NISP-信息安全事件与应急响应

NISP-信息安全事件与应急响应

1.信息安全事件

• 是指由于自然或人为以及软硬件故障或缺陷的原因，对信息系统造成危害或在信息系统内发生对社会造成负面影响的事件
• 至今尚没有任何一种信息安全策略或防护措施，能够对信息及信息系统提供绝对的保护，以完全避免信息安全事件的发生
• 对信息安全事件进行有效的管理和响应，最小化事件所造成的损失和负面影响是组织信息安全战略的一部分
• 应急响应是信息安全事件的主要内容

2.信息安全事件分类

信息安全事件可以是故意，过失或人为原因引起的可以分为以下这七个基本分类：

• 有害程序事件
• 网络攻击事件
• 信息破坏事件
• 信贷内容安全事件
• 设备设施故障事件
• 灾害性事件
• 其他信息安全事件

3.信息安全事件分级三要素

• 通常对信息安全事件的分级主要考虑以下三个要素：
• • 信息系统的重要程度
• 系统损失
• 社会影响

信息系统重要程度

• 是指主要考虑信息系统所承载的业务对国家安全，经济建设，社会生活的重要性以及业务对信息系统的依赖程度划分为特别重要，重要，一般信息系统

系统损失

• 指由于信息安全事件对信息系统的软硬件功能的破坏，导致系统业务的中断，从而造成对事发组织和国家造成的损失
• 其大小组要考虑恢复系统正常运行和消除安全事件负面影响所需要的代价

社会影响

• 是指信息安全事件对社会所造成影响的范围程度
• 其大小主要考虑国家安全，社会秩序，经济建设和公共利益等方面的影响

4.信息安全事件分级

根据信息安全事件分级的参考要素可以将信息安全事件划分为四个级别：

• 特别重大事件
• 重大事件
• 较大事件
• 一般事件

5.信息安全应急响应

• 是指一个组织为了应对各种安全意外事件的发生所采取的防范措施（既包括预防性措施，也包括事件发生后的应对措施）
• 由于安全事件具有突发性，复杂性，所以需要建立信息安全系统，安全事件的快速响应机制
• 应急响应工作的主要任务：做好预先防范，安全事件发生后，尽快做出正确反应，及时阻止事件的继续发展，并减少损失，使系统恢复正常运行，同时采取必要的手段追踪攻击者及必要的法律行动

6.应急响应的作用

应急响应的作用主要体现在两个方面：

• 未雨绸缪：是指事先准备，管理上，开展安全培训，制定安全策略和应急预案等，技术上，增加系统安全性，如备份，升级系统软硬件，有条件的可以安装防火墙入侵检测系统，杀毒工具等
• 亡羊补牢：是指事件发生后，可以采取抑制，根除和恢复等措施，减少损失，并恢复正常运行。如：隔离，限制，关闭网络服务，恢复系统机，更新追踪，总结等

7.应急响应组织

• 计算机网络安全事件应急组
• 计算机安全事件响应组（CSIRT）
• 信息安全事件响应组（ISIRT）
• 事件响应组（IRT）
• 通常应急组织由管理，业务，技术和行政后勤等人员组成
• 组织建立的内部应急响应组织应与外部的国内外应急响应组织相关管理部门，设备设施及服务提供商（如电力供应，通信服务），利益相关方和新闻媒体等保持联系和协作，以确保在发生信息安全事件时能及时通报准确的情况并获得支持

中国：

• 国家计算机应急技术处理协调中心
• 国家计算机病毒应急处理中心
• 国家计算机网络入侵防范中心

8.应急响应管理过程

应急响应办法和过程并不是唯一的，但通常可以分为以下6个阶段：

• 准备
• 检测
• 遏制
• 根除
• 恢复
• 跟踪系统

准备

• 确定应急响应安全策略，安全事件检测过程和响应过程
• 建立应急预案和支持平台
• 准备应急人员和资源
• 更新策略和规程

检测

• 是事件发生的第一个反应步骤
• 应急响应过程中，所有活动都依赖于检测
• 检测触发应急事件响应

目的：

• 首先确认事件是否发生；接着判定事件发生的领域危害和影响范围

常用安全事件的检测方法：

• 系统和网络行为监视与检查
• 可疑行为审查和事件报告等

遏制

目的：

• 限制安全事件的影响范围
• 降低潜在的损失

可采取的遏制措施包括：

• 关闭所有系统，断开网络连接
• 修改防火墙过滤规则
• 封锁或删除被攻击账号
• 关闭服务等

根除

目的：

• 查找问题根源，彻底解决安全事件
• 借助准备阶段提供的安全工具来完成本阶段的工作

常用根除方法：

• 清除木马和病毒
• 改变用户口令
• 重新安装操作系统，改进保护措施等

恢复

目的：

• 所有受到影响的系统或网络环境恢复正常工作状态。
• 必须使用可信的完整备份或增量备份来恢复系统

跟踪总结

目的：

• 回顾并整理发生安全事件的相关信息（包括安全事件的操作方法和步骤；事件文档与证据的管理记录内容）
• 形成一份事件过程文档和损失报告