应急响应处置管理.ppt

《应急响应处置管理.ppt》由会员分享，可在线阅读，更多相关《应急响应处置管理.ppt（94页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、应急响应处置管理应急响应处置管理15.1 应急响应概述应急响应概述n15.1.1 应急响应的内涵应急响应的内涵n应急响应通常是指人们为了应对各种紧急事件的发生所作的准备以及在事件发生后所采取的措施。n信息安全中的应急响应的内涵则需要在对“应急响应”概念理解的基础上，n结合信息安全背景知识针对“安全紧急事件”内涵，以及“做什么准备？”和“采取什么措施？”等内容做进一步的定义说明。15.1.1 应急响应的内涵应急响应的内涵n1安全紧急事件安全紧急事件n紧急事件是应急响应的对象，在信息安全应急响应领域，安全紧急事件一定属于安全事件范畴。n根据信息安全三个基本属性，即机密性C（Confidential

2、ity）、完整性I（Integrality）和可用性A（Availability），n安全事件可被定义为破坏或企图破坏信息或信息系统CIA属性的行为事件。15.1.1 应急响应的内涵应急响应的内涵n（1）破坏机密性的安全事件：如入侵系统并窃取信息、搭线窃听、远程探测网络拓扑结构和计算机系统配置等。n（2）破坏完整性的安全事件：如入侵系统并篡改数据、劫持网络连接并篡改或插入数据、安装特洛伊木马或计算机病毒等。n（3）破坏可用性的安全事件：如水火等自然灾害引起的设备损坏，拒绝服务攻击、病毒入侵引起的系统资源或网络带宽性能下降等。15.1.1 应急响应的内涵应急响应的内涵n目前，随着人们对信息安全的

3、认识理解不断深入，越来越多的人认为CIA界定的安全属性范围还不够全面，n例如表15-1所列举的安全事件，根据CIA安全三属性就很难被划归为安全事件范畴。n因此，人们从不同的角度对“信息安全”含义进行解释说明，出现了“机密性”、“真实性”、“完整性”、“可用性”、“不可否认性”、“生存性”等描述方式。安全事件安全事件类类型型说说明明行为抵赖通常指行为一方否认自己曾经执行过某种操作，例如在电子商务中交易方之一否认曾经定购过某种商品或否认曾经接受过订单。不良信息非法传播例如垃圾邮件骚扰和传播色情信息等。愚弄和欺诈例如散发虚假紧急信息，导致大量组织机构采取不必要的紧急预防措施，影响系统正常运行。表15

4、-1 安全事件举例15.1.1 应急响应的内涵应急响应的内涵n2“做什么准备？做什么准备？”和和“采取什么措施采取什么措施？”n“做什么准备？”和“采取什么措施？”意指在信息安全应急响应活动中所要做的工作。n根据开展的时间阶段，应急响应工作可以划分为事先准备和事后措施两大部分。15.1.1 应急响应的内涵应急响应的内涵n事先准备，其目的在于进行预警和制定各种防范措施，n比如风险评估、安全策略制定、系统及数据备份、安全意识培训以及安全通告发布等；n事后措施，其目的在于把事件造成的损失降到最小，n比如事件发生后进行的安全隔离、威胁清除及系统恢复、调查与追踪、入侵者取证等一系列操作。n事先准备与事后

5、措施两个方面的工作是相辅相承、相互补充的。15.1.1 应急响应的应急响应的内涵内涵n首先，事前的计划和准备为事件发生后的响应动作提供了指导框架，否则响应动作将陷入混乱，n其次，事后的响应可能会发现事先计划的不足，从而进一步完善事先的安全准备。n因此，这两个方面应该形成一种正反馈的机制，逐步强化系统安全防范及应急体系。15.1.2 应急响应的地位与作用应急响应的地位与作用n信息安全可以被看作一个动态的过程，它包括风险分析（Risk Analysis）、安全防护（Prevention）、安全检测（Detection）以及响应（Response）4个阶段，n通常被称为以安全策略（Security

6、Policy）为中心的安全生命周期P-RPDR安全模型。n在P-RPDR安全模型中，安全风险分析产生安全策略，安全策略决定防护、检测和响应措施。风险分析、防护、检测和响应间的相互关系如图15-1所示。安全策略风险分析安全检测安全防护响应图15-1 P-RPDR安全模型15.1.2 应急响应的地位与作用应急响应的地位与作用n应急响应在P-RPDR安全模型中属于响应范畴，n它不仅仅是防护和检测措施的必要补充，而且可以发现安全策略的漏洞，重新进行安全风险评估，n进一步指导修订安全策略，加强防护、检测和响应措施，将系统调整到“最安全”的状态。15.1.3 应急响应的必要性应急响应的必要性n根据P-RP

