網(wǎng)絡(luò)應(yīng)急響應(yīng)體系架構(gòu)及其建設(shè)的實(shí)施方案研究

第二屆全國(guó)網(wǎng)絡(luò)與信息安全技術(shù)研討會(huì)網(wǎng)絡(luò)應(yīng)急響應(yīng)體系架構(gòu)及其建設(shè)的實(shí)施方案研究

報(bào)告人：董慶寬國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)入侵防范中心2022/9/131內(nèi)容摘要第一概述第二網(wǎng)絡(luò)安全事件現(xiàn)狀與特點(diǎn)分析第三應(yīng)急響應(yīng)體系的關(guān)鍵屬性第四應(yīng)急響應(yīng)體系的先進(jìn)理論第五應(yīng)急響應(yīng)體系的組織架構(gòu)第六應(yīng)急響應(yīng)的流程第七應(yīng)急響應(yīng)體系建設(shè)的實(shí)施方案2022/9/132一、概述定義:應(yīng)急響應(yīng)具體是指一個(gè)組織為了應(yīng)對(duì)各種安全事件的發(fā)生而在事發(fā)前所做的準(zhǔn)備工作和在事件發(fā)時(shí)及發(fā)生后所采取的措施處理的對(duì)象：網(wǎng)絡(luò)安全事件，特別是突發(fā)安全事件目的：實(shí)現(xiàn)“保護(hù)關(guān)鍵網(wǎng)絡(luò)基礎(chǔ)設(shè)施免遭攻擊、降低網(wǎng)絡(luò)的脆弱性、縮短網(wǎng)絡(luò)攻擊發(fā)生后的破壞和恢復(fù)時(shí)間”重要性：國(guó)家安全保障體系的第一優(yōu)先級(jí)事務(wù)

在美國(guó)《保護(hù)網(wǎng)絡(luò)空間的國(guó)家戰(zhàn)略》中，強(qiáng)調(diào)了應(yīng)急響應(yīng)的重要作用中辦發(fā)【27】號(hào)文件中明確指出：要重視信息安全應(yīng)急處理工作2022/9/133二、網(wǎng)絡(luò)安全事件現(xiàn)狀1）安全事件影響嚴(yán)重。

2003年美國(guó)聯(lián)邦調(diào)查局（FBI）和計(jì)算機(jī)安全研究所（CSI）聯(lián)合進(jìn)行的計(jì)算機(jī)犯罪調(diào)查結(jié)果顯示，85%的組織機(jī)構(gòu)遭遇過(guò)安全破壞事件，64%的組織回答這些事件引起了不同程度的經(jīng)濟(jì)損失，加起來(lái)有億美元之多2）法輪功，黃色站點(diǎn)等傳播大量的反動(dòng)的和淫穢信息，而且這些網(wǎng)站不斷發(fā)送大量垃圾郵件。3）某些發(fā)達(dá)國(guó)家在世界范圍內(nèi)施行信息霸權(quán)與威懾。在不遠(yuǎn)的將來(lái)，將可能嚴(yán)重影響國(guó)家政權(quán)的穩(wěn)固4）網(wǎng)絡(luò)設(shè)備潛在一定的危險(xiǎn)。

許多網(wǎng)絡(luò)關(guān)鍵基礎(chǔ)設(shè)施如操作系統(tǒng)，CPU等也存在諸多漏洞和后門2022/9/134網(wǎng)絡(luò)安全事件現(xiàn)狀（續(xù)）5）安全漏洞普遍存在

計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)變得越來(lái)越復(fù)雜。計(jì)算機(jī)軟件（包括操作系統(tǒng)）的安全缺陷往往與軟件的規(guī)模和復(fù)雜性成正比，從設(shè)計(jì)、實(shí)現(xiàn)到維護(hù)階段，都留下大量的安全漏洞。6）攻擊和惡意代碼的大范圍流行

利用系統(tǒng)的安全漏洞入侵是一種普遍手段，“黑客”攻擊計(jì)算機(jī)網(wǎng)絡(luò)的程序隨處可見(jiàn)。7）網(wǎng)絡(luò)和系統(tǒng)管理配置復(fù)雜

