什么是應急響應和應急響應體系

基本概念

安全事件（Security Accident） 是指影響一個系統正常工作的情況。這里的系統包括主機范疇內的問題，也包括網絡范疇內的問題，例如黑客入侵、信息竊取、拒絕服務攻擊、網絡流量異常等。

應急響應（Emergency Response） 是指組織為了應對突發/重大信息安全事件的發生所做的准備以及在事件發生后所采取的措施。 應急響應是信息安全防護的最后一道防線！

應急響應體系（Emergency Response System） 是指在突發/重大信息安全事件后對包括計算機運行在內的業務運行進行維持或恢復的各種技術和管理策略和規程。

信息安全應急響應體系的制定是一個周而復始、持續改進的過程，包含以下幾個階段：

• 應急響應需求分析和應急響應策略的確定；
• 編制應急響應計划文檔和技術管理規范；
• 應急響應計划的測試、培訓、演練和維護。

---

應急響應目的

應急響應服務的目的是盡可能地減小和控制住網絡安全事件的損失，提供有效的響應和恢復指導，並努力防止安全事件的發生。

政策要求

• 《關於加強信息安全保障工作的意見》（中辦發『2003』27號文）指出：“信息安全保障工作的要點在於，實行信息安全等級保護制度，建設基於密碼技術的網絡信任體系，建設信息安全監控體系，重視信息安全應急處理工作，推動信息安全技術研發與產業發展，建設信息安全法制與標准”

• 國家信息安全戰略的近期目標：通過五年的努力，基本建成國家信息安全保障體系。

• 為了落實27號文精神國家網絡與信息安全協調小組辦公室於2003年10月發布了《網絡與信息安全信息通報暫行辦法》、2004年9月發布了

• 《關於做好重要信息系統災難備份工作的通知》，2004年8月發布了《關於建立健全基礎信息網絡和重要信息系統應急協調機制的意見》等文件。這些文件對推動災難備份和應急響應的發展起到了重要作用。

相關標准

• GB/T 24364-2009 《信息安全技術 信息安全應急響應計划規范》
• GB/T 20988-2007 《信息安全技術 信息系統應急響應規范》
• GB/Z 20985-2007 《信息技術 安全技術 信息安全事件管理指南》
• GB/Z 20986-2007 《信息安全技術 信息安全事件分類分級指南》

---

應急響應六階段

第一階段：准備——讓我們嚴陣以待

• 預防為主

• 微觀（一般觀點）：

  • 幫助服務對象建立安全政策
  • 幫助服務對象按照安全政策配置安全設備和軟件 掃描，風險分析，打補丁 如有條件且得到許可，建立監控設施

• 宏觀：

  • 建立協作體系和應急制度
  • 建立信息溝通渠道和通報機制
    • 電話、即時通訊、email
  • 如有條件，建立數據匯總分析的體系和能力 有關法律法規的制定

• 制定應急響應計划

• 資源准備
  • 應急經費籌集
  • 人力資源
    • 指揮調度人員
    • 協作人員
    • 技術人員
    • 專家
    • 設備、系統和服務提供商
  • 硬件設備准備
    • 數據保護設備（磁盤、SAN）
    • 冗余設備 （網絡鏈路、網絡設備、關鍵計算機設備
  • 軟件工具准備
    • 備份軟件
    • 日志處理軟件
    • 系統軟件
    • 應急啟動盤
    • 病毒、惡意軟件查殺軟件
    • 等等
  • 現場備份
  • 業務連續性保障
    • 系統容災
    • 搭建臨時業務系統

第二階段：確認——對情況綜合判斷

• 確定事件性質和處理人
• 微觀（負責具體網絡的CERT）：
  • 確定事件的責任人：指定一個責任人全權處理，事件，給予必要的資源
  • 確定事件的性質： 誤會？玩笑？還是惡意的攻擊/入侵？ 影響的嚴重程度， 預計采用什么樣的專用資源來修復？