7、DR安全模型可知，为了保证信息安全，首先采取的方法就是入侵阻止（即安全防护），n其次采用入侵检测，因为网络入侵防不胜防，所以要对无法防御的入侵行为及内部安全威胁进行检测。n那么把所有的精力和资源都投放到安全生命周期前三个阶段，是否足以保证信息系统和信息的安全呢？答案是否定的。15.1.3 应急响应的必要性应急响应的必要性n首先，从理论上无法保证系统的绝对安全。n迄今为止软件工程技术还无法做到可信计算机安全评估准则中信息系统A2级的安全要求，即形式证明一个系统的安全性。n另外，目前也没有一种切实可行的方法能够保证人们获取完善的安全策略，以及解决合法用户在通过“身份鉴别”后滥用特权的问题。n因此从

8、设计、实现到维护阶段，信息系统都可能留下大量的安全漏洞。15.1.3 应急响应的必要性应急响应的必要性n其次，现实中尽管人们对信息安全的关注与投资与日俱增，但是安全事件的数量和影响并没有因此而减少。n从计算机应急响应协调中心（CERT/CC）对19932003十年间发生的网络攻击事件的统计（如表15-2所示）来看，攻击事件发生的数量逐年增加，n近几年由于Internet上网络攻击事件太过于频繁，自2004年计算机应急响应协调中心停止了对网络攻击事件统计信息的公布。年度19931994199519961997199819992000200120022003事件数量1334234024122573

9、213437349859217565265882094137529表15-1 安全事件举例15.1.3 应急响应的必要性应急响应的必要性n最后，目前越来越多的组织在遭受到攻击后，希望通过法律手段追查肇事者，n就需要出示收集到的数据作为证据，而计算机取证是应急响应的一个重要环节。n由此可见，网络入侵防不胜防，因此有必要建立起一套应急响应机制，n一方面提高系统自身的抗攻击能力，另一方面也为法律提供数据依据。15.2 应急响应组织应急响应组织n15.2.1 应急响应组织的起源及发展应急响应组织的起源及发展n1988年11月莫里斯蠕虫病毒事件之后的一个星期内，n美国国防部资助宾夕法尼亚洲的卡内基梅隆大

10、学成立了国际上第一个应急响应组织计算机应急响应协调中心（Computer Emergency Response Team/Coordination Center，CERT/CC），n主要用于协调Internet网上的安全事件处理。15.2.1 应急响应组织的起源及发应急响应组织的起源及发展展nCERT/CC成立后，随着互联网对网络安全的需要迅速增强，世界各地应急响应组织如雨后春笋般的出现。n例如美国联邦FedCIRC、澳大利亚的AusCERT、德国的DFN-CERT、日本的JPCERT/CC，以及亚太地区的APCERTF（Asia Pacific Computer Emergency Resp

11、onse Task Force）和欧洲的EuroCERT等。15.2.1 应急响应组织的起源及发应急响应组织的起源及发展展n为了促进全球各应急响应组织之间协调与合作，1990年应急响应与安全组织论坛（Forum of Incident Response and Security Teams，FIRST）成立。nFIRST发起时有11个成员，至今已经发展成一个由170多个成员组成的国际性组织。nFIRST成员主要来自各政府、商业和学术方面的计算机安全事件响应组织，以及致力于计算机安全事件防范、快速响应和信息共享的国际组织网站。15.2.1 应急响应组织的起源及发应急响应组织的起源及发展展n中国的

12、应急响应工作起步较晚，但发展迅速。n中国教育与科研计算机网络（China Education and Research Network，CERNET）n于1999年在清华大学成立了中国教育和科研计算机网络应急响应小组（China Computer Emergency Response Team，CCERT），15.2.1 应急响应组织的起源及发应急响应组织的起源及发展展n这是中国大陆第一个计算机安全应急响应组织，目前已经在全国各地成立了NJCERT、PKCERT、GZCERT、CDCERT等多个应急响应小组。n2000年在美国召开的FIRST年会上，CCERT第一次在国际舞台上介绍了中国应急响

13、应的发展。15.2.1 应急响应组织的起源及发应急响应组织的起源及发展展n2000年10月国家计算机网络应急处理协调中心CNCERT/CC成立，n该中心的任务是在国家因特网应急小组协调办公室的直接领导下，n协调全国范围内计算机安全应急响应小组的工作，以及与国际计算机安全组织的交流。n2002年8月CNCERT/CC成为国际权威组织FIRST的正式成员，并参与组织成立了亚太地区的专业组织APCERT，是APCERT的指导委员会委员。15.2.2 应急响应组织的分类应急响应组织的分类n应急响应组织是应急响应工作的主体，n目前国内外安全事件应急响应组织大概可被划分为n国内或国际间的应急响应协调组织、