目前很少有組織能夠制定完備的安全政策，甚至根本沒(méi)有，或即使有安全政策其更新也可能不及時(shí)。2022/9/135網(wǎng)絡(luò)安全事件的特點(diǎn)分析I．安全事件的發(fā)生直線上升盡管人們對(duì)網(wǎng)絡(luò)安全的關(guān)注與投資與日俱增，但是安全事件的數(shù)量和影響并沒(méi)有因此而減少，攻擊手段從專業(yè)高手向智能化發(fā)展，黑客群不斷擴(kuò)張。II.安全事件打擊面廣，破壞力強(qiáng)，所造成的損失嚴(yán)重具體表現(xiàn)在從間接損失發(fā)展到直接的破壞，由少量損失擴(kuò)大到巨額代價(jià)；從黑客的個(gè)人行為，發(fā)展到有組織、有預(yù)謀的網(wǎng)絡(luò)恐怖主義；從互聯(lián)網(wǎng)滲透到國(guó)家網(wǎng)絡(luò)關(guān)鍵基礎(chǔ)設(shè)施；從網(wǎng)絡(luò)安全問(wèn)題，上升到國(guó)家政治、經(jīng)濟(jì)、社會(huì)、國(guó)防問(wèn)題。III.安全事件的影響不可避免，具有持續(xù)性。2022/9/136三、應(yīng)急響應(yīng)體系的關(guān)鍵屬性策略制定方面：1）整體性：必須是全網(wǎng)范圍內(nèi)的綜合防范，整體聯(lián)動(dòng)，任何一環(huán)的疏忽，都可能導(dǎo)致整個(gè)應(yīng)急響應(yīng)體系的脆弱性，這一屬性同時(shí)也體現(xiàn)了信息安全的“木桶原理”。2）信息共享：必須使網(wǎng)內(nèi)的信息交流暢通，才能做到一方有難，八方資源，同時(shí)也可將發(fā)現(xiàn)的安全事件信息及時(shí)傳遞給全網(wǎng)的各個(gè)實(shí)體共享，以防止事件蔓延。3）措施均衡：管理與技術(shù)兼?zhèn)?，而尤以管理?wèn)題突出，特別是對(duì)人的管理。所謂三分技術(shù)，七分管理。制定策略時(shí)必須兼顧到技術(shù)所能達(dá)到的響應(yīng)能力，并在管理上投入足夠的精力。4）持續(xù)性：應(yīng)急響應(yīng)策略具體制定時(shí)，不可能達(dá)到盡善盡美，必須不斷的完善，體系的建設(shè)必須貫徹安全生命周期思想2022/9/137關(guān)鍵屬性（二）實(shí)現(xiàn)目標(biāo)方面：1）應(yīng)具有一定的危險(xiǎn)判斷能力；2）較強(qiáng)的病毒及入侵抵抗能力；3）強(qiáng)大的恢復(fù)能力；4）較好的自適應(yīng)能力。系統(tǒng)有能力適應(yīng)威脅并且繼續(xù)向用戶提供關(guān)鍵服務(wù)。2022/9/138四、應(yīng)急響應(yīng)體系的先進(jìn)理論應(yīng)急響應(yīng)體系需要先理論網(wǎng)絡(luò)安全事件不可能完全杜絕，應(yīng)急響應(yīng)最根本的工作應(yīng)該是保障大規(guī)模網(wǎng)絡(luò)的關(guān)鍵運(yùn)行系統(tǒng)即使在遭到惡意攻擊時(shí)也應(yīng)該有效的生存和運(yùn)轉(zhuǎn)，即保障大規(guī)模網(wǎng)絡(luò)的生存能力。實(shí)體間需要進(jìn)行沒(méi)有相互協(xié)調(diào)的合作，即能夠?qū)崿F(xiàn)局部的緊急響應(yīng)

