应急响应与处置.PPT-－金锄头文库

本节内容本节内容应急响应概述应急响应概述1应急响应组织应急响应组织2应急响应体系应急响应体系34应急响应关键技术应急响应关键技术应对信息安全突发事件应对信息安全突发事件1第八章第八章应急响应处置管理应急响应处置管理1 1、应急响应概述、应急响应概述、应急响应概述、应急响应概述应急响应（应急响应（Emergency ResponseEmergency Response）通常是指人们为了）通常是指人们为了应对各种紧急事件的发生所做的准备以及在事件发生后所应对各种紧急事件的发生所做的准备以及在事件发生后所采取的措施。采取的措施。 2第八章第八章应急响应处置管理应急响应处置管理1 1、应急响应概述、应急响应概述、应急响应概述、应急响应概述应急响应的对象应急响应的对象紧急事件紧急事件破坏破坏机密性机密性的安全事件的安全事件破坏破坏完整性完整性的安全事件的安全事件破坏破坏可用性可用性的安全事件的安全事件信息安全基本属性信息安全基本属性CIA3第八章第八章应急响应处置管理应急响应处置管理1 1、应急响应概述、应急响应概述、应急响应概述、应急响应概述安全事件安全事件安全紧急事件安全紧急事件4第八章第八章应急响应处置管理应急响应处置管理1 1、应急响应概述、应急响应概述、应急响应概述、应急响应概述安全事件安全事件是破坏或企图破坏信息或是破坏或企图破坏信息或信息系统信息系统CIA属性的行为事件。属性的行为事件。安全紧急事件安全紧急事件侧重指发生很突然且侧重指发生很突然且会造成巨大损失的安全事件。需采取及会造成巨大损失的安全事件。需采取及时的适当的补救措施，否则损失会进一时的适当的补救措施，否则损失会进一步加重。步加重。5第八章第八章应急响应处置管理应急响应处置管理1 1、应急响应概述、应急响应概述、应急响应概述、应急响应概述事先事先做什么准备？做什么准备？事后事后采取什么措施？采取什么措施？预警和制定各种防范措施预警和制定各种防范措施将事件造成的损失降到最小将事件造成的损失降到最小6第八章第八章应急响应处置管理应急响应处置管理1 1、应急响应概述、应急响应概述、应急响应概述、应急响应概述提供指导框架提供指导框架进一步完善进一步完善相辅相成，相互补充相辅相成，相互补充形成正反馈机制形成正反馈机制7第八章第八章应急响应处置管理应急响应处置管理1 1、应急响应概述、应急响应概述、应急响应概述、应急响应概述Risk AnalysisPreventionDetectionResponse安安全全生生命命周周期期P-RPDR安安全全模模型型以以以以安全策略安全策略安全策略安全策略（Security PolicySecurity Policy）为中心）为中心）为中心）为中心8第八章第八章应急响应处置管理应急响应处置管理1 1、应急响应概述、应急响应概述、应急响应概述、应急响应概述应急响应的必要性应急响应的必要性应急响应的必要性应急响应的必要性理论上我们无法保证系统绝对安全；理论上我们无法保证系统绝对安全；尽管人们对信息安全的关注与投资与日俱增，但尽管人们对信息安全的关注与投资与日俱增，但是安全事件的数量和影响并没有因此而减少是安全事件的数量和影响并没有因此而减少。计算机取证是应急响应的重要环节之一，帮助遭计算机取证是应急响应的重要环节之一，帮助遭受信息系统攻击的组织追查肇事者。受信息系统攻击的组织追查肇事者。