信息安全應(yīng)急響應(yīng)體系建設(shè)課件

可編輯ppt1課程要點(diǎn)什么是應(yīng)急響應(yīng)和應(yīng)急響應(yīng)體系應(yīng)急響應(yīng)的六大階段應(yīng)急預(yù)案的編制和管理應(yīng)急響應(yīng)體系建立流程典型應(yīng)急響應(yīng)體系建設(shè)案例可編輯ppt2基本概念安全事件（SecurityAccident）而安全事件則是指影響一個(gè)系統(tǒng)正常工作的情況。這里的系統(tǒng)包括主機(jī)范疇內(nèi)的問題,也包括網(wǎng)絡(luò)范疇內(nèi)的問題,例如黑客入侵、信息竊取、拒絕服務(wù)攻擊、網(wǎng)絡(luò)流量異常等。應(yīng)急響應(yīng)（EmergencyResponse）是指組織為了應(yīng)對突發(fā)/重大信息安全事件的發(fā)生所做的準(zhǔn)備以及在事件發(fā)生后所采取的措施。應(yīng)急響應(yīng)是信息安全防護(hù)的最后一道防線！可編輯ppt3基本概念應(yīng)急響應(yīng)體系（EmergencyResponseSystem）是指在突發(fā)/重大信息安全事件后對包括計(jì)算機(jī)運(yùn)行在內(nèi)的業(yè)務(wù)運(yùn)行進(jìn)行維持或恢復(fù)的各種技術(shù)和管理策略和規(guī)程。信息安全應(yīng)急響應(yīng)體系的制定是一個(gè)周而復(fù)始、持續(xù)改進(jìn)的過程，包含以下幾個(gè)階段:（1）應(yīng)急響應(yīng)需求分析和應(yīng)急響應(yīng)策略的確定；（2）編制應(yīng)急響應(yīng)計(jì)劃文檔；（3）應(yīng)急響應(yīng)計(jì)劃的測試、培訓(xùn)、演練和維護(hù)?？删庉媝pt4應(yīng)急響應(yīng)目的應(yīng)急響應(yīng)服務(wù)的目的是盡可能地減小和控制住網(wǎng)絡(luò)安全事件的損失,提供有效的響應(yīng)和恢復(fù)指導(dǎo),并努力防止安全事件的發(fā)生?？删庉媝pt5應(yīng)急響應(yīng)與應(yīng)急響應(yīng)體系的關(guān)系可編輯ppt6政策要求《關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)『2003』27號文）指出:“信息安全保障工作的要點(diǎn)在于，實(shí)行信息安全等級保護(hù)制度，建設(shè)基于密碼技術(shù)的網(wǎng)絡(luò)信任體系，建設(shè)信息安全監(jiān)控體系，重視信息安全應(yīng)急處理工作，推動(dòng)信息安全技術(shù)研發(fā)與產(chǎn)業(yè)發(fā)展，建設(shè)信息安全法制與標(biāo)準(zhǔn)”國家信息安全戰(zhàn)略的近期目標(biāo):通過五年的努力，基本建成國家信息安全保障體系?？删庉媝pt7政策要求為了落實(shí)27號文精神國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組辦公室于2003年10月發(fā)布了《網(wǎng)絡(luò)與信息安全信息通報(bào)暫行辦法》、2004年9月發(fā)布了《關(guān)于做好重要信息系統(tǒng)災(zāi)難備份工作的通知》,2004年8月發(fā)布了《關(guān)于建立健全基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)應(yīng)急協(xié)調(diào)機(jī)制的意見》等文件。這些文件對推動(dòng)災(zāi)難備份和應(yīng)急響應(yīng)的發(fā)展起到了重要作用。可編輯ppt8相關(guān)標(biāo)準(zhǔn)

GB/T24364-2009

《信息安全技術(shù)

