信息安全应急响应体系建设课程(PPT 83页)
合集下载
信息安全应急响应体系建设
信息安全应急响应体系建设引言随着科技的不断发展,信息技术已经成为现代社会生活和经济发展的核心驱动力。
同时,网络攻击的频繁发生也给信息技术带来了巨大威胁。
面对日益复杂的安全风险,企业和组织需要建立一个完善的应急响应体系,以快速和有效地对安全事件做出响应。
本文将探讨信息安全应急响应体系建设的相关问题。
什么是信息安全应急响应体系信息安全应急响应体系是企业和组织在安全事件发生后,采取的一系列应急措施、资源、组织结构和管理制度的整合,以实现对安全事件的快速应对、及时处理和有效防御。
信息安全应急响应体系包括以下三个关键环节:1.前置预防:通过建立安全防御和监控机制,有效预防安全事件的发生。
2.应急响应:在安全事件发生后,采取快速响应及时处置,保障业务的正常运营。
3.事后处置:对安全事件的原因和成因进行深入分析和总结,完善应急机制,防止类似事件再次发生。
信息安全应急响应体系的重要性建立完善的信息安全应急响应体系具有以下几个重要的作用:1.最大程度地减少安全事件对企业的损失:快速、有效地响应并处理安全事件,可以使事件的影响最小化,减少经济损失和信誉损失。
2.提升组织的应急响应能力:建立、实施和优化应急响应体系不仅有助于提升组织的应急能力,也能促进组织内部的事故管理和协调能力的提升。
3.确保业务的连续性:信息安全事件会对业务的正常运行产生影响。
建立完善的信息安全应急响应体系可以保障业务的连续性,并为业务的安全与稳定提供有效的保障和支持。
4.合规性要求:一些国际和国内的安全标准和法规对安全事件的响应要求进行了明确的规定,如国家信息安全等级保护制度和企业信息化贵州省数据中心安全备份规范,这些安全标准和法规的要求需要企业建立完善的应急响应机制。
如何实现信息安全应急响应体系建设下面将介绍实现信息安全应急响应体系建设的关键步骤:1. 确定应急响应需求企业或组织应确立的应急需求,包括:1.需要保护的信息系统、设备和数据;2.需要保卫的业务流程、交易和公众利益;3.需要采取的预警和预防措施;4.各种应急响应方案和应急响应各环节标准作业程序等。
应急预案信息化建设模板课件
定义与特点
定义
应急预案信息化建设是指利用信息技术手段,对各类应急预案进行数字化、网 络化、智能化的处理,以提高应急响应的速度和效果。
特点
信息化、智能化、网络化、数字化。
应急预案信息化建设的重要性
01
02
03
提高应急响应速度
通过信息化手段,可以快 速获取信息、传递指令, 缩短应急响应时间。
提高应急决策水平
02
应急预案信息化建设的核 心要素
信息化平台的建设
总结词
信息化平台是应急预案信息化建设的基础,包括硬件设施、软件系统、网络通信等方面 。
详细描述
信息化平台的建设需要考虑到硬件设施的稳定性、可靠性和可扩展性,以满足应急预案 的需求。同时,需要建立完善的软件系统,包括数据库、应用软件等,以支持应急预案 的信息化管理。此外,还需要建立高效的网络通信系统,以确保信息传递的及时性和准
案例二
总结词
预防为主、注重实效
详细描述
某企业针对可能发生的安全事故,制定了一 套应急预案,并进行了信息化建设。该预案 以预防为主,通过实时监测、预警分析等功 能,及时发现潜在的安全隐患,采取有效措 施进行处置。同时,预案注重实效,定期进 行演练和培训,确保员工熟悉应急流程,提 高应对安全事故的能力。
信息化手段可以提供全面 、准确的信息,帮助决策 者做出科学、合理的决策 。
提升应急处置能力
信息化手段可以整合各种 资源,提高应急处置的效 率和效果。
应急预案信息化建设的现状与趋势
现状
目前,我国应急预案信息化建设 已经取得了一定的成果,但仍存 在一些问题,如信息孤岛、数据 共享不足等。
趋势
未来,应急预案信息化建设将更 加注重智能化、云计算、大数据 等技术的应用,进一步提高信息 化建设的水平和效果。
信息系统安全应急响应处置培训课件
信息系统安全应急响应处置培 训课件
汇报人:可编辑
2023-12-27
CONTENTS
• 信息系统安全概述 • 应急响应流程 • 安全技术防范措施 • 安全管理制度与规范 • 应急预案制定与演练 • 安全意识教育与培训
01
信息系统安全概述
信息系统 数据、人员和过程等组件组成的 复合体,用于收集、存储、处理 、交换和保护信息。
安全培训效果的评估与改进
总结词
对安全培训效果进行评估和持续改进
详细描述
通过考试、问卷调查等方式对安全培训的效果进行评估,了解员工对安全知识和 技能的掌握程度。根据评估结果,对培训计划进行持续改进,提高培训效果和质 量。
谢谢您的聆听
THANKS
详细描述
通过定期开展信息安全意识培训,向 员工普及信息安全知识,提高员工对 信息安全的重视程度,增强员工的安 全意识。
