网络安全应急响应灾备KB

应急响应

定义

特点

国家相关标准和文件

事件分类与分级

应急响应组织

取证与保全

信息安全应急响应管理过程

灾备

关键词

灾备政策

灾备等级

灾备策略

受害恢复能力级别

灾难恢复管理过程

应急响应

定义：

指组织为了应对突发/重大信息安全管理事件的发生所作的准备，以及在事件后所采取的措施。

特点：

强突发性、强技术性、专业性、对知识经验的高依赖性、以及需要广泛的协调与合作。

国家相关标准和文件：

GB/T 24364-2009《信息安全技术信息安全应急响应计划规划》、

GB/Z 20985-2007《信息技术安全技术信息安全事件管理指南》、

GB/Z 20986-2007《信息安全技术信息安全事件分类分级指南》、

网信委《国家网络安全事件应急预案》、

工信部《工业控制系统信息安全事件应急管理工作指南》

《公共互联网网络安全突发事件应急预案》等。

事件分类与分级：

事件分类：

分类依据：GB/Z 20986-2007 《信息安全技术信息安全事件分类分级指南》

基本分类：有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其它信息安全事件7个基本类别。基本分类包括若干子类，例如“网络攻击事件”包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其它网络攻击事件等子类。

事件分级：

分级依据：GB/Z 20986-2007 《信息安全技术信息安全事件分类分级指南》

分级程度：特别重大事件、重大事件、较大事件、较小事件

*特别重大事件包括以下方面：全国范围内大量互联网用户无法正常上网、.CN国家级顶级域名系统解析效率大幅下降、1亿以上互联网用户信息泄露、网络病毒在全国范围大面积爆发、其它造成或可能造成特别重大危害或影响的网络安全事件。

分级三要素：信息系统的重要程度、信息损失和社会影响

信息系统的重要程度（依赖程度）：特别重要信息系统、重要信息系统和一般信息系统。

信息损失（事发组织损失和国家损失）：特别严重的系统损失、严重的系统损失、较大的系统损失、较小的系统损失。

社会影响：特别重大的社会影响、重大的社会影响、较大的社会影响、较小的社会影响。

分类级别：

特别重大事件（一级）：造成系统大面积瘫痪，丧失业务处理能力；或国家机密西信息、重要敏感信息和关键数据丢失或窃取、篡改、假冒，对国家安全和社会稳定构成特别严重威胁；对其他国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络安全事件。

使特别重要的信息系统系统遭受特别的系统损失。
产生特别重大的社会影响。

重大事件（二级）：

会使特别重要的信息系统遭受严重的系统损失，或使重要的信息系统遭受特别严重的系统损失。
产生重大的社会影响。

较大事件（三级）：

会使特别重要的信息系统遭受较大的系统损失，或使重要的信息系统遭受严重的系统损失、一般信息系统遭受特别严重的损失。
产生较大的社会影响。

一般事件（四级）：

会使特别重要的信息系统遭受较小的系统损失，或使重要的信息系统遭受较大的系统损失、一般信息系统遭受严重或严重一下级别的系统损失。
产生一般的社会影响

应急响应组织

常用名称：

计算机网络安全事件应急组（Computer Network Security Emergency Response Teaam,CNSERT）；

计算机安全是事件响应组（Computer Security Incident Respond Team，CSIRT）；

信息安全事件响应组（Information Security Incident Respond Team,ISIRT）；

事件响应组（Incident Respond Team,IRT）；

（1）国际应急响应组织：

世界上第一个信息安全响应组织是卡内基梅隆大学-计算机应急响应协调中心（Computer Emergency Response Team/Coordination Center，CERT/CC），协调处理整个互联网的信息安全应急响应。

亚太地区计算机应急响应组（APCERT）

欧洲计算机网络研究教育协会（TERENA）

（2）国内应急响应组织

1995年5月，清华大学信息网络工程研究中心成立了中国第一个专门从事网络安全应急响应组织，即中国教育和科研计算机网应急响应组。1999年10月，东南大学网络中心成立了中国教育网华东（北）地区网络安全应急响应组。