信息安全應(yīng)急響應(yīng)計(jì)劃規(guī)范》GB/T20988-2007《信息安全技術(shù)信息系統(tǒng)應(yīng)急響應(yīng)規(guī)范》GB/Z20985-2007《信息技術(shù)安全技術(shù)信息安全事件管理指南》GB/Z20986-2007《信息安全技術(shù)信息安全事件分類分級指南》可編輯ppt9應(yīng)急響應(yīng)六階段第一階段:準(zhǔn)備——讓我們嚴(yán)陣以待第二階段:確認(rèn)——對情況綜合判斷第三階段:遏制——制止事態(tài)的擴(kuò)大第四階段:根除——徹底的補(bǔ)救措施第五階段:恢復(fù)——系統(tǒng)恢復(fù)常態(tài)第六階段:跟蹤——還會有第二次嗎可編輯ppt10第一階段—準(zhǔn)備預(yù)防為主微觀（一般觀點(diǎn)）:幫助服務(wù)對象建立安全政策幫助服務(wù)對象按照安全政策配置安全設(shè)備和軟件掃描，風(fēng)險(xiǎn)分析，打補(bǔ)丁如有條件且得到許可，建立監(jiān)控設(shè)施宏觀:建立協(xié)作體系和應(yīng)急制度建立信息溝通渠道和通報(bào)機(jī)制如有條件，建立數(shù)據(jù)匯總分析的體系和能力有關(guān)法律法規(guī)的制定可編輯ppt11第一階段—準(zhǔn)備制定應(yīng)急響應(yīng)計(jì)劃資源準(zhǔn)備應(yīng)急經(jīng)費(fèi)籌集人力資源軟硬件設(shè)備現(xiàn)場備份業(yè)務(wù)連續(xù)性保障系統(tǒng)容災(zāi)搭建臨時(shí)業(yè)務(wù)系統(tǒng)可編輯ppt12人力資源準(zhǔn)備?指揮調(diào)度人員?協(xié)作人員?技術(shù)人員?專家?設(shè)備、系統(tǒng)和服務(wù)提供商可編輯ppt13軟硬件設(shè)備準(zhǔn)備?硬件設(shè)備準(zhǔn)備數(shù)據(jù)保護(hù)設(shè)備磁盤、磁帶、光盤SAN冗余設(shè)備?網(wǎng)絡(luò)鏈路、網(wǎng)絡(luò)設(shè)備?關(guān)鍵計(jì)算機(jī)設(shè)備Anyelse?可編輯ppt14軟硬件設(shè)備準(zhǔn)備?軟件工具準(zhǔn)備備份軟件日志處理軟件系統(tǒng)軟件網(wǎng)絡(luò)軟件應(yīng)急啟動(dòng)盤Anyelse?病毒/惡意軟件查殺軟件可編輯ppt15建立事件報(bào)告的機(jī)制和要求建立事件報(bào)告流程和規(guī)范可編輯ppt16第二階段—確認(rèn)確定事件性質(zhì)和處理人微觀（負(fù)責(zé)具體網(wǎng)絡(luò)的CERT）：確定事件的責(zé)任人指定一個(gè)責(zé)任人全權(quán)處理此事件給予必要的資源確定事件的性質(zhì)誤會？玩笑？還是惡意的攻擊/入侵？影響的嚴(yán)重程度預(yù)計(jì)采用什么樣的專用資源來修復(fù)？宏觀（負(fù)責(zé)總體網(wǎng)絡(luò)的CERT）：通過匯總，確定是否發(fā)生了全網(wǎng)的大規(guī)模事件確定應(yīng)急等級，以決定啟動(dòng)哪一級應(yīng)急方案可編輯ppt17快速分析——事故的標(biāo)志?事故的標(biāo)志分為兩類:征兆和預(yù)兆?Web服務(wù)器崩潰?用戶抱怨主機(jī)連接網(wǎng)絡(luò)速度過慢?子郵件管理員可以看到大批的反彈電子郵件與可疑內(nèi)容?網(wǎng)絡(luò)管理員通告了一個(gè)不尋常的偏離典型的網(wǎng)絡(luò)流量流向?來源網(wǎng)絡(luò)和主機(jī)IDS、防病毒軟件、文件完整性檢查軟件系統(tǒng)、網(wǎng)絡(luò)、蜜罐日志公開可利用的信息第三方監(jiān)視服務(wù)可編輯ppt18確認(rèn)事故（1）?確認(rèn)網(wǎng)絡(luò)和系統(tǒng)輪廓:分析事故的最好技術(shù)方法之一?理解正常的行為基于處理事故的良好準(zhǔn)備?使用集中的日志管理并創(chuàng)建日志保留策略?執(zhí)行事件關(guān)聯(lián)?保持所有主機(jī)時(shí)鐘同步可編輯ppt19確認(rèn)事故（2）?維護(hù)和使用信息知識庫分析事故時(shí)的快速參考?