劃組織和實施原則第6講應(yīng)急響應(yīng)角色和流程成立應(yīng)急響應(yīng)工作機構(gòu)，明確職責應(yīng)急響應(yīng)領(lǐng)導小組應(yīng)急響應(yīng)技術(shù)保障小組應(yīng)急響應(yīng)專家小組應(yīng)急響應(yīng)實施小組應(yīng)急響應(yīng)日常運行小組第6講應(yīng)急響應(yīng)應(yīng)急響應(yīng)工作機構(gòu)圖Ｐ３３９第6講應(yīng)急響應(yīng)預(yù)防和預(yù)警機制最常見的措施是容災(zāi)備份第6講應(yīng)急響應(yīng)應(yīng)急響應(yīng)流程Ｐ３４０第6講應(yīng)急響應(yīng)應(yīng)急響應(yīng)流程事件通告事件定級應(yīng)急啟動應(yīng)急處置后期處置第6講應(yīng)急響應(yīng)1)事件通告信息通報信息上報信息披露第6講應(yīng)急響應(yīng)信息安全事件報告表第6講應(yīng)急響應(yīng)2)事件定級：對突發(fā)安全事件進行分類和分級評估組織的主要業(yè)務(wù)與其他區(qū)域受到影響的程度，并以此作為事件定級的依據(jù)潛在的附加影響或損失（次生災(zāi)害）造成緊急情況或系統(tǒng)中斷的原因物理環(huán)境的狀況系統(tǒng)設(shè)備的總和和功能狀態(tài)系統(tǒng)設(shè)備及其存貨的損失類型（如水災(zāi)或熱能等）被更換的項目評估恢復正常報務(wù)所需的時間第6講應(yīng)急響應(yīng)信息安全事件響應(yīng)等級表事件響應(yīng)等級內(nèi)容描述Ｉ級事件現(xiàn)有的系統(tǒng)停機，或遭到嚴重攻擊行為或安全事件，或?qū)?shù)據(jù)中心的業(yè)務(wù)運作有重大影響，持續(xù)時間小于4h的事件。持續(xù)時間超過4h，則升級到重大責任事故Ⅱ級事件現(xiàn)有系統(tǒng)的操作系統(tǒng)性能嚴重降低，或由于網(wǎng)絡(luò)性能失?；虬踩录乐赜绊憯?shù)據(jù)中心業(yè)務(wù)運作，持續(xù)時間小于8h的事件。持續(xù)時間超過８h，則升級為Ｉ級事件Ⅲ級事件系統(tǒng)的操作性能受損，安全事件如病毒在小范圍內(nèi)發(fā)作，但大部分業(yè)務(wù)運作仍可正常工作，持續(xù)時間小于8h的事件。持續(xù)時間超過８h，則升級為Ⅱ級事件Ⅳ級事件在服務(wù)器、存儲設(shè)備、安全設(shè)備等的功能、安裝或配置方面需要信息咨詢或技術(shù)支持。本級故障對數(shù)據(jù)中心的業(yè)務(wù)運作幾乎無影響，或根本沒有影響，持續(xù)時間小于4h的事件。持續(xù)時間超過８h，則升級為Ⅲ級事件第6講應(yīng)急響應(yīng)3）應(yīng)急啟動啟動原則：果斷、快速、在序啟動依據(jù)：激活條件啟動方法：由應(yīng)急啟動領(lǐng)導小組發(fā)布啟動令，但現(xiàn)場人員應(yīng)按照預(yù)先制定的響應(yīng)方案立即采取搶救措施，同時請示領(lǐng)導小組發(fā)布啟動令第6講應(yīng)急響應(yīng)4）應(yīng)急處置●應(yīng)急響應(yīng)啟動令一旦下達，就應(yīng)采取相關(guān)措施抑制或清除信息安全事件影響?！駠矣嘘P(guān)標準中的應(yīng)急處理規(guī)定主要對恢復順序和恢復任務(wù)作了一些規(guī)范性要求●恢復順序●恢復任務(wù)●恢復流程第6講應(yīng)急響應(yīng)5）后期處置●信息系統(tǒng)重建，具體的方法（1）統(tǒng)計分析各種數(shù)據(jù)，查明原因。