92 2、应急响应组织、应急响应组织、应急响应组织、应急响应组织第八章第八章应急响应处置管理应急响应处置管理 1988 1988年年1111月，国际上第一个应急响应组织：月，国际上第一个应急响应组织：计算机应急响应协调中心计算机应急响应协调中心CERT/CCCERT/CC（Computer EmerComputer Emergency Response Team/Coordination Centergency Response Team/Coordination Center）；）；美国联邦美国联邦FedCIRCFedCIRC、澳大利亚的、澳大利亚的AusCERTAusCERT、德国的、德国的DFN-CERTDFN-CERT、日本的、日本的JPCERT/CCJPCERT/CC，以及亚太地区的，以及亚太地区的APCERTFAPCERTF（Asia Pacific Computer Emergency ResAsia Pacific Computer Emergency ResPonse Task ForcePonse Task Force）和欧洲的）和欧洲的EuroCERT EuroCERT 。102 2、应急响应组织、应急响应组织、应急响应组织、应急响应组织第八章第八章应急响应处置管理应急响应处置管理19901990年应急响应与安全组织论坛年应急响应与安全组织论坛FIRSTFIRST（Forum ofForum of Incident Response and Security Teams Incident Response and Security Teams）成立；）成立；FIRSTFIRST发起时有发起时有1111个成员，至今已经发展成一个由个成员，至今已经发展成一个由170170多个成员组成的国际性组织。多个成员组成的国际性组织。 112 2、应急响应组织、应急响应组织、应急响应组织、应急响应组织第八章第八章应急响应处置管理应急响应处置管理 1999 1999年在清华大学成立了中国教育和科研计算机网年在清华大学成立了中国教育和科研计算机网应急响应小组应急响应小组CCERTCCERT（China Computer Emergency ResChina Computer Emergency Response Teamponse Team）；）； 2000 2000年年1010月国家计算机网络应急处理协调中心月国家计算机网络应急处理协调中心CNCERT/CCCNCERT/CC成立；成立； 2002 2002年年8 8月月CNCERT/CCCNCERT/CC成为国际权威组织成为国际权威组织FIRSTFIRST的的正式成员，并参与组织成立了亚太地区的专业组织正式成员，并参与组织成立了亚太地区的专业组织APCERT APCERT 。122 2、应急响应组织、应急响应组织、应急响应组织、应急响应组织第八章第八章应急响应处置管理应急响应处置管理应急响应组织模式应急响应组织模式 132 2、应急响应组织、应急响应组织、应急响应组织、应急响应组织第八章第八章应急响应处置管理应急响应处置管理国内或国际间的应急响应协调组织国内或国际间的应急响应协调组织企业或政府组织的应急响应组织企业或政府组织的应急响应组织计算机软件厂商提供的应急响应组织计算机软件厂商提供的应急响应组织商业化的应急响应组织商业化的应急响应组织应急响应组织分类应急响应组织分类公益性应急响应组织，由政府或社会公益性组织资助，对社会所公益性应急响应组织，由政府或社会公益性组织资助，对社会所有用户提供公益性的应急响应协调服务有用户提供公益性的应急响应协调服务服务对象仅限于本组织内部的客户群，提供现场事件处理、分发服务对象仅限于本组织内部的客户群，提供现场事件处理、分发安全软件和漏洞补丁，培训及技术支持等，还可参与组织安全政安全软件和漏洞补丁，培训及技术支持等，还可参与组织安全政策的制定和审查等策的制定和审查等为本公司产品的安全问题提供应急响应服务，也为公司内部的雇为本公司产品的安全问题提供应急响应服务，也为公司内部的雇员提供安全事件处理和技术支持。员提供安全事件处理和技术支持。面向全社会提供商业化的安全救援服务，可提供高质量的服务保面向全社会提供商业化的安全救援服务，可提供高质量的服务保障，处理突发安全事件时能够及时响应。障，处理突发安全事件时能够及时响应。