14、n企业或政府组织的应急响应组织、n计算机软件厂商提供的应急响应组织n商业化的应急响应组织等4大类，n其组织模式如图15-2所示国际间应急响应协调组织国内应急响应协调组织国内应急响应协调组织企业或政府组织的应急响应组织企业或政府组织的应急响应组织企业或政府组织的应急响应组织组织内部客户群公 司 内 部及 产 品 用户愿意付费的任意用户图15-2 应急响应组织模式15.2.2 应急响应组织的分类应急响应组织的分类n（1）国内或国际间的应急响应协调组织n国内或国际间的应急响应协调组织通常属于公益性应急响应组织，n一般由政府或社会公益性组织资助，对社会所有用户提供公益性的应急响应协调服务。n例如，CE

15、RT/CC由美国国防部资助，中国的CCERT和CNCERT/CC也属于该种类型的应急响应组织。15.2.2 应急响应组织的分类应急响应组织的分类n（2）企业或政府组织的应急响应组织n企业或政府组织的应急响应组织的服务对象仅限于本组织内部的客户群，n可以提供现场的事件处理，分发安全软件和漏洞补丁，培训和技术支持等，n另外还可以参与组织安全政策的制定和审查等。例如美国联邦的FedCIRC、美国银行的BACIRT，及CERNET的CCERT等。15.2.2 应急响应组织的分类应急响应组织的分类n（3）计算机软件厂商提供的应急响应组织n计算机软件厂商提供的应急响应组织主要为本公司产品的安全问题提供应急

16、响应服务，n同时也为公司内部的雇员提供安全事件处理和技术支持。n例如SUN、Cisco等公司的应急响应组织。15.2.2 应急响应组织的分类应急响应组织的分类n（4）商业化的应急响应组织n商业化的应急响应组织面向全社会提供商业化的安全救援服务，n其特点在于一般具有高质量的服务保障，在突发安全事件时能够及时响应，n有的应急响应组织甚至提供724的服务(全天候的服务)和现场事件处理等。15.2.3 国内外典型应急响应组织简国内外典型应急响应组织简介介n1美国计算机美国计算机应急响应协调中心应急响应协调中心（CERT/CC）n目前，CERT/CC是美国国防部资助下的抗毁性网络系统计划（Network

17、ed Systems Survivability Program）的一部分，n下设3个部门：事件处理组、缺陷处理组和计算机应急响应组（CSIRT），如图15-3所示。卡耐基梅隆大学（CMU）软件工程研究所（SEI）抗毁性网络管理（Survivable Network Management）CERT/CC抗毁性网络技术（Survivable Network Technology）缺陷处理（Vulnerability Handing）事件处理（Incident Handing）美国国防部计算机应急响应组（CSIRT development）图15-3 CERT/CC组织结构15.2.3 国内外典型

18、应急响应组织简国内外典型应急响应组织简介介nCERT/CC提供的服务内容如下。n（1）安全事件响应；n（2）安全事件分析和软件安全缺陷研究；n（3）漏洞知识库开发；n（4）信息发布，包括缺陷、公告、总结、统计、补丁和工具；n（5）教育与培训，包括CSIRT管理、CSIRT技术培训、系统和网络管理员安全培训；n（6）指导其他CSIRT（或CERT）组合资建设。15.2.3 国内外典型应急响应组织简国内外典型应急响应组织简介介n2中国教育和科研计算机网中国教育和科研计算机网应急响应组应急响应组（CCERT）nCCERT是中国教育和科研计算机网CERNET专家委员会领导之下的一个公益性的服务和研究组

19、织，n目前，CCERT的应急响应体系已经包括CERNET内部各级网络中心的安全事件响应小组或安全管理相关部门，n已经发展成一个由30多个单位组成，覆盖全国的应急响应组织。15.2.3 国内外典型应急响应组织简国内外典型应急响应组织简介介nCCERT首要的服务对象是中国教育和科研计算机网络本身，确保CERNET网络的安全可靠运行，n为教育和科研提供一个安全的网络环境。服务范围包括：n（1）网络安全政策制定和实施监督；n（2）网络运行状态的日常安全监测；n（3）及时地安全通告；n（4）网络安全事件应急响应；n（5）网络安全突发事件的应急解决方案的制定和实施；15.2.3 国内外典型应急响应组织简国

20、内外典型应急响应组织简介介n（6）CERNET各级网络管理人员的安全管理知识的教育与培训。15.2.3 国内外典型应急响应组织简国内外典型应急响应组织简介介n3国家计算机网络国家计算机网络应急处理协调中心应急处理协调中心（CNCERT/CC）n国家计算机网络应急处理协调中心（CNCERT/CC）是在信息产业部互联网应急处理协调办公室的直接领导下，n负责协调我国各计算机网络安全事件应急小组共同处理国家公共互联网上的安全紧急事件，n为国家公共互联网、国家主要网络信息应用系统以及关键部门n提供计算机网络安全的监测、预警、应急、防范等安全服务和技术支持。15.2.3 国内外典型应急响应组织简国内外典型

