重要信息安全管理过程052201-02

重要信息安全管理过程主讲樊山课程内容安全管理措施知识体知识域基本安全管理措施重要安全管理过程知识子域安全策略人员安全管理访问控制物理与环境安全系统获取、开发和维护通信及操作管理安全组织机构资产管理符合性管理信息安全事件管理与应急响应业务连续性管理与灾难恢复信息安全事件管理与应急响应•理解信息安全事件管理和应急响应的本概念•了解我国信息安全事件应急响应工作的进展情况和政策要求•掌握信息安全应急响应阶段方法论•掌握信息安全应急响应计划编制方法•掌握应急响应小组的作用和建立方法•理解我国信息安全事件分级分类方法•了解国际和我国信息安全应急响应组织3基本概念4安全事件而安全事件则是指影响一个系统正常工作的情况。这里的系统包括主机范畴内的问题，也包括网络范畴内的问题，例如黑客入侵、信息窃取、拒绝服务攻击、网络流量异常等。应急响应（EmergencyResponse）是指组织为了应对突发/重大信息安全事件的发生所做的准备以及在事件发生后所采取的措施。基本概念5应急响应计划（EmergencyResponsePlan）是指在突发/重大信息安全事件后对包括计算机运行在内的业务运行进行维持或恢复的策略和规程。信息安全应急响应计划的制定是一个周而复始、持续改进的过程，包含以下几个阶段：（1）应急响应需求分析和应急响应策略的确定；（2）编制应急响应计划文档；（3）应急响应计划的测试、培训、演练和维护。应急响应与应急响应计划的关系6应急响应计划应急响应政策要求7《关于加强信息安全保障工作的意见》（中办发『2003』27号文）指出：“信息安全保障工作的要点在于，实行信息安全等级保护制度，建设基于密码技术的网络信任体系，建设信息安全监控体系，重视信息安全应急处理工作，推动信息安全技术研发与产业发展，建设信息安全法制与标准”国家信息安全战略的近期目标：通过五年的努力，基本建成国家信息安全保障体系。相关标准8GB/T24364-2009《信息安全技术信息安全应急响应计划规范》GB/T20988-2007《信息安全技术信息系统灾难恢复规范》GB/Z20985-2007《信息技术安全技术信息安全事件管理指南》GB/Z20986-2007《信息安全技术信息安全事件分类分级指南》应急响应六阶段9第一阶段：准备——让我们严阵以待第二阶段：确认——对情况综合判断第三阶段：遏制——制止事态的扩大第四阶段：根除——彻底的补救措施第五阶段：恢复——系统恢复常态第六阶段：跟踪——还会有第二次吗第一阶段—准备10预防为主微观（一般观点）：帮助服务对象建立安全政策帮助服务对象按照安全政策配置安全设备和软件扫描，风险分析，打补丁如有条件且得到许可，建立监控设施宏观：建立协作体系和应急制度建立信息沟通渠道和通报机制如有条件，建立数据汇总分析的体系和能力有关法律法规的制定准备确认遏制根除恢复跟踪第一阶段—准备11制定应急响应计划资源准备应急经费筹集人力资源软硬件设备现场备份业务连续性保障•系统容灾•搭建临时业务系统准备确认遏制根除恢复跟踪第二阶段—确认12确定事件性质和处理人微观（负责具体网络的CERT）：确定事件的责任人指定一个责任人全权处理此事件给予必要的资源确定事件的性质误会？玩笑？还是恶意的攻击/入侵？影响的严重程度预计采用什么样的专用资源来修复？宏观（负责总体网络的CERT）：通过汇总，确定是否发生了全网的大规模事件确定应急等级，以决定启动哪一级应急方案准备确认遏制根除恢复跟踪第三阶段—遏制13即时采取的行动微观：•防止进一步的损失，确定后果•初步分析，重点是确定适当的封锁方法•咨询安全政策•确定进一步操作的风险•损失最小化（最快最简单的方式恢复系统的基本功能，例如备机启动）•可列出若干选项，讲明各自的风险，由服务对象选择宏观：•确保封锁方法对各网业务影响最小•通过协调争取各网一致行动，实施隔离•汇总数据，估算损失和隔离效果准备确认遏制根除恢复跟踪第四阶