應(yīng)急響應(yīng)體系建設(shè).pptx

1、應(yīng)急響應(yīng)體系建設(shè),程曉峰,課程要點,什么是應(yīng)急響應(yīng)和應(yīng)急響應(yīng)體系 應(yīng)急響應(yīng)的六大階段 應(yīng)急預(yù)案的編制和管理 應(yīng)急響應(yīng)體系建立流程 典型應(yīng)急響應(yīng)體系建設(shè)案例,基本概念,安全事件（Security Accident） 而安全事件則是指影響一個系統(tǒng)正常工作的情況。這里的系統(tǒng)包括主機范疇內(nèi)的問題，也包括網(wǎng)絡(luò)范疇內(nèi)的問題，例如黑客入侵、信息竊取、拒絕服務(wù)攻擊、網(wǎng)絡(luò)流量異常等。 應(yīng)急響應(yīng)（Emergency Response） 是指組織為了應(yīng)對突發(fā)/重大信息安全事件的發(fā)生所做的準備以及在事件發(fā)生后所采取的措施。,應(yīng)急響應(yīng)是信息安全防護的最后一道防線！,基本概念,4,應(yīng)急響應(yīng)體系（Emergency Res

2、ponse System） 是指在突發(fā)/重大信息安全事件后對包括計算機運行在內(nèi)的業(yè)務(wù)運行進行維持或恢復(fù)的各種技術(shù)和管理策略和規(guī)程。 信息安全應(yīng)急響應(yīng)體系的制定是一個周而復(fù)始、持續(xù)改進的過程，包含以下幾個階段： （1）應(yīng)急響應(yīng)需求分析和應(yīng)急響應(yīng)策略的確定； （2）編制應(yīng)急響應(yīng)計劃文檔； （3）應(yīng)急響應(yīng)計劃的測試、培訓(xùn)、演練和維護。,應(yīng)急響應(yīng)目的,應(yīng)急響應(yīng)服務(wù)的目的是盡可能地減小和控制住網(wǎng)絡(luò)安全事件的損失，提供有效的響應(yīng)和恢復(fù)指導(dǎo)，并努力防止安全事件的發(fā)生。,應(yīng)急響應(yīng)與應(yīng)急響應(yīng)體系的關(guān)系,6,政策要求,7,關(guān)于加強信息安全保障工作的意見（中辦發(fā)200327號文）指出：“信息安全保障工作的要點在于，

3、實行信息安全等級保護制度，建設(shè)基于密碼技術(shù)的網(wǎng)絡(luò)信任體系，建設(shè)信息安全監(jiān)控體系，重視信息安全應(yīng)急處理工作，推動信息安全技術(shù)研發(fā)與產(chǎn)業(yè)發(fā)展，建設(shè)信息安全法制與標準” 國家信息安全戰(zhàn)略的近期目標：通過五年的努力，基本建成國家信息安全保障體系。,政策要求,8,為了落實27號文精神國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組辦公室于2003年10月發(fā)布了網(wǎng)絡(luò)與信息安全信息通報暫行辦法、2004年9月發(fā)布了 關(guān)于做好重要信息系統(tǒng)災(zāi)難備份工作的通知，2004年8月發(fā)布了關(guān)于建立健全基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)應(yīng)急協(xié)調(diào)機制的意見等文件。這些文件對推動災(zāi)難備份和應(yīng)急響應(yīng)的發(fā)展起到了重要作用。,相關(guān)標準,9,GB/T 24364-

4、2009信息安全技術(shù)信息安全應(yīng)急響應(yīng)計劃規(guī)范 GB/T 20988-2007 信息安全技術(shù) 信息系統(tǒng)應(yīng)急響應(yīng)規(guī)范 GB/Z 20985-2007 信息技術(shù) 安全技術(shù) 信息安全事件管理指南 GB/Z 20986-2007 信息安全技術(shù) 信息安全事件分類分級指南,應(yīng)急響應(yīng)六階段,10,第一階段：準備讓我們嚴陣以待 第二階段：確認對情況綜合判斷 第三階段：遏制制止事態(tài)的擴大 第四階段：根除徹底的補救措施 第五階段：恢復(fù)系統(tǒng)恢復(fù)常態(tài) 第六階段：跟蹤還會有第二次嗎,第一階段準備,11,預(yù)防為主 微觀（一般觀點）： 幫助服務(wù)對象建立安全政策 幫助服務(wù)對象按照安全政策配置安全設(shè)備和軟件 掃描，風(fēng)險分析，打補