21、应急响应组织简介介nCNCERT/CC组织体系结构如下图所示。国家网络与信息安全协调小组办公室领导信息产业部互联网应急处理协调办公室国外政府部门联系其他管理部门联系领导领导国外CERT组织国家计算机网络应急响应处理协调中心（CNSERT/CC）863-917网络安全监测平台联系运行信息产业部网络安全重点实验室信息产业部网络应急重点实验室中 国 互联 网 协会 应 急处 理 联盟（网络 与 信息 安 全工 作 委员会协调/指导支撑国家计算机病毒应急处理中心（天津市公安局）国家计算机网络入侵防范中心（中科院研究生院）协调/指导支撑公共互联网应急处理服务国家级试点单位国家计算机网络应急响应处理协调中

22、心各省份中心（共31个）骨干网的CERT领导指导协调协调指导15.2.3 国内外典型应急响应组织简国内外典型应急响应组织简介介nCNCERT/CC提供的业务功能如下。n（1）信息获取：通过各种信息渠道与合作体系，及时获取各种安全事件与安全技术的相关信息；n（2）事件监测：及时发现各类重大安全隐患与安全事件，向有关部门发出预警信息，提供技术支持；n（3）事件处理：协调国内各应急小组处理公共互联网上的各类重大安全事件，同时，作为国际上与中国进行安全事件协调处理的主要接口，协调处理来自国内外的安全事件投诉；15.2.3 国内外典型应急响应组织简国内外典型应急响应组织简介介n（4）数据分析：对各类安全

23、事件的有关数据进行综合分析，形成权威的数据分析报告；n（5）资源建设：收集整理安全漏洞、布丁、攻击防御工具和最新网络安全技术等各种基础信息资源，为各方面的相关工作提供支持；n（6）安全研究：跟踪研究各种安全问题和技术，为安全防护和应急处理提供基础；n（7）安全培训：网络安全应急处理技术以及应急组织建设等方面的培训；15.2.3 国内外典型应急响应组织简国内外典型应急响应组织简介介 3n（8）技术咨询：提供安全事件处理的各类技术咨询；n（9）国际交流：组织国内计算机网络安全应急组织进行国际合作交流。15.3 应急响应体系应急响应体系n15.3.1 应急响应指标应急响应指标n应急响应远不止是简单的

24、诊断技巧，它通常需要组织内部的管理人员和技术人员共同参与，n有时可能会借助外部的资源，甚至诉诸法律。以下是应急响应应保证的各项指标。n（1）响应能力：确保安全事件和安全问题能被及时地发现，并向相应的负责人报告；n（2）决断能力：判断是否是本地安全问题或构成一个安全事件；15.3.1 应急响应指标应急响应指标n（3）行动能力：在发生安全事件时根据一个提示就能采取必要的措施；n（4）减少损失：能够立即通知组织内其他可能受影响的部门；n（5）效率：实践和监控处理安全事件的能力。n为了实现以上目标，就必须建立一个应急响应管理体系来处理安全事件，n其中管理层必须参与进来并最终让管理体系发挥作用，n以提高

25、对安全问题的认识，合理分配决定权，更好地支持安全目标。15.3.2 应急响应体系的建立应急响应体系的建立n1确定应急响应角色的责任确定应急响应角色的责任n（1）用户n任务：一旦觉察与安全相关的异常事件，就必须遵守相应的过程规则并报告异常事件。n职责：必须决定采取何种合适的报告渠道。n义务/指导：每一个用户都有义务按照本单位的安全指南来报告任何与安全相关的异常事件。15.3.2 应急响应体系的建立应急响应体系的建立n（2）安全管理员n任务：接收与其负责的系统有关的异常事件报告，n并根据报告决定是立即采取行动，还是按照提交策略向上一级报告。n职责：必须能够确定是否真的发生了安全问题，是否可以独立解

26、决，n是否需要根据提交计划立即咨询其他人，以及应该通知谁等。n义务/指导：应该在职位描述及安全事件处理策略中指定。15.3.2 应急响应体系的建立应急响应体系的建立n（3）安全员/安全管理层n任务：接收安全事件报告，负责调查和评估安全事件，并在其职责范围内选用适当措施进行处理。如果有必要，负责组建安全事件处理小组或将问题提交给上级管理层。n职责：被授权对安全事件进行评估，并可将事件提交给高级管理层。除此之外，可以在授权范围内利用财务和人力资源独立处理安全事件。n义务/指导：根据安全管理层制定的“安全事件处理策略”，所有安全员都要承担其处理安全事件的任务和职责。15.3.2 应急响应体系的建立应