• 宏觀（負責總體網絡的CERT）：

  • 通過匯總，確定是否發生了全網的大規模事件
  • 確定應急等級，以決定啟動哪一級應急方案

• 事故的標志（征兆和預兆）

  • Web服務器崩潰
  • 用戶抱怨主機連接網絡速度過慢
  • 子郵件管理員可以看到大批的反彈電子郵件與可疑內容
  • 網絡管理員通告了一個不尋常的偏離典型的網絡流量流向

• 來源

  • 網絡和主機IDS 、防病毒軟件、文件完整性檢查軟件
  • 系統、網絡、蜜罐日志
  • 公開可利用的信息
  • 第三方監視服務

• 確認事故

  • 確認網絡和系統輪廓： 分析事故的最好技術方法之一
  • 理解正常的行為： 基於處理事故的良好准備
  • 使用集中的日志管理並創建日志保留策略
  • 執行事件關聯
  • 保持所有主機時鍾同步
  • 維護和使用信息知識庫： 分析事故時的快速參考
  • 使用互聯網搜索引擎進行研究
  • 運行包嗅探器以搜集更多的數據
  • 過濾數據
  • 經驗是不可替代的
  • 建立診斷矩陣
  • 尋求幫助

診斷矩陣實例

 

 

征兆	拒絕服務	惡意代碼	非授權訪問	不正確使用
文件，關鍵，訪問嘗試	低	中	高	低
文件，不適當的內容	低	中	低	高
主機崩潰	中	中	中	低
端口掃碼，輸入的， 不正常的	高	低	中	低
端口掃碼，輸出的， 不正常的	低	高	中	低
利用帶寬高	高	中	低	中
利用電子郵件	中	高	中	中

• 事故優先級- 服務水平協議
  • 服務水平協議（SLA ）：

定義服務目標及雙方的預期及責任 - 服務水平協議指標 - 遠程應急響應服務 在確認客戶的應急響應請求后? 小時內，交與相關應急響應人員進行處理。無論是否解決，進行處理的當天必須返回響應情況的簡報，直到此次響應服務結束。 - 本地應急響應服務 對本地范圍內的客戶，？小時內到達現場；對異地的客戶，？小時加路途時間內到達現場。

應急響應 SLA矩陣

事故當前或將來可 能的影響	高（例如：互聯網 連接，公共Web服 務器，防火牆，客 戶數據）	中（例如：系統管 理員工作站，文件和 打印服務器，XYZ  應用數據）	低（例如：用戶工 作站）
ROOT級訪問	15min	30min	1h
非授權的數據修改	15min	30min	2h
對敏感信息的非 授權訪問	15min	1h	1h
非授權的用戶級訪問	30min	2h	4h
服務不可用	30min	2h	4h
騷擾	30min	不限	不限

第三階段：遏制——制止事態的擴大

• 即時采取的行動
• 微觀：
  • 防止進一步的損失，確定后果
  • 初步分析，重點是確定適當的封鎖方法
  • 咨詢安全政策
  • 確定進一步操作的風險
  • 損失最小化（最快最簡單的方式恢復系統的基本功能，例如備機啟動）
  • 可列出若干選項，講明各自的風險，由服務對象選擇

• 宏觀：

  • 確保封鎖方法對各網業務影響最小
  • 通過協調爭取各網一致行動，實施隔離
  • 匯總數據，估算損失和隔離效果

• 建議組織機構為幾類主要的事故建立單獨的遏制策略，其標准包括：

  • 潛在的破壞和資源的竊取
  • 證據保留的需要
  • 服務可用性（例如：網絡連接，提供給外部當事方的服務）
  • 實施戰略需要的時間和資源
  • 戰略的有效性（例如：部分遏制事故，完全遏制事故）
  • 解決方案的期限（例如：緊急事故工作區需在4 小時內清除，臨時工作區需在兩周內清除，永久的解決方案）。