安全培训计划的制定与实施
总结词
制定并实施全面的安全培训计划
详细描述
根据组织的需求和员工的岗位特点,制定全面的安全培训计划,包括安全基础 知识、安全操作技能、应急响应等方面的培训内容。通过线上或线下培训的方 式,确保员工能够全面掌握安全知识和技能。
详细描述
制定完善的数据备份计划,定期 进行数据备份和恢复演练。
总结词:数据加密可以有效保护 数据的安全性和机密性,而数据 备份则可以在数据丢失或损坏时 快速恢复数据。
根据数据的重要性和敏感程度, 选择合适的加密算法和加密强度 。
对备份数据进行加密存储和安全 管理,确保备份数据的安全性。
安全漏洞扫描与修复
03
安全技术防范措施
防火墙配置与监控
总结词:防火墙是保障信息系统安全的 重要手段,通过合理配置和监控,可以 有效防止外部攻击和恶意入侵。
汇报人:可编辑
2023-12-27
CONTENTS
• 信息系统安全概述 • 应急响应流程 • 安全技术防范措施 • 安全管理制度与规范 • 应急预案制定与演练 • 安全意识教育与培训
01
信息系统安全概述
信息系统 数据、人员和过程等组件组成的 复合体,用于收集、存储、处理 、交换和保护信息。
安全培训效果的评估与改进
总结词
对安全培训效果进行评估和持续改进
详细描述
通过考试、问卷调查等方式对安全培训的效果进行评估,了解员工对安全知识和 技能的掌握程度。根据评估结果,对培训计划进行持续改进,提高培训效果和质 量。
谢谢您的聆听
THANKS
详细描述
通过定期开展信息安全意识培训,向 员工普及信息安全知识,提高员工对 信息安全的重视程度,增强员工的安 全意识。
安全培训计划的制定与实施
总结词
制定并实施全面的安全培训计划
详细描述
根据组织的需求和员工的岗位特点,制定全面的安全培训计划,包括安全基础 知识、安全操作技能、应急响应等方面的培训内容。通过线上或线下培训的方 式,确保员工能够全面掌握安全知识和技能。
详细描述
制定完善的数据备份计划,定期 进行数据备份和恢复演练。
总结词:数据加密可以有效保护 数据的安全性和机密性,而数据 备份则可以在数据丢失或损坏时 快速恢复数据。
根据数据的重要性和敏感程度, 选择合适的加密算法和加密强度 。
对备份数据进行加密存储和安全 管理,确保备份数据的安全性。
安全漏洞扫描与修复
03
安全技术防范措施
防火墙配置与监控
总结词:防火墙是保障信息系统安全的 重要手段,通过合理配置和监控,可以 有效防止外部攻击和恶意入侵。
《应急响应》PPT课件
精选ppt
cnitse1c4
国内应急响应组建设情况
计算机网络基础设施已经严重依赖国外
由于地理、语言、政治等多种因素,安全服务不可能 依赖国外的组织
国内的应急响应服务组织还处在建设阶段
• CCERT(1999年5月),中国教育科研网紧急响应组
• NJCERT(1999年10月),中国教育网华东(北)地区网络 安全事件响应组
网络管理员安全培训 • 指导其它CSIRT(也称IRT、CERT)组织建设
精选ppt
cnitsec4
内容提要
应急响应服务背景 什么是应急响应 应急响应组的组建 应急响应服务的过程 应急响应服务的形式和内容 应急响应服务的指标 应急响应服务案例
精选ppt
cnitsec5
事件响应
事件响应:对发生在计算机系统或网络 上的威胁安全的事件进行响应。 事件响应是信息安全生命周期的必要组 成部分。这个生命周期包括:对策、检 测和响应。 网络安全的发展日新月异,谁也无法实 现一劳永逸的安全服务。
为什么需要成立应急响应组
• 容易协调响应工作
• 提高专业知识
• 提高效率
• 提高先期主动防御能力
• 更加适合于满足机构的需要
• 提高联络功能
• 提高处理制度障碍方面的能力
精选ppt
cnitse1c2
应急响应组的分类
国内的协调组织
国际间的协调组织 如CERT/CC, FIRST 国内的协调组织
如CNCERT/CC
• 美国国防部(DoD)在卡内基梅隆大学的软件工程研究 所成立了计算机应急响应组协调中心(CERT/CC)以协 调Internet上的安全事件处理。目前,CERT/CC是 DoD资助下的抗毁性网络系统计划(Networked Systems Survivability Program)的一部分,下设三个部 门:事件处理、脆弱性处理、计算机安全应急响应 组(CSIRT)。
24.安全应急响应PPT课件
计算机网络安全技术
2020/3/22
1
概述
▪ 安全应急响应的提出 ▪ CERT/CC和FIRST ▪ 基本概念
安全应急响应能力建设
▪ 应急响应的目标和范畴 ▪ 应急响应的策略体系 ▪ 应急响应组织体系 ▪ 应急响应的流程建设
应急响应运作的六个阶段 应急响应预案的编制 案例讨论
2020/3/22
2020/3/22
3