段—根除14长期的补救措施微观：•详细分析，确定原因，定义征兆•分析漏洞•加强防范•消除原因•修改安全政策宏观：•加强宣传，公布危害性和解决办法，呼吁用户解决终端的问题；•加强检测工作，发现和清理行业与重点部门的问题；准备确认遏制根除恢复跟踪第五阶段—恢复15微观：被攻击的系统恢复正常的工作状态•作一个新的备份•把所有安全上的变更作备份•服务重新上线•持续监控宏观：•持续汇总分析，了解各网的运行情况•根据各网的运行情况判断隔离措施的有效性•通过汇总分析的结果判断仍然受影响的终端的规模•发现重要用户及时通报解决•适当的时候解除封锁措施准备确认遏制根除恢复跟踪第六阶段—跟踪16关注系统恢复以后的安全状况，特别是曾经出问题的地方建立跟踪文档，规范记录跟踪结果对响应效果给出评估对进入司法程序的事件，进行进一步的调查，打击违法犯罪活动准备确认遏制根除恢复跟踪事件的归档与统计17处理人时间和时段地点工作量事件的类型对事件的处置情况代价细节信息安全应急响应计划编制方法18总则角色及职责预防和预警机制应急响应流程应急响应保障措施附件总则角色及职责预防和预警机制应急响应流程应急响应保障措施附件总则19编制目的编制依据适应范围工作原则总则角色及职责预防和预警机制应急响应流程应急响应保障措施附件角色及职责20应急响应领导小组应急响应技术保障小组应急响应专家小组应急响应实施小组应急响应日常运行小组总则角色及职责预防和预警机制应急响应流程应急响应保障措施附件预防和预警机制21总则角色及职责预防和预警机制应急响应流程应急响应保障措施附件早发现早报告早处置监测预测预警应急响应流程22总则角色及职责预防和预警机制应急响应流程应急响应保障措施附件信息安全事件信息安全事件通告应急启动应急处置后期处置信息系统重建应急响应总结信息安全事件评估事件分类事件定级信息通报信息批露信息上报恢复顺序恢复规程应急响应流程—呼叫树23总则角色及职责预防和预警机制应急响应流程应急响应保障措施附件应急响应领导小组组长应急响应领导小组副组长应急响应技术保障小组组长应急响应日常运行小组组长应急响应实施小组组长应急响应专家小组长成员一成员二应急响应技术保障小组副组长成员一成员二成员一成员二应急响应日常运行小组副组长成员一成员二应急响应专家小组副组长应急响应实施小组副组长成员一成员二...............应急响应保障措施24总则角色及职责预防和预警机制应急响应流程应急响应保障措施附件人力保障•管理人力•技术人力物质保障•财力•交通运输•通信技术保障•应急响应技术支持•事件监控与预警•应急技术储备应急响应保障措施附件25具体的组织体系结构及人员职责应急响应计划各小组成员的联络信息供应商联络信息，包括离站存储和备用站点的外部联系点系统恢复或处理的标准操作规程和检查列表支持系统运行所需的硬件、软件、固件和其它资源的设备和系统需求清单供应商服务水平协议（SLA）、与其它机构的互惠协议和其它关键记录备用站点的描述和说明在计划制定前进行的BIA，包含关于系统各部分相互关系、风险、优先级别等应急响应计划文档的保存和分发方法总则角色及职责预防和预警机制应急响应流程应急响应保障措施附件应急响应工作机构图26应急响应领导小组应急响应日常运行小组应急响应技术保障小组应急响应实施小组外部组织或机构实施应急响应计划上级有关单位或部门组织外信息通报应急响应专家小组信息反馈信息上报提供建议支持协助应急提供建议咨询协助应急职责示例27应急响应领导小组：应急响应领导小组是信息安全应急响应工作的组织领导机构，组长应由组织最高管理层成员担任。领导小组的职责是领导和决策信息安全应急响应的重大事宜，主要如下：（1）对应急响应工作的承诺和支持，包括发布正式文件、提供必要资源（人财物）等；（2）审核并批准应急响应策略；（3）审核并批准应急响应计划；（4）批准和监督应急响应计划的执行；（5)启动定期评审、修订应急响应计划；（6）负责组织的外部协作工作。