第四階段：根除——徹底的補救措施

• 長期的補救措施
• 微觀：
  • 詳細分析，確定原因，定義征兆
  • 分析漏洞
  • 加強防范
  • 消除原因
  • 修改安全政策
• 宏觀：
  • 加強宣傳，公布危害性和解決辦法，呼吁用戶解決終端的問題；
  • 加強檢測工作，發現和清理行業與重點部門的問題

第五階段：恢復——系統恢復常態

• 微觀：
  • 被攻擊的系統恢復正常的工作狀態
  • 作一個新的備份
  • 把所有安全上的變更作備份
  • 服務重新上線
  • 持續監控
• 宏觀：
  • 持續匯總分析，了解各網的運行情況
  • 根據各網的運行情況判斷隔離措施的有效性
  • 通過匯總分析的結果判斷仍然受影響的終端的規模
  • 發現重要用戶及時通報解決
  • 適當的時候解除封鎖措施

第六階段：跟蹤——還會有第二次嗎

• 關注系統恢復以后的安全狀況，特別是曾經出問題的地方
• 建立跟蹤文檔，規范記錄跟蹤結果
• 對響應效果給出評估
• 對進入司法程序的事件，進行進一步的調查，打擊違法犯罪活動
• 事件的歸檔與統計
  • 處理人
  • 時間和時段
  • 地點
  • 工作量
  • 事件的類型
  • 對事件的處置情況
  • 代價
  • 細節

---

應急預案的編制和管理

---

應急響應預案的制定

• 制定應急響應預案的原則

  • 首先，必須集中管理應急響應預案的版本和發布。
  • 其次，為了建立有效的版本控制體系，必須建立規范的應急響應預案的問題提交、解決、更新、跟蹤、發布的渠道和流程。
  • 第三，建立相關的保密管理規定，保證應急響應預案中涉及的秘密信息得到保護。
  • 第四，應急響應預案在內容管理方面應注意內容的分布和粒度，可根據版本和內容的更新頻度將應急響應的內容進行適當的分布。
  • 第五，建立合理的應急響應預案的保管制度，強調存放的安全性和易取得性。

• 成功預案的特點

  • 清楚、簡潔
  • 高級管理層支持/組織承諾
  • 不斷改進和更新的恢復策略
  • 及時的更新維護
  • 組織職責分工明確
  • 保留、備份和異地存儲計划
  • 完整記錄並定期演練
  • 風險得到管理
  • 弱點得到優先重視
  • 靈活、可適應

---

應急響應預案的教育、培訓和演練

• 在災難來臨前使相關人員了解熟悉恢復流程
• 使應急響應預案得到理解並可以使用
• 促進應急響應預案活動、更新、實用
• 展示恢復的能力
• 達到法律和內部審計要求

---

演練與演習的類型

• 演練和演習的主要方式有：
  • 桌面演練；
  • 模擬演練；
  • 實戰演練等
• 根據演練和演習的深度，可分為：
  • 系統級演練；
  • 應用級演練；
  • 業務級演練等
• 根據演練和演習的准備情況，可分為：
  • 計划內的演練和演習；
  • 計划外的演練和演習等

---

預案維護管理

• 核對預案的功能性
• 驗證預案文檔的精確性和完整性
• 分發更新的文檔
  • 文檔計划分發和發布流程
  • 確保相關的團隊收到更新的文檔
• 依靠維護來改變管理流程
• 提供培訓作為持續維護預案的一部分
  • 為與應急響應的相關人員開展定期培訓，如：復習進修課程或災難備份研討會
  • 指派培訓責任，如：部門經理要確保員工被送去參加培訓
• 完成時報告預案維護情況
• 毀掉舊應急響應預案的復印件或電子版本

---

預案變更管理

• 業務操作的增長或變化
  • 如：新的分支、產品和業務功能的增加
• 公司所有權的變化
• 關鍵人員的變化
• 硬件配置的變化
• 使用新操作系統
• 預案審核和演練后
• 軟件/應用軟件的變化
• 新的法律或審計要求
• 定期審核和更新——如：每年兩次
• 《應急預案管理制度》
• 應急預案變更記錄