为了消除网络蠕虫,来自MIT,Berkeley, Purdue和其他大学的专家组成了一个特别 应急团队。
通过这次事件,DARPA(Defense Advanced Research Projects Agency,防御高级研究项 目机构)决定把Internet应急响应团队的概 念制度化。1988年11月底,CERT Coordination Center 在卡耐基梅隆大学软件 工程协会(SEI)正式成立。
120多个正式成员组织,覆盖20多个国家和地区。 FIRST的大量工作都是由来自各成员组织的志愿者完成
的,从FIRST 中获益的比例与IRT愿意提供的贡献成比例。 FIRST的目标,是在事件预防中培养合作和协调,推动
事件快速相应, 同时促进在会员间的大范围信息共享。
2020/3/22
10
CERT、CSIRT、CIRC
2
1988年11月,美国康乃尔大学一名研究生 在互联网上发布“网络蠕虫”程序,该程序 利用UNIX操作系统的漏洞通过网络渗透进
主机系统,被感染的计算机陷入瘫痪,因 为它们的处理能力被蠕虫程序的大量副本 消耗殆尽。尽管采取连续关闭Internet数天,
把许多站点和网络断开等严厉措施,仍然 有2100到2600台主机被感染(另一种说法 是6000台主机,占当时连接Inte紧急响应小组(CERT,Computer Emergency Response Team)
2020/3/22
1
概述
▪ 安全应急响应的提出 ▪ CERT/CC和FIRST ▪ 基本概念
安全应急响应能力建设
▪ 应急响应的目标和范畴 ▪ 应急响应的策略体系 ▪ 应急响应组织体系 ▪ 应急响应的流程建设
应急响应运作的六个阶段 应急响应预案的编制 案例讨论
2020/3/22
2020/3/22
3
为了消除网络蠕虫,来自MIT,Berkeley, Purdue和其他大学的专家组成了一个特别 应急团队。
通过这次事件,DARPA(Defense Advanced Research Projects Agency,防御高级研究项 目机构)决定把Internet应急响应团队的概 念制度化。1988年11月底,CERT Coordination Center 在卡耐基梅隆大学软件 工程协会(SEI)正式成立。
120多个正式成员组织,覆盖20多个国家和地区。 FIRST的大量工作都是由来自各成员组织的志愿者完成
的,从FIRST 中获益的比例与IRT愿意提供的贡献成比例。 FIRST的目标,是在事件预防中培养合作和协调,推动
事件快速相应, 同时促进在会员间的大范围信息共享。
2020/3/22
10
CERT、CSIRT、CIRC
2
1988年11月,美国康乃尔大学一名研究生 在互联网上发布“网络蠕虫”程序,该程序 利用UNIX操作系统的漏洞通过网络渗透进
主机系统,被感染的计算机陷入瘫痪,因 为它们的处理能力被蠕虫程序的大量副本 消耗殆尽。尽管采取连续关闭Internet数天,
把许多站点和网络断开等严厉措施,仍然 有2100到2600台主机被感染(另一种说法 是6000台主机,占当时连接Inte紧急响应小组(CERT,Computer Emergency Response Team)
信息安全应急响应体系建设
损失
3
信息安全应急响应 可以提升信息系统 的稳定性和可靠性
降低损失和风险
及时发现并处理安 全事件,降低损失
快速响应,降低安 全事件的影响范围
提高安全事件的处 理效率,降低风险
建立完善的应急响 应体系,降低安全
事件的发生概率
Байду номын сангаас息安全应急响 应的流程
监测与预警
01
建立实时监测系统,对网络、系统、应用等进行全面监控
应急演练的内容: 3 模拟真实场景,包 括攻击、检测、响 应、恢复等环节
培训的目的:提高 4 员工的安全意识和 应急响应能力
培训的内容:包括 5 信息安全基础知识、 应急响应流程、技 术操作等
培训的方式:线上、 6 线下相结合,定期 组织培训活动
谢谢
技术专家职 责:负责技 术问题的分 析和解决, 提供技术支 持和建议
管理人员职 责:负责应 急响应工作 的组织和协 调,确保应 急响应工作 的顺利进行
01
02
03
04
05
应急响应预案
01
制定目的:为应对信息安全突发事件, 保障信息系统安全稳定运行
02
预案内容:包括组织机构、职责分工、 应急流程、技术措施、信息报送等
03
预案启动条件:发生信息安全突发事件, 可能对信息系统造成严重影响
04
预案演练:定期组织应急演练,提高应 急响应能力
05
预案更新:根据实际情况,及时更新预 案内容,确保预案的有效性和实用性
应急演练与培训
应急演练的目的: 1 提高应急响应能力, 检验应急预案的有 效性
应急演练的频率: 2 定期进行,至少每 年一次
信息安全应急响应体系 建设
3