27、急响应体系的建立n（4）安全审计员n任务：必须定期检查安全事件管理系统的有效性，并参与评估安全事件。n职责：在管理层同意下启动和实施预定义的检查。n义务/指导：在工作职责描述和“安全事件处理策略”中规定。15.3.2 应急响应体系的建立应急响应体系的建立n（5）公共关系/信息发布部门n任务：在发生严重安全事件的地方，除了信息发布部门之外，其他任何部门和个人都必须不能对公众泄漏任何信息，n其目的并不是为了掩盖事件或者降低事件的严重程度，而是要以目标化的方式解决问题，避免相互矛盾的信息给组织带来的形象损害。n职责：信息发布部门必须和专家一起准备与安全事件相关的信息，在发布之前必须得到高级管理层的同

28、意。n义务/指导：在工作职责描述和“安全事件处理策略”中规定。15.3.2 应急响应体系的建立应急响应体系的建立 7n（6）代理/公司管理层n任务：严重安全事件发生时，应该通知管理层，如果有必要，管理层要做出决定。n职责：承担总体责任，并对上述各工作小组负责。除此之外，当怀疑有犯罪活动时可以报警，起诉罪犯。n义务/指导：管理层必须批准“安全事件处理策略”和基于策略的安全应急计划，作为计划的部分，各管理层应明确其在安全事件处理中的角色。15.3.2 应急响应体系的建立应急响应体系的建立n2制定紧急事件提交策略制定紧急事件提交策略n在明确了应急响应角色的责任，并且所有相关人员都知晓时间处理规则和报

29、告渠道后，n下一步应确定收到报告后如何提交。可以按以下3个步骤制定提交策略。n（1）提交渠道的规定n在规定由何人负责处理安全事件后，提交渠道的规定中应该明确报送人及其相应的报送对象。n（2）提交的策略对象n在这个步骤中应当确定在进一步调查或评估之前需要进行什么样的提交。15.3.2 应急响应体系的建立应急响应体系的建立n（3）提交方式n报送过程中向上一层提交方式的选择如下：n 个人口头报告；n 书面报告；n 电子邮件报告；n 电话报告；n 密封函件报告。15.3.2 应急响应体系的建立应急响应体系的建立n还应该规定在什么时间段里完成报告。可采取如下规定：n 立即提交：一个小时内；n 立即采取措

30、施：一个小时内；n 事件还在控制中，但要求通知中上层：下一工作日。n3规定应急响应优先级规定应急响应优先级n应急响应优先级的确定与组织内的环境紧密相连。在制定应急响应优先级时，必须考虑下面的问题。15.3.2 应急响应体系的建立应急响应体系的建立n 哪类损失和组织相关；n 在每个类别中，按什么顺序修补损失。n要回答这些问题，首先应根据信息系统最低保护要求确定保护程度，n而确定保护程度的过程就定义了与组织相关的损害类别，这些类别有：n 与法律、规章或合同冲突；n 对信息自决权的损害；n 对人员身体的损害；n 对组织职能的损害；n 对外部关系的负面影响；n 财务后果。15.3.2 应急响应体系的建

31、立应急响应体系的建立n4安全应急的调查与评估安全应急的调查与评估n为了调查和评估与安全相关的异常事件，必须进行一些初级评估，包括以下内容：n 弄清楚信息系统结构和网络情况；n 弄清楚信息系统的联系人和用户；n 弄清楚信息系统上的应用；n 定义信息系统的保护要求。15.3.2 应急响应体系的建立应急响应体系的建立n调查和评估安全事件的第一步要弄清楚下列因素：n 安全事件可能影响什么信息系统和应用；n 通过信息系统和网络是否还会产生后续的损害；n 哪些信息系统和应用不会受到损害和后续的损害；n 安全事件导致直接损害后，后续损害的程度如何，应特别留意各种信息系统和应用之间的相关性；n 能够触发安全事

32、件的可能因素；15.3.2 应急响应体系的建立应急响应体系的建立 9n 安全事件发生在什么时候，在哪个地方，由于在探测到安全事件时很可能已经发生一段时间了，因此应维护好日志文件，要保证这些文件没有被入侵；n 是否只有内部用户受到安全事件的影响，或者外部第三方也受到影响；n 有多少关于安全事件的信息已经被泄漏给公众。15.3.2 应急响应体系的建立应急响应体系的建立n5选择应急响应相关补救措施选择应急响应相关补救措施n首先要控制事件继续发展并解决问题，然后恢复事务状态。n（1）必要的专业知识n为查明和处理安全方面的弱点，必须拥有相关的技术知识，因此要么培训组织人员，要么求助专家。n为此，要准备一

