CISP/04_第四章 业务连续性/4.2 信息安全应急响应.md

信息安全应急响应

★ 信息安全事件与应急响应
    了解信息安全事件的概念及应急响应在信息安全保障工作中的重要性；
    了解我国信息安全事件的分类分级标准；
    了解国际及我国信息安全应急响应组织；
    了解应急响应组织架构。
★ 网络安全应急响应预案
    了解网络安全应急响应预案的概念及作用；     理解应急响应演练的作用、分类、方式及流程。 ★ 计算机取证及保全
    了解计算机取证的概念及取证的过程；     理解计算机取证过程中准备、保护、提取、分析和提交五个步骤的工作内容。 ★ 信息安全应急响应管理过程
    了解应急响应管理中准备、检测、遏制、根除、恢复和跟踪总结六个阶段工作的内容和目标。

一、信息安全事件与应急响应

1、应急响应的概念

1. 信息安全事件
   • 由于自然或人为以及软、硬件本身缺陷或故障的原因，对信息系统造成危害，或者在信息系统内发生对社会造成负面影响的事件
   • 对信息安全事件进行有效管理和响应，是组织机构安全战略的一部分
2. 应急响应
   • 组织为了应对突发/重大信息安全事件的发生所做的准备，以及在事件发生后所采取的措施。

应急响应工作列为我国信息安全保障工作的重点之一！

应急响应工作列为我国信息安全保障工作的重点之一。《关于加强信息安全保障工作的意见》（中办发【2003】27号文）指出：“信息安全保障工作的要点在于，实行信息安全等级保护制度，建设基于密码技术的网络信任体系，建设信息安全监控体系，重视信息安全应急处理工作，推动信息安全技术研发与产业发展，建设信息安全法制与标准。”《网络安全法》在“第五章监测预警与应急处置”中，对我国的应急响应工作从法律上做了规定。

2、信息安全事件分类分级

• 分类分级是有效防范和响应信息安全事件的基础能够使事前准备、事中应对和事后处理的各项相关工作更具针对性和有效性。

• 分类

  GB/Z 20986-2007中，分有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件7个基本类别，每个类别下有若干子类。

• 分级

  • 参考要素：信息系统的重要程度、系统损失和社会影响

    依据GB/Z20986一2007《信息安全技术信息安全事件分类分级指南》，

    • 信息安全事件的分级参考下列3个要素：①信息系统的重要程度、②系统损失、③社会影响。
    • 信息系统划分为3级：①特别重要信息系统、②重要信息系统、③一般信息系统。
    • 系统损失划分4个级别：①特别严重的系统损失、②严重的系统损失、③较大的系统损失、④较小的系统损失。
    • 社会影响划分4个级别：①特别重大的社会影响、②重大的社会影响、③较大的社会影响、④一般的社会影响。

  • 四级（GB/Z 20986—2007）

    • 特别重大事件（Ⅰ级）
    • 重大事件（Ⅱ级）
    • 较大事件（Ⅲ级）
    • 一般事件（Ⅳ级）

    

3、信息安全应急响应组织

1. 国际应急响应组织

   • 计算机应急响应协调中心（CERT/CC）

   世界上第一个信息安全应急响应组织的成立归因于1988年11月发生的“莫里斯螨虫病毒”事件。

2. 国家应急响应组织

   • 国家计算机网络应急技术处理协调中心（CNCERT/CC)

   此外，我国还有国家计算机病毒应急处理中心、国家计算机网络入侵防范中心、国家863计划反计算机入侵和防病毒研究中心等应急响应组织。

3. 组织机构应急响应组织架构

   • 应急响应领导组
   • 应急响应技术保障组
   • 应急响应专家组
   • 应急响应实施组
   • 应急响应日常运行组

   