5、丁 如有條件且得到許可，建立監(jiān)控設(shè)施 宏觀： 建立協(xié)作體系和應(yīng)急制度 建立信息溝通渠道和通報機制 如有條件，建立數(shù)據(jù)匯總分析的體系和能力 有關(guān)法律法規(guī)的制定,第一階段準備,12,制定應(yīng)急響應(yīng)計劃 資源準備 應(yīng)急經(jīng)費籌集 人力資源 軟硬件設(shè)備 現(xiàn)場備份 業(yè)務(wù)連續(xù)性保障 系統(tǒng)容災(zāi) 搭建臨時業(yè)務(wù)系統(tǒng),人力資源準備, 指揮調(diào)度人員 協(xié)作人員 技術(shù)人員 專家 設(shè)備、系統(tǒng)和服務(wù)提供商,軟硬件設(shè)備準備, 硬件設(shè)備準備 數(shù)據(jù)保護設(shè)備 磁盤、磁帶、光盤 SAN 冗余設(shè)備 網(wǎng)絡(luò)鏈路、網(wǎng)絡(luò)設(shè)備 關(guān)鍵計算機設(shè)備 Any else?,軟硬件設(shè)備準備, 軟件工具準備 備份軟件 日志處理軟件 系統(tǒng)軟件 網(wǎng)絡(luò)軟件 應(yīng)急啟動盤

6、 Any else? 病毒/ 惡意軟件查殺軟件,建立事件報告的機制和要求,建立事件報告流 程和規(guī)范,第二階段確認,17,確定事件性質(zhì)和處理人 微觀（負責具體網(wǎng)絡(luò)的CERT）： 確定事件的責任人 指定一個責任人全權(quán)處理此事件 給予必要的資源 確定事件的性質(zhì) 誤會？玩笑？還是惡意的攻擊/入侵？ 影響的嚴重程度 預(yù)計采用什么樣的專用資源來修復(fù)？ 宏觀（負責總體網(wǎng)絡(luò)的CERT）： 通過匯總，確定是否發(fā)生了全網(wǎng)的大規(guī)模事件 確定應(yīng)急等級，以決定啟動哪一級應(yīng)急方案,快速分析事故的標志, 事故的標志分為兩類： 征兆和預(yù)兆 Web服務(wù)器崩潰 用戶抱怨主機連接網(wǎng)絡(luò)速度過慢 子郵件管理員可以看到大批的反彈電子郵件

7、與可疑內(nèi)容 網(wǎng)絡(luò)管理員通告了一個不尋常的偏離典型的網(wǎng)絡(luò)流量流向 來源 網(wǎng)絡(luò)和主機IDS 、防病毒軟件、文件完整性檢查軟件 系統(tǒng)、網(wǎng)絡(luò)、蜜罐日志 公開可利用的信息 第三方監(jiān)視服務(wù),確認事故（1）, 確認網(wǎng)絡(luò)和系統(tǒng)輪廓： 分析事故的最好技術(shù)方法之一 理解正常的行為 基于處理事故的良好準備 使用集中的日志管理并創(chuàng)建日志保留策略 執(zhí)行事件關(guān)聯(lián) 保持所有主機時鐘同步,確認事故（2）, 維護和使用信息知識庫 分析事故時的快速參考 使用互聯(lián)網(wǎng)搜索引擎進行研究 運行包嗅探器以搜集更多的數(shù)據(jù) 過濾數(shù)據(jù) 經(jīng)驗是不可替代的 建立診斷矩陣 尋求幫助,診斷矩陣實例,事故優(yōu)先級服務(wù)水平協(xié)議, 服務(wù)水平協(xié)議（SLA ） 定