142 2、应急响应组织、应急响应组织、应急响应组织、应急响应组织第八章第八章应急响应处置管理应急响应处置管理美国计算机应急响应协调中心（美国计算机应急响应协调中心（CERT/CCCERT/CC）典型应急响应组织典型应急响应组织152 2、应急响应组织、应急响应组织、应急响应组织、应急响应组织第八章第八章应急响应处置管理应急响应处置管理中国教育和科研计算机网应急响应组（中国教育和科研计算机网应急响应组（CCERTCCERT） CCERTCCERT首要的服务对象是中国教育和科研计算机网络首要的服务对象是中国教育和科研计算机网络本身，确保本身，确保CERNETCERNET网络的安全可靠运行。网络的安全可靠运行。CCERTCCERT其次的服务对象是其次的服务对象是CERNETCERNET内部的会员单位。内部的会员单位。 CCERTCCERT对其他用户提供力所能及的安全服务。对其他用户提供力所能及的安全服务。162 2、应急响应组织、应急响应组织、应急响应组织、应急响应组织第八章第八章应急响应处置管理应急响应处置管理中国教育和科研计算机网应急响应组（中国教育和科研计算机网应急响应组（CCERTCCERT） CCERTCCERT首要的服务对象是中国教育和科研计算机网络首要的服务对象是中国教育和科研计算机网络本身，确保本身，确保CERNETCERNET网络的安全可靠运行。网络的安全可靠运行。CCERTCCERT其次的服务对象是其次的服务对象是CERNETCERNET内部的会员单位。内部的会员单位。 CCERTCCERT对其他用户提供力所能及的安全服务。对其他用户提供力所能及的安全服务。网络安全政策制定和实施监督；网络运行状态的日常网络安全政策制定和实施监督；网络运行状态的日常安全监测；及时的安全通告；网络安全事件应急响应；安全监测；及时的安全通告；网络安全事件应急响应；网络安全突发事件发生时应急解决方案的制定和实施。网络安全突发事件发生时应急解决方案的制定和实施。网络安全管理政策的咨询；网络安全技术方案的咨询；网络安全管理政策的咨询；网络安全技术方案的咨询；网络安全事态发展的及时通告；及时的网络安全事件网络安全事态发展的及时通告；及时的网络安全事件应急响应；定期的网络安全技术培训。应急响应；定期的网络安全技术培训。安全通告；安全咨询；安全事件响应；其他安全服务安全通告；安全咨询；安全事件响应；其他安全服务172 2、应急响应组织、应急响应组织、应急响应组织、应急响应组织第八章第八章应急响应处置管理应急响应处置管理国家计算机网络应急处理协调中心（国家计算机网络应急处理协调中心（CNCERT/CCCNCERT/CC） 182 2、应急响应组织、应急响应组织、应急响应组织、应急响应组织第八章第八章应急响应处置管理应急响应处置管理国家计算机网络应急处理协调中心（国家计算机网络应急处理协调中心（CNCERT/CCCNCERT/CC）提供的业务功能为：提供的业务功能为：提供的业务功能为：提供的业务功能为：p信息获取信息获取p事件监测事件监测p事件处理事件处理p数据分析数据分析p资源建设资源建设p安全研究安全研究p安全培训安全培训p技术咨询技术咨询p国际交流国际交流193 3、应急响应体系、应急响应体系、应急响应体系、应急响应体系第八章第八章应急响应处置管理应急响应处置管理3.1 应急响应应保证的各项指标应急响应应保证的各项指标203 3、应急响应体系、应急响应体系、应急响应体系、应急响应体系第八章第八章应急响应处置管理应急响应处置管理3.2 应急响应体系的建立应急响应体系的建立确定应急响应角色的责任确定应急响应角色的责任（1 1）用户）用户（2 2）安全管理员）安全管理员（3 3）安全员）安全员/ /安全管理层安全管理层（4 4）安全审计员）安全审计员（5 5）公共关系）公共关系/ /信息发布部门信息发布部门（6 6）代理）代理/ /公司管理层公司管理层213 