使用互聯(lián)網(wǎng)搜索引擎進(jìn)行研究?運(yùn)行包嗅探器以搜集更多的數(shù)據(jù)?過濾數(shù)據(jù)?經(jīng)驗(yàn)是不可替代的?建立診斷矩陣?尋求幫助可編輯ppt20診斷矩陣實(shí)例征兆拒絕服務(wù)惡意代碼非授權(quán)訪問不正確使用文件，關(guān)鍵，訪問嘗試低中高低文件，不適當(dāng)?shù)膬?nèi)容低中低高主機(jī)崩潰中中中低端口掃描，輸入的，不正常的高低中低端口掃描，輸出的，不正常的低高中低利用帶寬高高中低中利用電子郵件中高中中可編輯ppt21事故優(yōu)先級——服務(wù)水平協(xié)議?服務(wù)水平協(xié)議（SLA）定義服務(wù)目標(biāo)及雙方的預(yù)期及責(zé)任?服務(wù)水平協(xié)議指標(biāo)可編輯ppt22應(yīng)急響應(yīng)服務(wù)的指標(biāo)?遠(yuǎn)程應(yīng)急響應(yīng)服務(wù)在確認(rèn)客戶的應(yīng)急響應(yīng)請求后?小時(shí)內(nèi)，交與相關(guān)應(yīng)急響應(yīng)人員進(jìn)行處理。無論是否解決，進(jìn)行處理的當(dāng)天必須返回響應(yīng)情況的簡報(bào)，直到此次響應(yīng)服務(wù)結(jié)束。?本地應(yīng)急響應(yīng)服務(wù)對本地范圍內(nèi)的客戶，？小時(shí)內(nèi)到達(dá)現(xiàn)場；對異地的客戶，？小時(shí)加路途時(shí)間內(nèi)到達(dá)現(xiàn)場?？删庉媝pt23應(yīng)急響應(yīng)SLA矩陣事故當(dāng)前或?qū)砜赡苡绊懙馁Y源的重要性事故當(dāng)前或?qū)砜赡艿挠绊懜撸ɡ纾夯ヂ?lián)網(wǎng)連接，公共Web服務(wù)器，防火墻，客戶數(shù)據(jù)）中（例如：系統(tǒng)管理員工作站，文件和打印服務(wù)器，XYZ應(yīng)用數(shù)據(jù)）低（例如：用戶工作站）Root級訪問15分鐘30分鐘1小時(shí)非授權(quán)的數(shù)據(jù)修改15分鐘30分鐘2小時(shí)對敏感信息的非授權(quán)訪問15分鐘1小時(shí)1小時(shí)非授權(quán)的用戶級訪問30分鐘2小時(shí)4小時(shí)服務(wù)不可用30分鐘2小時(shí)4小時(shí)騷擾30分鐘不限不限可編輯ppt24第三階段—遏制即時(shí)采取的行動(dòng)微觀:防止進(jìn)一步的損失，確定后果初步分析，重點(diǎn)是確定適當(dāng)?shù)姆怄i方法咨詢安全政策確定進(jìn)一步操作的風(fēng)險(xiǎn)損失最小化（最快最簡單的方式恢復(fù)系統(tǒng)的基本功能，例如備機(jī)啟動(dòng)）可列出若干選項(xiàng)，講明各自的風(fēng)險(xiǎn)，由服務(wù)對象選擇宏觀:確保封鎖方法對各網(wǎng)業(yè)務(wù)影響最小通過協(xié)調(diào)爭取各網(wǎng)一致行動(dòng)，實(shí)施隔離匯總數(shù)據(jù)，估算損失和隔離效果可編輯ppt25建立遏制策略建議組織機(jī)構(gòu)為幾類主要的事故建立單獨(dú)的遏制策略，其標(biāo)準(zhǔn)包括:潛在的破壞和資源的竊取證據(jù)保留的需要服務(wù)可用性（例如:網(wǎng)絡(luò)連接，提供給外部當(dāng)事方的服務(wù)）實(shí)施戰(zhàn)略需要的時(shí)間和資源戰(zhàn)略的有效性（例如:部分遏制事故，完全遏制事故）解決方案的期限（例如:緊急事故工作區(qū)需在4小時(shí)內(nèi)清除，臨時(shí)工作區(qū)需在兩周內(nèi)清除，永久的解決方案）?？删庉媝pt26例:基于DDOS攻擊的遏制策略1.基于攻擊特征實(shí)施過濾。2.糾正正在被攻擊的漏洞或弱點(diǎn)3.讓ISP實(shí)施過濾4.重定位目標(biāo)5.攻擊攻擊者6.