【正文】 課程要點 ? 什么是應急響應和應急響應體系 ? 應急響應的六大階段 ? 應急預案的編制和管理 ? 應急響應體系建立流程 ? 典型應急響應體系建設(shè)案例 基本概念 ?安全事件（ Security Accident） 而安全事件則是指影響一個系統(tǒng)正常工作的情況。這里的系統(tǒng)包括主機范疇內(nèi)的問題，也包括網(wǎng)絡范疇內(nèi)的問題，例如黑客入侵、信息竊取、拒絕服務攻擊、網(wǎng)絡流量異常等。 ?應急響應（ Emergency Response） 是指組織為了應對突發(fā) /重大信息安全事件的發(fā)生所做的準備以及在事件發(fā)生后所采取的措施。 應急響應是信息安全防護的最后一道防線！ 基本概念 3 ?應急響應 體系 （ Emergency Response System） 是指在突發(fā) /重大信息安全事件后對包括計算機運行在內(nèi)的業(yè)務運行進行維持或恢復的 各種技術(shù)和管理 策略和規(guī)程。 信息安全應急響應 體系 的制定是一個周而復始、持續(xù)改進的過程，包含以下幾個階段： （ 1）應急響應需求分析和應急響應策略的確定； （ 2）編制應急響應計劃文檔； （ 3）應急響應計劃的測試、培訓、演練和維護。 應急響應目的 ? 應急響應服務的目的是盡可能地減小和控制住網(wǎng)絡安全事件的損失，提供有效的響應和恢復指導，并努力防止安全事件的發(fā)生。 損失最小 盡快恢復 應急響應與應急響應體系的關(guān)系 5 應急預案 應急演練 應急響應 技術(shù)管理措施 應急響應體系 政策要求 6 ?《 關(guān)于加強信息安全保障工作的意見 》 （ 中辦發(fā)『 2023』 27號文） 指出：“信息安全保障工作的要點在于，實行信息安全等級保護制度，建設(shè)基于密碼技術(shù)的網(wǎng)絡信任體系，建設(shè)信息安全監(jiān)控體系， 重視信息安全應急處理工作 ，推動信息安全技術(shù)研發(fā)與產(chǎn)業(yè)發(fā)展，建設(shè)信息安全法制與標準” ?國家信息安全戰(zhàn)略的近期目標：通過五年的努力，基本建成國家信息安全保障體系。 政策要求 7 ?為了落實 27號文精神國家網(wǎng)絡與信息安全協(xié)調(diào)小組辦公室于 2023年 10月發(fā)布了 《 網(wǎng)絡與信息安全信息通報暫行辦法 》 、 2023年 9月發(fā)布了 ?《 關(guān)于做好重要信息系統(tǒng)災難備份工作的通知 》， 2023年 8月發(fā)布了 《 關(guān)于建立健全基礎(chǔ)信息網(wǎng)絡和重要信息系統(tǒng)應急協(xié)調(diào)機制的意見 》 等文件。這些文件對推動災難備份和應急響應的發(fā)展起到了重要作用。 相關(guān)標準 8 ? GB/T 243642023 《 信息安全技術(shù) 信息安全應急響應計劃規(guī)范 》 ?GB/T 209882023 《信息安全技術(shù) 信息系統(tǒng) 應急響應 規(guī)范》 ?GB/Z 209852023 《信息技術(shù) 安全技術(shù) 信息安全事件管理指南》 ?GB/Z 209862023 《信息安全技術(shù) 信息安全事件分類分級指南》 應急響應六階段 9 ?第一階段：準備 —— 讓我們嚴陣以待 ?第二階段：確認 —— 對情況綜合判斷 ?第三階段：遏制 —— 制止事態(tài)的擴大 ?第四階段：根除 —— 徹底的補救措施 ?第五階段：恢復 —— 系統(tǒng)恢復常態(tài) ?第六階段：跟蹤 —— 還會有第二次嗎 第一階段 —準備 10 ?預防為主 ?微觀（一般觀點）： 幫助服務對象建立安全政策 幫助服務對象按照安全政策配置安全設(shè)備和軟件 掃描，風險分析，打補丁 如有條件且得到許可，建立監(jiān)控設(shè)施 ?