8、義服務(wù)目標及雙方的預(yù)期及責任 服務(wù)水平協(xié)議指標,應(yīng)急響應(yīng)服務(wù)的指標, 遠程應(yīng)急響應(yīng)服務(wù) 在確認客戶的應(yīng)急響應(yīng)請求后? 小時內(nèi)，交與相關(guān)應(yīng)急響應(yīng)人員進行處理。無論是否解決，進行處理的當天必須返回響應(yīng)情況的簡報，直到此次響應(yīng)服務(wù)結(jié)束。 本地應(yīng)急響應(yīng)服務(wù) 對本地范圍內(nèi)的客戶，？小時內(nèi)到達現(xiàn)場；對異地的客戶，？小時加路途時間內(nèi)到達現(xiàn)場。,應(yīng)急響應(yīng)SLA 矩陣,第三階段遏制,25,即時采取的行動 微觀： 防止進一步的損失，確定后果 初步分析，重點是確定適當?shù)姆怄i方法 咨詢安全政策 確定進一步操作的風(fēng)險 損失最小化（最快最簡單的方式恢復(fù)系統(tǒng)的基本功能，例如備機啟動） 可列出若干選項，講明各自的風(fēng)險，由服務(wù)

9、對象選擇 宏觀： 確保封鎖方法對各網(wǎng)業(yè)務(wù)影響最小 通過協(xié)調(diào)爭取各網(wǎng)一致行動，實施隔離 匯總數(shù)據(jù)，估算損失和隔離效果,建立遏制策略,建議組織機構(gòu)為幾類主要的事故建立單獨的遏制策略，其標準包括： 潛在的破壞和資源的竊取 證據(jù)保留的需要 服務(wù)可用性（例如：網(wǎng)絡(luò)連接，提供給外部當事方的服務(wù)） 實施戰(zhàn)略需要的時間和資源 戰(zhàn)略的有效性（例如：部分遏制事故，完全遏制事故） 解決方案的期限（例如：緊急事故工作區(qū)需在4 小時內(nèi)清除，臨時工作區(qū)需在兩周內(nèi)清除，永久的解決方案）。,例：基于DDOS 攻擊的遏制策略,1. 基于攻擊特征實施過濾。 2. 糾正正在被攻擊的漏洞或弱點 3. 讓ISP 實施過濾 4. 重定位

10、目標 5. 攻擊攻擊者 6. 設(shè)定證據(jù)保留時間,第四階段根除,28,長期的補救措施 微觀： 詳細分析，確定原因，定義征兆 分析漏洞 加強防范 消除原因 修改安全政策 宏觀： 加強宣傳，公布危害性和解決辦法，呼吁用戶解決終端的問題； 加強檢測工作，發(fā)現(xiàn)和清理行業(yè)與重點部門的問題；,第五階段恢復(fù),29,微觀： 被攻擊的系統(tǒng)恢復(fù)正常的工作狀態(tài) 作一個新的備份 把所有安全上的變更作備份 服務(wù)重新上線 持續(xù)監(jiān)控 宏觀： 持續(xù)匯總分析，了解各網(wǎng)的運行情況 根據(jù)各網(wǎng)的運行情況判斷隔離措施的有效性 通過匯總分析的結(jié)果判斷仍然受影響的終端的規(guī)模 發(fā)現(xiàn)重要用戶及時通報解決 適當?shù)臅r候解除封鎖措施,第六階段跟蹤,3

11、0,關(guān)注系統(tǒng)恢復(fù)以后的安全狀況，特別是曾經(jīng)出問題的地方 建立跟蹤文檔，規(guī)范記錄跟蹤結(jié)果 對響應(yīng)效果給出評估 對進入司法程序的事件，進行進一步的調(diào)查，打擊違法犯罪活動,事件的歸檔與統(tǒng)計,31,處理人 時間和時段 地點 工作量 事件的類型 對事件的處置情況 代價 細節(jié),應(yīng)急響應(yīng)預(yù)案的制定,應(yīng)急響應(yīng)預(yù)案的包括的主要內(nèi)容 確定風(fēng)險場景 描述可能受到的業(yè)務(wù)影響 描述使用的預(yù)防性策略 描述應(yīng)急響應(yīng)策略 識別和排列關(guān)鍵應(yīng)用系統(tǒng) 行動計劃 團隊和人員的職責 聯(lián)絡(luò)清單 所需資源配置,32,應(yīng)急響應(yīng)預(yù)案的制定,制定應(yīng)急響應(yīng)預(yù)案的原則 首先，必須集中管理應(yīng)急響應(yīng)預(yù)案的版本和發(fā)布。 其次，為了建立有效的版本控制體系，