僅依靠常規(guī)安全技術(shù)難以解決!2022/9/139先進(jìn)理論（續(xù)）網(wǎng)絡(luò)可生存性理論正是針對(duì)以上問(wèn)題而提出的，信息系統(tǒng)安全理論的研究熱點(diǎn)，尚不成熟，該理論很有前途，是下一代網(wǎng)絡(luò)安全基礎(chǔ)理論，（當(dāng)代安全主要是保障，仍以防御技術(shù)為主）研究目標(biāo)與應(yīng)急響應(yīng)的目標(biāo)相符，應(yīng)急響應(yīng)很大程度上就是一種保障生存的措施特點(diǎn)：將計(jì)算機(jī)安全與風(fēng)險(xiǎn)管理相結(jié)合，保證網(wǎng)絡(luò)的關(guān)鍵服務(wù)的持續(xù)性,在入侵不斷的環(huán)境中生存下來(lái)CMU/SEI研究組的研究影響較大，可參閱：Vickie.“ADefinitionforInformationSystemSurvivability.”Proceedingsofthe37thHawaiiInternalConferenceonSystemSciences(HICSS’04),

2022/9/1310五、應(yīng)急響應(yīng)體系的組織架構(gòu)ISAC平臺(tái)應(yīng)急響應(yīng)協(xié)調(diào)中心應(yīng)急響應(yīng)組應(yīng)急響應(yīng)組客戶客戶管理機(jī)構(gòu)技術(shù)研發(fā)與策略制定專家咨詢信息收集整理與事件跟蹤公共關(guān)系、宣傳與推廣應(yīng)急響應(yīng)服務(wù)聯(lián)絡(luò)人員培訓(xùn)2022/9/1311組織架構(gòu)（續(xù)1）整個(gè)架構(gòu)以ISAC平臺(tái)為基礎(chǔ)，它負(fù)責(zé)與各級(jí)組織進(jìn)行信息共享和交換。是應(yīng)急響應(yīng)的關(guān)鍵基礎(chǔ)設(shè)施

ISAC全稱InformationSharingandAnalysisCenter,信息共享與分析中心2022/9/1312組織架構(gòu)（續(xù)2）應(yīng)急響應(yīng)協(xié)調(diào)中心(CERT/CC)是最高層組織一方面負(fù)責(zé)協(xié)調(diào)體系的正常運(yùn)行，維護(hù)ISAC平臺(tái)，另一方面也是聯(lián)動(dòng)系統(tǒng)的最重要核心，管理并協(xié)調(diào)各個(gè)應(yīng)急響應(yīng)組。應(yīng)急響應(yīng)協(xié)調(diào)中心的功能體現(xiàn)了整個(gè)應(yīng)急響應(yīng)體系的功能，并決定了其機(jī)構(gòu)設(shè)置。其核心功能包括：事件分類，事件響應(yīng)，安全公告和信息反饋；當(dāng)發(fā)展成為服務(wù)性機(jī)構(gòu)以后，它還具有：分析、研發(fā)、信息收集與整理、安全意識(shí)及技術(shù)培訓(xùn)，教育推廣等功能中心設(shè)置一個(gè)管理機(jī)構(gòu)：是整個(gè)體系及聯(lián)動(dòng)運(yùn)作的總協(xié)調(diào)機(jī)構(gòu)，下設(shè)七個(gè)分機(jī)構(gòu)。2022/9/1313組織架構(gòu)（續(xù)3）應(yīng)急響應(yīng)組(CERT)

以直接應(yīng)對(duì)網(wǎng)絡(luò)安全事件為目標(biāo)，可以根據(jù)實(shí)際技術(shù)力量和資源狀況設(shè)置與協(xié)調(diào)中心相同的機(jī)構(gòu)并適當(dāng)合并，甚至可以承擔(dān)部分協(xié)調(diào)中心的功能?？梢愿鶕?jù)自己的范圍為客戶提供直接的技術(shù)支持與應(yīng)急響應(yīng)服務(wù)，同時(shí)與協(xié)調(diào)中心保持高度的信息共享。客戶

是面對(duì)安全事件的最直接的實(shí)體，其規(guī)?？纱罂尚?。它一方面可通過(guò)查看ISAC提供的信息實(shí)施必要的防范措施，必要時(shí)與其它實(shí)體進(jìn)行聯(lián)動(dòng)，并接受CERT提供的服務(wù)，另一方面也要及時(shí)上報(bào)所遇到的安全事件信息2022/9/1314組織架構(gòu)（續(xù)4）七個(gè)機(jī)構(gòu)技術(shù)研發(fā)與策略制定機(jī)構(gòu)