宏觀： 建立協(xié)作體系和應急制度 建立信息溝通渠道和通報機制 如有條件，建立數(shù)據(jù)匯總分析的體系和能力 有關(guān)法律法規(guī)的制定 準備 確認 遏制 根除 恢復 跟蹤 第一階段 —準備 11 ?制定應急響應計劃 ?資源準備 ?應急經(jīng)費籌集 ?人力資源 ?軟硬件設(shè)備 ?現(xiàn)場備份 ?業(yè)務連續(xù)性保障 ?系統(tǒng)容災 ?搭建臨時業(yè)務系統(tǒng) 準備 確認 遏制 根除 恢復 跟蹤 人力資源準備 ? ? 指揮調(diào)度人員 ? ? 協(xié)作人員 ? ? 技術(shù)人員 ? ? 專家 ? ? 設(shè)備、系統(tǒng)和服務提供商 軟硬件設(shè)備準備 ? ? 硬件設(shè)備準備 ?數(shù)據(jù)保護設(shè)備 ? 磁盤、磁帶、光盤 ? SAN ?冗余設(shè)備 ? ? 網(wǎng)絡鏈路、網(wǎng)絡設(shè)備 ? ? 關(guān)鍵計算機設(shè)備 ? Any else? 軟硬件設(shè)備準備 ? ? 軟件工具準備 ? 備份軟件 ? 日志處理軟件 ? 系統(tǒng)軟件 ? 網(wǎng)絡軟件 ? 應急啟動盤 ? Any else? ? 病毒 / 惡意軟件查殺軟件 建立事件報告的機制和要求 建立事件報告流 程和規(guī)范 第二階段 —確認 16 ?確定事件性質(zhì)和處理人 ?微觀（負責具體網(wǎng)絡的 CERT）： 確定事件的責任人 指定一個責任人全權(quán)處理此事件 給予必要的資源 確定事件的性質(zhì) 誤會？玩笑？還是惡意的攻擊 /入侵？ 影響的嚴重程度 預計采用什么樣的專用資源來修復？ ?宏觀（負責總體網(wǎng)絡的 CERT）： 通過匯總，確定是否發(fā)生了全網(wǎng)的大規(guī)模事件 確定應急等級，以決定啟動哪一級應急方案 準備 確認 遏制 根除 恢復 跟蹤 快速分析 ——事故的標志 ? ? 事故的標志分為兩類： – 征兆和預兆 ? ? Web服務器崩潰 ? ? 用戶抱怨主機連接網(wǎng)絡速度過慢 ? ? 子郵件管理員可以看到大批的反彈電子郵件與可疑內(nèi)容 ? ? 網(wǎng)絡管理員通告了一個不尋常的偏離典型的網(wǎng)絡流量流向 ? ? 來源 – 網(wǎng)絡和主機 IDS 、防病毒軟件、文件完整性檢查軟件 – 系統(tǒng)、網(wǎng)絡、蜜罐日志 – 公開可利用的信息 – 第三方監(jiān)視服務 確認事故（ 1） ? ? 確認網(wǎng)絡和系統(tǒng)輪廓： – 分析事故的最好技術(shù)方法之一 ? ? 理解正常的行為 – 基于處理事故的良好準備 ? ? 使用集中的日志管理并創(chuàng)建日志保留策略 ? ? 執(zhí)行事件關(guān)聯(lián) ? ? 保持所有主機時鐘同步 確認事故（ 2） ? ? 維護和使用信息知識庫 – 分析事故時的快速參考 ? ? 使用互聯(lián)網(wǎng)搜索引擎進行研究 ? ? 運行包嗅探器以搜集更多的數(shù)據(jù) ? ? 過濾數(shù)據(jù) ? ? 經(jīng)驗是不可替代的 ? ? 建立診斷矩陣 ? ? 尋求幫助 診斷矩陣實例 征兆 拒絕服務 惡意代碼 非授權(quán)訪問 不正確使用 文件，關(guān)鍵，訪問嘗試 低 中 高 低 文件，不適當?shù)膬?nèi)容 低 中 低 高 主機崩潰 中 中 中 低 端口掃描，輸入的，不正常的 高 低 中 低 端口掃描，輸出的，不正常的 低 高 中 低 利用帶寬高 高 中 低 中 利用電子郵件 中 高 中 中 事故優(yōu)先級 ——服務水平協(xié)議 ? ? 服務水平協(xié)議（ SLA ） – 定義服務目標及雙方的預期及責任 ? ? 服務水平協(xié)議指標 應急響應服務的指標 ? ? 遠程應急響應服務 – 在確認客戶的應急響應請求后 ? 小時內(nèi)，交與相關(guān)應急響應人員進行處理。無論是否解決，進行處理的當天必須返回響應情況的簡報，直到此次響應服務結(jié)束。 ? ? 本地應急響應服務 – 對本地范圍內(nèi)的