事后責任追究甚至法律介入起到關(guān)鍵作用（2）對信息安全事件造成的影響及恢復重建工作進行分析與評估（3）認真制定恢復重建計劃（4）重建工作完成后，對所采取的措施進行（簡要的）風險評估第6講應(yīng)急響應(yīng)5）后期處置●應(yīng)急響應(yīng)/事件總結(jié)，具體包括：（1）分析和總結(jié)事件發(fā)生的原因（2）分析和總結(jié)事件現(xiàn)象（3）評估系統(tǒng)的損害程度（4）評估事件導致的損失（5）分析和總結(jié)應(yīng)急處置記錄（6）評審應(yīng)急響應(yīng)措施的效果和效率，并提出改進建議（7）評審應(yīng)急響應(yīng)計劃的效果和效率，并提出改進建議第6講應(yīng)急響應(yīng)應(yīng)急響應(yīng)/事件總結(jié)第6講應(yīng)急響應(yīng)應(yīng)急響應(yīng)保障措施人員保障：管理人員保障，技術(shù)人員保障物質(zhì)保障：財力物質(zhì)、交通運輸物質(zhì)、治安維護、通信保障技術(shù)保障：事件監(jiān)控與預(yù)警的技術(shù)保障、應(yīng)急技術(shù)保障第6講應(yīng)急響應(yīng)應(yīng)急響應(yīng)計劃的培訓、演練和更新培訓人員，提高素質(zhì)演練計劃（實戰(zhàn)演練）計劃更新第6講應(yīng)急響應(yīng)文檔的保存、分發(fā)與維擴由專人負責保存與分發(fā)復制多份并在不同的地點保存分發(fā)給參與應(yīng)急響應(yīng)工作的所有人員在每次修訂后對所有復制件統(tǒng)一更新，并保留一套，以備查閱舊版本應(yīng)按有關(guān)規(guī)定銷毀第6講應(yīng)急響應(yīng)６.3應(yīng)急響應(yīng)案例分析南海大學信息安全應(yīng)急響應(yīng)計劃示例四個校區(qū)，5萬學生，“數(shù)字化校園”“南洋烽火計劃”第6講應(yīng)急響應(yīng)南洋烽火計劃１．總則２．角色與職責３．預(yù)防和預(yù)警機制４．應(yīng)急響應(yīng)流程５．應(yīng)急響應(yīng)保障措施６．計劃的培訓和演練７．附件第6講應(yīng)急響應(yīng)編制依據(jù)貫徹落實《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《計算機病毒防治管理辦法》、《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》等國家有關(guān)法律、法規(guī)依據(jù)信息安全技術(shù)信息安全事件管理指南》（GB/Z20985-2007）《信息安全技術(shù)信息安全事件分級分類指南》（GB/Z20986-2007）、

《信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復規(guī)范》（GB/Z20988-2007）參照《信息安全技術(shù)信息安全應(yīng)急響應(yīng)計劃規(guī)范》（草案）第6講應(yīng)急響應(yīng)事件分類校園網(wǎng)網(wǎng)站主頁被篡改、交互式欄目里發(fā)表反政府、分裂國家、不利于民族團結(jié)、色情等內(nèi)容的信息，以及損害國家、學校所在地區(qū)和學校聲譽方面的謠言內(nèi)網(wǎng)網(wǎng)絡(luò)應(yīng)用服務(wù)器被非法入侵，應(yīng)用服務(wù)器上的數(shù)據(jù)被非法復制、修改和刪除內(nèi)網(wǎng)有關(guān)學?？蒲?