中国电信：ChinaNet安全小组。

国家计算机网络与信息管理安全管理中心：国家计算机网络应急技术处理协调中心（CNCER/CC）。

取证与保全：

1，准备阶段：

获取授权-明确目标-准备工作-准备软件-准备介质（符合取证环境需要的干净的介质，并且有足够的容量）。

2，保护阶段：

主要对目标环境进行保护，避免取证导致证据彻底丢失和数据进一步破坏。

（1）保证数据安全性

（2）保证数据完整性

3、提取阶段

4、分析阶段：对提取的数据进行详细的分析，从中发现攻击的痕迹或相关线索。

5、提交阶段

信息安全应急响应管理过程

1，准备：

首先确定重要资产和风险，实施针对性防护措施。其次编制和管理应急响应计划（3个阶段：应急响应计划的编制准备，编制应急想用计划，应急响应计划的测试、培训和维护）。

2，检测：

确认响应事件。确定事件类别和级别。初步动作和响应。

3，遏制：

关闭系统；拔网线；调整防火墙策略；提高系统、服务和网络行为的监控级别；设置诱捕服务器作为陷阱；实施反击等。

4，根除：

消除或阻断攻击源、找到并消除系统的脆弱性/漏洞、修改安全策略、加强防范措施、格式化被感染恶意程序的介质等。·

5，恢复：

恢复相关人员的设备访问和地理区域的授权；获取所需的硬件部件；获取备份介质；恢复关键操作系统和应用软件等。

6，跟踪总结

灾备

关键词：

暂难恢复能力（Disaster Recover Capability,DRC），是在灾难发生后利用灾难恢复资源和灾难恢复预案及时恢复和继续运作的能力。

恢复时间目标（Recovery Time Objective，RTO），

恢复点目标（Recovery Point Objective,RPO）。

灾备政策：

《灾难恢复中心建设与运维管理规范》

灾备等级：

国际：标准SHARE78，0-6级

无异地备份（0级）；简单异地备份（1级）；热备中心备份（2级）；电子传输备份（3级）；自动定时备份（4级）；实时数据备份（5级）；数据零丢失（6级）

国内：《重要信息系统灾难恢复指南》，1-6级

1级：基本支持； 2级：备用场地支持； 3级：电子传输和部分设备支持； 4级：电子传输及完整设备支持； 5级：实时数据传输及完整设备支持； 6级：数据零丢失和远程集群支持。

灾备策略：

（1）数据容灾：只有保证数据能够及时、完整地复制到灾备中心，才能在灾难发生时及时恢复受灾业务；

（2）系统容灾：实现灾难恢复地基础，要求信息系统本身具有容灾抗毁能力；包括冗余技术、集群技术、网络恢复技术等

（3）应用容灾：实现信息系统保持业务连续性、不间断服务的关键。

受害恢复能力级别

RTO	RPO	恢复能力级别（国家标准）
48小时以上	1~7天	1
24~48小时	1~7天	2
12~24小时	数小时~1天	3
2~12小时	数小时~1天	4
30分钟~2小时	0~30分钟	5
小于30分钟	0	6

灾难恢复管理过程

灾难恢复需求分析==>灾难恢复策略确定==>灾难恢复策略实现==>灾难恢复预案制定和管理

灾难恢复需求分析：

风险分析-->业务影响分析-->确定灾难恢复目标

风险分析：标识资产；标识威胁；标识脆弱性；标识现有控制；定量/定性风险分析

业务影响分析：分析业务功能和相关资源配置；评估中断影响

确定灾难恢复目标：关键业务功能及恢复优先级；RTO/RPO的范围

灾难恢复策略制定：

制定恢复策略：确定灾难恢复资源获取方式；确定灾难恢复等级的要素要求；正式文档化

灾难恢复策略实现：

灾难恢复策略的实现：灾难备份中心的选择和建设；灾备系统技术方案的实现；技术支持能力的实现；运行维护能力的实现。

灾难恢复预案制定和管理：

灾难恢复预案的制定、落实和管理：制定灾难恢复预案；灾难恢复预案的教育、培训和演练；灾难恢复预案的保存与分发。