設(shè)定證據(jù)保留時(shí)間可編輯ppt27第四階段—根除長期的補(bǔ)救措施微觀:詳細(xì)分析，確定原因，定義征兆分析漏洞加強(qiáng)防范消除原因修改安全政策宏觀:加強(qiáng)宣傳，公布危害性和解決辦法，呼吁用戶解決終端的問題；加強(qiáng)檢測工作，發(fā)現(xiàn)和清理行業(yè)與重點(diǎn)部門的問題；可編輯ppt28第五階段—恢復(fù)微觀:被攻擊的系統(tǒng)恢復(fù)正常的工作狀態(tài)作一個(gè)新的備份把所有安全上的變更作備份服務(wù)重新上線持續(xù)監(jiān)控宏觀:持續(xù)匯總分析，了解各網(wǎng)的運(yùn)行情況根據(jù)各網(wǎng)的運(yùn)行情況判斷隔離措施的有效性通過匯總分析的結(jié)果判斷仍然受影響的終端的規(guī)模發(fā)現(xiàn)重要用戶及時(shí)通報(bào)解決適當(dāng)?shù)臅r(shí)候解除封鎖措施可編輯ppt29第六階段—跟蹤關(guān)注系統(tǒng)恢復(fù)以后的安全狀況,特別是曾經(jīng)出問題的地方建立跟蹤文檔,規(guī)范記錄跟蹤結(jié)果對響應(yīng)效果給出評估對進(jìn)入司法程序的事件,進(jìn)行進(jìn)一步的調(diào)查,打擊違法犯罪活動(dòng)可編輯ppt30事件的歸檔與統(tǒng)計(jì)處理人時(shí)間和時(shí)段地點(diǎn)工作量事件的類型對事件的處置情況代價(jià)細(xì)節(jié)可編輯ppt31應(yīng)急響應(yīng)預(yù)案的制定應(yīng)急響應(yīng)預(yù)案的包括的主要內(nèi)容確定風(fēng)險(xiǎn)場景描述可能受到的業(yè)務(wù)影響描述使用的預(yù)防性策略描述應(yīng)急響應(yīng)策略識別和排列關(guān)鍵應(yīng)用系統(tǒng)行動(dòng)計(jì)劃團(tuán)隊(duì)和人員的職責(zé)聯(lián)絡(luò)清單所需資源配置可編輯ppt32應(yīng)急響應(yīng)預(yù)案的制定制定應(yīng)急響應(yīng)預(yù)案的原則首先,必須集中管理應(yīng)急響應(yīng)預(yù)案的版本和發(fā)布。其次,為了建立有效的版本控制體系,必須建立規(guī)范的應(yīng)急響應(yīng)預(yù)案的問題提交、解決、更新、跟蹤、發(fā)布的渠道和流程。第三,建立相關(guān)的保密管理規(guī)定,保證應(yīng)急響應(yīng)預(yù)案中涉及的秘密信息得到保護(hù)。第四,應(yīng)急響應(yīng)預(yù)案在內(nèi)容管理方面應(yīng)注意內(nèi)容的分布和粒度,可根據(jù)版本和內(nèi)容的更新頻度將應(yīng)急響應(yīng)的內(nèi)容進(jìn)行適當(dāng)?shù)姆植?。第?建立合理的應(yīng)急響應(yīng)預(yù)案的保管制度,強(qiáng)調(diào)存放的安全性和易取得性?？删庉媝pt33應(yīng)急響應(yīng)預(yù)案的制定清楚、簡潔高級管理層支持/組織承諾不斷改進(jìn)和更新的恢復(fù)策略及時(shí)的更新維護(hù)組織職責(zé)分工明確保留、備份和異地存儲計(jì)劃完整記錄并定期演練風(fēng)險(xiǎn)得到管理弱點(diǎn)得到優(yōu)先重視靈活、可適應(yīng)成功預(yù)案的特點(diǎn)可編輯ppt34應(yīng)急響應(yīng)預(yù)案的教育、培訓(xùn)和演練在災(zāi)難來臨前使相關(guān)人員了解熟悉恢復(fù)流程使應(yīng)急響應(yīng)預(yù)案得到理解并可以使用促進(jìn)應(yīng)急響應(yīng)預(yù)案活動(dòng)、更新、實(shí)用展示恢復(fù)的能力達(dá)到法律和內(nèi)部審計(jì)要求可編輯ppt35演練與演習(xí)的類型演練和演習(xí)的主要方式有:桌面演練；模擬演練；實(shí)戰(zhàn)演練等根據(jù)演練和演習(xí)的深度，可分為:系統(tǒng)級演練；應(yīng)用級演練；業(yè)務(wù)級演練等根據(jù)演練和演習(xí)的準(zhǔn)備情況，可分為:計(jì)劃內(nèi)的演練和演習(xí)；計(jì)劃外的演練和演習(xí)等參見應(yīng)急演練腳本可編輯ppt36預(yù)案維護(hù)管理核對預(yù)案的功能性驗(yàn)證預(yù)案文檔的精確性和完整性分發(fā)更新的文檔文檔計(jì)劃分發(fā)和發(fā)布流程確保相關(guān)的團(tuán)隊(duì)收到更新的文檔依靠維護(hù)來改變管理流程提供培訓(xùn)作為持續(xù)維護(hù)預(yù)案的一部分為與應(yīng)急響應(yīng)的相關(guān)人員開展定期培訓(xùn)，如:復(fù)習(xí)進(jìn)修課程或?yàn)?zāi)難備份研討會指派培訓(xùn)責(zé)任，如:部門經(jīng)理要確保員工被送去參加培訓(xùn)完成時(shí)報(bào)告預(yù)案維護(hù)情況毀掉舊應(yīng)急響應(yīng)預(yù)案的復(fù)印件或電子版本?？