信息安全应急响应 可以提升信息系统 的稳定性和可靠性
降低损失和风险
及时发现并处理安 全事件,降低损失
快速响应,降低安 全事件的影响范围
提高安全事件的处 理效率,降低风险
建立完善的应急响 应体系,降低安全
事件的发生概率
Байду номын сангаас息安全应急响 应的流程
监测与预警
01
建立实时监测系统,对网络、系统、应用等进行全面监控
应急演练的内容: 3 模拟真实场景,包 括攻击、检测、响 应、恢复等环节
培训的目的:提高 4 员工的安全意识和 应急响应能力
培训的内容:包括 5 信息安全基础知识、 应急响应流程、技 术操作等
培训的方式:线上、 6 线下相结合,定期 组织培训活动
谢谢
技术专家职 责:负责技 术问题的分 析和解决, 提供技术支 持和建议
管理人员职 责:负责应 急响应工作 的组织和协 调,确保应 急响应工作 的顺利进行
01
02
03
04
05
应急响应预案
01
制定目的:为应对信息安全突发事件, 保障信息系统安全稳定运行
02
预案内容:包括组织机构、职责分工、 应急流程、技术措施、信息报送等
03
预案启动条件:发生信息安全突发事件, 可能对信息系统造成严重影响
04
预案演练:定期组织应急演练,提高应 急响应能力
05
预案更新:根据实际情况,及时更新预 案内容,确保预案的有效性和实用性
应急演练与培训
应急演练的目的: 1 提高应急响应能力, 检验应急预案的有 效性
应急演练的频率: 2 定期进行,至少每 年一次
信息安全应急响应体系 建设
信息系统安全应急响应处置培训课件ppt精品模板分享(带动画)
案例背景:介绍数据泄露事件的发生背景和影响范围
单击此处输入你的智能图形项正文,文字是您思想的提炼,请尽量言简意赅的阐述观点
应急响应流程:详细描述数据泄露事件应急响应的流程和步骤
单击此处输入你的智能图形项正文,文字是您思想的提炼,请尽量言简意赅的阐述观点
处置过程:详细描述数据泄露事件应急处置的具体过程和措施
单击此处输入你的智能图形项正文,文字是您思想的提炼,请尽量言简意赅的阐述观点
经验教训:总结此次数据泄露事件应急响应处置的经验教训,提出改进措施和建议
单击此处输入你的智能图形项正文,文字是您思想的提炼,请尽量言简意赅的阐述观点
案例分析:对本次数据泄露事件应急响应处置进行深入分析,探讨其成功经验和不足之处
理论讲授:介绍信息系统安全应急响应处置的基本概念、原则和方法
案例分析:通过典型案例,分析信息系统安全事件应急响应处置的流程和要点
模拟演练:组织学员进行模拟演练,提高学员应对信息系统安全事件的能力
互动讨论:鼓励学员提问和交流,加深对信息系统安全应急响应处置的理解和掌握
培训效果评估指标
培训效果评估方法
汇报人:
01
02
03
04
05
06
课件封面
副标题:提高应对能力,保障信息安全
培训目标:掌握应急响应处置流程,提高应对能力
标题:信息系统安全应急响应处置培训课件
姓名:XXX
职称:XXX
所属单位:XXX
联系方式:XXX
培训对象:信息系统安全应急响应处置人员
培训时间:XXXX年XX月XX日
培训地点:XX培训中心
受害情况:描述受攻击单位或系统的受害情况,包括系统瘫痪、数据泄露等
应急响应处置过程:详细介绍应急响应处置小组的成立、处置措施、协调合作等方面的内容
信息系统安全应急响应处置培训课件
保障业务连续性
应急响应处置能够快速恢 复信息系统,保障业务的 连续性,提高组织的竞争 力。
提高安全管理水平
应急响应处置能够发现安 全漏洞和不足,提高安全 管理的水平和意识。
02
信息系统安全应急响应处 置流程
发现安全事件
安全监测与预警
通过安全监测系统、日志分析等技术手段,及时发现潜在的 安全事件。
次发生。
经验教训
加强数据保护和隐私政策宣传 ,定期进行数据安全审计和风
险评估。
05
信息系统安全应急响应处 置经验分享
成功经验分享
及时响应
在信息系统遭受攻击时,及时发现并启动应急响应机制,有效减 少损失。
团队协作
各部门之间紧密协作,信息共享,形成合力,提高应急响应效率。
预案完善
制定详细、实用的应急预案,为应急响应提供明确的指导。
清除恶意软件
使用杀毒软件或专杀工具清除恶意软件。
恢复数据和系统
对受影响的系统和数据进行恢复和加固。
经验教训
加强系统安全防护,定期更新补丁和密码,限制不必要的网络访 问权限。
案例三:数据泄露事件的应急响应处置
• 数据泄露事件概述:数据泄露是指敏感信息被非 法获取或泄露给未经授权的第三方。
案例三:数据泄露事件的应急响应处置
案例一:DDoS攻击的应急响应处置
应急响应流程 发现攻击:通过监控系统或安全设备检测到异常流量。
切断攻击源:通过防火墙等设备隔离攻击流量。
案例一:DDoS攻击的应急响应处置
清理系统
01
清除攻击者植入的恶意代码或僵尸程序。