---

應急響應體系建立流程

信息安全應急響應計划編制方法

總則

• 編制目的
• 編制依據
• 適應范圍
• 工作原則

角色及職責

• 應急響應領導小組
• 應急響應技術保障小組
• 應急響應專家小組
• 應急響應實施小組
• 應急響應日常運行小組

預防和預警機制

檢測、 預測、 預警，做到 早發現、早報告、早處置

應急響應流程

• 事件通告
• 信息通報

信息通報分為組織內信息通報和組織外信息通報兩部分。組織內信息通報的目的是在信息安全事件發生后迅速通知應急響應日常運行小組，並根據評估結果迅速通知所有相關人員，從而快速有序的實施應急響應計划。組織外信息通報目的是將相關信息及時通報給受到負面影響的外部機構、互聯的單位系統以及重要用戶，同時根據應急響應的需要，應將相關信息准確通報給相關設備設施及服務提供商（包括電信、電力等）等外部組織，以獲得適當的應急響應支持。值得注意的是對外信息通報應符合組織的對外信息發布策略。

1. 信息上報

信息安全事件發生后，應按照相關規定和要求，及時將情況上報相關主管或監管單位/部門。

1. 信息披露

信息發布的目的是避免信息安全事件影響被誤傳，同時規范組織內人員信息披露，保證信息的一致性。因此，信息安全事件發生后，應根據信息安全事件的嚴重程度，指定特定的小組及時向新聞媒體發布相關信息，並且指定的小組應嚴格按照組織相關規定和要求對外發布信息，同時組織內其它部門或者個人不得隨意接受新聞媒體采訪或對外發表自己的看法。

• 應急響應流程-呼叫樹

---

小組名稱	姓名	在小組中職位	聯絡信息
			工作電話	家庭電話	手機	電子郵件	家庭住址

---

• 信息上報

---

 

重大信息安全事件報告表
報告時間： x 年x 月x 日x 時x 分
單位名稱：	報告人：
聯系電話：	通訊地址：
傳真：	電子郵件：
發生重大信息安全事件的信息系統名稱及用途：
負責部門：	負責人：
重大信息安全事件的簡要描述（如以前出現過類似情況也應加以說明）：
初步判定的事故原因：
當前采取的措施：
本次重大信息安全事件的初步影響狀況：
影響范圍：	嚴重程度：
值班電話：	傳真：

 

---

• 事件分類與定級

要確定信息安全事件后如何實施應急響應計划，對系統損害性質和程度的評估是非常重要的。這個損害評估應該在能夠確保人員安全這個最優先任務的前提下盡快完成。所以，如果可能，應急響應日常運行小組是第一個得到事件通知的小組。損害評估規程對於不同的系統是不同的，但是應該涉及到以下領域： 1. 造成緊急情況或中斷的原因； 1. 潛在的附加中斷或損失； 1. 受到緊急情況影響的區域； 1. 物理構架（如計算機室結構的完整性、電源、電信以及制熱、通風和空調的情況）的狀況； 1. 系統設備的總量和功能狀態（如具備完整功能、具備部分功能或喪失功能）； 1. 系統設備及其存貨的損失類型（如水害、水災或熱能、物理以及電涌影響）； 1. 被更換的項目（如硬件、軟件、固件或支持材料）； 1. 估計恢復正常服務所需的時間。

• 我國信息安全事件分類方法

GB/Z 20986-2007《信息安全事件分級分類指南》 - 有害程序事件MI - 網絡攻擊事件NAI - 信息破壞事件IDI - 信息內容安全事件ICSI - 設備設施故障FF - 災害性事件DI - 其他信息安全事件OI - 分級要素 - 系統損失 - 信息系統重要程度 - 社會影響