負(fù)責(zé)應(yīng)急響應(yīng)關(guān)鍵技術(shù)的研究，開(kāi)發(fā)和集成，以及應(yīng)急響應(yīng)策略的研究和制定。專家咨詢機(jī)構(gòu)

可對(duì)應(yīng)急響應(yīng)技術(shù)，策略的研究方向進(jìn)行把握，保持先進(jìn)性，也包含法律、政策上的咨詢。信息收集整理與事件跟蹤

是維護(hù)ISAC的重要機(jī)構(gòu)，一般包括：漏洞及補(bǔ)丁信息，技術(shù)文獻(xiàn)資料，新聞動(dòng)態(tài)，法律法規(guī)，安全政策，安全報(bào)警，安全公告，建議，網(wǎng)站資源連接，常用工具軟件，常見(jiàn)問(wèn)題（FAQ），技術(shù)論壇等，具有公告，反饋，信息整理的功能。2022/9/1315應(yīng)急響應(yīng)服務(wù)機(jī)構(gòu)

是直接應(yīng)對(duì)安全事件的機(jī)構(gòu)，是應(yīng)急響應(yīng)聯(lián)動(dòng)系統(tǒng)的任務(wù)所在，利用整個(gè)體系提供的信息和功能來(lái)應(yīng)對(duì)突發(fā)事件，使應(yīng)急響應(yīng)及時(shí)有效；事件響應(yīng)后進(jìn)行必要事件跟蹤工作，對(duì)入侵取證和事件信息獲取都有重要作用聯(lián)絡(luò)機(jī)構(gòu)

負(fù)責(zé)協(xié)調(diào)各個(gè)應(yīng)急響應(yīng)組，以及應(yīng)對(duì)事件時(shí)的聯(lián)動(dòng)響應(yīng)，也負(fù)責(zé)與客戶聯(lián)絡(luò)。人員培訓(xùn)

負(fù)責(zé)組織內(nèi)部人員的技術(shù)培訓(xùn)，對(duì)固定客戶的技術(shù)支持和社會(huì)人員的安全培訓(xùn)，是保持體系健康發(fā)展，提高響應(yīng)能力的重要機(jī)構(gòu)，承擔(dān)著教育和推廣功能。公共關(guān)系、宣傳與推廣機(jī)構(gòu)