删庉媝pt37預(yù)案變更管理業(yè)務(wù)操作的增長或變化如:新的分支、產(chǎn)品和業(yè)務(wù)功能的增加公司所有權(quán)的變化關(guān)鍵人員的變化硬件配置的變化使用新操作系統(tǒng)預(yù)案審核和演練后軟件/應(yīng)用軟件的變化新的法律或?qū)徲?jì)要求定期審核和更新——如:每年兩次《應(yīng)急預(yù)案管理制度》可編輯ppt38應(yīng)急預(yù)案變更記錄變化記錄頁碼變化備注變化日期簽名可編輯ppt39應(yīng)急響應(yīng)體系建設(shè)流程參見XXX應(yīng)急體系_項(xiàng)目計(jì)劃_080821_C1可編輯ppt40信息安全應(yīng)急響應(yīng)計(jì)劃編制方法總則角色及職責(zé)預(yù)防和預(yù)警機(jī)制應(yīng)急響應(yīng)流程應(yīng)急響應(yīng)保障措施附件可編輯ppt41總則編制目的編制依據(jù)適應(yīng)范圍工作原則可編輯ppt42角色及職責(zé)應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組應(yīng)急響應(yīng)技術(shù)保障小組應(yīng)急響應(yīng)專家小組應(yīng)急響應(yīng)實(shí)施小組應(yīng)急響應(yīng)日常運(yùn)行小組可編輯ppt43預(yù)防和預(yù)警機(jī)制可編輯ppt44應(yīng)急響應(yīng)流程可編輯ppt45事件通告（1）信息通報(bào)信息通報(bào)分為組織內(nèi)信息通報(bào)和組織外信息通報(bào)兩部分。組織內(nèi)信息通報(bào)的目的是在信息安全事件發(fā)生后迅速通知應(yīng)急響應(yīng)日常運(yùn)行小組,并根據(jù)評估結(jié)果迅速通知所有相關(guān)人員,從而快速有序的實(shí)施應(yīng)急響應(yīng)計(jì)劃。組織外信息通報(bào)目的是將相關(guān)信息及時(shí)通報(bào)給受到負(fù)面影響的外部機(jī)構(gòu)、互聯(lián)的單位系統(tǒng)以及重要用戶,同時(shí)根據(jù)應(yīng)急響應(yīng)的需要,應(yīng)將相關(guān)信息準(zhǔn)確通報(bào)給相關(guān)設(shè)備設(shè)施及服務(wù)提供商（包括電信、電力等）等外部組織,以獲得適當(dāng)?shù)膽?yīng)急響應(yīng)支持。值得注意的是對外信息通報(bào)應(yīng)符合組織的對外信息發(fā)布策略。（2）信息上報(bào)信息安全事件發(fā)生后,應(yīng)按照相關(guān)規(guī)定和要求,及時(shí)將情況上報(bào)相關(guān)主管或監(jiān)管單位/部門。（3）信息披露信息發(fā)布的目的是避免信息安全事件影響被誤傳,同時(shí)規(guī)范組織內(nèi)人員信息披露,保證信息的一致性。因此,信息安全事件發(fā)生后,應(yīng)根據(jù)信息安全事件的嚴(yán)重程度,指定特定的小組及時(shí)向新聞媒體發(fā)布相關(guān)信息,并且指定的小組應(yīng)嚴(yán)格按照組織相關(guān)規(guī)定和要求對外發(fā)布信息,同時(shí)組織內(nèi)其它部門或者個(gè)人不得隨意接受新聞媒體采訪或?qū)ν獍l(fā)表自己的看法?？删庉媝pt46應(yīng)急響應(yīng)流程—呼叫樹可編輯ppt47呼叫樹小組名稱姓名在小組中的職位聯(lián)絡(luò)信息工作電話家庭電話手機(jī)電子郵件家庭地址可編輯ppt48信息上報(bào)重大信息安全事件報(bào)告表報(bào)告時(shí)間：年