特別重大事件(I級）

特別重大事件是指能夠導致特別嚴重影響或破壞的信息安全事件，包括以下情況：  - 會使特別重要信息系統遭受特別嚴重的系統損失   - 產生特別重大的社會影響 

重大事件(II級）

重大事件是指能夠導致嚴重影響或破壞的信息安全事件，包括以下情況：  - 會使特別重要信息系統遭受嚴重的系統損失、或使重要信息系統遭受特別嚴重- 的系統損失 - 產生重大的社會影響

較大事件(III級）

較大事件是指能夠導致嚴重影響或破壞的信息安全事件，包括以下情況： - 會使特別重要信息系統遭受較大的系統損失、或使重要信息系統遭受嚴重的系統損失，一般信息系統遭受特別嚴重的系統損失 - 產生較大的社會影響

一般事件(IV級）

一般事件是指不滿足以上條件的信息安全事件，包括以下情況：  - 會使特別重要信息系統遭受較小的系統損失、或使重要信息系統遭受較大的系統損失，一般信息系統遭受嚴重或嚴重以下級別的系統損失 - 產生一般的社會影響

應急啟動

• 啟動原則——快速、有序；
• 啟動依據——一般而言，對於導致業務中斷、系統宕機、網絡癱瘓等突發/重大信息安全事件應立即啟動應急。但由於組織規模、構成、性質等的不同，不同組織對突發/重大信息安全事件的定義可能不一樣，因此，各組織的應急啟動條件可能各不相同。啟動條件可以基於以下方面考慮：人員的安全和/或設施損失的程度；系統損失的程度（如物理的、運作的或成本的）；系統對於組織使命的影響程度（如保護資產的關鍵基礎設施）；預期的中斷持續時間等。只有當損害評估的結果顯示一個或多個系統啟動條件被滿足時，應急響應計划才應被啟動。
• 啟動方法——由應急響應領導小組發布應急響應啟動令。

應急處置

• 恢復順序
  當恢復復雜系統時，恢復進程應該反映出BIA中確定的系統優先順序。恢復的順序應該反映出系統允許的中斷時間，以避免對相關系統及其應用的重大影響。
• 恢復規程
  為了進行恢復操作，應急響應計划應提供恢復業務能力的詳細規程。規程應被設定給適當的恢復小組並且通常涉及到以下行動：
  1. 獲得訪問受損設施和／或地理區域的授權；
  2. 通知相關系統的內部和外部業務伙伴；
  3. 獲得所需的辦公用品和工作空間；
  4. 獲得安裝所需的硬件部件；
  5. 獲得裝載備份介質；
  6. 恢復關鍵操作系統和應用軟件；
  7. 恢復系統數據；
  8. 成功運行備用設備。

后期處置

• 信息系統重建
  在應急處置工作結束后，要迅速采取措施，抓緊組織搶修受損的基礎設施，減少損失，盡快恢復正常工作。 通過統計各種數據，查明原因，對信息安全事件造成的損失和影響以及恢復重建能力進行分析評估，認真制定恢復重建計划，迅速組織實施信息系統重建。
• 應急響應總結
  應急響應總結是應急處置之后應進行的工作，具體工作包括：
  1. 分析和總結事件發生原因；
  2. 分析和總結事件現象；
  3. 評估系統的損害程度；
  4. 評估事件導致的損失；
  5. 分析和總結應急處置記錄；
  6. 評審應急響應措施的效果和效率，並提出改進建議；
  7. 評審應急響應計划的效果和效率，並提出改進建議。

信息安全事件應急響應總結模板

 

信息安全事件應急響應結果報告表
原事件報告時間： x 年x 月x 日x 時x 分
備案編號： x 年x 月x 日x 第 x 號
單位名稱：	報告人：
聯系電話：	通訊地址：
信息系統名稱及用途：
已采用的安全措施：
信息安全事件的補充描述及最后判定的事故原因：
本次信息安全事件的初步影響狀況：
事后結果：	影響范圍：
嚴重程度：
本次信息安全事件的主要處理過程及結果：
針對此類信息安全事件應采取的保障信息系統安全的措施和建議：
報告人簽名：