12、必須建立規(guī)范的應(yīng)急響應(yīng)預(yù)案的問題提交、解決、更新、跟蹤、發(fā)布的渠道和流程。 第三，建立相關(guān)的保密管理規(guī)定，保證應(yīng)急響應(yīng)預(yù)案中涉及的秘密信息得到保護。 第四，應(yīng)急響應(yīng)預(yù)案在內(nèi)容管理方面應(yīng)注意內(nèi)容的分布和粒度，可根據(jù)版本和內(nèi)容的更新頻度將應(yīng)急響應(yīng)的內(nèi)容進行適當?shù)姆植肌?第五，建立合理的應(yīng)急響應(yīng)預(yù)案的保管制度，強調(diào)存放的安全性和易取得性。,33,應(yīng)急響應(yīng)預(yù)案的制定,清楚、簡潔 高級管理層支持/組織承諾 不斷改進和更新的恢復(fù)策略 及時的更新維護,組織職責分工明確 保留、備份和異地存儲計劃 完整記錄并定期演練 風(fēng)險得到管理 弱點得到優(yōu)先重視 靈活、可適應(yīng),成功預(yù)案的特點,34,應(yīng)急響應(yīng)預(yù)案的教育、培訓(xùn)和

13、演練,在災(zāi)難來臨前使相關(guān)人員了解熟悉恢復(fù)流程 使應(yīng)急響應(yīng)預(yù)案得到理解并可以使用 促進應(yīng)急響應(yīng)預(yù)案活動、更新、實用 展示恢復(fù)的能力 達到法律和內(nèi)部審計要求,35,演練與演習(xí)的類型,演練和演習(xí)的主要方式有： 桌面演練； 模擬演練； 實戰(zhàn)演練等 根據(jù)演練和演習(xí)的深度，可分為： 系統(tǒng)級演練； 應(yīng)用級演練； 業(yè)務(wù)級演練等 根據(jù)演練和演習(xí)的準備情況，可分為： 計劃內(nèi)的演練和演習(xí)； 計劃外的演練和演習(xí)等,36,參見應(yīng)急演練腳本,預(yù)案維護管理,核對預(yù)案的功能性 驗證預(yù)案文檔的精確性和完整性 分發(fā)更新的文檔 文檔計劃分發(fā)和發(fā)布流程 確保相關(guān)的團隊收到更新的文檔 依靠維護來改變管理流程 提供培訓(xùn)作為持續(xù)維護預(yù)案的

14、一部分 為與應(yīng)急響應(yīng)的相關(guān)人員開展定期培訓(xùn)，如：復(fù)習(xí)進修課程或災(zāi)難備份研討會 指派培訓(xùn)責任，如：部門經(jīng)理要確保員工被送去參加培訓(xùn) 完成時報告預(yù)案維護情況 毀掉舊應(yīng)急響應(yīng)預(yù)案的復(fù)印件或電子版本。,37,預(yù)案變更管理,業(yè)務(wù)操作的增長或變化 如：新的分支、產(chǎn)品和業(yè)務(wù)功能的增加 公司所有權(quán)的變化 關(guān)鍵人員的變化 硬件配置的變化 使用新操作系統(tǒng) 預(yù)案審核和演練后 軟件/應(yīng)用軟件的變化 新的法律或?qū)徲嬕?定期審核和更新如：每年兩次,38,應(yīng)急預(yù)案管理制度,應(yīng)急預(yù)案變更記錄,應(yīng)急響應(yīng)體系建設(shè)流程,參見XXX應(yīng)急體系_項目計劃_080821_C1,信息安全應(yīng)急響應(yīng)計劃編制方法,41,總則 角色及職責 預(yù)防和