我国信息安全事件分类方法28GB/Z20986-2007《信息安全事件分级分类指南》有害程序事件网络攻击事件信息破坏事件信息内容安全事件设备设施故障、灾害性事件其他信息安全事件我国信息安全事件分级方法29分级要素系统损失社会影响信息系统的重要程度我国信息安全事件分级方法30特别重大事件是指能够导致特别严重影响或破坏的信息安全事件，包括以下情况：•会使特别重要信息系统遭受特别严重的系统损失•产生特别重大的社会影响重大事件是指能够导致严重影响或破坏的信息安全事件，包括以下情况：•会使特别重要信息系统遭受严重的系统损失、或使重要信息系统遭受特别严重的系统损失•产生重大的社会影响较大事件是指能够导致严重影响或破坏的信息安全事件，包括以下情况：•会使特别重要信息系统遭受较大的系统损失、或使重要信息系统遭受严重的系统损失，一般信息系统遭受特别严重的系统损失•产生较大的社会影响一般事件是指不满足以上条件的信息安全事件，包括以下情况：•会使特别重要信息系统遭受较小的系统损失、或使重要信息系统遭受较大的系统损失，一般信息系统遭受严重或严重以下级别的系统损失•产生一般的社会影响特别重大事件重大事件较大事件一般事件国际信息安全应急响应组织31美国计算机紧急事件响应小组协调中心（ComputerEmergencyResponseTeam/CoordinationCenter,CERT/CC）事件响应与安全组织论坛（ForumofIncidentResponseandSecurityTeams,FIRST）亚太地区计算机应急响应组（AsiaPacificComputerEmergencyResponseTeam,APCERT）欧洲计算机网络研究教育协会（Trans-EuropeanResearchandEducationNetworkingAssociation,TERENA)我国信息安全应急响应组织32国家计算机网络应急技术处理协调中心（NationalComputernetworkEmergencyResponsetechnicalTeam/CoordinationCenterofChina,CNCERT/CC）中国教育和科研计算机网紧急响应组(ChinaEducationandResearchNetworkComputerEmergencyResponseTeam,CCERT)国家计算机病毒应急处理中心国家计算机网络入侵防范中心国家863计划反计算机入侵和防病毒研究中心业务连续性管理与灾难恢复33•理解业务连续性管理与灾难恢复的基本概念•了解我国灾难恢复工作的进展情况和政策要求•了解数据储存和数据备份与恢复的基本技术•掌握灾难恢复管理过程：需求分析、灾难恢复策略制定、灾难恢复策略实现、灾难恢复预案制定和管理•掌握国家有关标准对灾难恢复系统级别和各级别的指标要求什么是灾难•灾难disaster–《信息安全技术信息系统灾难恢复规范》（GB/T20988—2007）由于人为或自然的原因，造成信息系统严重故障或瘫痪，使信息系统支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件。通常导致信息系统需要切换到灾难备份中心运行。•*典型的灾难事件包括：–自然灾害，如火灾、洪水、地震、飓风、龙卷风、台风等，还有技术风险和提供给业务运营所需服务的中断，如设备故障、软件错误、通讯网络中断和电力故障等等；此外，人为的因素往往也会酿成大祸，如操作员错误、植入有害代码和恐怖袭击。人员误操作34业务持续性的重要性“在经历过灾难的企业中，每5家中有2家在5年内会完全退出市场。当且仅当企业在灾难前或灾难后采取了必要的措施后，企业可以改变这种状况。业务持续性计划和灾难恢复计划服务将确保持续的生存性”Gartner,DisasterRecoveryPlansandSystemsAreEssential,byRobertaWitty,Don