3、应急响应体系、应急响应体系、应急响应体系、应急响应体系第八章第八章应急响应处置管理应急响应处置管理3.2 应急响应体系的建立应急响应体系的建立制定紧急事件提交策略制定紧急事件提交策略提交渠道的规定提交渠道的规定提交的策略对象提交的策略对象提交方式提交方式明确何人负责，报送人及相应的报明确何人负责，报送人及相应的报送对象送对象调查或评估之前需如何提交调查或评估之前需如何提交个人口头报告个人口头报告书面报告书面报告电子邮件报告电子邮件报告电话报告电话报告密函报告密函报告223 3、应急响应体系、应急响应体系、应急响应体系、应急响应体系第八章第八章应急响应处置管理应急响应处置管理3.2 应急响应体系的建立应急响应体系的建立规定应急响应优先级规定应急响应优先级哪哪类类损失和组织相关损失和组织相关在每个在每个类别类别中，按什么顺序修补损失中，按什么顺序修补损失与组织内的环境与组织内的环境紧密相连紧密相连损失类别？损失类别？233 3、应急响应体系、应急响应体系、应急响应体系、应急响应体系第八章第八章应急响应处置管理应急响应处置管理3.2 应急响应体系的建立应急响应体系的建立损失类别：损失类别：与法律、规章或合同冲突与法律、规章或合同冲突对信息自决权的损害对信息自决权的损害对人员身体的损害对人员身体的损害对组织职能的损害对组织职能的损害对外部关系的负面影响对外部关系的负面影响财务后果财务后果243 3、应急响应体系、应急响应体系、应急响应体系、应急响应体系第八章第八章应急响应处置管理应急响应处置管理3.2 应急响应体系的建立应急响应体系的建立安全应急的调查与评估安全应急的调查与评估弄清楚信息系统结构和网络情况弄清楚信息系统结构和网络情况弄清楚信息系统的联系人和用户弄清楚信息系统的联系人和用户弄清楚信息系统上的应用弄清楚信息系统上的应用定义信息系统的保护要求定义信息系统的保护要求253 3、应急响应体系、应急响应体系、应急响应体系、应急响应体系第八章第八章应急响应处置管理应急响应处置管理3.2 应急响应体系的建立应急响应体系的建立选择应急响应相关补救措施选择应急响应相关补救措施提供必要的专业知识提供必要的专业知识安全恢复的运作安全恢复的运作事件归档事件归档对攻击行为的反应对攻击行为的反应 263 3、应急响应体系、应急响应体系、应急响应体系、应急响应体系第八章第八章应急响应处置管理应急响应处置管理3.2 应急响应体系的建立应急响应体系的建立确定应急紧急通知机制确定应急紧急通知机制当发生安全事件时，必须通知所有受影响的外部和内当发生安全事件时，必须通知所有受影响的外部和内部各方，为那些受到安全事件直接影响的部门和机构采部各方，为那些受到安全事件直接影响的部门和机构采取对策提供方便。通知机制对处理安全事件相关信息各取对策提供方便。通知机制对处理安全事件相关信息各方的协助预防或解决问题尤为重要。方的协助预防或解决问题尤为重要。必要时告知公众，但必须保证信息的正确性，必要时告知公众，但必须保证信息的正确性，否则会引发混乱、错误评估和形象损害。否则会引发混乱、错误评估和形象损害。273 3、应急响应体系、应急响应体系、应急响应体系、应急响应体系第八章第八章应急响应处置管理应急响应处置管理3.3 应急响应处置流程应急响应处置流程准备准备检测检测抑制抑制根除根除283 3、应急响应体系、应急响应体系、应急响应体系、应急响应体系第八章第八章应急响应处置管理应急响应处置管理3.3 应急响应处置流程应急响应处置流程恢复恢复报告与总结报告与总结 294 4、应急响应关键技术、应急响应关键技术、应急响应关键技术、应急响应关键技术第八章第八章应急响应处置管理应急响应处置管理4.1 4.1 入侵检测技术入侵检测技术入侵检测系统（入侵检测系统（Intrusion Detect SystemIntrusion Detect System，IDSIDS）它通过对信息系统中各种状态和行为的归纳分析，一它通过对信息系统中各种状态和行为的归纳分析，一方面检测来自外部的入侵行为，另一方面还能够监督内部方面检测来自外部的入侵行为，另一方面还能够监督内部用户的未授权活动。