 

---

應急響應保障措施

• 人力保障

  • 管理人力
  • 技術人力

• 物質保障

  • 財力
  • 交通運輸
  • 通信

• 技術保障

  • 應急響應技術支持
  • 事件監控與預警
  • 應急技術儲備

附件

• 具體的組織體系結構及人員職責
• 應急響應計划各小組成員的聯絡信息
• 供應商聯絡信息，包括離站存儲和備用站點的外部聯系點
• 系統恢復或處理的標准操作規程和檢查列表
• 支持系統運行所需的硬件、軟件、固件和其它資源的設備和系統需求清單
• 供應商服務水平協議（SLA）、與其它機構的互惠協議和其它關鍵記錄
• 備用站點的描述和說明
• 在計划制定前進行的BIA，包含關於系統各部分相互關系、風險、優先級別等
• 應急響應計划文檔的保存和分發方法

應急響應工作機構圖

職責示例

應急響應領導小組：<b1. 應急響應領導小組是信息安全應急響應工作的組織領導機構，組長應由組織最高管理層成員擔任。領導小組的職責是領導和決策信息安全應急響應的重大事宜，主要如下： 1. 對應急響應工作的承諾和支持，包括發布正式文件、提供必要資源（人財物）等； 1. 審核並批准應急響應策略； 1. 審核並批准應急響應計划； 1. 批准和監督應急響應計划的執行； （1. 啟動定期評審、修訂應急響應計划； 1. 負責組織的外部協作工作。

應急響應組（IRT ）

• 什么是應急響應組（IRT ）
  • 應急響應組就是機構可以借助的網絡安全專業組織。
• 為什么需要成立應急響應組
  • 容易協調響應工作
  • 提高專業知識
  • 提高效率
  • 提高先期主動防御能力
  • 更加適合於滿足機構的需要
  • 提高聯絡功能
  • 提高處理制度障礙方面的能力

從應急組織到應急體系：信息安全保障的必要條件

• 現實表明，單一的應急組織已經不能應對當今的網絡安全威脅，我國的應急體系正是在實際工作的經驗總結中逐漸形成的：平台從點到環到面；應急體系從點到樹到網
• “現實世界中發生的任何事情，在網絡世界中都可以找到與之對 應的事件”
• SARS 事件反映出社會防疫應急體系的重要
• 紅色代碼、尼姆達、SQL 殺手、口令蠕蟲等具有和現實世界中的疫病相同的特點
• 處理方式也具有同樣的特點：隔離--- 分析--- 治療
• 不同之處：“病人”不自知；隔離缺乏法律依據或技術手段；應
• 急缺乏成熟體系和工作制度…. .

國際信息安全應急響應組織

• 美國計算機緊急事件響應小組協調中心 （Computer Emergency Response Team/Coordination Center, CERT/CC）
• 事件響應與安全組織論壇（Forum of Incident Response and Security Teams, FIRST）  
• 亞太地區計算機應急響應組（Asia Pacific Computer Emergency Response Team, APCERT） 
• 歐洲計算機網絡研究教育協會（Trans-European Research and Education Networking Association, TERENA) 
• 國家計算機網絡應急技術處理協調中心 （National Computer network Emergency Response technical Team/Coordination Center of China, CNCERT/CC）
• 中國教育和科研計算機網緊急響應組(China Education and Research Network Computer Emergency Response Team, CCERT)   
• 國家計算機病毒應急處理中心 
• 國家計算機網絡入侵防范中心
• 國家863計划反計算機入侵和防病毒研究中心

信息系統應急計划一般過程

• 美國SP800-34 信息技術系統應急計划/預案指南：七步走
  • 第一步：制定應急計划/預案策略條款
  • 第二步：進行業務影響分析
  • 第三步：確定防御性控制
  • 第四步：制定恢復策略
  • 第五步：IT應急計划/預案的制定
  • 第六步：計划/預案的測試、培訓和演習
  • 第七步：計划/預案的維護