二、网络安全应急响应预案

1、什么是应急预案

在分析网络与信息系统突发事件后果和应急能力的基础上，针对可能发生的重大网络与信息系统突发事件，预先制定的行动计划或应急对策。

2、应急预案编制

• 建立在综合防灾规划之上；
• 描述支持应急操作的技术能力，并适应组织要求；
• 在详细程度和灵活程度之间取得平衡；
• 为信息安全事件中不熟悉计划的人员提供快捷明确的指导。

3、应急响应预案的格式

没有标准格式

• 可参考《国家网络安全事件应急预案》
• 应包括总则、角色及职责、预防和预警机制、应急响应流程、应急响应保障措施和附件。

4、应急演练与演习

• 检验应急响应预案的有效性、应急准备的完善性、应急响应能力的适应性和应急人员的协同性。

• 演练方式

  桌面演练、模拟演练、实战演练。

• 演练深度

  数据级演练、应用级演练、业务级演练。

5、信息安全应急演练的操作流程

• 应急事件通报
• 确定应急事件优先级
• 应急响应启动实施
• 应急响应事件后期运维
• 更新现有应急预案

三、计算机取证与保全

1、什么是计算机取证

• 使用先进的技术和工具，按照标准规程全面地检查计算机系统，以提取和保护有关计算机犯罪的相关证据的活动；
• 取证的目的包括通过证据查找肇事者、通过证据推断犯罪过程、通过证据判断受害者损失程度及收集证据提供法律支持；
• 电子证据是计算机系统运行过程中产生的各种信息记录及存储的电子化资料及物品；
• 对于电子证据，取证工作主要围绕两方面进行：证据的获取和证据的分析；
• 计算机取证的过程可以分为准备、保护、提取、分析和提交5个步骤。

2、原则

合法原则、充分授权原则、优先保护证据原则、全程监督原则

3、取证流程

1. 准备阶段

   • 获取授权：取证工作获得明确的授权（授权书）。
   • 目标明确：对取证的目的有清晰的认识。
   • 工具准备：对取证环境的了解及需要准备的工具。
   • 软件准备：对取证的软件进行过有效的验证。
   • 介质准备：确保有符合要求的干净的介质可用于取证。

2. 保护阶段

   • 保证数据安全性：制作磁盘映像不在原始磁盘上操作。
   • 保证数据完整性：取证中不使用可能破坏完整性的操作。
   • 第三方监督：所有操作都有第三方在场监督（取证至少需要3人）。

3. 提取阶段

   • 优先提取易消失的证据：内存信息、系统进程、网络连接信息、路由信息、临时文件、缓存。
   • 文件系统：数据恢复、隐藏文件、加密文件、系统日志。
   • 应用系统：系统日志。

   开机不关、关机不开

4. 分析及提交阶段

   • 证据在什么地方？

     日志、删除的文件、临时文件、缓存

   • 从证据中能发现什么？

   • 如何关联证据？

   • 电子取证提交

     • 必须与现实取证结合，文档化很重要。

四、信息安全应急响应管理过程

• 应急响应六阶段（PDCERF）
  • 第一阶段：准备——让我们严阵以待
  • 第二阶段：检测——对情况综合判断
  • 第三阶段：遏制——制止事态的扩大
  • 第四阶段：根除——彻底的补救措施
  • 第五阶段：恢复——系统恢复常态
  • 第六阶段：跟踪总结——还会有第二次吗

1、第一阶段：准备

• 工作目标
  • 确定重要资产和风险，实施针对风险的防护措施；
  • 编制和管理应急响应计划
    • 应急响应计划的编制准备
    • 编制应急响应计划
    • 应急响应计划的测试、培训演练和维护
  • 为响应组织和准备相关资源
    • 人力资源 （应急响应组织）
    • 财力资源、物质资源、技术资源和社会关系资源等

2、第二阶段：检测

• 工作目标
  • 检测并确认事件的发生
  • 确定事件性质和影响
• 工作内容
  • 进行监测、报告及信息收集
  • 确定事件类别和级别
  • 指定事件处理人，进行初步响应
  • 评估事件的影响范围
  • 事件通告（信息通报、信息上报、信息披露）