恢复服务
02
重新启动受影响的系统和服务,确保正常运行。
经验教训
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
• 在灾难来临前使相关人员了解熟悉恢复流 程
• 使应急响应预案得到理解并可以使用 • 促进应急响应预案活动、更新、实用 • 展示恢复的能力 • 达到法律和内部审计要求
34
演练与演习的类型
• 演练和演习的主要方式有: 参见应急演练脚本
– 桌面演练;
– 模拟演练;
– 实战演练等
• 根据演练和演习的深度,可分为:
宏观:
建立协作体系和应急制度 建立信息沟通渠道和通报机制 如有条件,建立数据汇总分析的体系和能力 有关法律法规的制定
10
第一阶段—准备
制定应急响应计划 资源准备
应急经费筹集 人力资源 软硬件设备 现场备份 业务连续性保障
•系统容灾 •搭建临时业务系统
11
人力资源准备
• ƒ指挥调度人员 • ƒ协作人员 • ƒ技术人员 • ƒ专家 • ƒ设备、系统和服务提供商
32
应急响应预案的制定
成功预案的特点
• 清楚、简洁 • 高级管理层支持/组织
承诺 • 不断改进和更新的恢
复策略 • 及时的更新维护
组织职责分工明确 保留、备份和异地存储计划 完整记录并定期演练 风险得到管理 弱点得到优先重视 灵活、可适应
33
应急响应预案的教育、培训和演练
14
建立事件报告的机制和要求
建立事件报告流 程和规范
15
第二阶段—确认
确定事件性质和处理人 微观(负责具体网络的CERT):
确定事件的责任人
指定一个责任人全权处理此事件 给予必要的资源
确定事件的性质
误会?玩笑?还是恶意的攻击/入侵? 影响的严重程度 预计采用什么样的专用资源来修复?
宏观(负责总体网络的CERT):
• ƒ远程应急响应服务
– 在确认客户的应急响应请求后? 小时内,交与相关应急 响应人员进行处理。无论是否解决,进行处理的当天 必须返回响应情况的简报,直到此次响应服务结束。
• ƒ本地应急响应服务
– 对本地范围内的客户,?小时内到达现场;对异地的 客户,?小时加路途时间内到达现场。
22
应急响应SLA 矩阵
– 系统级演练;
– 应用级演练;
– 业务级演练等
• 根据演练和演习的准备情况,可分为:
– 计划内的演练和演习;
– 计划外的演练和演习等
35
预案维护管理
• 核对预案的功能性 • 验证预案文档的精确性和完整性 • 分发更新的文档
– 文档计划分发和发布流程 – 确保相关的团队收到更新的文档
• 依靠维护来改变管理流程 • 提供培训作为持续维护预案的一部分
• 关键人员的变化
• 硬件配置的变化 《应急预案管理制度》
• 使用新操作系统
• 预案审核和演练后
• 软件/应用软件的变化
• 新的法律或审计要求
• 定期审核和更新——如:每年两次
37
应急预案变更记录
页码
变化记录
变化备注
变化日期
签名
38
应急响应体系建设流程
应
风险评估
急
响 应
参见XXX应急体
计 划
业务影响分析
响应预案的问题提交、解决、更新、跟踪、发布的渠道和流 程。 – 第三,建立相关的保密管理规定,保证应急响应预案中涉及 的秘密信息得到保护。 – 第四,应急响应预案在内容管理方面应注意内容的分布和粒 度,可根据版本和内容的更新频度将应急响应的内容进行适 当的分布。 – 第五,建立合理的应急响应预案的保管制度,强调存放的安 全性和易取得性。
– 为与应急响应的相关人员开展定期培训,如:复习进修 课程或灾难备份研讨会
– 指派培训责任,如:部门经理要确保员工被送去参加培 训
• 完成时报告预案维护情况 • 毁掉旧应急响应预案的复印件或电子版本 36
。
预案变更管理
• 业务操作的增长或变化
– 如:新的分支、产品和业务功能的增加
• 公司所有权的变化
4
应急响应与应急响应体系的关系
5
政策要求
《关于加强信息安全保障工作的意见》(中办发 『2003』27号文)指出:“信息安全保障工作的 要点在于,实行信息安全等级保护制度,建设基 于密码技术的网络信任体系,建设信息安全监控 体系,重视信息安全应急处理工作,推动信息安 全技术研发与产业发展,建设信息安全法制与标 准”
• 什么是应急响应和应急响应体系
•
• 应急响应的六大阶段
•
• 应急预案的编制和管理
•
• 应急响应体系建立流程
•
• 典型应急响应体系建设案例
1
基本概念
安全事件(Security Accident) 而安全事件则是指影响一个系统正常工作的情况 。这里的系统包括主机范畴内的问题,也包括网 络范畴内的问题,例如黑客入侵、信息窃取、拒 绝服务攻击、网络流量异常等。
应急响应(Emergency Response) 是指组织为了应对突发/重大信息安全事件的发 生所做的准备以及在事件发生后所采取的措施。
应急响应是信息安全防护的最后一道防线!