33、份联系地址表，包含各领域的内外部专家，这样就可以直接寻求他们的意见，以免耽误时间。15.3.2 应急响应体系的建立应急响应体系的建立n外部专家包括：n 计算机应急响应组；n 相关的信息系统厂商和销售商；n 应用安全系统的厂商和销售商，比如防病毒、防火墙和访问控制等；n 专业安全专家组成的外部顾问组。15.3.2 应急响应体系的建立应急响应体系的建立n（2）安全恢复的运作n要去除安全弱点，首先应将这些弱点所涉及的系统与网络断开，n然后再将那些能提供已发生事件的性质和原因的信息文件（尤其是相关的日志文件）进行备份。15.3.2 应急响应体系的建立应急响应体系的建立n（3）事件归档n在应急处理安全问

34、题时，所有动作都应该被尽可能详细地记录归档，以便实现以下目标：n 保留发生事件的细节；n 能够追溯发生的问题；n 能够修正匆忙行动可能带来的问题或错误；n 在已知的问题再次发生时能够迅速解决；n 能够消除安全弱点，准备预防措施；n 如果要提起诉讼，便于收集证据。15.3.2 应急响应体系的建立应急响应体系的建立n（4）对攻击行为的反应n当入侵者发起攻击时，首先要决定是静观攻击还是尽快采取措施。当然也可以试图去抓住入侵者的“黑手”，n但是这可能会冒很大的风险，因为在试图抓住对方的同时，对方可能会破坏、入侵或读取数据。15.3.2 应急响应体系的建立应急响应体系的建立n6确定应急紧急确定应急紧急通

35、知机制通知机制n当发生安全事件时，必须通知所有受影响的外部和内部各方，n为那些受到安全事件直接影响的部门和机构采取对策提供方便。n通知机制对处理安全事件相关信息各方的协助预防或解决问题尤为重要。15.3.3 应急响应处置流程应急响应处置流程n应急响应处置流程通常被划分为准备、检测、抑制、根除、恢复、报告与总结6个阶段。n（1）准备阶段n准备阶段的主要工作包括建立合理的防御和控制措施、建立适当的策略和程序、获得必要的资源和组建响应队伍等。15.3.3 应急响应处置流程应急响应处置流程n（2）检测阶段n检测阶段要做出初步的动作和响应，根据获得的初步材料和分析结果，估计事件的范围，n制订进一步的响应

36、战略，并且保留可能用于司法程序的证据。n（3）抑制阶段n抑制的目的是限制攻击的范围。n抑制措施十分重要，因为太多的安全事件可能迅速失控，15.3.3 应急响应处置流程应急响应处置流程n抑制策略一般包括关闭所有系统，从网络上断开相关系统，n修改防火墙和路由器的过滤规则，封锁或删除被攻破的登录帐号，n提高系统或网络行为的监控级别，设置陷阱，关闭服务以及反攻击者的系统等。15.3.3 应急响应处置流程应急响应处置流程n（4）根除阶段n在事件被抑制之后，通过对有关恶意代码或行为的分析结果，找出事件根源并彻底清除。对于单机上的事件，n主要可以根据各种操作系统平台的具体检查和根除程序进行操作；但是对于大规

37、模爆发的带有蠕虫性质的恶意程序，要根除各个主机上的恶意代码是十分艰巨的任务。15.3.3 应急响应处置流程应急响应处置流程n很多案例数据表明，众多的用户并没有真正关注他们的主机是否已经遭受入侵，有的甚至持续一年多，任由感染蠕虫的主机在网络中不断地搜索和攻击别的目标。n造成这种现象的重要原因是各网络之间缺乏有效的协调，或者是在一些商业网络中，网络管理员对接入到网络中的子网和用户没有足够的管理权限。15.3.3 应急响应处置流程应急响应处置流程n（5）恢复阶段n恢复阶段的目标是把所有被攻击的系统和网络设备彻底还原到它们正常的任务状态。恢复工作应该十分小心，应避免出现误操作导致数据的丢失。n另外，恢

38、复工作中如果涉及机密数据，需要额外遵照机密系统的恢复要求。对不同任务的恢复工作的承担单位，要有不同的担保。n如果攻击者获得了超级用户的访问权，一次完整的恢复应该强制性地修改所有的口令。15.3.3 应急响应处置流程应急响应处置流程n（6）报告与总结阶段n报告与总结是最后一个阶段，但却是绝对不能够忽略的重要阶段。n这个阶段的目标是回顾并整理发生事件的各种相关信息，尽可能地把所有情况记录到文档中。n这些记录的内容，不仅对有关部门的其他处理工作具有重要意义，而且对将来应急工作的开展也是非常重要的参考资料。15.4 应急响应关键技术应急响应关键技术n15.4.1 入侵检测技术入侵检测技术n入侵检测是实