月

日

時(shí)

分單位名稱：報(bào)告人：聯(lián)系電話：通訊地址：傳真：電子郵件：發(fā)生重大信息安全事件的信息系統(tǒng)名稱及用途：負(fù)責(zé)部門：負(fù)責(zé)人：重大信息安全事件的簡要描述（如以前出現(xiàn)過類似情況也應(yīng)加以說明）：初步判定的事故原因：當(dāng)前采取的措施：本次重大信息安全事件的初步影響狀況：事件后果：影響范圍：嚴(yán)重程度：值班電話：傳真：可編輯ppt49事件分類與定級要確定信息安全事件后如何實(shí)施應(yīng)急響應(yīng)計(jì)劃，對系統(tǒng)損害性質(zhì)和程度的評估是非常重要的。這個(gè)損害評估應(yīng)該在能夠確保人員安全這個(gè)最優(yōu)先任務(wù)的前提下盡快完成。所以，如果可能，應(yīng)急響應(yīng)日常運(yùn)行小組是第一個(gè)得到事件通知的小組。損害評估規(guī)程對于不同的系統(tǒng)是不同的，但是應(yīng)該涉及到以下領(lǐng)域:（1）造成緊急情況或中斷的原因；（2）潛在的附加中斷或損失；（3）受到緊急情況影響的區(qū)域；（4）物理構(gòu)架（如計(jì)算機(jī)室結(jié)構(gòu)的完整性、電源、電信以及制熱、通風(fēng)和空調(diào)的情況）的狀況；（5）系統(tǒng)設(shè)備的總量和功能狀態(tài)（如具備完整功能、具備部分功能或喪失功能）；（6）系統(tǒng)設(shè)備及其存貨的損失類型（如水害、水災(zāi)或熱能、物理以及電涌影響）；（7）被更換的項(xiàng)目（如硬件、軟件、固件或支持材料）；（8）估計(jì)恢復(fù)正常服務(wù)所需的時(shí)間?？删庉媝pt50我國信息安全事件分類方法GB/Z20986-2007《信息安全事件分級分類指南》有害程序事件MI網(wǎng)絡(luò)攻擊事件NAI信息破壞事件IDI信息內(nèi)容安全事件ICSI設(shè)備設(shè)施故障FF災(zāi)害性事件DI其他信息安全事件OI可編輯ppt51我國信息安全事件分級方法分級要素可編輯ppt52我國信息安全事件分級方法特別重大事件(I級）重大事件(II級）較大事件(III級）一般事件(IV級）可編輯ppt53應(yīng)急啟動(dòng)（1）啟動(dòng)原則——快速、有序；（2）啟動(dòng)依據(jù)——一般而言，對于導(dǎo)致業(yè)務(wù)中斷、系統(tǒng)宕機(jī)、網(wǎng)絡(luò)癱瘓等突發(fā)/重大信息安全事件應(yīng)立即啟動(dòng)應(yīng)急。但由于組織規(guī)模、構(gòu)成、性質(zhì)等的不同，不同組織對突發(fā)/重大信息安全事件的定義可能不一樣，因此，各組織的應(yīng)急啟動(dòng)條件可能各不相同。啟動(dòng)條件可以基于以下方面考慮:人員的安全和/或設(shè)施損失的程度；系統(tǒng)損失的程度（如物理的、運(yùn)作的或成本的）；系統(tǒng)對于組織使命的影響程度（如保護(hù)資產(chǎn)的關(guān)鍵基礎(chǔ)設(shè)施）；預(yù)期的中斷持續(xù)時(shí)間等。只有當(dāng)損害評估的結(jié)果顯示一個(gè)或多個(gè)系統(tǒng)啟動(dòng)條件被滿足時(shí)，應(yīng)急響應(yīng)計(jì)劃才應(yīng)被啟動(dòng)。（3）啟動(dòng)方法——由應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組發(fā)布應(yīng)急響應(yīng)啟動(dòng)令?？删庉媝pt54應(yīng)急處置（1）恢復(fù)順序當(dāng)恢復(fù)復(fù)雜系統(tǒng)時(shí)，恢復(fù)進(jìn)程應(yīng)該反映出BIA中確定的系統(tǒng)優(yōu)先順序?；謴?fù)的順序應(yīng)該反映出系統(tǒng)允許的中斷時(shí)間，以避免對相關(guān)系統(tǒng)及其應(yīng)用的重大影響。（2）恢復(fù)規(guī)程為了進(jìn)行恢復(fù)操作，應(yīng)急響應(yīng)計(jì)劃應(yīng)提供恢復(fù)業(yè)務(wù)能力的詳細(xì)規(guī)程。規(guī)程應(yīng)被設(shè)定給適當(dāng)?shù)幕謴?fù)小組并且通常涉及到以下行動(dòng):1）獲得訪問受損設(shè)施和／或地理區(qū)域的授權(quán)；2）通知相關(guān)系統(tǒng)的內(nèi)部和外部業(yè)務(wù)伙伴；3）獲得所需的辦公用品和工作空間；4）獲得安裝所需的硬件部件；5）獲得裝載備份介質(zhì)；6）恢復(fù)關(guān)鍵操作系統(tǒng)和應(yīng)用軟件；7）恢復(fù)系統(tǒng)數(shù)據(jù)；8）成功運(yùn)行備用設(shè)備?？删庉媝pt55例:局域網(wǎng)（LAN）恢復(fù)小組檢查列表LAN恢復(fù)小組:這些規(guī)程用于從備份磁帶中恢復(fù)一個(gè)文件。LAN恢復(fù)小組負(fù)責(zé)繼續(xù)進(jìn)行生產(chǎn)活動(dòng)所需的所有關(guān)鍵文件的重新裝載。確定將要進(jìn)行恢復(fù)的文件及其日期時(shí)間::使用磁帶記錄本確定磁帶編號時(shí)間::如果磁帶不在磁帶庫中，則要求恢復(fù)設(shè)施提供磁帶；填寫適當(dāng)?shù)氖跈?quán)簽名時(shí)間::收到磁帶時(shí)，將日期和時(shí)間填入日志時(shí)間::將磁帶放入驅(qū)動(dòng)器中并開始恢復(fù)進(jìn)程時(shí)間::當(dāng)文件恢復(fù)完畢時(shí)，通知LAN恢復(fù)小組的負(fù)責(zé)人時(shí)間::可編輯ppt56后期處置（1）信息系統(tǒng)重建在應(yīng)急處置工作結(jié)束后，要迅速采取措施，抓緊組織搶修受損的基礎(chǔ)設(shè)施，減少損失，盡快恢復(fù)正常工作。通過統(tǒng)計(jì)各種數(shù)據(jù)，查明原因，對信息安全事件造成的損失和影響以及恢復(fù)重建能力進(jìn)行分析評估，認(rèn)真制定恢復(fù)重建計(jì)劃，迅速組織實(shí)施信息系統(tǒng)重建。（2）應(yīng)急響應(yīng)總結(jié)應(yīng)急響應(yīng)總結(jié)是應(yīng)急處置之后應(yīng)進(jìn)行的工作，具體工作包括:1）分析和總結(jié)事件發(fā)生原因；2）分析和總結(jié)事件現(xiàn)象；3）評估系統(tǒng)的損害程度；4）評估事件導(dǎo)致的損失；5）分析和總結(jié)應(yīng)急處置記錄；6）評審應(yīng)急響應(yīng)措施的效果和效率，并提出改進(jìn)建議；7）評審應(yīng)急響應(yīng)計(jì)劃的效果和效率，并提出改進(jìn)建議?？删庉媝pt57信息安全事件應(yīng)急響應(yīng)總結(jié)模板信息安全事件應(yīng)急響應(yīng)結(jié)果報(bào)告表原事件報(bào)告時(shí)間：年