2
基本概念
应急响应体系(Emergency Response System) 是指在突发/重大信息安全事件后对包括计算
– 确定风险场景 – 描述可能受到的业务影响 – 描述使用的预防性策略 – 描述应急响应策略 – 识别和排列关键应用系统 – 行动计划 – 团队和人员的职责 – 联络清单 – 所需资源配置
31
应急响应预案的制定
• 制定应急响应预案的原则
– 首先,必须集中管理应急响应预案的版本和发布。 – 其次,为了建立有效的版本控制体系,必须建立规范的应急
制事故)
– 解决方案的期限(例如:紧急事故工作区需在 4 小时内清除,临时工作区需在两周内清除, 25 永久的解决方案)。
例:基于DDOS 攻击的遏制策略
1. 基于攻击特征实施过滤。 2. 纠正正在被攻击的漏洞或弱点 3. 让ISP 实施过滤 4. 重定位目标 5. 攻击攻击者 6. 设定证据保留时间
事故当前或将来可 能的影响
Root级访问 非授权的数据修改 对敏感信息的非授 权访问 非授权的用户级访 问 服务不可用 骚扰
事故当前或将来可能影响的资源的重要性
高(例如:互联网 连接,公共Web服 务器,防火墙,客 户数据)
中(例如:系统管 理
员工作站,文件和 打 印服务器,XYZ 应用 数据)
低(例如:用户工 作 站)
正常的
端口扫描, 输出的,不
正常的
利用带宽高
利用电子邮 件
拒绝服务 低 低 中 高
低
高 中
恶意代码 中
非授权访问 不正确使用
高
低
中
低
高
中
中
低
低
中
低
高
中
低中低中来自高中中
20
事故优先级——服务水平协议
• ƒ服务水平协议(SLA )
– 定义服务目标及双方的预期及责任
• ƒ服务水平协议指标
21
应急响应服务的指标
建立跟踪文档,规范记录跟踪结果 对响应效果给出评估 对进入司法程序的事件,进行进一步的调查
,打击违法犯罪活动
29
事件的归档与统计
处理人 时间和时段 地点 工作量 事件的类型 对事件的处置情况 代价 细节
30
应急响应预案的制定
• 应急响应预案的包括的主要内容
26
第四阶段—根除
长期的补救措施 微观:
•详细分析,确定原因,定义征兆 •分析漏洞 •加强防范 •消除原因 •修改安全政策
宏观:
•加强宣传,公布危害性和解决办法,呼吁用户解决 终端的问题; •加强检测工作,发现和清理行业与重点部门的问题;
27
第五阶段—恢复
微观:
被攻击的系统恢复正常的工作状态
12
软硬件设备准备
• ƒ硬件设备准备
数据保护设备
• 磁盘、磁带、光盘 • SAN
冗余设备
• ƒ网络链路、网络设备 • ƒ关键计算机设备
• Any else?