用户的未授权活动。 304 4、应急响应关键技术、应急响应关键技术、应急响应关键技术、应急响应关键技术第八章第八章应急响应处置管理应急响应处置管理4.1 4.1 入侵检测技术入侵检测技术误用检测（误用检测（Misuse DetectionMisuse Detection）误用检测也称为基于知识的入侵检测或基于签名的误用检测也称为基于知识的入侵检测或基于签名的入侵检测。该技术首先建立各种已知攻击的特征模式库，入侵检测。该技术首先建立各种已知攻击的特征模式库，然后将用户的当前行为依次与库中的各种攻击特征模式然后将用户的当前行为依次与库中的各种攻击特征模式进行比较。进行比较。314 4、应急响应关键技术、应急响应关键技术、应急响应关键技术、应急响应关键技术第八章第八章应急响应处置管理应急响应处置管理4.1 4.1 入侵检测技术入侵检测技术异常检测（异常检测（Anomaly DetectionAnomaly Detection）异常检测也称基于行为的入侵检测。该技术通过为用异常检测也称基于行为的入侵检测。该技术通过为用户、进程或网络流量等处于正常状态时的行为特征建立参户、进程或网络流量等处于正常状态时的行为特征建立参考模式，然后将系统当前行为特征与已建立的正常行为模考模式，然后将系统当前行为特征与已建立的正常行为模式进行比较。式进行比较。 324 4、应急响应关键技术、应急响应关键技术、应急响应关键技术、应急响应关键技术第八章第八章应急响应处置管理应急响应处置管理4.1 4.1 入侵检测技术入侵检测技术异常检测的优点是其能够检测出未知攻击，然而存在异常检测的优点是其能够检测出未知攻击，然而存在误检测率较高的不足；误用检测虽然检测准确率较高，但误检测率较高的不足；误用检测虽然检测准确率较高，但其只能对已知攻击行为进行检测。其只能对已知攻击行为进行检测。 334 4、应急响应关键技术、应急响应关键技术、应急响应关键技术、应急响应关键技术第八章第八章应急响应处置管理应急响应处置管理4.2 4.2 系统备份与灾难恢复技术系统备份与灾难恢复技术系统备份是灾难恢复的基础，其目的是确保既定的关系统备份是灾难恢复的基础，其目的是确保既定的关键业务数据、关键数据处理系统和关键业务在灾难发生后键业务数据、关键数据处理系统和关键业务在灾难发生后可以恢复。可以恢复。系统备份系统备份344 4、应急响应关键技术、应急响应关键技术、应急响应关键技术、应急响应关键技术第八章第八章应急响应处置管理应急响应处置管理4.2 4.2 系统备份与灾难恢复技术系统备份与灾难恢复技术全备份全备份增量备份增量备份差分备份差分备份系统备份系统备份对整个系统进行完全备份，包括系统和数据对整个系统进行完全备份，包括系统和数据每次只备份上一次全备份之后有更新的数据每次只备份上一次全备份之后有更新的数据每次备份相对于上次全备份后有更新的数据每次备份相对于上次全备份后有更新的数据354 4、应急响应关键技术、应急响应关键技术、应急响应关键技术、应急响应关键技术第八章第八章应急响应处置管理应急响应处置管理4.2 4.2 系统备份与灾难恢复技术系统备份与灾难恢复技术灾难恢复灾难恢复灾难恢复的基本技术要求灾难恢复的基本技术要求: : 备份软件备份软件恢复的选择和实施恢复的选择和实施自启动恢复自启动恢复安全防护安全防护364 4、应急响应关键技术、应急响应关键技术、应急响应关键技术、应急响应关键技术第八章第八章应急响应处置管理应急响应处置管理4.2 4.2 系统备份与灾难恢复技术系统备份与灾难恢复技术灾难恢复灾难恢复灾难恢复等级灾难恢复等级层次层次0 0本地数据的备份与恢复本地数据的备份与恢复层次层次1 1批量存取访问方式批量存取访问方式层次层次2 