月

日

時(shí)

分備案編號：年

月

日

第

號

總第

號單位名稱：

聯(lián)系人：聯(lián)系電話：

通訊地址：信息系統(tǒng)名稱及用途：已采用的安全措施：信息安全事件的補(bǔ)充描述及最后判定的事故原因：本次信息安全事件的初步影響狀況：事件后果：

影響范圍：嚴(yán)重程度：本次信息安全事件的主要處理過程及結(jié)果：針對此類信息安全事件應(yīng)采取的保障信息系統(tǒng)安全的措施和建議：報(bào)告人簽名：可編輯ppt58應(yīng)急響應(yīng)保障措施應(yīng)急響應(yīng)保障措施可編輯ppt59附件具體的組織體系結(jié)構(gòu)及人員職責(zé)應(yīng)急響應(yīng)計(jì)劃各小組成員的聯(lián)絡(luò)信息供應(yīng)商聯(lián)絡(luò)信息,包括離站存儲和備用站點(diǎn)的外部聯(lián)系點(diǎn)系統(tǒng)恢復(fù)或處理的標(biāo)準(zhǔn)操作規(guī)程和檢查列表支持系統(tǒng)運(yùn)行所需的硬件、軟件、固件和其它資源的設(shè)備和系統(tǒng)需求清單供應(yīng)商服務(wù)水平協(xié)議（SLA）、與其它機(jī)構(gòu)的互惠協(xié)議和其它關(guān)鍵記錄備用站點(diǎn)的描述和說明在計(jì)劃制定前進(jìn)行的BIA,包含關(guān)于系統(tǒng)各部分相互關(guān)系、風(fēng)險(xiǎn)、優(yōu)先級別等應(yīng)急響應(yīng)計(jì)劃文檔的保存和分發(fā)方法可編輯ppt60應(yīng)急響應(yīng)工作機(jī)構(gòu)圖可編輯ppt61職責(zé)示例應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組:應(yīng)急響應(yīng)領(lǐng)導(dǎo)小組是信息安全應(yīng)急響應(yīng)工作的組織領(lǐng)導(dǎo)機(jī)構(gòu)，組長應(yīng)由組織最高管理層成員擔(dān)任。領(lǐng)導(dǎo)小組的職責(zé)是領(lǐng)導(dǎo)和決策信息安全應(yīng)急響應(yīng)的重大事宜，主要如下:（1）對應(yīng)急響應(yīng)工作的承諾和支持，包括發(fā)布正式文件、提供必要資源（人財(cái)物）等；（2）審核并批準(zhǔn)應(yīng)急響應(yīng)策略；（3）審核并批準(zhǔn)應(yīng)急響應(yīng)計(jì)劃；（4）批準(zhǔn)和監(jiān)督應(yīng)急響應(yīng)計(jì)劃的執(zhí)行；（5)啟動(dòng)定期評審、修訂應(yīng)急響應(yīng)計(jì)劃；（6）負(fù)責(zé)組織的外部協(xié)作工作?？删庉媝pt62應(yīng)急響應(yīng)組（IRT）?什么是應(yīng)急響應(yīng)組（IRT）