15、預(yù)警機制 應(yīng)急響應(yīng)流程 應(yīng)急響應(yīng)保障措施 附件,總則,42,編制目的 編制依據(jù) 適應(yīng)范圍 工作原則,角色及職責,43,應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組 應(yīng)急響應(yīng)技術(shù)保障小組 應(yīng)急響應(yīng)專家小組 應(yīng)急響應(yīng)實施小組 應(yīng)急響應(yīng)日常運行小組,預(yù)防和預(yù)警機制,44,應(yīng)急響應(yīng)流程,45,事件通告,（1）信息通報 信息通報分為組織內(nèi)信息通報和組織外信息通報兩部分。組織內(nèi)信息通報的目的是在信息安全事件發(fā)生后迅速通知應(yīng)急響應(yīng)日常運行小組，并根據(jù)評估結(jié)果迅速通知所有相關(guān)人員，從而快速有序的實施應(yīng)急響應(yīng)計劃。組織外信息通報目的是將相關(guān)信息及時通報給受到負面影響的外部機構(gòu)、互聯(lián)的單位系統(tǒng)以及重要用戶，同時根據(jù)應(yīng)急響應(yīng)的需要，應(yīng)將相關(guān)信

16、息準確通報給相關(guān)設(shè)備設(shè)施及服務(wù)提供商（包括電信、電力等）等外部組織，以獲得適當?shù)膽?yīng)急響應(yīng)支持。值得注意的是對外信息通報應(yīng)符合組織的對外信息發(fā)布策略。 （2）信息上報 信息安全事件發(fā)生后，應(yīng)按照相關(guān)規(guī)定和要求，及時將情況上報相關(guān)主管或監(jiān)管單位/部門。 （3）信息披露 信息發(fā)布的目的是避免信息安全事件影響被誤傳，同時規(guī)范組織內(nèi)人員信息披露，保證信息的一致性。因此，信息安全事件發(fā)生后，應(yīng)根據(jù)信息安全事件的嚴重程度，指定特定的小組及時向新聞媒體發(fā)布相關(guān)信息，并且指定的小組應(yīng)嚴格按照組織相關(guān)規(guī)定和要求對外發(fā)布信息，同時組織內(nèi)其它部門或者個人不得隨意接受新聞媒體采訪或?qū)ν獍l(fā)表自己的看法。,應(yīng)急響應(yīng)流程呼叫

17、樹,47,呼叫樹,信息上報,事件分類與定級,要確定信息安全事件后如何實施應(yīng)急響應(yīng)計劃，對系統(tǒng)損害性質(zhì)和程度的評估是非常重要的。這個損害評估應(yīng)該在能夠確保人員安全這個最優(yōu)先任務(wù)的前提下盡快完成。所以，如果可能，應(yīng)急響應(yīng)日常運行小組是第一個得到事件通知的小組。損害評估規(guī)程對于不同的系統(tǒng)是不同的，但是應(yīng)該涉及到以下領(lǐng)域： （1）造成緊急情況或中斷的原因； （2）潛在的附加中斷或損失； （3）受到緊急情況影響的區(qū)域； （4）物理構(gòu)架（如計算機室結(jié)構(gòu)的完整性、電源、電信以及制熱、通風(fēng)和空調(diào)的情況）的狀況； （5）系統(tǒng)設(shè)備的總量和功能狀態(tài)（如具備完整功能、具備部分功能或喪失功能）； （6）系統(tǒng)設(shè)備及其存貨