13
软硬件设备准备
• ƒ软件工具准备 • 备份软件 • 日志处理软件 • 系统软件 • 网络软件 • 应急启动盘 • Any else? • 病毒/ 恶意软件查杀软件
系_项目计划
的 编
_080821_C1
制
准
备
制定应急响应策略
编制应急响应计划文档
应急响应计划的测试、培 训、演练和维护
应急响应计划的测试 、培训和演练
应急响应计划的管理 和维护
39
信息安全应急响应计划编制方法
7
相关标准
GB/T 24364-2009 《信息安全技术 信息安全应 急响应计划规范》
GB/T 20988-2007 《信息安全技术 信息系统应急 响应规范》
GB/Z 20985-2007 《信息技术 安全技术 信息安 全事件管理指南》
GB/Z 20986-2007 《信息安全技术 信息安全事件 分类分级指南》
机运行在内的业务运行进行维持或恢复的各种技 术和管理策略和规程。
信息安全应急响应体系的制定是一个周而复 始、持续改进的过程,包含以下几个阶段:
(1)应急响应需求分析和应急响应策略的确定; (2)编制应急响应计划文档; (3)应急响应计划的测试、培训、演练和维护。
3
应急响应目的
• 应急响应服务的目的是尽可能地减小和控 制住网络安全事件的损失,提供有效的响 应和恢复指导,并努力防止安全事件的发 生。
8
应急响应六阶段
第一阶段:准备——让我们严阵以待 第二阶段:确认——对情况综合判断 第三阶段:遏制——制止事态的扩大 第四阶段:根除——彻底的补救措施 第五阶段:恢复——系统恢复常态 第六阶段:跟踪——还会有第二次吗
• 使应急响应预案得到理解并可以使用 • 促进应急响应预案活动、更新、实用 • 展示恢复的能力 • 达到法律和内部审计要求
34
演练与演习的类型
• 演练和演习的主要方式有: 参见应急演练脚本
– 桌面演练;
– 模拟演练;
– 实战演练等
• 根据演练和演习的深度,可分为:
宏观:
建立协作体系和应急制度 建立信息沟通渠道和通报机制 如有条件,建立数据汇总分析的体系和能力 有关法律法规的制定
10
第一阶段—准备
制定应急响应计划 资源准备
应急经费筹集 人力资源 软硬件设备 现场备份 业务连续性保障
•系统容灾 •搭建临时业务系统
11
人力资源准备
• ƒ指挥调度人员 • ƒ协作人员 • ƒ技术人员 • ƒ专家 • ƒ设备、系统和服务提供商
32
应急响应预案的制定
成功预案的特点
• 清楚、简洁 • 高级管理层支持/组织
承诺 • 不断改进和更新的恢
复策略 • 及时的更新维护
组织职责分工明确 保留、备份和异地存储计划 完整记录并定期演练 风险得到管理 弱点得到优先重视 灵活、可适应
33
应急响应预案的教育、培训和演练
14
建立事件报告的机制和要求
建立事件报告流 程和规范
15
第二阶段—确认
确定事件性质和处理人 微观(负责具体网络的CERT):
确定事件的责任人
指定一个责任人全权处理此事件 给予必要的资源
确定事件的性质
误会?玩笑?还是恶意的攻击/入侵? 影响的严重程度 预计采用什么样的专用资源来修复?
宏观(负责总体网络的CERT):
• ƒ远程应急响应服务
– 在确认客户的应急响应请求后? 小时内,交与相关应急 响应人员进行处理。无论是否解决,进行处理的当天 必须返回响应情况的简报,直到此次响应服务结束。
• ƒ本地应急响应服务
– 对本地范围内的客户,?小时内到达现场;对异地的 客户,?小时加路途时间内到达现场。
22
应急响应SLA 矩阵
– 系统级演练;
– 应用级演练;
– 业务级演练等
• 根据演练和演习的准备情况,可分为:
– 计划内的演练和演习;
– 计划外的演练和演习等
35
预案维护管理
• 核对预案的功能性 • 验证预案文档的精确性和完整性 • 分发更新的文档
– 文档计划分发和发布流程 – 确保相关的团队收到更新的文档
• 依靠维护来改变管理流程 • 提供培训作为持续维护预案的一部分
• 关键人员的变化
• 硬件配置的变化 《应急预案管理制度》
• 使用新操作系统
• 预案审核和演练后
• 软件/应用软件的变化
• 新的法律或审计要求
• 定期审核和更新——如:每年两次
37
应急预案变更记录
页码
变化记录
变化备注
变化日期
签名
38
应急响应体系建设流程
应
风险评估
急
响 应
参见XXX应急体
计 划
业务影响分析
响应预案的问题提交、解决、更新、跟踪、发布的渠道和流 程。 – 第三,建立相关的保密管理规定,保证应急响应预案中涉及 的秘密信息得到保护。 – 第四,应急响应预案在内容管理方面应注意内容的分布和粒 度,可根据版本和内容的更新频度将应急响应的内容进行适 当的分布。 – 第五,建立合理的应急响应预案的保管制度,强调存放的安 全性和易取得性。
– 为与应急响应的相关人员开展定期培训,如:复习进修 课程或灾难备份研讨会
– 指派培训责任,如:部门经理要确保员工被送去参加培 训
• 完成时报告预案维护情况 • 毁掉旧应急响应预案的复印件或电子版本 36
。
预案变更管理
• 业务操作的增长或变化
– 如:新的分支、产品和业务功能的增加
• 公司所有权的变化
4
应急响应与应急响应体系的关系
5
政策要求
《关于加强信息安全保障工作的意见》(中办发 『2003』27号文)指出:“信息安全保障工作的 要点在于,实行信息安全等级保护制度,建设基 于密码技术的网络信任体系,建设信息安全监控 体系,重视信息安全应急处理工作,推动信息安 全技术研发与产业发展,建设信息安全法制与标 准”
• 什么是应急响应和应急响应体系
•
• 应急响应的六大阶段
•
• 应急预案的编制和管理
•
• 应急响应体系建立流程
•
• 典型应急响应体系建设案例
1
基本概念
安全事件(Security Accident) 而安全事件则是指影响一个系统正常工作的情况 。这里的系统包括主机范畴内的问题,也包括网 络范畴内的问题,例如黑客入侵、信息窃取、拒 绝服务攻击、网络流量异常等。
应急响应(Emergency Response) 是指组织为了应对突发/重大信息安全事件的发 生所做的准备以及在事件发生后所采取的措施。
应急响应是信息安全防护的最后一道防线!