2批量存取访问方式批量存取访问方式+ +热备份地点热备份地点层次层次3 3电子链接电子链接层次层次4 4工作状态的备份地点工作状态的备份地点层次层次5 5双重在线存储双重在线存储层次层次6 6零数据丢失零数据丢失374 4、应急响应关键技术、应急响应关键技术、应急响应关键技术、应急响应关键技术第八章第八章应急响应处置管理应急响应处置管理4.2 4.2 系统备份与灾难恢复技术系统备份与灾难恢复技术灾难恢复灾难恢复灾难恢复计划灾难恢复计划备份备份/ /恢复的范围恢复的范围灾难恢复计划的状态灾难恢复计划的状态应用地点与备份地点之间的距离应用地点与备份地点之间的距离应用地点与备份地点之间如何相互连接应用地点与备份地点之间如何相互连接数据如何在两个地点之间传送数据如何在两个地点之间传送384 4、应急响应关键技术、应急响应关键技术、应急响应关键技术、应急响应关键技术第八章第八章应急响应处置管理应急响应处置管理4.2 4.2 系统备份与灾难恢复技术系统备份与灾难恢复技术灾难恢复灾难恢复灾难恢复计划灾难恢复计划允许有多少数据被丢失允许有多少数据被丢失怎样保证备份地点的数据的更新怎样保证备份地点的数据的更新备份地点可以开始备份工作的能力备份地点可以开始备份工作的能力394 4、应急响应关键技术、应急响应关键技术、应急响应关键技术、应急响应关键技术第八章第八章应急响应处置管理应急响应处置管理4.3 4.3 其它相关技术其它相关技术事件诊断技术事件诊断技术攻击源定位与隔离技术攻击源定位与隔离技术计算机取证技术计算机取证技术偏重于事件发生后，弄清受害对象发偏重于事件发生后，弄清受害对象发生何事？如有问题，出在哪？影响范生何事？如有问题，出在哪？影响范围多大？围多大？网络攻击路径重构，方法和技术上目网络攻击路径重构，方法和技术上目前尚处研究阶段；确定攻击源后，基前尚处研究阶段；确定攻击源后，基于安全事件类型，采取隔离措施于安全事件类型，采取隔离措施涉及对计算机数据的保存、识别、记涉及对计算机数据的保存、识别、记录以及解释录以及解释网络环境下海量数据的采集、存储和网络环境下海量数据的采集、存储和分析极为复杂分析极为复杂40 应急响应（应急响应（应急响应（应急响应（Emergency ResponseEmergency ResponseEmergency ResponseEmergency Response）通常是指人）通常是指人）通常是指人）通常是指人们为了应对各种紧急事件的发生所做的准备以及在事件发们为了应对各种紧急事件的发生所做的准备以及在事件发们为了应对各种紧急事件的发生所做的准备以及在事件发们为了应对各种紧急事件的发生所做的准备以及在事件发生后所采取的措施。生后所采取的措施。生后所采取的措施。生后所采取的措施。小结小结小结小结第八章第八章应急响应处置管理应急响应处置管理应急响应组织是应急响应工作的主体应急响应组织是应急响应工作的主体应急响应体系的建立过程应急响应体系的建立过程应急响应处置流程应急响应处置流程应急响应涉及的关键技术。应急响应涉及的关键技术。 41v应急响应组织分为哪几类？分别简述。应急响应组织分为哪几类？分别简述。应急响应组织分为哪几类？分别简述。应急响应组织分为哪几类？分别简述。v应急响应处置流程通常被划分为哪些阶段？各应急响应处置流程通常被划分为哪些阶段？各应急响应处置流程通常被划分为哪些阶段？各应急响应处置流程通常被划分为哪些阶段？各个阶段的主要任务是什么？个阶段的主要任务是什么？个阶段的主要任务是什么？个阶段的主要任务是什么？习题习题习题习题第八章第八章应急响应处置管理应急响应处置管理42思考思考思考思考第八章第八章应急响应处置管理应急响应处置管理如何理解应急响应在信息安全中的地位和作用？如何理解应急响应在信息安全中的地位和作用？如何理解应急响应在信息安全中的地位和作用？如何理解应急响应在信息安全中的地位和作用？ 43LOGO44