18、的損失類型（如水害、水災(zāi)或熱能、物理以及電涌影響）； （7）被更換的項目（如硬件、軟件、固件或支持材料）； （8）估計恢復(fù)正常服務(wù)所需的時間。,我國信息安全事件分類方法,51,GB/Z 20986-2007信息安全事件分級分類指南 有害程序事件MI 網(wǎng)絡(luò)攻擊事件NAI 信息破壞事件IDI 信息內(nèi)容安全事件ICSI 設(shè)備設(shè)施故障FF 災(zāi)害性事件DI 其他信息安全事件OI,我國信息安全事件分級方法,52,分級要素,我國信息安全事件分級方法,53,特別重大事件 (I級）,重 大 事 件 (II級）,較 大 事 件 (III級）,一 般 事 件 (IV級）,應(yīng)急啟動,（1）啟動原則快速、有序； （2）

19、啟動依據(jù)一般而言，對于導(dǎo)致業(yè)務(wù)中斷、系統(tǒng)宕機、網(wǎng)絡(luò)癱瘓等突發(fā)/重大信息安全事件應(yīng)立即啟動應(yīng)急。但由于組織規(guī)模、構(gòu)成、性質(zhì)等的不同，不同組織對突發(fā)/重大信息安全事件的定義可能不一樣，因此，各組織的應(yīng)急啟動條件可能各不相同。啟動條件可以基于以下方面考慮：人員的安全和/或設(shè)施損失的程度；系統(tǒng)損失的程度（如物理的、運作的或成本的）；系統(tǒng)對于組織使命的影響程度（如保護資產(chǎn)的關(guān)鍵基礎(chǔ)設(shè)施）；預(yù)期的中斷持續(xù)時間等。只有當損害評估的結(jié)果顯示一個或多個系統(tǒng)啟動條件被滿足時，應(yīng)急響應(yīng)計劃才應(yīng)被啟動。 （3）啟動方法由應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組發(fā)布應(yīng)急響應(yīng)啟動令。,應(yīng)急處置,（1）恢復(fù)順序 當恢復(fù)復(fù)雜系統(tǒng)時，恢復(fù)進程應(yīng)該反映

20、出BIA中確定的系統(tǒng)優(yōu)先順序?；謴?fù)的順序應(yīng)該反映出系統(tǒng)允許的中斷時間，以避免對相關(guān)系統(tǒng)及其應(yīng)用的重大影響。 （2）恢復(fù)規(guī)程 為了進行恢復(fù)操作，應(yīng)急響應(yīng)計劃應(yīng)提供恢復(fù)業(yè)務(wù)能力的詳細規(guī)程。規(guī)程應(yīng)被設(shè)定給適當?shù)幕謴?fù)小組并且通常涉及到以下行動： 1）獲得訪問受損設(shè)施和或地理區(qū)域的授權(quán)； 2）通知相關(guān)系統(tǒng)的內(nèi)部和外部業(yè)務(wù)伙伴； 3）獲得所需的辦公用品和工作空間； 4）獲得安裝所需的硬件部件； 5）獲得裝載備份介質(zhì)； 6）恢復(fù)關(guān)鍵操作系統(tǒng)和應(yīng)用軟件； 7）恢復(fù)系統(tǒng)數(shù)據(jù)； 8）成功運行備用設(shè)備。,例：局域網(wǎng)（LAN）恢復(fù)小組檢查列表,后期處置,（1）信息系統(tǒng)重建 在應(yīng)急處置工作結(jié)束后，要迅速采取措施，抓緊組

21、織搶修受損的基礎(chǔ)設(shè)施，減少損失，盡快恢復(fù)正常工作。 通過統(tǒng)計各種數(shù)據(jù)，查明原因，對信息安全事件造成的損失和影響以及恢復(fù)重建能力進行分析評估，認真制定恢復(fù)重建計劃，迅速組織實施信息系統(tǒng)重建。 （2）應(yīng)急響應(yīng)總結(jié) 應(yīng)急響應(yīng)總結(jié)是應(yīng)急處置之后應(yīng)進行的工作，具體工作包括： 1）分析和總結(jié)事件發(fā)生原因； 2）分析和總結(jié)事件現(xiàn)象； 3）評估系統(tǒng)的損害程度； 4）評估事件導(dǎo)致的損失； 5）分析和總結(jié)應(yīng)急處置記錄； 6）評審應(yīng)急響應(yīng)措施的效果和效率，并提出改進建議； 7）評審應(yīng)急響應(yīng)計劃的效果和效率，并提出改進建議。,信息安全事件應(yīng)急響應(yīng)總結(jié)模板,應(yīng)急響應(yīng)保障措施,59,應(yīng)急響應(yīng)保障措施,附件,60,具體的組