39、施应急响应的基础，因为只有发现对网络和系统的攻击或入侵才能触发应急响应的动作。入侵检测可以由系统自动完成，即入侵检测系统（Intrusion Detect System，IDS）。n入侵检测是继“数据加密”、“防火墙”等安全防护技术之后人们提出的又一种安全技术，它通过对信息系统中各种状态和行为的归纳分析，一方面检测来自外部的入侵行为，另一方面还能够监督内部用户的未授权活动。15.4.1 入侵检测技术入侵检测技术n目前入侵检测技术大体上可以被分为两大类：误用检测（Misuse Detection）和异常检测（Anomaly Detection）。n1误用检测误用检测n误用检测也称为基于知识的入侵

40、检测或基于签名的入侵检测。n该技术首先建立各种已知攻击的特征模式库，然后将用户的当前行为依次与库中的各种攻击特征模式进行比较，如果匹配则确定为攻击行为，否则就不是攻击行为。15.4.1 入侵检测技术入侵检测技术n例如Internet蠕虫攻击就是使用了finger和sendmail的错误。n对于攻击行为可以通过按照预先定义好的入侵特征模式以及观察到的入侵发生情况进行模式匹配来检测。n入侵模式说明了那些导致安全突破或其他误用事件的特征、条件、排列和关系。n目前已提出的误用检测方法有很多，如基于状态迁移分析的误用检测方法STAT和USTAT、基于专家系统和模型误用推理的误用检测方法等。15.4.1

41、入侵检测技术入侵检测技术n2异常检测异常检测n异常检测也称基于行为的入侵检测。该技术通过为用户、进程或网络流量等处于正常状态时的行为特征建立参考模式，然后将系统当前行为特征与已建立的正常行为模式进行比较，若存在较大偏差就确定为发生异常，否则就确定为没有。n然而异常检测的一个重要前提条件是将入侵行为作为异常行为的子集，理想状况是异常行为集合与入侵行为集合等同，这样若能够检测所有的异常行为，则就可检测到所有的入侵行为。15.4.1 入侵检测技术入侵检测技术n然而入侵行为并不总是与异常行为相符合，它们之间存在以下4种关系：入侵而非异常、非入侵而异常、入侵且异常以及非入侵且非异常。n异常检测依赖于异常

42、检测模型的建立，不同异常模型构成不同的异常检测技术，目前提出的异常检测技术有基于模式预测的异常检测方法和基于统计的异常检测方法等。15.4.1 入侵检测技术入侵检测技术n目前有关这两种入侵检测技术的评价各有利弊，异常检测的优点是其能够检测出未知攻击，n然而存在误检测率较高的不足；误用检测虽然检测准确率较高，但其只能对已知攻击行为进行检测。15.4.2 系统备份与灾难恢复技术系统备份与灾难恢复技术n1系统备份系统备份n系统备份是灾难恢复的基础，其目的是确保既定的关键业务数据、关键数据处理系统和关键业务在灾难发生后可以恢复。目前采用的系统备份方法主要有以下3种。n（1）全备份n全备份就是对整个系统

43、进行完全备份，包括系统和数据。这种备份方式的好处就是很直观，容易被人理解，而且当数据丢失时，只要用一份备份（如灾难发生前一天的备份磁带或其他备份介质），就可以恢复丢失的数据。15.4.2 系统备份与灾难恢复技术系统备份与灾难恢复技术n全备份也有不足之处，首先，由于每天都对系统进行完全备份，n因此在备份数据中有大量的重复信息，这些重复的数据占用了大量的存储空间，这对用户来说就意味着成本的增加；n其次，由于需要备份的数据量相当大，因此备份所需的时间较长，对于那些业务繁忙、备份时间相对有限的单位来说，这种备份策略无疑是不明智的。15.4.2 系统备份与灾难恢复技术系统备份与灾难恢复技术n（2）增量备

44、份n增量备份就是每次备份的数据只是相当于上一次备份后增加和修改过的数据。n这种备份的优点是没有重复的备份数据，既节省存储空间，又缩短了备份时间。其缺点在于当发生灾难时，恢复数据比较麻烦。n（3）差分备份n差分备份就是每次备份的数据是相对于上一次全备份之后新增加和修改过的数据。n例如管理员先在星期一进行一次系统完全备份，然后在接下来的几天里，再将当天所有与星期一不同的数据（新的或经改动的）备份到存储介质上。15.4.2 系统备份与灾难恢复技术系统备份与灾难恢复技术n2灾难恢复灾难恢复n灾难恢复，也称为业务持续性，是指在灾难发生后指定的时间内恢复既定的关键数据、关键数据处理系统和关键业务的过程。n