負(fù)責(zé)處理應(yīng)急響應(yīng)不能回避的與法律組織、媒體、行政部門、科研組織等實(shí)體之間的關(guān)系，宣傳應(yīng)急響應(yīng)政策，并承擔(dān)部分推廣功能。2022/9/1316六、應(yīng)急響應(yīng)的流程面向客戶的應(yīng)急響應(yīng)流程面向CERT的應(yīng)急響應(yīng)流程這兩個(gè)流程圖是防范中心在先前的應(yīng)急響應(yīng)研究與應(yīng)用中給出的個(gè)案流程2022/9/1317發(fā)現(xiàn)異?？蛻羰占畔⑾駽ERT或CERT/CC報(bào)告采取初步措施隔離、關(guān)閉或監(jiān)控與CERT協(xié)作系統(tǒng)恢復(fù)與網(wǎng)絡(luò)總結(jié)并備案安全政策評(píng)估結(jié)束CERT向CERT/CC報(bào)告并申請(qǐng)聯(lián)動(dòng)空間CERT/CC,CERT和出勤人員交換意見(jiàn)/處理事件請(qǐng)求結(jié)束聯(lián)動(dòng)空間備案并上報(bào)結(jié)束派出人員向客戶提供應(yīng)急響應(yīng)服務(wù)是否成功？事件報(bào)告已到達(dá)？①①⑧⑦②③否④⑤面向客戶的應(yīng)急響應(yīng)流程2022/9/1318出勤人員與客戶網(wǎng)管聯(lián)系并了解事件詳情檢測(cè)與初步抑制措施，收集信息向CERT/CC和聯(lián)動(dòng)空間報(bào)告根除、恢復(fù)總結(jié)（跟蹤）上報(bào)接到出勤通知并客戶上報(bào)事件有關(guān)信息是否成功？CERT/CC,CERT和出勤人員交換意見(jiàn)/處理事件CERT/CC開(kāi)辟事件聯(lián)動(dòng)空間并通知各響應(yīng)組CERT/CC,CERT和出勤人員交換意見(jiàn)/處理事件關(guān)閉空間分析報(bào)告并備案判斷區(qū)域并通知該區(qū)域CERT①結(jié)束是否成功？事件報(bào)告已到達(dá)？結(jié)束②⑥否⑦③④⑤否否⑧面向CERT的應(yīng)急響應(yīng)流程2022/9/1319七、應(yīng)急響應(yīng)體系建設(shè)的實(shí)施方案重要性是我國(guó)信息安全保障體系建設(shè)能否順利實(shí)施的關(guān)鍵。制定體系建設(shè)實(shí)施方案的依據(jù)應(yīng)急響應(yīng)體系的目標(biāo)和關(guān)鍵屬性組織架構(gòu)應(yīng)急響應(yīng)流程可生存性理論體系建設(shè)實(shí)施方案體系的建設(shè)是一項(xiàng)復(fù)雜的系統(tǒng)工程。從時(shí)間和技術(shù)兩個(gè)角度著手技術(shù)，涉及到關(guān)于網(wǎng)絡(luò)應(yīng)急響應(yīng)體系建設(shè)所急需解決的有關(guān)標(biāo)準(zhǔn)，工具，實(shí)驗(yàn)方法和應(yīng)用等四個(gè)方面的若干關(guān)鍵技術(shù)時(shí)間，給出了從實(shí)驗(yàn)環(huán)境模擬，中小型網(wǎng)絡(luò)實(shí)踐到大規(guī)模網(wǎng)絡(luò)推廣的三個(gè)具體實(shí)施步驟2022/9/1320表1應(yīng)急響應(yīng)體系建設(shè)的實(shí)施步驟近期中期遠(yuǎn)期未來(lái)基本理論網(wǎng)絡(luò)系統(tǒng)可生存性理論（探索），應(yīng)急響應(yīng)常規(guī)技術(shù)理論（實(shí)踐）。網(wǎng)絡(luò)系統(tǒng)可生存性理論（完善，應(yīng)用）。繼續(xù)探索應(yīng)急響應(yīng)的先進(jìn)理論。建成完善的CNCERT國(guó)家應(yīng)急響應(yīng)體系，并發(fā)展成為運(yùn)行服務(wù)性機(jī)構(gòu)，對(duì)外提供應(yīng)急響應(yīng)服務(wù)。關(guān)鍵技術(shù)工具開(kāi)發(fā)，標(biāo)準(zhǔn)制定（草案），實(shí)驗(yàn)環(huán)境搭建，系統(tǒng)集成技術(shù)研究。應(yīng)急響應(yīng)各類標(biāo)準(zhǔn)的推廣與應(yīng)用，工具、硬件實(shí)驗(yàn)環(huán)境和系統(tǒng)集成技術(shù)的不斷完善。（全面貫徹可生存性思想）研究成果在大規(guī)模網(wǎng)絡(luò)環(huán)境中的部署和配置。組織保障研究應(yīng)急響應(yīng)體系組織架構(gòu)，制定實(shí)施應(yīng)急響應(yīng)戰(zhàn)略的管理策略。完善實(shí)施應(yīng)急響應(yīng)戰(zhàn)略的管理策略制定應(yīng)急響應(yīng)戰(zhàn)略的科學(xué)組織架構(gòu)研究等級(jí)保護(hù)策略。建立國(guó)家級(jí)的應(yīng)急響應(yīng)體系組織架構(gòu)和保障措施，實(shí)施相應(yīng)的管理策略，實(shí)施等級(jí)保護(hù)策略應(yīng)用對(duì)象國(guó)內(nèi)骨干網(wǎng)（實(shí)驗(yàn)環(huán)境，服務(wù)對(duì)象）國(guó)內(nèi)骨干網(wǎng)(全面服務(wù))，中大規(guī)模網(wǎng)絡(luò)（試點(diǎn)