應(yīng)急響應(yīng)組就是機(jī)構(gòu)可以借助的網(wǎng)絡(luò)安全專業(yè)組織。?為什么需要成立應(yīng)急響應(yīng)組容易協(xié)調(diào)響應(yīng)工作提高專業(yè)知識提高效率提高先期主動(dòng)防御能力更加適合于滿足機(jī)構(gòu)的需要提高聯(lián)絡(luò)功能提高處理制度障礙方面的能力可編輯ppt63從應(yīng)急組織到應(yīng)急體系:信息安全保障的必要條件現(xiàn)實(shí)表明，單一的應(yīng)急組織已經(jīng)不能應(yīng)對當(dāng)今的網(wǎng)絡(luò)安全威脅，我國的應(yīng)急體系正是在實(shí)際工作的經(jīng)驗(yàn)總結(jié)中逐漸形成的:平臺從點(diǎn)到環(huán)到面；應(yīng)急體系從點(diǎn)到樹到網(wǎng)“現(xiàn)實(shí)世界中發(fā)生的任何事情，在網(wǎng)絡(luò)世界中都可以找到與之對應(yīng)的事件”SARS事件反映出社會防疫應(yīng)急體系的重要紅色代碼、尼姆達(dá)、SQL殺手、口令蠕蟲等具有和現(xiàn)實(shí)世界中的疫病相同的特點(diǎn)處理方式也具有同樣的特點(diǎn):隔離---分析---治療不同之處:“病人”不自知；隔離缺乏法律依據(jù)或技術(shù)手段；應(yīng)急缺乏成熟體系和工作制度…..可編輯ppt64國際信息安全應(yīng)急響應(yīng)組織美國計(jì)算機(jī)緊急事件響應(yīng)小組協(xié)調(diào)中心（ComputerEmergencyResponseTeam/CoordinationCenter,CERT/CC）事件響應(yīng)與安全組織論壇（ForumofIncidentResponseandSecurityTeams,FIRST）

亞太地區(qū)計(jì)算機(jī)應(yīng)急響應(yīng)組（AsiaPacificComputerEmergencyResponseTeam,APCERT）

歐洲計(jì)算機(jī)網(wǎng)絡(luò)研究教育協(xié)會（Trans-EuropeanResearchandEducationNetworkingAssociation,TERENA)

可編輯ppt65我國信息安全應(yīng)急響應(yīng)組織國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina,CNCERT/CC）中國教育和科研計(jì)算機(jī)網(wǎng)緊急響應(yīng)組(ChinaEducationandResearchNetworkComputerEmergencyResponseTeam,CCERT)

國家計(jì)算機(jī)病毒應(yīng)急處理中心

國家計(jì)算機(jī)網(wǎng)絡(luò)入侵防范中心國家863計(jì)劃反計(jì)算機(jī)入侵和防病毒研究中心可編輯ppt66我國公共互聯(lián)網(wǎng)應(yīng)急體系從無到有從小到大從弱到強(qiáng)從點(diǎn)到面可編輯ppt67XX信息安全應(yīng)急響應(yīng)體系廣州市突發(fā)公共事件總體應(yīng)急預(yù)案自然災(zāi)害事故災(zāi)難公共衛(wèi)生社會安全廣州市信息安全突發(fā)事件應(yīng)急預(yù)案市級機(jī)關(guān)事業(yè)單位應(yīng)急預(yù)案區(qū)縣機(jī)關(guān)單位應(yīng)急預(yù)案重點(diǎn)單位應(yīng)急預(yù)案重大事件/活動(dòng)應(yīng)急預(yù)案可編輯ppt68XX市電子政