、教學及學校行政管理有關(guān)的敏感數(shù)據(jù)被泄露或未經(jīng)授權(quán)被訪問在外網(wǎng)網(wǎng)站上發(fā)布的內(nèi)容違反國家的法律、法規(guī)或侵犯知識產(chǎn)權(quán)，已經(jīng)造成嚴重后果病毒的大規(guī)模爆發(fā)和網(wǎng)絡(luò)攻擊第6講應(yīng)急響應(yīng)事件定級分為四級：一般(Ⅳ級,藍色事件)、較大(Ⅲ級，黃色事件)、重大(Ⅱ級，橙色事件)、特別重大(Ⅰ級，紅色事件)藍色事件（Ⅳ級）：校園網(wǎng)出現(xiàn)的非法信息，在校內(nèi)造成一定的影響，但尚未在社會上造成影響；由于病毒攻擊、非法入侵等原因，200臺以內(nèi)的用戶主機不能正常工作藍色事件發(fā)生后,24h之內(nèi)無法解決，自動上升為黃色事件，并啟動黃色事件響應(yīng)程序第6講應(yīng)急響應(yīng)事件定級續(xù)1黃色事件（Ⅲ級）：校園網(wǎng)出現(xiàn)的非法信息，在校內(nèi)造成廣泛影響，并在社會上造成一定的影響；由于病毒攻擊、非法入侵等原因，致使學校大部分校區(qū)網(wǎng)絡(luò)癱瘓，或者FTP及部分網(wǎng)站服務(wù)不能響應(yīng)用戶請求黃色事件發(fā)生后,在8h之內(nèi)無法解決，自動上升為橙色事件，并啟動橙色事件響應(yīng)程序第6講應(yīng)急響應(yīng)事件定級續(xù)2橙色事件（Ⅱ級）：校園網(wǎng)出現(xiàn)的非法信息，在校內(nèi)造成實質(zhì)性影響，并在社會上造成嚴重影響；由于病毒攻擊、非法入侵等原因，致使學校大部分校區(qū)網(wǎng)絡(luò)癱瘓，或者郵件、校園一卡通計費服務(wù)器無法正常工作橙色事件發(fā)生后,在8h之內(nèi)無法解決，自動上升為紅色事件，并啟動紅色事件響應(yīng)程序第6講應(yīng)急響應(yīng)事件定級續(xù)3紅色事件（Ⅰ級）：校園網(wǎng)出現(xiàn)的非法信息，在校內(nèi)造成重大實質(zhì)性影響，并在社會上嚴重危害國家和社會；由于病毒攻擊、非法入侵等原因，致使校園網(wǎng)整體癱瘓，或者學校網(wǎng)絡(luò)中心全部NDS、主Web服務(wù)器不能正常工作；由于病毒攻擊、非法入侵、人為破壞或不可抗力等原因，造成校園網(wǎng)與Internet的連接中斷紅色事件發(fā)生后,在4h之內(nèi)無法解決，則成為較大信息安全責任事故，需按照學校有關(guān)規(guī)定上報上級有關(guān)部門第6講應(yīng)急響應(yīng)應(yīng)急處置病毒傳播：及時斷開傳播源，判斷病毒的性質(zhì)，采用的端口，然后關(guān)閉相應(yīng)的端口，在網(wǎng)上公布病毒攻擊信息及防御方法入侵：首先判斷入侵來源，區(qū)分來自內(nèi)部還是外部。來自外部的，定位和取證入侵的IP地址，關(guān)閉入侵的端口；來自內(nèi)部的，查清入侵來源，如IP地址，上網(wǎng)帳號等信息，同時斷開對應(yīng)的交換機端口并進行取證，然后針對入侵方法布署或更新相應(yīng)的入侵檢測設(shè)備信息被篡改：馬上斷開相應(yīng)鏈接，并盡快恢復被篡改的信息網(wǎng)絡(luò)故障：一旦發(fā)現(xiàn)，及時排除其他災(zāi)害：結(jié)合具體情況進行分析第6講應(yīng)急響應(yīng)6.4國家互聯(lián)網(wǎng)應(yīng)急中心介紹成立于1999年，是工信部領(lǐng)導下的國家級網(wǎng)絡(luò)安全應(yīng)急機構(gòu)，支持重要信息系統(tǒng)的網(wǎng)絡(luò)監(jiān)測、預(yù)警和處置等。積極預(yù)防，及時發(fā)現(xiàn)，快速響應(yīng)，力爭恢