45、灾难恢复技术是目前十分流行的IT技术，它能够为重要的信息系统提供在断电、火灾和受到攻击等各种意外事故发生，乃至再如洪水、地震等严重自然灾害发生的情况下保持持续运转的能力，n因而对组织和社会关系重大的信息系统都应当采用灾难恢复技术予以保护。15.4.2 系统备份与灾难恢复技术系统备份与灾难恢复技术n（1）灾难恢复的基本技术要求n 备份软件n 保证备份数据的完整性，并且有对备份介质（如磁带）的管理能力；n 支持多种备份方式，可以定时自动备份；n 具有相应的功能或工具进行设备管理和介质管理；n 支持多种校验手段，以确保备份的正确性；n 提供联机数据备份功能。15.4.2 系统备份与灾难恢复技术系统备

46、份与灾难恢复技术n 恢复的选择和实施n数据备份只是系统成功恢复的前提之一。n恢复数据还需要备份软件提供各种灵活的恢复选择，如按介质、目录树、磁带作业或查询子集等不同方式做数据恢复。n此外，还要认真完成一些管理工作，如定期检查，确保备份的正确性；将备份媒介保存在异地一个安全的地方（如专门的媒介库或银行保险箱）；按照数据的增加和更新速度选择恰当的备份周期等。15.4.2 系统备份与灾难恢复技术系统备份与灾难恢复技术n 自启动恢复n系统灾难通常会造成数据丢失或者无法使用数据。利用备份软件可以恢复丢失的数据，但是重新使用数据并非易事。n很显然，要想重新使用数据并恢复整个系统，首先必须将服务器恢复到正常

47、运行状态。n为了提高恢复效率，减少服务停止时间，应当使用“自启动恢复”软件工具。15.4.2 系统备份与灾难恢复技术系统备份与灾难恢复技术n通过执行一些必要的恢复功能，使系统可以自动确定服务器所需要的配置和驱动，无需人工重新安装和配置操作系统，也不需要重新安装和配置恢复软件及应用程序。n此外，自启动恢复软件还可以生成备用服务器的数据集合配置信息，以简化备用服务器的维护。n 安全防护n如果系统中潜伏安全隐患，例如病毒，那么即使数据和系统配置没有丢失，服务器中的数据也可能随时丢失或被破坏。15.4.2 系统备份与灾难恢复技术系统备份与灾难恢复技术n因此，安全防护也是灾难恢复的重要内容。在数据和程序

48、进入网络之前，要进行安全检测。n更为重要的是，要加强对整个网络的自动监控，防止安全事件的出现和传播。n安全防护应该与其他防灾方案密切配合，同时互相透明。总而言之，一个完整的灾难恢复方案必须包括很强的安全防护策略和手段。15.4.2 系统备份与灾难恢复技术系统备份与灾难恢复技术n（2）灾难恢复等级n根据国际标准SHARE78的定义，灾难恢复解决方案可分为7级，即从低到高有7种不同层次。n 层次0本地数据的备份与恢复；n 层次1批量存取访问方式；n 层次2批量存取访问方式+热备份地点；n 层次3电子链接；n 层次4工作状态的备份地点；15.4.2 系统备份与灾难恢复技术系统备份与灾难恢复技术n 层

49、次5双重在线存储；n 层次6零数据丢失。n用户可根据数据的重要性以及需要恢复的速度和程度，来选择并实现灾难恢复计划。灾难恢复计划的主要内容包括：n 备份/恢复的范围；n 灾难恢复计划的状态；n 应用地点与备份地点之间的距离；n 应用地点与备份地点之间如何相互连接；15.4.2 系统备份与灾难恢复技术系统备份与灾难恢复技术n 数据如何在两个地点之间传送；n 允许有多少数据被丢失；n 怎样保证备份地点的数据的更新；n 备份地点可以开始备份工作的能力。15.4.3 其他相关技术其他相关技术n1事件诊断技术事件诊断技术n事件的诊断与入侵检测有类似之处，但又不完全相同。n入侵检测通常是在正常的运行过程中

50、，检测是否存在未授权的访问和误用等违反安全策略的行为；n而事件的诊断则偏重于事件发生后，弄清楚受害对象究竟发生了什么，n比如是否感染病毒和是否被黑客攻破等，如果是的话，问题出在哪里，影响范围有多大等。15.4.3 其他相关技术其他相关技术n2攻击源定位攻击源定位与与隔离技术隔离技术n攻击源定位是一个十分复杂的问题，涉及多个层面的技术理论和研究方向，目前还处于研究阶段。n攻击源定位其实就是网络攻击路径重构，目前比较有影响的网络攻击重构方法有Ferguson和Senie等提出的“输入调试方法”和美国NAI实验室采用的查询路由设备方法。15.4.3 其他相关技术其他相关技术n“输入调试方法”主要根据