22、織體系結(jié)構(gòu)及人員職責 應(yīng)急響應(yīng)計劃各小組成員的聯(lián)絡(luò)信息 供應(yīng)商聯(lián)絡(luò)信息，包括離站存儲和備用站點的外部聯(lián)系點 系統(tǒng)恢復(fù)或處理的標準操作規(guī)程和檢查列表 支持系統(tǒng)運行所需的硬件、軟件、固件和其它資源的設(shè)備和系統(tǒng)需求清單 供應(yīng)商服務(wù)水平協(xié)議（SLA）、與其它機構(gòu)的互惠協(xié)議和其它關(guān)鍵記錄 備用站點的描述和說明 在計劃制定前進行的BIA，包含關(guān)于系統(tǒng)各部分相互關(guān)系、風(fēng)險、優(yōu)先級別等 應(yīng)急響應(yīng)計劃文檔的保存和分發(fā)方法,應(yīng)急響應(yīng)工作機構(gòu)圖,61,職責示例,62,應(yīng)急響應(yīng)組（IRT ）, 什么是應(yīng)急響應(yīng)組（IRT ） 應(yīng)急響應(yīng)組就是機構(gòu)可以借助的網(wǎng)絡(luò)安全專業(yè)組織。 為什么需要成立應(yīng)急響應(yīng)組 容易協(xié)調(diào)響應(yīng)工作 提

23、高專業(yè)知識 提高效率 提高先期主動防御能力 更加適合于滿足機構(gòu)的需要 提高聯(lián)絡(luò)功能 提高處理制度障礙方面的能力,從應(yīng)急組織到應(yīng)急體系：信息安全保障的必要條件,現(xiàn)實表明，單一的應(yīng)急組織已經(jīng)不能應(yīng)對當今的網(wǎng)絡(luò)安全威脅，我國的應(yīng)急體系正是在實際工作的經(jīng)驗總結(jié)中逐漸形成的：平臺從點到環(huán)到面；應(yīng)急體系從點到樹到網(wǎng) “現(xiàn)實世界中發(fā)生的任何事情，在網(wǎng)絡(luò)世界中都可以找到與之對 應(yīng)的事件” SARS 事件反映出社會防疫應(yīng)急體系的重要 紅色代碼、尼姆達、SQL 殺手、口令蠕蟲等具有和現(xiàn)實世界中的疫病相同的特點 處理方式也具有同樣的特點：隔離- 分析- 治療 不同之處：“病人”不自知；隔離缺乏法律依據(jù)或技術(shù)手段；應(yīng)

24、 急缺乏成熟體系和工作制度. .,國際信息安全應(yīng)急響應(yīng)組織,65,美國計算機緊急事件響應(yīng)小組協(xié)調(diào)中心 （Computer Emergency Response Team/Coordination Center, CERT/CC） 事件響應(yīng)與安全組織論壇（Forum of Incident Response and Security Teams, FIRST） 亞太地區(qū)計算機應(yīng)急響應(yīng)組（Asia Pacific Computer Emergency Response Team, APCERT） 歐洲計算機網(wǎng)絡(luò)研究教育協(xié)會（Trans-European Research and Education

25、 Networking Association, TERENA),我國信息安全應(yīng)急響應(yīng)組織,66,國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心 （National Computer network Emergency Response technical Team/Coordination Center of China, CNCERT/CC） 中國教育和科研計算機網(wǎng)緊急響應(yīng)組(China Education and Research Network Computer Emergency Response Team, CCERT) 國家計算機病毒應(yīng)急處理中心 國家計算機網(wǎng)絡(luò)入侵防范中心 國家863計劃反計算機入侵和防病毒研究中心,我國公共互聯(lián)網(wǎng)應(yīng)急體系,從無到有 從小到大 從弱到強 從點到面,XX信息安全應(yīng)急響應(yīng)體系,X