2
基本概念
应急响应体系(Emergency Response System) 是指在突发/重大信息安全事件后对包括计算
– 确定风险场景 – 描述可能受到的业务影响 – 描述使用的预防性策略 – 描述应急响应策略 – 识别和排列关键应用系统 – 行动计划 – 团队和人员的职责 – 联络清单 – 所需资源配置
31
应急响应预案的制定
• 制定应急响应预案的原则
– 首先,必须集中管理应急响应预案的版本和发布。 – 其次,为了建立有效的版本控制体系,必须建立规范的应急
制事故)
– 解决方案的期限(例如:紧急事故工作区需在 4 小时内清除,临时工作区需在两周内清除, 25 永久的解决方案)。
例:基于DDOS 攻击的遏制策略
1. 基于攻击特征实施过滤。 2. 纠正正在被攻击的漏洞或弱点 3. 让ISP 实施过滤 4. 重定位目标 5. 攻击攻击者 6. 设定证据保留时间
事故当前或将来可 能的影响
Root级访问 非授权的数据修改 对敏感信息的非授 权访问 非授权的用户级访 问 服务不可用 骚扰
事故当前或将来可能影响的资源的重要性
高(例如:互联网 连接,公共Web服 务器,防火墙,客 户数据)
中(例如:系统管 理
员工作站,文件和 打 印服务器,XYZ 应用 数据)
低(例如:用户工 作 站)
正常的
端口扫描, 输出的,不
正常的
利用带宽高
利用电子邮 件
拒绝服务 低 低 中 高
低
高 中
恶意代码 中
非授权访问 不正确使用
高
低
中
低
高
中
中
低
低
中
低
高
中
低中低中来自高中中
20
事故优先级——服务水平协议
• ƒ服务水平协议(SLA )
– 定义服务目标及双方的预期及责任
• ƒ服务水平协议指标
21
应急响应服务的指标
建立跟踪文档,规范记录跟踪结果 对响应效果给出评估 对进入司法程序的事件,进行进一步的调查
,打击违法犯罪活动
29
事件的归档与统计
处理人 时间和时段 地点 工作量 事件的类型 对事件的处置情况 代价 细节
30
应急响应预案的制定
• 应急响应预案的包括的主要内容
26
第四阶段—根除
长期的补救措施 微观:
•详细分析,确定原因,定义征兆 •分析漏洞 •加强防范 •消除原因 •修改安全政策
宏观:
•加强宣传,公布危害性和解决办法,呼吁用户解决 终端的问题; •加强检测工作,发现和清理行业与重点部门的问题;
27
第五阶段—恢复
微观:
被攻击的系统恢复正常的工作状态
12
软硬件设备准备
• ƒ硬件设备准备
数据保护设备
• 磁盘、磁带、光盘 • SAN
冗余设备
• ƒ网络链路、网络设备 • ƒ关键计算机设备
• Any else?
13
软硬件设备准备
• ƒ软件工具准备 • 备份软件 • 日志处理软件 • 系统软件 • 网络软件 • 应急启动盘 • Any else? • 病毒/ 恶意软件查杀软件
系_项目计划
的 编
_080821_C1
制
准
备
制定应急响应策略
编制应急响应计划文档
应急响应计划的测试、培 训、演练和维护
应急响应计划的测试 、培训和演练
应急响应计划的管理 和维护
39
信息安全应急响应计划编制方法
7
相关标准
GB/T 24364-2009 《信息安全技术 信息安全应 急响应计划规范》
GB/T 20988-2007 《信息安全技术 信息系统应急 响应规范》
GB/Z 20985-2007 《信息技术 安全技术 信息安 全事件管理指南》
GB/Z 20986-2007 《信息安全技术 信息安全事件 分类分级指南》
机运行在内的业务运行进行维持或恢复的各种技 术和管理策略和规程。
信息安全应急响应体系的制定是一个周而复 始、持续改进的过程,包含以下几个阶段:
(1)应急响应需求分析和应急响应策略的确定; (2)编制应急响应计划文档; (3)应急响应计划的测试、培训、演练和维护。
3
应急响应目的
• 应急响应服务的目的是尽可能地减小和控 制住网络安全事件的损失,提供有效的响 应和恢复指导,并努力防止安全事件的发 生。
8
应急响应六阶段
第一阶段:准备——让我们严阵以待 第二阶段:确认——对情况综合判断 第三阶段:遏制——制止事态的扩大 第四阶段:根除——彻底的补救措施 第五阶段:恢复——系统恢复常态 第六阶段:跟踪——还会有第二次吗